Spesso si dimentica che la sicurezza di un'infrastruttura IT non è data soltanto dai sistemi utilizzati per arginare una serie di problematiche (attacchi esterni o interni, social engineering, sicurezza dei sistemi operativi o degli applicativi...), ma da tutta una serie di fattori che possono essere analizzati con strumenti validi. Se, ad esempio, abbiamo un sistema con esegue svariati processi (in modalità utente non privilegiato) è possibile creare software ad hoc che consenta di creare errori (es. "divisione per zero") che possono portare il sistema in una situazione "non giusta" tale da consentire all'utente che esegue il software malevolo, di avere privilegi superiori (es. root). E' molto difficile scoprire/testare tutti i processi in esecuzione sul proprio sistema, nell'esempio precedente si procede sfruttando vulnerabilità del cuore stesso del sistema operativo, ma è possibile che il programmatore abbia veramente sbagliato nella stesura di un determinato software, che in alcune situazioni particolari (non testate precedentemente al rilascio) portano ad un rischio veramente grave.
Esistono molti strumenti che permettono un'attenta analisi di ciò che è presente nei nostri sistemi IT, anche in Italia la diffusione di best practice utilizzate (e nate) in paesi anglosassoni, è in continua evoluzione. Tra tutti questi strumenti è doveroso citare "IT Infrastructure Library - ITIL" nella sua versione 3. ITIL è un insieme di best practice per la gestione di un sistema IT, descrivendone i processi, le funzioni e le strutture che sono di supporto a molte aree di un sistema IT.
Tra tutti questi processi vengono descritte le linee guida di un sistema di gestione della sicurezza delle informazioni, adattato per essere applicato in vari ambiti.
Gli standard internazionali di riferimento di gestione di servizi IT, appartengono alla famiglia ISO/IEC 20000, che è suddivisa in varie parti. Mentre un attore del panorama IT che si attiene a questi standard può "certificarsi" secondo le linee guida della norma ISO, se utilizza ITIL non è obbligato a seguire le norme ISO, ma è sicuro che seguendo queste ultime linee guida sarà comunque in grado di progettare una struttura IT con le dovute caratteristiche business continuity, delivery, maintenance, security....
Per la gestione della sicurezza ci sono quattro standard che appartengono alla famiglia ISO/IEC 27000:
27001:2005 Information Security Management Systems - Requirements
27002:2005 Code of Practice for Information Security Management
27005:2008 Information Security Risk Management
27006:2007 Requirements for Bodies Providing Audit and Certification of Information Security Management Systems
ed in più
ISO/IEC 27799:2008 Health Informatics - Information Security Management in Health Using ISO/IEC 27002
Le altre in preparazione (alcune quasi completate e rilasciate tra la fine del 2009 e l'inizio del 2010):
27000 introduzione con i principi, i concetti ed un glossario dei termini
27003 guida all'implementazione della 27001 e 2
27004 analisi per un sistema di gestione della sicurezza
27007 guida per gli auditor di sistemi di gestione della sicurezza verso le specifiche della ISO/IEC 27001
....
27032 Cybersecurity (dovrebbe essere l'insieme delle linee guida per gli Internet Service Provider e gli utenti della rete)
27033 Network security (preventivate sette sezioni)
27034 Sicurezza delle informazioni per le applicazioni IT
Parecchie linee guida appartenenti ad ITIL e alle linee guida ISO/IEC sono sovrapponibili o comunque "molto vicine" fra loro e consentono una gestione EFFICACE del proprio sistema IT.
Comments (0)
You don't have permission to comment on this page.