Safety vs. security: qual è la differenza?
Con le migliaia di attacchi cibernetici che colpiscono ogni giorno aziende e attività di ogni tipo, il problema della sicurezza IT è diventato ormai di grande attualità. In questo ambito, però, si continua spesso a confondere due termini: security & safety. Ma qual è la differenza?
In sintesi
- “Security” e “safety” sono due parole inglesi, frequentemente citate in relazione a operazioni IT e OT, entrambe spesso tradotte genericamente in italiano con “sicurezza”. Attenzione, però, perché questi due termini non sono sinonimi.
- “Security” si riferisce genericamente alla protezione dei sistemi e dei dati IT e OT da accessi non autorizzati e da un uso improprio. Questo termine, quindi, è associato a un concetto di sicurezza “logica”.
- “Safety”, invece, riguarda essenzialmente la protezione dei dati e delle informazioni da possibili perdite effettive dovute ad incidenti o calamità.
L’Industria 4.0 non si riferisce unicamente alla convergenza tra i sistemi IT tradizionali, di tecnologia operativa (OT) e ambienti IT industriali controllati dai computer, ma ha portato anche alla corrispondenza semantica dei termini “security” e “safety” nei contesti informatici. È comunque importante riconoscere che i due termini non sono intercambiabili. Chiarire il loro significato nei diversi contesti non è utile solo per finalità semantiche o accademiche, ma, soprattutto, aiuta a favorire una migliore comprensione di ciascun termine in ambito pratico.
Security
La Security è una parte essenziale di ciascun ambiente e sistema IT. Solitamente, il termine indica le misure atte a proteggere l’hardware, le applicazioni e la proprietà intellettuale da:
- accessi non autorizzati a informazioni, sistemi e soluzioni sensibili
- divulgazione non autorizzata di dati e informazioni aziendali
- utilizzo non autorizzato di informazioni, sistemi e soluzioni proprietari
Le informazioni possono riguardare know-how tecnico, processi, metodi di produzione, codici sorgente di software e tanto altro ancora. In questi contesti, la riservatezza e la tutela dei dati assumono un ruolo molto importante. Gli interventi di “messa in sicurezza” delle informazioni includono pratiche comuni come aggiornamenti software, scansione delle vulnerabilità, password sicure, autenticazioni multifattore e biometriche, e così via. Tutto questo rientra, in sintesi, nel concetto di “security”.
Safety
Il termine “safety”, d’altra parte, indica la protezione dalla perdita accidentale o da una gestione inappropriata in un'accezione più “fisica”. In questo ambito, le misure di prevenzione includono la tutela delle informazioni, dei dati o delle soluzioni da eventi avversi come alluvioni o incendi. Un esempio in questo senso può riguardare una soluzione di backup geograficamente distinta dal sistema di produzione.
Security vs. Safety: un esempio concreto
Un esempio illuminante sulla differenza tra security e safety ci è fornito da un contesto diverso da quello informatico e riguarda un incendio verificatosi nel 2008 agli Universal Studios, vicino a Los Angeles. Un articolo apparso nel 2019 nel New York Times, intitolato, “The Day the Music Burned”, (“Il giorno in cui la musica è bruciata”), riportava che l’incendio aveva distrutto un numero stimato di 118.000-175.000 registrazioni master audio da fonti primarie e originali di quasi 900 fra i musicisti più noti o importanti dell’epoca moderna, a partire dai primi anni del ‘900. La Universal Music Group e alcuni degli artisti interessati contestarono i dati, ma, in ogni caso, un gran numero di registrazioni, alcune delle quali storiche e insostituibili, era comunque andato irrimediabilmente perduto. Anche se gli archivi dell’UMG erano situati in una struttura sicura sotto il profilo della “security”, la loro “safety” era stata compromessa.
IT e OT: insieme
Non si tratta di avere una preferenza per la “safety” o la “security”. In realtà, la necessità di operazioni affidabili è un’esigenza comune sia ai contesti IT che OT. Entrambi, infatti, devono essere protetti da accessi non autorizzati, con l’impiego di varie misure, quali, ad esempio:
- monitoraggio costante dei sistemi per individuare attività inconsuete in fase iniziale.
- aggiornamento regolare di tutti i sistemi IT e OT, con l’obiettivo di ovviare rapidamente e automaticamente alle lacune della sicurezza attraverso l’impiego di soluzioni di Unified Endpoint Management (UEM).
- applicazione coerente di policy di regolamentazione della configurazione e della manutenzione di applicazioni, dispositivi e diritti di accesso. L’UEM è uno strumento molto utile in questo ambito.
- backup regolari e correnti di tutti i dati e di tutte le applicazioni IT e OT.
L’impiego sempre più diffuso di dispositivi mobili e di archiviazione portatile, come i drive USB, richiede misure sia di safety che di security. I sistemi e i dati devono essere
assolutamente protetti con una password sicura e crittografati con strumenti come BitLocker. In caso contrario, un problema di safety, quale ad esempio la perdita o il furto di un computer
portatile, si trasformerà rapidamente in una questione di security.
In conclusione, le aziende possono garantire la security e la safety dei loro ambienti IT e OT solo quando entrambi gli aspetti sono contemplati dalle policy di protezione.
Safety & security... per evitare problemi!
Scoprite come la Management Suite di baramundi consente di implementare un piano di sicurezza efficiente e completo attraverso la gestione centralizzata della crittografia dei dati e della protezione dalle minacce informatiche, del controllo degli accessi ai dispositivi e degli aggiornamenti software.
Leggi di più
La cybersicurezza nelle piccole e medie imprese
- Tags:
- cybersecurity,
- kmu,
- it security