La sicurezza informatica su più livelli

La sicurezza informatica su più livelli

Come detto in principio e ribadito numerose volte nei diversi articoli di sicurezza informatica, tentiamo di proteggere una mole di informazioni a gestite da un sistema, accessibili solo ed esclusivamente da un gruppo definito e limitato di utenti, e posizionati in una architettura aperta (ed esposta) all’intero pianeta.

Dovendo scomporre il sistema in un albero funzionale, non possiamo applicare una politica di sicurezza generale concentrata in un unico punto ma siamo costretti a progettare e implementare un checkpoint ad-hoc per ogni sottosistema, fino ad arrivare ai nodi estremi, cioè i singoli componenti. Seguendo il percorso temporale degli ultimi tre decenni, applicheremo un controllo sulla rete, poi sul sistema operativo e sul web server, alla fine implementeremo dei check di sicurezza sulla applicazione web. Ovviamente ci sono casi in cui le misure di sicurezza influenzano contemporaneamente più componenti, come ad esempio i firewall che eseguono controlli sia sull’host/ip di destinazione o sorgente e sull’applicazioni che li genera o riceve.

Stiamo tralasciando la sicurezza dell’host client ma, posto che questa tesi non concerne questo argomento, supponiamo che essa sia banale e limitata all’aggiornamento dei client ed all’installazione di programmi freeware (non meno potenti di quelli commerciali) che in real-time mantengano una politica minima sul PC dell’utente: firewall (sia traffico in entrata che in uscita), antivirus (per backdoor e keylogger), anti-scripting (controllo di codice javascipt malizioso), anti-spam (per email in html contenente javascript).

Ovviamente tralasciamo anche un fattore estremamente importante: quello umano. Diamo per scontato, insomma, che il generico utente (e magari anche l’amministratore e lo sviluppatore/tester) non tenga username/password memorizzate in autologin o stampate a caratteri ben leggibili e incollati dove un visitatore qualsiasi le possa vedere, anche solo per caso. E neppure che risponda a chiunque gli chieda dei parametri di autenticazione (ad esempio per email falsificata, alcuni siti web ne permettono l’invio in modo facilissimo ed indiscriminato) senza eseguire un controllo (ad esempio telefonata di conferma).

Precedente Vulnerabilità, minaccia e rischio nella sicurezza informatica Successivo Costo del rischio e costo della sicurezza informatica

Lascia un commento

*