Sembrerà banale, ma la prima domanda alla quale si deve rispondere prima di sviluppare una efficiente struttura di security è:
cosa si deve effettivamente proteggere?
Una seconda domanda non meno importante è:
quanto effettivamente vale ciò che si vuole proteggere?
Il primo quesito consente di identificare chiaramente, tra tutti gli elementi che compongono la propria struttura IT, quali sono quelli critici ai quali è impossibile rinunciare e ai quali è quindi necessario garantire l'adeguato livello di protezione. Identificare gli elementi essenziali da proteggere consente di non disperdere energie e investimenti alla ricerca impossibile di proteggere tutto allo stesso livello.
La risposta alla seconda domanda non è banale e richiede un'attenta fase
di analisi. Spesso quasi nessuno è in grado, a freddo, di dare una valutazione anche approssimativa ai propri dati e ai componenti della propria struttura IT.
Il valore effettivo di un archivio infatti non coincide con il disco che lo contiene, così come un server web non è identificabile con la spesa sostenuta al momento dell'acquisto. Spesso infatti la perdita dei dati contenuti in un archivio può decretare gravissime perdite economiche, così come ripercussioni legali nel caso in cui si tratti di dati sensibili. Anche il blocco del server web potrebbe danneggiare gravemente l'immagine aziendale o portare a importanti perdite economiche nel caso in cui gli siano affidati servizi che rappresentano il core business aziendale.
[tit:Pianificare]
La fase in cui si cerca di trovare una risposta ai due quesiti precedenti è nota con il nome di
Risk Analysis e rappresenta il primo passo da compiere prima di procedere all'implementazione di un piano di sicurezza equilibrato ed efficace. Non è infatti possibile stabilire una politica di sicurezza, indicare delle misure di protezione, o salvare dati, file e documenti senza avere prima assegnato un valore a quanto si desidera salvaguardare.In questa prima fase, un elenco di informazioni sicuramente utili alle successive operazioni comprenderà le attività di censimento di:
a) Archivi in formato elettronico utilizzati dai software;
b) Copie (storiche o per fini di backup);
Sarà importante, anche in questo caso, non soffermarsi a stilare un semplice elenco di archivi, bensì si dovranno già raccogliere dati quali
a) Tipologia di archivio (elettronico/cartaceo);
b) Risorsa hardware che ospita l'archivio (se si tratta di un archivio elettronico;
c) Natura dei dati (sensibili o no) presenti sull'archivio;
d) Strumenti e politiche di backup (se si tratta di un archivio elettronico);
La raccolta di questi dati non solo faciliterà la successiva fase di analisi dei rischi ma permetterà di raccogliere molte altre informazioniIndividuati i beni da proteggere occorrerà valutare a quali minacce e vulnerabilità sono esposti. Qui una parte fondamentale è giocata anche dalla fantasia. I server contenenti i dati e i loro supporti storage possono guastarsi oppure essere trafugati. La sala server può incendiarsi. La stanza dove archiviamo i nastri può allagarsi, e così via. La quantizzazione del rischio su ogni elemento individuato, è un problema piuttosto complesso. Esistono infatti delle tecniche e delle metodologie per valutare e quantificare il rischio. Tuttavia l'applicazione di queste procedure è complessa e non sempre fattibile in tutte le realtà , soprattutto quelle di dimensioni più ridotte. Spesso le strutture più grandi affidano questa fase a professionisti o a società di consulenza specializzate.
Nei casi più semplici come per esempio il computer casalingo, la quantizzazione del rischio si concentra, prevalentemente intorno ai dati contenuti sul disco fisso. In questo caso le cose si semplificano e quindi si può pensare di diminuirne i rischi di perdita dotandosi di un UPS per concludere eventuali salvataggi in caso d'interruzione dell'energia elettrica e, ricorrere a unità disco esterne per l'esecuzione dei backup.
[tit:Attuare]
Procedendo dall'analisi dei rischi occorrerà definire un piano di sicurezza che comprenderà l'insieme delle misure fisiche, logiche ed organizzative che si adottano per tutelare le strutture individuate nella fase di pianificazione.
Per definire un piano di sicurezza proporzionato alle reali esigenze, occorrerà quindi partire dall'analisi dei rischi condotta in precedenza, cercando di adottare quelle misure che vanno maggiormente a contrastare le minacce più gravi alla struttura ed agli strumenti che operano il trattamento dei dati.
[tit:Verificare]
La verifica dell'efficacia e della validità nel tempo delle misure di sicurezza adottate è il punto fondamentale di tutto il processo. Molto spesso la bontà di una soluzione adottata si può valutare solo ‘monitorando' nel tempo gli effetti di questa soluzione, oppure nel caso dei backup, effettuare dei test di
disaster recovery ripristinando saltuariamente alcuni dati e archivi.
Durante questa fase emergeranno nuove osservazioni, si evidenzieranno mancanze o elementi non precedentemente considerati, emergeranno nuovi elementi da proteggere e possibili migliorie a quanto implementato.
[tit:Mantenere]
Tutti gli elementi raccolti nella fase di verifica dovranno essere utilizzati per stabilire una nuova evoluzione del piano generale. Le modifiche e le evoluzioni ipotizzate dovranno essere nuovamente pianificate e daranno nuovamente vita a una fase d'implementazione e verifica, con conseguente raccolta di nuove evidenze o possibili evoluzioni. Si tratta ipoteticamente di un ciclo infinito che permette contemporaneamente di mantenere aggiornata la struttura di sicurezza realizzata e di migliorarne costantemente l'efficienza.
Per semplificare l'adozione dello schema appena descritto potrebbe essere utile suddividere in livelli di sicurezza la struttura aziendale, analizzandoli prima singolarmente e quindi radunando i risultati in un'ottica globale che li comprenda tutti. Da notare che alcuni dei punti possono tranquillamente essere trasferiti a livello SOHO (Small Office Home Office = ambito casalingo).