Information Security e Dintorni

Information Security e Dintorni
7 dicembre 2016 Giorgio Benvegna

Tratto da: Cesare Gallotti – “Sicurezza delle informazioni – Valutazione del rischio – I sistemi di Gestione – La norma ISO/IEC 27001:2013 “

Da sempre l’uomo ha sentito la necessità di avere le proprie informazioni al sicuro. In particolare, desideriamo che i dati personali (per esempio, il nostro stato di salute e il nostro estratto conto) siano accessibili solo a poche fidate persone e siano accurati e corretti, che non vengano utilizzati impropriamente per telefonarci a casa o diffamarci pubblicamente sui social network e che siano velocemente disponibili, soprattutto su Internet. Quanto detto riguarda la percezione individuale di cosa si intende per “sicurezza delle informazioni”. Anche un’impresa o un qualsiasi ente ha una percezione di cosa si intende per “sicurezza delle informazioni”, tutto ciò che riguarda la segretezza dei progetti innovativi e dei propri clienti, l’accuratezza di tutti i dati economici e di produzione, la disponibilità dei sistemi informatici.

Il termine sicurezza, però, cela in sé una contraddizione. Sicurezza, infatti, fa venire in mente qualcosa di assoluto e incontrovertibile, cioè qualcosa di impossibile nella realtà.

Spesso si dice che Fort Knox, dove si trovano le riserve monetarie degli USA, è uno dei luoghi più sicuri al mondo: sofisticati sensori, barriere perimetrali e allarmi sono tutti ai massimi livelli. Come se tutto ciò non bastasse, è sede di un comando di Marines pronti a intervenire per qualsiasi problema. Fort Knox è riconosciuto come sinonimo di luogo sicuro. Ma come reagirebbe la struttura a un impatto con un meteorite di un chilometro di diametro?

Come si può vedere da questo semplice esempio, non ha senso parlare di sicurezza in senso assoluto, ma solo in senso relativo. Fort Knox non è infatti resistente ad un grosso meteorite. Per questo motivo bisogna diffidare di chiunque offra prodotti o soluzioni sicuri al 100%. Una tale affermazione classifica subito la persona come scarsamente competente o come un imbonitore che vuole vendere qualcosa.

Deve essere individuato il livello adeguato di sicurezza che si vuole ottenere attraverso la valutazione del rischio. Il livello di sicurezza deve essere raggiunto attraverso opportune azioni di trattamento. Nel caso in cui quel livello non possa essere raggiunto, le carenze devono essere analizzate e, se il caso, accettate.

Nel tempo, la valutazione deve essere ripetuta per verificare se il livello di sicurezza desiderato e quello attuato siano ancora validi. Queste attività di valutazione, azione o accettazione e ripetizione costituiscono la gestione del rischio (risk management).

I controlli di sicurezza, ossia le misure utili per garantire la sicurezza delle informazioni sono soprattutto di tipo organizzativo e non tecnologico. Infatti, buoni processi portano a scegliere buoni e adeguati prodotti e a gestirli correttamente. Non è vero l’inverso: un buon prodotto non conduce ad avere buoni processi.

La sicurezza delle informazioni è stata oggetto di attenzione sin dagli albori dell’umanità, basta pensare ai misteri collegati a diverse religioni. Per quanto riguarda il passato, Cesare parla di sistemi per evitare l’intercettazione dei messaggi in guerra (al capitolo 48 del libro V del De bello gallico); l’utilizzo della partita doppia per garantire l’integrità della contabilità, descritta nel 1494 da Luca Pacioli, è sicuramente precedente al Duecento.

Nelle imprese, fino alla diffusione dell’informatica, la sicurezza delle informazioni si riferiva ai documenti cartacei e alle comunicazioni orali; oggi deve comprendere anche la sicurezza informatica.

Questa, fino agli anni Novanta, era gestita dagli addetti informatici, senza alcun collegamento con la tutela del patrimonio, ossia con la corporate security, anche se i rischi di furto di informazioni e di spionaggio erano comunque presi in considerazione.

In quegli anni si verificarono fenomeni importanti relativamente all’informatica e al contesto economico e sociale:

  1. la diffusione degli strumenti informatici, grazie ai personal computer e a interfacce sempre più intuitive: Microsoft Windows è del 1985 e Mosaic, il primo browser grafico per navigare sul web, è del 1993;
  2. l’aumento delle minacce informatiche note al grande pubblico: il primo virus, quello di Morris, è del 1988;
  3. la pubblicazione di normative con riferimento alla sicurezza informatica: nel 1993 fu emendato il Codice Penale per includervi i casi di criminalità informatica (Legge 547) e nel 1996 fu emanata la prima versione della Legge sulla privacy (Legge 675) a cui fu affiancato nel 1999 un disciplinare tecnico (DPR 318);
  4. l’aumento della conflittualità sociale dovuto alle ristrutturazioni di tante imprese;
  5. il ricorso a sempre più numerosi fornitori e l’aumento di relazioni con attori esterni (outsourcer, telelavoratori, lavoratori a tempo, stagisti, consulenti, clienti, fornitori etc.)

Tutto questo ha fatto percepire come rilevanti le minacce relative alla sicurezza delle informazioni in generale e informatica in particolare, come: dipendenza da partner e fornitori, comunicazioni inconsapevoli di informazioni riservate, reati informatici, sabotaggi, perdita di competenze, gestione di tecnologie complesse, spionaggio industriale, “furto” di dipendenti chiave.

Negli anni Novanta cambia anche l’approccio alla sicurezza delle organizzazioni: si specializzano gli ambiti di intervento (informatica, siti fisici, persone) perché richiedono diverse competenze, si stabiliscono delle priorità di intervento sulla base di valutazioni del rischio e, in generale, si percepisce la sicurezza come attività indispensabile per garantire la sostenibilità delle organizzazioni nel tempo. Negli anni, le esigenze di sicurezza non si sono ridotte. Questo a causa degli eventi più recenti (11 settembre, spionaggio industriale), delle evoluzioni normative in materia di sicurezza delle informazioni e della sempre crescente globalizzazione delle imprese.

Per tutti questi motivi sono state introdotte metodologie e pratiche per rendere più strutturate le attività riguardanti la sicurezza delle informazioni. Tra le iniziative più importanti si ricordano quelle relative alla sicurezza dei prodotti e sistemi informatici (TCSEC del 1983, ITSEC del 1991, Common Criteria del 1994 e le Special Publication del NIST1 emesse dai primi anni Novanta), alla sicurezza delle informazioni (BS 7799 del 1995, di cui si approfondirà la storia nel paragrafo 13.4) e alle metodologie di valutazione del rischio relativo alla sicurezza delle informazioni (CRAMM del 1987, Marion del 1990 e Mehari del 1995).