La sicurezza delle informazioni attraverso la sicurezza informatica – 1a parte
È stato detto, ormai in forma ampiamente triturata, che le informazioni sono il nuovo filone d’oro: chi ha le informazioni ha il potere, chi ha le informazioni è un passo avanti agli altri nel creare giri d’affari, chi ha le informazioni può dettare le regole del gioco.
Anche gli ospedali ad esempio, hanno bisogno di internet perché attraverso la rete contattano esperti all’altro capo del mondo, ricercano online milioni di dati e ricerche in tempo reale o snelliscono procedure di funzionamento (vedi ad esempio le banche dati dei trapianti). Ogni ente al mondo usa e produce informazioni, dati, metadati. Ogni ente al mondo che ha un accesso internet o che è in qualche modo dipendente da internet usa, scambia, produce, vende informazioni. E questo lo fa come scopo primario o secondario: ospedali, organizzazioni no profit o open source, internet providers, assicurazioni, attivisti o hackers, banche, aziende di sicurezza informatica o enti governativi.
Tutti, prima o poi, arrivano al punto di decidere se le informazioni che vengono usate devono essere protette o meno. Per pura sopravvivenza commerciale, operativa (protezione dei siti nucleari, centrali idroelettriche) o perché soggetto a direttive governative (GDPR o NIS ad esempio), tutti devono proteggere le informazioni o il loro utilizzo.
In un mondo dove le informazioni sono il potere e la manipolazione delle informazioni costituisce una fonte di potere, la sicurezza delle informazioni costituisce un esercizio da praticare per 365 giorni l’anno, 24 ore al giorno.
Le informazioni sono potere quindi ma se e solo se sono Affidabili e Sicure, declinate secondo Confidenzialità, Integrità, Coerenza e Disponibilità. La sicurezza e la protezione dei dati passano inevitabilmente attraverso la robustezza e la protezione delle applicazioni, delle infrastrutture digitali e fisiche, del posto di lavoro e del fattore umano.
Dunque, abbiamo le informazioni e queste informazioni quindi devono essere protette. Sicurezza delle informazioni e sicurezza informatica vengono speso usate come sinonimi ma sinonimi NON sono. Facendo un paragone abbastanza banale potremmo dire che le informazioni sono oro e le guardie armate usate per proteggerlo sono la sicurezza informatica.
Se, quando parliamo di informazioni, siamo tutti abbastanza concordi nell’identificarle, quando si parla di sicurezza digitale/informatica/cibernetica (e tutte le varianti del tema), le opinioni e le possibilità tecniche che ci si offrono sono di una tale varietà e quantità da lasciarci spesso dubbiosi e confusi, come minimo, su cosa si sta parlando e come utilizzare le varie soluzioni.
Qui iniziano oneri e onori sulla sua applicazione.
Per dipanare e chiarire qualche dubbio su quali soluzioni approcciare si deve prima chiarire cosa si sta facendo, cosa si vuole fare e cosa si è disposti a fare per proseguire su questa strada, ma che si parli di settore privato o meno, di sicurezza nazionale o meno, di sicurezza vigilato o automatizzata una cosa si deve chiarire subito: NON ESISTE la sicurezza al 100%.
Andando in ordine sparso nella sua analisi di attuazione si potrebbe iniziare a chiarire dei concetti di base. Naturalmente i vari punti che enuncerò non saranno esaustivi né dettagliati: giusto una sventagliata di sale e pepe per condire e solleticare la fantasia del lettore.
Per cominciare si deve chiarire se siamo un Operatore di Servizi Essenziali (OSE) come centrali elettriche o ospedali, oppure un Digital Service Provider (DSP). Nel campo governativo ci si può chiedere se siamo parte del Dipartimento per le Informazioni e la Sicurezza (DIS), se facciamo parte o meno della Strategia nazionale per la Sicurezza Cibernetica presso il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) o se ricopriamo un ruolo strategico (ad esempio le telecomunicazioni). Queste entità infatti per la natura dei loro servizi DEVONO investire nella sicurezza informatica una grossa fetta del proprio budget, pensando non solo ad un piano B, ma forse un piano C, D, E, F, G. La mancata osservanza e inadempienza in tutto o in parte alla sicurezza si può tradurre in miliardi di euro di perdita finanziaria, perdita della sovranità nazionale, perdita di vite umane.
Inoltre, una domanda fondamentale di partenza che si deve porre è: la sicurezza è implementata da personale esterno all’entità di cui si parla o personale proprio? Le variabili aumentano così come i rischi e le soluzioni di implementazione della sicurezza.
A questo punto possiamo vedere che la strada si divide in Sicurezza Fisica e Sicurezza Logica. Sotto sicurezza fisica si potrebbero annotare i seguenti punti:
- Accesso all’edificio
- Scrivanie e ufficio di lavoro
- Continuità elettrica
- Sistema antincendio
- Protezione contro eventi naturali
- Varie ed eventuali
mentre sotto sicurezza logica potremmo rilevare i seguenti facenti parte della Infrastruttura Digitale:
- Protezione perimetrale
- Protezione endpoint e servers
- Business Continuity Plan, Backup & Disaster recovery
- Linee di Connessione internet primarie e di backup
- Varie ed eventuali
Le risposte che dovrebbero far parte di una qualunque analisi del rischio saranno affrontate nella prossima ed ultima parte di questo articolo.
Articolo a cura di Michelangelo Stillante
Ha una passione per il Giappone, le lingue straniere, i viaggi e la sicurezza declinata in molteplici vesti: attitudine mentale, reparti speciali, servizi segreti e informatica. Dopo 15 anni di attività tecnologica cambia vita e si unisce a Medici senza Frontiere dove ricopre vari ruoli in varie zone “calde”. Dopo 5 anni, ritorna ad una vita quasi stanziale ma sempre con MSF come ICT Infrastructure Specialist a Praga.
Tra i suoi Hobbies: lettura, scienze, viaggi, scacchi, geopolitica, arti marziali, corsa, fotografia, yoga, subacquea.