Internet Security Policy
Da Wikipedia, l'enciclopedia libera.
Indice |
[modifica] Standard di sicurezza informatica
Internet Security Policy è l'acronimo usato per descrivere le attuali politiche atte a favorire la sicurezza del sistema internet. Con politiche si intende l'insieme di accorgimenti procedurali, siano essi inseriti in un quadro legislativo o consuetudinale, che hanno lo scopo di permettere il sicuro utilizzo, in questo caso, della rete. Tra le politiche intraprese dalla comunità cybernetica, grande importanza rivestono i cosiddetti standard di sicurezza informatica, dei speciali protocolli e certificati ai quali gli usufruitori della rete, siano essi semplici utenti, programmatori o distribuitori di servizi, devono attenersi. L'obbiettivo principale della sicurezza è quello di garantire, riducendo i rischi, un adeguato grado di protezione dei beni o dati, che possono essere password, database o altro, mediante l'attuazione di un progetto di sicurezza globale che tenga conto di tutti gli aspetti del problema fino a giungere ad un livello di protezione sia organizzativo sia informatico che possa essere monitorato nel tempo.
[modifica] Accesso a Internet
La prima cosa che bisogna in qualche modo proteggere è l'accesso ad internet. Gli strumenti che sarebbe obbligo possedere sono un Firewall e un Anti-virus. Se per anti-virus s'intende un programma che monitorizzi l'attacco di possibili, appunto, virus, con Firewall intendiamo una specie di filtro che non permette a dati non riconosciuti come "genuini" (quindi che non abbiano una sorta di certificazione o garanzia del loro contenuto) di entrare nel nostro sistema. A tal proposito ogni volta che accediamo ad un sito, che contenga magari dei controlli dinamici (come possono essere degli script in javascript, php,...) o vogliamo scaricare un determinato tipo di file, è opportuno che facciamo attenzione noi stessi sull'attendibilità del sito o file che vogliamo visualizzare. Di regola un buon sito dovrebbe esporre i propri certificati di sicurezza (pensare ai loghini che certificano il "pagamento sicuro" nei siti dove è possibile acquistare on-line), mentre i file o script dovrebbero essere anche loro certificati. Se, per esempio, uno script non certificato cerca di interagire col nostro sistema, solitamente il firewall ci avvisa del suo possibile scopo maligno: sta naturalmente a noi assumere il rischio di continuare ad utilizzare tale script.
[modifica] E-mail
Anche nell'uso dell'e-mail bisogna prestare attenzione. La nostra posta potrebbe infatti essere osservata da terze parti, o ancora potremmo ricevere il cosiddetto spam, o virus. Anche in questo caso esistono modi di proteggere, o almeno certificare, la nostra posta. La crittografia è stato il primo passo atto a tale scopo, un altro passo è invece la firma digitale, che garantisce al destinatario che il mittente del messaggio sia autentico. Anche qui esistono poi programmi o funzioni, spesso incluse nei client di posta più usati, che monitorano l'invio di spam, riconoscendolo attraverso speciali algoritmi. Ancora un buon anti-virus può riconoscere il tentativo di un virus di nascondersi dietro una e-mail. Una buona politica, o meglio dire consuetudine, sarebbe quella di non inviare (e non aprire se non si è certi della provenienza del messaggio) e-mail in formato html, e di esplicitare se la missiva contiene un allegato. Ci sono poi altre accortezze, come non utilizzare lo stesso nome dell'e-mail uguale a quello usato per il login, riguarda ogni tanto le vecchie mail ricevute ed inviate e cancellare le superflue, eccetera.
[modifica] Incident Report
Ogni volta che il nostro computer o la nostra connessione va in crash durante una sessione in internet sarebbe opportuno denunciare il fatto attraverso dei report, spesso automatici e inclusi nei principali browser ma anche nei client di posta, in modo che il produttore del programma possa osservare e cercare di correggere il problema che potrebbe riguardare non solo un bug interno del programma ma anche una mancata difesa nei confronti di un attacco informatico o di uno script maligno.
[modifica] Software Copyright
Un altro buon utilizzo di internet è quello di utilizzare solo software per il quale si ha la licenza. Spesso infatti, nei software pirata, che si possono liberamente scaricare da internet, possono nascondersi minacce informatiche, o ancora, nel tentativo di "crackare" il programma, possono essere state disabilitate delle funzioni di sicurezza del programma.
[modifica] Dati personali
Sempre più spesso, quando accediamo ad un sito, o ad un forum o altro, ci viene richiesta una registrazione. Questo è senza dubbio positivo, ma bisogna fare attenzione ad alcuni aspetti: prima cosa non divulgare (ovviamente) i nostri dati di accesso per la rete, quindi di non salvare nei moduli del browser i nostri parametri, accertandoci di cancellare i coockie, le password salvate e i moduli di ricerca una volta che chiudiamo la nostra sessione; quest ultimo dovrebbe essere fatto sempre con molto riguardo ogni qualvolta che utilizziamo un computer che non sia il nostro personale. Altro aspetto in cui fare attenzione e poi la registrazione vera e propria, nella maggior parte dei siti non serve praticamente mai dare altri dati che non siano il nostro username e la password per accedervi. Diffidate quindi di dare ulteriori informazioni come indirizzo, recapito telefonico, eccetera, a meno che non si è sicuri dello scopo del sito in questione. Anche l'e-mail non sarebbe obbligatorio chiederla, anche se, purtroppo, la maggior parte dei siti la richiede; infatti ogni volta che lasciamo la nostra mail per la registrazione essa viene spesso usata per essere inserita in archivi di altre aziende con lo scopo di inviarci materiale pubblicitario e altro, contribuendo così al fenomeno dello spam.
[modifica] Standard di sicurezza informatica
La tendenza alla standardizzazione è divenuta negli ultimi anni un “must”. Ormai quasi tutto ciò che implementiamo segue degli standard. Finalmente, anche la gestione della sicurezza informatica e del rischio ha degli standard, essendo il problema della sicurezza digitale una problematica non trascurabile. La volontà dei programmi legati all’Information Security è quello di proteggere la “risorsa informazione” di: enti governativi, aziende private ed aziende pubbliche. Questo programma viene stilato selezionando policy specifiche, standard e procedure. Queste metodologie permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantità e la pericolosità delle minacce alla sicurezza informatica. Le guide contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i vantaggi derivanti dal possesso di una certificazione si può ricordare la maggiore facilità nell'ottenimento di una assicurazione sulla sicurezza informatica. La ISO (International Organization of Standardization), l'ente di riferimento per la normazione a livello mondiale, che include delegazioni da 156 paesi, ha pubblicato il “Code of Practice for Information Security Managenent” ISO 17799 e la “British Standard”BS 7799. Questi documenti come l’ISO/TR 13569 per la sicurezza dei servizi bancari e finanziari e la General Accepted Information Systems Security Practices (GASSP), forniscono ai professionisti del settore “sicurezza informatica”, una vera e propria mappa da seguire per la realizzazione dell' “Information Security Program”.
[modifica] Storia
Gli standard di sicurezza informatica sono una recente invenzione perché oggi informazioni sensibili sono spesso memorizzate su computer che sono collegati a Internet. Inoltre molte attività che prima erano condotte manualmente oggi sono svolte dai computer e perciò c'è maggiore bisogno di affidabilità e sicurezza dei sistemi informatici. La sicurezza informatica è importante anche per gli individui che devono proteggersi dal cosiddetto furto di identità. Le aziende hanno bisogno di sicurezza perché devono proteggere i loro segreti industriali e le informazioni sui dati personali dei clienti. Il governo inoltre ha la necessità di assicurare le loro informazioni. Questo crea particolari critiche poiché alcuni atti di terrorismo sono organizzati e facilitati usando Internet. Uno degli standard di sicurezza più ampiamente usati oggi è iso 17799 del 1995. Questo standard consiste in due parti: BS 7799-1 e BS 7799-2 , entrambe generate dal BSI (British Standards Institute). Recentemente questo standard è diventato iso 27001. Il National Institute of Standards and Technology (NIST) ha rilascato parecchie carte speciali per la sicurezza del cyberspazio. In particolare tre di queste: la 800-12 nominato "Computer Security Handbook", la 800-14 titolata "Generally Accepted Principals and Practices for Securing Information Technology" e la 800-26 detta "Security Self-Assessment Guide for Information Technology Systems".
[modifica] ISO 17799
L`ISO 17799 include entrambe le parti dello standard BS 7799. A volte con ISO 17799 si vuole intendere la parte 1, a volte entrambe. La parte 1 è una definizione di alto livello delle politiche di sicurezza cibernetica, mentre la parte 2 fornisce la certificazione. Ottenere una certificazione è importante per un'organizzazione che voglia essere riconosciuta in linea con lo standard. Ogni certificazione dura 3 anni ma è controllata periodicamente dal BSI per assicurarne la validità anche durante i 3 anni. La parte 2 del BS 7799 è stata rimpiazzata dall`ISO 27001 (ISMS), ma poiché sono compatibili, un'organizzazione che stia puntando allo standard BS 7799 parte 2 può facilmente passare al processo di certificazione ISO 27001. Anche per le organizzazioni già certificate BS 7799 esiste una procedura di revisione che rende semplice la transizione all`ISO 27001. L'ISO 17799 stabilisce che la sicurezza dell'informazione è caratterizzata da: Sicurezza/riservatezza (Confidentiality):i dati devono essere accessibili solo agli utenti autorizzati; Integrità (Integrity):i dati possono essere modificabili solo dagli utenti autorizzati e solo nel modo consentito; Disponibilità (Availability):i dati sono sempre accessibili agli utenti autorizzati.
Lo standard è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:
-politiche di sicurezza (Security Policy): forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
-sicurezza organizzativa (Security Organization): a) controllo della sicurezza delle informazioni in seno all'azienda; b) mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti; c) monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata conferita in outsource.
-controllo e classificazione dei beni (Asset Classification and Control): mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione.
-sicurezza del personale (Personnel Security): a) Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori; b) accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale; c) per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
-sicurezza fisica e ambientale (Physical and Environmental Security): a) impedire l'accesso, il danneggiamento e l'interferenza dei no autorizzati all'interno del flusso delle informazioni del business; b) impedire perdita, danni o l'assetto del sistema e la interruzione delle attività economiche; c) impedire la manomissione o il furto delle informazioni.
-gestione di comunicazioni e operazioni (Communications and Operations Management): a) accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione; b)minimizzare il rischio di guasti dei sistemi; c) proteggere l'integrità dei software e delle informazioni; d) mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione; e) garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto; f) prevenire danni ai beni e le interruzioni alle attività economiche; g) impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
-controllo di accesso (Access Control): a) per controllare l'accesso alle informazioni; b) per impedire l'accesso non autorizzato ai sistemi d'informazione; c) per accertare la protezione dei servizi in rete; d) per impedire l'accesso non autorizzato nel calcolatore; e) per rilevare le attività non autorizzate; f) per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
-sviluppo e manutenzione di sistemi (System Development and Maintenance): a) accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema; b) per impedire la perdita,la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione; c) per proteggere riservatezza, autenticità e l'integrità delle informazioni; d) per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.
-gestione continuità affari (Business Continuity Management: neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
-adeguatezza (Compliance): a) evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza; b) per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.
[modifica] ISO 27001:2005
Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Caratteristiche: Lo standard è stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che sinora è stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Dal momento che l'informazione è un bene che aggiunge valore all' impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (ISMS) finalizzato ad una corretta gestione dei dati sensibili dell'azienda. La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi. L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 ed il risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo.
[modifica] Standard of good practice
Nel 1998, il Information Security Forum (ISF) ha elabaorato una lista completa delle migliori pratiche per la sicurezza delle informazioni. Queste sono state raccolte nel cosiddetto Standard of Good Practice (SoGP). Il ISF offre inoltre una valutazione per identificare gli ambienti del segno di riferimento e la conformità di misura al SoGP. Il SoGP è un ciclo biennale di revisione durante il cui le sezioni attuali sono modificate e le nuove sezioni sono aggiunte in accordo coi membri dell'ISF, nella ricerca di pratiche migliori. Originalmente il SoGP era un documento riservato e disponibile soltanto ai membri dell'ISF, ma lo stesso ISF ha, da allora, messo a disposizione il documento completo alla pubblica utilità senza nessun costo.
[modifica] NERC
Il North America Electric Reliability Council ha creato molti standard. Il più conosciuto è NERC 1300 che è una modifica di NERC 1200. La più rencete versione di NERC 1300 è definita CIP-002/CIP-009 (deve CIP significa Critical Infrastructure Protection). Questi standard sono usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice industriali.
[modifica] NIST
1) Le pubblicazioni speciali 800-12 forniscono una vasta descrizione delle zone di sicurezza e di controllo del calcolatore. Inoltre danno risalto all'importanza dei comandi e dei sensi di sicurezza effettuarli. Inizialmente questo documento è stato fatto per il governo federale, anche se la maggior parte delle pratiche di questo documento possono essere applicate al settore privato. Nello specifico è stato scritto per quella gente che nel governo federale è responsabile dell'uso dei sistemi sensibili. 2) La pubblicazione speciale 800-14 descrive i principali standard di sicurezza che sono usati. Fornisce una descrizione ad alto livello di che cosa dovrebbe essere incorporato all'interno di una politica di sicurezza del calcolatore. Descrive che cosa può essere fatto per migliorare la sicurezza attuale così come come sviluppare una nuova pratica di sicurezza. 3) La pubblicazione speciale 800-26 fornisce un consiglio su come controllare la sicurezza. Questo documento dà risalto all'importanza delle proprie valutazioni così come le valutazioni di rischio.
