4
La gestione dell’informazione assume quindi un ruolo strategico e i costi sostenuti
per attuarla vengono recuperati con una maggiore efficienza aziendale e, anche, attraverso
nuove possibilità di guadagno. Ad esempio, è fondamentale che gli ordini raccolti via
Internet raggiungano, in tempi brevi, i responsabili della sua evasione: questo consente di
portare a termine la consegna del prodotto finito più velocemente dando maggior
soddisfazione al cliente.
Sostanzialmente i vantaggi introdotti dalla connessione di più elaboratori tra loro si
riassumono in termini di condivisione e disponibilità delle informazioni, nonché assistenza
nella loro produzione ed elaborazione: queste sono esigenze aziendali consolidate.
Non sono, però, solo esigenze aziendali, ma anche di qualsiasi altra realtà: dal
singolo individuo, passando per organizzazioni private di natura diversa, fino a giungere
alla pubblica amministrazione o all’esercito.
Le informazioni assumono per tutti questi soggetti un valore. Tale valore introduce
una nuova necessità: la sua protezione. Ecco che nasce quindi il problema della sicurezza
delle informazioni, che nei contesti citati come esempio in precedenza non può essere
ignorato, perché non possono essere eliminate le esigenze da cui scaturisce. In tale ipotesi,
i vantaggi enormi che i nuovi strumenti utilizzati introducono sarebbero perduti.
Questo problema, però, non è originato esclusivamente dall’utilizzo delle
tecnologie descritte in precedenza. Una qualsiasi azienda ha già, a priori, dei dati sensibili
di cui terzi non devono venire a conoscenza, anche se fossero i propri dipendenti o
collaboratori. L’esempio più semplice sono i dati sulle retribuzioni. Essi non vengono
esposti in bacheche, ma il personale responsabile di calcolarli deve anche proteggerli da
occhi indiscreti.
L’introduzione di una tecnologia non cambia il punto di vista, introduce solo
maggiore complessità e ulteriori cautele; richiede anche una migliore consapevolezza di
quello che si sta facendo e delle conseguenze a cui si andrà incontro.
Ecco perché oggi con l’esplosione di nuove possibilità di connessione tra computer
l’informazione va protetta da chi utilizzando questi strumenti può accedervi, modificarla o
nasconderla senza autorizzazione. La sicurezza informatica è ciò che può trasformare le
reti e Internet da curiosità in strumenti per fare business, per condurre molte delle attività
che svolgiamo “nel mondo reale”, anche firmare contratti o persino votare, e questo non si
5
può realizzare se non si conoscono e affrontano i rischi insiti nell’impiegare queste nuove
risorse.
1.2 Che cosa difendere?
L’informazione, come già detto, è un bene prezioso, quindi va protetto. Più in
generale, qualsiasi bene di valore, all’interno dell’azienda così come in qualsiasi altra
situazione, ha un’ovvia necessità di essere protetto. Ad esempio, il problema della
sicurezza riguarda, per un’impresa, anche gli immobili o i macchinari; per un individuo
può riguardare i propri risparmi, la propria automobile o i propri dati personali. Tutti questi
beni “di valore” vengono detti asset. Essi si dividono in beni materiali, quindi tangibili, e
beni intellettuali o immateriali, come il know-how aziendale o i propri dati (questi ultimi a
volte sono definiti come “digital asset”).
Esiste, però, una grossa differenza tra un bene materiale e un insieme di
informazione sensibili: per il primo si è già sviluppata una mentalità riguardante la sua
tutela, per il secondo questa mentalità deve essere ancora assimilata.
Per un gioiello è immediato adottare delle misure per garantirne la sicurezza, come
ad esempio una cassaforte e dei sistemi di allarme. Un bene materiale è facilmente
valutabile: ha un valore di mercato, determinato dalla possibilità di rivenderlo, ma ha
anche un valore legato al costo necessario per la sua sostituzione in caso di cessata utilità.
Di conseguenza si cerca di evitare che qualcuno o qualcosa renda tale bene inutilizzabile:
si tenta di far fronte ai furti, alle manomissioni, si cerca anche di combattere l’usura del
tempo mediante la manutenzione.
Un’informazione è un bene non immediatamente tangibile, se non tramite gli
strumenti destinati a produrla, conservarla e trasmetterla. Per questo si potrebbe correre il
rischio di pensare che non abbia un valore immediato e intrinseco. Nel caso però qualcuno
entri in possesso dei propri dati allora chiunque afferma di avere subito una perdita. Un file
contenente dei possibili clienti da contattare di per sé non ha un valore economico, un
amministratore di sistema potrebbe non avere la sensibilità necessaria per evitare che sia
cancellato involontariamente da parte di un utente maldestro. Solo in tal caso esso assume
6
importanza per l’azienda in quanto si traduce in possibili perdite di futuri affari, o anche
semplicemente in perdite di tempo per ricostruire tale file.
Non è sempre semplice valutare un bene immateriale, in particolar modo un digital
asset: il valore è misurato in termini di impatto che la compromissione del dato provoca,
nel contesto in cui è utilizzato. Questo vuol dire che bisogna considerare sia i costi
sostenuti per ripristinare l’informazione sia anche le perdite subite. Perdite che non sempre
sono esclusivamente economiche, ma ci sono anche perdite “secondarie”, come i danni
all’immagine aziendale. Con il termine compromissione si vuole indicare che di un dato ne
è stata alterata l’integrità, la confidenzialità, l’autenticità o la sua disponibilità. A questo
bisogna aggiungere che non sempre è possibile quantificare il costo per ripristinare
l’informazione, come nel caso in cui ne sia stata violata la segretezza.
Bisogna garantire che nessuno sia in grado di accedere, modificare, cancellare o
rendere inaccessibili dati critici senza autorizzazione. Dato che un digital asset è qualcosa
di immateriale, questa necessità di sicurezza si estende anche alle risorse che intervengono
in ogni fase dell’esistenza di questi beni.
Di conseguenza i sistemi di elaborazione destinati a produrre o conservare
informazioni vanno in qualche modo protetti. Ciò vuol dire, ad esempio, controllare
l’accesso ai luoghi fisici dove tali apparati sono collocati, vuol dire utilizzare delle misure
di autenticazione, dei sistemi operativi con un affidabile gestione dei permessi di un utente.
Anche le reti di comunicazione utilizzate per trasmettere e condividere
informazioni introducono problematiche relative alla loro difesa, relative al fatto che
attraverso di esse anche chi non può accedere fisicamente al luogo in cui l’informazione è
conservata, può comunque arrivare a comprometterla. Da qui la necessità di cifrare le
comunicazioni, di evitare che opportune sequenze di pacchetti inviati in rete giungano a
una determinata macchina, di installare gli aggiornamenti di un software o di un antivirus e
così via.
Una piccola considerazione riguardo alle apparecchiature hardware impiegate per
interagire con i dati: a volte sono le macchine stesse ad essere oggetto di un attacco. Un
esempio può essere l’installazione di una backdoor o di un trojan. Questi strumenti
consentono di accedere da remoto a un computer, meglio se come amministratori. Ciò non
implica necessariamente che i dati in esso contenuti siano minacciati. La macchina
7
potrebbe essere semplicemente utilizzata come ponte per compromettere altri dispositivi
della rete aziendale o di altre reti.
Riassumendo si può dire, quindi, che la sicurezza nel campo dell’information
technology mira a evitare l’utilizzo indiscriminato delle informazioni e degli strumenti con
cui questa viene “manipolata”.
Possiamo, infine, includere anche tra le risorse da proteggere anche i servizi che
vengono resi disponibili ai propri dipendenti o a terzi, come, ad esempio, l’utilizzo della
posta elettronica o la consultazione on-line di database.
1.3 Le minacce
Da che cosa bisogna difendersi? Quali sono le minacce che vanno a colpire un
sistema informatico? A queste domande si possono dare molte risposte: si potrebbero
elencare tutti gli attacchi conosciuti rivolti ai programmi, ai protocolli o alle tecnologie.
Tutti gli attacchi però sfruttano un elemento comune: una vulnerabilità. Una vulnerabilità,
ossia un difetto o un elemento non previsto, all’interno di un sistema complesso. Essa è
diversa da un guasto. Se un sistema si guasta allora esso smette di funzionare: a questo si
risponde con una corretta manutenzione. Se invece il sistema diviene vulnerabile si
comporta in modo insolito e inspiegato, molto spesso irripetibile. In questa descrizione
rientrano appieno anche i bug che affliggono numerosi programmi e che se
opportunamente sfruttati consentono di avere accesso a risorse che normalmente non si
hanno a disposizione.
Pensiamo ad esempio ai buffer overflow: essi sfruttano debolezze introdotte dai
linguaggi di programmazione, cioè l’uso di funzioni che non controllano la dimensione
dell’input inserito; sfruttano il modo in cui il sistema operativo Unix gestisce l’esecuzione
di un programma e l’assegnazione di permessi speciali ad esso; sfruttano in modo non
previsto lo stack per la gestione delle chiamate di funzione.
Un altro esempio sono gli attacchi portati al protocollo TCP/IP: nel caso dello
spoofing, ad esempio, viene creato un pacchetto con l’indirizzo del mittente falsato, cosa
non prevista da chi progettò il protocollo; nel caso del “ping of death” vengono mandati
8
pacchetti ICMP con un contenuto di dimensioni eccessive in modo che la macchina
destinataria non sia in grado di gestirlo, sfruttando una debolezza dell’implementazione del
protocollo.
Più semplicemente, anche un semplice biglietto appiccicato sullo schermo di un PC
con su scritta in bella evidenza una password è un elemento non previsto da chi ideò questo
sistema di autenticazione. Di conseguenza anche le abitudini sbagliate o la mancata
sensibilizzazione di un utente possono essere delle minacce (il cosiddetto social
engineering).
Anche l’attacco di un virus o altro “malicious code” sfrutta una vulnerabilità: non
di un sistema, di una macchina, ma la debolezza di un comportamento, come quello di
utilizzare file, allegati a e-mail o su un semplice floppy disk, di provenienza non certa.
Questo è inevitabile, sia per la complessità che i sistemi informativi e informatici
hanno oggi, sia perché, comunque, non si possono prevedere e testare tutti gli errori che un
progetto di un protocollo o di un software portano con sé.
La vulnerabilità viene sfruttata per accedere all’informazione, leggerla, modificarla,
cancellarla, cioè comprometterne il valore; viene anche utilizzata per avere a disposizione
più risorse di calcolo o semplicemente per dimostrare una propria capacità, magari per fini
di vendetta. Questo può essere il caso dell’impiegato licenziato che riesce ad accedere a un
sistema e ad alterarne il funzionamento.
Bisognerebbe quindi anche individuare chi realizza una minaccia. Sommariamente
si può dire che i soggetti possono operare sia all’interno di un contesto in cui normalmente
godono di una fiducia consolidata, si pensi al dipendente di un’azienda o un funzionario di
un ministero, ma possono operare anche all’esterno.
Fronteggiare il problema della sicurezza non significa solo impedire che questi
individui utilizzino la debolezza di un sistema a proprio vantaggio. Significa anche
applicare delle contromisure per eliminare le vulnerabilità, o se non è possibile eliminarle,
per ridurne il più possibile gli effetti negativi. Per chiarirci, si può responsabilizzare la
segretaria che scrive la password su di un foglietto spiegandole la pericolosità del proprio
atteggiamento; se proprio non riesce a memorizzare una password complicata, ma efficace,
almeno convincerla a tenere il foglietto nel portafoglio, sapendo che le probabilità di
perderlo sono minime.
9
In fin dei conti si può quindi affermare che le minacce che interessano un sistema
informatico e le informazioni in esso contenute, sfruttano tutte delle debolezze presenti in
un elemento di questi sistemi complessi: un bug di un programma non sufficientemente
testato, un errore umano, una procedura sbagliata, una security policy carente, un errore di
implementazione di un protocollo, un errore di progettazione, una distrazione o una
“ignoranza”. C’è poi chi cerca di approfittare di queste vulnerabilità per trarne dei vantaggi
personali.
1.4 Le conseguenze
L’uso da parte di un malintenzionato di queste possibili debolezze di un sistema
può portare a conseguenze anche “drammatiche”. Innanzitutto come già detto
l’informazione o il sistema non sono più sicuri, sono stati compromessi e questo ne altera
l’utilizzabilità. Un dato riservato che viene scoperto, magari da hacker assoldati per
spionaggio industriale, non serve più a niente. Come un computer in cui viene installata
una backdoor e usato come ponte verso altri sistemi: questo può portare a un calo delle
prestazioni, minore produttività, ma anche può far figurare il nostro elaboratore come
l’origine di un attacco.
Possiamo dire che le conseguenze di un attacco alla sicurezza della nostra rete si
dividono in due categorie: dirette e indirette. Per conseguenze dirette si intende
principalmente quanto riportato in precedenza: l’azienda (o la realtà in questione) che
subisce un attacco, sostiene dei costi per rimediare ad esso, perde tempo per rispondere
all’emergenza e ripristinare la situazione, perde risorse di calcolo e anche produttività
perché dei digital asset o dei servizi non sono più accessibili. Il tutto si traduce in maggiori
investimenti per la sicurezza informatica. Questo denaro potrebbe essere destinato per altri
progetti, magari più inerenti all’attività dell’impresa; ciò vale anche per le risorse umane.
Per conseguenze indirette, invece, si intendono quei danni che l’azienda subisce,
ma non strettamente correlati a come essa gestisce le informazioni e i sistemi che le
elaborano. In questa categoria rientrano senz’altro la perdita di potenziali clienti, perché se
ne perde la fiducia; la perdita di vantaggi competitivi, perché si ha un impatto negativo sul
10
marchio aziendale; i rischi di un’esposizione legale in quanto non si rispettano alcuni
parametri sulla sicurezza che la legge impone, soprattutto in materia di difesa della
privacy.
Le conseguenze quindi possono essere molteplici. Tutte comunque evidenziano
l’urgenza con cui si debba rispondere al problema della sicurezza. Constatato infatti che un
azienda, o qualunque altro soggetto, ha delle precise esigenze per utilizzare le nuove
tecnologie introdotte dall’informatica e dalle telecomunicazioni, non potendo rinunciare ad
esse, non si può ignorare il problema delle vulnerabilità dei propri sistemi. Affermare che
fintantoché una debolezza non è conosciuta non può dirsi tale non è una risposta al
problema. La minaccia esiste comunque e non abbiamo la certezza che non esista nessuno
in grado di sfruttarla. Bisogna quindi rispondere.
1.5 Sicurezza: come viene attuata
Qual è l’approccio utilizzato per rispondere al problema della sicurezza di una rete
o di un sistema informatico? Normalmente la mentalità è la seguente: “finché non si
manifesta, il problema non esiste; quando ciò accadrà, adotteremo una contromisura”,
come se la sicurezza fosse un continuo correre ai ripari. È in quest’ottica, spesso solo dopo
aver subito un effettivo danneggiamento, che tutte le aziende acquistano un firewall, per
monitorare il traffico lecito o illecito verso la propria rete. Oppure adottano dei sistemi di
autenticazione più efficaci di una password. Oppure si installa l’ultimo antivirus quello più
aggiornato per setacciare la minima traccia di un codice maligno all’interno delle mail che
arrivano sui server. È come una moda: prima il firewall, poi le VPN, poi un intrusion
detection system e così di seguito. Ma tutto ciò basta? E se qualcuno mi manda “in crash”
il web server sfruttando una semplice e lecita connessione sulla porta standard del
protocollo http? Le contromisure solitamente adottate scompaiono improvvisamente e non
si è più in grado di fornire un servizio di vendita on-line a possibili clienti. Ecco che allora
si scoprono le patch, gli aggiornamenti e qualsiasi altro elemento che elimini i difetti del
software adottato.
11
Tutto ciò però non basta. La sicurezza informatica è come una “guerra agli
armamenti”: gli attaccanti hanno il coltello dalla parte del manico; per loro infatti è
sufficiente concentrarsi su di una debolezza del sistema colpito per riuscire nei loro intenti.
Chi si difende, invece, deve essere in grado di proteggersi da qualsiasi tipo di attacco, cioè
deve essere in grado di eliminare le vulnerabilità dei propri sistemi. Se questa eliminazione
non può avvenire direttamente all’origine ecco che ci si riempie di contromisure. Se ciò
diviene un eccesso si corre il rischio di creare delle barriere per l’operatività dei singoli
utenti del proprio sistema informatico, piuttosto che un fornire un mezzo per proteggerla.
Questo perché si ragiona nell’ottica che la sicurezza sia una serie di prodotti da
acquistare nel “negozio di computer sottocasa”. Come affermato anche da uno dei massimi
esperti di sicurezza a livello mondiale, Bruce Schneier, “La sicurezza è un processo, non è
un prodotto”. Bisogna partire dal presupposto che è impossibile rendere perfettamente
sicuro un sistema in modo che nessuna persona non autorizzata sia in grado di
comprometterlo. Allora si può obiettare che parlare di sicurezza è qualcosa di utopico.
Sicuramente no. Quanto detto vuol dire che innanzitutto dobbiamo avere una mentalità
diversa per affrontare il problema, una mentalità non scientifica, dato il problema risolvilo,
ma una mentalità manageriale: dato il problema gestiscilo.
Se la sicurezza è un processo, significa che attraverso una serie di atteggiamenti è
possibile controllare il rischio di subire un attacco e in tal caso ridurre al più possibile
l’impatto negativo che esso ha sull’attività aziendale. Significa innanzitutto sviluppare una
policy, cioè adottare una serie di regolamenti che stabiliscano quali azioni svolte da un
utente siano corrette e quali invece hanno come conseguenza l’esposizione ad una
vulnerabilità. In quest’ottica di sicurezza come processo è necessario anche istruire gli
utenti a tal fine e controllare il rispetto delle security policy.
Una policy potrebbe stabilire ad esempio, come, quando e con che frequenza
aggiornare i propri software, oppure potrebbe imporre l’utilizzo di smart card per
l’autenticazione e le procedure da seguire in caso di smarrimento, anche più
semplicemente potrebbe suggerire a coloro che si connettono in VPN di disconnettersi
prima dalla rete locale. Non solo, una policy potrebbe determinare delle procedure che un
dipendente deve seguire per produrre un documento e archiviarlo correttamente: non deve
essere obbligatoriamente legata a delle soluzioni tecniche.
12
Questo pero è uno dei passi per affrontare la questione dell’“information security”.
In realtà affermare che la sicurezza è un processo vuol dire che bisogna stabilire, anche
mediante la stesura di policy, come prevenire, rilevare e reagire ad un attacco. Le
contromisure indicate in precedenza rientrano nella prima azione, cioè sono strumenti di
prevenzione. Visto però che le minacce cui un sistema è esposto sono numerose,
imprevedibili e in continua crescita, ecco che la pura prevenzione non risolve i problemi.
Le vulnerabilità sono un rischio connesso con l’utilizzo di tecnologie informatiche
complesse: la soluzione migliore non è cancellare questo rischio, ma gestirlo.
1.6 La gestione del rischio
In qualsiasi realtà, in qualsiasi contesto ogni giorno si devono gestire dei rischi.
Anche una persona ogni giorno si trova a dover fronteggiare dei rischi. Ad esempio il
rischio di fare tardi al lavoro: per questo ci si premunisce facendo suonare una sveglia ad
un orario prefissato. Oppure il rischio in una giornata nuvolosa di bagnarsi a causa della
pioggia: ci portiamo con noi un ombrello, magari tascabile.
Un’azienda non è da meno. Le imprese nascono per gestire rischi. Un imprenditore
quando investe dei capitali in un’attività produttiva, mette in gioco il proprio denaro, il
proprio tempo, la propria capacità di gestire le situazioni, prevedibili o meno. Utilizzare
nuove tecnologie per elaborare, condividere e trasmettere informazioni non fa altro che
aggiungere ulteriori e potenziali pericoli.
Partendo dal presupposto che sia impossibile rendere un sistema perfettamente
sicuro, l’approccio migliore di fronte al problema è identificare i rischi che coinvolgono i
propri asset e gestirli. La sicurezza non è infatti un problema tecnologico, ma un problema
legato alle persone e ai loro comportamenti. Pensiamo ad esempio a un negozio di
abbigliamento: gran parte dei furti di vestiti (gli asset da proteggere) avvengono nei
camerini. Una soluzione per il negozio sarebbe eliminare queste cabine. La conseguenza è
un sostanziale decremento delle vendite perché il cliente non può più provare il prodotto
prima di deciderne l’acquisto. La contromisura certamente riduce il numero di furti, ma la
sicurezza del negozio non è minacciata tanto dall’esistenza del camerino quanto
13
dall’atteggiamento del cliente malintenzionato. Il negoziante deve quindi imparare ad
accettare il rischio, come effetto collaterale della propria attività, per non vedere l’attività
stessa fallire. Successivamente può cercare di ridurre l’eventualità di un furto attraverso
sensori da applicare su ogni singolo capo, ma questo introduce costi che magari un piccolo
esercente non è in grado di sostenere.
In generale, non solo nel campo dell’information technology, di fronte a un rischio
che è stato correttamente individuato esistono tre possibilità per gestirlo: accettarlo, tentare
di limitarlo o assicurarsi. Il negoziante nel caso precedente lo accetterà. Per quanto
riguarda l’assicurarsi, invece, questa scelta significa trasferire ad altri, dietro pagamento di
un compenso, il danno economico provocato dal verificarsi di una situazione pericolosa, di
modo che l’azienda possa provvedervi “non a proprie spese”.
Cercare di ridurre un rischio potrebbe sembrare in un primo tempo il tentativo, in
precedenza criticato, di riempirsi di difese per evitare che una vulnerabilità si manifesti. In
realtà per ridurre un rischio è essenziale avere un approccio che includa la prevenzione, il
rilevamento dell’attacco (o della compromissione di un dato) e la reazione a questo. Le
contromisure ovvero tutti i prodotti di sicurezza, come firewall, intrusion detection system,
PKI, ecc., rientrano nelle soluzioni per la prevenzione. Ad esempio una PKI evita, quindi
previene, gli accessi non autenticati a risorse critiche, preservandone anche la
confidenzialità. Occorre evidenziare come queste tecnologie non siano prive di utilità, anzi
sono essenziali per costruire un sistema informativo e informatico il più sicuro possibile,
solo che non sono l’unica soluzione attuabile, ma vanno utilizzate congiuntamente ad altri
elementi. Se i meccanismi di prevenzione fossero perfetti non ci sarebbe bisogno di
rilevare e rispondere a una minaccia, però come sappiamo non è così la realtà. Il software
contiene e conterrà sempre dei bug, i dispositivi impiegati correranno sempre il rischio di
essere mal configurati. Rilevare e rispondere a una minaccia aggiunge efficacia e
importanza alle misure di prevenzione impiegate.
Pensiamo, ad esempio ad una banca. Se essa si dotasse solo di porte blindate,
finestre con vetri infrangibili, casseforti temporizzate e procedure di ingresso rigorose,
questo non basterebbe per evitare una rapina. Un ladro potrebbe comunque riuscire a
entrare negli orari di chiusura indisturbato. In realtà, come sappiamo, una banca ha dei
sistemi di allarme per rilevare le intrusioni, un monitoraggio costante dei propri locali da
14
parte delle forze dell’ordine perché queste ultime possano intervenire, cioè rispondere al
problema, nel più breve tempo possibile. È scontato che senza una risposta alla minaccia i
sistemi di allarme sarebbero inutili: pensiamo al caso di una macchina in aperta campagna,
il cui antifurto suona correttamente per segnalare un tentativo di furto, ma nessuno riesce a
sentirlo. È altresì ovvio che senza le misure di prevenzione citate le vulnerabilità
aumentano in modo esponenziale: il sistema di allarme della nostra banca scatterebbe in
ogni momento della notte e le forze dell’ordine dovrebbero dedicasi esclusivamente a
pattugliare quell’edificio.
Anche nel mondo della sicurezza informatica è fondamentale rilevare un attacco e
rispondervi. Quando si individua un’intrusione da parte di un malintenzionato, la prima
cosa che viene spontaneo chiedersi è cosa sta facendo sulle macchine della nostra rete, non
come è riuscito ad accedervi. Quest’ultima domanda diventerà importante in un’analisi a
posteriori, quando il pericolo è passato, per rendere più efficaci le contromisure, sapendo
dove andare a intervenire ed evitando l’atteggiamento descritto di erigere barriere contro
tutti i possibili attacchi, indiscriminatamente, come unico strumento di difesa. Il
rilevamento dell’intrusione deve avere invece la priorità massima, per capire cosa sta
accadendo, cercare una risposta che respinga l’attaccante e ridurre così i danni subiti. Ciò
deve essere svolto non solo con l’aiuto di strumenti automatici ma anche le persone
giocano un ruolo fondamentale, in quanto un attacco può essere costruito ad arte per
evitare che i “sensori” collocati nella propria rete scattino, ma se un esperto sta
controllando le attività di diverse macchine e riscontra qualcosa di anomalo può
insospettirsi, contrariamente a quanto non ha fatto la contromisura adottata.
La prevenzione può essere più o meno efficace, ma adottando delle procedure e dei
sistemi per rilevare e rispondere al problema della sicurezza informatica di un’azienda, si
hanno più possibilità per gestire il pericolo di un attacco e per limitare i danni da esso
provocati. Nel caso peggiore interverrà l’assicurazione.
Si può quindi affermare che l’approccio migliore di fronte al problema della
protezione dei propri dati sensibili e delle proprie risorse informatiche sia la gestione del
rischio; se non altro offre più possibilità rispetto alla sola prevenzione, che non sarà mai
perfettamente efficace. In tal modo il sistema di sicurezza di un azienda diventa uno
strumento per creare profitto, perché consente di avviare quelle attività rischiose legate
15
all’informazione e alla sua protezione, come ad esempio l’e-commerce e la protezione dei
dati dei propri clienti.
1.7 Difficoltà nella gestione della sicurezza
L’attività di security management non è così semplice come finora descritta. Si può
parlare di cambiamento di mentalità, di gestione del rischio, di rilevamento delle minacce e
di risposta, nonché prevenzione, ma per attuare tutto questo si incontrano diverse difficoltà.
La principale è che la sicurezza non è un problema di tecnologie, come già
affermato, ma un problema di persone. Questo nel bene e nel male: serve personale per
controllare la situazione della propria rete e comprendere cosa sta accadendo, ma
contemporaneamente queste persone devono essere addestrate, devono essere aggiornate,
devono avere livelli di esperienza e professionalità elevati. Se così non fosse la situazione
della rete aziendale potrebbe anche peggiorare. Il problema delle competenze non interessa
solo gli amministratori di sistema o di sicurezza. Coinvolge anche i programmatori, ad
esempio, che devono essere istruiti sulla pratiche di programmazione più pericolose, per
evitare l’insorgere di bug o buffer overflow sfruttabili come vulnerabilità. Riguarda anche
ogni utente che deve essere istruito sugli errori più comuni che rischia di commettere.
Bisogna, infine, sensibilizzare il management della priorità della questione perché poi
prendano le decisioni opportune relativamente alla destinazione del budget disponibile.
Per chiarire, se si desiderasse realizzare ad esempio un servizio di monitoraggio
della propria rete “in casa”, tutti i giorni, ventiquattro ore su ventiquattro (quello che si
chiama “network operation center”, NOC), questo richiederebbe un numero non
indifferente di persone altamente specializzate. Ciò si traduce in ulteriori difficoltà
soprattutto per le piccole o medie imprese: i costi insostenibili e la mancanza di risorse e
infrastrutture per realizzare un servizio così efficace. Può essere, invece, una situazione
attuabile in grosse imprese dove le informazioni o le risorse informatiche da proteggere
sono numerose e di elevato valore. I costi, però, non sono dovuti solo alla elevata
professionalità degli individui che si vorrebbe assumere, ma esiste anche un altro problema
che affligge qualsiasi azienda: la loro scarsa reperibilità sul mercato del lavoro. Problema
16
generato sia dall’esperienza che bisogna possedere sia dal fatto che l’attività di
sorveglianza è estremamente noiosa: si potrebbero passare quattro settimane “a fare nulla”
e improvvisamente affrontare una situazione di panico di alcune ore. In sostanza
mantenere un team per vigilare i propri digital asset costantemente è senz’altro un ipotesi
ideale per la propria sicurezza, ma spesso è irrealizzabile.
Un altro esempio potrebbe essere quello della gestione dei propri firewall o degli
intrusion detection system. Questa attività richiede una buona conoscenza di questi
strumenti, di come installarli, configurarli e migliorarne l’efficacia. Non sempre queste
sono conoscenze che un amministratore di sistema possiede: il rischio che questi
dispositivi siano malconfigurati deve essere il più piccolo possibile, per questo è meglio
ricercare persone esperte, con tutti i problemi visti in precedenza, oppure investire per
aggiornare continuamente i propri security e system administrator.
Da quanto detto si può concludere che la soluzione migliore per gestire la propria
sicurezza, in ambito di information technology, è quello di rivolgersi ad altri per prevenire,
rilevare e rispondere a un attacco.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
