Sicurezza informatica nei sistemi informativi

Sicurezza informatica nei sistemi informativi

Sicurezza informatica nei sistemi informativi

Con il termine “sicurezza”, nell’ambito dei sistemi informativi, si intende l’insieme delle misure (di carattere organizzativo e tecnologico) tese ad assicurare a ciascun utente autorizzato (e a nessun altro) tutti e soli i servizi previsti per quell’utente, nei tempi e nelle modalità previste. Più formalmente, secondo la definizione ISO, la sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite (sicurezza informatica attiva e passiva).

Rendere un sistema informativo sicuro non significa solo attuare un insieme di contromisure specifiche (di carattere tecnologico ed organizzativo) che neutralizzi tutti gli attacchi ipotizzabili per quel sistema (o sistemi informativi); significa anche collocare ciascuna contromisura in una politica organica di sicurezza che tenga conto dei vincoli (tecnici, logistici, amministrativi, politici) imposti dalla struttura in cui il sistema informativo opera, e che giustifichi ciascuna contromisura in un quadro complessivo.

Disponibilità delle informazioni

Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere, nei tempi e nei modi previsti.

Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di prestazione e di robustezza. La disponibilità di una informazione ad un utente, infatti, deve essere assicurata in modo ininterrotto durante tutto il periodo di tempo previsto (continuità del servizio).

Il raggiungimento dell’obiettivo disponibilità dipende quindi da fattori critici come la robustezza del software di base e di quello applicativo, l’affidabilità delle apparecchiature e degli ambienti in cui sono collocati, l’esperienza e l’affidabilità degli amministratori del sistema. Non è in generale buona norma assumere che le contromisure adottate in un sistema informatico siano sufficienti a scongiurare qualsiasi attacco. Rientra quindi fra gli obiettivi di una politica di sicurezza quello di garantire il rientro in funzione in tempo utile del sistema informatico, a seguito di eventi negativi anche gravi (disaster recovery).

Integrità delle informazioni

Il sistema deve impedire la alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali. Anche la perdita di dati (per esempio a seguito di cancellazione o danneggiamento), viene considerata come alterazione.

Riservatezza delle informazioni

Il sistema deve impedire a chiunque di ottenere o dedurre, direttamente o indirettamente, informazioni che non è autorizzato a conoscere. Vale la pena di osservare che, in determinati contesti, il fatto stesso che una informazione sia protetta, o che esista una comunicazione in atto fra due utenti o processi, può essere sufficiente per dedurre informazioni riservate.

 

Precedente I sistemi mainframe nei nostri giorni Successivo Necessità della sicurezza informatica per i sistemi informatici

Lascia un commento

*