Spesso si parla di sicurezza informatica (cyber security) e sicurezza delle informazioni (information security) come se fossero la stessa cosa e i due termini fossero intercambiabili. Questo perché, in effetti, nelle loro forme più elementari, si riferiscono alla stessa cosa: la riservatezza, l’integrità e la disponibilità delle informazioni. C’è, però, una differenza cruciale tra loro che influisce sul modo in cui opera un’organizzazione.

Che cos’è la sicurezza delle informazioni?

Iniziamo col dire che le informazioni sono al centro di qualsiasi organizzazione, che si tratti di documenti aziendali, dati personali o proprietà intellettuale, nessuna azienda può lavorare senza. Possono essere conservate in molti posti diversi e l’accesso può essere differente a seconda del mezzo scelto ma è estremamente probabile che accediate ai dati dal vostro computer di lavoro o tramite registrazioni cartacee. Altri luoghi dove è possibile archiviare i dati sono archivi esterni, server, dispositivi personali, ecc. Qualunque sia il mezzo scelto, tutto deve essere tenuto al sicuro e il processo per farlo è chiamato information security. In particolare, le organizzazioni tutelano la riservatezza, l’integrità e la disponibilità delle informazioni. In questo contesto, la “riservatezza” si riferisce al fatto che le informazioni vengono visualizzate solo da parti autorizzate, l’”integrità” al fatto che le informazioni devono essere accuratamente protette perché si conservino perfettamente e la “disponibilità” delle informazioni al fatto che devono essere accessibili ogni volta che è necessario.

Esistono due sottocategorie relative alla sicurezza delle informazioni. Le organizzazioni devono proteggere le risorse fisiche, compresi i locali nei quali si trovano ma anche le informazioni in formato elettronico che appartengono alla seconda sottocategoria della sicurezza delle informazioni. Questa è cyber security. La sicurezza delle informazioni copre qualsiasi processo o tecnologia utilizzato per proteggere la riservatezza, l’integrità e la disponibilità delle informazioni. Può includere tecnologia antimalware, politiche per la sicurezza delle informazioni, controlli degli accessi, formazione per sensibilizzare il personale che avrà a che fare con la gestione delle informazioni, valutazioni dell’impatto sulla protezione dei dati, key card per entrare in ufficio, serrature per armadi contenenti informazioni sensibili, ecc.

Che cos’è la sicurezza informatica

La sicurezza informatica è un particolare tipo di sicurezza delle informazioni che si concentra, invece, sulla protezione dei dati elettronici e, quindi, sulle misure utilizzate per impedire l’accesso non autorizzato alle reti e ai sistemi di un’organizzazione. Il termine è spesso usato per riferirsi alla sicurezza delle informazioni in generale perché la maggior parte delle violazioni dei dati coinvolge proprio l’intrusione della rete o del sistema. È molto più probabile, infatti, che i criminali compromettano le informazioni con attacchi informatici come, ad esempio, intrusioni di malware o truffe che hanno a che fare col phishing perché possono essere eseguiti online. Inoltre, le organizzazioni in genere archiviano molti più dati online che in forma fisica, il che significa che ci sono più informazioni da raggiungere. Se a questo aggiungiamo che le vulnerabilità tecniche sono più facili da sfruttare e che il rischio di essere scoperti è inferiore, abbiamo la tempesta perfetta.

Proprio per questo, anche se la sicurezza informatica è solo una parte della sicurezza delle informazioni, è la più importante. Facendo degli esempi pratici, la cyber security copre qualsiasi processo o tecnologia progettati per proteggere i dati elettronici come, ad esempio, la crittografia dei dati, le password, i VPN, i filtri antispam, l’autenticazione a più fattori, i software antimalware, ecc.

Pur distinguendo, come bisogna fare, la sicurezza informatica e quella delle informazioni, vedete bene che, in pratica, c’è una significativa sovrapposizione. Per cominciare, qualsiasi momento della progettazione del processo di sicurezza informatica per proteggere i dati sensibili può essere classificato anche come sicurezza delle informazioni.

La protezione con password di un database, ad esempio, protegge le informazioni in esso contenute ma previene anche un attacco informatico. Ci sono anche dei rischi in cui è necessario affrontare la sicurezza fisica e informatica. Le organizzazioni, ad esempio, devono implementare controlli fisici per impedire al personale non autorizzato di raggiungere parti dell’edificio dove non dovrebbe trovarsi. Potrebbe trattarsi della sala archivi o dell’ufficio di un dipendente senior in cui i file potrebbero essere lasciati sulla scrivania. Ma l’organizzazione deve anche considerare i rischi per la sicurezza informatica associati a questa minaccia. Tutti i record digitali devono essere protetti in modo appropriato, ad esempio con controlli di accesso o crittografia dei dati. Un’altra sovrapposizione tra sicurezza delle informazioni e sicurezza informatica si verifica con i record digitali conservati su dispositivi fisici, come le unità USB o i laptop. Le organizzazioni devono implementare politiche e processi per mitigare il rischio che il dispositivo venga utilizzato in modo inappropriato.

Ciò potrebbe accadere, ad esempio, se un dipendente lascia il proprio laptop incustodito in un luogo non sicuro o se utilizza un dispositivo rimovibile per uso personale e professionale. Tali misure dovrebbero essere integrate con meccanismi di sicurezza informatica volti a proteggere le informazioni su tali dispositivi. Le organizzazioni potrebbero crittografare i file sensibili o implementare una tecnologia che consente loro di cancellare in remoto un laptop in caso di smarrimento. Questi sono solo alcuni esempi. Quando valutate i rischi per la protezione dei dati, troverete innumerevoli casi in cui dovrete considerare la sicurezza delle informazioni e la sicurezza informatica.