L’Accountability della Sicurezza Informatica

Articolo pubblicato su  "www.isernianews.it"  il   03-03-2018

(Il “Grande Fratello” che vigila sui nostri dati)

Leonardo di Caprio, interpretando il carismatico personaggio di J. Edgar Hoover, che è stato a capo del Federal Bureau of Investigation dal 1935 al 1972, affermava, nell’omonimo film del 2011 diretto da Clint Eastwood, che “l’informazione è potere”. In altri termini, chi più conosce, vince, prevarica e domina su tutti gli altri, soprattutto se ha la possibilità di accedere ai dati più intimi e personali.

Per vincere un nemico è indispensabile, infatti, conoscerne i punti di forza e le debolezze; le potenzialità e le vulnerabilità. Occorre, in altre parole, studiarlo, analizzarlo, carpirne i segreti più intimi. Questo vale non solo in ambito strettamente militare, ma anche economico e sociale. Per riuscire, bisogna ‘sapere’, accedere a quelle indispensabili informazioni che ci permettono di raggiungere gli obiettivi preposti in modo rapido e sicuro. Tutte le informazioni – di qualsiasi tipo – hanno una grande importanza, sempre più spesso, trascurata e sottovalutata. Vivendo, ogni giorno, circondati e immersi in un grande mare di dati, continuamente trasmessi e diffusi, facilmente dimentichiamo come essi possano permettere, a chi abbia la capacità e la possibilità di entrarne in possesso, di accedere alla nostra vita e di violarne l’intimità.

Le informazioni possono essere (e vengono) rivendute a caro prezzo da Headhunters (letteralmente, ‘Cacciatori di teste’), cioè da persone pagate per ricercare particolari dati digitali su individui, aziende o governi. Per questi motivi, è indispensabile proteggere le informazioni che produciamo e memorizziamo sui nostri dispositivi digitali. Questa protezione può avvenire sia a livello fisico, cioè adottando soluzioni (come una porta blindata o un allarme) che impediscano ad estranei non autorizzati di entrare nei luoghi dove fisicamente sono custodite le informazioni (la sala server di una azienda, ad esempio); sia a livello ‘logico’, installando sistemi informatici e telematici che richiedano qualcosa (come una password) per poter visualizzare e accedere alle informazioni che proteggono.

In sicurezza informatica, si parla molto di accountability per indicare la capacità, che caratterizza un sistema informatico, di identificare l’utente autorizzato ad accedere alle informazioni che esso protegge e di tracciarne ogni attività che compie all’interno di esso. Indentificare un utente significa confermarne l’identità, conoscere chi richiede l’accesso. Tuttavia, per accertarsi che costui sia davvero chi dice di essere e non un impostore, il processo di identificazione ne richiede e presume un altro: quello di autenticazione (dal greco ‘αὐθεντικός’, lett. ‘puro’), con il quale questa identità viene verificata per mezzo di informazioni particolari e riservate. Chi è autorizzato ad accedere a dati protetti deve, infatti, fornire delle credenziali di accesso, ossia un nome utente che gli consente di farsi riconoscere dal sistema di protezione e una password che invece lo certifica come tale e lo autorizza pienamente all’accesso.

Una volta all’interno del sistema, ogni attività del soggetto deve essere, poi, monitorata e tracciata. Appositi file di log registrano ogni operazione compiuta dall’utente, assicurando la trasparenza del sistema e certificando la responsabilità di colui che opera al suo interno. La fase successiva al tracciamento prende il nome di audit: i file di log possono essere estrapolati e analizzati al fine di individuare intrusioni ed evitare potenziali perdite di dati. Il Regolamento europeo in materia di protezione dei dati personali (Reg. 2016/679), che dovrebbe entrare in vigore il prossimo 25 maggio, assegna una grande importanza proprio all’Accountability, traducendola in un obbligo di responsabilizzazione e di rendicontazione in capo a enti e imprese che trattano dati terzi. Ciò significa che costoro saranno obbligati a definire, adottare e rispettare regole (tecniche, organizzative e legali) e procedure ad hoc, che dovranno essere documentabili e conformi al Regolamento, prima ancora di procedere al trattamento vero e proprio dei dati.

I-Forensics Team

 VISUALIZZA l'articolo su "IserniaNews

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *