Le informazioni sono l’ossatura portante sulla quale poggia l’attività di qualunque impresa. I database rappresentano il luogo nel quale le informazioni sono immagazzinate, nell’attesa di essere utilizzate per le finalità più disparate. Si tratta, quin …
Le informazioni sono l’ossatura portante sulla quale poggia l’attività di qualunque impresa. I database rappresentano il luogo nel quale le informazioni sono immagazzinate, nell’attesa di essere utilizzate per le finalità più disparate. Si tratta, quindi, di “contenitori” strategici per l’azienda che, tuttavia, troppo spesso non dedica ai database la stessa cura che profonde nella protezione dei sistemi operativi o nella messa in sicurezza della rete.
Due sono le ragioni fondamentali che rendono questi sistemi una preda ambita dagli hacker. La prima è insita nella loro stessa natura: gli attacchi sono, infatti, spesso mirati a carpire i dati più o meno confidenziali che al loro interno sono immagazzinati. La seconda è relativa, invece, al fatto che la compromissione di una base dati comporta la possibilità, da parte dell’attaccante, di acquisire il controllo completo della macchina se non, in casi estremi, quello dell’intera infrastruttura It dell’azienda, della quale il Db è il centro nevralgico. L’architettura di sicurezza delle base dati si fonda, generalmente, su uno schema a tre livelli. L’autenticazione è la fase più delicata, durante la quale si verifica l’identità dell’utente attraverso una password che solo lui può conoscere. L’autorizzazione, che la segue, è tesa a stabilire i privilegi di accesso, ovvero a definire a quali risorse l’utente è autorizzato ad accedere e quali gli sono, invece, inibite. L’auditing, a conclusione del processo, consiste nell’adozione dei mezzi idonei a identificare e riconoscere i possibili abusi, oltre che a preservare l’integrità delle informazioni.
La sicurezza dei database fa riferimento più che altro alla garanzia della cosiddetta accessibilità dei dati, a prescindere dal loro valore intrinseco. Qualunque attività tesa a rafforzare la tutela di questi sistemi presuppone la definizione di procedure di sicurezza, la predisposizione di livelli di protezione molteplici e l’applicazione del principio dei “privilegi minori”, in base al quale a ogni utente dovranno essere assegnati solo i privilegi strettamente indispensabili al compimento delle sue attività. Senza la presenza di un sistema a più livelli, infatti, diventa piuttosto semplice connettersi a un database, sfruttano la presenza di account pubblici, password di default, oppure “bucando” i sistemi operativi o uno dei dispositivi che compongono l’infrastruttura di rete, quali firewall o router.
Tutte le operazioni di messa in sicurezza di un Db devono essere condotte nel rispetto di alcuni principi fondamentali. Anzitutto, la segretezza e la confidenzialità dei dati, che impone che gli stessi possano essere consultati e modificati solo da utenti autorizzati. Ancora, l’integrità e l’autenticità, per le quali i dati non devono poter essere manipolati (accidentalmente o dolosamente) e la loro provenienza deve sempre essere verificabile. Infine, l’accessibilità, in base alla quale i record dovranno sempre essere disponibili, eventualmente attraverso il loro immediato ripristino in caso di compromissione del sistema.
