Legge 675/1996 - Progetto di verifica ed adeguamento della sicurezza informatica per banche dati distribuite

di
Ing. Luigi Baffigo

Il caso presentato si riferisce ad un'azienda realmente esistente e i dati sono reali; tuttavia il nome della società non viene dichiarato per espressa volontà della stessa.

L'azienda cui si riferisce il progetto descritto, pur non trascurando l'importanza della sicurezza informatica, aveva considerato questo tema come appannaggio specifico dei tecnici e non ne aveva mai fatto oggetto di una valutazione complessiva che ne considerasse nel suo insieme tutti gli aspetti. La promulgazione della legge 675 è stata l'occasione per valutare i rischi connessi con una non adeguata protezione delle informazioni e mettere in atto opportuni piani di adeguamento.

Il progetto, nella sua fase realizzativa, è ancora in atto e richiederà molto impegno per il suo completamento.


Descrizione dell'ambiente

Azienda di servizi con circa 1.500 dipendenti. Sistema Informativo distribuito basato su varie piattaforme - Unix, AIX, Windows NT MVS IBM, Windows 95 - con l'utilizzo di Hardware di fornitori vari - HP, Sun, IBM, ecc.

Il numero dei server presenti è di oltre 30, tra loro collegati da una LAN. Sono inoltre presenti delle connessioni di vario tipo - SNA, TCP/IP - con calcolatori e reti esterne.

In generale i server sono specializzati per tipologia di servizio - applicativi, rete, DB, gateway, ecc. Tutti i dipendenti dispongono di almeno una workstation abilitata ad accedere, tramite un Service Provider, alla rete Internet.


Metodologia utilizzata

Il progetto è stato condotto per fasi, con un capo progetto col compito di coordinare tutte le attività. Ha coinvolto, anche se solo per qualche mezza giornata, molte persone, soprattutto manager, ed è durato tre mesi. Ogni 15-20 giorni è stata tenuta una riunione di fasatura.

Di seguito le fasi principali:

Fase 1 - Censimento dei trattamenti
La prima attività svolta è stato il censimento dei trattamenti che ha permesso di fornire la documentazione base per la notificazione al Garante. In tale fase è stato inoltre individuato per ogni trattamento un responsabile (interno aziendale) col ruolo di fare da punto di riferimento per il trattamento stesso.

Come questionario per il censimento è stato utilizzato lo stesso della notificazione al Garante con in più alcuni elementi quali:

  • Nome del trattamento

  • Nome del responsabile

  • Banche dati principali

  • Indicazione degli addetti al trattamento (nome dei reparti o di singole persone)

  • Indicazione di eventuali attività affidate a sub-fornitori

Fase 2 - Censimento delle banche dati e rilevazione dello stato della sicurezza
È stato predisposto un modulo, che i vari responsabili hanno compilato.

Il modulo è stato così strutturato:

    Dati anagrafici della banca dati

  • Nome della banca dati

  • Server su cui risiedono i dati

  • Indicazione se contiene dati sensibili

    Caratteristiche generali

  • Indicazioni se il server è stand-alone, in rete, collegato all'esterno, ecc.

  • Procedure di gestione delle librerie dei programmi

  • Procedure di modifica delle applicazioni

  • Procedure di backup

  • Caratteristiche del software di sicurezza (se esiste)

  • Protezione antivirus

    Accesso alla banca dati

  • Sistema di identificazione/autenticazione delle utenze

  • Regole di gestione delle utenze

  • Regole di gestione delle password (se usate)

  • Definizione dei bg, regole di gestione

  • Accesso da parte di terzi (non dipendenti dell'azienda)

    Sicurezza fisica del server

  • Caratteristiche del locale dove è situato il server

  • Regole di accesso al locale

Fase 3 - Analisi dei rischi
Basandosi su una metodologia ricavata dal British Standard BS-7799 (semplificata ed adattata alle specifiche esigenze della legge 675) è stata effettuata un'analisi dei rischi cui sono soggette le banche dati censite. Tale analisi ha permesso di individuare le aree di maggiore rischio - nel nostro caso essenzialmente le metodologie di identificazione/autenticazione ed i collegamenti di rete con l'esterno - e di definire le priorità di intervento.

Fase 4 - Definizione dello standard aziendale di sicurezza
Il documento definisce le regole fondamentali di sicurezza per le banche dati con dati personali e copre le seguenti aree:

Organizzazione della sicurezza
Assegnazione delle responsabilità
Sicurezza fisica
Sicurezza logica
Identificazione ed autenticazione
Regole di gestione delle Password
Regole d'accesso ai dati
Gestione dei bg
Controlli e audit
Regole di collegamento con l'esterno
Sicurezza delle workstation
Norme di sicurezza per gli incaricati del trattamento

Fase 5 - Piano di realizzazione
Basandosi sullo standard gli amministratori delle varie piattaforme hanno stilato un documento tecnico, da considerarsi un allegato allo standard stesso, che indica quali tipologie di software e con quali parametri operativi si possono concretizzare le prescrizioni di sicurezza previste dallo standard stesso. Si pensa che tale allegato sia da revisionare con una frequenza appropriata in quanto influenzato dall'evoluzione tecnologica. Successivamente, per ogni banca dati, sono stati valutati i tempi ed i costi di adeguamento. Molta attenzione è stata posta agli eventuali impatti sulle applicazioni a seguito dell'introduzione delle regole di sicurezza.

Una valutazione di massima ha portato a stimare in oltre 12 mesi il tempo necessario per adeguare tutti i server, con le relative banche dati, e ad omogeneizzare - dal punto di vista della sicurezza - le varie piattaforme.


Conclusioni

Solo due parole sulle difficoltà incontrate. Normali quelle riferite agli aspetti tecnici. Per contro il capo progetto ha dovuto faticare non poco a superare le diffidenze dei tecnici informatici e il modesto entusiasmo dei manager (non informatici). I primi molto restii a modificare quanto già realizzato, forse nel timore di perdere in flessibilità operativa. I secondi, pur consapevoli dell'importanza di proteggere le informazioni aziendali, guidati da altre priorità.

(Ndr: ripreso dall'Osservatorio Editoriale sui Sistemi Informativi, di dicembre 1998, della SDA Bocconi)