Il compito più importante della sicurezza IT è seguire gli sviluppi tecnologici. Il mondo della digitalizzazione e della rete sta progredendo molto rapidamente in termini di tecnologia. Le nuove tecnologie richiedono nuovi software, nuove aree di applicazione richiedono nuove misure di sicurezza.
Mentre in passato alcuni computer di grandi dimensioni svolgevano compiti per intere aziende e venivano gestiti da poche persone, oggi ci sono una miriade di piccoli dispositivi che sono tutti interconnessi.
Può essere abbastanza complicato anche spiegare cosa deve essere protetto esattamente da cosa, quali minacce ci sono e quali lacune nei sistemi di sicurezza potrebbero essere sfruttate.
Tuttavia, vengono definiti i cosiddetti obiettivi di protezione, ovvero gli obiettivi della sicurezza IT. Questi sono:
riservatezza – integrità – disponibilità
Se tieni a mente questi tre obiettivi di protezione, hai già implementato metà della sicurezza IT! Ecco come appaiono in dettaglio:
Riservatezza
Dati, informazioni e conoscenze risultanti dovrebbero essere nascosti alle persone che non hanno il diritto di visualizzarli.
Integrità
I dati, le informazioni e le conoscenze risultanti dovrebbero essere protetti da modifiche e manipolazioni non autorizzate.
Disponibilità
I dati, le informazioni e le conoscenze risultanti dovrebbero essere accessibili a coloro che hanno consentito l’accesso, se necessario.
Questi tre obiettivi sono così importanti e centrali sia nel contesto privato che commerciale. Dai un’occhiata ai seguenti esempi:
Esempi
I tre obiettivi di protezione in un contesto privato usando l’esempio di “banking online”
Si utilizza l’accesso online al proprio conto bancario. Questo è un problema delicato, perché sono in gioco i tuoi soldi. Come vengono raggiunti gli obiettivi di protezione qui?
Riservatezza: i dati di accesso, i dati dell’account e le password devono essere accessibili solo a te.
Disponibilità: dovresti avere accesso illimitato al tuo account in qualsiasi momento e da qualsiasi luogo.
I tre obiettivi di protezione nel contesto aziendale utilizzando l’esempio di “sviluppo del prodotto”
Una società sviluppa un prodotto completamente nuovo che dovrebbe rivoluzionare il mercato. Naturalmente, ciò dovrebbe accadere senza che la concorrenza ne tragga profitto. Come potrebbero essere raggiunti gli obiettivi di protezione qui?
Riservatezza: tutte le informazioni sullo sviluppo del nuovo prodotto possono essere visualizzate solo da persone autorizzate.
Integrità: i dati ottenuti dallo sviluppo del prodotto sono protetti contro il sabotaggio e la manipolazione dall’esterno.
Disponibilità: tutte le persone coinvolte e autorizzate hanno accesso sicuro allo sviluppo del nuovo prodotto e ai dati risultanti.
Inoltre, ci sono anche obiettivi di protezione estesi che devono essere considerati in base ai requisiti. Questi non devono necessariamente essere ancorati alla sicurezza IT e possono variare notevolmente nel contesto privato e aziendale.
Responsabilitào anonimato
Un’azione nell’ambiente IT può essere chiaramente assegnata a una persona o no. Nel contesto aziendale, la persona responsabile del sabotaggio interno, ad esempio, può essere identificata. Nella vita privata, tra l’altro, è più probabile che accada il contrario, vale a dire che la persona gode del più grande anonimato possibile in relazione ai suoi dati – ad esempio, quando si effettuano ricerche su argomenti relativi alla salute su Internet.
Autenticità
Dati, informazioni e conoscenze risultanti dovrebbero essere verificabili per l’autenticità, ad esempio se i risultati della ricerca trasmessi sono originali o sono stati manipolati da terzi.
Non ripudio
Le azioni in un ambiente IT non devono essere negate: ciò è particolarmente importante per i contratti elaborati elettronicamente. Qui, ad esempio, vengono utilizzate le firme elettroniche.
Come si possono raggiungere concretamente questi obiettivi?
Questa domanda riguarda i punti deboli. O meglio, si tratta di trovare ed eliminare le vulnerabilità. Come hai già appreso, tutti i software presentano dei punti deboli. Questi non sono chiaramente identificabili come tali in anticipo. Spesso è dovuto alla scarsa programmazione del software utilizzato o alla progettazione del sistema IT. Ciò non significa necessariamente che sia stata fatta una programmazione “sbagliata”, ma semplicemente che nella programmazione non sono state prese in considerazione tutte le minacce informatiche note. Tuttavia, i punti deboli possono anche essere l’essere umano o la gestione errata dei sistemi IT.
Importante
Naturalmente, la sicurezza IT può anche bypassare tramite l’hardware non solo tramite il software. Ma questo è più “poco pratico”, perché per manipolare o rubare dati tramite l’hardware, devi essere fisicamente presente, ad esempio con una chiavetta USB in mano o rubando l’intero computer.
Quindi, l’accesso al software via Internet è già più conveniente – e soprattutto più difficile da rintracciare se vieni sorpreso nel mezzo.
Al fine di raggiungere gli obiettivi di protezione della sicurezza IT, è quindi di enorme importanza identificare questi punti deboli e possibili scenari di minaccia. Ed è qui che diventa difficile, perché una rappresentazione al 100 percento di tutti i punti deboli non è affatto possibile a causa del costante sviluppo dei sistemi e dell’incapacità generale di guardare al futuro: si può solo approssimare il più vicino possibile.
Ricorda
La sicurezza IT dipende fortemente dagli attuali sviluppi tecnologici: nuove aree di applicazione della tecnologia dell’informazione comportano anche nuovi pericoli. Qui è necessaria una reazione rapida per essere in grado di offrire contromisure appropriate.
Esistono tre obiettivi di protezione che devono essere raggiunti in tutte le aree di applicazione:
Riservatezza
Integrità
Disponibilità
Esistono tre obiettivi di protezione aggiuntivi, che variano in base all’area di applicazione e devono essere considerati di conseguenza:
Attribuibilità o anonimato
Autenticità
Impegno
Per raggiungere questi obiettivi di protezione il compito principale della sicurezza IT è quello di identificare i punti deboli dei sistemi e di eliminarli di conseguenza. Ciò può influire anche sull’hardware, ma attualmente piuttosto sul software: si riferisce principalmente a errori di programmazione o debolezze non considerate nella programmazione.
La perfetta sicurezza IT può essere approssimata, ma non soddisfatta al 100%. Ecco perché la sicurezza IT deve essere considerata nel suo insieme.
Il compito più importante della sicurezza IT è seguire gli sviluppi tecnologici. Il mondo della digitalizzazione e della rete sta progredendo molto rapidamente in termini di tecnologia. Le nuove tecnologie richiedono nuovi software, nuove aree di applicazione richiedono nuove misure di sicurezza.
Mentre in passato alcuni computer di grandi dimensioni svolgevano compiti per intere aziende e venivano gestiti da poche persone, oggi ci sono una miriade di piccoli dispositivi che sono tutti interconnessi.
Può essere abbastanza complicato anche spiegare cosa deve essere protetto esattamente da cosa, quali minacce ci sono e quali lacune nei sistemi di sicurezza potrebbero essere sfruttate.
Tuttavia, vengono definiti i cosiddetti obiettivi di protezione, ovvero gli obiettivi della sicurezza IT. Questi sono:
riservatezza – integrità – disponibilità
Se tieni a mente questi tre obiettivi di protezione, hai già implementato metà della sicurezza IT! Ecco come appaiono in dettaglio:
Dati, informazioni e conoscenze risultanti dovrebbero essere nascosti alle persone che non hanno il diritto di visualizzarli.
I dati, le informazioni e le conoscenze risultanti dovrebbero essere protetti da modifiche e manipolazioni non autorizzate.
I dati, le informazioni e le conoscenze risultanti dovrebbero essere accessibili a coloro che hanno consentito l’accesso, se necessario.
Questi tre obiettivi sono così importanti e centrali sia nel contesto privato che commerciale. Dai un’occhiata ai seguenti esempi:
Esempi
I tre obiettivi di protezione in un contesto privato usando l’esempio di “banking online”
Si utilizza l’accesso online al proprio conto bancario. Questo è un problema delicato, perché sono in gioco i tuoi soldi. Come vengono raggiunti gli obiettivi di protezione qui?
I tre obiettivi di protezione nel contesto aziendale utilizzando l’esempio di “sviluppo del prodotto”
Una società sviluppa un prodotto completamente nuovo che dovrebbe rivoluzionare il mercato. Naturalmente, ciò dovrebbe accadere senza che la concorrenza ne tragga profitto. Come potrebbero essere raggiunti gli obiettivi di protezione qui?
Disponibilità: tutte le persone coinvolte e autorizzate hanno accesso sicuro allo sviluppo del nuovo prodotto e ai dati risultanti.
Inoltre, ci sono anche obiettivi di protezione estesi che devono essere considerati in base ai requisiti. Questi non devono necessariamente essere ancorati alla sicurezza IT e possono variare notevolmente nel contesto privato e aziendale.
Un’azione nell’ambiente IT può essere chiaramente assegnata a una persona o no. Nel contesto aziendale, la persona responsabile del sabotaggio interno, ad esempio, può essere identificata. Nella vita privata, tra l’altro, è più probabile che accada il contrario, vale a dire che la persona gode del più grande anonimato possibile in relazione ai suoi dati – ad esempio, quando si effettuano ricerche su argomenti relativi alla salute su Internet.
Dati, informazioni e conoscenze risultanti dovrebbero essere verificabili per l’autenticità, ad esempio se i risultati della ricerca trasmessi sono originali o sono stati manipolati da terzi.
Le azioni in un ambiente IT non devono essere negate: ciò è particolarmente importante per i contratti elaborati elettronicamente. Qui, ad esempio, vengono utilizzate le firme elettroniche.
Come si possono raggiungere concretamente questi obiettivi?
Questa domanda riguarda i punti deboli. O meglio, si tratta di trovare ed eliminare le vulnerabilità. Come hai già appreso, tutti i software presentano dei punti deboli. Questi non sono chiaramente identificabili come tali in anticipo. Spesso è dovuto alla scarsa programmazione del software utilizzato o alla progettazione del sistema IT. Ciò non significa necessariamente che sia stata fatta una programmazione “sbagliata”, ma semplicemente che nella programmazione non sono state prese in considerazione tutte le minacce informatiche note. Tuttavia, i punti deboli possono anche essere l’essere umano o la gestione errata dei sistemi IT.
Importante
Naturalmente, la sicurezza IT può anche bypassare tramite l’hardware non solo tramite il software. Ma questo è più “poco pratico”, perché per manipolare o rubare dati tramite l’hardware, devi essere fisicamente presente, ad esempio con una chiavetta USB in mano o rubando l’intero computer.
Quindi, l’accesso al software via Internet è già più conveniente – e soprattutto più difficile da rintracciare se vieni sorpreso nel mezzo.
Al fine di raggiungere gli obiettivi di protezione della sicurezza IT, è quindi di enorme importanza identificare questi punti deboli e possibili scenari di minaccia. Ed è qui che diventa difficile, perché una rappresentazione al 100 percento di tutti i punti deboli non è affatto possibile a causa del costante sviluppo dei sistemi e dell’incapacità generale di guardare al futuro: si può solo approssimare il più vicino possibile.
Ricorda
La sicurezza IT dipende fortemente dagli attuali sviluppi tecnologici: nuove aree di applicazione della tecnologia dell’informazione comportano anche nuovi pericoli. Qui è necessaria una reazione rapida per essere in grado di offrire contromisure appropriate.
Esistono tre obiettivi di protezione che devono essere raggiunti in tutte le aree di applicazione:
Esistono tre obiettivi di protezione aggiuntivi, che variano in base all’area di applicazione e devono essere considerati di conseguenza:
Per raggiungere questi obiettivi di protezione il compito principale della sicurezza IT è quello di identificare i punti deboli dei sistemi e di eliminarli di conseguenza. Ciò può influire anche sull’hardware, ma attualmente piuttosto sul software: si riferisce principalmente a errori di programmazione o debolezze non considerate nella programmazione.
La perfetta sicurezza IT può essere approssimata, ma non soddisfatta al 100%. Ecco perché la sicurezza IT deve essere considerata nel suo insieme.