di Antonio de Martino
ISO/IEC 27001:2013
Il 25 settembre 2013 è stata pubblicata la normativa ISO/IEC 27001:2013. Lo standard delinea i requisiti per l’implementazione e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni nel contesto di un’organizzazione, indipendentemente dalla sua dimensione, tipologia o natura.
In passato il concetto di sicurezza informatica era limitato ad ambiti specifici, si pensi ad esempio a quello militare o quello finanziario. In questo tipo di contesti, infatti, la corretta gestione e la salvaguardia delle informazioni riveste un’importanza vitale per l’intera l’organizzazione. Negli ultimi anni, grazie all’evoluzione tecnica che ha consentito un notevole aumento della potenza di calcolo dei sistemi informativi, tutti i settori sono stati permeati dall’informatica, nessuno escluso, favorendo un vero e proprio “salto” tecnologico rispetto al passato. L’accesso alla realtà contemporanea così completamente informatizzata rappresenta il segmento che unisce noi utenti alle informazioni, e non potrebbe avvenire se di pari passo non fossero evolute le reti di telecomunicazioni.
Le informazioni, quindi, viaggiano attraverso nuovi canali, come la posta elettronica o i documenti digitali e possono essere oggetto di interesse per i motivi più svariati. Per questa ragione la protezione delle informazioni è divenuta un aspetto fondamentale e strategico per qualunque tipo di attività, sia per il settore pubblico che quello privato.
Esaminando l’andamento del numero di incidenti informatici negli ultimi tre anni si può notare che, dopo una crescita iniziale avvenuta tra la fine del 2011 e l’inizio del 2012, il fenomeno ha raggiunto un andamento continuo per raggiungere un valore costante verso la fine del 2013. Le motivazioni alla base di questi eventi possono essere classificate in quattro macro-categorie:
- Cybercrime (per esempio furti di denaro),
- Hacktivism (ideologia, dimostrazioni di abilità),
- CyberEspionage (spionaggio sia militare che industriale),
- CyberWarfare (motivazioni politiche, sabotaggi, terrorismo).
Il fenomeno ha introdotto anche una nuova tipologia di attacchi informatici mai vista prima come quelli a fine di spionaggio per la sicurezza nazionale, rivelativi dall’analista Edward Snowden nel datagate(1), oppure gli attacchi ai danni di infrastrutture considerate critiche come il virus stuxnet, che secondo il New York Times(2) sarebbe stato inventato per osteggiare il programma di sviluppo nucleare in Iran. Di fronte a questa ondata di nuove minacce non si è fatta attendere la risposta dei Governi che hanno messo in campo i provvedimenti necessari per affrontare e combattere il fenomeno, si pensi ad esempio alla “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”(3) in Italia.
…continua su EDICOLeA
Altri articoli di Antonio de Martino
di Antonio de Martino (n.II_MMXV)
La società Symantec ha scoperto un nuovo tipo di malware operante dal 2008 su Internet, che avrebbe preso ogni tipo di informazione ai governi, ai gestori telefonici e ai suoi utenti, alle imprese grandi e piccole e ai privati cittadini.
di Antonio de Martino ( n.III_MMXIV )
Il bug Heartbleed è una grave vulnerabilità della popolare libreria OpenSSL utilizzata per crittografare i collegamenti su Internet. Questa debolezza permette di rubare le informazioni protette trasmesse da applicazioni quali browser, email, instant messaging e alcune reti private virtuali.
di Antonio de Martino ( n.IV_MMXIII )
Il 7 Novembre 2013, è stata pubblicata la versione 3.0 dello standard “Payment Card Industry Data Security Standard”, meglio conosciuto come PCI-DSS. Si tratta di una raccolta di requisiti e raccomandazioni, che è stata sviluppata dal Payment Card Industry Security Standard Council (PCI SSC), che definisce le misure di protezione dei processi di gestione e trattamento dei dati provenienti dai pagamenti effettuati attraverso carta di credito.
di Antonio de Martino ( n.III_MMXIII )
Nella nuova sezione ”Navigazione sicura” del Rapporto di Trasparenza (Transparency Report) pubblicato da Google sono elencati i siti web non sicuri, affinché utenti e webmaster possano evitarli così da non subire danni. Le informazioni si basano sugli avvisi rilevati da Google Chrome, Mozilla Firefox e Apple Safari, utilizzati ogni settimana da decine di milioni di utenti che tentano di visitare siti web che carpirebbero loro informazioni personali o installerebbero software ideati per assumere il controllo dei loro computer.
di Antonio de Martino ( n.II_MMXIII )
Microsoft Security Intelligence Report - Volume 14 - July through December, 2012. Microsoft ha pubblicato la versione aggiornata del suo rapporto sulla sicurezza, constatando che il 24 % dei PC è privo di antivirus, antimalware o di qualsiasi altra protezione contro i pericoli informatici provenienti dalla rete.