03-01-2013, 20:33
Alfine di stabilire un livello discreto inerente la tutela del sistema, un progetto volto alla sicurezza informatica richiede continui cambiamenti ed altrettante revoche, in un protocollo di variazioni che deve avvenire in qualsivoglia momento.
Va sottolineato, in merito, che un sistema di sicurezza, per quanto conforme alle regole sopra citate, non potrà comunque offrire un livello di tutela assoluto. Fortunatamente gli attacchi compiuti per valicare la barriera tutelare impongono un certo periodo di apprendimento il cui tempo impiegato è direttamente correlato al livello di protezione ed alle capacità teorico – operative dell’attaccante.
In virtù di quanto esposto è ottima norma monitorare costantemente i danni conseguenti ad attacchi agiti con successo: quando l’ammontare dei guasti supera il livello critico determinato in fase progettuale occorre provvedere, in tempi stretti, ad una variazione di natura tecnologica ed organizzativa dell’intero sistema. Questo comporterà il reset della curva di apprendimento in danno all’attaccante.
L’effettiva validità di un sistema volto alla tutela dipende in larga parte dalla cultura sulla sicurezza di cui gli utenti sono depositari. Chiaramente nessuna contromisura sortisce effetto qualora non venga applicata: se adottiamo un sistema di apertura controllato in una stanza dove poi si lascia una finestra spalancata, le precauzioni risultano totalmente inutili. La salvaguardia del sistema informativo, sotto l’aspetto della sicurezza e dell’integrità è responsabilità ascritta ad ogni membro facente parte dell’organico: ogni livello operativo diviene automaticamente custode delle risorse ad esso assegnate, impegnandosi ad assicurarne protezione e conservazione.
Ciò implica che tutti i livelli abbiano ad essere consci della necessità di un sistema di tutela funzionale ed efficace, sensibilizzando il personale alle problematiche inerenti la sicurezza.
Per ottenere dei risultati soddisfacenti è bene ricorrere ad interventi di formazione rivolti all’intero personale, in particolar modo, ai livelli più alti, si dovrebbero conoscere i seguenti problemi:
Il piano risultante descrive con chiarezza la struttura, i contenuti ed il metodo relativo allo sviluppo, conterrà inoltre quelli che sono gli obbiettivi immediati ed a lungo termine, l’architettura del sistema di sicurezza e le sue capacità operative, le previsioni sullo sviluppo del piano ed il progetto specifico. Il progetto del sistema di sicurezza richiede continui aggiornamenti dovuti al mutare della tecnologia, all’esperienza accumulata in precedenti sistemi, necessità di adeguamenti per nuovi sistemi e variazioni della disponibilità finanziaria.
Il successo di un programma di sicurezza è subordinato ad una ferrea ed articolata consegna da parte del livello dirigenziale: tale consegna va supportata dallo stanziamento di risorse umane e finanziarie che avranno l’incombenza di realizzare e mantenere adeguato un programma effettivo.
Va sottolineato, in merito, che un sistema di sicurezza, per quanto conforme alle regole sopra citate, non potrà comunque offrire un livello di tutela assoluto. Fortunatamente gli attacchi compiuti per valicare la barriera tutelare impongono un certo periodo di apprendimento il cui tempo impiegato è direttamente correlato al livello di protezione ed alle capacità teorico – operative dell’attaccante.
In virtù di quanto esposto è ottima norma monitorare costantemente i danni conseguenti ad attacchi agiti con successo: quando l’ammontare dei guasti supera il livello critico determinato in fase progettuale occorre provvedere, in tempi stretti, ad una variazione di natura tecnologica ed organizzativa dell’intero sistema. Questo comporterà il reset della curva di apprendimento in danno all’attaccante.
L’effettiva validità di un sistema volto alla tutela dipende in larga parte dalla cultura sulla sicurezza di cui gli utenti sono depositari. Chiaramente nessuna contromisura sortisce effetto qualora non venga applicata: se adottiamo un sistema di apertura controllato in una stanza dove poi si lascia una finestra spalancata, le precauzioni risultano totalmente inutili. La salvaguardia del sistema informativo, sotto l’aspetto della sicurezza e dell’integrità è responsabilità ascritta ad ogni membro facente parte dell’organico: ogni livello operativo diviene automaticamente custode delle risorse ad esso assegnate, impegnandosi ad assicurarne protezione e conservazione.
Ciò implica che tutti i livelli abbiano ad essere consci della necessità di un sistema di tutela funzionale ed efficace, sensibilizzando il personale alle problematiche inerenti la sicurezza.
Per ottenere dei risultati soddisfacenti è bene ricorrere ad interventi di formazione rivolti all’intero personale, in particolar modo, ai livelli più alti, si dovrebbero conoscere i seguenti problemi:
- L’assenza di procedure sicure nell’utilizzo di sistemi automatizzati espone la struttura ed il corollario di risorse a notevoli rischi.
- Una risposta di natura tecnico – operativa ai potenziali ed eventuali pericoli non è affatto sufficiente. La sicurezza del sistema informativo parte da una base gestionale che richiede, per la risoluzione dei problemi, l’effettiva organizzazione delle risorse disponibili.
- Il livello di attenzione volto alla sicurezza del sistema informativo richiede la pianificazione di strategie a lungo termine costantemente supportate dal livello dirigenziale.
- Il trattamento e l’analisi dei problemi inerenti la sicurezza richiede il coinvolgimento di svariate persone che cooperino tra loro sovrintese dal livello dirigenziale.
- La struttura organizzativa che dovrà contenere i problemi relativi alla sicurezza, orientata in un processo a lungo termine, richiede uno sforzo economico non trascurabile. E’ ormai assodato che lo stanziamento dei fondi proveniente esclusivamente dalla struttura in sè risulta essere poco efficace: solamente il livello dirigenziale è in grado di favorire fondi speciali o trasferire l’aggravio economico alle opportune voci di bilancio.
- La complessità delle risorse informative in grado di garantire un’adeguata protezione necessita di una pianificazione delle strategie operative il cui sviluppo e conseguente implementazione richiedono lo specifico intervento del livello dirigenziale.
- Le strategie pianificate debbono essere in grado, oltre ad ottimizzare le risorse, di definire un piano di sviluppo della sicurezza coerente con gli obbiettivi prefissati nel quadro delle opportunità offerte dalla tecnologia. Altresì debbono favorire il raggiungimento degli obbiettivi indicati nel piano in modo tale da ridurre eventuali rischi di insuccesso.
Il piano risultante descrive con chiarezza la struttura, i contenuti ed il metodo relativo allo sviluppo, conterrà inoltre quelli che sono gli obbiettivi immediati ed a lungo termine, l’architettura del sistema di sicurezza e le sue capacità operative, le previsioni sullo sviluppo del piano ed il progetto specifico. Il progetto del sistema di sicurezza richiede continui aggiornamenti dovuti al mutare della tecnologia, all’esperienza accumulata in precedenti sistemi, necessità di adeguamenti per nuovi sistemi e variazioni della disponibilità finanziaria.
Il successo di un programma di sicurezza è subordinato ad una ferrea ed articolata consegna da parte del livello dirigenziale: tale consegna va supportata dallo stanziamento di risorse umane e finanziarie che avranno l’incombenza di realizzare e mantenere adeguato un programma effettivo.
Un caro saluto dalla terra dei nuraghi