Le leggende sulla crittografia. Perché CIO e CSO devono sapere che?

Data storage

Intervento di di Peter Tippett, Direttore Tecnico di Cybertrust

Per tutto l’anno passato, i giornali sono stati pieni di articoli relativi a vari episodi di furti di identità, informazioni e dati. Decine e decine di aziende sono cadute vittime di tali furti su vasta scala. In più di un caso, i cybercriminali erano interni all’organizzazione colpita, in altri si è trattato dei soliti hacker, in altri ancora, più semplicemente, di disattenzioni ed errori umani quali la perdita di nastri di archivio dati o il furto di notebook.
I responsabili della sicurezza informatica e i CIO delle aziende che utilizzano la crittografia potrebbero essere portati a credere che le loro aziende non saranno mai interessate da questi rischi. Ma è davvero così?
Molte aziende ritengono che le informazioni archiviate su notebook, desktop e nastri siano completamente al sicuro se sono criptate. E ciò è senz’altro in parte vero. Ma la crittografia da sola, per quanto importante, non basta: è solo un pezzo del puzzle della sicurezza. I responsabili della sicurezza e dei sistemi informativi devono inglobare la crittografia in una strategia di protezione più ampia, se vogliono mettersi totalmente al riparo dai furti di dati.

A cosa serve la crittografia?
Le organizzazioni sono sempre più distribuite e mobili e la possibilità di condividere in modo sicuro le informazioni è un imperativo per la continuità del business. Ma gli errori umani sono sempre in agguato: basta un portatile lasciato incustodito sul sedile dell’auto e un signor X qualsiasi può impadronirsene e tentare di leggere le informazioni riservate in esso archiviate. La crittografia viene in aiuto per impedirlo. I dati crittografati sono ?aggrovigliati? in modo tale che nessuno può capirci qualcosa, a meno che non sia in possesso della chiave di decrittazione.

Quando usare la crittografia
I prodotti di crittografia si possono usare per garantire la confidenzialità delle comunicazioni o dei file di dati, l’autenticazione forte, l’autenticazione dei creatori dei documenti, l’integrità dei dati e la non-repudiation (tutela contro qualcuno che neghi di aver originato una comunicazione o dei dati). Probabilmente anche voi usate la crittografia, ma non lo sapete: i client e i server VPN, ad esempio, la usano per consentire l’accesso remoto degli utenti.
Guardando alla problematica in modo più ampio, la maggior parte dei CIO e dei CSO distingue tra ?dati sul posto? (residenti su un server o su un media di archiviazione o backup) e ?dati in movimento? (che viaggiano lungo la rete). La prudenza consiglia però di proteggerli entrambi.
I dati che si trovano su un PC portatile possono essere considerati sia ?sul posto? ? in quanto sono archiviati localmente ? sia oein movimento?, in quanto il notebook viene portato avanti e indietro, dentro e fuori del perimetro della sicurezza fisica dell’organizzazione. Quando vi rubano il notebook pregate che il ladro fosse interessato solo al valore dell’hardware e del software, non a quello dei vostri dati. Ad ogni modo crittografare i dati residenti su un PC portatile costa relativamente poco a paragone dei vantaggi in caso di perdite o furti. Sia Microsoft Windows XP/Professional sia Mac OS X supportano la crittografia di tutti i file utente. Senza la password per il login, tali dati sono inaccessibili.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore