Wikipedia definisce la Sicurezza Informatica come: “la branca dell’informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati“.
Partendo dal concetto che non esiste la sicurezza “assoluta”, la sicurezza informatica (di seguito “SI”), ha l’obiettivo principale di garantire, riducendo i rischi, un adeguato grado di protezione del bene (sistema e dati) mediante opportune misure di sicurezza che si concretizzano attraverso vari aspetti:
- tecnici (sicurezza fisica, logica)
- organizzativi (definizione di ruoli, procedure e formazione)
- strategici ed economici (obiettivi e analisi dei costi)
- legali (leggi, normative e raccomandazioni)
Un sistema informatico è considerato sicuro se le informazioni in esso contenute sono adeguatamante protette da misure di sicurezza in grado di garantire i requisiti di:
- Disponibilita’: salvaguardare la disponibilità dell’informazione significa ridurre a livelli accettabili il rischio che possa essere impedito l’accesso alle informazioni a seguito di azioni compiute da entita’ non autorizzate interne o esterne (intrusori informatici) o del verificarsi di fenomeni non controllabili del tipo sotto indicato.
- prevedere adeguate procedure di recupero delle informazioni (piani di back-up, etc.);
- Integrita’: salvaguardare l’integrità dell’informazione significa ridurre a livelli accettabili il rischio che possano verificarsi eventi negativi quali:
- cancellazioni o modifiche di informazioni a seguito di errori e/o interventi di entità non autorizzate
- verificarsi di fenomeni non controllabili quali:
- il guasto dei supporti di memorizzazione,
- la modifica di dati trasmessi su canali non protetti,
- perdita di informazioni a seguito di incendi, allagamenti, etc.
- Riservatezza: salvaguardare la riservatezza dell’informazione significa ridurre a livelli accettabili il rischio che un’entità (persona fisica procedura/programma software) possa, volontariamente o involontariamente, accedere all’informazione stessa senza esserne autorizzata.
- diritti e controllo dell’accesso
La sicurezza non e’ una attività da intraprendere una volta tanto (one-time activity) ma un processo continuo di gestione del rischio.
Non c’è sicurezza senza una “Politica della sicurezza”; attraverso le politiche devono essere predisposte tutte le procedure tecniche ed organizzative in grado di coprire tutti gli aspetti della sicurezza:
- identificazione delle aree critiche,
- gestione dei rischi,
- sicurezza fisica,
- gestione dei sistemi e della rete,
- autenticazione e autorizzazioni,
- controllo degli accessi,
- gestione delle vulnerabilita’,
- gestione degli incidenti,
- valutazione dei costi della sicurezza,
- valutazione dei “danni” della non sicurezza,
- gestione della privatezza e addestramento.