PROFILI DI SICUREZZA DEI SISTEMI INFORMATIVI. Scopo sostanziale della sicurezza informatica (o “computer security”) è la tutela di dati e sistemi di elaborazione (network o personal computer), attraverso la disposizione di programmi e dispositivi hardware. Principio cardine di tale disciplina è, dunque, la riservatezza delle informazioni (“confidentiality”), prevalentemente garantita attraverso la 189 J.L. FERNÁNDEZ-ALEMÁN ET AL., Security and privacy in electronic health records: A systematic literature review, Journal of Biomedical Informatics (2013), [in press], http://dx.doi.org/10.1016/j.jbi.2012.12.003; B. BLOBEL, P. PHAROW, Analysys and Evaluation of EHR Architecture, Method Inf. Med. 2/2009, pp. 162-169. prevenzione di accessi non autorizzati ai sistemi informativi. A tal fine sono definiti regole e strumenti che accertino l’identità degli utenti (“authentication”) ed assicurino l’integrità dei dati (“integrity”), la cui modifica o cancellazione è prerogativa dei soli soggetti autorizzati; altrettanto significative sono, in tal senso, le misure per verificare la paternità dei messaggi inviati (“non repudiation”) e controllare il corretto funzionamento dei sistemi, tenendo traccia di tutte le azioni intercorse (“auditability”). Parimenti centrale è poi permettere, ai soli utenti abilitati, di utilizzare, nei tempi e modi previsti, i sistemi informativi (“availability”)190. La progettazione di sistemi sicuri passa, in primo luogo, attraverso un’effettiva conoscenza della loro struttura e delle possibili problematiche sottese; un approccio di tal genere può, infatti, favorire la predisposizione di modelli architetturali e tecnologie che, con maggiore efficacia, rispondano ai livelli di sicurezza previsti dalle norme esistenti. Occorre, ad esempio, tener conto delle modalità di diffusione dei dati (reperibili in databases, file systems, documenti elettronici), della natura delle Reti (siano esse aziendali o globali), dei requisiti minimi di sicurezza per l’accesso ai sistemi da parte degli utenti (come modalità di identificazione e di autenticazione); essenziale è, inoltre, pianificare gestione e controllo delle infrastrutture (predisponendo strumenti idonei, come “log management” e “change and configuration management”) nonché regolamentare forme, efficienti ed efficaci, per la valutazione dei processi (“auditing”) e della conformità alle procedure e alle norme delineate (“compliance”). Secondo alcuni autori, dal punto di vista operativo la “computer security” segue l’equazione “Protection = Prev...
