HIgh NETwork Design

Internetworking

Sicurezza Informatica

Analisi & Studi

Software

Cosa è Hinetd

Personale

Help

La documentazione sulle politiche di sicurezza

• Introduzione
• Il processo di gestione della sicurezza
• La documentazione sulle politiche di sicurezza
• Implementazione del sistema

La prima fase da implementare per realizzare un sistema per la gestione della sicurezza, secondo i criteri brevemente descritti, prevede la definizione delle politiche di sicurezza. Questa fase ha lo scopo di definire tutte le modalità secondo le quali il personale interno, eventuale personale esterno con interventi in sede o via rete, gli utenti in generale dell'intero sistema ha la possibilità di accedere alle risorse, intese come qualsiasi informazione o dispositivo appartenente al patrimonio aziendale.

Per definire le politiche è necessario conoscere chiaramente quali siano le risorse da tutelare, chi o che cosa interagisce con le risorse, quali sono i canali attraverso i quali le risorse vengono utilizzate; è necessario partire da una rappresentazione completa del sistema, sia tecnologico che umano, che viene a contatto con le risorse stesse.

A questo scopo è necessario procedere con la:

1. Individuazione delle risorse: gli elementi del patrimonio informativo e infrastrutturale che si intende tutelare,
2. Individuazione delle vulnerabilità: punto debole del sistema che può determinarne un uso irregolare,
3. Individuazione delle minacce: gli agenti che possono sfruttare le vulnerabilità per un uso non autorizzato delle risorse,
4. Individuazione del personale e delle responsabilità.

Le risorse costituite da informazioni soggette alla normativa vigente sulla tutela dei dati personali saranno rese utilizzabili dopo aver impostato le misure minime di sicurezza previste dal codice in materia (D. Lgs. 196, 30 giugno 2003), per le quali viene predisposta una check list aggiornata nei termini previsti dalla legge.

Con le attività relative al punto 4 si definiscono le responsabilità nella gestione dell'infrastruttura e quindi si definiscono e assegnano i ruoli, procedendo già con l'individuazione delle politiche per la gestione interna del sistema.

Sulla base dei dati raccolti si procede con la gestione del rischio, cioé all'individuazione delle modalità che si ritiene opportuno utilizzare per fronteggiare i rischi di incidente ai quali le risorse sono sottoposte e quindi alla pianificazione delle misure di sicurezza.

Come esempio, si può ipotizzare un'architettura in cui siano state definite quattro misure di sicurezza: la presenza di un firewall, la predisposizione di una DMZ, la suddivisione di una Intranet in segmenti distinti ma direttamente collegati ad interfacce distinte del firewall e la presenza di dispositivi ridondati nell'infrastruttura.

La modalità di utilizzo del firewall consente di controllare non soltanto il traffico che supera i confini del sistema, ma anche, capillarmente, il traffico che transita tra le varie LAN del sistema, mentre la presenza di dispositivi ridondati dimostra che è stata valorizzata a priori la caratteristica di affidabilità del sistema, per massimizzare la disponibilità dei servizi.

Parallelamente è necessario individuare gli strumenti e il metodo utilizzato per controllare che le misure predisposte e le politiche di sicurezza, tradotte in configurazione dei sistemi, risultino efficaci e non vengano violate. A questo scopo è fondamentale il contributo apportato da tutte le segnalazioni di guasti o di incidenti legati alla sicurezza che vengono registrati durante il funzionamento corrente del sistema.

La raccolta delle informazioni derivate dalla diretta osservazione dell'evento da parte del personale (p.e. rottura di un dispositivo) o dall'allarmistica di sistemi di gestione degli apparati deve andare a costituire una banca dati da utilizzare in fase di revisione del sistema di sicurezza.

Infine, si identifica nella presenza di sonde di rilevamento delle intrusioni uno strumento indispensabile alla verifica del corretto funzionamento dei sistemi di sicurezza e del rispetto delle politiche predisposte.

Con questa attività si produce, pertanto, un documento che individua quali siano le soluzioni tecnologiche utilizzate per accrescere la sicurezza del sistema (misure di sicurezza), arginando particolari minacce o eliminando le vulnerabilità; le regole che definiscono l'utilizzo delle risorse (politiche) e il metodo per controllare il corretto funzionamento del sistema di sicurezza.

Eccetto dove diversamente specificato,
i contenuti di questo sito sono rilasciati sotto Licenza Creative Commons Attribuzione 2.5