In ambito aziendale, un sistema di sicurezza informatica efficace è una vera e propria necessità . Non è possibile immaginare soprattutto un'azienda ICT che non vi dia importanza, perché garantisce proprio la tutela dei sistemi informatici da potenziali rischi e/o violazioni dei dati.
Di fondamentale importanza risulta la sicurezza dei dati e dei database gestiti dall'azienda, la tutela della privacy e la protezioni dei dati personali dei clienti. E' chiaro, quindi, come sia indispensabile riuscire a rendere i rischi quanti più contenuti possibile. I principali aspetti di protezione del dato sono confidenzialità , integrità e disponibilità .
Esistono a carico delle imprese, precisi obblighi in materia di sicurezza, tra cui quello di redigere annualmente uno specifico documento programmatico sulla sicurezza nel quale vengono inserite alcune indicazioni, che permettono di capire lo stato di sicurezza raggiunto.
Alcune di queste sono: la modalità con cui vengono trattati i dati personali, la distribuzione dei compiti e delle responsabilità , l'analisi dei rischi che incombono sui dati, misure in essere e da adottare, ripristino dei dati, la pianificazione degli interventi e i trattamenti affidati all'esterno.
Come sia possibile migliorare questo documento, è compito del responsabile alla sicurezza che dovrà , eventualmente siano presenti delle lacune, immediatamente risolvere i problemi riscontrati e avvisare gli utenti delle soluzioni adottate.
E' ovvio che le aziende possano ricevere notevoli sanzioni amministrative e/o penali, qualora risultasse che i propri dati siano disponibili per persone male intenzionate. Risulta necessario, dunque, intraprendere azioni atte a ridurre tale rischio.
Per primo, è importante realizzare un database di raccolta dati, che sia sicuro e affidabile e del quale si facciano periodicamente dei backup per garantire l'integrabilità dei dati memorizzati e possibili manutenzioni qualora esse risultino necessarie.
Non è compito nostro redigere una classifica di quali sono attualmente i migliori db disponibili sul mercato, ma avanziamo alcune considerazioni e metodologie generali che possono essere usate indipendentemente dalla piattaforma o dall'applicativo usato.
Per realizzare un database robusto devono essere quanto meno soddisfatte le seguenti regole:
- Il database è accessibile con diverse coppie user / password e non da una sola
- Le tabelle create e i dati inseriti, devono essere tutti crittografati
- Realizzare sempre una copia del database e conservarlo fisicamente in un luogo separato dall'originale e usare coppie user/password diverse
- I contenuti dei record devono essere aggiornati sempre e solo da un utente, per evitare che utenti non autorizzati possano accedere ai dati
- Gestire in modo efficiente e prevenire un evento non desiderato
- Soluzioni robuste agli eventi scatenati da guasti o intrusioni
- Catturare le intrusioni avvenute durante un attacco
- Non aggiornare mai user e password con una cadenza fissata a priori, ma in modo casuale
- Evitare l'uso di utenti superprivilegiati e di utenti privilegiati, quindi non usare mai una scalabilità di tipo three-tier
- L' auditing deve essere in tutte le sue parti, robusto ed esaustivo
Queste elencate sopra sono solo alcune delle linee guide che aiutano l'amministratore di database a realizzare un sistema di base di dati sicuro. Ovviamente, nessun db al mondo potrà considerarsi sicuro al 100%, ma quanto meno un'azienda dovrebbe conoscere i rischi a cui va incontro e per evitarli dovrà aggiornare continuamente le proprie metodologie in materia di sicurezza.