Sicurezza delle Informazioni, Cyber Security e Data Security Cenni fondamentali sui concetti generali di Sicurezza delle Informazioni (InfoSec), Sicurezza Informatica, Cybersecurity e Data Security nei progetti e sistemi IT

Similarities and Differences Between Power BI and MSBI

In questo articolo ci occuperemo di una serie di aspetti generali legati al concetto di Sicurezza delle Informazioni, anche con riferimento alla disciplina della protezione dei dati personali. Chi segue questo blog sa che non si tratta di un argomento nuovo, essendo stato trattato in precedenza da una serie di articoli che si occupano di approfondire aspetti specifici (trovate qui quelli disponibili in italiano e qui quelli redatti in lingua inglese): in particolare consigliamo di dare un’occhiata a questo articolo sulle misure minime di sicurezza per la Pubblica Amministrazione, valide anche per una qualsiasi azienda privata.

In questo ulteriore contributo proveremo a impostare il discorso partendo da un approccio più generale, che può trovare un ambito di applicazione – nei principi fondanti e nelle conseguenti good practice di realizzazione – nella quasi totalità dei sistemi informativi in via di definizione. La speranza, come sempre, è che l’articolo possa essere utile a quanti sono in procinto di realizzare un disegno di progetto e che siano interessati ad approfondire le loro conoscenze relativamente a un ambito che, giorno dopo giorno, diventa sempre più importante.

Definizione

Come sempre, prima di cominciare a parlare di un argomento, riteniamo utile partire dalla sua definizione: con il termine Information Security, traducibile in italiano come Sicurezza delle Informazioni e sovente abbreviata in InfoSec, si intende quell’insieme di studi, ricerche e conoscenze di ordine teorico e pratico che si occupano della protezione delle informazioni, in qualsiasi forma queste siano conservate e trasmesse.

La triade RID

A sua volta, il significato di protezione può essere definito (ISO/IEC 27000) come la preservazione della riservatezza, integrità e disponibilità delle informazioni.

  • Riservatezza (Confidentiality): proprietà di un’informazione di essere accessibile unicamente a individui, entità o processi autorizzati.
  • Integrità (Integrity): proprietà di un’informazione di mantenersi completa e accurata, senza possibilità di alterazione da parte di eventi esterni.
  • Disponibilità (Availability): proprietà di un’informazione di essere accessibile e utilizzabile (entro i tempi previsti) su richiesta di un individuo, entità o processo autorizzato.

Nel contesto della sicurezza delle informazioni è frequente riferirsi a queste tre proprietà come parametri RID o triade RID.

InfoSec e Sicurezza Informatica

Negli ultimi anni, complice la diffusione esponenziale degli strumenti tecnologici digitali, il campo di azione della Sicurezza delle Informazioni è sempre più direttamente riconducibile all’ambito IT: questo ha portato a un’estensione progressiva del campo d’azione della Sicurezza delle Informazioni, che oggi si estende non soltanto alle mere informazioni intese come “dati organizzati e significativi”, ma anche alle tecnologie e ai processi asserviti a tale scopo: in altre parole, alla Sicurezza Informatica.

Questo progressivo avvicinamento ha determinato una certa confusione, acuita in Italia dal fatto che il termine Information Security viene spesso impropriamente tradotto come Sicurezza Informatica, scambiando così il fine (le informazioni) con il mezzo, anzi con uno dei mezzi di trattamento (l’informatica); una vera e propria metonimia, che trova spesso una parziale giustificazione dovuta al fatto che i due contesti presentano numerosi punti di contatto quando le suddette informazioni sono ovvero transitano sui sistemi informatici.

Al tempo stesso, però, è importante sottolineare come i due termini non siano intercambiabili, in quanto riguardano ambiti di azione diversi che possono tranquillamente non coincidere. Proviamo a comprendere la differenza con un paio di esempi:

  • in tutti i casi in cui le informazioni non si trovano e/o non transitano su un sistema informatico, la loro protezione chiama in causa l’Information Security ma non ha nulla a che spartire con la Sicurezza Informatica;
  • nei casi in cui un gruppo di hacker effettui un attacco a un sistema informatico che non contiene informazioni e/o non impatta i parametri RID di alcuna informazione (si pensi ad esempio a un termoregolatore), l’attacco costituisce un problema di Sicurezza Informatica ma non impatta minimamente la Information Security.

Le parole chiave della Sicurezza Informatica sono Resilienza, Robustezza e Reattività (RRR o R3), corrispondenti alle caratteristiche che una tecnologia deve possedere per fronteggiare attacchi volti a comprometterne il funzionamento.

InfoSec, Cybersecurity e Data Security

Restando ancora nell’ambito delle definizioni, proviamo a spiegare le relazioni che esistono tra Information Security (o InfoSec) e gli altri ambiti di sicurezza menzionati nel titolo di questo articolo: che rapporto c’è tra InfoSec, Cybersecurity e Data Security? Si tratta di modi diversi di dire (o di tradurre) lo stesso concetto o esistono differenze reali come nel caso della sicurezza informatica?

Si tratta di domande perfettamente legittime, in quanto le definizioni utilizzate in numerosi testi, approfondimenti e pubblicazioni di settore tendono a sovrapporsi o a confondersi tra loro, complice anche l’esigenza di doversi orientare all’interno di una serie di traduzioni altamente situazionali e realizzate in tempi diversi (nel nostro caso, dall’inglese alla lingua italiana) che non sempre è opportuno intendere nel loro significato letterale.

A ben vedere, anche se le definizioni sopra riportate sono certamente collegate tra loro, utilizzarle come sinonimi è impreciso. Volendo provare a effettuare le opportune differenziazioni, potremmo dire che:

  • L’Information Security (o InfoSec), come abbiamo già detto, si occupa di protezione dei dati contenuti all’interno dei sistemi informativi in qualsiasi forma essi siano conservati e trasmessi: di conseguenza, non si occupa solo di contromisure tecnologiche ma anche di aspetti prettamente organizzativi, giuridici e umani.
  • La Cybersecurity, talvolta tradotta in italiano con il termine “cybersicurezza”, non è altro che un sinonimo di Sicurezza Informatica, di cui abbiamo già parlato nel paragrafo precedente: una sorta di “sottoinsieme” dell’Information Security che riguarda le informazioni custodite o rese accessibili da sistemi informatici, ma che può avere anche una sua dimensione autonoma e indipendente. Il termine “cybersecurity” deriva da Cyberspace, parola inventata nel 1986 dallo scrittore William Gibson nell’ambito della letteratura Cyberpunk. Il prefisso Cyber, per ammissione dello stesso Gibson, è stato scelto senza preoccuparsi troppo del suo significato reale (“timone”, da cui ha origine anche il termine cybernetics che però non ha alcuna correlazione con la cybersecurity): la traduzione “sicurezza cibernetica”, che talvolta viene “azzardata” dai non addetti ai lavori, è dunque del tutto errata e porta grandemente fuori strada.
  • La Data Security, normalmente tradotta in italiano come Sicurezza dei Dati, è anch’essa un sottoinsieme dell’Information Security e si riferisce a tutte le misure di protezione volte a impedire il trattamento non autorizzato dei dati, con particolare enfasi rispetto ai dati conservati digitalmente (computer, database, siti web, dispositivi di memorizzazione come Hard-Disk e PenDrive, etc.). La Data Security comprende anche le tecniche volte a impedire la distruzione e/o la perdita dei dati (backup, disaster recovery) e le tecnologie di data encryption in transit, at-rest e end-to-end.  Non di rado il termine Data Security viene utilizzato come sinonimo di Data Protection (in italiano Protezione dei Dati), anche se in realtà questo secondo termine ha un significato più generale, riferendosi anche agli aspetti giuridici e normativi posti a tutela dei dati e del loro corretto utilizzo. E’ dunque corretto pensare alla Data Security come a una serie di metodologie volte ad applicare alcuni aspetti chiave della Data Protection – nello specifico, quelli relativi al trattamento dei dati – a un determinato contesto.

Al di là di queste evidenti specificità, il motivo della confusione terminologica tra le varie definizioni è piuttosto facile da spiegare: in virtù della progressiva digitalizzazione di ogni tipo di informazione resa possibile dall’evoluzione tecnologica in atto, tale definizione punta ad estendersi al mondo dell’automazione, dell’intelligenza artificiale, e dell’Internet delle Cose (IoT): in questo modo, tanto la specificità tecnologica della Cybersecurity quanto la declinazione prettamente “digital” della Data Security tendono inevitabilmente a ridursi, o per meglio dire a coniugarsi in modo sempre più interdipendente con un insieme di altri processi e sistemi sociali e culturali, rientrando a pieno titolo nell’ambito globale dell’Information Security (InfoSec).

Questo processo, lungi dall’essere una semplificazione, costringe i project manager, gli analisti funzionali e tutte le figure maggiormente coinvolte nelle moderne procedure di analisi dei rischi ad adottare un punto di vista analogo, senza limitarsi all’ambito prettamente IT e affrontando l’insieme di problematiche determinabili lungo tutto il processo di trattamento e conservazione dei dati: dagli accessi fisici a quelli logici, dalle attività in-transit a quelle effettuate at-rest, dalle informazioni memorizzate sui client a quelle accessibili dai server, e così via.

Sicurezza Informatica e Risk Management

Abbiamo sottolineato l’assoluta importanza di seguire il flusso dei dati, senza limitarsi a immaginarli in una posizione statica nel tempo o nello spazio: le informazioni sono infatti in continuo movimento, e per proteggerle in modo adeguato è necessario tenere traccia di questo percorso tramite un sistema di tracciamento (mapping) dettagliato e puntuale.

Per gestire nel modo corretto questi aspetti di analisi sono indispensabili sia strumenti nati in un contesto di Data Protection, come il Registro dei Trattamenti (previsto nell’art. 30 del Regolamento Generale sulla Protezione dei Dati, più noto come RGPD, GDPR o EU 2016/679), che strumenti mutuati dal Risk Management, come il Registro dei Rischi (descritti dalle linee guida UNI ISO 31000:2010, quindi introdotti nell’ultima formulazione della ISO 9001:2015 e ulteriormente ribaditi nella UNI ISO 31000:2018) e, più in generale, il concetto di risk based thinking, anch’esso derivante dalle summenzionate ISO.

In ottica di Information Security, il processo di gestione dei rischi ha lo scopo di identificare, calcolare e gestire i rischi che possono compromettere la Riservatezza, Integrità e Disponibilità delle informazioni, a seconda delle caratteristiche del formato (cartaceo/digitale), della sede di archiviazione, della modalità di accesso e trasmissione, etc.: tali rischi, una volta identificati, dovranno quindi essere opportunamente misurati utilizzando una scala di valutazione che tenga conto della probabilità (che hanno di verificarsi) e dell’impatto (ovvero del livello di compromissione dei dati a loro ascrivibile).

A questi rischi occorrerà opporre delle contromisure, qualora si tratti di rischi potenziali e non ancora effettivi, ovvero delle remediation, qualora siano determinati da sistemi, strumenti o processi già introdotti e attivi all’interno dell’organizzazione: l’obiettivo, ovviamente, è quello di assicurarsi che le informazioni siano trattate e protette con strategie e strumenti idonei.

Conclusioni

Per il momento è tutto: nel prossimo articolo ci occuperemo di illustrare le misure di minime di sicurezza ICT per le Pubbliche Amministrazioni delineate dall’Agenzia per l’Italia Digitale (AgID), che costituiscono un’ottima base di partenza anche per la maggior parte delle aziende private.

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.