jump to navigation

Perché l’Information Security non viene accettata? lunedì 21 febbraio 2011

Posted by andy in Information Security.
Tags: , , ,
add a comment

L’Information Security e’ un business enabler. Se fatta bene, aiuta a riportare a livelli gestibili i rischi a riservatezza, disponibilita’ e integrita’ dei dati.

Ragionando con il buon senso, chi può volere dati la cui riservatezza non puo’ essere garantita? E tali dati devono essere presenti e disponibili quando occorrono, e devono anche essere esattamente come ce li si aspetta.

La security e’ un business enabler anche sotto un altro punto di vista, piu’ strutturale: ogni rischio e’ monetizzabile. Questo implica avere una policy di (overall) information security, ossia lavorare in un framework.

È vero che la sicurezza delle informazioni, ma nella gestione di un’attività si è abituati a ragionare sui costi, a partire dalle graffette fino al personale da impiegare.

È ragionevole scontrarsi con il budget e cercare di ridurre i costi, ma ignorarli proprio?

Nessuno pensa di non acquistare più buste per presentare offerte in sede di gara, o programmatori per realizzare il software: dovrebbe quindi essere implicita l’accettazione di costi per la sicurezza delle informazioni.

Perché la realtà è diversa dalla teoria?
In effetti in parte la cosa forese dipende dal fatto che chi oggi ricopre le posizioni decisionali è probabilmente ‘nato’ in ambiente mainframe, dove la sicurezza esisteva sia intrinsecamente nell’infrastruttura e nella tecnologia, sia nello scarso know-how del personale, e nella minima accessibilità ai dati che esisteva (ovviamente la cosa è un po’ ‘tirata’, ma non credo di sbagliare di molto).

Tutte queste persone non concepiscono neppure l’idea che una persona possa portarsi via un hard-disk: un tempo erano grossi come scatoloni e pesavano molti chili.
Ed ancor meno concepiscono che l’hard-disk possa essere portato via in qualcosa che è ancora più piccolo di un floppy disk.

A corredo credo che debba essere considerata la concezione per cui il software vale il ferro che lo fa girare: non per niente ho visto firo di progetti in cui per dare valore ad un software sono state vendute caterve di server molto costosi, perché altrimenti il software che poteva stare su pochi floppy disk veniva apprezzato tanto quanto quello che si trova allegato nelle riviste in edicola.
Al software occorre naturalmente collegare, in senso più lato, tutte le discipline e le professionalità che girano intorno al software.

Il figlio dei dirigenti poi a casa con il PC e con il telefonino fa miracoli, per cui viene da chiedersi che il professionista che ti viene a parlare di sicurezza non possa essere sostituito dal figlio e dal nipote …

In effetti magari il figlio ed il nipote sono veramente bravi, ma la Qualità del servizio consiste nel know-how, nel metodo e nell’esperienza; in sostanza, nella completezza e nella ripetibilità dei controlli.
Credo che in fondo ciò che non viene compreso sia proprio questo fatto.

Annunci

Green Computing ed Information Security giovedì 23 settembre 2010

Posted by andy in Information Security, tecnologia.
Tags: ,
add a comment

Ho recentemente partecipato ad un seminario del CLUSIT sul tema della relazione tra Green Computing ed Information Security.

A parte gli indubbi vantaggi che il Green Computing appare essere in grado di portare in brevissimo termine sul risparmio energetico e quindi sulla ‘bolletta della corrente’, l’impatto evidente che questo porterà sempre di più è sulla comparsa di nuovi ruoli o sulla loro valorizzazione.

L’intersezione tra Green Computing e Sicurezza delle Informazioni che è stata principalmente riscontrata ed approfondita è quella relativa alla continuità di servizio, ed in seconda istanza alla business continuity.

Ma la sicurezza delle informazioni, vista a 360 gradi, non si può limitare alla disponibilità dei sistemi, e quindi ho iniziato a chiedermi quali possano essere le relazioni tra il risparmio energetico e la riservatezza e l’integrità delle informazioni.

In effetti le infrastrutture HW e SW per il controllo e l’ottimizzazione dei consumi, per il bilanciamento del carico tra le macchine, per spegnere server sostanzialmente non utilizzati, oltre ad avere le loro complessità e quindi essere elementi da non trascurare nell’analisi dei rischi, sono a loro volta vulnerabili.

È ormai possibile togliere remotamente la corrente agli apparati spegnendo direttamente le ‘ciabatte’ a cui sono collegati all’interno dei rack.

Vi immaginate cosa potrebbe fare un malintenzionato che riuscisse a guadagnarsi l’accesso al sistema che controlla la distribuzione della corrente?

Giocando con il ribilanciamento del carico, magari facendo credere ad un server di essere sovraccarico, si potrebbe riuscire a spostare virtual machines e processi da server sicuri verso server compromessi, e prenderne il controllo.

Si può anche arrivare a ricattare un provider minacciando di spegnere tutto il data center …

Si potrebbe anche riuscire a spegnere selettivamente un IDS.

Effetti diretti sull’integrità delle informazioni non me ne vengono in mente; riesco ad immaginare soltanto effetti collaterali o secondari, una volta preso il controllo dei sistemi.

È possibile anche sperare nella corruzione dei dati a fronte di power off dei sistemi senza un adeguato shutdown, ma in generale al giorno d’oggi i sistemi ed i database sono abbastanza robusti da recuperare l’ultimo stato valido dei dati e delle transazioni.