Sicurezza Informatica, Cyber Security e Data Security Cenni fondamentali sui concetti generali di Sicurezza Informatica (InfoSec), Cyber Security e Data Security nei progetti e sistemi IT

Similarities and Differences Between Power BI and MSBI

In questo articolo ci occuperemo di una serie di aspetti generali legati al concetto di Sicurezza Informatica, anche con riferimento alla disciplina della protezione dei dati personali. Chi segue questo blog sa che non si tratta di un argomento nuovo, essendo stato trattato in precedenza da una serie di articoli che si occupano di approfondire aspetti specifici (trovate qui quelli disponibili in italiano e qui quelli redatti in lingua inglese): in particolare consigliamo di dare un’occhiata a questo articolo sulle misure minime di sicurezza per la Pubblica Amministrazione, valide anche per una qualsiasi azienda privata.

In questo ulteriore contributo proveremo a impostare il discorso partendo da un approccio più generale, che può trovare un ambito di applicazione – nei principi fondanti e nelle conseguenti good practice di realizzazione – nella quasi totalità dei sistemi informativi in via di definizione. La speranza, come sempre, è che l’articolo possa essere utile a quanti sono in procinto di realizzare un disegno di progetto e che siano interessati ad approfondire le loro conoscenze relativamente a un ambito che, giorno dopo giorno, diventa sempre più importante.

Definizione

Come sempre, prima di cominciare a parlare di un argomento, riteniamo utile partire dalla sua definizione: con il termine Information Security si intende quell’insieme di studi, ricerche e conoscenze di ordine teorico e pratico che si occupano della protezione delle informazioni, in qualsiasi forma queste siano conservate e trasmesse. Ovviamente, poiché il campo di azione di queste attività è sempre più direttamente riconducibile all’ambito IT, si può affermare che tale protezione si estende non soltanto alle mere informazioni intese come “dati”, ma anche alle tecnologie e ai processi asserviti a tale scopo.

Data Security, Cyber Security, InfoSec

Restando ancora nell’ambito delle definizioni, il titolo di questo articolo può risultare fuorviante: come mai si parla distintamente di Information Security (o InfoSec), Cyber Security e Data Security? Si tratta di modi diversi di dire (o di tradurre) lo stesso concetto, oppure esistono differenze reali?

Si tratta di domande perfettamente legittime, in quanto le definizioni oggi utilizzate in numerosi testi, approfondimenti e pubblicazioni di settore tendono a sovrapporsi o a confondersi tra loro, complice anche l’esigenza di doversi orientare all’interno di una serie di traduzioni altamente situazionali e realizzate in tempi diversi (nel nostro caso, dall’inglese alla lingua italiana) che non sempre è opportuno intendere nel loro significato letterale.

A ben vedere, anche se le definizioni sopra riportate sono certamente collegate tra loro, utilizzarle come sinonimi è impreciso: volendo provare a effettuare le opportune differenziazioni, potremmo dire che:

  • L’Information Security (o InfoSec), traducibile in italiano come Sicurezza Informatica, si occupa di protezione dei sistemi informativi in qualsiasi forma queste siano conservate e trasmesse: di conseguenza, non si occupa solo di contromisure tecnologiche ma anche di aspetti prettamente organizzativi, giuridici e umani. Le sue parole chiave sono Riservatezza, Integrità e Disponibilità (RID).
  • La Cyber Security, che in italiano si tende a tradurre allo stesso modo ma che sarebbe più corretto lasciare nella sua forma originale, è una sottoclasse dell’Information Security: un ambito specifico della sicurezza informatica che dipende solo dalla tecnologia. Le sue parole chiave sono Resilienza, Robustezza e Reattività (RRR o R3), corrispondenti alle caratteristiche che una tecnologia deve possedere per fronteggiare attacchi volti a comprometterne il funzionamento.
  • La Data Security, nota anche come Data Protection e tradotta in italiano come Protezione dei Dati, è anch’esso un sottoinsieme dell’Information Security e si riferisce a tutte le misure di protezione volte a impedire il trattamento non autorizzato dei dati, con particolare enfasi rispetto ai dati conservati digitalmente (computer, database, siti web, dispositivi di memorizzazione come Hard-Disk e PenDrive, etc.); la Data Security comprende anche le tecniche volte a impedire la distruzione e/o la perdita dei dati (backup, disaster recovery) e le tecnologie di data encryption in transit, at-rest e end-to-end.

Al di là di queste evidenti specificità, il motivo della confusione terminologica tra le varie definizioni è piuttosto facile da spiegare: in virtù della progressiva digitalizzazione di ogni tipo di informazione resa possibile dall’evoluzione tecnologica in atto, tale definizione punta ad estendersi al mondo dell’automazione, dell’intelligenza artificiale, e dell’Internet delle Cose (IoT): in questo modo, tanto la specificità tecnologica della Cyber Security quanto la declinazione prettamente “digital” della Data Security tende inevitabilmente a ridursi, o per meglio dire a coniugarsi in modo sempre più interdipendente con un insieme di altri processi e sistemi sociali e culturali, rientrando a pieno titolo nell’ambito globale dell’Information Security (InfoSec).

Questo processo, lungi dall’essere una semplificazione, costringe i project manager, gli analisti funzionali e tutte le figure maggiormente coinvolte nelle moderne procedure di analisi dei rischi ad adottare un punto di vista analogo, senza limitarsi all’ambito prettamente IT e affrontando l’insieme di problematiche determinabili lungo tutto il processo di trattamento e conservazione dei dati: dagli accessi fisici a quelli logici, dalle attività in-transit a quelle effettuate at-rest, dalle informazioni memorizzate sui client a quelle accessibili dai server, e così via.

La triade RID

Veniamo ora a spiegare il significato dell’acronimo RID, che – come abbiamo detto – identifica le tre caratteristiche alla base delle strategie di protezione delle informazioni:

  • Riservatezza. Si tratta di un termine assimilabile, anche se non sovrapponibile, al concetto di privacy, e dipende dalla capacità di proteggere i dati da qualsivoglia accesso non autorizzato.
  • Integrità. Si riferisce alla capacità di impedire la modifica delle informazioni da parte di attori non autorizzati o indesiderati.
  • Disponibilità. Riguarda la garanzia di poter accedere alle informazioni tutte le volte che se ne ha bisogno, esercitabile sia dai proprietari dei dati che da tutti gli attori opportunamente autorizzati al trattamento.

Sicurezza Informatica e Risk Management

Abbiamo sottolineato poc’anzi l’assoluta importanza di seguire il flusso dei dati, senza limitarsi a immaginarli in una posizione statica nel tempo o nello spazio: le informazioni sono infatti in continuo movimento, e per proteggerle in modo adeguato è necessario tenere traccia di questo percorso tramite un sistema di mapping dettagliato e puntuale. Per gestire nel modo corretto questi aspetti di analisi sono indispensabili sia strumenti nati in un contesto di Data Protection, come il Registro dei Trattamenti (previsto nell’art. 30 del Regolamento Generale sulla Protezione dei Dati, più noto come RGPD, GDPR o EU 2016/679), che strumenti mutuati dal Risk Management, come il Registro dei Rischi (descritti dalle linee guida UNI ISO 31000:2010, quindi introdotti nell’ultima formulazione della ISO 9001:2015 e ulteriormente ribaditi nella UNI ISO 31000:2018) e, più in generale, il concetto di risk based thinking, anch’esso derivante dalle summenzionate ISO.

In ottica di Information Security, il processo di gestione dei rischi ha lo scopo di identificare, calcolare e gestire i rischi che possono compromettere la Riservatezza, Integrità e Disponibilità delle informazioni, a seconda delle caratteristiche del formato (cartaceo/digitale), della sede di archiviazione, della modalità di accesso e trasmissione, etc.: tali rischi, una volta identificati e opportunamente misurati utilizzando una scala di valutazione che tenga conto della probabilità (che hanno di verificarsi) e dell’impatto (ovvero del livello di compromissione dei dati a loro ascrivibile).

A questi rischi occorrerà opporre delle contromisure, qualora si tratti di rischi potenziali e non ancora effettivi, ovvero delle remediation, qualora siano determinati da sistemi, strumenti o processi già introdotti e attivi all’interno dell’organizzazione: l’obiettivo, ovviamente, è quello di assicurarsi che le informazioni siano trattate e protette con strategie e strumenti idonei.

Conclusioni

Per il momento è tutto: nel prossimo articolo ci occuperemo di illustrare le misure di minime di sicurezza ICT per le Pubbliche Amministrazioni delineate dall’Agenzia per l’Italia Digitale (AgID), che costituiscono un’ottima base di partenza anche per la maggior parte delle aziende private.

 

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.