information security

Lessico del XXI Secolo (2012)

information security


<infëmèišn siki̯u̯ë'rëti> locuz. sost. ingl., usata in it. al femm. – L’insieme delle misure (di carattere organizzativo e tecnologico) tese ad assicurare a ciascun utente autorizzato i servizi per esso previsti, nei tempi e nelle modalità prestabilite. Tre sono i parametri per i quali le procedure messe in atto garantiscono l’acquisizione dei requisiti richiesti: disponibilità, in base alla quale il sistema deve rendere fruibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere; integrità, per cui il sistema deve impedire l'alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, sia a seguito di eventi accidentali (come per es. la perdita di dati a seguito di cancellazione o danneggiamento); riservatezza, in relazione alla condizione che nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere. Inoltre è necessario accertare i termini esatti della responsabilità attraverso azioni come la verificabilità e la controllabilità dei dati e delle operazioni svolte, al fine di poter identificare con certezza l’utilizzatore del sistema e le operazioni da esso compiute. Un processo di i. s. estende la difesa di tipo statico, basata sul controllo del patrimonio informativo esistente, a quella di tipo dinamico, mirata all’individuazione e alla tutela del patrimonio critico, tangibile e intangibile, dell’organizzazione, senza trascurare gli aspetti relativi alla sicurezza fisica (locali, strutture materiali, ecc.), informatica (chiavi logiche, sistemi crittografici, ecc.) e del personale addetto al centro (identificazione, obblighi di servizio, ecc.). La prima attività prevista per la verifica e la messa a punto dell’i. s. consiste nel definire il security target, che consente di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo e di avere una mappa preliminare dell’insieme delle possibili contromisure di sicurezza da realizzare. Le procedure previste riguardano principalmente l’identificazione dei beni da proteggere – risorse hardware e software, basi di dati, risorse professionali, per es. sistemisti, programmatori, operatori, utenti finali, manutentori hardware e software, consulenti, ecc., documentazioni cartacee e supporti di memorizzazione –, con riferimento all’organizzazione di cui fanno parte, alla sua struttura, al numero e alla distribuzione geografica delle sedi, alle unità organizzative, ai ruoli e alle competenze distribuite. I parametri per la classificazione delle informazioni ai fini della sicurezza annoverano il loro valore – valutato a partire dallo sforzo sostenuto per ottenerle, dal numero e dall’importanza dei processi che ne dipendono –, il grado di riservatezza, stimato in funzione del danno ipotizzabile in caso di utilizzo illecito, l’afferenza a un certo contesto, che specifica il grado di riservatezza delle informazioni. Al fine della valutazione del livello di rischio vanno individuate le possibili vulnerabilità alle quali è sottoposto il patrimonio informativo. Le categorie delle minacce possono essere raggruppate in penetrazione logica, penetrazione nelle reti di comunicazione, guasti tecnici delle apparecchiature ed errori umani. Il rischio è determinato combinando tra loro il valore dei beni (dati e risorse elaborative), il livello delle minacce nei confronti di essi e il livello di vulnerabilità. Si realizza così una matrice di correlazione che permette di evidenziare, per ogni minaccia, le criticità relative ai singoli beni e al servizio informativo nel suo complesso, e di evidenziare l’entità del rischio associata ai diversi beni. Il danno arrecabile, sia da un attacco intenzionale sia da un evento accidentale, va misurato come grado di perdita di ciascuno dei tre requisiti fondamentali, riservatezza, integrità e disponibilità. La valutazione del rischio si ottiene facendo riferimento ad analisi che considerano la probabilità di occorrenza, valutata a partire dai dati tecnici della risorsa oggetto dell’evento o dai dati statistici sulla tipologia dell’evento, non trascurando il rischio legato a eventi composti, costituiti cioè da un insieme di eventi elementari che accadono in sequenza (furto di nastri di backup e successivo guasto di un disco) o in parallelo (inizio di una transazione e contemporanea interruzione dell'alimentazione elettrica). L’efficacia delle contromisure, di natura fisica, logica e organizzativa, da adottare al fine di abbattere l’entità del rischio può essere valutata, in prima analisi, come funzione del rischio stesso: il rapporto costo/efficacia permette di valutarne il grado di adeguatezza. Occorre tenere presente le limitazioni che le contromisure adottate e le operazioni di controllo impongono al flusso di lavoro del sistema informatico e all’organizzazione nel suo complesso: queste, infatti, possono portare un sistema informatico a spendere una parte anche consistente della sua potenza elaborativa nella validazione delle autorizzazioni di accesso o nella cifratura di informazioni riservate, con un conseguente decadimento delle prestazioni. Dal punto di vista  organizzativo, condizione essenziale affinché la tecnologia a protezione di un sistema informatico risulti realmente efficace è che venga utilizzata nel modo corretto da personale pienamente consapevole della sua importanza, definendo con precisione ruoli e responsabilità nella gestione sicura del sistema, e per ciascun ruolo, dall’amministratore al semplice utente, le norme comportamentali e le procedure precise da rispettare. La definizione delle politiche di sicurezza si basa sull’individuazione di alcuni vincoli essenziali: la completezza (il sottoinsieme delle contromisure scelte deve far fronte a tutti gli eventi indesiderati individuati per il sistema in esame); l’omogeneità (le contromisure devono essere compatibili e integrabili tra loro, per minimizzare il costo della loro attuazione congiunta); la ridondanza controllata (l’eccesso di contromisure ha un costo e deve quindi essere rilevato e vagliato accuratamente); l’effettiva attuabilità (l’insieme delle contromisure deve rispettare tutti le condizioni di carattere tecnico, logistico, amministrativo imposte dall’organizzazione su cui opera).

Vocabolario
security
security 〈siki̯ùërëti〉 s. ingl. (propr. «sicurezza»), usato in ital. al femm. (e comunem. pronunciato 〈siki̯ùriti〉). – L’insieme dei membri di un servizio di sicurezza privato in banche, edifici pubblici, stadî, discoteche, ecc.: avvertire...
information retrieval
information retrieval 〈infëmèišën ritrìivël〉 locuz. ingl., usata in ital. come s. m. – Espressione equivalente all’ital. «reperimento delle informazioni», usata in informatica per indicare un complesso di procedimenti meccanizzati e gestiti...