|
.:Speciale Sicurezza Informatica:.
 Ultimo
aggiornamento: 24 Ottobre 2007
Area
Download Sezione "Sicurezza"
 La Sicurezza informatica è quella
branca dell'informatica che si occupa della salvaguardia dei
sistemi informatici da potenziali rischi e/o violazioni dei
dati.
I principali aspetti di protezione del dato sono la confidenzialità, l'integrità e la disponibilità.
La protezione dagli attacchi informatici viene ottenuta agendo
su più livelli: innanzitutto a livello fisico e materiale,
ponendo i server in luoghi il più possibile sicuri, dotati di
sorveglianza e/o di controllo degli accessi; anche se questo
accorgimento fa parte della sicurezza normale e non della
"sicurezza informatica" è sempre il caso di far notare come
spesso il fatto di adottare le tecniche più sofisticate generi
un falso senso di sicurezza che può portare a trascurare quelle
semplici.
Il secondo livello è normalmente quello logico che
prevede l'autenticazione e l'autorizzazione di un entità che
rappresenta l'utente nel sistema. Successivamente al processo di
autenticazione, le operazioni effettuate dall'utente sono
tracciate in file di log. Questo processo di monitoraggio delle
attività è detto audit o accountability
Tipi di sicurezza e di attacchi
Proprio sulla base di queste osservazioni, quando si parla di
"sicurezza informatica" spesso si distinguono i concetti di
sicurezza passiva e di sicurezza attiva.
Sicurezza passiva
Per sicurezza passiva normalmente si intendono le tecniche e gli
strumenti di tipo difensivo, ossia quel complesso di soluzioni
il cui obiettivo è quello di impedire che utenti non autorizzati
possano accedere a risorse, sistemi, impianti, informazioni e
dati di natura riservata. Il concetto di sicurezza passiva
pertanto è molto generale: ad esempio, per l'accesso a locali
protetti, l'utilizzo di porte di accesso blindate,
congiuntamente all'impiego di sistemi di identificazione
personale, sono da considerarsi componenti di sicurezza passiva.
Sicurezza attiva
Per sicurezza attiva si intendono, invece, le tecniche e gli
strumenti mediante i quali le informazioni ed i dati di natura
riservata sono resi intrinsecamente sicuri, proteggendo gli
stessi sia dalla possibilità che un utente non autorizzato possa
accedervi (confidenzialità), sia dalla possibilità che un utente
non autorizzato possa modificarli (integrità).
E' evidente che la sicurezza passiva e quella attiva sono tra
loro complementari ed entrambe indispensabili per raggiungere il
desiderato livello di sicurezza di un sistema.
Le possibili tecniche di attacco sono molteplici, perciò è
necessario usare contemporaneamente diverse tecniche difensive
per proteggere un sistema informatico, realizzando più barriere
fra l'attaccante e l'obiettivo.
Spesso l'obiettivo dell'attaccante non è rappresentato dai
sistemi informatici in sé, quanto piuttosto dai dati in essi
contenuti, quindi la sicurezza informatica deve preoccuparsi di
impedire l'accesso ad utenti non autorizzati, ma anche a
soggetti con autorizzazione limitata a certe operazioni, per
evitare che i dati appartenenti al sistema informatico vengano
copiati, modificati o cancellati.
Le violazioni possono essere molteplici: vi possono essere
tentativi non autorizzati di accesso a zone riservate, furto di
identità digitale o di file riservati, utilizzo di risorse che
l'utente non dovrebbe potere utilizzare ecc. La sicurezza
informatica si occupa anche di prevenire eventuali Denial of
service (DoS). I DoS sono attacchi sferrati al sistema
con l'obiettivo di rendere non utilizzabili alcune risorse in
modo da danneggiare gli utilizzatori del sistema. Per prevenire
le violazioni si utilizzano strumenti hardware e software.
Sicurezza nelle aziende
Dal momento che l’informazione è un bene che aggiunge valore
all’ impresa, e che ormai la maggior parte delle informazioni
sono custodite su supporti informatici, ogni organizzazione deve
essere in grado di garantire la sicurezza dei propri dati, in un
contesto dove i rischi informatici causati dalle violazioni dei
sistemi di sicurezza sono in continuo aumento. Per questo
esistono, a carico delle imprese, precisi obblighi in materia di
privacy ed è stato approvato in ambito comunitario il nuovo
Standard ISO 27001:2005 che ha proprio l'obiettivo di proteggere
i dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l'integrità, la riservatezza e la disponibilità, e
fornire i requisiti per adottare un adeguato sistema di gestione
della sicurezza delle informazioni (ISMS) finalizzato ad una
corretta gestione dei dati sensibili dell’azienda.
Fonte:
http://it.wikipedia.org/
|
|
