• If you are citizen of an European Union member nation, you may not use this service unless you are at least 16 years old.

  • You already know Dokkio is an AI-powered assistant to organize & manage your digital files & messages. Very soon, Dokkio will support Outlook as well as One Drive. Check it out today!

View
 

Information technology e sicurezza

Page history last edited by Angelo Iacubino 13 years, 11 months ago

Spesso si dimentica che la sicurezza di un'infrastruttura IT non è data soltanto dai sistemi utilizzati per arginare una serie di problematiche (attacchi esterni o interni, social engineering, sicurezza dei sistemi operativi o degli applicativi...), ma da tutta una serie di fattori che possono essere analizzati con strumenti validi. Se, ad esempio, abbiamo un sistema con esegue svariati processi (in modalità utente non privilegiato) è possibile creare software ad hoc che consenta di creare errori (es. "divisione per zero") che possono portare il sistema in una situazione "non giusta" tale da consentire all'utente che esegue il software malevolo, di avere privilegi superiori (es. root). E' molto difficile scoprire/testare tutti i processi in esecuzione sul proprio sistema, nell'esempio precedente si procede sfruttando vulnerabilità del cuore stesso del sistema operativo, ma è possibile che il programmatore abbia veramente sbagliato nella stesura di un determinato software, che in alcune situazioni particolari (non testate precedentemente al rilascio) portano ad un rischio veramente grave.

Esistono molti strumenti che permettono un'attenta analisi di ciò che è presente nei nostri sistemi IT, anche in Italia la diffusione di best practice utilizzate (e nate) in paesi anglosassoni, è in continua evoluzione. Tra tutti questi strumenti è doveroso citare "IT Infrastructure Library - ITIL" nella sua versione 3. ITIL è un insieme di best practice per la gestione di un sistema IT, descrivendone i processi, le funzioni e le strutture che sono di supporto a molte aree di un sistema IT.

Tra tutti questi processi vengono descritte le linee guida di un sistema di gestione della sicurezza delle informazioni, adattato per essere applicato in vari ambiti.

Gli standard internazionali di riferimento di gestione di servizi IT, appartengono alla famiglia ISO/IEC 20000, che è suddivisa in varie parti. Mentre un attore del panorama IT che si attiene a questi standard può "certificarsi" secondo le linee guida della norma ISO, se utilizza ITIL non è obbligato a seguire le norme ISO, ma è sicuro che seguendo queste ultime linee guida sarà comunque in grado di progettare una struttura IT con le dovute caratteristiche business continuity, delivery, maintenance, security....

Per la gestione della sicurezza ci sono quattro standard che appartengono alla famiglia ISO/IEC 27000:

 

27001:2005 Information Security Management Systems - Requirements

27002:2005 Code of Practice for Information Security Management

27005:2008 Information Security Risk Management

27006:2007 Requirements for Bodies Providing Audit and Certification of Information Security Management Systems

 

ed in più

 

ISO/IEC 27799:2008 Health Informatics - Information Security Management in Health Using ISO/IEC 27002

 

Le altre in preparazione (alcune quasi completate e rilasciate tra la fine del 2009 e l'inizio del 2010):

 

27000 introduzione con i principi, i concetti ed un glossario dei termini

27003 guida all'implementazione della 27001 e 2

27004 analisi per un sistema di gestione della sicurezza

27007 guida per gli auditor di sistemi di gestione della sicurezza verso le specifiche della ISO/IEC 27001

....

27032 Cybersecurity (dovrebbe essere l'insieme delle linee guida per gli Internet Service Provider e gli utenti della rete)

27033 Network security (preventivate sette sezioni)

27034 Sicurezza delle informazioni per le applicazioni IT

 

Parecchie linee guida appartenenti ad ITIL e alle linee guida ISO/IEC sono sovrapponibili o comunque "molto vicine" fra loro e consentono una gestione EFFICACE del proprio sistema IT.

 

 

Comments (0)

You don't have permission to comment on this page.