La Sicurezza Informatica. Tra informatica, matematica e diritto

Ringraziamenti

Sicurezza informatica

Definizione e significato

Chiedendo ai comuni utenti di internet che cosa pensano sia la sicurezza informatica si ricevono le risposte più varie. Alcune di queste sono:

è il sistema che impedisce alle persone di vedere i miei dati, come le mail; un esempio può essere l’inserimento della password;

è il sistema che impedisce di prendere i virus quando si naviga in internet;

è il sistema che protegge il mio computer dai virus.

Ciò che emerge è quindi che questi utenti pensano che la sicurezza informatica sia il sistema di protezione dei propri dati; ciò che però non sanno spiegare è come possa essere costituito questo sistema. Alcuni dicono:

è il sistema che mi chiede la password!

Quanto spiegano gli utenti non è sbagliato, ma in realtà la definizione di sicurezza informatica è molto più ampia:

La sicurezza informatica è l'insieme delle misure di carattere tecnologico, organizzativo e procedurale volte a garantire la protezione dei sistemi informatici e dei dati in essi contenuti, nonché l'autenticazione dell'utente, la disponibilità, l'integrità e la riservatezza delle informazioni e dei servizi, gestiti o erogati in modo digitale al fine della prevenzione di potenziali rischi e/o violazioni.

La sicurezza informatica ha quindi l’obiettivo di garantire la riservatezza, l’integrità e la disponibilità dei dati.

Per riservatezza si intende la garanzia che un dato non sia divulgato al di fuori del sistema informatico in cui è inserito. La riservatezza comprende inoltre che i dati che vi sono soggetti siano protetti nelle operazioni di trasmissione, memorizzazione e conservazione, nelle modalità che saranno spiegate nei capitoli successivi.

Per integrità si intende la garanzia che i dati non vengano modificati in modo illegittimo e pertanto la garanzia che essi siano trattati in modo da garantire l’impedimento della manomissione e della modifica da parte di soggetti esterni.

Per disponibilità si intende la garanzia della reperibilità dei dati da parte dei soggetti autorizzati e quindi implica l’applicazione di opportuni sistemi di memorizzazione.

La sicurezza informatica è pertanto l’insieme di tutti quei provvedimenti che vengono adottati per proteggere i dati che sono contenuti in un determinato sistema, database, computer, sito web.

Per sicurezza informatica non si intende però soltanto l’insieme delle misure di protezione e di contrasto alle incursioni esterne nei sistemi, ma anche le misure di protezione che vengono adottate per evitare che eventi accidentali come interruzioni improvvise di corrente o eventi naturali possano compromettere i dati nel sistema. La sicurezza informatica si attua quindi su due piani differenti: un piano strettamente tecnologico ed informatico ed un altro, invece, organizzativo.

La definizione di sicurezza informatica distingue inoltre i rischi dalle violazioni: vengono intesi come rischi gli eventi accidentali e l’utilizzo improprio del sistema da parte di soggetti accreditati; mentre per violazioni si intendono gli accessi non autorizzati, solitamente effettuati tramite internet o tramite l’installazione di appositi programmi da memorie esterne da parte di un soggetto detto cracker con il fine di modificare, captare, eliminare o rendere inaccessibili i dati del sistema. 

La violazione di un sistema informatico è un reato ed è perseguibile penalmente secondo quanto definito nell’articolo 615-ter. del Codice Penale che è titolato: Accesso abusivo ad un sistema informatico o telematico. Pur essendo la violazione perseguibile penalmente, considerando la difficoltà nel provare la colpa di un determinato soggetto per il reato di accesso abusivo, non sono molte le condanne per questo reato, specie se si considera il loro numero rispetto a quello degli accessi abusivi che si verificano.

Al contrario di quanto si può pensare è più semplice e più probabilmente verificabile un rischio rispetto ad una violazione. La gravità del rischio rispetto a quella della violazione è tuttavia generalmente inferiore; questo poiché col verificarsi dei principali rischi non viene compromessa la riservatezza dei dati che spesso, in particolar modo a livello aziendale, è considerata la cosa più grave. Tuttavia in ambito aziendale può essere considerata di ampia gravità anche la perdita di integrità o disponibilità dei dati, riscontrabili alla verifica di un rischio.

La sicurezza informatica ha quindi il compito di prevenire rischi e violazioni attraverso l’elaborazione di opportune politiche di sicurezza.

Per la definizione di queste ultime è possibile far riferimento alle linee guida dell’ OCSE, che hanno come scopo:

estendere all’insieme delle parti interessate una cultura della sicurezza quale mezzo di protezione dei sistemi e delle reti d’informazione;

rafforzare la sensibilità rispetto ai rischi per i sistemi e le reti d’informazione, alle politiche, pratiche, azioni e procedure disponibili per affrontare tali rischi, nonché alla necessità di adottarli e di attuarli;

favorire una maggiore fiducia delle parti nei confronti dei sistemi e delle reti d’informazione e nel modo in cui sono forniti ed utilizzati;

creare un assetto generale di riferimento che aiuti le parti interessate a comprendere la natura dei problemi legati alla sicurezza e a rispettare i valori etici nell'elaborazione e nell'attuazione di politiche, pratiche, azioni e procedure coerenti per la sicurezza dei sistemi e reti d’informazione;

incoraggiare fra tutte le parti interessate la cooperazione e la condivisione d’informazioni adeguate all'elaborazione e all'attuazione di politiche, pratiche, azioni e procedure finalizzate alla sicurezza;

promuovere la presa in considerazione della sicurezza quale obiettivo rilevante per tutte le parti interessate, associata all'elaborazione e all'attuazione di norme.

[www.oecd.org]

La guida dell’OCSE comprende i seguenti principi:

SENSIBILIZZAZIONE: consapevolezza della necessità della tutela dei sistemi informatici e delle reti nonché delle azioni che possono essere intraprese per rafforzare la sicurezza.

La sensibilizzazione sui rischi e sulle protezioni disponibili è la prima linea di difesa per assicurare la sicurezza dei sistemi e delle reti d'informazione. Questi ultimi possono essere sottoposti a rischi interni ed esterni. Le parti interessate non solo devono sapere che le falle in materia di sicurezza possono gravemente incidere sull'integrità dei sistemi e delle reti che controllano, ma devono essere anche consapevoli che, a causa dell’interconnettività e dell’interdipendenza tra sistemi, essi possono potenzialmente danneggiare le altre parti. Le parti interessate devono quindi prestare attenzione alla configurazione del loro sistema, agli aggiornamenti disponibili per quest'ultimo, allo spazio occupato dal loro sistema nelle reti, alle buone pratiche che possono attuare per rafforzare la sicurezza, nonché ai bisogni delle altre parti interessate.

RESPONSABILITÀ

Le parti interessate dipendono da sistemi e da reti d’informazione locali e globali interconnessi. Esse devono essere consapevoli della loro responsabilità rispetto alla sicurezza di tali sistemi e reti ed esserne individualmente responsabili in funzione del loro ruolo. Esse devono regolarmente esaminare e valutare le proprie politiche, pratiche, misure e procedure per verificare che siano adeguate al loro ambiente. Coloro che sviluppano, progettano e forniscono prodotti e servizi devono rispondere all’esigenza di sicurezza dei sistemi e delle reti e diffondere informazioni adeguate, in particolare tempestivi aggiornamenti affinché gli utenti siano in grado di comprendere meglio le funzioni di sicurezza dei prodotti e dei servizi e le loro responsabilità in materia.

RISPOSTA: devono essere individuati gli incidenti di sicurezza e devono essere date risposte ad essi.

A causa dell'interconnettività dei sistemi e delle reti d’informazione, e della tendenza dei danni a diffondersi rapidamente ed in modo molto esteso, le parti interessate devono reagire agli incidenti di sicurezza con prontezza e con spirito di cooperazione. Esse devono scambiare, in maniera adeguata, le informazioni di cui dispongono sulle minacce e vulnerabilità e devono creare procedure per una rapida ed efficace cooperazione volta a prevenire e a rilevare gli incidenti di sicurezza e a rispondervi. Ciò potrebbe comportare scambi d’informazioni e una cooperazione transfrontaliera, ove autorizzato.

ETICA

I sistemi e le reti d’informazione sono presenti ovunque nelle nostre società e le parti interessate devono essere consapevoli del fatto che la loro azione o inazione può causare danni ad altri. Un comportamento etico è quindi indispensabile e le parti interessate devono adoperarsi per elaborare e adottare pratiche esemplari e incoraggiare comportamenti che tengano conto degli imperativi di sicurezza e che rispettino gli interessi legittimi delle altre parti interessate.

DEMOCRAZIA: la sicurezza deve essere compatibile con i valori fondamentali della società democratica.

La sicurezza deve essere assicurata nel rispetto dei valori riconosciuti dalle società democratiche e, in particolare, delle libertà di scambiare pensieri e idee, della circolazione dell'informazione, della riservatezza dell'informazione e delle comunicazioni, della riservatezza delle informazioni a carattere personale, dell'apertura e della trasparenza.

VALUTAZIONE DEI RISCHI

La valutazione dei rischi consente d’individuare le minacce e le vulnerabilità e deve essere sufficientemente estesa per coprire l'insieme dei principali fattori interni ed esterni quali la tecnologia, i fattori fisici e umani, le politiche e i servizi forniti da terzi che hanno implicazioni sulla sicurezza. La valutazione dei rischi consentirà di determinare il livello accettabile di rischio e faciliterà l'istituzione di misure di controllo adeguate per gestire il rischio di pregiudizio per i sistemi e le reti d’informazione secondo la natura e il valore dell'informazione da proteggere. La valutazione dei rischi deve tenere conto dei pregiudizi sugli interessi altrui o causati ad altri, resi possibili dalla sempre più estesa interconnessione dei sistemi informativi (internet).

CONCEZIONE E APPLICAZIONE DELLA SICUREZZA: la sicurezza dei sistemi e delle reti è parte integrante ed essenziale dei sistemi e delle reti stesse.

I sistemi, le reti e le politiche devono essere adeguatamente concepiti, applicati e coordinati per massimizzare la sicurezza. Uno degli assi più importanti, ma non esclusivo, di tale sforzo si concentra sulla concezione e sull'adozione di misure di protezione e di soluzioni adeguate per prevenire o limitare i possibili pregiudizi legati alle vulnerabilità e alle minacce identificate. Le misure di protezione e le soluzioni devono essere, allo stesso tempo, tecniche e non tecniche e commisurate al valore dell'informazione nei sistemi e reti d’informazione dell'organizzazione. La sicurezza deve essere un elemento fondamentale dell'insieme dei prodotti, servizi, sistemi e reti, e deve essere parte integrante della concezione e dell'architettura dei sistemi. Per l'utente finale, la concezione e l'attuazione della sicurezza servono essenzialmente a selezionare e configurare prodotti e servizi per i propri sistemi.

GESTIONE DELLA SICUREZZA

La gestione della sicurezza deve essere basata sulla valutazione dei rischi ed essere dinamica e globale, per coprire tutti i livelli di attività delle parti interessate e tutti gli aspetti dei loro interventi. Essa deve altresì anticipare e includere le risposte alle minacce emergenti, la prevenzione, la rilevazione e la soluzione degli incidenti, la riattivazione dei sistemi, la manutenzione permanente, il controllo e l'audit. Le politiche di sicurezza dei sistemi e delle reti d’informazione, le pratiche, le azioni e le procedure in materia di sicurezza devono essere coordinate ed integrate per creare un coerente sistema di sicurezza.

RIVALUTAZIONE: devono essere periodicamente verificate ed adeguate le politiche di sicurezza dei sistemi e delle reti che si sono adottate.

Nuove o mutevoli vulnerabilità e minacce sono costantemente scoperte. Tutte le parti interessate devono permanentemente riesaminare, rivalutare e modificare tutti gli aspetti della sicurezza per affrontare tali rischi evolutivi.

Con il diffondersi sempre maggiore dei sistemi informatici per lo svolgimento delle operazioni più varie, si ha sempre più la necessità di avere la certezza della reperibilità dei dati inseriti nei sistemi perché si sta procedendo all’eliminazione delle copie cartacee. Per questo motivo la sicurezza informatica nel suo ramo che riguarda la prevenzione di eventi accidentali è già ampia e diffusa. Sono elementi fondamentali dei sistemi di sicurezza informatica per garantire il reperimento dei dati: l’effettuarsi periodicamente e frequentemente di backup di dati, la presenza di generatori di corrente che possano entrare in funzione in caso di blackout per prevenire la perdita di dati in conseguenza all’interruzione di alimentazione al sistema, particolarmente utile per i sistemi con i dati più sensibili.

Anche il ramo della sicurezza informatica che riguarda la prevenzione dalle violazioni, negli ultimi anni si sta diffondendo sempre di più e sta conoscendo una fase di rapida diffusione, poiché ad un aumento dei sistemi informatici è corrisposto un aumento pari, se non maggiore, dei tentativi di violazione e delle violazioni. Un articolo di Agosto 2015 pubblicato sul quotidiano ilSole24Ore riportava quanto si stiano diffondendo, ampliando, quotando e creando sempre più profitti le aziende che si occupano della gestione dei sistemi di sicurezza informatica per le imprese; questo dato, può essere considerato indice dell’importanza sempre maggiore che si va ad attribuire alla sicurezza nel mondo dell’informatica e non