La sicurezza delle informazioni nell’era di internet
Articolo pubblicato su "www.isernianews.it" il 12-03-2020
Nell’odierna società dell’informazione in cui viviamo, le informazioni sempre più a carattere digitale sono parte integrante di qualsiasi nostra attività e la sicurezza è divenuta una componente essenziale.
Non è più sufficiente limitarsi ad assicurare la riservatezza ma è necessario garantirne anche la disponibilita’, l’integrita’, e non ripudio.
La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche, alle sole persone autorizzate a farlo.
La disponibilità significa che le informazioni devono essere accessibili agli aventi diritto nel momento in cui essi lo richiedano e quindi i sistemi informatici debbono fornire le prestazioni richieste anche in caso di malfunzionamento.
L’integrità riguarda il grado di esattezza, coesione e attendibilità delle informazioni, cioè significa che queste non possano venire alterate, cancellate o modificate.
Non ripudio cioè chi ha generato l’informazione non deve poter dire di non averlo fatto.
Il piano di sicurezza o security audit può definirsi infatti come una valutazione sistematica della sicurezza del sistema informativo di un’azienda in cui si misura la sua conformità attraverso una serie di criteri stabiliti.
Gli audit di sicurezza sono a loro volta disciplinati dalla legge sulla privacy di cui al regolamento europeo che specifica come le organizzazioni devono gestire le informazioni – e anche per confermare l’aderenza alle note norme ISO o framework di cybersecurity.
Gli audit di sicurezza possono essere svolti in prima persona dall’organizzazione (audit interno) cioè con proprio personale oppure da consulenti esterni che valutano il grado di qualità offerto al cliente finale (audit di seconda parte). Esiste poi un altro livello, il cosiddetto livello di terza parte che fa riferimento a professionisti esterni di realtà specializzate nell’erogazione di servizi di auditing le cui attività sono in genere finalizzate al rilascio di una certificazione di qualità.
Un audit di sicurezza informatica è una valutazione tecnica misurabile manuale o sistematica di un sistema o di un’applicazione. E pertanto non può basarsi esclusivamente sulla compilazione di checklist o altra documentazione.
Altrettanto vera è la differenza tra un penetration test e un security audit.
Un penetration test è un’attività mirata a cercare falle di sicurezza in una risorsa critica, come la rete informatica e, di solito, opera dall’esterno del firewall con informazioni minime al fine di simulare in modo più realistico i mezzi con cui un hacker attaccherebbe l’organizzazione.
Un security audit è invece una valutazione tecnica – metodica e misurabile – di come viene utilizzata la politica di sicurezza dell’organizzazione e in questo senso gli auditor lavorano con informazioni privilegiate al fine di comprendere le risorse aziendali da controllare.
I security auditor svolgono il loro lavoro anche attraverso interviste personali ma soprattutto attraverso scansioni di vulnerabilità, l’esame delle impostazioni del sistema operativo, le analisi delle condivisioni di rete e i dati storici derivanti dai vari log di sistema. Si preoccupano principalmente del modo in cui vengono effettivamente utilizzate le politiche di sicurezza che sono alla base di qualsiasi strategia di sicurezza organizzativa.
In che modo gli audit di sicurezza cercano di dare una risposta alle varie problematiche riguardanti le politiche di sicurezza informatica?
Tramite i seguenti punti:
- la presenza di password robuste periodicamente cambiate;
- la verifica di malware nella rete informatica aziendale ivi compresi dispositivi iot e centralini voip;
- il riscontro sulla crittografia applicata ai vari dispositivi di memoria utilizzati dall’organizzazione;
- l’attivazione del controllo di accesso (acl) sui dispositivi di rete per verificare chi ha accessibilità ai dati condivisi;
- l’aggiornamento dei sistemi operativi e dei software;
- l’esistenza di un piano di backup programmato, di archiviazione dei relativi supporti e di verifica attraverso reali restore;
- la presenza di un piano di disaster recovery e la prova di funzionamento attraverso un vero e proprio di ripristino – simulato – di emergenza.
Tali punti per la nostra analisi hanno una rilevanza prettamente indicativa poiché lo scenario di security audit è molto più ampio e va definito in base all’azienda e alla struttura organizzativa che siamo chiamati a esaminare e a verificarne la sicurezza. I test in materia di security audit vanno effettuati periodicamente per far fronte alle minacce correlate e allo sviluppo tecnologico dei sistemi informatici. L’azienda o l’organizzazione dovrebbe dotarsi di un piano audit periodico in modo da prevenire eventuali danni o incidenti senza incorrere in costi aggiuntivi e garantirne un valore aggiunto per l’azienda e valutare l’effetiva tenuta del sistema informativo.
I-Forensics Team