Sicurezza  »  Articoli  »  Dati e ricerche 

Introduzione

Nel corso degli ultimi anni con l'aumentare dei reati informatici, la legislazione informatica ha subito una proliferazione di normative, le quali hanno prodotto notevoli cambiamenti in termini di accorgimenti tecnici nel campo sia della sistemistiche che dello sviluppo software. All'interno di questo quadro normativo, quella con maggior risalto è sicuramente la normativa sulla privacy, che riveste un importante ruolo nell'informatica forense; esistono comunque normative nel campo della sicurezza dei dati e dei sistemi di comunicazioni, dei requisisti generali delle reti, e degli aspetti implementativi e funzionali del commercio elettronico. In quest'articolo cercheremo di sintetizzare il quadro normativo relativo alle misure minime legislative da implementare su sistemi e sulle reti informatiche utilizzate per il trattamento dei dati. L'informatica forense è quindi diventata parte integrante del bagaglio culturale che un buon amministratore di sistema deve possedere, al fine di gestire nel miglior modo e a norma di legge la propria infrastruttura di rete.

Requisiti di sicurezza delle reti

All'interno di una rete le policy di sicurezza devono tener conto dell'infrastruttura implementata, delle interazioni tra i mondi che compongono una rete (trusted ed unstrusted) e dei flussi informativi che viaggiano su di essa. I requisiti di base, che devono essere soddisfatti al fine di perseguire la sicurezza, non solo a livello sistemistico, ma anche a livello normativo, sono:

• Confidenzialità dei dati: riguarda l'accesso al processo di elaborazione dei dati in transito sulla rete in oggetto. Tali dati devono essere gestiti solo dal personale effettivamente autorizzato a farlo; occorre quindi prevedere meccanismi di autenticazione. Le modalità di autenticazioni, come vedremo in seguito, possono spaziare dalla semplice combinazione username/password sino alla richiesta di caratteristiche biometriche da parte degli utenti (esempio l'impronta digitale, scansione della retina ecc.). Maggiore è il livello di confidenzialità da implementare e maggiore sarà il livello di complessità dell'autenticazione da dover sviluppare.
• Integrità dei dati: occorre garantire che i dati inviati da un utente A ad un utente B non vengano alterati da utenti terzi durante il trasferimento (ad esempio con attacchi di tipo man in the middle), ma non solo, l'integrità dei dati riguarda anche tutte quelle informazioni già ricevute o trasmesse e memorizzati all'interno dei database o dei calcolatori elettronici utilizzati per l'archiviazione dei dati.
• Riservatezza: ogni qualvolta inviamo dei dati, occorre evitare che essi vengano intercettati da utenti “smaliziati" e divulgati in maniera non autorizzata.

A questi tre requisiti fondamentali si aggiungono altri due requisiti, il primo inerente la capacità di un singolo sistema informatico di "autodifendersi" da atti potenzialmente dannosi, il secondo dalla possibilità del responsabile del sistema informatico di catalogare i trattamenti effettuati sui dati al fine di accertarne eventuali responsabilità sulle operazioni fraudolente e non.

Altri articoli

Altre guide

Altre newsletter