It Sicurezza 1 PDF

5/12/2018 It Sicurezza 1 PDF - slidepdf.com

http://slidepdf.com/reader/full/it-sicurezza-1-pdf 1/18

PC Open 2

ITAdministrator - Sicurezza informatica

La sicurezza delle informazioni è un’esigenza che ha ac-compagnato la storia dell’uomo fin dalle antiche civiltà.Oggi ci preoccupiamo di mantenere riservate le infor-

mazioni personali, militari e d’affari. Nel V secolo a.C. glispartani inviavano gli ordini ai capi militari tramite mes-saggi scritti su una striscia di cuoio che, avvolta su un ba-stone (lo scitale) di un diametro ben preciso, permetteva dileggere il testo in chiaro lungo il bastone. Giulio Cesare ci-frava i messaggi sostituendo ogni lettera con quella che nel-l’alfabeto segue di qualche posizione. La crittografia, cioèla scienza della scrittura segreta, ha avuto una progressivaevoluzione nel corso dei secoli, fino ai rapidi sviluppi teo-rici e tecnologici impressi dalla seconda guerra mondiale,che permisero la decifrazione dei codici giapponesi e te-deschi da parte degli alleati.

Oggi buona parte del pianeta vive nella società del-

l’informazione, basata cioè sull’uso delle informazioni co-me parte integrante delle attività umane. Pertanto, la sicu-rezza delle informazioni è diventata una componente dellasicurezza dei beni in generale, o security, e non si limita al-le tecniche per nascondere il contenuto dei messaggi. Qua-lunque programma che si occupi di preservare la sicurez-za delle informazioni, persegue, in qualche misura, treobiettivi fondamentali: la disponibilità, l’integrità e la ri-servatezza delle informazioni.

La disponibilità è il grado in cui le informazioni e le ri-sorse informatiche sono accessibili agli utenti che ne han-no diritto, nel momento in cui servono. Questo significache sistemi, reti e applicazioni hanno le capacità necessa-rie a fornire il livello di servizio e le prestazioni richieste eche, in caso di guasto o di eventi distruttivi, sono pronti glistrumenti e le procedure per ripristinare l’attività in tempi

accettabili. Per impedire l’inaccessibilità delle informazio-ni, si deve preservare la disponibilità delle condizioni am-bientali (energia, temperatura, umidità, atmosfera, ecc.) edelle risorse hardware e software a fronte sia di problemi

interni (guasti, errori, blackout, disastri e altro), sia di at-tacchi esterni, per esempio provenienti da Internet, volti aimpedire o a ridurre l’accessibilità ai sistemi e alle infor-mazioni. Sistemi di backup locale e remoto, ridondanza del-l’hardware e degli archivi, firewall e router configurati perneutralizzare attacchi DoS (denial of Service), sistemi di cli-matizzazione, gruppi di continuità, controllo dell’accesso fi-sico, monitoraggio delle prestazioni sono alcuni deglistrumenti che servono per mantenere la disponibilità.

L’integrità è il grado di correttezza, coerenza e affidabi-lità delle informazioni e anche il grado di completezza, coe-renza e condizioni di funzionamento delle risorse informa-tiche. Per l’hardware e i sistemi di comunicazione, l’inte-grità consiste di fattori come elaborazione corretta dei da-ti, livello adeguato di prestazioni e corretto instradamentodei dati. L’integrità del software riguarda fattori come la

completezza e coerenza dei moduli del sistema operativoe delle applicazioni e la correttezza dei file critici di sistemae di configurazione.

Per le informazioni, l’integrità viene meno quando i da-ti sono alterati, cancellati o anche inventati, per errore oper dolo, e quando si perde, per esempio in un database, la

Inizia il primo corso di taglio professionale destinato al conseguimento di una certificazione ufficiale, riconosciutain tutta Europa. La certificazione fa parte di un nuovo filonedenominato EUCIP (European Certification of Informatics

Professionals) e si chiama IT Administrator – SicurezzaInformatica. Il corso si articolain tre elementi: un articolo sullarivista, un articolo, molto piùesteso in formato PDF e un corsomultimediale completosu CD e DVD di Giorgio Gobbi

Introduzione alla sicurezza delle informazioni

Diventate esperti disicurezza con PC Open

Materiale didatticovalidato da AICACertificazione EUCIPIT Administrator

Modulo 5 -IT SecuritySicurezza informatica

"AICA Licenziataria esclusiva in Italia del programma EUCIP (European Certificationof Informatic Professionals), attesta che il materiale didattico validato copre puntualmente e integralmente gli argomenti previsti nel Syllabus IT Administrator e necessari per il conseguimento della certificazione IT Administrator IT Security. Di conseguenza AICAautorizza sul presente materiale didattico l'uso del marchio EUCIP,registrato da EUCIP Ltd e protetto dalle leggi vigenti"

Obiettivo del corso IT Administrator –Sicurezza InformaticaFornire al lettore familiarità con i vari modi diproteggere i dati sia su un singolo PC sia in una LANconnessa a Internet. In particolare, metterlo nellecondizioni di proteggere i dati aziendali controperdite, attacchi virali e intrusioni. Inoltre, metterlonelle condizioni di conoscere e utilizzare i programmie le utility più comuni destinati a tali scopi.

I contenuti delle 8 lezioniLezione 1: Informazioni generali Lezione 2: Crittografia Lezione 3: Autenticazione e controllo

degli accessi Lezione 4: Disponibilità Lezione 5: Codice maligno Lezione 6: Infrastruttura a chiave pubblica

Lezione 7: Sicurezza della rete Lezione 8: Aspetti sociali, etici e legali della

sicurezza informatica

Riferimento Syllabus2.0 (curriculumufficiale AICA)

5.1.1 Concetti dibase

5.1.1.1 sapere qualisono i principaliaspetti dellasicurezza delleinformazioni:riservatezza eintegrità

(la numerazione dei

punti di riferimento alSyllabus cominciacon 5 perché siriferisce al quintomodulo dellacertificazione ITAdministratorcomplessiva. Il quintomodulo riguarda lasicurezza informatica)

In collaborazionecon:

Versioneintegrale in PDF

(18 pp) con2,5 ore di corso

multimediale



PC Open 3

Lezione 1 IT Administrator - Sicurezza informatica

coerenza tra dati in relazione tra loro (per esempio i recordcoinvolti in una transazione).

Procedure di manutenzione e diagnosi preventiva,hardware e software per la rilevazione e prevenzione di ac-

cessi illeciti, attacchi virali e intrusioni, applicazioni che mi-nimizzano errori logici e formali di data entry, accesso ri-stretto alle risorse critiche e controllo degli accessi sono al-cuni degli strumenti utili a preservare l’integrità delleinformazioni e delle risorse.

Anche le tecniche di hashing (calcolo di un numero dilunghezza fissa a partire da un qualsiasi messaggio o do-cumento) sono usate per verificare che le informazioni nonvengano alterate per dolo o per errore (anche di trasmis-sione).

La riservatezza consiste nel limitare l’accesso alle infor-mazioni e alle risorse informatiche alle sole persone auto-rizzate e si applica sia all’archiviazione sia alla comunica-zione delle informazioni. Un’informazione è composta ge-neralmente di più dati in relazione tra di loro, ciascuno deiquali non necessariamente costituisce un’informazione. Ilnome e il numero di conto corrente di una persona, sepa-rati, non sono informazioni; è la combinazione dei due da-ti che costituisce l’informazione.

La riservatezza dell’informazione può essere quindi ga-rantita sia nascondendo l’intera informazione (per esempiocon tecniche di crittografia) sia nascondendo la relazionetra i dati che la compongono. La riservatezza non dipendesolo da strumenti hardware e software; il fattore umano gio-ca un ruolo chiave quando vengono ignorate le elementariregole di comportamento: tenere le password segrete, con-trollare gli accessi a reti e sistemi, rifiutare informazioni asconosciuti (anche quando affermano di essere tecnici del-la manutenzione), cifrare i documenti e i messaggi riserva-ti e così via.

Possiamo aggiungere altri due obiettivi di sicurezza che

possono essere considerati un’estensione dell’integritàdelle informazioni, applicata a eventi più complessi comel’invio di un messaggio o una transazione. L’autenticità ga-rantisce che eventi, documenti e messaggi vengano attri-buiti con certezza al legittimo autore e a nessun altro. Il nonripudio impedisce che un evento o documento possa es-sere disconosciuto dal suo autore. Queste due caratteri-stiche trovano applicazione nella firma digitale, che utiliz-za tecniche di hashing e crittografia per garantire che undocumento resti integro e provenga da un autore univoca-mente identificato.

Gestione del rischioPer esaminare i rischi connessi ai vari aspetti di sicu-

rezza delle informazioni, iniziamo introducendo i terminidel discorso: beni da difendere, obiettivi di sicurezza, mi-nacce alla sicurezza, vulnerabilità dei sistemi informatici eimpatto causato dall’attuazione delle minacce.

BeniUn bene è qualsiasi cosa, materiale o immateriale, che

abbia un valore e debba quindi essere protetta. Nel campodella sicurezza delle informazioni, tra i beni di un’aziendaci sono le risorse informatiche, il personale (utenti, ammi-

nistratori, addetti alla manutenzione), le informazioni, ladocumentazione e l’immagine aziendale. Per un individuo,i beni comprendono non solo risorse informatiche, infor-mazioni e mezzi di comunicazione, ma anche le informa-zioni personali e la privacy.

Per esempio, se un attacco via Internet causa a un’a-zienda il furto di informazioni riservate, magari relative al-le carte di credito dei clienti, i beni colpiti sono molteplici:le informazioni, l’immagine, la reputazione, la stessa conti-nuità operativa. Un altro esempio è il defacing, ovvero l’al-terazione di un sito web per rovinare l’immagine del pro-prietario; è una forma di vandalismo che colpisce sia leinformazioni sia l’immagine dell’azienda o persona titolare.

A livello personale, la privacy degli individui è minac-ciata da più parti: aziende che non proteggono adeguata-mente le informazioni in loro possesso, applicazioni che

trasmettono via Internet dati personali, software malignoche spia le abitudini degli utenti (acquisti, navigazione In-ternet ecc.) o che altera la navigazione Internet a scopo ditruffa o furto di informazioni.

I beni possono essere distinti in beni primari, quelli chehanno valore effettivo, e beni secondari, che servono perproteggere i beni primari. Un esempio di bene secondarioè la password che permette di accedere a un computer, auna rete, ai dati archiviati e a Internet. La password in sénon ha alcun valore, ma è un’informazione che permette aun altro utente o a un estraneo di accedere ai beni primari(sistemi, periferiche, reti, archivi) e di eseguire operazionia nome dell’utente titolare della password, che ne sarà ri-tenuto responsabile. La password, bene secondario, assu-me un’importanza paragonabile a quella degli archivi e del-le attrezzature hardware/software, bene primario a cui lapassword dà accesso. Lo stesso vale per i dispositivi diidentificazione e autenticazione, come le Smart Card. Se lascheda viene utilizzata da qualcuno che si è procurato ilcorrispondente PIN (Personal Identification Number), il ti-tolare della scheda sarà ritenuto responsabile dell’utilizzofino alla denuncia di furto o smarrimento.

Altri esempi di beni secondari sono le attrezzature chepermettono all’hardware di funzionare con continuità e si-curezza: gruppi di continuità, condizionatori, alimentatorie altri componenti ridondanti e così via. I beni secondari, inquanto investimento preventivo per mantenere alta la di-sponibilità dei servizi informatici, rappresentano un costoampiamente inferiore rispetto al rimedio a situazioni nonpreviste.Obiettivi

Gli obiettivi di sicurezza sono il grado di protezione chesi intende predisporre per i beni, in termini di disponibilità,integrità e riservatezza. Per definire gli obiettivi, si classifi-cano i beni in categorie e si assegnano i criteri di sicurezzada applicare. Ci sono beni, come le password e i numeri diidentificazione, che hanno più requisiti di riservatezza che

IT Administrator comprende sei moduli:

1 Hardware del PC (PC Hardware)2 Sistemi operativi (Operating Systems)3 Reti locali e servizi di rete (LAN and Network

Services)4 Uso esperto delle reti (Network Expert Use)5 Sicurezza informatica (IT Security)6 Progettazione reti (Network Design)

L’argomento di questo corso è il modulo 5 dellacertificazione EUCIP IT Administrator, dedicatoespressamente alla sicurezza informatica. Il modulo5 garantisce comunque il diritto a una certificazionea sé stante.

Alcuni beni da proteggere- Hardware (sistemi e reti)- Software- Firmware- Dati e informazioni- Personale- Documentazione- Fondi

- Apparecchiature di controllo ambientale- Immagine e reputazione aziendale- Capacità operativa

5.1.2 Gestione delrischio

5.1.2.1 conoscere iprincipali elementicoinvolti nellavalutazione delrischio (valoredell’informazione,vulnerabilità,

minaccia, rischio,impatto, violazione,livello di rischio).



PC Open 4

ITAdministrator - Sicurezza informatica Lezione 1

non problemi di integrità e disponibilità. Al contrario, leinformazioni contabili di una banca che esegue transazio-ni on line hanno requisiti di disponibilità, integrità e riser-vatezza. Le informazioni pubblicate sul sito web di un’a-zienda richiedono disponibilità e integrità (per esempio

per impedire il defacing), ma non certo riservatezza.La selezione degli obiettivi in base al tipo di protezionerichiesto dai beni, permette un approccio concreto e sca-labile in base alle priorità e alle risorse disponibili. In as-senza di una mappa di ciò che è urgente e importante daproteggere, si tende a improvvisare o a voler proteggeretutto, salvo poi mancare anche gli obiettivi minimi quandoil costo preventivato supera di gran lunga le disponibilità.Minacce

Una minaccia è un’azione potenziale, accidentale o deli-berata, che può portare alla violazione di uno o più obiet-tivi di sicurezza. Le minacce possono essere classificate se-condo la loro origine: naturale, ambientale o umana. Peresempio, un allagamento dovuto a forti piogge è una mi-naccia accidentale di origine naturale che ha un impattosulla sicurezza, visto che può interrompere la disponibilità

dei servizi informatici. Un cavallo di Troia installato all’a-pertura di un allegato di posta elettronica infetto, è una mi-

naccia deliberata di origine umana e coinvolge tutti gliobiettivi di sicurezza: il computer può cadere sotto il con-trollo esterno e non essere più completamente disponibileper il suo proprietario (disponibilità), le sue informazionipossono essere alterate e cancellate (integrità) e dati da

non divulgare (password, informazioni personali, informa-zioni sensibili aziendali) possono essere letti da estranei(riservatezza). Una rete wireless che opera senza prote-zione (a partire dalla cifratura delle comunicazioni) può es-sere intercettata o, perlomeno, usata per l’accesso a Inter-net, magari per operazioni illegali riconducibili all’indirizzoIP (e quindi alla responsabilità) del titolare della rete. Inquesto caso gli obiettivi violati coinvolgono la riservatezza,la disponibilità e potenzialmente anche l’integrità.

L’entità che mette in atto la minaccia viene chiamataagente. Esempi di agenti di minaccia sono un intruso cheentra in rete attraverso una porta del firewall, un processoche accede ai dati violando le regole di sicurezza, un tor-nado che spazza via il centro di calcolo o un utente cheinavvertitamente permette ad altri di vedere le password.Vulnerabilità

Mentre una minaccia è sempre portata da un agenteesterno (fenomeno naturale o intervento umano), una vul-

Esempi di minacce( D = deliberata, A = accidentale, E = ambientale)

Minaccia D A E----------------------------------------------------------------------------------------------------------------------Terremoto xInondazione x xUragano xFulmine xBombardamento x xIncendio x xUso di armi x xVandalismo xFurto xBlackout xLinea elettrica instabile x xGuasto climatizzatore xTemperatura alta o bassa x x xUmidità eccessiva x x xPolvere xRadiazioni elettromagnetiche xGuasto hardware xUso improprio delle risorse x xErrori software x xUso non autorizzato supporti

di memoria x

Deterioramento supporti di memoria xErrori degli utenti x xErrori del personale operativo x xErrori di manutenzione x xAccesso illegale alla rete xUso illegale di password xUso illegale del software xIndirizzamento illecito messaggi xSoftware dannoso x xInstallazione/copia illegale

di software xInterruzione servizio

provider Internet xInterruzione servizio hosting web xErrori di trasmissione xTraffico eccessivo x x

Intercettazione in rete xInfiltrazione in rete xAnalisi illecita del traffico xCarenze di personale x

Esempi di vulnerabilitàInfrastrutturaMancanza di protezione fisicaMancanza di controllo degli accessiLinea elettrica instabileLocali soggetti ad allagamento

Hardware e impiantiMancanza di sistemi di backupSuscettibilità a variazioni di tensioneSuscettibilità a variazioni di temperaturaSuscettibilità a radiazioni elettromagneticheProgramma di manutenzione insufficiente

ComunicazioniLinee di comunicazione non protetteUso di password in chiaroTraffico wireless non cifratoPresenza di linee dial-upLibero accesso ai dispositivi di rete

DocumentazioneLocali non protettiCarenza di precauzioni nell’eliminazioneAssenza di controllo nella duplicazione

SoftwareComplessità interfaccia applicazioniMancanza autenticazione utenteMancanza logging accessiErrori software notiPassword non protetteCattiva gestione passwordDiritti di accesso scorrettiUso del software incontrollatoSessioni aperte senza presenza utenteAssenza di backupCarenza nella dismissione dei supporti

PersonalePersonale insufficienteProcedure reclutamento inadeguate

Personale esterno incontrollatoAddestramento di sicurezza inadeguatoUso improprio o scorretto hardware/softwareCarenza di monitoraggio



PC Open 5


nerabilità è un punto debole del sistema informatico(hardware, software e procedure) che, se colpito o sfrutta-to da una minaccia, porta alla violazione di qualche obiet-tivo di sicurezza. Una vulnerabilità presenta due caratteri-stiche: è un aspetto intrinseco del sistema informatico ed

esiste indipendentemente da fattori esterni. Una vulnera-bilità, di per sé, non causa automaticamente una perdita disicurezza; è la combinazione tra vulnerabilità e minacciache determina la probabilità che vengano violati gli obiet-tivi di sicurezza. Un centro di calcolo situato nel seminter-rato di un centro urbano ha le stesse vulnerabilità in unazona poco soggetta a terremoti come in una zona sismica.Quello che cambia è la probabilità che si attui la minacciaterremoto, a scapito della disponibilità dell’impianto.

Un computer dedicato alla contabilità di un negozio, nonprotetto da firewall e antivirus e privo delle patch di sicu-rezza del sistema operativo, è assai vulnerabile, ma se è te-nuto al sicuro, viene usato solo dal titolare e non è colle-gato a Internet, può funzionare a lungo senza essere colpi-to dalle minacce più comuni.Impatto

L’impatto è la conseguenza dell’attuazione di una mi-naccia. Esso dipende dal valore del bene colpito e dagliobiettivi di sicurezza violati. Per una piccola azienda, se laminaccia “guasto dell’hard disk” colpisce la vulnerabilità“backup poco frequenti”, l’impatto è serio, perché può in-cludere il blocco temporaneo dell’attività e inconvenientinei rapporti con i clienti. Gli obiettivi di sicurezza violati so-no la disponibilità ed eventualmente l’integrità delle infor-mazioni. Se un dirigente in viaggio connette il portatile a In-ternet senza protezione (programmi firewall e antivirus),apre un’e-mail infetta e di ritorno propaga l’infezione alla re-te aziendale, l’impatto può essere grave e coinvolgere tut-ti gli obiettivi di sicurezza (disponibilità, integrità e riser-vatezza). In questo esempio l’agente della minaccia è l’u-tente, le vulnerabilità sono la cattiva configurazione delportatile e le falle di sicurezza di Windows e la minaccia stanelle cattive abitudini e incompetenza dell’utente. L’im-patto può includere il blocco temporaneo della rete e deicomputer e un’attività generalizzata di disinfestazione conpossibile perdita di dati e reinstallazione di software; ancheparte dei backup potrebbe essere compromessa.Rischio

Concettualmente, il rischio è la possibilità che si verifi-chi un evento dannoso ed è tanto maggiore quanto è fortel’impatto causato dall’evento e quanto è alta la probabilitàche esso si verifichi. In una zona statisticamente non sog-getta ad alluvioni, il rischio informatico connesso a questotipo di eventi è trascurabile, anche se l’impatto potenzialeè ingente. In una rete aziendale soggetta a tentativi di in-trusione, a parità di protezione, la sottorete delle finanzecorre un rischio maggiore rispetto alla sottorete ammin-

strativa, perché a parità di probabilità di attacco, l’impattodell’attacco è più grave.In termini numerici, il rischio R può essere definito come

il prodotto scalare tra la gravità G dell’impatto (conse-guenze di un evento dannoso) e la probabilità P che si ve-rifichi l’evento dannoso (la minaccia).

Le fasi della gestione del rischio

Nella gestione del rischio si possono individuare due fa-si distinte.1) Analisi del rischio. In questa fase si classificano le infor-

mazioni e le risorse soggette a minacce e vulnerabilità esi identifica il livello di rischio associato a ogni minaccia.Ci sono vari metodi per quantificare il rischio, basati suun approccio quantitativo, qualitativo o combinazione

dei due. L’approccio quantitativo è basato su dati empi-rici e statistiche, mentre quello qualitativo si affida a va-lutazioni intuitive. Entrambi hanno vantaggi e svantaggi.Il primo richiede calcoli più complessi ma può basarsi su

sistemi di misura indipendenti e oggettivi, fornisce ri-sultati numerici (il valore delle perdite potenziali) e un’a-nalisi dei costi e benefici. Il secondo utilizza l’opinionedel personale che ha esperienza diretta in ciascuna del-le aree interessate.

2) Controllo del rischio. In questa fase vengono indivi-duate le modalità che l’azienda intende adottare per ri-durre i rischi associati alla perdita della disponibilità diinformazioni e risorse informatiche e della integrità e ri-servatezza di dati e informazioni. Ogni tipo di minacciadeve essere trattata separatamente e la pianificazionedelle contromisure richiede un’analisi di costi e benefi-ci che ottimizzi il valore della protezione. Se, per esem-pio, il rischio per l’intrusione in un server web è stima-to di 12.000 euro in un anno e con una spesa annua di1.000 euro esso scende a 3.000 euro, possiamo calcolareil valore della protezione in 12.000 (rischio iniziale) –3.000 (rischio dopo l’allestimento delle contromisure) –1.000 (costo annuale delle contromisure) = 8.000 euro.

Analisi del rischio

L’analisi del rischio è un processo composto di una se-quenza di fasi, che inizia con la classificazione dei beni(informazioni e risorse informatiche), prosegue con l’iden-tificazione delle minacce e delle vulnerabilità e si concludecon l’identificazione del livello di rischio.1) Classificazione delle informazioni e delle risorse infor-

matiche. Questa fase ha lo scopo di censire e classifica-re le informazioni gestite dal sistema informativo azien-dale (attraverso sistemi informatici e altri mezzi) e le ri-sorse informatiche utilizzate. Il risultato è la documenta-zione delle informazioni che hanno valore per l’azienda,in modo che nelle fasi successive si possa valutare il ri-schio a fronte della perdita di disponibilità, integrità e ri-servatezza di ogni categoria di informazioni. Visto che leinformazioni sono aggregazioni di dati che, singolarmen-te, potrebbero essere (o apparire) privi di valore, si dovràtenere conto delle relazioni tra dati e informazioni.La sicurezza delle informazioni è strettamente legata al-

la disponibilità delle risorse informatiche, quindi, in questafase, vengono documentati anche i sistemi, le attrezzaturedi rete, la capacità di elaborazione, la capacità dei canali dicomunicazione, i processi vitali e altre risorse necessarieper gli obiettivi di sicurezza delle informazioni.2) Identificazione delle minacce. Una minaccia è un’azio-

ne potenziale, accidentale o deliberata, che può portarealla violazione di uno o più obiettivi di sicurezza e quin-di causare un danno all’azienda. In questa fase si compilal’elenco delle minacce, avendo cura di includere gli even-ti di origine naturale, gli eventi accidentali (guastihardware, errori software, errori umani ecc.) e le azioniumane deliberate (sia interne, sia esterne). Le minacce

a cui è soggetta un’organizzazione hanno aspetti generalie aspetti specifici riguardanti il campo di attività, il mo-dello di business, le caratteristiche del sistema informa-tivo e del sistema informatico, la dislocazione e le co-municazioni dell’organizzazione. Esempi di minacce ge-nerali sono quelle ambientali che possono impedire ilfunzionamento delle attrezzature informatiche (alimen-tazione elettrica, temperatura ecc.), i guasti hardware(hard disk, supporti di backup, alimentatori, ventoleecc.), gli errori software, la cancellazione accidentale didati, gli errori degli utenti, i virus e altro malware (worm,trojan, spyware, ecc.), i tentativi di intrusione da Inter-net, l’esecuzione di software insicuro, la sottrazione e/ola divulgazione di informazioni e software e via dicendo.Minacce più specifiche sopratutto per le aziende che

eseguono transazioni economiche on line (banche, siti di e-

commerce, broker ecc.) sono ad esempio le azioni di socialengineering (fingersi altre persone, come pubblici ufficialio addetti all’assistenza) per procurarsi password e altreinformazioni utili per avere accesso alle informazioni.

L’analisi delrischioin tre formule

R = G x PIl rischio R può esseredefinito come il prodottoscalare fra la gravità G dell’impatto(conseguenze di unevento dannoso) e laprobabilità P che siverifiche l’eventodannoso.

P = f(V, M)per minacce di tipo

deliberato Per una minaccia di tipodeliberato, la probabilità

P che la minaccia siverifichi è una funzionedelle vulnerabilità V presenti nel sistema(hardware, software eprocedure) e dellemotivazioni M dell’agente attaccante.

P = f(V, p)per minacce di tipo

accidentale e ambientale Per una minaccia di tipoaccidentale eambientale, laprobabilità P che essa siverifichi è una funzione

delle vulnerabilità V delsistema e dellaprobabilità p che irilevamenti statisticipermettono di associareall’evento in questione(per esempio laprobabilità di cancellareper errore un fileimportante o laprobabilità che unblackout prolungatocausi un’interruzione delservizio).



PC Open 6


Identificazione delle vulnerabilità. Le vulnerabilità so-no tutti quei punti deboli del sistema informativo tali che, sesfruttate dall’attuarsi di una minaccia, permettono la viola-zione degli obiettivi di disponibilità, integrità e riservatezzadelle informazioni. In precedenza abbiamo mostrato esem-pi di vulnerabilità in diverse categorie. Per esempio, l’as-senza di un gruppo di continuità e l’intolleranza di alte tem-perature ambiente rientrano nella categoria impianti. La ca-tegoria software include le falle di sicurezza e gli errori deisistemi operativi e delle applicazioni. La categoria hardwa-

re comprende computer, periferiche, accessori e dispositi-vi di rete, tutti soggetti a guasti e malfunzionamenti. L’as-senza di regole e di strumenti adeguati per il backup degliarchivi fa parte delle vulnerabilità procedurali. Alla catego-ria del personale competono carenze come l’inadeguatapreparazione e istruzione degli utenti, l’utilizzo improprio diInternet e delle risorse informatiche e la scarsa diligenza nelcustodire le password e altre informazioni riservate.

Come per le minacce, anche le vulnerabilità sono speci-fiche per il tipo di azienda, il campo di attività e l’organiz-zazione interna. Inoltre, la stessa vulnerabilità può avere di-versi livelli di importanza secondo le caratteristiche del-l’azienda. La vulnerabilità di un particolare servizio di co-municazione del sistema operativo può essere considera-ta irrilevante per un’azienda manifatturiera tradizionale maallo stesso tempo grave per un’azienda che progetta stru-menti ad alta tecnologia per un mercato competitivo.

Identificazione del livello di rischio. Dopo aver censi-to i beni da proteggere e quantificato il loro valore, e dopoaver calcolato la probabilità di attuazione delle minacce (inbase alle vulnerabilità e agli agenti di attacco individuati),è possibile calcolare il rischio seguendo l’approccio quan-titativo. A tale scopo si possono utilizzare fogli elettronicio apposite applicazioni per automatizzare il calcolo del ri-schio secondo i settori di attività.

In alternativa, l’approccio qualitativo non quantifica idanni e le probabilità, ma esamina le aree di rischio asse-gnando, in base a intuizione, esperienza e giudizio, valorirelativi (per esempio da 1 a 5) alla gravità della minaccia, al-la sua probabilità di attuazione e alla perdita potenziale perl’azienda. Anche le contromisure sono valutate con lo stes-

so criterio, in modo da selezionare quella che il personaleinteressato ritiene più adatta per fronteggiare la minaccia.In tabella 1 consideriamo un piccolo esempio di analisi

quantitativa, ridotto a poche righe a scopo illustrativo.In questo esempio sono indicate le previsioni di danno

(perdita economica) per un singolo evento (attuazione del-la minaccia) e la probabilità stimata in base a statistiche difrequenza o dati empirici. Nella realtà, l’attacco a un benemateriale di valore limitato, come un server di rete, può

causare un danno superiore per ordini di grandezza a beniimmateriali come l’immagine, la reputazione e il creditodell’azienda. Inoltre, certi tipi di minacce, in assenza di ap-propriate difese, possono attuarsi ripetutamente in un an-no, come le perdite e alterazioni di dati per errori degliutenti e/o del software applicativo. Va detto che un’analisidel rischio puramente quantitativa è pressoché impossibi-le, vista la difficoltà di assegnare valori precisi ai danni su-biti dai beni e alle probabilità di attuazione delle minacce.In ogni caso, l’analisi permette di identificare i beni da pro-

teggere, le fonti di danno e l’entità del rischio; in base a que-ste informazioni si potrà definire una strategia per proteg-gere i beni nel modo più efficiente.

Vediamo ora un esempio di analisi qualitativa, basata sulgiudizio, l’esperienza e l’intuito delle persone che operanonelle aree soggette a minacce. Ci sono diversi metodi perraccogliere le informazioni per un’analisi qualitativa del ri-schio. Il metodo Delphi, per esempio, si basa su decisionidi gruppo per assicurare che ogni membro del gruppo divalutazione possa esprimere onestamente il proprio pare-re sulle minacce e sui rimedi più efficaci. Ogni membro delgruppo scrive le proprie valutazioni in modo anonimo, sen-za pressioni o influenze da parte degli altri. I risultati ven-gono compilati e distribuiti ai membri del gruppo, che scri-vono i loro commenti, ancora anonimi. Il processo si ripe-te finché non si forma un consenso su costi, perdite po-tenziali, e probabilità di attuazione delle minacce, senza di-scussioni verbali.

Altri metodi qualitativi fanno uso di brainstorming, fo-cus group, sondaggi, questionari, liste di verifica, intervi-ste, incontri individuali e altro ancora.

Nella tabella 2 vediamo un piccolo esempio semplifica-to di analisi qualitativa applicata alla minaccia di intrusio-ne da Internet.

In questo esempio gli addetti all’analisi del rischio han-no distribuito una descrizione della minaccia (intrusioneda Internet) a cinque persone con diverse mansioni nell’a-rea IT, con la richiesta di valutare, da 1 a 5, la gravità dellaminaccia, la probabilità che accada, la perdita conseguen-te e l’efficacia di alcune possibili misure di protezione. Lavalutazione è quindi sottoposta al management, che vedrà

qual è il punto di vista del personale interessato sulla gra-vità delle minacce e sui modi di proteggersi.

Il controllo del rischio e le contromisureConsideriamo l’analisi del rischio secondo l’approccio

quantitativo; il documento finale elenca in modo dettaglia-to i beni con i relativi valori monetari, le vulnerabilità, le mi-nacce con relativa probabilità di attuazione e le perdite po-tenziali (per esempio su base annua). La fase successiva,

Tabella 2 - Analisi del rischio qualitativa

Minaccia intrusione Gravità della Probabilità Perdita Efficacia Efficacia Efficacia firewallda Internet minaccia di attuazione potenziale firewall firewall con IPS più IDSIT manager 4 2 4 3 5 4Amministratore database 5 4 5 3 4 3

Programmatore 3 3 3 4 4 4Operatore 2 4 3 3 4 3Manager 5 4 4 4 5 5Media 3,8 3,4 3,8 3,4 4,4 3.8

Tabella 1 - Analisi del rischio quantitativa

Bene Minaccia Valore del bene Aspettativa di Probabilità Aspettativa diperdita singola annua perdita annua

Locali Incendio 300.000 200.000 0,1 20.000

Progetti Furto 100.000 80.000 0,5 40.000Server Guasto 8.000 6.000 0,3 1.800Dati Virus e simili 40.000 30.000 0,5 7.500Dati Errori utente 40.000 20.000 0,5 10.000Rete Guasto 6.000 2.000 0,75 1.500


5.1.2.2 conoscere la

classificazione piùcomune dei mezzitecnici per controllareil rischio(identificazione eautenticazione),controllo degliaccessi,rendicontabilità(accountability),verifica (audit),riutilizzo degli oggetti,accuratezza,affidabilità delservizio, scambio datisicuro).



PC Open 7


controllo del rischio, ha lo scopo di eliminare i rischi, o per-lomeno di ridurli entro limiti accettabili. Parte dei rischipuò essere ceduta a terzi, per esempio attraverso polizze diassicurazione (per cautelarsi da eventi come furto, incen-dio e disastri naturali). Anche l’outsourcing, cioè la delega

a terzi di servizi che potrebbero essere svolti da persona-le interno, può essere utile a ridurre vari tipi di rischio, tracui il mancato ritorno dagli investimenti in addestramentospecialistico del personale. Anche la gestione dello stora-ge, ovvero gli archivi e i backup, può essere affidata a terziappositamente strutturati per garantire alti livelli di sicu-rezza (disponibilità, integrità e riservatezza delle informa-zioni). L’hosting dei siti web è un esempio di outsourcingconveniente alle piccole aziende, solitamente prive di im-pianti e personale per amministrare hardware, software esicurezza dei siti.

Tolta la cessione a terzi di parte dei rischi, consideriamola parte di gestione del rischio che avviene all’interno del-l’azienda. Il controllo del rischio viene esercitato attraver-so opportune contromisure che agiscano sulle due com-ponenti del rischio: la gravità dell’impatto e la probabilità

di attuazione della minaccia. Abbiamo visto che le minac-ce coprono un ampio spettro di fenomeni e attività; ognu-na dovrà essere quindi trattata separatamente sia nel va-lutare l’impatto e la probabilità, sia nel selezionare le con-tromisure che risultano più efficaci nell’analisi di costo ebenefici.Contromisure

Le contromisure di sicurezza sono le realizzazioni e leazioni volte ad annullare o limitare le vulnerabilità e a con-trastare le minacce. Una parte delle contromisure viene so-litamente realizzata nel corso della progettazione di un si-stema o di un prodotto. Le altre contromisure vengonoadottate in fase di utilizzo del sistema o prodotto.

La scelta delle contromisure da mettere in campo è det-tata dall’analisi del rischio e dall’analisi costo/benefici del-le contromisure. Considerato un bene, il suo valore e il dan-no potenziale in base alle vulnerabilità e alle probabilità diattuazione di una minaccia, l’effetto di una contromisura simisura con la riduzione del rischio. Se la riduzione del ri-schio è ampiamente superiore al costo della contromisura,questa è efficace. Se un certo rischio è di scarsa entità e lacontromisura risulterebbe più costosa rispetto ai benefici,si può decidere di accettare il rischio senza alcuna contro-misura. Lo stesso dicasi nei casi in cui il rischio residuo (ilrischio che rimane dopo l’adozione delle contromisure)non fosse significativamente inferiore al rischio iniziale. Inpratica, la scelta e adozione delle contromisure è dettatasia dagli obiettivi di sicurezza (e relative priorità di urgen-za e importanza) sia dal buon senso economico.

Si possono classificare le contromisure in tre categoriea seconda che siano di carattere fisico, di tipo procedura-

le o di tipo tecnico informatico.Contromisure di carattere fisico. Queste contromisure so-no generalmente legate alla prevenzione e al controllo del-l’accesso a installazioni, locali, attrezzature, mezzi di co-municazione. Un esempio è un centro di calcolo realizzatoin un edificio protetto e accessibile solo dopo il riconosci-mento del personale autorizzato. Una server farm per ospi-tare migliaia di siti web è probabilmente dotata di variecontromisure di tipo fisico: la collocazione in zona elevatanon soggetta ad alluvioni, pompe e rilevatori per evacuarel’acqua, sistemi antincendio, accessi blindati e sorvegliatie via dicendo. Dato che sistemi e installazioni comunicanoin rete, anche le linee di comunicazione possono avere bi-sogno di protezione fisica contro intercettazioni, disturbi edanneggiamenti. Tra le contromisure fisiche ci sono le ca-nalizzazioni dei cavi di rete, magari interrate o sotto traccia

per ostacolare l’accesso e le schermature di vetri e paretiper contenere il campo delle reti wireless.Contromisure di tipo procedurale. Queste contromisuredefiniscono passo per passo le operazioni per eseguire un

certo compito oppure regolano il comportamento degliutenti per gli aspetti che riguardano la sicurezza delle infor-mazioni e delle risorse.

Mentre le contromisure fisiche proteggono l’accesso fi-sico alle risorse e le contromisure informatiche agiscono a

livello hardware, firmware e software, le procedure opera-tive e le regole di comportamento si applicano alle perso-ne (utenti e amministratori). Lo scopo, da un lato, è quellodi evitare che gli utenti causino vulnerabilità e minacce e,dall’altro, che contribuiscano a mantenere alte le difese ri-ducendo i rischi residui lasciati dalle altre contromisure.

Esempi di contromisure di tipo procedurale sono il con-trollo dell’identità dei visitatori e la limitazione delle aree acui hanno accesso. Quando si usa un badge o altra schedadi riconoscimento, anche la sua custodia è oggetto delleprocedure, così che non venga lasciato sulla scrivania o inun cassetto aperto o comunque a disposizione di altri.

Le password sono uno strumento di protezione infor-matico, ma le regole per la loro assegnazione, durata, uti-lizzo e custodia fanno parte delle contromisure proceduraliper ridurre il rischio che cadano in cattive mani. Alcune

norme comuni sono: utilizzare password non brevi, conte-nenti non solo lettere; raccomandare o imporre modificheperiodiche delle password; bloccare l’accesso dopo un nu-mero limitato di tentativi errati; sensibilizzare e responsa-bilizzare gli utenti sugli effetti della mancata riservatezza(tenere la password su un post-it sotto la tastiera, in un cas-setto ecc. o comunicare la propria password a un collega oa un sedicente tecnico di assistenza).

Come per le password, ci sono altre contromisure infor-matiche che sono efficaci solo se si rispettano certe normed’uso o procedure organizzative. Un antivirus, per esem-pio, è efficace se è aggiornato di frequente, come minimouna volta al giorno. Una vulnerabilità degli antivirus è in-fatti quella di non proteggere dai virus di recente introdu-zione; il rimedio è installare un sistema centralizzato e unaprocedura che assicuri l’aggiornamento almeno quotidianodel file di riconoscimento dei virus e un aggiornamento pe-riodico del software antivirus. Per un piccolo ufficio, lostesso risultato può essere ottenuto installando un antivi-rus che scarichi automaticamente gli aggiornamenti tutti igiorni e che esegua una scansione giornaliera dei file.

In generale, le contromisure di tipo procedurale do-vrebbero essere ridotte al minimo, sostituendole quandopossibile con sistemi automatizzati, meno soggetti agli er-rori, dimenticanze e violazioni degli utenti. È il caso, peresempio, dei dispostivi di riconoscimento biometrici usa-ti al posto dei badge o delle password. Anche l’aggiorna-mento periodico del firmware dei firewall, anziché essereoggetto di norme procedurali, può essere automatizzatoutilizzando firewall che si aggiornano automaticamente col-legandosi al sito del produttore. In questo modo, sia le fun-

zionalità sia le protezioni sono tenute aggiornate evitandoil costo degli interventi manuali, l’interruzione del servizio,il rischio di errori manuali e il rischio di una minore prote-zione a causa dell’invecchiamento del firmware.

Altri esempi riguardano le norme d’uso di hardware esoftware, dove una documentazione inadeguata e un ad-destramento sommario possono favorire errori o il man-cato utilizzo di certe funzioni, aumentando i rischi per la si-curezza.

Nel campo dei backup, non tutte le aziende hanno pro-cedure automatiche che garantiscano il ripristino dopo undisastro (disaster recovery) o la continuità operativa (bu-siness continuity) a dispetto di qualsiasi evento catastrofi-co. Vista l’entità dell’impatto e la frequenza di guasti ai sup-porti magnetici, è vitale avere una strategia di backup emettere in atto procedure che garantiscano l’esecuzione

dei back a più livelli (con diverse periodicità) e la verificadell’integrità e utilizzabilità dei supporti di backup. Parte diqueste operazioni può essere automatizzata, specialmentenelle aziende medio-grandi; la verifica dei supporti di



PC Open 8


backup è invece spesso un punto trascurato. Nei piccoli uf-fici, i più soggetti a improvvisazione e omissioni in tema dibackup, la difficoltà di imporre l’osservanza di procedureè aggirabile tramite applicazioni software commercialiche, in modo automatico e pianificato, salvano le immagi-

ni delle partizioni degli hard disk, senza interrompere il la-voro sui computer. In questo modo, si può utilizzare unacontromisura tecnico informatica al posto di quella che,normalmente, è una contromisura procedurale.

Lo smaltimento dei supporti su cui risiedono informa-zioni è un altro esempio dell’opportunità di contromisureprocedurali per evitare che informazioni riservate siano re-se pubbliche. Le contromisure possono includere la di-struzione dei documenti cartacei da gettare nella spazza-tura, la cancellazione dei supporti magnetici da smaltire oda sostituire in garanzia, lo spostamento degli archivi o l’e-strazione degli hard disk prima di mandare un computer inmanutenzione (salvo l’uso di personale interno con quali-fica di sicurezza) e la distruzione dei supporti ottici dasmaltire.

Contromisure di tipo tecnico informatico. Queste sono

le contromisure realizzate attraverso mezzi hardware,firmware e software e prendono anche il nome di funzionidi sicurezza. In base al loro campo d’azione, possono es-sere classificate nelle categorie che seguono.

Identificazione e autenticazione. Le funzioni di questacategoria servono a identificare un individuo o un proces-so e ad autenticarne l’identità. L’esempio più comune è lafunzione di accesso (login) a un sistema tramite nome uten-te (per l’identificazione) e password (per l’autenticazionedell’identità). L’autenticazione viene usata anche nelle co-municazioni tra processi e nei protocolli di comunicazioneper accertare l’identità del processo o dell’utente associa-to al processo.

Controllo degli accessi. In questa categoria troviamo lefunzioni di sicurezza che verificano se il processo o l’uten-te, di cui è stata autenticata l’identità, ha il diritto di acce-dere alla risorsa richiesta (per esempio file, directory, stam-panti) e di eseguire l’operazione specificata (per esempiolettura, esecuzione, modifica, creazione, cancellazione).Per i processi, anche l’accesso alla memoria è regolamen-tato, in modo che un processo non possa leggere i dati diun altro processo o, in certi casi, non possa eseguire istru-zioni contenute in aree destinate esclusivamente a dati.Analoghe funzioni sono svolte a livello hardware dalla CPUnella sua gestione delle pagine di memoria.

Rendicontabilità (accountability). A questa categoriaappartengono le funzioni che permettono di attribuire la re-sponsabilità degli eventi agli individui che li hanno causa-ti. L’accountability richiede l’attuazione delle misure d’i-dentificazione e autenticazione degli utenti e l’associazio-ne a ogni processo dell’identità del suo proprietario, come

avviene nei moderni sistemi operativi.Verifica (audit). A questa categoria appartengono le fun-zioni che registrano gli eventi in un file di logging, con infor-mazioni riguardo a errori e a violazioni di sicurezza. Graziea queste registrazioni, è possibile risalire a ciò che è acca-duto e prendere provvedimenti. Nel caso di segnalazione dimalfunzionamenti hardware o di errori software, si posso-no intraprendere azioni di diagnosi e manutenzione (peresempio la verifica e correzione del file system).

Nel caso di eventi che riguardano la sicurezza, il logpermette di scoprire irregolarità, come tentativi di accessoilleciti e tentativi di intrusione. Esempi di funzioni di loggingsono quelle di Windows, che registra log degli eventi di si-stema, applicativi e di sicurezza oppure il demone syslogddei sistemi Unix/Linux.

Nel caso dei firewall, il log comprende la registrazione

selettiva degli eventi che si desidera tenere sotto control-lo: tutti, se non non attiva nessun filtro, oppure solo quelliche superano un certo livello di gravità.

Solitamente i firewall offrono l’opzione di logging remo-

to, che consiste nell’inviare la segnalazione degli eventi aun computer, in modo da poter tenere registrazioni anchevoluminose (su lunghi periodi di tempo) e poterle analiz-zare più facilmente.

Riutilizzo degli oggetti. Questa categoria comprende le

funzioni che permettono di riutilizzare oggetti contenentiinformazioni riservate: supporti magnetici, supporti otticiriscrivibili, aree di memoria RAM, zone di memoria dei pro-cessori (registri, cache, ecc.), buffer di periferiche e simili.Lo scopo è quello di evitare che informazioni riservate sia-no lasciate a disposizione di programmi e utenti dopo il lo-ro regolare utilizzo. Le contromisure in questa area hannoil compito di cancellare le aree di memoria e di disco subi-to dopo il loro utilizzo per il transito di informazioni riser-vate. Un esempio riguarda le aree di memoria dove transi-tano le password o altre informazioni in chiaro prima del-la loro cifratura: buffer, registri e aree di lavoro dovrebbe-ro essere cancellate per evitare che siano lette da altri pro-cessi autorizzati ad accedere a quelle aree ma associati autenti non autorizzati alla conoscenza di quelle informa-zioni. Un altro esempio è offerto dalle aree di scambio su di-

sco, come i file di swapping o paging del sistema operativo.È utile attivare l’opzione di cancellazione automatica diquesti file alla chiusura del sistema, in modo che utentinon autorizzati non possano esaminarlo a caccia di infor-mazioni riservate.

Accuratezza. Fanno parte di questa categoria tutte lefunzioni intese a garantire l’accuratezza delle informazioni.Per esempio, perché i file di logging forniscano informazio-ni attendibili, la registrazione temporale (time stamp) del-l’evento deve essere precisa. Questo accade se l’orologio in-terno è sincronizzato periodicamente con un time server diriferimento. Sistemi operativi, switch, firewall e altri dispo-sitivi offrono questa funzionalità, che se necessario va atti-vata specificando il nome del time server (per esempio ti-me.nist.gov). In campo software, esempi di funzioni a dife-sa dell’accuratezza delle informazioni sono le funzioni checontrollano i limiti di occupazione di buffer e array e quel-le che validano la correttezza dei dati immessi dagli utenti.

Affidabilità del servizio. Questa è una vasta categoriadi contromisure, perché sono diverse le aree che potreb-bero compromettere l’affidabilità dei servizi informatici. Siinizia dalle contromisure per mantenere condizioni di ali-mentazione elettrica stabile, filtrata e senza interruzione(gruppi di continuità), per passare alle difese dai malfun-zionamenti hardware (monitoraggio e manutenzione pre-ventiva) e software (monitoraggio degli errori nei file di log-ging, aggiornamenti, monitoraggio delle prestazioni, roll-back delle transazioni non andate a buon fine, ripristino diuno stato precedente del sistema operativo, ripristino del-le partizioni di disco a uno stato integro precedente). Altrecontromisure possono essere sviluppate per difendere si-

stemi e applicazioni dagli errori degli utenti.Scambio dati sicuro. In questa categoria ci sono le fun-zioni destinate a garantire la sicurezza delle trasmissioni. Ilmodello OSI Security Architecture (ISO 7498-2) le classificanelle seguenti sottoclassi: autenticazione, controllo del-l’accesso, riservatezza, integrità (dell’hardware, dei dati edei flussi di pacchetti trasmessi sia in modo connection-less, come UDP, sia connection-oriented, come TCP, ancheai fini della corretta sequenza dei pacchetti) e non ripudio.Esempi di contromisure in questa area sono l’uso di crit-tografia a chiave simmetrica e asimmetrica (chiave pub-blica più chiave privata) e l’autenticazione tramite Messa-ge Authentication Code (il risultato dell’hashing applicatoal messaggio più una chiave segreta simmetrica; vengonotrasmessi messaggio e MAC; a destinazione il MAC viene ri-calcolato sul messaggio più chiave simmetrica e confron-

tato col MAC ricevuto, così da verificare l’integrità del mes-saggio e l’autenticazione del mittente).Funzionalità e garanzia nel controllo del rischio

La sicurezza delle informazioni è caratterizzata da due



PC Open 9


fattori di base indipendenti: la funzionalità e la garanzia (as-surance).

Il termine funzionalità , applicato alla sicurezza, conser-va il significato generale che ha in altri settori; è l’insiemedi ciò che un prodotto o un sistema informatico fornisce in

relazione alla protezione delle informazioni e, di riflesso,delle risorse e dei servizi informatici. Il panorama di con-tromisure descritto nella sezione precedente (5.1.2.2) com-prende gran parte delle funzionalità di sicurezza che po-trebbero essere necessarie.

Il concetto di garanzia è stato introdotto da chi si occu-pa di sicurezza per esprimere il grado in cui l’implementa-zione di una funzionalità riduce una vulnerabilità o la pos-sibilità di attuazione di una minaccia. Se la funzionalità rap-presenta un elemento di protezione, la garanzia ne indica lavalidità.

Prendiamo ad esempio la funzionalità autenticazionedell’identità. Oggi l’implementazione più comune consistenell’uso di una password segreta per convalidare il nomedell’utente. Tuttavia, ci sono altre soluzioni, come l’utilizzodi un oggetto fisico (come badge o smart card) o di un di-

spositivo biometrico (basato ad esempio sul riconosci-mento dell’impronta digitale, della cornea, del volto o del-la voce). Nessuna di queste implementazioni è infallibile ela scelta dipende da vari fattori: il settore di attività, la di-mensione aziendale, il livello di rischio, la sensibilità e lacompetenza degli utenti, le minacce ambientali, i costi so-stenibili e via dicendo. Un laboratorio di ricerca in un set-tore avanzato competitivo potrebbe dotarsi di un sistemadi riconoscimento vocale sofisticato da un punto di vistafunzionale, ma di scarsa garanzia se le parole da pronun-ciare sono prevedibili (e quindi preventivamente registra-bili).

Altrettanto scarsa garanzia offrirebbe un sistema di ri-conoscimento dell’impronta digitale dove un guardianoprevenisse frodi ma la precisione del riconoscimento fosseinsoddisfacente.

Vediamo quindi che la garanzia è costituita a sua voltada due aspetti distinti: la correttezza e l’efficacia. La cor-rettezza è un attributo intrinseco di un prodotto (o com-ponente o procedura), che riflette il grado di corrispon-denza tra le effettive funzioni svolte dal prodotto e le suespecifiche. Per esempio, un prodotto capace di riconosce-re il 99% delle voci umane adulte con almeno 30 dB di rap-porto segnale/rumore, riceverebbe un’alta valutazione dicorrettezza rispetto alla funzione “riconoscere la voce de-gli utenti”.

La correttezza è una proprietà intrinseca del prodottonell’ambito delle condizioni d’uso previste; non dipende dafattori esterni, come l’opportunità di utilizzare o meno quelprodotto per soddisfare una particolare esigenza.

L’efficacia è invece una proprietà che mette in relazione

la contromisura (prodotto, procedura o altro) con il con-testo in cui è utilizzata, in particolare le vulnerabilità, la gra-vità e la probabilità di attuazione delle minacce, le caratte-ristiche degli agenti che attuano le minacce, l’importanzadel bene da proteggere e così via. Supponiamo che per il la-boratorio del nostro esempio sia vitale consentire l’acces-so solo al personale autorizzato, visto il valore delle infor-mazioni e risorse da proteggere e l’alta probabilità di mi-nacce di intrusione fisica e telematica da parte di agenti(software e individui) ritenuti pericolosi. Il progetto di si-curezza si basa sulla completezza delle funzionalità (le con-tromisure messe in campo) e sulla garanzia che le contro-misure adottate riducano le vulnerabilità e le minacce a li-velli accettabili. Supponendo che l’analisi del rischio abbiaportato a identificare tutte le funzionalità di sicurezza uti-lizzabili, tra cui gli strumenti e le procedure per impedire

una falsa autenticazione da parte di software e personaleostile, nella fase di valutazione della garanzia si dovrannoesaminare correttezza ed efficacia delle soluzioni. Peresempio, un sistema di riconoscimento vocale potrebbe ri-

sultare adatto per ambienti con livello medio di rischio, maessere inadeguato a fronte di un rischio elevato e di una mi-naccia agguerrita. Potrebbe risultare più efficace un siste-ma basato su domande a cui solo il legittimo utente possarispondere o su un dispositivo fisico (tipo smart card) in-

terattivo, da aggiornare ogni giorno per rimanere valido (inmodo da perdere validità in caso di furto o manipolazione).Un altro esempio ci viene offerto dalle contromisure di

natura fisica per impedire l’accesso alle persone non auto-rizzate. Le contromisure per il controllo dell’accesso pos-sono limitarsi a una porta blindata o includere sistemi di ri-levamento del movimento, telecamere e registratore video,sistemi di allarme con chiamata di numeri telefonici e altrideterrenti per impedire e/o scoraggiare il tentativo di ef-frazione. In fase di analisi del rischio, supponiamo che siaemersa l’esigenza di installare una porta blindata capace diresistere a una determinata forza di sfondamento, priva dicardini a vista e resistente al fuoco. Queste sono quindi lespecifiche rispetto alle quali verrà valutata la correttezzadei prodotti. Ora, anche se abbiamo individuato la miglio-re delle porte blindate sul mercato, dobbiamo valutare l’a-

spetto efficacia. Per quanto tempo la porta resisterà alletecniche di scasso più evolute? Qual è la probabilità che leforze dell’ordine arrivino in tempo per impedire l’accessoalle risorse informatiche, agli archivi e alle informazioni? Seil rischio è rilevante, probabilmente si dovrà identificare unpacchetto di contromisure che, nell’insieme, costituiscanoun percorso ad ostacoli capace di resistere al gruppo d’at-tacco più determinato.

Poiché i beni da proteggere possono essere assai diver-si da un caso all’altro, il programma di sicurezza dovrà es-sere personalizzato per la situazione specifica, in modo chela scelta delle contromisure e relative funzionalità e garan-zie siano commisurate all’entità del rischio e ai tipi di vul-

nerabilità e diminacce.

Organizzazione della sicurezzaI processi

La sicurezza delle informazioni è il risultato di un insie-me di processi ai vari livelli dell’organigramma aziendale.Non bastano strumenti e tecnologie per ottenere la sicu-rezza. Occorre, in primo luogo, creare un’organizzazioneper la sicurezza che assuma la responsabilità di quanto at-tiene alla sicurezza e coinvolga l’intera struttura aziendale,in modo che tutto il personale contribuisca nel proprio am-bito al disegno generale della sicurezza. Infatti, la sicurez-za delle informazioni, delle risorse informative (non soloinformatiche) e in generale dei beni e del valore dell’azien-da dipende non solo dal lavoro del gruppo addetto alla si-

curezza ma anche dal comportamento del personale (in-terno ed esterno) a tutti i livelli dell’organigramma.Come avviene per il progetto di un edificio, l’organizza-

zione della sicurezza dovrebbe partire dall’alto, dove gliobiettivi e le politiche di sicurezza sono definiti in terminigenerali dal top management, per essere poi specificati neidettagli man mano che si scende attraverso gli strati delmodello organizzativo della sicurezza. In cima a questo mo-dello ci sono gli obiettivi di business strategici, che ispira-no i processi fondamentali di cui si deve fare carico l’orga-nizzazione di sicurezza: classificazione dei beni e del lorovalore, censimento di vulnerabilità e minacce, analisi del ri-schio, analisi costi/benefici delle contromisure, valutazio-ne del grado di protezione, definizione delle politiche di si-curezza, pianificazione, implementazione e gestione deiprogetti di sicurezza, monitoraggio della conformità tra le

soluzioni adottate e le politiche di sicurezza e altro ancora.L’approccio dall’alto al basso permette di coinvolgere

tutti i livelli aziendali interessati, di assegnare precise re-sponsabilità, di definire politiche coerenti per l’intera strut-


5.1.2.3 conoscere ladifferenza tra

funzionalità egaranzia el’importanza diconseguire entrambeal fine di controllare ilrischio.

5.1.3 Organizzazionedella sicurezza

5.1.3.2 conoscere iprincipali processi daattivare inun’organizzazioneche mira aconseguire lasicurezza delleinformazioni.



PC Open 10


tura aziendale, di sensibilizzare ed educare il personale, difinanziare adeguatamente il progetto sicurezza e di rimuo-vere gli ostacoli che si presenteranno quando verrannoadottate procedure e strumenti che avranno un impattosull’operatività quotidiana e sulle abitudini del personale (atutti i livelli).

A volte nelle aziende vengono prese iniziative di sicu-rezza dal basso, con le buone intenzioni di proteggere al-cuni obiettivi di sicurezza immediati. Senza la forza di spin-ta, l’autorità, la responsabilità, il coinvolgimento generale

e i mezzi assicurati dal management superiore, i tentatividal basso si scontrano facilmente con ostacoli insormon-tabili e sono spesso destinati a fallire. Il migliore interessedell’azienda esige che la responsabilità della sicurezza sidiffonda a cascata dalla cima verso la base della piramideaziendale, con la partecipazione dei vari strati di utenti del-la sicurezza. In questo modo, anziché turare alcune fallesenza un piano preciso, si potrà corazzare l’intera struttu-ra aziendale nel modo più efficiente rispetto al rischio dacontrollare e al budget disponibile. Una volta definiti gliobiettivi, le politiche, un piano e le soluzioni da adottare, sipotrà sensibilizzare e informare tutto il personale sugliaspetti concernenti la sicurezza, rendendo esplicite le re-sponsabilità e le sanzioni per manager, amministratori eutenti.

La struttura organizzativa della sicurezza può assumere

varie forme secondo il tipo e le dimensioni dell’azienda, ilcampo di attività, il rapporto con l’ambiente, il mercato ealtri fattori. Può essere informale in una piccola aziendasenza particolari problemi di sicurezza oppure essere

complessa con rappresentanti delle diverse aree aziendaliin una grande società. Può limitarsi alla sicurezza delleinformazioni o estendere la propria sfera all’intera sicu-rezza aziendale, inclusa la gestione del rischio nei settorioperativo, marketing, finanziario ecc.

Un aspetto che modella i processi di sicurezza è il costoin base al rischio e all’attività dell’azienda. A questo pro-posito, è facile immaginare una scala crescente di rischi einvestimenti in sicurezza. Aziende manifatturiere, organiz-zazioni finanziarie, certification authority (organizzazioni fi-

date che rilasciano certificati digitali) e forze armate sonoesempi di requisiti crescenti di sicurezza.Uno dei primi compiti del gruppo incaricato della sicu-

rezza è quindi quello di inquadrare l’azienda in base al mo-dello di attività, all’esposizione ai rischi e alla dipendenzadall’infrastruttura informatica e di comunicazioni. Questoesame preliminare dovrà tenere in considerazione il qua-dro legislativo tracciato dalle leggi sulla criminalità infor-matica e sulla privacy che si sono succedute numerose nelcorso degli anni e che sono culminati con il decreto legge196 del 2003 (Codice in materia di protezione dei dati per-sonali). Le norme di legge pongono dei vincoli, secondo iltipo di attività, che devono essere calcolati nel delinearel’organizzazione, le politiche e i progetti di sicurezza.

Di conseguenza, l’organizzazione della sicurezza do-vrebbe partire dagli individui, top manager e personale de-

legato, che per legge sono ritenuti proprietari e custodi del-le informazioni e pertanto responsabili delle eventuali vio-lazioni da parte dell’intero personale aziendale e respon-sabili dei danni verso terzi che ne conseguono. Dopo di

Un esempio di politica di sicurezzaper le comunicazioni wireless

1.0 ScopoQuesta policy proibisce l’accesso alla rete della ACMESpA attraverso connessioni wireless insicure, cioè nonprotette tramite autenticazione dell’utente e cifratura deidati. Solo i sistemi wireless conformi ai criteri di questapolicy o che hanno ricevuto una speciale esenzione dalresponsabile della sicurezza sono approvati per laconnessione alle reti della ACME SpA.

2.0 PortataQuesta policy copre tutti i dispositivi di comunicazionedati senza fili (per es. personal computer, telefonicellulari, PDA eccetera) connessi con una delle reti dellaACME SpA. Questo comprende qualunque tipo didispositivo wireless capace di trasmettere dati apacchetti. I dispositivi e le reti wireless senza alcuna

connessione alle reti della ACME SpA non rientranonell’ambito di questa policy.

3.0 Policy3.1 Registrazione degli access point e delle schedeTutti gli access point o stazioni di base connessi allarete aziendale devono essere registrati e approvati dalresponsabile della sicurezza. Questi access point sonosoggetti a test di intrusione e a periodici audit. Tutte leschede d’interfaccia wireless di rete usate sui desktop enotebook aziendali devono essere registrate presso ilresponsabile della sicurezza.

3.2 Tecnologie approvateOgni accesso wireless alla LAN deve utilizzare prodotti econfigurazioni di sicurezza approvati dall’azienda.

3.3 Cifratura e autenticazione via VPNTutti i computer con dispositivi LAN wireless devono

utilizzare una Rete Privata Virtuale (VPN) approvatadall’azienda e configurata per ignorare tutto il trafficonon autenticato e non cifrato. Per conformità con questapolicy, le implementazioni wireless devono mantenere

una cifratura hardware di ogni connessione con chiavi dialmeno 128 bit. Tutte le implementazioni devonosupportare un indirizzo hardware (MAC address)registrato e rintracciabile. Tutte le implementazionidevono supportare e impiegare una forte autenticazionedegli utenti tramite accesso a un server e databaseesterno come TACACS+, RADIUS o simile.

3.4 Impostazione dell’SSIDL’SSID (Service Set Identifier – un’intestazioneaggiuntiva ai pacchetti mandati su una WLAN che fungeda password per chi vuole accedere alla rete - saràimpostato in modo che non contenga alcunainformazione relativa all’organizzazione, come nomedell’azienda, nome della divisione o identificatore delprodotto.

4.0 ApplicazioneQualunque dipendente sia riconosciuto responsabile diaver violato questa policy può essere soggetto ad azionedisciplinare, fino alla cessazione del rapporto di lavoro.

5.0 Definizioni

Termine DefinizioneAutenticazione Un metodo per verificare se l’utente

di un sistema wireless è un utentelegittimo, indipendentemente dalcomputer o dal sistema operativoche viene usato.

6.0 Revisioni10 luglio 2004, aggiunta la sezione 3.420 marzo 2004, sezione 3.3 modificata per includere gliindirizzi MAC



PC Open 11


che, la partecipazione dovrebbe allargarsi a tutti i livelli. Ilmanagement di livello superiore ha la visione globale del-l’azienda e degli obiettivi di business. I manager intermedisanno come funzionano i propri dipartimenti, conoscono ilruolo degli individui e possono valutare l’impatto diretto

della sicurezza nelle loro aree. I manager di livello inferio-re e lo staff sono a contatto con l’effettiva operatività del-l’azienda e conoscono in dettaglio le esigenze tecniche eprocedurali, i sistemi e il loro utilizzo; utilizzano i mecca-nismi di sicurezza nel lavoro quotidiano e sanno come es-si si integrano nei sistemi e nei flussi di lavoro e come in-fluiscono sulla produttività.

Il ruolo delle politiche di sicurezzaDi solito, le informazioni e le risorse informatiche hanno

una relazione diretta con gli obiettivi e con l’esistenza stes-sa di un’azienda. Il management di livello superiore do-vrebbe perciò considerare prioritaria la loro protezione,definendo gli obiettivi della sicurezza, fornendo il suppor-to e le risorse necessari e avviando il programma di sicu-rezza aziendale. Il management deve definire la sfera d’a-

zione della sicurezza, che cosa deve essere protetto e inche misura, tenendo conto delle leggi vigenti e dei risulta-ti dell’analisi del rischio. Quindi deve precisare ciò che ci siaspetta dal personale e le conseguenze delle violazioni. Unprogramma di sicurezza dovrebbe contenere tutti gli ele-menti necessari a fornire all’azienda una protezione com-pleta secondo una strategia a lungo termine. Questi ele-menti comprendono tra l’altro le politiche di sicurezza, leprocedure, gli standard, le linee guida, i criteri minimi di si-curezza, le azioni di sensibilizzazione e addestramento, lemodalità di reazione agli incidenti e un programma per ilcontrollo della sicurezza.

La definizione delle politiche di sicurezza a livello azien-dale è il primo risultato dell’organizzazione di sicurezza.Una politica di sicurezza è un documento sintetico in cui ilmanagement superiore, o un comitato delegato allo scopo,delinea il ruolo della sicurezza nell’organizzazione o in unsuo aspetto particolare.

Generalmente sono necessarie diverse politiche di si-curezza a più livelli, da quello superiore riguardante l’inte-ra azienda, scendendo ad argomenti più specifici, come ilsistema informatico e i singoli aspetti tecnici. Il linguaggio,il livello di dettaglio e il formalismo dei documenti di sicu-rezza dovranno essere realistici per avere efficacia. Un’or-ganizzazione altamente strutturata sarà più portata a se-guire politiche e linee guida dettagliate, mentre un’aziendameno strutturata richiederà maggiori spiegazioni e unaparticolare enfasi per ottenere l’applicazione delle misuredi sicurezza.

La terminologia usata per individuare i livelli principalidelle politiche di sicurezza può variare. In una grande or-

ganizzazione si può parlare di organizational security po-licy, issue-specific policies e system-specific policies per in-dicare le politiche di sicurezza aziendale, le politiche perl’implementazione di funzioni di sicurezza specifiche equelle riguardanti direttamente i computer, le reti, ilsoftware e i dati.

Un’altra suddivisione, applicabile anche su scala medio-piccola, individua tre livelli: la politica di sicurezza azien-dale (corporate security policy), la politica di sicurezza peril sistema informativo (system security policy) e la politicadi sicurezza tecnica (technical security policy).

La politica di sicurezza aziendale indica tutto ciò chedeve essere protetto (beni materiali e immateriali) in fun-zione del tipo di attività dell’azienda, del modello di busi-ness, dei vincoli esterni (mercato, competizione, leggi vi-genti) e dei fattori di rischio. Questo documento definisce

gli obiettivi del programma di sicurezza, assegna le re-sponsabilità per la protezione dei beni e l’implementazio-ne delle misure e attività di sicurezza e delinea come il pro-gramma deve essere eseguito. La politica di sicurezza

aziendale fornisce la portata e la direzione di tutte le futu-re attività di sicurezza all’interno dell’organizzazione, in-cluso il livello di rischio che il management è disposto adaccettare.

La politica di sicurezza del sistema informatico defini-

sce, coerentemente con la politica di sicurezza aziendale, inche modo l’azienda intende proteggere le informazioni e lerisorse informatiche, senza entrare nel merito delle tecno-logie che verranno adottate. In questa fase vengono presiin considerazione requisiti di sicurezza di tipo fisico e pro-cedurale, mentre gli aspetti tecnici sono demandati al li-vello inferiore.

La politica di sicurezza tecnica traduce in requisiti tec-nici funzionali gli obiettivi che si desidera raggiungere at-traverso le contromisure di tipo tecnico informatico, nelcontesto dell’architettura di sistema adottata o pianificatadall’azienda.

In un’azienda di piccole dimensioni potranno essere suf-ficienti singole politiche di sicurezza per ciascuno dei duelivelli inferiori, ma in presenza di più sistemi, dipartimentie divisioni, è probabile che le politiche di sicurezza si sud-

dividano per area e per argomento. (Esempi di politiche disicurezza sono forniti dal SANS Institute alla paginahttp://www.sans.org/resources/policies/).

Disaster Recovery e Business ContinuityLa Disaster Recovery, nel contesto informatico, è la ca-

pacità di un’infrastruttura di riprendere le operazioni dopoun disastro. La maggior parte dei grandi sistemi di calcoloinclude programmi di disaster recovery, inoltre esistonoapplicazioni di disaster recovery autonome che, periodi-camente, registrano lo stato corrente del sistema e delle ap-plicazioni, in modo da poter ripristinare le operazioni in untempo minimo. Il termine disaster recovery può essere usa-to sia dal punto di vista della prevenzione contro la perdi-ta di dati sia delle azioni per rimediare a un disastro.

Due caratteristiche per valutare l’efficacia di un sistemadi disaster recovery sono il Recovery Point Objective(RPO, il momento nel tempo a cui il sistema è riportato) eil Recovery Time Objective(RTO, il lasso di tempo che in-tercorre prima di ripristinare l’infrastruttura). Per ridurrela distanza dell’RPO rispetto al presente occorre incre-mentare il sincronismo della data replication, ovvero la re-plica di archivi e database su un altro sistema, general-mente remoto per motivi di sicurezza. Per ridurre l’RTO, os-sia il tempo di ripristino, occorre che i dati siano tenuti online su un sistema di riserva pronto a subentrare in caso diavaria al sistema principale.

La business continuity (talvolta chiamata business con-tinuance) descrive i processi e le procedure che un’orga-nizzazione mette in atto per assicurare che le funzioni es-senziali rimangano operative durante e dopo un disastro.

Il Business Continuity Planning cerca di prevenire l’inter-ruzione dei servizi critici e di ripristinare la piena operati-vità nel modo più rapido e indolore possibile.

Il primo passo nel pianificare la business continuity è de-cidere quali delle funzioni aziendali sono essenziali e de-stinare di conseguenza il budget disponibile. Una volta chesiano identificati i componenti principali, si possono in-stallare i meccanismi di failover (sistemi di riserva che su-bentrano in caso di avaria). Tecnologie appropriate, comela replica dei database o il mirroring dei dischi su Internet,permettono a un’organizzazione di mantenere copie ag-giornate dei dati in ubicazioni remote, in modo che l’ac-cesso ai dati sia garantito anche quando un’installazionecessa di funzionare.

Un piano di business continuity dovrebbe includere: unpiano di disaster recovery che specifichi le strategie per le

procedure in caso di disastro; un piano di business re-sumption che specifichi i mezzi per mantenere i servizi es-senziali presso il luogo di crisi; un piano di business reco-very che specifichi i mezzi per ripristinare le funzioni azien-


5.1.3.1 conoscere ilruolo delle politichedi sicurezza nelguidare ilmanagement dellasicurezza IT.


5.1.3.3 essereconsapevoli dellenecessità dipianificare lacontinuità operativadell’azienda(business continuity)e il ripristino dopo undisastro (disasterrecovery).



PC Open 12


dali in una località alternativa e un contingency plan chespecifichi il modo di reagire a eventi esterni che causino unserio impatto sull’organizzazione.

Nel mondo degli affari, il disaster recovery planning sista evolvendo verso il business continuity planning da pa-

recchi anni e i recenti eventi terroristici hanno acceleratoquesta tendenza. Già nel 1995 il Disaster Recovery Institu-te International ha rimpiazzato la designazione di CertifiedDisaster Recovery Planner (CDRP) con quella di CertifiedBusiness Continuity Planner (CBCP).

La differenza tra disaster recovery e business continuityè che un piano di disaster recovery è reattivo e si focalizzadi solito sul ripristino dell’infrastruttura informatica. Seb-bene sia logico irrobustire l’infrastruttura informatica perprevenire un disastro, lo scopo principale del piano di di-saster recovery è rimediare ai danni all’infrastruttura. Alcontrario, un piano di business continuity non soltanto èproattivo, ma ha anche l’obiettivo di mantenere in funzio-ne le attività dell’azienda durante qualsiasi evento, non li-mitandosi a ripristinare i computer dopo il fatto.

Come parte del processo di pianificazione della business

continuity, un’azienda dovrebbe riesaminare la continuitào il ripristino di produzione, imballaggio, stoccaggio, spe-dizione, supporto clienti e qualsiasi altra struttura o fun-zione critica per la sopravvivenza dell’azienda. Un fattorechiave per un piano di continuità funzionale è il coinvolgi-mento degli utenti, in modo da non trascurare procedure,attrezzature, documentazione e altre necessità necessarieper ripristinare i processi di business, non soltantol’hardware e il software.

Un piccolo esempio della differenza tra ripristino dopoun disastro e continuità operativa viene offerto dall’usopersonale del computer. L’utente che si organizza per unrudimentale disaster recovery, tiene backup periodici deidati e dei file importanti e tiene sotto mano il software ori-ginale; se il sistema si blocca o l’hard disk si guasta, rein-stalla il sistema operativo e le applicazioni, applica di nuo-vo tutte le personalizzazioni (Windows, e-mail, Internet, ap-plicazioni eccetera) e ripristina i dati dal backup, perden-do solo le aggiunte e le modifiche successive all’ultimobackup.

L’utente orientato alla business continuity si attrezzacon almeno due hard disk e un software di backup auto-matico delle immagini delle partizioni di disco; quindi pia-nifica copie complete settimanali e copie incrementaligiornaliere.

Se si è dotato di un hard disk di backup ben dimensio-nato, può anche conservare più immagini delle partizioniper scegliere quale ripristinare secondo le circostanze (peresempio una più affidabile o una più aggiornata). Anche sesi guasta il disco principale, basta sostituirlo e ripristinarele partizioni dai file immagine per riprendere la normale

operatività in poco tempo (può bastare un’ora), senza rein-stallare nulla.In sintesi, l’obiettivo generale delle attività di sicurezza

è mantenere la continuità del business aziendale e, in par-ticolare, del lavoro del personale e del servizio ai clienti.Hardware, software, sistemi, reti, informazioni, attrezzatu-re e personale sono elementi da proteggere, ma vanno in-quadrati nel piano di sicurezza generale con l’obiettivo diassicurare la continuità operativa.

Strati di responsabilitàOgni membro del personale di un’azienda, dalla cima al

fondo dell’organigramma, ha una parte di responsabilitàper le condizioni operative dell’azienda e, in particolare,per il mantenimento e il miglioramento della sicurezza.

Il management superiore ha la responsabilità di trac-

ciare obiettivi e strategie a lungo termine per l’intera azien-da; inoltre ha la responsabilità globale per la sicurezza del-l’azienda e per la protezione dei beni. In base alle leggi vi-genti, ai beni da proteggere, ai rischi da controllare e agli al-

tri fattori, spetta al management superiore dar vita a un’or-ganizzazione di sicurezza, assegnare gli obiettivi di sicu-rezza, fornire i mezzi per raggiungerli e far sì che l’interopersonale partecipi agli obiettivi e osservi le politiche, le li-nee guida, le procedure e le direttive in materia di sicurez-

za.Il management di livello divisionale e dipartimentale,avendo conoscenza diretta del funzionamento dei propridipartimenti e delle mansioni del personale, ha la respon-sabilità di contribuire alla formazione delle politiche di si-curezza, di partecipare ai processi di analisi e di controllodel rischio, all’analisi costi/benefici delle contromisure e almonitoraggio delle attività di sicurezza, delegando partedei compiti, ma condividendo le responsabilità con il ma-nagement operativo, gli specialisti di sicurezza, i system ad-ministrator, gli auditor e gli utenti.

I manager operativi e lo staff sono a contatto con l’ef-fettiva operatività dell’azienda e conoscono in dettaglio irequisiti tecnici e procedurali, i sistemi e il loro utilizzo. Illoro compito è fornire informazioni utili per pianificare, or-ganizzare e monitorare i programmi di sicurezza e imple-

mentare le politiche, le linee guida e le procedure stabilitedal management e dall’organizzazione di sicurezza.Gli esperti di sicurezza , sia che si tratti di funzionari o

di dirigenti interni (come security officer o Chief Informa-tion Officer) o di professionisti esterni, hanno la funzione ela responsabilità di realizzare gli obiettivi di sicurezza e diimplementare le direttive del management superiore. Gliesperti di sicurezza, grazie alla loro competenza specifica,sono un fattore chiave per dare solide fondamenta all’or-ganizzazione di sicurezza e per metterne in funzione i pro-cessi, inclusi i meccanismi di monitoraggio e controllo permantenere la rotta senza un rilassamento delle policy, del-le linee guida, degli standard e delle procedure. Una delleprincipali responsabilità degli esperti di sicurezza è il coin-volgimento del management, a cui spetta la firma su ognidecisione e direttiva dopo aver recepito requisiti, informa-zioni e analisi dal gruppo di sicurezza e dal personale (coin-volto tramite questionari, interviste ecc.).

Due ruoli importanti per la sicurezza, che devono esse-re chiaramente definiti, sono il proprietario dei dati e il cu-stode dei dati.

Il proprietario dei dati è generalmente un membro delmanagement superiore ed è, in definitiva, il massimo re-sponsabile della protezione delle informazioni e della si-curezza in generale. A lui verrà imputata ogni negligenzache abbia come conseguenza la perdita o la divulgazione il-lecita delle informazioni e i danni conseguenti. Le violazio-ni vanno dalla inosservanza della legge sulla privacy (peresempio consentendo l’accesso illegale al database trami-te Internet) alla copia illecita di dati soggetti a copyright(come software, musica e film scaricati dai dipendenti) al-

la inadeguata implementazione di procedure di disaster re-covery e business continuity (gli azionisti potrebbero de-nunciare inadempienze che causino grosse perdite all’a-zienda).

Il custode dei dati ha la responsabilità della manuten-zione e della protezione dei dati, un ruolo che di solito è ri-coperto dal system administrator o, in una grande azienda,da un ruolo senior a system administrator e network ad-ministrator. Tra le funzioni ci sono l’esecuzione di backupperiodici (generalmente secondo una strategia a più livel-li, con diversi tipi di supporto, diverse periodicità e, nel ca-so dei database, sistemi di replicazione remota sincroni oasincroni secondo i requisiti). Deve inoltre implementare imeccanismi di sicurezza, validare periodicamente l’inte-grità dei dati e dei supporti (sia on line sia di backup), ri-pristinare i dati (e i programmi) dai backup quando neces-

sario e soddisfare i requisiti delle politiche di sicurezza, de-gli standard e delle linee guida che riguardano la sicurezzadelle informazioni e la protezione dei dati. In particolare, unsystem administrator è responsabile dei singoli computer


5.1.3.4 conoscere leresponsabilità di tuttii ruoli coinvolti inun’organizzazione(addetti allasicurezza,amministratori di

sistema, utentiqualunque).



PC Open 13


e dispositivi collegati, mentre un network administrator èresponsabile delle connessioni, dell’hardware e del softwa-re di networking, oltre che del funzionamento in rete deicomputer e delle periferiche. Nelle aziende piccole le duefigure si sovrappongono.

Gli utenti sono tutti gli individui che quotidianamenteutilizzano i dati per motivi di lavoro. Ogni utente dovrebbeavere i privilegi di accesso necessari per svolgere le propriemansioni ed è responsabile di applicare le procedure di si-curezza per preservare la disponibilità, l’integrità e la ri-servatezza delle informazioni.

Una cattiva gestione della sicurezza, non conforme aglistrati di responsabilità, causa buona parte dei problemi intale campo. L’organizzazione della sicurezza dovrebbe pre-vedere un comitato di alto livello per assicurare che leistanze di sicurezza ricevano la dovuta attenzione da par-te del management superiore.

Un CIO ( Chief Information Officer ) o security officer do-vrebbe lavorare con il management superiore per definirele procedure di sicurezza strategiche e supportare i busi-ness manager nel definire le loro necessità in tema di infor-

mazioni e sicurezza. I business manager (responsabili adesempio di attività commerciali, di marketing, di rapporticon i clienti, di progetti di espansione) hanno la principaleresponsabilità nel determinare i requisiti di protezione del-le risorse informative, quindi dovrebbero essere coinvoltidirettamente nella scelta delle misure di protezione. Spet-ta ai business manager anche approvare i nuovi accountdegli utenti, mentre gli amministratori della sicurezza crea-no gli account, assegnano le password, si occupano delsoftware di sicurezza, testano le patch prima di applicarleai sistemi.

Le decisioni sui beni da proteggere e sulle contromisu-re da adottare sono compito del management superiore(assistito dallo staff e dagli organismi predisposti), non deisystem administrator e dei professionisti della sicurezza.Un errore molto frequente è gestire la sicurezza a livello disecurity administrator o system administrator. In tal caso,la sicurezza non è vista nei termini ampi e generali che ri-chiede, non viene eseguita alcuna analisi del rischio, un’at-tività che richiede le valutazioni del management superio-re e quest’ultimo non prende consapevolezza dei rischi acui l’azienda è esposta. Inoltre, non vengono stanziati i fon-di necessari per le attività di sicurezza e non viene svoltaopera globale di sensibilizzazione ed educazione del per-sonale.

Il dipartimento del Personale ha responsabilità specifi-che in tema di sicurezza. Metà dei problemi di sicurezza so-no originati da cause interne alle aziende, sia per carenzenella gestione della sicurezza sia per pratiche di recluta-mento inadeguate. Al dipartimento del Personale spetta as-sumere o ingaggiare personale qualificato, verificare il cur-

riculum di studi e lavoro e le informazioni personali, far fir-mare un impegno di non divulgazione delle informazioni (edi rispetto del copyright).

Spetta sempre al dipartimento del personale fornire l’ad-destramento necessario, imporre uno stretto controllo de-gli accessi, monitorare l’utilizzo dei sistemi e, in caso di vio-lazione, provvedere immediatamente per impedire ulterioridanni e proteggere le informazioni, le risorse e tutte le par-ti interessate (non dimentichiamo la condanna dell’ammi-nistratore delegato per i film pirata scaricati abusivamen-te dall’impiegato).

CERT, CSIRT e la gestione degli incidentiCon la diffusione delle connessioni in rete e l’espansio-

ne di Internet, dopo i primi attacchi si sentì l’esigenza di co-stituire organizzazioni per reagire prontamente a eventi

che minacciassero la sicurezza dei computer collegati a In-ternet. Il primo Computer Emergency Response Team(CERT, squadra di intervento per le emergenze informati-che) fu creato negli USA dalla DARPA ( Defense Advanced

Research Projects Agency ), nel novembre 1988, in rispostaal primo grave attacco alla rete, quando un worm mandò inavaria il 10% di Internet.

La missione del CERT è quella di operare con la comu-nità di Internet per facilitare la risposta agli eventi riguar-

danti la sicurezza degli host (i computer collegati a Inter-net), prendere iniziative per sensibilizzare la comunità su-gli aspetti della sicurezza e condurre ricerche rivolte a in-crementare la sicurezza dei sistemi esistenti.

Il primo CERT (www.cert.org) è diventato il CERT Coor-dination Center (CERT-CC) ed è situato presso il SoftwareEngineering Institute, finanziato dal governo USA e gestitodalla Carnegie Mellon University di Pittsburg.

Si focalizza sulle violazioni alla sicurezza, allerta sullenuove minacce, reagisce agli attacchi (i cosiddetti inci-dents) e fornisce assistenza, informazioni sulla vulnerabi-lità dei prodotti e istruzione con documenti e tutorial.

Nel 2003 è stato formato lo United States ComputerEmergency Readiness Team (US-CERT, www.us-cert.gov),una partnership tra il Department of Homeland Security(nato nel 2002 per fronteggiare gli attacchi terroristici in

USA) e il settore privato.L’US-CERT opera a Washington e a Pittsburg, in strettocoordinamento con il CERT-Coordination Center. Il suocompito è analizzare e ridurre le minacce e vulnerabilitàinformatiche, disseminare informazioni per allertare sullenuove minacce e coordinare le attività di risposta agli inci-denti.

Vista la dimensione delle reti, il numero di comunità diutenti e la richiesta di supporto per fronteggiare i problemidi sicurezza, il CERT-CC è impegnato ad aiutare la forma-zione degli CSIRT ( Computer Security Incident ResponseTeam ), squadre di intervento per gli incidenti di sicurezzainformatica, a cui fornisce guida e addestramento. Nellamaggior parte delle aziende, i system e network admini-strator non hanno a disposizione personale, competenze eprocedure per fronteggiare prontamente gli attacchi infor-matici e minimizzare i danni, come dimostra il numero cre-scente di incidenti di sicurezza.

In questi casi è necessaria una risposta rapida ed effica-ce; più tempo trascorre per riconoscere, analizzare e ri-spondere a un incidente, maggiori sono i danni e i costi diripristino. Le grandi organizzazioni hanno la possibilità dicrearsi il proprio CSIRT, come avviene negli USA con l’aiu-to del CERT CSIRT Development Team.

In alternativa, si ricorre a gruppi di intervento pubblici,come il CERT-IT (http://security.dico.unimi.it) e il GARR-CERT (www.cert.garr.it) entrambi italiani.

I CERT o CSIRT delle varie nazioni sono collegati in unastruttura internazionale che permette la rapida condivi-sione delle informazioni utili a fronteggiare minacce e at-tacchi. Il FIRST ( Forum for Incident Response and Security

Teams, www.first.org) è nato nel 1990.Nel 2003 FIRST contava la partecipazione di 150 orga-nizzazioni per la risposta agli incidenti di sicurezza in ogniparte del mondo. Il CERT-IT, ubicato presso l’Istituto diScienza dell’Informazione dell’Università degli Studi di Mi-lano, è il primo membro italiano di FIRST, a cui è stato am-messo nel 1995.

La segnalazione degli incidenti al CERT-IT avviene in for-ma riservata e autenticata tramite PGP (Pretty Good Pri-vacy), un programma di cifratura gratuito usato da milionidi utenti per proteggere la riservatezza della posta elettro-nica (www.it.pgpi.org). La gestione degli incidenti prevedetre fasi:

1) la segnalazione dell’incidente, via e-mail o via Web,con allegate le informazioni sull’attacco e i file rilevanti (co-me quelli di log);

2) la registrazione dell’incidente da parte del CERT-IT el’indagine sull’attacco fino a informare l’utente, se le infor-mazioni fornite sono sufficienti, sui rimedi da adottare;

3) la chiusura della segnalazione.


5.1.3.5 sapere comepartecipare a unasquadra d’intervento

per le emergenzeinformatiche.



PC Open 14


Standard ed entidi standardizzazioneGli enti di standardizzazione principali e il loro ruolo

Gli enti di standardizzazione sono organizzazioni di na-

tura molto differente, che coprono aspetti normativi di-versificati e hanno avuto una genesi diversa a seconda deicasi. Operano in ambito nazionale o internazionale edemettono norme e linee guida (gli standard) che 1) per-mettono di realizzare prodotti, processi e servizi secondolo stato corrente delle tecnologie e 2) forniscono le basi pergarantire l’interoperabilità tra prodotti di produttori di-versi. Oltre a emettere standard, questi enti svolgono altreattività, come la pubblicazione di documenti interpretativiper facilitare l’applicazione degli standard secondo deter-minati profili di utilizzo.

Generalmente gli enti di standardizzazione operano sul-la base del consenso con un’attività di coordinamento e ar-monizzazione. A volte il documento che descrive uno stan-dard è il risultato del lavoro di ricerca e sviluppo di un grup-po di aziende e un compito dell’ente di standardizzazione

è far sì che le norme raggiungano un vasto campo di appli-cabilità nel settore industriale interessato. In qualche casodiversi gruppi industriali adottano tecnologie in concor-renza tra loro e l’ente di standardizzazione, se non preval-gono interessi economici o politici particolari, riesce ad ar-monizzarne le caratteristiche definendo uno standard a cuitutti i partecipanti si uniformano.

Casi di questo genere sono frequenti, per esempio nelcampo delle comunicazioni e del networking, quando allafase di rapida uscita sul mercato segue la ricerca del con-senso e della massima interoperabilità. In generale, un en-te di standardizzazione permette che le tecnologie con lamigliore combinazione di caratteristiche e consenso sianocodificate in modo da superare l’ambito locale di origine esiano applicabili uniformemente e in modo interoperabilesu scala nazionale e internazionale. Gli organismi di stan-dardizzazione possono essere istituzioni formalmente ri-conosciute dagli stati nazionali o essere consorzi privati diimprese che operano in un certo settore del mercato. Ve-diamo ora quali sono gli enti di standardizzazione rilevan-ti ai fini della sicurezza informatica.

• ITU ( International Telecommunication Union, www.itu.int ):è un’organizzazione internazionale, nell’ambito dell’ONU,dove governi e settore privato coordinano le reti e i ser-vizi globali di telecomunicazioni. Ha sede a Ginevra ecomprende i settori ITU-T (standardizzazione), ITU-R(radiocomunicazioni) e ITU-D (sviluppo). Ai fini della si-curezza delle informazioni, sono di interesse le racco-mandazioni ITU-T della serie X.500 (servizi di directory)e, in particolare, la norma X.509 che descrive il formato

dei certificati digitali.• ISO ( International Organization for Standardization,

www.iso.org ): è la maggiore organizzazione internaziona-le di standardizzazione e comprende gli enti di standar-dizzazione nazionali di 146 paesi (l’UNI è il membro ita-liano). L’ISO, il cui nome non è un acronimo ma deriva dal-la parola greca isos - uguale - ha sede a Ginevra e opera astretto contatto con IEC (International ElectrotechnicalCommission), ITU, CEN (Comitato Europeo di Normaliz-zazione) e CESI (Centro Elettrotecnico Sperimentale Ita-liano). Le norme ITU X.500, in realtà, sono state emessecongiuntamente all’ISO e sono contenute nella serie ISO9594. ISO/IEC/JTC1 è il comitato che si occupa di stan-dardizzazione nel campo dell'ICT (http://www.jtc1.org). Imembri del JTC1 (Joint Technical Committee 1) sono gli

enti nazionali di standardizzazione IT. Il JTC 1 è respon-sabile della gestione di un vasto e complesso programmadi lavoro ed è strutturato in sottocomitati e gruppi di la-voro in base alle aree di interesse. Il sottocomitato 27

(ISO/IEC JTC1/SC27) è quello che si occupa di tecniche disicurezza e vi partecipa, per l’Italia, l’UNINFO.

• IETF ( Internet Engineering Task Force, www.ietf.org ): è unavasta comunità internazionale di progettisti, operatori,

produttori e ricercatori nel campo del networking, inte-ressati all’evoluzione dell’architettura di Internet e all’af-fidabilità del suo funzionamento. È aperta a tutti gli inte-ressati e il lavoro tecnico effettivo è svolto dai gruppi dilavoro, che sono organizzati per argomento in aree comerouting, trasporto, sicurezza e così via. L’IETF emette nor-me sotto forma di Request For Comment (RFC). Ne fa par-te la serie dedicata alle infrastrutture a chiave pubblica,normalmente indicate con la sigla PKIX (Internet X.509Public Key Infrastructure).

• CEN ( Comitato Europeo di Normalizzazione, www.ce- norm.org ): è un organismo europeo composto dagli entidi standardizzazione dei paesi membri dell’Unione Euro-pea e dell’EFTA ( European Fair Trade Association - tra cuil’UNI per l’Italia). CEN, CENELEC ed ETSI sono i tre enti eu-

ropei di standardizzazione a cui è riconosciuta la com-petenza nell’area della standardizzazione tecnica su basevolontaria e che sono elencati nell’Allegato I della Diret-tiva 98/34/EC riguardante la “procedura informativa” pergli standard e la normativa tecnica. Insieme, essi prepa-rano gli standard europei in settori di attività specifici ecostituiscono il “sistema di standardizzazione europeo”.La maggior parte degli standard è preparata su richiestadell’industria, ma anche la Commissione Europea può far-ne richiesta. Le direttive UE normalmente contengonoprincipi generali obbligatori, demandando i requisiti tec-nici dettagliati agli enti di standardizzazione. Il CENELECè il Comitato Europeo per la Standardizzazione Elettro-tecnica (www.cenelec.org). L’EFTA (European Fair TradeAssociation, www.eftafairtrade.org) è lo spazio di liberoscambio nato nel 1960 tra Austria, Danimarca, Norvegia,Portogallo, Svezia, Svizzera e Gran Bretagna.

• ETSI ( European Telecommunications Standards Institute,www.etsi.org ): è un’organizzazione europea indipenden-te, riconosciuta dalla Commissione Europea e dall’EFTA.Ha sede a Sophia Antipolis (Francia) ed è responsabileper la standardizzazione delle tecnologie informatiche edi comunicazioni (ICT) in Europa. Queste tecnologie in-cludono le telecomunicazioni, il broadcasting e le areecollegate come i trasporti intelligenti e l’elettronica me-dica. L’ETSI raggruppa 688 membri in 55 nazioni (dato difebbraio 2005) dentro e fuori l’Europa, tra cui produttori,gestori di reti, amministratori, service provider, enti di ri-cerca e utenti. Tra i campi d’interesse, l’ETSI si occupa dialgoritmi di sicurezza e di servizi TTP ( Trusted Third Party

Services ); tra i progetti, segnaliamo l’European ElectronicSignature Standardization Initiative (www.ict.etsi.org/EESSI_home.htm), che tra il 1999 e il 2004 ha coordi-nato l’attività di standardizzazione per implementare ladirettiva CE sulla firma elettronica.

• UNINFO ( www.uninfo.polito.it ): è una libera associazionea carattere tecnico, con lo scopo di promuovere e di par-tecipare allo sviluppo della normativa nel settore delle tec-niche informatiche. Rientrano nel suo campo d’attività i si-stemi di elaborazione e di trasmissione delle informazio-ni e le loro applicazioni nelle più diverse aree, quali, adesempio, le attività bancarie e le carte intelligenti. L’U-NINFO è associato all’UNI, l’ente nazionale italiano di uni-ficazione (www.uni.com/it) e rappresenta l’Italia pressoCEN e ISO. Le attività dell’UNINFO nell’ambito della sicu-

rezza informatica sono svolte dalla commissione STT ( Si- curezza delle Transazioni Telematiche ), che si occupa del-le norme di sicurezza nelle transazioni telematiche, conparticolare riferimento alla firma elettronica.

5.1.4 Standarded enti distandardizzazione

5.1.4.1 conoscere i

principali enti distandardizzazione e illoro ruolo.



PC Open 15


Normative relative alla sicurezzadelle informazioni

L’attività normativa relativa alla sicurezza può esseresuddivisa in tre aree: norme funzionali, criteri di valuta-zione della garanzia e norme relative al sistema di gestio-

ne della sicurezza.1) Norme funzionali: queste sono relative ai prodotti ehanno lo scopo principale di ricercare l’interoperabilitàdei prodotti informatici. Coprono argomenti quali i pro-tocolli di comunicazione, il formato dei dati (per esem-pio in un certificato digitale o in una smartcard) e cosìvia. Oltre agli standard emessi dagli enti formali di stan-dardizzazione, ci sono numerose specifiche tecnichepubbliche emesse da associazioni e talvolta anche daindustrie private. Oltre agli enti già citati, segnaliamo an-che i seguenti: ANSI, American National Standards Insti- tute ( www.ansi.org ), IEC, Commissione Elettrotecnica In- ternazionale: ( www.iec.ch ), DIN, Deutsches Institut für Normung ( www.din.de ), SEIS, Swedish Secured Electronic Information in Society Specifications, Sweden( www.seis.se ).Tra le associazioni, oltre al citato IETF, se-

gnaliamo l’IEEE, Institute of Electrical and Electronics En- gineers ( www.ieee.org. ). Tra gli standard di aziende pri-vate segnaliamo la serie PKCS#1-15 ( Public Key Crypto- graphy Standards ) di RSA Security ( www.rsa.com ).

2) Criteri di valutazione della garanzia : sono i metodi concui viene valutata la fiducia che può essere accordata aisistemi e ai prodotti informatici di sicurezza. Tra le pub-blicazioni disponibili, le tre più significative sono i cri-teri americani TCSEC (Trusted Computing Security Eva-luation Criteria, 1985), i criteri europei ITSEC (Informa-tion Security Evaluation Criteria, 1991) e i criteri inter-nazionali ISO/IEC 15408, noti come Common Criteria epubblicati nel 1999.

3) Norme e linee guida relative al sistema di gestionedella sicurezza nell’azienda : segnaliamo le linee guidaISO/IEC 13335 (Part 1: Concepts and models for IT Se-curity, Part 2: Managing and planning IT Security, Part 3:Techniques for the management of IT Security, Part 4:Selection of safeguards, Part 5: Management guidanceon network security) e le norme BS (British Standard)7799 (Part 1: Code of Practice, recepita dalla ISO/IEC17799 Code of practice for information security mana-gement del 2000 e Part 2: Controls, riveduta nel 2002).

I criteri per la valutazionedella garanzia

Abbiamo visto in precedenza che i sistemi di sicurezzasono caratterizzati dalla funzionalità (quello che il sistemadeve fare per la sicurezza) e dalla garanzia (la fiducia nel-la protezione offerta dalla funzionalità), a sua volta costi-tuita da correttezza (qualità di implementazione della fun-

zionalità) e da efficacia (in quale grado la contromisuraprotegge dalle minacce).Le tre fonti citate sopra a proposito dei criteri di valu-

tazione della garanzia si chiamano appunto criteri di va-lutazione, anziché norme o standard, perché, sia pure condiversa attenzione ai requisiti funzionali, tutti si esprimo-no sui livelli di garanzia, un concetto troppo astratto peressere ridotto a uno standard. In ogni caso, TCSEC mischiafunzionalità e garanzia, ITSEC tenta di separare le due ca-tegorie, ma non ci riesce del tutto, mentre questo risulta-to è stato raggiunto nei Common Criteria, più efficaci e age-voli da applicare.

I criteri di valutazione dei processi di sicurezza hannoseguito idee e metodi diversi nel tempo e nelle varie areegeografiche. Oggi il TCSEC viene considerato troppo rigi-do, l’ITSEC troppo morbido e complicato e i Common Cri-

teria accettabili da tutti.Il TCSEC è stato sviluppato dal Dipartimento della Di-

fesa USA e pubblicato dal National Computer Security Cen-ter (parte della National Security Agency) nel cosiddetto

Orange Book del 1985. Sebbene in Europa possa essere vi-sto come superato, nella cultura di sicurezza americanaoccupa ancora uno spazio rilevante ed è considerato in-dicativo delle esigenze di sicurezza degli ambienti milita-ri.

Il TCSEC serve per valutare sistemi operativi, applica-zioni e prodotti di vario genere. I criteri di valutazione so-no stati pubblicati in un volume dalla copertina arancione,detto perciò Orange Book. Le valutazioni di sicurezza ri-sultanti dall’applicazione del TCSEC servono ai compra-tori per confrontare diverse soluzioni e ai produttori persapere a quali specifiche conformarsi.

L’Orange Book viene usato per accertare se i prodottioffrono le caratteristiche di sicurezza dichiarate e per va-lutare se un prodotto è appropriato per una funzione o ap-plicazione specifica. Durante la valutazione, l’Orange Bookprende in considerazione la funzionalità e la garanzia di unsistema e fornisce un sistema di classificazione suddivisoin una gerarchia di livelli di sicurezza:A. Protezione verificata B. Protezione obbligatoria

C. Protezione discrezionaleD. Sicurezza minima.

Ognuna delle quattro divisioni, da A (massima sicurez-za) a D (minima sicurezza), può avere una o più classi di si-curezza, ognuna numerata e corrispondente a un certo in-sieme di requisiti da soddisfare. Le classi con numero su-periore indicano un maggiore grado di fiducia e garanzia.I criteri di valutazione includono quattro argomenti prin-cipali: politiche di sicurezza, rendicontabilità (accounta-bility), garanzia (assurance) e documentazione, ciascunadelle quali si suddivide in sei aree:- Politiche di sicurezza (la policy deve essere esplicita eben definita e imposta da meccanismi interni al sistema)

- Identificazione (i singoli soggetti devono essere identifi-cati)

- Etichette (le etichette per il controllo degli accessi devo-no essere associate in modo appropriato agli oggetti)

- Rendicontabilità (si devono raccogliere e proteggere i da-ti di audit per imporre la rendicontabilità)

- Garanzia del ciclo di vita (software, hardware e firmwaredevono poter essere testati individualmente per assicu-rare che ciascuno imponga la politica di sicurezza in mo-do efficace per tutto il ciclo di vita)

- Protezione continua (i meccanismi di sicurezza e l’interosistema devono funzionare con continuità in modo pre-vedibile e accettabile in tutte le diverse situazioni).

Queste categorie sono valutate in modo indipendente,ma alla fine viene assegnata una valutazione complessiva.Ogni divisione e classe di sicurezza include i requisiti del-le classi e divisioni inferiori (per esempio la B2 include i re-quisiti di B1, C2 e C1).

Le classi sono: C1 (protezione di sicurezza discrezio-nale), C2 (protezione ad accessi controllati), B1 (prote-zione obbligatoria), B2 (protezione strutturata), B3 (do-mini di sicurezza) e A1 (progetto controllato). TCSEC s’in-dirizza alla riservatezza, ma non all’integrità. Mette gran-de enfasi su controllare quali utenti possono accedere alsistema e ignora praticamente che utilizzo costoro faccia-no delle informazioni. Funzionalità e garanzia dei mecca-nismi di sicurezza non sono valutate separatamente, macombinate tra loro.

Viste le numerose carenze dell’Orange Book, special-mente se applicato in ambito civile, furono pubblicate di-verse estensioni, in quella che prese il nome di RainbowSeries (serie arcobaleno). Ne fa parte il Trusted NetworkInterpretation (TNI), detto Red Book, che si occupa di si-curezza delle reti, uno dei tanti argomenti non trattati dal-

l’Orange Book.L’ITSEC è stato il primo tentativo di stabilire un unico

standard di valutazione degli attributi di sicurezza da par-te di molti paesi europei. Durante gli anni ’80, Regno Uni-


5.1.4.2 conoscere ladisponibilità di una

metodologia pervalutare i diversilivelli di garanzia(ITSEC, CommonCriteria).


5.1.4.3 conoscere le

differenze essenzialitra gli standardpubblicati (ISO/IEC17799, BS 7799part 2) nati comesupporto per lacostruzione diun’infrastruttura digestione dellasicurezza all’internodi un’organizzazione.



PC Open 16


to, Germania, Francia e Olanda avevano prodotto versionidei loro criteri nazionali, in seguito armonizzate e pubbli-cate come Information Technology Security EvaluationCriteria (ITSEC).

La versione 1.2 corrente è stata pubblicata nel 1991 dal-

la Commissione Europea, a cui ha fatto seguito nel 1993 l'ITSecurity Evaluation Manual (ITSEM) che specifica la meto-dologia da seguire per realizzare le valutazioni ITSEC.

L’innovazione rispetto al TCSEC è stato il tentativo direndere indipendente la definizione delle funzionalità, co-sì da poter applicare i criteri ITSEC a un ampio spettro diprodotti e sistemi, che nel gergo ITSEC si chiamano TOE( target of evaluation ).

La definizione delle funzionalità di sicurezza è scorpo-rata in un documento chiamato Security Target, che de-scrive le funzionalità offerte dal TOE e l’ambiente operati-vo del TOE. Nel caso di un sistema, il Security Target con-tiene una System Security Policy (regole operative definitesu misura per uno specifico ambiente operativo).

La valutazione ITSEC viene eseguita da terze parti chia-mate CLEF ( Commercial Licensed Evaluation Facility ) a cui

spetta fornire le certificazioni di conformità ai requisiti disicurezza. Il processo ISEC inizia con lo sponsor (di solitolo sviluppatore del prodotto, o TOE) che nomina un CLEF.Il CLEF valuta il Security Target e produce un piano di la-voro. Viene nominato un certificatore e il processo ha ini-zio. Lo sponsor fornisce tutto il materiale al valutatore, chevaluta se esso soddisfa i requisiti in termini di completez-za, coerenza e accuratezza. Una volta soddisfatto, il valu-tatore produce un report e lo sottopone al certificatore perl’approvazione. Se il certificatore è soddisfatto, produce unreport di certificazione e pubblica un certificato ITSEC.

Il Security Target è il documento chiave per la valuta-zione e contiene il target evaluation level, ossia il livello divalutazione di sicurezza a cui il produttore aspira per com-mercializzare il suo prodotto in un certo mercato. Ci sonosei livelli di valutazione da E1 a E6; maggiore è il livello,maggiore è il dettaglio e il rigore richiesto ai materiali sot-toposti alla valutazione.

I requisiti di efficacia sono gli stessi per i sei livelli di va-lutazione e sono valutati in una serie di analisi: SuitabilityAnalysis, Binding Analysis, Ease of Use Analysis, Con-struction Vulnerabilities Analysis e Operational Vulnerabi-lities Analysis.

Per valutare la correttezza del prodotto viene prodottoil documento Architectural Design, che identifica ad alto li-vello la struttura di base del TOE, le interfacce e la suddi-visione in hardware e software. Il Detailed Design è un do-cumento che scende nei dettagli dell’Architectural Designfino a un livello di dettaglio utilizzabile come base per l’im-plementazione. Durante il processo di valutazione, vieneverificato se le specifiche di sicurezza del Detailed Design

sono implementate correttamente e vengono esaminati isorgenti del software e i diagrammi di progetto del-l’hardware.

Ulteriori materiali forniti dal produttore per la valuta-zione includono l’ambiente di sviluppo (controllo di confi-gurazione, linguaggi di programmazione, compilatori ec-cetera), la documentazione operativa (guida utente e ma-nuale di amministrazione) e l’ambiente operativo (distri-buzione, configurazione, installazione e utilizzo).

L’ITSEC ha tentato di fornire un approccio più flessibiledel rigido TCSEC, di separare funzionalità e garanzia e diconsentire la valutazione di interi sistemi. La flessibilità haperò portato con sé la complessità, perché i valutatori pos-sono mescolare e abbinare le valutazioni di funzionalità egaranzia, facendo proliferare le classificazioni e rendendoil processo tortuoso.

I tempi erano maturi per tentare un approccio più effi-cace e unificato tra aree geografiche. Nel 1990 l’ISO rico-nobbe l’esigenza di criteri standard di valutazione di ap-plicabilità globale. Il progetto Common Criteria iniziò nel

1993 quando diverse organizzazioni si associarono percombinare e allineare i criteri di valutazione esistenti edemergenti: TCSEC, ITSEC, il canadese CTCPEC ( CanadianTrusted Computer Product Evaluation Criteria ) e i criteri fe-derali USA. Il progetto fu sviluppato attraverso la collabo-

razione degli enti nazionali di standardizzazione di StatiUniti, Canada, Francia, Germania, Regno Unito e Olanda. Ibenefici di questo sforzo comune comprendono la ridu-zione della complessità del sistema di valutazione, la di-sponibilità di un unico linguaggio per le definizioni e per ilivelli di sicurezza e, a beneficio dei produttori, l’uso di ununico insieme di requisiti per vendere i prodotti sul mer-cato internazionale.

La versione 1.0 dei Common Criteria è stata completatanel gennaio 1996. Sulla base di approfondite prove, valuta-zioni e reazioni del pubblico, la versione 1.0 subì un’estesarevisione e diede vita alla versione 2.0 dell’aprile 1998, chedivenne lo standard ISO 15408 nel 1999. Il progetto ha in se-guito incorporato modifiche di lieve entità che hanno pro-dotto la versione 2.1 dell’agosto 1999. Oggi la comunità in-ternazionale ha adottato i CC attraverso il Common Criteria

Recognition Arrangement , un accordo in base al quale i fir-matari concordano nell’accettare i risultati delle valutazio-ni CC eseguite da altri membri della CCRA.

La flessibilità dell’approccio dei Common Criteria stanel fatto che un prodotto è valutato a fronte di un certoprofilo di protezione, strutturato in modo da soddisfarespecifici requisiti di protezione. Rispetto all’ITSEC, di cuiconserva molti aspetti, come la separazione tra funziona-lità e garanzia, i Common Criteria forniscono cataloghi difunzionalità e requisiti di garanzia che rendono più formalee ripetibile la compilazione del Security Target. Alla valu-tazione di un prodotto viene assegnato un Evaluation As- surance Level (EAL) che va da 1 a 7 (massima garanzia). Lacompletezza e il rigore dei test crescono con il livello di ga-ranzia assegnato. I sette livelli hanno questi significati:EAL1 testato funzionalmenteEAL2 testato strutturalmenteEAL3 testato e verificato metodicamenteEAL4 progettato, testato e riveduto metodicamenteEAL5 progettato e testato in modo semi-formaleEAL6 verifica del progetto e testing semi-formaliEAL7 verifica del progetto e testing formali

Il sistema Common Criteria utilizza i protection profileper la valutazione dei prodotti. Il protection profile con-tiene l’insieme di requisiti di sicurezza, il loro significato ele ragioni per cui sono necessari, oltre che il livello EALche il prodotto deve soddisfare. Il profilo descrive le con-dizioni ambientali, gli obiettivi e il livello previsto per la va-lutazione della funzionalità e della garanzia. Viene elenca-ta ogni vulnerabilità e come dev’essere controllata da spe-

cifici obiettivi di sicurezza. Inoltre il documento fornisce lemotivazioni per il livello di garanzia e la robustezza deimeccanismi di protezione.

Nella struttura del sistema Common Criteria, il protec-tion profile descrive la necessità di una specifica soluzio-ne di sicurezza, che è l’input per il prodotto da valutare(TOE). Il TOE è il prodotto proposto per fornire la solu-zione alle esigenze di sicurezza. Il security target è scrittodal produttore e spiega le funzionalità di sicurezza e i mec-canismi di garanzia che soddisfano i requisiti di sicurezza.I Security Functionality Requirements e i Security Assu-rance Requirements formano dei componenti (package)riutilizzabili che descrivono gli insiemi dei requisiti di fun-zionalità e di garanzia da soddisfare per ottenere lo speci-fico EAL a cui il produttore aspira. Questi documenti di re-quisiti sono indipendenti dalle tecnologie con cui vengono

realizzati i prodotti.L’utilizzo di prodotti certificati, oltre a rispondere a re-

quisiti formali di approvvigionamento, offre numerosi be-nefici, tra cui la disponibilità di un documento di specifi-



PC Open 17


che di sicurezza formalizzate (il security target) conte-nente la descrizione delle minacce che il prodotto è in gra-do di contrastare e l’esistenza di test e verifiche effettua-te, secondo metodologie documentate, da un ente indi-pendente. Le pubblicazioni relative ai Common Criteria so-

no inoltre di ausilio per tenere conto dei requisiti di fun-zionalità e di garanzia nella progettazione di sistemi infor-matici con requisiti di sicurezza, anche se non s’intendesottoporli al processo di certificazione.

Riferimenti:csrc.nist.gov/cc, www.rycombe.com/cc.htm,www.clusit.it/whitepapers/iso15408-1.pdf,www.clusit.it/whitepapers/iso15408-2.pdf ewww.clusit.it/whitepapers/iso15408-3.pdf

Le norme sul sistemadi gestione della sicurezza

Gli sviluppi normativi nel campo dei sistemi di gestionedella sicurezza delle informazioni sono avvenuti in tempipiù recenti rispetto all’evoluzione dei criteri di valutazione

della garanzia (come TCSEC, ITSEC e Common Criteria) edei sistemi di gestione della qualità (come ISO 9000).ISO/IEC ha pubblicato, tra il 1996 e il 2001, una serie di

cinque documenti (ISO/IEC TR 13335), la cui sigla TR (te-chnical report) indica che si tratta di linee guida del tipo be-st practice (modalità operative consigliate), non di specifi-che formali. Questi documenti sono una possibile alterna-tiva alla coppia ISO/IEC 17799 - BS 7799 di fonte britannica.Le cinque parti della serie TR 13335 sono le seguenti:

- Parte 1: Concepts and models for IT security. Il primo do-cumento fornisce una panoramica dei concetti re-lativi alla sicurezza delle informazioni e dei mo-delli che un’organizzazione può utilizzare per de-finire la propria sicurezza IT.

- Parte 2: Managing and planning IT security. Questo do-cumento si occupa degli aspetti di pianificazionee di gestione della sicurezza delle informazioni.

- Parte 3: Techniques for the management of IT security.Questo documento si occupa delle attività di ma-nagement che sono direttamente legate al ciclo divita dei progetti: pianificazione, progettazione,implementazione, testing eccetera.

- Parte 4: Selection of safeguards. In parte complementarealla parte 3, descrive la selezione delle contromi-

sure e l’importanza e la modalità d’impiego deimodelli di sicurezza di base e delle verifiche.

- Parte 5: Management guidance on network security.Questo documento fornisce linee guida sulle co-

municazioni e sulle reti, in particolare l’analisi deifattori che devono essere presi in considerazioneper definire requisiti di sicurezza e contromisureappropriati. Inoltre fornisce un approccio alla de-finizione dei livelli di fiducia basato sulla valuta-zione del rischio.

Le linee guida BS 7799, oggi ISO/IEC 17799 e BS 7799-2,hanno una storia che risale agli inizi degli anni ’90, quan-do il Department of Trade and Industry britannico istituìun gruppo di lavoro con l’intento di fornire alle aziende li-nee guida per la gestione della sicurezza delle informa-zioni. Nel 1993 questo gruppo pubblicò il Code of practicefor information security management , un insieme di buoneregole di comportamento per la sicurezza delle informa-zioni. Questo costituì la base per lo standard BS 7799 pub-

blicato da BSI (British Standards Institution) nel 1995 e no-to come Code of Practice. Nel 1998 BSI aggiunse la secon-da parte, Specification for Information Security Manage-ment, che fu sottoposta a revisione e ripubblicata nel1999. Il Code of Practice fu sottoposto a ISO/IEC per esse-re approvato come standard internazionale, una volta nel1995 senza successo e in seguito di nuovo nel 1999 conesito positivo. Il BS 7799 Parte 1 è stato quindi recepitocome ISO/IEC 17799. La sua edizione del 2000 è in corso diaggiornamento nel 2005. La seconda parte, BS 7799-2, èstata aggiornata nel 2002.

L’ISO/IEC 17799 presenta una serie di linee guida e diraccomandazioni compilata a seguito di consultazioni conle grandi aziende. I 36 obiettivi e le 127 verifiche di sicu-rezza contenuti nel documento sono suddivisi in 10 aree,o domini, riportati nel riquadro A, II dieci domini formanouna piramide che scende dalla prospettiva organizzativa(1, 2, 3, 4, 9, 10) verso quella operativa (6, 7, 8), con inclusigli aspetti tecnici (5).

Le verifiche di sicurezza ulteriormente dettagliate neldocumento, portano a oltre 500 il numero di controlli edelementi di best practice dell’ISO/IEC 17799. I l documen-to sottolinea l’importanza della gestione del rischio echiarisce che non è indispensabile implementare ogni sin-gola linea guida, ma solo quelle che sono rilevanti. Lostandard copre tutte le forme d’informazione, incluse lavoce, la grafica e i media come fax e cellulari. Esso rico-nosce anche i nuovi metodi di business, come l’e-com-

Riquadro A - Le dieci aree delle linee guida dello standard ISO/IEC 17799

1. Security Policy. Fornire le linee guida e i consigli per la gestione, allo scopo di migliorare la sicurezza delleinformazioni

2. Organizational Security. Facilitare la gestione della sicurezza delle informazioni all’internodell’organizzazione.

3. Asset Classification and Control. Eseguire un inventario dei beni e proteggerli efficacemente.4. Personnel Security. Minimizzare i rischi di errore umano, furto, frode o uso illecito delle attrezzature.5. Physical and Environment Security. Prevenire la violazione, il deterioramento o la distruzione delle attrezzature

industriali e dei dati.6. Communications and Operations Management. Assicurare il funzionamento adeguato e affidabile dei

dispositivi di elaborazione delle informazioni.7. Access Control. Controllare l’accesso alle informazioni.8. Systems Development and Maintenance. Assicurare che la sicurezza sia incorporata nei sistemi informativi.9. Business Continuity Management. Minimizzare l’impatto delle interruzioni dell’attività aziendale e proteggere

da avarie e gravi disastri i processi aziendali essenziali.10. Compliance. Evitare ogni violazione delle leggi civili e penali, dei requisiti statutari e contrattuali e dei requisiti

di sicurezza.



PC Open 18


merce, Internet, l’outsourcing, il telelevoro e il mobilecomputing.

Mentre l’ISO/IEC 17799 fornisce le linee guida, gli aspet-ti di sicurezza e le buone norme da applicare, in sé suffi-cienti per un’azienda medio-piccola, lo standard BS 7799-

2 fornisce le direttive per istituire un sistema di gestionedella sicurezza delle informazioni (SGSI in italiano o ISMS,Information Security Management System, nella lettera-tura) da sottoporre alla certificazione di un ente accredi-tato. L’applicazione del BS 7799-2 permette all’azienda didimostrare ai suoi partner che il proprio sistema di sicu-rezza è conforme allo standard e risponde alle esigenze disicurezza determinate dai propri requisiti.

Un’organizzazione che ottiene la certificazione è con-siderata conforme ISO/IEC 17799 e certificata BS 7799-2.

L’aggiornamento del 2002 del BS 7799-2 ha introdottovarie modifiche suggerite dall’esigenza di dare continuitàal processo di gestione della sicurezza. Il modello di ISMSdefinito dallo standard comprende quattro fasi in unloop ciclico, analogo a quello dell’ISO 9001.

Il modello è detto PDCA dalle iniziali delle quattro fasi:

Plan (pianifica: la definizione dell’ISMS), Do (esegui: l’im-plementazione e utilizzo dell’ISMS), Check (verifica: icontrolli e le revisioni dell’ISMS) e Act (agisci: la manu-tenzione e miglioramento dell’ISMS).

Le quattro fasi dell’Information SecurityManagement System

Plan:1. la definizione dell’ambito di applicazione dell’ISMS2. la definizione di una politica di sicurezza di alto livello3. la definizione di un approccio sistematico per l’analisi

del rischio4. l’identificazione dei rischi5. la valutazione dei rischi

6. l’identificazione delle opzioni per il trattamento dei rischi(eliminazione, cessione e riduzione)

7. la selezione delle contromisure per il controllo dei rischi8. la redazione della dichiarazione di applicabilità, com-

prendente l’esplicitazione delle ragioni che hanno por-

tato alla selezione delle contromisure e alla non applica-zione di misure indicate nell’appendice A della norma.

Do:1. la formulazione di un piano di trattamento dei rischi2. l’implementazione del piano3. l’implementazione delle contromisure selezionate4. lo svolgimento di programmi d’informazione e di forma-

zione5. la gestione delle operazioni connesse alla fase Do6. la gestione delle risorse connesse alla fase Do7. l’implementazione di procedure e altre misure che assi-

curino la rilevazione e le opportune azioni in caso di in-cidenti relativi alla sicurezza

Check:

1. l’esecuzione delle procedure di monitoraggio dell’ISMS2. l’esecuzione di revisioni del rischio residuo3. la conduzione di audit interni all’ISMS4. la conduzione di review al massimo livello dirigenziale

dell’ISMS5. la registrazione delle azioni e degli eventi che potrebbe-

ro avere impatti sulla sicurezza o sulle prestazioni dell’I-SMS

Act:1. l’implementazione delle azioni migliorative dell’ISMS

identificate2. l’implementazione delle azioni correttive e preventive3. la comunicazione dei risultati4. la verifica che i miglioramenti raggiungano gli obiettivi

identificati alla loro base.L’appendice A della norma BS 7799-2 del 2002 include unaserie di misure per il controllo del rischio suddivise in 10capitoli, gli stessi delle 10 aree sopra elencate per l’ISO/IEC17799.

Naturalmente, la conformità all’ISO/IEC 17799 o la cer-tificazione BS 7799-2 non implicano che un’organizzazio-ne sia sicura al 100%, un obiettivo peraltro irraggiungibi-le. Tuttavia, l’adozione di questo standard, apprezzato alivello internazionale, offre diversi vantaggi a livello orga-nizzativo (efficacia dello sforzo di sicurezza a tutti i livel-li, diligenza degli amministratori), a livello legale (osser-vanza di leggi e regolamenti), a livello operativo (gestionedel rischio, qualità di hardware e dati), a livello commer-ciale (distinzione dalla concorrenza, partecipazione a ga-

re), a livello finanziario (costo delle violazioni, costi assi-curativi) e a livello umano (consapevolezza e responsa-bilità del personale). La popolarità della coppia ISO/IEC17799 e BS 7799-2 è dovuta in parte alla sua flessibilità e al-la sua complementarità con altri standard di sicurezza IT.Mentre l’ISO/IEC 17799 delinea le migliori pratiche per lagestione della sicurezza delle informazioni, l’ISO 13335(Guideline for the Management of IT Security, GMITS) puòessere visto come il suo fratello maggiore, con l’aggiuntadi aspetti tecnologici e un’estensione della gestione del ri-schio. C’è forte complementarità anche tra l’ISO/IEC17799 e l’ISO 15408, ossia i Common Criteria. Mentre il pri-mo si focalizza più sugli aspetti organizzativi e ammini-strativi, il secondo copre gli aspetti tecnici della sicurez-za. Ulteriori relazioni si possono individuare tra questistandard e gli standard ISO 18044 (Incident Management),

ISO 17944 (Financial Systems), ISO 18028 (Communica-tions Management) e ISO 14516 (E-commerce Security). IlBS 7799-2 del 2002 è anche armonizzato con l’ISO9001:2000 (Vision 2000) e l’ISO 14001:1996.

DO

(ESEGUI)PLAN

(PIANIFICA)

CHECK

(VERIFICA)ACT

(AGISCI)

Definire la portatadell’ISMS

Definire una politicaISMS

Definire un approccioall’analisi del rischio

Identificare i rischi

Analizzare i rischi

Identificare e valutarele opzioni per la

gestione del rischio

Scegliere i controllie loro obiettivi

Preparare unoStatement of

Applicabilità (SOA)

Attuare i miglioramentiidentificati

Intraprendere azionicorrettive/preventive

Applicare le lezioniapprese (incluse altre

organizzazioni)

Comunicare i risultatialle parti interessate

Assicurarsi che imiglioramenti

raggiungano l’obiettivo

Eseguire proceduredi monitoraggio

Eseguire revisioniregolari dell’efficacia

dell’ISMS

Livello di revisionesul rischio residuo

e accettabile

Eseguire audit internedell’ISMS

Registrare eventie avvenimenti che

potrebbero impattaresull’ISMS

Formulare un piano digestione del rischio

Attuare il piano digestione del rischio

Attuare i controlli

Attuare programmidi addestramentoe consapevolezza

Gestire le attività

Gestire le risorse

Attuare procedure per individuare/rispondere

agli incidenti disicurezza

1

2

3

4

Le quattro fasi dell’Information Security

Management System



PC Open 19


Il processo di standardizzazionedi Internet

Quello che segue è un elenco di alcune delle organiz-zazioni più importanti che operano nell’interesse dell’in-tera comunità di Internet e dei suoi standard.

Internet Society – ISOC ( www.isoc.org )Un’organizzazione privata senza fini di lucro che riuni-

sce professionisti nel mondo del networking e che ha lamissione di garantire il continuo funzionamento di Inter-net e il suo potenziamento. Opera attraverso una serie dicomitati tecnici che definiscono gli standard e i protocol-li utilizzati da qualsiasi apparecchiatura che si collega aInternet (IETF, IESG, IAB, IRTF). L’ISOC fornisce la leader-ship nella gestione di Internet per quanto riguarda glistandard, l’istruzione e lo sviluppo della politica ammini-strativa.

IETF ( Internet Engineering Task Force, www.ietf.org )È la comunità internazionale dei progettisti, operatori,

produttori, e ricercatori nel campo del networking, inte-

ressati all’evoluzione dell’architettura di Internet e dellasua continuità e affidabilità di funzionamento. Sviluppastandard tecnici su base consensuale, per esempio in re-lazione ai protocolli di comunicazione.

IESG( Internet Engineering task Group, www.ietf.org/iesg.html )

Lo IESG è responsabile della gestione tecnica delle at-tività dell’IETF e del processo di standardizzazione di In-ternet. Come parte dell’ISOC, amministra tale processosecondo le regole e le procedure che sono state ratificatedai fiduciari dell’ISOC. Lo IESG è direttamente responsa-bile delle azioni associate all’avvio e alla prosecuzionedell’iter di standardizzazione, inclusa l’approvazione fi-nale delle specifiche come Standard Internet. Lo IESGcoordina e approva gli standard tecnici.

IAB ( Internet Architecture Board, www.iab.org )Lo IAB è un gruppo tecnico consultivo della Internet

Society, responsabile della selezione dello IESG, della su-pervisione dell’architettura, della supervisione del pro-cesso di standardizzazione e della procedura di appello,della serie delle RFC (Request For Comment), dei colle-gamenti esterni e di consiglio all’ISOC.

IRTF ( Internet Research Task Force, www.irtf.org )La missione dell’IRTF consiste nel promuovere attività

di ricerca che possano contribuire in modo significativo alfuturo sviluppo di Internet. Opera creando gruppi di ri-cerca focalizzati sui seguenti temi: protocolli, applicazio-ni, architettura e tecnologia.

ICANN ( Internet Corporation for Assigned Names and Num- bers, www.icann.org )

È l’azienda non-profit che fu creata per assumere la re-sponsabilità dell’attribuzione degli spazi d’indirizzamen-to IP, dell’assegnazione dei parametri dei protocolli, dellagestione del sistema dei domini e della gestione del siste-ma dei server root, funzioni che in precedenza erano ese-guite, sotto contratto con il governo USA, dalla IANA e daaltre entità. È l’autorità per l’assegnazione dei nomi di do-minio a livello globale.

IANA( Internet Assigned Numbers Authority, www.iana.org )

La IANA mantiene le funzioni di coordinamento cen-trale dell’Internet globale nel pubblico interesse. La IANA

custodisce i numerosi parametri e valori di protocollo uni-ci necessari per il funzionamento di Internet e per il suosviluppo futuro.

Il processo di definizione degli Standard Internet è

un’attività della Internet Society, che è organizzata e ge-stita per conto della comunità Internet dallo IAB e dallo IE-SG. Comprende una serie di passi e di attività che produ-cono come risultato gli standard dei protocolli e delle pro-cedure.

“Uno Standard Internet è una specifica stabile e bencompresa, è scritto con competenza tecnica, conta di-verse implementazioni indipendenti e interoperabili consostanziale esperienza operativa, gode di un supportopubblico significativo e la sua utilità è riconosciuta in tut-ta Internet o in parti di essa” - RFC 2026, 1996.

Per essere adottata come standard, una specifica è sot-toposta a un periodo di sviluppo e a numerose iterazionidi revisione da parte della comunità di Internet e a un esa-me basato sull’esperienza.

Per prima cosa, una specifica diventa un documentoRFC. Non tutte le RFC diventano Standard Internet. Poi, sela RFC diventa uno standard, viene adottata dall’ente ap-propriato ed è resa disponibile al pubblico quale stan-dard. Il processo di standardizzazione attraversa i se-guenti stadi di sviluppo, collaudo e accettazione.

Proposta di standard(almeno sei mesi)- generalmente stabile- scelte di progettazione risolte- sembra godere di sufficiente interesse della comunitàper essere considerato valido

Bozza di standard(almeno quattro mesi dall’approvazione della riunione IETF - ben capito- ottenuta una sufficiente esperienza operativa

Standard(fino a una successiva revisione o sostituzione)

- ottenuta un’implementazione significativa e un’espe-rienza operativa positiva- alto grado di maturità tecnica- fornisce benefici di rilievo alla comunità Internet

Protection profile

Target of

evaluation

Security Target

Richiesta di unaspecifica soluzione

Il prodotto

Descrizione delle componentidi funzionalità e garanzia offerta

dal produttore

Requisitidi funzionalità

Requisitidi garanzia

Famiglie differentidi classi di requisiti

Verifica e valutazione delprodotto rispetto alle specifiche

dichiarate

Valutazione

Assegnazione diun livello

di garanzia

Relazione fra componenti differenti

Le fasi del ciclo di certificazione


5.1.4.4 conoscereil processo distandardizzazionedi Internet.

It Sicurezza 1 PDF

Documents

Transcript of It Sicurezza 1 PDF