|
MODELLO DI SICUREZZA INFORMATICA
Il modello teorico dell'ingegneria della sicurezza prevede tre passi distinti:
» Analisi delle minacce (Threat Model) - questa è la fase in cui si cerca di capire le reali minacce e se ne valutano i rischi.
» Politiche di sicurezza (Security Policy) - è una fase strategica, pertanto approvata dalla direzione, nella quale sono enunciati i principi generali.
» Tecnologie di Sicurezza (Security Technologies) - è la fase nella quale si progettano (e realizzano) le adeguate contromisure.
Per quanto riguarda - più in generale - i passi da sviluppare nel contrastare una minaccia, si può tenere in mente che le vulnerabilità possono essere:
» eliminate - oppure rimosse o neutralizzate
» minimizzate - ridotte cioè ad un livello residuale accettabile
» monitorate - (qui ci si riferisce alle sole vulnerabilità già minimizzate) cioè messe in uno stato di controllo continuo
LEGGE DELLA PRIVACY E SICUREZZA
Premetto due utili riferimenti di legge:
» Legge sulla protezione dei dati, in vigore dal 1 gennaio 2004.
» Allegato B, disciplinare tecnico in materia di misure minime di sicurezza (contiene la nozione di DPS documento programmatico della sicurezza).
Ma - naturalmente - sicurezza non vuol dire solo adeguamento alle leggi. Occorre piuttosto creare una reale cultura della privacy e dotarsi degli strumenti informatici che consentano la messa in sicurezza dei dati.
Come minimo occorre provvedere a:
» copie di sicurezza, custodite in sistemi non accessibili dall'esterno e possibilmente in postazioni remote;
» aggiornamento degli antivirus;
» sistemi di controllo degli accessi dall'esterno (analisi della rete, installazione di firewall, penetration test e simili), perché le password non sono mai sufficienti contro gli accessi esterni;
» piani di disaster recovery (e di business continuity).
|
