Che cosa e` la sicurezza?

"La sicurezza è lo stato in cui ci si trova quando non si hanno punti deboli." L'affermazione è meno banale di quanto sembri e nell'opinione di TigerTeam, è l'unico modo di vedere le cose nella giusta ottica. Certo, è più facile chiedersi cosa sia stato fatto per la sicurezza e rispondersi soddisfatti che è: stato installato un firewall e un antivirus, ma sia la domanda che la risposta danno, purtroppo, una visione erronea dell'insieme.

La domanda da porsi, anche dopo avere installato un firewall, un antivirus, e altri programmi legati alla sicurezza, è: "Cosa potrebbe essere ancora insicuro?". Sono le risposte a questa domanda che permettono di migliorare continuamente nel tempo la sicurezza del proprio sistema.

Che cosa potrebbe essere ancora insicuro?

Quando si pensa alla sicurezza informatica, si tende a pensare sempre e soltanto a due "pericoli", che pur essendo senz'altro significativi, non sono gli unici: i virus e gli attacchi che un hacker (più propriamente cracker) potrebbe portare dall'esterno della vostra struttura.

Purtroppo basta riflettere un po' più approfonditamente sull'argomento per rendersi conto che le minacce, sotto forma di errori involontari o di azioni dolose, vengono non solo dall'esterno, ma anche dall'interno delle organizzazioni, e coinvolgono non soltanto le strutture informatiche in senso stretto, ma anche le strutture fisiche (porte, finestre, armadi, serrature ...) e senza dimenticare il più debole di tutti gli anelli di questa catena: le persone.

E` sufficiente una piccola dimenticanza, una svista nella configurazione di un sistema, un banale errore di sintassi per rendere inefficace un sistema di sicurezza costato decine di milioni; basta che un utente usi come password un nome banale e il proprio accesso può essere compromesso a prescindere da ogni altra contromisura.

Piu` servizi = meno sicurezza

"L'unico computer sicuro è quello spento". Questo assunto, anche se è vero in modo banale, è purtroppo vero. Ogni funzione, ogni servizio, sia che si tratti di servizi pubblici (web server, ftp server, mail server) sia che si tratti di servizi riservati ai dipendenti dell'azienda (file server, print server, mail interna, groupware) comporta inevitabilmente un aumento del rischio di intrusioni, di abusi e di danneggiamento del sistema.

Per minimizzare i rischi, occorre non solo scegliere i prodotti migliori, piu` sicuri e piu` stabili, ma anche seguire l'evoluzione dei "nemici" da cui ci si vuole proteggere. A tal scopo è necessario applicare gli aggiornamenti che i produttori di software provvedono ai loro utenti, essere tempestivamente informati di essi e affidarsi solo a fornitori affidabili e seri.

Oltre ai produttori di software, vi sono anche organizzazioni super partes che hanno come scopo quello di diffondere il più capillarmente possibile tutte le novità in ambito di sicurezza.

La sicurezza, una volta raggiunta, va mantenuta.

Il progresso non porta solo vantaggi ma anche nuove sfide. Ogni nuovo sistema, ogni nuova funzionalità, ogni nuovo programma porta inevitabilmente con sè nuovi punti deboli. Ogni modifica all'organizzazione aziendale, ai processi produttivi, ai flussi delle informazioni all'interno dell'azienda, sia che coinvolga solo le macchine sia che coinvolga anche le persone, potrebbe creare nuove falle nella sicurezza. Inoltre, anche in assenza di cambiamenti all'interno della propria struttura, i cambiamenti avvengono all'esterno, sotto forma di nuovi virus e nuove tecniche di intrusione.

Una massima corretta è "La sicurezza e` un processo, non uno stato"; per questo motivo è necessario, quando si opera una innovazione o un cambiamento, soffermarsi a pensare a quali ripercussioni questo cambiamento avrà sullo stato della sicurezza, ed agire di conseguenza. Per maggiore tranquillità, è opportuno anche prevedere una attività periodica di auditing, ovvero di verifica dello stato della sicurezza, da effetturasi alla luce di tutte le più recenti conoscenze in ambito di sicurezza e di sistemi di intrusione.

Come posso proteggermi, allora?

Tenendo bene in mente che la sicurezza assoluta "assoluta" è impossibile da ottenere, occorre prima di tutto effettuare una valutazione del rischio, ovvero quantificare il valore monetario di ciò che si vuole proteggere, quantificare il costo di un eventuale incidente (fuga di informazioni, distruzione dei dati, ecc), e considerare qual'è la probabilità che la propria azienda sia bersaglio di tentativi di attacco.

Sulla base della valutazione del rischio, si può assegnare un budget iniziale ed uno annuo da dedicare alla protezione del sistema informatico. Professionisti esperti sapranno valutare al meglio che cosa proteggere e come proteggerlo, e sapranno operare le scelte tecniche migliori per mantenere sicura la rete giorno dopo giorno, tenendosi sempre al passo con i tempi.