Documentazione<Precedenti | Contenuti | Succ.>
7.1. Definizione di una politica di sicurezza
Non è pratico discutere la sicurezza a grandi linee poiché l'idea rappresenta una vasta gamma di concetti, strumenti e procedure, nessuno dei quali è universalmente applicabile. Scegliere tra questi richiede un'idea precisa di quali sono i tuoi obiettivi. La protezione di un sistema inizia con la risposta ad alcune domande. Correre a capofitto nell'implementare un insieme arbitrario di strumenti corre il rischio di concentrarsi sugli aspetti sbagliati della sicurezza.
Di solito è meglio determinare un obiettivo specifico. Un buon approccio per aiutare con tale determinazione inizia con le seguenti domande:
· XNUMX€ Che stai cercando di proteggere? La politica di sicurezza sarà diversa a seconda che si desideri proteggere computer o dati. In quest'ultimo caso, devi anche sapere quali dati.
• Cosa stai cercando di proteggere contro? È una perdita di dati riservati? Perdita accidentale di dati? Perdita di entrate causata dall'interruzione del servizio?
• Anche, che stai cercando di proteggerti? Le misure di sicurezza saranno molto diverse per la protezione contro un errore di battitura da parte di un utente normale del sistema rispetto alla protezione contro un determinato gruppo di aggressori esterni.
Il termine "rischio" è solitamente usato per riferirsi collettivamente a questi tre fattori: cosa proteggere, cosa dovrebbe essere prevenuto e chi potrebbe farlo accadere. Modellare il rischio richiede risposte a queste tre domande. Da questo modello di rischio si può costruire una policy di sicurezza e la policy può essere implementata con azioni concrete.
Interrogazione permanente Bruce Schneier, un esperto mondiale in materia di sicurezza (non solo sicurezza informatica), cerca di contrastare uno dei miti più importanti della sicurezza con un motto: "La sicurezza è un processo, non un prodotto". Gli asset da proteggere cambiano nel tempo, così come le minacce ei mezzi a disposizione dei potenziali aggressori. Anche se una politica di sicurezza è stata inizialmente progettata e implementata perfettamente, non dovresti mai riposare sugli allori. Le componenti del rischio si evolvono e la risposta a tale rischio deve evolvere di conseguenza.
Interrogazione permanente Bruce Schneier, un esperto mondiale in materia di sicurezza (non solo sicurezza informatica), cerca di contrastare uno dei miti più importanti della sicurezza con un motto: "La sicurezza è un processo, non un prodotto". Gli asset da proteggere cambiano nel tempo, così come le minacce ei mezzi a disposizione dei potenziali aggressori. Anche se una politica di sicurezza è stata inizialmente progettata e implementata perfettamente, non dovresti mai riposare sugli allori. Le componenti del rischio si evolvono e la risposta a tale rischio deve evolvere di conseguenza.
Vale la pena prendere in considerazione anche vincoli aggiuntivi in quanto possono restringere la gamma di politiche disponibili. Fino a che punto sei disposto a spingerti per proteggere un sistema? Questa domanda ha un impatto importante sulla politica da attuare. Troppo spesso la risposta è definita solo in termini di costi monetari,
ma dovrebbero essere considerati anche altri elementi, come la quantità di disagi imposti agli utenti del sistema o il degrado delle prestazioni.
Una volta che il rischio è stato modellato, puoi iniziare a pensare alla progettazione di una vera politica di sicurezza.
Ci sono degli estremi che possono entrare in gioco quando si decide il livello di protezioni di sicurezza da adottare. Da un lato, può essere estremamente semplice fornire la sicurezza di base del sistema.
Ad esempio, se il sistema da proteggere comprende solo un computer di seconda mano, il cui unico uso è quello di aggiungere qualche numero a fine giornata, decidere di non fare nulla di speciale per proteggerlo sarebbe del tutto ragionevole. Il valore intrinseco del sistema è basso e il valore dei dati è zero poiché non sono memorizzati sul computer. Un potenziale aggressore che si infiltrasse in questo sistema otterrebbe solo una calcolatrice. Il costo della protezione di un tale sistema sarebbe probabilmente maggiore del costo di una violazione.
All'altra estremità dello spettro, potresti voler proteggere la riservatezza dei dati segreti nel modo più completo possibile, vincendo qualsiasi altra considerazione. In questo caso, una risposta appropriata sarebbe la distruzione totale dei dati (cancellazione sicura dei file, distruzione dei dischi rigidi in bit, quindi dissoluzione di questi bit nell'acido e così via). Se c'è un requisito aggiuntivo che i dati devono essere conservati per un uso futuro (sebbene non necessariamente prontamente disponibili), e se il costo non è ancora un fattore, allora un punto di partenza sarebbe la memorizzazione dei dati su una lega di iridio-platino lastre conservate in bunker a prova di bomba sotto varie montagne del mondo, ognuna delle quali è (ovviamente) interamente segreta e custodita da interi eserciti.
Per quanto estremi possano sembrare questi esempi, sarebbero comunque una risposta adeguata a certi rischi definiti, in quanto sono il risultato di un processo di pensiero che tiene conto degli obiettivi da raggiungere e dei vincoli da rispettare. Quando deriva da una decisione motivata, nessuna politica di sicurezza è più o meno rispettabile di un'altra.
Tornando a un caso più tipico, un sistema informativo può essere segmentato in sottosistemi coerenti e per lo più indipendenti. Ciascun sottosistema avrà i propri requisiti e vincoli, pertanto la valutazione del rischio e la progettazione della politica di sicurezza dovrebbero essere intraprese separatamente per ciascuno. Un buon principio da tenere a mente è che una superficie di attacco piccola è più facile da difendere rispetto a una grande. Anche l'organizzazione della rete dovrebbe essere progettata di conseguenza: i servizi sensibili dovrebbero essere concentrati su un numero limitato di macchine e queste macchine dovrebbero essere accessibili solo attraverso un numero minimo di percorsi o punti di controllo. La logica è semplice: è più facile proteggere questi posti di blocco che proteggere tutte le macchine sensibili dall'intero mondo esterno. È a questo punto che diventa evidente l'utilità del filtraggio di rete (inclusi i firewall). Questo filtraggio può essere implementato con hardware dedicato ma una soluzione più semplice e flessibile è quella di utilizzare un firewall software come quello integrato nel kernel Linux.