Controllo degli accessi per un sistema informatico

Controllo degli accessi per un sistema informatico

Definire esplicitamente quello che ciascuna tipologia di utente può fare con il sistema informatico (cioè a quali servizi ed informazioni può accedere e con quali modalità) risulta indispensabile per configurare correttamente i meccanismi di controllo degli accessi offerti dal sistema, e delinea anche implicitamente l’insieme complementare di ciò che non deve poter fare, insieme che verrà esaminato in seguito, nell’ambito più generale degli eventi indesiderati.

Accesso ai servizi e accesso alle informazioni

Alla base di qualsiasi sistema informatico sicuro è innanzitutto il rispetto di un principio fondamentale già citato: le informazioni gestite dal sistema devono essere accessibili dagli utenti esclusivamente attraverso i servizi del sistema stesso. Solo in questo modo, infatti, il sistema ha la possibilità di vagliare la liceità dell’accesso ed eventualmente negarlo.

Nel valutare le autorizzazioni di accesso, dunque, è spesso più conveniente chiedersi, per ogni tipologia di utente, “di quali servizi può usufruire”, piuttosto che “a quali informazioni può accedere”.

La convenienza di definire le autorizzazioni ai servizi, piuttosto che alle informazioni, risulta evidente considerando che un servizio raramente accede ad un’unica tipologia di informazione, ma, in generale, ad un insieme di informazioni a differente livello di riservatezza. Considerare i servizi piuttosto che le informazioni, laddove si assuma che tali informazioni siano accessibili esclusivamente tramite detti servizi, permette dunque di definire i diritti di accesso ad un più elevato livello di astrazione.

Nei sistemi informatici più sofisticati, tuttavia, sono disponibili servizi parametrici rispetto ai dati: uno strumento di navigazione all’interno di una base dati, ad esempio, opera su informazioni la cui tipologia (ed il relativo grado di riservatezza) non è generalmente determinabile a priori. In questo caso è fondamentale definire,  per ciascuna tipologia di utente, le autorizzazioni di accesso sia ai servizi che alle varie tipologie di informazione.

Precedente Classificare i servizi per garantire la sicurezza informatica Successivo Valutazione del rischio per un sistema informatico

Lascia un commento

*