La sicurezza informatica (in inglese cyber security), è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialità, integrità e disponibilità, dei beni o asset informatici.
Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.
Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.
La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.
L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività.
Sicurezza delle informazioni
Sicurezza informatica non coincide con sicurezza delle informazioni (InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.
Si può sommariamente osservare che:
- quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
- un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.
Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.
Per approfondimenti e Certificazioni Auditor/Lead Auditor ISO/IEC 27001:2022