Sicurezza Informatica

Le semplificazioni raggiunte dai moderni sistemi operativi permettono l'uso di infrastrutture informatiche complesse anche a chi non ha il tempo o la volontà di approfondire i temi relativi alla sicurezza informatica.
Il contributo che l'informatizzazione può dare all'Azienda rischia di trasformarsi in criticità quando non si prende in considerazione la necessità di una difesa dei propri sistemi e delle proprie infrastrutture da accessi indesiderati e/o danneggiamenti.

In tempi relativamente recenti il "Legislatore" sia italiano che europeo ha introdotto una serie di norme che rappresentano una interpretazione di quelle che sono state da sempre (anche le nostre) buone procedure di lavoro aziendale.
Molte di queste normative, recependo l'importanza del dato digitale nella vita del singolo, delle Aziende e della Pubblica Amministrazione, hanno introdotto degli obblighi in merito alla sicurezza del dato informatico.

La sicurezza informatica in genere si divide in due grandi ambiti: la protezione dei dati e la prevenzione o lotta alle intrusioni di soggetti non autorizzati.

Per protezione dei dati si intende il garantire che i dati in Azienda vengano sempre conservati in modo affidabile e confidenziale.

I nostri pilastri operativi sono la disponibilità dei dati, la loro integrità ed il controllo dei livelli di accesso ai sistemi ed alle informazioni.

Per disponibilità dei dati informatici si intende che il sistema informativo debba essere sempre in grado di consentire l'accesso ai dati alle procedure ed agli utenti, quindi poter offrire garanzie di continuità dei servizi, di scalabilità ed affidabilità.

Garantire l'integrità dei dati significa consentire agli utenti ed ai sistemi di poter fare affidamento sulle informazioni estratte, garantire in modo deterministico che, facendo due volte la stessa domanda al sistema in momenti diversi, si otterrà la stessa identica risposta!

Per controllare i livelli di accesso ai sistemi ed alle informazioni occorre che sia le infrastrutture che i sistemi informativi vengano progettati con questi requisiti in primo piano. Nessun utente deve poter accedere liberamente a dati e/o funzionalità non collegati alle sue esigenze lavorative. Sia per questioni di privacy che di tutela aziendale, le informazioni contenute negli archivi devono poter essere accessibili, in modo controllato, solo alle persone con le opportune autorizzazioni. Tipicamente le informazioni sulle autorizzazioni sono acquisite in corso di progettazione delle infrastrutture IT, ma devono sempre poter essere gestite in modo dinamico nel corso del ciclo di vita dei sistemi. Una soluzione di controllo degli accessi hard coded rappresenta un difetto e non una funzionalità di un sistema!

Proteggere una infrastruttura da accessi non autorizzati, attacchi volti a creare disservizi, utilizzo indebito è fondamentale per garantire continuità all'attività azienda e, aspetto non secondario, tutelarsi dalle conseguenze dei reati informatici.
Questa sicurezza non è facile da raggiungere per le Aziende, specie in Italia dove il principale ostacolo è la mancata percezione del problema!
Citando dal rapporto Clusit: "
In base alla frequenza stimata, gli attacchi informatici sono oggi diventati la prima tipologia di reato della quale un cittadino italiano può essere vittima."
Questo è vero soprattutto perchè le Aziende sono insensibili alle informazioni in materia, non considerano gli investimenti in sicurezza come veri investimenti, salvo poi trovarsi con dati e/o sistemi indisponibili e, eventualmente, ricattati da soggetti criminali per ri-ottenere gli accessi al loro sistema.

In DSA ci occupiamo di protezione delle infrastrutture informatiche fin dall'inizio, con un approccio complesso che integra differenti aspetti: le policy aziendali, la sicurezza fisica e logica dei sistemi e l'ingegneria sociale. Nelle aziende che seguiamo abbiamo iniziato censendo sistemi ed attrezzature da proteggere, per continuare raccogliendo le criticità evidenti ed implementato tutto quanto necessario a mitigare i rischi. In alcuni casi siamo intervenuti anche alterando l'infrastruttura del cliente, quando i dati trattati ed il livello di sicurezza richiesto non erano compatibili con i metodi di lavoro dell'Azienda.
Non basta un firewall perfettamente configurato con UTM (Unified Threat Management), antivirus a bizzeffe, quando poi ci sono in Azienda Access Point wireless raggiungibili dall'esterno che sono senza password!
Per questi motivi in DSA operiamo sia sull'aspetto puramente informatico che su quello di formazione e sensibilizzazione degli utenti...cercando di instillare negli utenti un po' di sana attenzione alle informazioni che devono maneggiare.
Spesso ci è capitato, purtroppo, di essere chiamati a violazione avvenuta, in questi casi forniamo supporto alle Aziende nel raccogliere le evidenze di quanto accaduto e affianchiamo il management nei rapporti con le Forze dell'Ordine.