Dopo aver esaminato, sul numero dello scorso 21 novembre di Job in Tourism, i nuovi scenari aperti all’universo della formazione dalla diffusione del web, l’esperto di information and communication technology, nonché amministratore di It Consulting, Alessandro Canini, inizia su questo numero un percorso alla scoperta della tanto delicata quanto essenziale materia della sicurezza in campo informatico. In questa prima parte, in particolare, Canini affronta la questione da un punto di vista generale. Per poi approfondire, prossimamente, il tema dei due principali sistemi di crittografia dei dati (a chiave simmetrica o asimmetrica), nonché quello della tecnologia Vpn (Virtual private network) per l’interconnessione delle sedi aziendali.
Prima di addentrarci nelle complesse problematiche della sicurezza digitale, vorrei sgombrare il campo da alcune frequenti sovrapposizioni semantiche tra i concetti sottesi ai termini sistema informativo e sistema informatico. Riporto perciò la definizione di sistema informativo tratta dal libro Informatica aziendale di Pierfranco Camussone, edito dalla Utet di Torino (1994, pag. 579), secondo cui si può considerare tale «quel complesso di elementi che rileva in modo sistematico e organizzato i fenomeni economici di interesse dell’azienda». Una definizione, quest’ultima, che chiarisce abbondantemente come il sistema informativo esista e possa vivere a prescindere dalla presenza di un sistema informatico. Ciò doverosamente premesso, è pur vero che quando ci avvaliamo della tecnologia per gestire e organizzare il sistema informativo, l’attenzione deve essere spostata necessariamente anche sul sistema informatico utilizzato per automatizzare, con le regole proprie dell’information and communication technology, il sistema informativo stesso. Perché il sistema informatico è proprio lo strumento deputato al trattamento di queste informazioni digitalizzate.
Oggi, in particolare, gli ambienti informativi sono spesso distribuiti tra più soggetti, come, per esempio, nel caso di aziende con sedi dislocate in vari punti del territorio. Inoltre, le informazioni possono essere condivise anche con un buon numero di partner aziendali, fornitori e clienti. Il turnover dei dipendenti, poi, è spesso elevato e, allo stesso tempo, le aziende ricorrono molte volte a consulenti esterni. Per tutti questi motivi, dobbiamo perciò tenere costantemente aggiornato e ben configurato il nostro sistema informatico: la tecnologia da un lato e il fattore umano dall’altro costituiscono, infatti, una seria minaccia ai sistemi informativi automatizzati. Quest’ultimi, in particolare, sono costituiti da supporti It hardware e software, nonché da procedure, persone, mezzi, dati ed eventi, che presentano diverse vulnerabilità, più o meno accentuate a seconda di ogni singola circostanza, cui le aziende sono chiamate a dare una risposta efficace. Ed è proprio per difendere i dati aziendali da minacce esterne e interne, che gli esperti di information and communication technology si trovano a dover gestire misure di sicurezza dai processi a volte molto complessi.
Il problema principale riguarda la trasmissione a distanza. Nel momento in cui utilizziamo un canale di comunicazione per inviare o stoccare dati dobbiamo, infatti, essere sicuri che nessuno, al di fuori dei destinatari, sia in grado di poterli leggere. La segretezza delle informazioni, in altre parole, si garantisce limitando l’accesso ai contenuti da proteggere alle sole persone autorizzate, sia in fase di archiviazione, sia in fase di comunicazione. La riservatezza può così essere garantita sia celando a terzi non autorizzati l’intera informazione, utilizzando per esempio delle tecniche di crittografia, sia nascondendo la relazione tra i singoli elementi che la compongono. Un’informazione è, infatti, generalmente composta da più dati posti in relazione tra loro, ciascuno dei quali non necessariamente costituisce un’informazione di per se stesso. Il nome e il numero di telefono di una persona, separati, per esempio non possono essere considerati un’informazione: è la combinazione dei due dati che li rende tali.
La riservatezza, infine, non dipende solo dagli strumenti hardware e software utilizzati. Anche il fattore umano gioca un ruolo chiave, soprattutto quando vengono ignorate alcune elementari regole di comportamento come, tra le altre, la difesa della segretezza delle password, il controllo degli accessi a reti e sistemi, il divieto di fornire informazioni a sconosciuti, la cifratura obbligatoria dei documenti e dei messaggi più riservati.
Non dobbiamo, infatti, considerare la tecnologia come l’unica nemica della sicurezza. Anzi, i diversi prodotti informatici devoluti al trattamento dei dati digitalizzati, sia hardware sia software, funzionano generalmente molto bene. Ciò che invece nella maggior parte dei casi non funziona altrettanto bene sono altri fattori, come per esempio, i processi organizzativi aziendali utilizzati per il trattamento delle informazioni. Quest’ultime, in particolare, devono essere regolamentate in maniera precisa per far sì che non ci siano violazioni, anche involontarie, dei dati aziendali.
Introduzione alla crittografia
L’interconnessione dei sistemi informativi e l’esigenza di garantire l’invio sicuro di dati a distanza stanno ponendo, negli ultimi anni, in grande evidenza il tema della crittografia. Quest’ultima, in particolare, è un insieme di tecniche capaci di alterare le informazioni, in modo da renderle comprensibili solo a coloro che sono autorizzati a conoscerle. Lo scopo della crittografia non è così quello di nascondere il messaggio, ma solo di renderlo illeggibile a chi non ne conosca la formula per decifrarlo. La disciplina che si occupa di nascondere i messaggi è, infatti, un’altra ed è chiamata steganografia.
La sicurezza dei sistemi crittografici si basa, poi, sul principio di Kerckhoffs, dal nome del suo inventore, Auguste Kerckhoffs, un professore di linguistica olandese che lo coniò, alla fine del diciannovesimo secolo, in occasione di una sua pubblicazione sul francese Journal des sciences militaires. Secondo tale definizione, in particolare, «la sicurezza del sistema non dipende dalla segretezza dell’algoritmo di codifica ma dalla segretezza della chiave». Per i dati crittografati in base a questo principio, in altre parole, non è sufficiente conoscere l’algoritmo di codifica del messaggio per poter risalire al testo in chiaro, ma è necessario disporre anche della chiave utilizzata per cifrarlo. I vari sistemi crittografici possono poi essere divisi in sistemi di crittografia a chiave simmetrica e sistemi di crittografia a chiave asimmetrica.
Comments are closed