Con sicurezza informatica si intende l’insieme dei prodotti, dei servizi, delle regole organizzative
e dei comportamenti individuali che proteggono i sistemi informatici di un’azienda.
Ha il compito di proteggere le risorse da accessi indesiderati, garantire la riservatezza delle
informazioni, assicurare il funzionamento e la disponibilità dei servizi a fronte di eventi imprevedibili.
Viene spesso indicata con l’acronimo CIA o CID (dalle iniziali di Confidentiality, Integrity, Availability o Disponibilità),
dove i primi due termini si riferiscono ai dati mentre il terzo al sistema:
- data confidentiality: mantenere la segretezza dei dati;
- data integrity: evitare che i dati vengano alterati;
- system availability: garantire che il sistema continuerà a operare.
Le norme ISO danno la seguente definizione di sicurezza:
La sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite
In particolare, secondo la norma
ISO 17799: “un sistema informatico é considerato sicuro quando è in grado di garantire determinati requisiti di sicurezza in termini di disponibilità, integrità, riservatezza e autenticità”.
Questi obiettivi sono tra loro strettamente connessi e generano il seguente insieme di aspetti che sono alla base dell’analisi
dei rischi della sicurezza di un sistema informativo.
- Autenticazione (authentication): con autenticazione si intende il processo di riconoscimento delle credenziali
dell’utente in modo da assicurarsi dell’identità di chi invia messaggi o esegue operazioni, evitando che un malintenzionato si spacci per qualcun altro.
L’identità di un utente può essere verificata per mezzo di conoscenza di informazioni riservate che gli permettono l’accesso al sistema informativo (password), tramite oggetti elettronici (smart card) oppure con strumenti di riconoscimento biologici, quali l’impronta digitale, il fondo retina ecc.
- Autorizzazione (authorisation): l’utente autenticato, che quindi può accedere al sistema, deve avere associato l’insieme delle autorizzazioni, cioè l’elenco che specifi ca quali sono le azioni permesse e quali negate, a quali risorse può accedere e quali dati consultare e/o modifi care.
- Riservatezza (privacy): con riservatezza si intende l’aspetto pù classico, cioè che le informazioni siano leggibili e comprensibili solo a chi ne ha i diritti (solo le persone autorizzate): è necessario che gli altri utenti non le possano intercettare o, comunque, non siano in grado di comprenderle.
- Disponibilità (availability): un documento deve essere disponibile in qualunque momento a chi ne è autorizzato; è necessario, quindi, garantire la continuità del servizio per ciascun utente che deve poter accedere e utilizzare le risorse e i dati in ogni momento.
- Integrità (integrity): con integrità dei documenti si intende l’avere la garanzia e la certezza che un documento sia originale e che il suo contenuto non sia stato letto e/o alterato e modificato da altre persone non autorizzate: solo chi è autorizzato deve poter portare modifiche ai documenti.
È comunque necessario prevenire anche azioni involontarie o maldestre che potrebbero portare al danneggiamento di dati e/o di documenti o di strumenti in grado di verificare se questi eventi sono accaduti.
- Paternità: ogni documento deve essere associato a un utente e questo utente non deve poter ripudiare
o negare messaggi da lui spediti o firmati.
Inoltre spesso è anche richiesto di avere la tracciabilità dei documenti, in modo da sapere chi e quando ha letto o consultato o, semplicemente, ha effettuato un accesso in un archivio.