Security Zealot: perché la "disponibilità" viene sempre dopo confidenzialità e integrità?
Da "uomo di sicurezza" cerco sempre di essere attento anche ai processi e alle persone che fanno parte della sicurezza informatica e non solo alle tecnologie.
Non posso quindi esimermi dal fare una considerazione scomoda ma che reputo corretta.
Non posso quindi esimermi dal fare una considerazione scomoda ma che reputo corretta.
Non sto qui a ripetere quali siano i principi base per la tutela delle informazioni: confidenzialità, integrità e disponibilità (ok l'ho appena fatto).
Ma mentre per i primi due, forse a causa di troppi film di spionaggio, c'è il solito zelota che li difende a spada tratta (nessuno escluso), il terzo principio rimane spesso orfano.
E' utile un esempio che si incentra sul principio, per me valido, della delega della password di accesso:
Poniamo il caso di essere in una struttura medio piccola, in cui l'acceso ad alcuni sistemi è regolato giustamente da sistemi di autenticazione a due fattori (username e password). In questa struttura le policy di sicurezza e i processi aziendali non sono così strutturati, proprio per la dimensione contenuta dell'azienda.
Ammettiamo che un dipendente con mansioni informatiche, abitualmente non autorizzato ad accedere ad un sistema, per motivi di urgenza nel proseguimento di un'attività importante debba ora accedere ad uno specifico sistema.
Cosa succede?
Preghiere incessanti di concedere l'autorizzazione. Dibattiti se sia o meno giusto concedere l'accesso a tale persona e se l'attività che sta eseguendo è davvero così importante. Una serie infinita di domande del tipo "ma tu non dovresti accedere"..."la sicurezza prevede che..."; dimenticandosi che la sicurezza delle informazioni prevede anche che i sistemi e le informazioni siano disponibili in tempi ragionevoli!!!!
Ma mentre per i primi due, forse a causa di troppi film di spionaggio, c'è il solito zelota che li difende a spada tratta (nessuno escluso), il terzo principio rimane spesso orfano.
E' utile un esempio che si incentra sul principio, per me valido, della delega della password di accesso:
Poniamo il caso di essere in una struttura medio piccola, in cui l'acceso ad alcuni sistemi è regolato giustamente da sistemi di autenticazione a due fattori (username e password). In questa struttura le policy di sicurezza e i processi aziendali non sono così strutturati, proprio per la dimensione contenuta dell'azienda.
Ammettiamo che un dipendente con mansioni informatiche, abitualmente non autorizzato ad accedere ad un sistema, per motivi di urgenza nel proseguimento di un'attività importante debba ora accedere ad uno specifico sistema.
Cosa succede?
Preghiere incessanti di concedere l'autorizzazione. Dibattiti se sia o meno giusto concedere l'accesso a tale persona e se l'attività che sta eseguendo è davvero così importante. Una serie infinita di domande del tipo "ma tu non dovresti accedere"..."la sicurezza prevede che..."; dimenticandosi che la sicurezza delle informazioni prevede anche che i sistemi e le informazioni siano disponibili in tempi ragionevoli!!!!
Giorni di fermo del lavoro in attesa della fatidica "autorizzazione".
In casi come questo potrebbe bastare, dietro richiesta del dipendente e valutazione della sua affidabilità, concedere l'accesso al sistema semplicemente delegando le credenziali di accesso e rinnovandole dopo la fine dell'attività. Il tutto condito però da un bel log degli accessi!
Alzi la mano a chi non è capitata una situazione del genere. Sia nelle parti del Zelota che del povero informatico.
Combatti anche tu il Security Zealot :-D
Commenti
Posta un commento