Roma – Una cultura della sicurezza anche per quanto riguarda internet e le diverse reti, comprese quelle wireless, che sono in via di sviluppo: questo è quanto chiede, propone e intende promuovere l’OCSE, l’Organizzazione per la cooperazione e lo sviluppo economico, che ha varato una serie di linee guida che aggiornano quelle sulla sicurezza del 1992.
L’idea del consiglio dell’OCSE (OECD nella sigla in inglese) è quello – si legge in una nota – di “rispondere alle nuove sfide e ai nuovi rischi legati alle minacce che incombono sui sistemi informativi e sulle reti”. “Le linee-guida – prosegue la nota – si propongono di sviluppare una ‘cultura della sicurezzà fra i governi, le imprese e gli utenti in un momento di espansione mondiale delle reti di comunicazione, di interconnessione crescente oltre i confini nazionali e di convergenza delle tecnologie sempre più potente”.
Non si tratta di un invito all’attenzione rivolto alle sole imprese e alle istituzioni, dunque, ma anche ai singoli utilizzatori di tecnologie dell’informazione, affinché applichino “nove principi base, fra cui la sensibilizzazione e la responsabilità in materia di sicurezza e il rispetto di valori etici e democratici, con particolare riguardo alla tutela dei dati personali”.
“Sebbene le linee guida non siano obbligatorie – si legge in una nota diffusa dall’OCSE – sono il prodotto degli accordi dei governi OCSE e il risultato di dibattiti che hanno coinvolto anche rappresentanti dell’industria dell’ICT, utenti aziendali e la società civile. I governi OCSE e gli altri costruiranno su queste basi le proprie politiche, misure e programmi formativi per la sicurezza online”.
“Governi di altri paesi – continua la nota – sono invitati ad adottare un approccio simile e alle aziende si chiede di inserire la sicurezza tra gli elementi di studio e realizzazione dei propri sistemi e reti e di fornire informazioni e aggiornamenti di sicurezza agli utenti. A tutti i singoli utenti si chiede di essere attenti e responsabili e di prendere misure preventive per ridurre i rischi di sicurezza emergenti in un mondo interconnesso”.
Ma ecco i nove punti fondamentali individuati dall’OCSE.
Le linee guida decise dall’OCSE comprendono i seguenti punti, tradotti e sintetizzati da Punto Informatico:
1. Consapevolezza
Gli aderenti dovrebbero essere consapevoli della necessità di sicurezza per le reti e i sistemi informativi e di quello che possono fare per migliorare la sicurezza.
La consapevolezza rappresenta la prima linea di difesa. Gli attacchi possono provenire dall’interno e dall’esterno ed è importante capire che problemi di sicurezza possono tradursi in seri problemi e rischi per le reti sotto il loro controllo.
A causa della interdipendenza dei sistemi, la vulnerabilità di un network si traduce nella vulnerabilità di altri.
2. Responsabilità
Tutti gli aderenti sono responsabili per la sicurezza dei sistemi e delle reti informative.
Ciascuno deve comprendere la propria responsabilità nel mondo interconnesso e dovrebbe essere responsabile in relazione al proprio ruolo. Ciascuno deve quindi aggiornare regolarmente le proprie policy, misure e procedure.
Coloro che sviluppano, realizzano e forniscono prodotti e servizi devono porre al centro la questione della sicurezza.
3. Reazione
Gli aderenti devono agire tempestivamente e in modo collaborativo per prevenire, individuare e rispondere in caso di incidenti di sicurezza.
Rendendosi conto della interdipendenza dei sistemi e del potenziale di un danno che si allarga rapidamente, gli aderenti dovrebbero agire rapidamente per occuparsi di problemi di sicurezza. Dunque devono condividere informazioni su minacce e vulnerabilità e implementare procedure per rispondere ai problemi.
4. Comportamento
Gli aderenti devono rispettare gli interessi legittimi degli altri.
A causa della pervasività dei sistemi e delle reti informative nelle nostre società, gli aderenti devono comprendere che il proprio agire o la propria inattività possono danneggiare altri. Un comportamento adeguato è dunque cruciale e gli aderenti devono sforzarsi di sviluppare e adottare i migliori comportamenti e promuovere quelli che pongono al centro le questioni della sicurezza e rispettano gli interessi degli altri.
5. Democrazia
La sicurezza dei sistemi informativi deve essere compatibile con i valori essenziali di una società democratica.
La sicurezza deve essere implementata in un modo congruente a questi valori, inclusa la libertà di scambiare pensieri e idee, il libero flusso dell’informazione, la riservatezza dell’informazione e della comunicazione, l’adeguata protezione dei dati personali, la trasparenza.
6. Individuazione del rischio
Gli aderenti devono valutare i rischi per i sistemi informativi (risk assessment), ovvero identificare minacce e vulnerabilità, includendo fattori interni ed esterni, possibili errori umani, fisici o tecnologici e le implicazioni di policy o servizi di terze parti.
7. La sicurezza e la sua implementazione
Gli aderenti devono integrare la sicurezza nei propri sistemi informativi e nelle proprie reti come elemento fondante.
Tutti i sistemi e le procedure devono essere realizzati, implementati e coordinati per ottimizzare la sicurezza. Occorre quindi porre in essere elementi di salvaguardia, piani di risoluzione e le procedure tecniche o meno proporzionate al valore delle informazioni che circolano sulle reti.
La sicurezza deve essere un elemento centrale di tutti i prodotti, servizi, sistemi e reti nonché una parte integrale del loro design e architettura.
8. Gestione della sicurezza
Gli aderenti devono adottare un approccio complessivo alla gestione della sicurezza, basata sull’identificazione dei rischi e con una modalità di analisi continua che comprenda tutti i livelli di attività e tutti gli aspetti delle operazioni svolte.
Deve includere soluzioni possibili a minacce emergenti, occuparsi della prevenzione, individuazione e risposte ad eventuali incidenti, del system recovery, della manutenzione e via dicendo.
9. Riesame
Gli aderenti devono rivedere e ridefinire la sicurezza delle proprie reti informative e modificare dove opportuno le proprie policy, procedure e misure. Questo perché nuove minacce e vulnerabilità sono scoperte di continuo ed è proprio un lavoro dinamico che permette di affrontare questi rischi in continua evoluzione.