Diffusione di informazioni: visualizzare dati che non si dovrebbero vedere
La diffusione di informazioni si verifica quando dati sensibili vengono esposti a utenti non autorizzati. Questo può accadere con o senza intenzione.
Alcuni esempi:
- Il sistema rivela dati sensibili tramite messaggi di errore.
- Gli utenti accedono a documenti e cartelle non autorizzati con controlli di sicurezza vulnerabili.
- Gli utenti accedono a flussi di dati attraverso una rete non protetta.
Elementi e interazioni a rischio di diffusione di informazioni
Elemento
| Nome | Forma | Definizione |
|---|---|---|
| Process |  |
Attività che modifica o reindirizza l'input a un output |
| Archivio dati |  |
Archiviazione dati permanente o temporanea |
| Flusso di dati |  |
Spostamento di dati tra elementi |
Interazione
| Nome | Interazione | Definizione |
|---|---|---|
| Processo -> Processo |  |
Un'attività invia dati a un'altra attività |
| Processo <-> Entità esterna |  |
Un'attività invia dati a un utente o riceve dati da un utente |
| Processo <-> Archivio dati |  |
Un'attività invia dati a un archivio dati o riceve dati da un archivio dati |
| Flusso di dati <-> Limite di attendibilità |  |
I dati vengono trasmessi da un ambiente attendibile a un utente attraverso Internet (e viceversa) |
Esempio di prevenzione della diffusione di informazioni
La riservatezza garantisce la protezione dei dati.
Alcuni esempi:
- Applicazione di elenchi di controllo di accesso per assicurarsi che gli utenti giusti possano accedere ai dati appropriati.
- Crittografia dei dati inattivi, in transito e in uso.
- Applicazione di SSL/TLS per proteggere la trasmissione.
- Uso di tunnel IPSec per proteggere la comunicazione tra gli endpoint.
Controlli di sicurezza comuni per ridurre o eliminare i rischi
- Crittografia
- Elenchi di controllo di accesso (ACL)
Suggerimento
Buona domanda da porre: È possibile assicurarsi che nessuno possa visualizzare i dati in transito e inattivi?