Inoltre, con il nomadismo, che consiste nel permettere al personale di connettersi al sistema di informazione indipendentemente dal luogo in cui si trovi, il personale « trasporterà » una parte del sistema di informazione fuori dall'infrastruttura sicurizzata dell'azienda.

Introduzione alla sicurezza

Il rischio in termini di sicurezza è generalmente caratterizzato dalla seguente equazione :

La minaccia (in inglese « threat ») rappresenta il tipo di azione suscettibile a nuocere nell'assoluto, mentre la vulnerabilità (in inglese « vulnerability », detta talvolta falla o breccia) rappresenta il livello di esposizione rispetto alla minaccia in un determinato contesto. Infine la contromisura è l'insieme delle azioni messe in atto per prevenire la minaccia.

Le contromisure da attuare non sono unicamente delle soluzioni tecniche ma anche delle misure di formazione e di sensibilizzazione rivolte agli utenti, nonché un insieme di regole ben definite.

Per poter sicurizzare un sistema, è necessario identificare le minacce potenziali, e quindi conoscere e prevedere il modo di procedere del nemico. Lo scopo di questo dossier è quindi di dare una visione delle eventuali motivazioni dei pirati, di classificarli, e infine di dare un'idea sul loro modo di procedere per capire meglio come si possano limitare i rischi di intrusione.

Obiettivi della sicurezza informatica

Il sistema di informazione è generalmente definito dall'insieme dei dati e delle risorse hardware e software dell'azienda che permettono di stoccarle o di farle circolare. Il sistema di informazione rappresenta un patrimonio essenziale per l'azienda, che ha tutto l'interesse di proteggere.

La sicurezza informatica, in modo generale, consiste nell'assicurare che le risorse hardware e software di un'organizzazione siano usate unicamente nei casi previsti.

La sicurezza informatica punta solitamente a cinque obiettivi principali :

• L' integrità, cioè garantire che i dati siano effetivamente quelli che si pensano :
• La confidenzialità, che consiste nell'assicurare che solo le persone autorizzate abbiano accesso alle risorse scambiate :
• La disponibilità, che permette di mantenere il corretto funzionamento del sistema d'informazione :
• Il non ripudio, che permete di garantire che una transazione non possa essere negata :
• L'autentificazione, che consiste nell'assicurare che solo le persone autorizzate abbiano accesso alle risorse.

La confidenzialità

La confidenzialità consiste nel rendere leggibile l'informazione solamente agli attori della transazione.

L'integrità

Verificare l'integrità dei dati consiste nel determinare se i dati non siano stati alterati durante la comunicazione (in maniera fortuita o intezionalmente).

La disponibilità

L'obiettivo della disponibilitàè di garantire l'accesso ad un servizio o a delle risorse.

Il non ripudio

Il non ripudio dell'informazione è la garanzia che nessuno dei corrispondenti potrà negare la transazione.

L'autentificazione

L'autentificazione consiste nell'assicurare l'identità di un utente, cioè nel garantire a ciascun corrispondente che il suo partener sia effettivamente quello che crede. Un controllo di accesso può permettere (ad esempio attraverso una password criptata) l'accesso a delle risorse soltanto a persone autorizzate.

Necessità di un approccio globale

La sicurezza di un sistema informatico è spesso oggetto di metamorfosi. In effetti, la si paragona spesso ad una catena spiegando che il livello di sicurezza di un sistema è caratterizzato la livello di sicurezza dell'anello più debole. Così, una porta blindata è inutile in un immobile se le finestre che danno direttamente sulla strada sono aperte.

Questo significa che la sicurezza deve essere abbordata in un contesto globale e soprattutto considerando i seguenti aspetti :

• La sensibilizzazione degli utenti ai problemi di sicurezza
• La sicurezza software, cioè la sicurezza a livello dei dati, soprattutto quelli aziendali, le applicazioni o ancora i sistemi operativi.
• La sicurezza delle telecomunicazioni: tecnologie di rete, server aziendali, reti di accesso, ecc.
• La sicurezza hardware, ossia la sicurezza a livello delle infrastrutture hardware : sala sicurizzata, luoghi aperti al pubblico, spazi aziendali comuti, postazioni di lavoro del personale, ecc.

Attuazione di una politica di sicurezza

La sicurezza dei sistemi informatici si occupa solitamente di garantire i diritti di accesso ai dati e alle risorse di un sistema attuando dei meccanismi di autentificazione e di controllo che permettono di assicurare che gli utenti delle dette risorse possiedano unicamente i diritti che gli sono stati concessi.

I meccanismi di sicurezza attuati possono tuttavia provocare un problema a livello degli utenti e le consegne e le regole diventano sempre più complicate man mano che la rete si estende. Così, la sicurezza informatica deve essere studiata in modo tale da non impedire agli utenti di sviluppare gli usi che sono loro necessari, e di fare in modo che possano utilizzare il sistema d'informazione in piena fiducia.

Questa è la ragione per cui è necessario definire in un primo tempo una politica di sicurezza, la cui attuazione avviene nella quattro tappe seguenti :

• Identificare i bisogni in termini di sicurezza, i rischi informatici che pesano sull'azienda e le loro possibili conseguenze ;
• Elaborare delle regole e delle procedure da attuare nei diversi servizi dell'organizazzione per i rischi identificati :
• Sorvegliare e identificare le vulnerabilità del sistema d'informazione e tenersi informati sulle falle delle applicazioni e dell'hardware utilizzati :
• Definire le azioni da intraprendere e le persone a contattare in caso di identificazione di una minaccia ;

La politica di sicurezza è quindi l'insieme delle orientazioni seguite da un'organizzazione (nel senso ampio del termine) in termini di sicurezza. In questo senso essa deve essere elaborata a livello della direzione dell'organizzazione interessata, dato che riguarda tutti gli utenti del sistema.

In quest'ottica, non sta ai soli amministratori informatici di definire i diritti di accesso degli utenti ma piuttosto ai responsabili gerarchici di questi ultimi. Il ruolo dell'amministratore informatico è quindi di assicurare che le risorse informatiche e i diritti di accesso a quest'ultime sono coerenti con la politica di sicurezza definita dall'organizzazione.

Inoltre, dato che è il solo a conoscere perfettamente il sistema, sta a lui di mettere a conoscenza la sua direzione sulle informazioni riguardo alla sicurezza, eventualmente di consigliare i decisori sulle strategie da attuare, nonché di essere il punto focale rispetto alla comunicazione destinata agli utenti sui problemi e raccomandazioni in temini di sicurezza.

La sicurezza informatica dell'azienda si basa su una buona conoscenza delle regole da parte degli impiegati, grazie a delle azioni di formazione e di sensibilizzazione presso gli utenti, ma essa deve andare oltre e soprattutto coprire i seguenti campi :

• Un dispositivo di sicurezza hardware e software, adatto ai bisogni aziendali e agli usi degli utenti ;
• Una procedura di management degli aggiornamenti ;
• Una strategia di salvataggio correttamente pianificata ;
• Un piano di recupero dopo gli incidenti&nbps;;
• Un sistema documentato aggiornato&nsp;;

Le cause dell'insicurezza

Si distinguono generalmente due tipi di insicurezza :

• lo stato attivo di insicurezza, cioè la non conoscenza da parte dell'utente delle funzionalità del sistema, fra cui alcune possono essere nocive (ad esempio il fatto di non disattivare dei servizi di rete non necessari all'utente)
• lo stato passivo di insicurezza, cioè la non conoscenza dei mezzi di sicurezza attuati, ad esempio quando l'amministratore (o l'utente) di un sistema non conosce i dispositivi di sicurezza di cui dispone.