Il primo passo di una strategia efficace di difesa della propria infrastruttura informatica è la definizione della politica di sicurezza. Questa politica definisce innanzitutto le regole per un uso corretto del sistema e per la sua gestione. Quindi essa deve definire, almeno, quali strumenti possono essere usati per accedere alla Rete, quali scambi di informazioni sono permessi e quali vietati, come vengono installati e aggiornati i componenti software e hardware dell’infrastruttura.

La politica di sicurezza è indipendente dalla tecnologia, poiché definisce le regole per un uso della Rete e dei servizi che essa offre. Quindi, essa è indipendente da come tali servizi sono realizzati. Quando si definisce la politica è bene ricordare che la sicurezza, anche quella informatica, è prima di tutto un problema sociale. I migliori strumenti tecnologici non possono infatti garantire la sicurezza se non esistono responsabilità sul loro utilizzo o se gli utenti li vedono solo come ostacoli a un uso semplice e immediato della Rete. Ciò scatena una competizione tra chi deve forzare l’utilizzo di questi strumenti e gli utenti che cercano in tutti i modi di disabilitarli. Una politica di sicurezza non condivisa dai vari utenti può difficilmente essere applicata e, se lo è, ciò ha un costo molto superiore a quello di una politica condivisa.

Il primo gradino. Un passo fondamentale per la definizione della politica di sicurezza è una classificazione delle informazioni gestite dalla infrastruttura informatica in base alla loro importanza per il funzionamento dell’organizzazione. Definite le varie classi, a ognuna può essere associato un rischio, valutando perché le informazioni nella classe possono non essere utilizzabili. Le ragioni possono essere le più disparate, dagli errori degli utenti agli attacchi esterni ai guasti dei dispositivi, ma comunque esse provocano una o più di queste tre situazioni generali:

• l’informazione non è disponibile. L’infrastruttura non è in grado di accedere all’informazione perché l’infrastruttura stessa non riesce a servire tutte le richieste, ad esempio a causa di un attacco di tipo "Denial of service";

• l’informazione non è corretta perche è stata modificata da chi non era autorizzato a farlo;

• la confidenzialità dell’informazione non è più garantita perché è stata letta da chi non era autorizzato.

Per ogni classe di informazioni, è quindi opportuno verificare se e quali dei tre casi precedenti si possono presentare. In questo modo, il problema della sicurezza informatica si inquadra in un contesto più ampio, quello della capacità dell’infrastruttura di sopravvivere in un ambiente ostile.

I costi. Stimando infine il costo per l’organizzazione dell’impossibilità di utilizzare un’informazione e moltiplicandolo per la probabilità che ogni rischio ha di concretizzarsi, si definisce il costo attuale della non disponibilità dell’informazione. Questo costo indica la perdita attesa nella situazione attuale. Esso definisce, in termini economici, l’importanza per l’organizzazione delle informazioni in una classe e permette di stabilire un limite a priori sui costi sostenibili, per evitare i rischi corrispondenti. Solo partendo da questa stima è possibile scegliere gli strumenti informatici per difendere le informazioni, il personale per gestire e aggiornare gli strumenti stessi e le varie responsabilità e autorità.

Indirettamente, il costo della non disponibilità delle informazioni permette anche di stimare il grado di informatizzazione di una organizzazione, perché tale costo è tanto più grande quanto più l’organizzazione dipende dalle informazioni gestite e ottenute tramite la rete. La stima dei vari rischi e delle probabilità che essi si concretizzino possono essere condotte a partire dalla storia passata dell’organizzazione o di organizzazioni simili. Occorre comunque rivedere periodicamente i rischi possibili per tener conto dell’evoluzione tecnologica, che può rendere predominanti rischi in precedenza trascurabili. Si consideri, ad esempio, la disponibilità di strumenti che automatizzano le varie fasi di un attacco. Ciò rende l’attacco stesso molto più probabile semplicemente perché amplia il numero delle persone in grado di eseguirlo. La revisione periodica dei rischi possibili è richiesta dai vari standard internazionali sulla sicurezza, ad esempio dal BS7799 e anche dai vari decreti attuativi della legge 675 del ’96.

Ruolo della struttura. È opportuno notare che la probabilità che un certo rischio si verifichi non può essere valutata indipendentemente dai componenti dell’infrastruttura. Ad esempio, la probabilità di un attacco informatico dall’esterno o di un comportamento erroneo di un utente dipendono fortemente dai componenti utilizzati. Quindi, nel caso di una organizzazione che già disponga di una infrastruttura informatica, la valutazione precedente ha sostanzialmente lo scopo di definire sia i rischi non coperti attualmente che i costi a essi associati. Per scegliere i componenti da utilizzare e per aumentare la disponibilità delle informazioni è fondamentale distinguere se i rischi maggiori siano dovuti a utenti interni o ad attacchi esterni. Per lungo tempo, la quasi totalità dei rischi era dovuta al personale interno all’organizzazione. Attualmente, i rischi dovuti, rispettivamente, ad accessi esterni e interni sono più equilibrati, anche se il pericolo legato ai secondi è ancora quello maggiore per quasi tutte le organizzazioni.

Come progettarla. L’infrastruttura informatica deve essere progettata in modo da proteggere in modo diverso informazioni che hanno criticità diverse, garantendo anche la difesa di tali informazioni da attacchi interni. Ciò richiede che l’infrastruttura sia scomposta in più strutture, ognuna dedicata alla gestione di un sottoinsieme delle informazioni, con connessioni ben riconoscibili e limitate tra di loro. Per ogni utente, è poi necessario decidere quali sono le infrastrutture a cui deve poter accedere in base alle suo ruolo nell’organizzazione. La classica distinzione tra l’infrastruttura dell’organizzazione e quella del mondo esterno, di solito Internet, è perciò quasi sempre inadeguata, perché ormai interessa una classificazione più fine di quella tra "noi" e "gli altri".

Un’importante ripercussione sugli strumenti tecnologici è che uno strumento come il firewall non sarà usato solo per controllare gli accessi dall’esterno alla infrastruttura ma anche per controllare quelli da un sottoinsieme dell’infrastruttura a un altro. In questo modo si rispetta anche la legislazione che, come nel caso del Dpr 318/99, richiede che l’accesso a informazioni personali e sensibili sia permesso solo quando sia reso necessario dalle funzioni ricoperte in una organizzazione.

Cosa condividere. Da un punto di vista teorico, è importante che i vari sottoinsiemi dell’infrastruttura siano anche fisicamente separati, a partire dalle linee fisiche. Le connessioni tra i sottoinsiemi devono essere ben riconoscibili e adeguatamente controllate. Purtroppo, ciò è spesso impossibile, per ragioni economiche e pratiche. Per tener conto di ciò si stanno sempre più diffondendo componenti che anticipano la versione 6 di Ip e permettono di definire reti virtuali (le Virtual private network, Vpn). Più Vpn possono condividere una stessa infrastruttura fisica, perché le informazioni trasmesse per conto di una Vpn sono codificate in modo da poter essere lette e modificate solo dai componenti della Vpn stessa. Ciò si ottiene utilizzando chiavi di codifica diverse per ogni nodo della Vpn. Grazie alla codifica, componenti appartenenti a due Vpn possono perciò utilizzare ad esempio la stessa linea senza che sia possibile accedere ai dati trasmessi.

I limiti. La sicurezza offerta da questa soluzione non è completa perché, ad esempio, le informazioni sui componenti che inviano o ricevono le varie informazioni devono comunque viaggiare in chiaro sulla Rete e quindi è possibile dedurre informazioni sul traffico o sugli indirizzi Ip dei vari nodi. Inoltre, un componente che collega più Vpn può decodificare le informazioni provenienti da una Vpn prima di codificarle per passarle a un’altra, ed è quindi possibile accedere alle informazioni in chiaro. Infine, le Vpn non proteggono dai Denial of service, particolarmente se utilizzate attraverso Internet, e quindi non possono garantire la disponibilità delle informazioni.

Per valutare l’importanza delle varie risorse che compongono una infrastruttura informatica è bene ricordare che un sistema connesso in rete ha un valore intrinseco, indipendente dalle informazioni che memorizza, perché il sistema può essere utilizzato per attaccarne altri. Per nascondere le proprie tracce, un attaccante non usa mai il sistema a cui è direttamente connesso: usa, invece, una catena di sistemi e lancia l’attacco solo dall’ultimo anello della catena. Evitando che nella catena appaia un nodo della propria infrastruttura, non solo si evitano problemi legali e una perdita di immagine, ma si contribuisce alla creazione di un Internet più robusto e meno amichevole per l’attaccante.