Sicurezza informatica: Livelli della sicurezza informatica nei sistemi

Sicurezza informatica: Livelli della sicurezza informatica nei sistemi

La sicurezza informatiza rappresenta l’insieme dei prodotti, dei servizi, delle regole organizzative e dei comportamenti individuali che proteggono i sistemi informatici di un’azienda.
Essa ha l’importante compito di proteggere le risorse da accessi indesiderati, garantire la riservatezza delle informazioni, assicurare il funzionamento e la disponibilità dei servizi a fronte di eventi imprevedibili (C.I.A.). L’obiettivo è dunque custodire le informazioni con la stessa professionalità ed attenzione con cui ci si prende cura di gioielli o certificati azionari depositati nel caveau. Il sistema informatico può essere rappresentato come la cassaforte delle nostre informazioni più preziose; la sicurezza informatica è perciò l’equivalente delle serrature, combinazioni e chiavi che servono a proteggerla.

Come detto in principio e ribadito numerose volte nei diversi articoli di sicurezza informatica, tentiamo di proteggere una mole di informazioni a gestite da un sistema, accessibili solo ed esclusivamente da un gruppo definito e limitato di utenti, e posizionati in una architettura aperta (ed esposta) all’intero pianeta.

Sicurezza informatica: Livelli della sicurezza informatica nei sistemi

Dovendo scomporre il sistema in un albero funzionale, non possiamo applicare una politica di sicurezza generale concentrata in un unico punto ma siamo costretti a progettare e implementare un checkpoint ad-hoc per ogni sottosistema, fino ad arrivare ai nodi estremi, cioè i singoli componenti. Seguendo il percorso temporale degli ultimi tre decenni, applicheremo un controllo sulla rete, poi sul sistema operativo e sul web server, alla fine implementeremo dei check di sicurezza sulla applicazione web. Ovviamente ci sono casi in cui le misure di sicurezza influenzano contemporaneamente più componenti, come ad esempio i firewall che eseguono controlli sia sull’host/ip di destinazione o sorgente e sull’applicazioni che li genera o riceve.

Stiamo tralasciando la sicurezza dell’host client ma, supponiamo che essa sia banale e limitata all’aggiornamento dei client ed all’installazione di programmi freeware (non meno potenti di quelli commerciali) che in real-time mantengano una politica minima sul PC dell’utente: firewall (sia traffico in entrata che in uscita), antivirus (per backdoor e keylogger), anti-scripting (controllo di codice javascipt malizioso), anti-spam (per email in html contenente javascript).

Ovviamente tralasciamo anche un fattore estremamente importante: quello umano. Diamo per scontato, insomma, che il generico utente (e magari anche l’amministratore e lo sviluppatore/tester) non tenga username/password memorizzate in autologin o stampate a caratteri ben leggibili e incollati dove un visitatore qualsiasi le possa vedere, anche solo per caso. E neppure che risponda a chiunque gli chieda dei parametri di autenticazione (ad esempio per email falsificata, alcuni siti web ne permettono l’invio in modo facilissimo ed indiscriminato) senza eseguire un controllo (ad esempio telefonata di conferma).

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *