Tiger: uno strumento per l'audit di sicurezza
Politica di sicurezza e audit
Definizioni
Il concetto di sicurezza applicato ad un sistema informatico spazia attraverso ambiti della conoscenza molto diversi che si estendono, solo per citarne alcuni, dalle soluzioni per la protezione fisica dei dispositivi, alle politiche di gestione del personale addetto, alle norme di tutela della privacy e dell'integrità dei dati, fino alla regole di configurazione e manutenzione dell'hardware o del software. Queste conoscenze, nel loro insieme, possono essere utilizzate per definire un elenco di regole comportamentali e procedure a cui ci si riferisce generalmente con il termine di politica di sicurezza (per gli anglosassoni, security policy). Il significato di tale termine è, naturalmente, piuttosto generico e deve essere necessariamente calato nel contesto del sistema informatico a cui ci si riferisce, delle funzioni di controllo da esso fornite e dall'assetto organizzativo di chi ne fa uso. Qualunque sistema informatico, comunque, in linea di principio applica di fatto una politica di sicurezza per semplice ed implicita che possa essere. La valutazione organizzativa e tecnica della conformità a tale politica è generalmente definita "audit" [1]).
Di seguito si riportano, senza alcuna velleità di completezza, alcuni cenni sull'evoluzione storica del concetto di politica di sicurezza che si ritiene possano essere utili a chi si avvicina a questi concetti per la prima volta in qualità di utente amatoriale; nelle poche righe sotto riportate, per brevità, si è scelto di non trattare in dettaglio l'evoluzione storica delle minacce ai sistemi informatici e della normativa nazionale di riferimento in tema di sicurezza dei sistemi informatici.
Cenni storici
L'esistenza di politiche di sicurezza, in senso lato, nell'accesso a risorse preziose e limitate è connaturata all'essere umano. Nel tempo, ha trovato diversa applicazione in funzione dell'epoca, degli ideali dominanti e delle caratteristiche tecniche dello strumento, in particolare della sua condivisibilità. Ad esempio, riferendoci all'evoluzione storica dell'informatica, nel secondo dopoguerra la valenza strategico-militare delle prime applicazioni ha imposto politiche di sicurezza estremamente restrittive nell'accesso alle risorse condivise. Allo stesso modo, al tempo, la natura sperimentale di questi dispositivi ne ha relegato l'accesso ad una cerchia estremamente ristretta di utilizzatori. Quando, a cavallo della fine degli anni sessanta e dei primi anni settanta, iniziano a diffondersi le primi applicazioni commerciali, comincia a maturare un certo interesse per questa tecnologia; ciò non di meno, le risorse informatiche sono ancora per lo più accessibili a personale estremamente qualificato, spesso operante nell'ambito della ricerca accademica: l'esigenza di limitarne l'uso è, quindi, almeno nella fase iniziale, poco sentita.