ISS – La logica d’implementazione deve tener conto del ROI

La sicurezza nelle aziende sta vivendo ultimamente un ampio sviluppo, sia per le esigenze sempre più pressanti in termini di protezione dei dati che in virtù della nuova legislazione in materia. Purtroppo però non è sufficie …

La
sicurezza nelle aziende sta vivendo ultimamente un ampio sviluppo, sia per le
esigenze sempre più pressanti in termini di protezione dei dati che in
virtù della nuova legislazione in materia. Purtroppo però non
è sufficiente utilizzare firewall, prodotti di intrusion protection ed
antivirus se a questi strumenti non è applicata una logica d’implementazione
che renda effettivamente efficiente l’investimento economico e temporale
che si è intrapreso.

Inoltre le recenti tecnologie stanno rendendo sempre più “sfumati”
i confini delle infrastrutture aziendali, che non si limitano più alla
classica infrastruttura perimetrale protetta da sistemi firewall ed IPS ma che
deve necessariamente considerare come suoi confini tutti i punti di accesso
alle informazioni utilizzati dei propri utenti (PC portatili, PDA, reti wireless,
smartphone, etc) e garantirne un’adeguata protezione.

Nel seguito vedremo di dare qualche idea per poter rendere più efficiente
quest’investimento. Consideriamo innanzitutto la sicurezza informatica
come un termine generale che copre una vasta area dell’elaborazione dei
dati e delle informazioni. Le aziende sia pubbliche che private dipendono da
sistemi computerizzati e di rete per poter svolgere le comuni operazioni giornaliere
e considerano i propri dati elettronici i beni più importanti in loro
possesso ed il tipo di protezione offerto può determinare il successo
o il fallimento di un’azienda.

I dati aziendali dovrebbero rispondere almeno a questi tre requisiti:

  • Riservatezza dei dati sensibili che devono essere disponibili solo a determinate
    persone appartenenti all’azienda o esterne. L’azienda che detiene
    questi dati dovrà garantire il loro utilizzo e limitarne la distribuzione
    non autorizzata.
  • Integrità dei dati che non devono essere alterati in alcun modo
    da utenti non autorizzati. Si dovrà quindi provvedere ad un controllo
    degli accessi ai dati.
  • Disponibilità dei dati che hanno la loro completa utilità
    quando sono accessibili agli utenti autorizzati ogni qualvolta sia loro necessario.

Per garantire queste regole minime è nacessario applicare quello che
viene chiamato “Processo della Sicurezza Informatica”. Questo termine
va ad indicare un approccio olistico alle tematiche tecniche che portano al
raggiungimento di una struttura informatica sicura.

I tre aspetti cardine del processo di sicurezza informatica sono:

  • L’aspetto fisico: rappresenta l’implementazione
    delle misure di sicurezza ambientale usate per dissuadere o prevenire un accesso
    non autorizzato ai computer e ai dati in essi contenuti. Alcuni esempi possono
    essere: videocamere a circuito chiuso, badge che limitano l’accesso,
    sistemi di monitoraggio, controlli biometrici, guardie giurate ecc.
  • L’aspetto tecnico: i controlli tecnici fanno uso
    della tecnologia come base per controllare l’accesso e l’uso di dati sensibili,
    utilizzando sia infrastrutture fisiche che infrastrutture di rete. Firewall,
    prodotti di Intrusion Prevention, Access Control List, software di controllo
    e verifica dell’integrità dei dati, prodotti per le verifica
    e la gestione delle identità e dei privilegi di accesso, sistemi antivirus,
    etc, sono un esempio delle tecnologie usabili per garantire la sicurezza dei
    dati
  • L’aspetto umano: i fattori umani della sicurezza
    sono rappresentati dal coinvolgimento a tutti i livelli del personale interno
    e sull’istituzione di un team di persone esperte nel processo della
    sicurezza che si occupi dell’analisi e della stesura delle policy aziendali
    per quanto riguarda l’utilizzo degli strumenti tecnologigi aziendali
    e le politiche di accesso ai dati, prevedendo piani di emergenza e disaster
    recovery e coordinando l’installazione di nuovi sistemi e servizi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome