aiutocomputerhelp
newsSicurezza Informatica

Sicurezza Sistemi Informatici: La sicurezza informatica ?

Giovanni Popolizio , , , , , ,

Sicurezza Informatica ? 

“sicurezza sistemi informatici : I cretini sono sempre piu’ ingegnosi delle precauzioni che si prendono per impedir loro di nuocere”

( “La legge di Murphy”)

sicurezza informatica
sicurezza informatica

 Non esistono sistemi sicuri.

(sfortunatamente per voi “la vera storia di Peppe O’Byte” è alla fine ….. )

Ripeto : Non esistono sistemi sicuri. Il mito del sistema inviolabile deve essere assimilato a quello del caveau non svaligiabile o della nave inaffondabile.

Il grado di sicurezza e’ dato dal tempo necessario per violare il sistema, dall’investimento necessario e dalla probabilita’ di successo.

Un sistema più è complesso più è insicuro.

Empiricamente si nota come la crescita di complessità porti necessariamente alla creazione di sistemi insicuri. Inoltre risulta evidente come la funzione sia piu’ che proporzionale.

Un buon punto di partenza per la creazione di sistemi sicuri e’ l’applicazione metodica della KISSrule :Keep It Simple and Stupid !

Questo non significa che i sistemi da proteggere non possano essere molto complessi o articolati ma che il sistema di protezione deve essere quanto piu’ semplice possibile, se possibile estremamente semplice (“quello che non c’e’ non si rompe”)

Quattro Chiacchere su sicurezza sistemi informatici

Una definizione, ormai consolidata, per la definizione del sistema aziendale di sicurezza informatica è quella che va  ad intendere tutte quelle misure tecniche ed organizzative rivolte a garantire la protezione dell’integrita’, della disponibilita’ e della confidenzialita’ dell’informazione e delle risorse atte a elaborarle, memorizzarle e acquisirle.

Gli obiettivi base delle sicurezza informatica sono di conseguenza:

Riservatezza garanzia che un determinato dato sia preservato da accessi impropri e sia utilizzato esclusivamente dai soggetti autorizzati. Le informazioni riservate devono essere protette sia nella fase di trasmissione sia nella fase di memorizzazione/conservazione, in modo tale che l’informazione sia accessibile esclusivamente a coloro i quali sono autorizzati a conoscerla.

Integrità garanzia che ogni dato aziendale sia realmente quello originariamente immesso nel sistema informatico e sia stato modificato esclusivamente in modo legittimo. Si deve garantire che le informazioni vengano trattate in modo tale che non possano essere manomesse o modificate da soggetti non autorizzati.

Disponibilità garanzia di reperibilità di dati aziendali in funzione delle esigenze di continuità dei processi e nel rispetto delle norme che ne impongono la conservazione.

(OCSE, Guidelines for the Security of Information Systems; BCE, Information Technology Committee,ESCB Information Systems Security Policy.)

Principi base delineati dalla BCE e sicurezza informatica.

  • Le misure di sicurezza devono essere conformi ai requisiti di business aziendali
  • Le misure di sicurezza devono essere conformi ai requisiti di business aziendali, nonché alle normative vigenti.
  • La sicurezza riguarda tutti e la consapevolezza individuale gioca un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati.
  • Le misure di sicurezza devono essere efficaci e comprensibili e bilanciate rispetto ai relativi costi.
  • La sicurezza richiede una combinazione di misure tecniche e organizzative.
  • Le autorizzazioni devono essere basate sul principio del “need-to-know” correlato al business aziendale.
  • La sicurezza deve essere continuamente monitorata.

Analisi

Nelle linee guida della BCE sopracitate sono messi in evidenza i cinque processi fondamentali che caratterizzano la gestione della sicurezza informatica, di seguito sinteticamente descritti:

  1. la gestione del rischio informatico, processo basilare, che consiste nell’identificazione, nel controllo, nell’eliminazione o nella minimizzazione dei rischi riguardanti il conseguimento, secondo criteri di economicità, degli obiettivi aziendali di business. Tale processo include una gestione pianificata e controllata delle risorse al fine di assicurare il contenimento dei rischi entro limiti accettabili
  2. il controllo dell’attività di change management, ovvero il controllo di qualunque modifica apportata ai sistemi e alle infrastrutture; tale controllo deve essere stringente, al fine di ridurre al minimo i problemi e garantire che la sicurezza non venga compromessa
  3. il controllo delle fasi di test e accettazione in produzione dei sistemi; le procedure di controllo devono essere particolarmente accurate al fine di garantire che vengano realizzate, e funzionino correttamente, tutte le funzionalità previste, incluse quelle concernenti le misure di sicurezza. Deve quindi essere formalizzata ed eseguita una procedura formale di accettazione in produzione. È responsabilità dell’utente proprietario assicurare che la procedura applicativa soddisfi tutti i criteri dell’accettazione in ambiente di produzione, ivi inclusa l’accettazione dei rischi residui, e che i livelli di responsabilità del sistema siano ben documentati e consegnati alla struttura di gestione competente
  4. la gestione degli incidenti di sicurezza; devono essere formalizzate procedure di controllo che prevedano la registrazione di ogni incidente e il reporting all’utente proprietario del sistema nell’ambito del quale si è verificato l’evento. L’esperienza ricavata da ogni accadimento dovrebbe essere acquisita nel processo di gestione del rischio come elemento utile ai fini di un eventuale aggiornamento del processo stesso

Inoltre

Definizione di piani riguardanti misure a garanzia della business continuity: tali piani, da sottoporre a costante aggiornamento, devono includere misure di sicurezza addizionali rispetto a  quelle ritenute sufficienti con riferimento ai rischi informatici, in modo da consentire all’azienda di fronteggiare eventuali accadimenti disastrosi; in tale ambito dovrebbe essere assicurata la disponibilità di ambienti di recovery e l’attivazione di procedure di ripristino dell’operatività corrente. Tali misure devono essere sottoposte a test periodici utilizzando scenari simulati.

Gestione del rischio informatico

Ricordando sempre che…

“I cretini sono sempre più ingegnosi delle precauzioni che si prendono per impedir loro di nuocere”

 

La gestione del rischio informatico si svolge attraverso un articolato processo che mira a identificare le vulnerabilità del sistema informatico, le possibili minacce e la relativa probabilità di accadimento nonché a stimare i potenziali danni.

In particolare, possono essere individuate le seguenti fasi:

Identificazione e classificazione delle risorse e individuazione delle relative vulnerabilità – ovvero le carenze di protezione relativamente a una determinata minaccia – con riferimento alle seguenti componenti:

 

–         infrastrutture (incluse quelle tecnologiche quali le reti e gli impianti)

–         hardware

–         software

–         documentazione

–         dati/informazioni

–         risorse umane;

 

Individuazione delle minacce, interne ed esterne, cui possono essere esposte le risorse, raggruppabili nelle seguenti tipologie:

 

–         errori e malfunzionamenti

–         frodi e furti

–         software dannoso

–         danneggiamenti fisici

–         sovraccarico del sistema

–         mancato rispetto della legislazione vigente.

 

Individuazione dei danni che possono derivare dal concretizzarsi delle minacce, tenendo conto della loro probabilità di accadimento.

  • Rispetto la loro natura, si può distinguere tra danni economici e danni di immagine.
  • In relazione al collegamento causale con l’evento dannoso, poi, si distingue tra danni diretti (es. distruzione, perdita o danneggiamento dei dati e/o del software, ferimento delle persone) e danni indiretti,  conseguenti al blocco totale o parziale di un processo aziendale (es. perdita della produzione, risarcimenti a terzi, penali); in taluni casi, gli effetti prodotti dall’evento dannoso possono permanere anche dopo il ripristino dello status quo ante (è il caso, ad esempio, dei danni all’immagine aziendale).

Identificazione delle possibili contromisure

Le contromisure sono le funzioni di sicurezza che  devono essere adottate per contrastare le minacce e gli attacchi portati alle risorse informatiche e possono essere distinte in relazione all’obiettivo perseguito, che può essere di :

prevenzione: impedire che l’attacco venga perpetrato;

– rilevazione: rilevare, a fronte di un attacco, l’evento e/o le sue conseguenze dannose;

– ripristino: minimizzare i danni attraverso il ripristino, quanto più immediato possibile, dei sistemi.

Effettuazione di un’analisi costi/benefici degli investimenti per l’adozione delle contromisure;

Definizione di un piano di azioni preventive e correttive da porre in essere e da rivedere  periodicamente in relazione ai rischi che si intendono contrastare;

Documentazione e accettazione del rischio residuo.

Quando per un nativo digitale le situazioni più pericolose sembrano naturali .

Secondo Treccani
nativo digitale loc. s.le m. Chi è abituato fin da giovane o giovanissimo a utilizzare le tecnologie digitali, essendo nato nell’era della rete e di internet.

Io intendo il nativo digitale (nella P.A.) , chi si ritrova a dover utilizzare in maniera professionale la tecnologia a scopi lavorativi senza formazione adeguata, attingendo alle conoscenze , usi e abitudini consolidate come autodidatti in un contesto hobbistico o casalingo, rinascendo in “Digitale”.
In questo contesto, si ritrova a dover dare dei risultati utilizzando strumenti che non conosce bene e esponendo, alcune volte, l’intera infrastruttura informatica a gravi rischi.

nativo digitale
nativo digitale – sicurezza sistemi informatici –

Come Siamo Messi ?

Ogni anno la Commissione Europea stila un indice dell’economia e della società digitale (DESI –Digital Economy and Society Index) che ha il compito di informare circa lo stato di adozione delle tecnologie digitali presso i Paesi membri dell’Unione Europea.

Male, ma male male male

desi-components
– sicurezza sistemi informatici – desi-components

 

Gli Indici

L’analisi prende in considerazione 5 macroaree
1) Connettività;
2) Capitale umano;
3) Uso di Internet;
4) Integrazione delle tecnologie digitali;
5) Servizi pubblici digitali.

Prendiamo in considerazione la seconda, la più importante : Il Capitale Umano.

Si afferma che :
Della popolazione italiana fra 16 e 74 anni, solo il 66,9% accede a Internet e solo il 43,7% possiede conoscenze informatiche di base(*). Le medie europee sono nettamente più alte;
Solo il 2,50% della forza lavoro è impiegato come specialista ICT;
Abbiamo 13,6 laureati in materie scientifiche ogni 1000 abitanti di età compresa fra 20 e 29 anni.

Della forza lavoro totale italiana che è impiegato come specialista ICT secondo voi quale percentuale lavora nella Pubblica Amministrazione ??

(*) Consiglio di leggere sul sito istituzionale cosa si intende per Conoscenze Informatiche
http://digital-agenda-data.eu/charts/desi-components#chart={“indicator”:”DESI_2A2_BDS”,”breakdown-group”:”total”,”unit-measure”:”pc_ind”,”time-period”:”2017″}

Quindi

Avendo preso coscienza del numero di “specialisti” che lavorano nella P.A. vediamo come è composto il Capitale Umano.
Il Capitale Umano è composto da millennials e da anziani.
Penserete che se il Capitale Umano è formato anche da millennials (Generazione Y o Net Generation , insomma quelli nati dal 1979 fino al 2000 ) siamo in una botte di ferro. Invece No !

Se qualcuno dovesse pensare che i giovani siano avvantaggiati nell’uso delle tecnologie informatiche, commette un grosso errore poiché, i millennials si caratterizzano per il loro uso meccanicistico delle tecnologie digitali quindi, quando si ritrovano fuori dai loro schemi mentali, l’apprendimento dell’uso di nuove piattaforme o di nuovi servizi digitali risulta più lento per loro anziché per un adulto di appartenente ad una fascia d’età superiore. (e non lo penso solo io ! Matteo Riso) .

Quindi non si devono demonizzare i millennials o gli anziani, ma entrambe le categorie si approcciano in modi diametralmente opposti all’informatica e, pertanto, ciascuna delle due categorie meriterebbe d’essere aiutata a conoscere meglio le moderne tecnologie in modi – appunto – diametralmente opposti.

Aiutata ma come ? Con una sana e reale formazione !

Cosa Fare

Formazione , Formazione Formazione , Formazione e ancora Formazione !

Una formazione non arida ma aderente alla realtà, una formazione non scolastica o universitaria,una formazione che si basi sul concetto di causa ed effetto, una formazione che oltre ai canonici dogmi possa dare una coscienza del concetto di sicurezza.
Una formazione che faccia capire che il non rispettare alcune regole basilari potrebbe portare al collasso informatico.
Far capire che essere interconnessi è la cosa più bella del mondo, ma anche la più pericolosa e spiegare in maniera chiara a quali rischi si va incontro.
Lo smanettone, seppur bravo, rimarrà sempre uno smanettone che potrebbe essere pericoloso per la struttura informatica. Non può portare le sue conoscenze (seppur reali) acquisite in campo hobbistico o domestico in una struttura complessa non avendo visione di insieme.

Esempio Pratico

La Vera Storia di Peppe O’Byte!

Il comune xxxx decide di acquisire uno dei migliori firewall oggi in commercio, di far fare un corso di formazione a nr 3 dipendenti ced non ancora specializzati, i quali saranno in grado di gestire la manutenzione ordinaria.
Si fa la gara, vince un’azienda di primaria esperienza e solidità. Procedono all’installazione del firewall, si creano le regole in base alle necessità, si fa certificare il lavoro svolto ad azienda terza. Si fa fare un corso ai 3 dipendenti per 6 mesi. Escono dal corso super preparati. Sono in grado di gestire il firewall nelle situazioni più semplici.
Spesa complessiva dell’operazione 120.000 Euri e 6 mesi di lavoro. Vittoria.. il comune è inattaccabile dall’esterno . Gli hacker cinesi ci fanno un baffo. Il Sindaco e l’Assessore sono felicissimi e i giornali locali ne parlano.

 

Nel frattempo Peppe, detto anche PeppeOByte dai suoi amici e colleghi,

PeppeOByte
Peppe O’Byte 

un nativo digitale a cui era stato negato l’uso di internet libero e pieno, va da in un negozio Tim e acquista una chiavetta usb per navigare su internet a 20 Eu.

PeppeOByte e la sicurezza informatica

PeppeOByte, grande estimatore della musica neomelodica, mette la pennetta si connette e cerca in giro qualche brano. Scarica che ti scarica e scaricando scaricando installa un po di schifezze ….
E mentre gli hacker cinesi si lisciando i baffi, un ragazzino di Cardito (piccolo paesino vicino Napoli) che era in attesa del pirla di turno è entrato nel sistema bypassando 120.000 Euri , un firewall supersicuro e 3 dipendenti attraverso la pennetta usb.
20 Euri e un nativo digitale sono riusciti a buttare a mare 120.000 Euri e una pianificazione di anni.

Il sindaco e l’assessore non sono più contenti dato che sono stati resi pubblici documenti contenenti dati personali ed altro e ormai anche i Cinesi sono dentro !

“I cretini sono sempre più ingegnosi delle precauzioni che si prendono per impedir loro di nuocere”
( “La legge di Murphy”)