Ripasso rapido: Concetti di sicurezza – ISC2 CC

Cosa devi sapere davvero

I concetti di sicurezza sono la base di tutta la certificazione ISC2 CC. Prima di studiare controlli, reti, accessi o incident response, devi capire cosa significa proteggere informazioni, sistemi e utenti.

Per l’esame devi conoscere i principi fondamentali della sicurezza, il rapporto tra minacce, vulnerabilità e rischio, e il motivo per cui nessun controllo singolo è sufficiente da solo.

Concetti chiave

• Riservatezza: protegge le informazioni da accessi non autorizzati.
• Integrità: garantisce che dati e sistemi non vengano modificati in modo non autorizzato.
• Disponibilità: assicura che sistemi e informazioni siano accessibili quando servono.
• Minaccia: evento o attore che può causare un danno.
• Vulnerabilità: debolezza che può essere sfruttata da una minaccia.
• Rischio: possibilità che una minaccia sfrutti una vulnerabilità causando un impatto.
• Controllo di sicurezza: misura usata per ridurre il rischio.
• Defense in depth: uso di più livelli di protezione invece di affidarsi a un solo controllo.
• Least privilege: concedere solo i permessi realmente necessari.
• Security awareness: formazione degli utenti per ridurre errori e comportamenti rischiosi.

Differenze da non confondere

Concetto	Significato principale
Minaccia	Qualcosa che può causare danno
Vulnerabilità	Debolezza sfruttabile
Rischio	Probabilità e impatto di un danno
Controllo	Misura per ridurre il rischio
Riservatezza	Protezione dall’accesso non autorizzato
Integrità	Protezione da modifiche non autorizzate
Disponibilità	Accesso ai sistemi quando necessario
Defense in depth	Più livelli di sicurezza

Triade CIA

La triade CIA è uno dei concetti fondamentali della sicurezza informatica:

• Confidentiality / Riservatezza
• Integrity / Integrità
• Availability / Disponibilità

La riservatezza protegge i dati da accessi non autorizzati. L’integrità protegge dati e sistemi da modifiche non autorizzate. La disponibilità garantisce che servizi e informazioni siano accessibili quando servono.

Molte domande d’esame partono proprio da questi tre principi. Se una risposta parla di accesso non autorizzato, spesso riguarda la riservatezza. Se parla di dati alterati, riguarda l’integrità. Se parla di sistemi non raggiungibili o servizi interrotti, riguarda la disponibilità.

Minacce, vulnerabilità e rischio

Una minaccia è qualcosa che può causare un danno: un attaccante, un malware, un errore umano, un incendio, un guasto o un evento naturale.

Una vulnerabilità è una debolezza: una password debole, un sistema non aggiornato, una configurazione errata, una porta aperta inutilmente o una procedura non sicura.

Il rischio nasce quando una minaccia può sfruttare una vulnerabilità causando un impatto.

Esempio semplice:

• minaccia: attaccante esterno;
• vulnerabilità: server non aggiornato;
• rischio: compromissione del server e perdita di dati.

Controlli di sicurezza

I controlli di sicurezza servono a ridurre il rischio. Possono prevenire, rilevare o correggere problemi di sicurezza.

Esempi:

• un firewall può prevenire traffico non autorizzato;
• un sistema di monitoraggio può rilevare attività sospette;
• un backup può aiutare a ripristinare dati dopo un incidente.

Per ISC2 CC devi ricordare che i controlli non eliminano sempre il rischio: lo riducono a un livello più accettabile.

Defense in depth

La defense in depth significa usare più livelli di protezione. Non ci si affida a un singolo strumento, ma a una combinazione di controlli.

Ad esempio, per proteggere un sistema non basta una password. Possono servire MFA, firewall, patching, monitoraggio, backup, formazione degli utenti e controllo degli accessi.

Questo approccio è importante perché se un controllo fallisce, altri controlli possono ancora ridurre l’impatto dell’attacco.

Least privilege

Il principio del least privilege prevede che utenti, servizi e applicazioni abbiano solo i permessi necessari per svolgere il proprio compito.

Questo riduce il rischio perché limita i danni in caso di errore, abuso interno o compromissione di un account.

Esempio: un utente che deve solo leggere documenti non dovrebbe avere permessi di amministratore o possibilità di modificare configurazioni critiche.

Security awareness

La sicurezza non dipende solo dalla tecnologia. Gli utenti possono essere bersaglio di phishing, social engineering, password deboli o errori operativi.

La security awareness serve a rendere gli utenti più consapevoli dei rischi e a ridurre comportamenti pericolosi.

Per l’esame ISC2 CC devi ricordare che la formazione è un controllo importante, soprattutto contro minacce che sfruttano il comportamento umano.

Errori comuni nei quiz

• Confondere minaccia e vulnerabilità.
• Pensare che un controllo elimini sempre completamente il rischio.
• Confondere riservatezza e integrità.
• Pensare che la disponibilità riguardi solo la velocità del sistema.
• Dimenticare che la sicurezza riguarda anche persone e processi, non solo tecnologia.
• Pensare che un singolo strumento sia sufficiente per proteggere un sistema.
• Confondere least privilege con accesso negato a tutti.

Mini scenario d’esame

Un dipendente riceve permessi di amministratore anche se deve solo consultare alcuni report. Questo viola il principio del least privilege, perché l’utente ha più privilegi di quelli necessari per svolgere il proprio lavoro.

La soluzione corretta è assegnare solo i permessi realmente necessari e rivedere periodicamente gli accessi.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

• cosa significa riservatezza;
• cosa significa integrità;
• cosa significa disponibilità;
• la differenza tra minaccia, vulnerabilità e rischio;
• a cosa servono i controlli di sicurezza;
• perché la defense in depth è importante;
• cosa significa least privilege;
• perché la formazione degli utenti è parte della sicurezza;
• perché nessun controllo elimina completamente il rischio.