Sicurezza dei dati, proteggere le informazioni e i dati aziendali significa valutare periodicamente nel tempo lo stato di salute del sistema informatico in tutte le sue componenti, per stimare se le misure di sicurezza applicate siano appropriate al livello di sicurezza voluto e atteso per l’intero parco informativo. Le verifiche e gli assessment spot e una tantum possono rivelarsi meno efficaci, se non sono inquadrati in una politica per la sicurezza e in una strategia di medio lungo periodo correlata a un committment appropriato: in una parola il processo di sicurezza dovrebbe essere integrato nel management aziendale. Vediamo cosa significa in dettaglio.

 

Significato della sicurezza dei dati

 

La definizione formale di sicurezza dei dati è fornita dal National Institute of Standards and Technology (NIST) nel glossario ufficiale “Glossary of Key Information Security Terms” (NISTIR 7298) e nel Committee on National Security Systems (CNSS) Glossary (CNSSI-4009) ed è indicata come “la Protezione dei dati da dati da accessi non autorizzati (accidentali o intenzionali), per modifica, distruzione o divulgazione”.  Questo significa la sicurezza dei dati è alterata nelle sue caratteristiche fondamentali di Riservatezza, Integrità e Disponibilità (RID) rispettivamente da: accessi al dato, dalle modifiche non autorizzate e/o da eventi che non lo rendono più disponibile a chi ne aveva diritto.

Definizione di assessment

 

Effettuare un assessment di sicurezza dei dati significa valutare le condizioni della RID rispetto allo stato operativo del sistema informatico dove i dati risiedono, per stimare se i controlli implementati siano appropriati rispetto al rischio di incidente informatico. Formalmente il NIST in diverse pubblicazioni della serie 800 (SP 800-37; SP 800-53; SP 800-53A) definisce il Security Control Assessment come “Il collaudo e/o la valutazione della gestione, operativa e i controlli tecnici di sicurezza in un sistema informativo, per determinare la misura in cui i controlli sono correttamente implementati, operando come previsto e producendo il risultato desiderato rispetto alla riunione i requisiti di sicurezza per il sistema”.

 

Identificare i dati da proteggere

 

Per effettuare un processo di assessment è essenziale identificare quali dati sono da analizzare definendo un perimetro di applicazione: determinare il numero e il tipo di dati di interesse, i sistemi informativi che contengono queste informazioni ed effettuare le valutazioni per i dati “at rest” (quando sono “a riposo” e statici) nella loro fase dinamica (durante gli spostamenti per invio, divulgazione, trasmissione e infine i dati in uso  nel contesto di essere in un database o essere manipolati da un'applicazione.)

Inoltre è necessario individuare i dati per ogni componente hardware (HW) e software (SW). Infine, si deve tenere conto che i sistemi informativi sono in continua evoluzione dal punto di vista tecnologico, per i nuovi sistemi HW e SW aggiunti all’infrastruttura e per l’introduzione nuove tecnologie (macchine virtuali, apparati in Cloud, sistemi IoT, robot ecc).

I motivi di un assessment continuo

 

La dinamicità evolutiva del sistema informatico sopracitata è il motivo centrale della esigenza di un assessment continuo che permetta di valutare ad intervalli regolari (in condizioni ordinarie), o ad hoc (in casi straordinari), la salute generale dei controlli sui dati e lo stato delle applicazioni e i sistemi su cui risiedono. Si parla in generale di verificare la “superficie di attacco”, ovvero quella porzione del sistema informativo soggetta a possibili effrazioni.  La periodicità ideale degli assessment è determinata in relazione a diversi fattori che dipendono primariamente dalla percentuale di esposizione al rischio e dalle risorse finanziarie e organizzative che l’azienda può destinare.

Non si deve considerare un assessment di sicurezza come un costo, bensì come un investimento teso a valutare l’esposizione al rischio di incidente e al danno economico che da esso potrebbe derivare.  Questa valutazione non può essere effettuata una sola volta o sporadicamente ma, esattamente come anche altri controlli di gestione dell’andamento aziendale, gli assessment di sicurezza dei dati necessitano rivalutazioni cadenzate e in generale si parla di adottare un modello di Continuous Assessment. Le verifiche di sicurezza dei dati devono essere parte di una strategia e di una tattica di Security Management. Dal punto di vista pratico è consigliabile utilizzare una metodologia integrata di assessment che includa analisi dei processi delle procedure, degli elementi organizzativi, dei ruoli e delle responsabilità e verifichi materialmente il numero delle vulnerabilità sia sul codice statico, sia sul codice dinamico. Le evidenze risultanti sono le falle sfruttabili da malintenzionati informatici, per appropriarsi fraudolentemente delle informazioni, minando la sicurezza dei dati. Una volta identificati problemi ed i rischi correlati è possibile pianificare interventi di remediation che migliorino lo stato di sicurezza dei dati.

New call-to-action