Una policy per la sicurezza

Nella gestione della sicurezza in azienda il fattoore umano è l’anello debole. Per questo è necessario stabilire una rigorosa policy aziendale

Gli esperti sono concordi nel ritenere il fattore umano
l'anello debole della sicurezza aziendale. Una password dimenticata in bella
evidenza, un clic su un file allegato a uno strano messaggio o altri piccoli
gesti possono causare danni importanti all'azienda. Il fatto che i
dipendenti abbiano ancora molto da imparare in tema di
sicurezza informatica e privacy è certificato anche da una ricerca svolta dagli
organizzatori di Infosecurity Europe 2003 su un campione di lavoratori a Londra.
Lo studio addirittura evidenzia un peggioramento della situazione rispetto a un
anno fa. Per esempio, il 90% dei dipendenti della stazione Waterloo di Londra
rivela con facilità la propria password, contro il 65%
registrato un anno fa. Si sono dimostrati più arrendevoli gli uomini (95%)
rispetto alle donne (85%). Dalla ricerca risulta inoltre che l'80% dei
lavoratori intervistati porta con sè informazioni riservate quando cambia
lavoro. Il 75% dei dipendenti ha dichiarato che se entrasse in un file
contenente i dettagli della busta paga di un collega non
resisterebbe
alla tentazione di leggerlo. Lo scorso anno la percentuale
era del 61%.


Il 38% ha aggiunto che farebbe circolare le informazioni in ufficio. Per
evitare queste situazioni è necessario sensibilizzare, anche a livello di
piccola azienda, i dipendenti spiegare i comportamenti da evitare che consistono
principalmente nel divieto di aprire gli allegati ai messaggi
di posta elettronica sospetti e nella riservatezza sulla password utilizzata per
accedere al sistema aziendale. L'importante è ricordare che la sicurezza non
finisce con l'installazione di un antivirus, ma è soprattutto un problema di
organizzazione. Per questo le aziende devono stabilire politiche di
sicurezza
rigorose alle quale tutti i dipendenti devono attenersi. A
questo proposito riportiamo la sintesi di un intervento di Paolo Da Ros, membro
del direttivo del Clusit l'associazione italiana per la sicurezza informatica.
Secondo Da Ros la security policy non deve comprendere una serie di ovvietà ma
linee guida per l'utilizzo dell'e-mail e regole tecniche per
l'uso di un sistema particolare. Lo scopo è proteggere risorse vitali per
l'azienda consentendo simultaneamente le comunicazioni via e-mail all'interno e
all'esterno della società, il trasferimento di informazioni all'interno e
all'esterno della società oltre che l'accesso al portale e ai server aziendali
da parte dei clienti. La security policy definisce anche la protezione dei dati
all'interno della società oltre al rispetto delle leggi vigenti. La Sp definisce
i beni aziendali regolati e soggetti tenuti al rispetto della
policy. Inoltre definisce quanto gli utenti sono tenuti a fare per ottemperare
alla Sp. Può contenere indicazioni relative alla responsabilità di un reparto
particolare dell'azienda o di un dirigente. La Sp si occupa anche della
sicurezza fisica dei beni materiali, degli assets accessibili dalla rete e
definisce la modalità di utilizzo del software commerciale e non commerciale,
responsabilità di installazione e manutenzione su pc, server e sulla rete, oltre
alle modalità che regolano il download (lo scaricamento) dei programmi da
Internet.


La Sp deve indicare il modo in cui l'azienda garantisce la
continuità
delle proprie attività legate al trattamento delle
informazioni. Può contenere la lista delle persone che costituiscono l'emergency
response team il cui intervento è previsto in caso di disastri o di attacchi. La
Sp definisce anche gli utilizzi accettabili delle risorse aziendali. Per esempio
potrebbe contenere una descrizione dei contenuti inviabili via e-mail fuori
dall'azienda o la liceità di utilizzare il pc aziendale a scopo ludico. Il
membro del Clusit propone anche una piccola guida alla gestione dei virus per
sistemi a basso livello di rischio. Secondo Da Ros gli utenti devono
riferire agli amministratori di rete di ogni virus rilevato e
dei cambiamenti avvertiti nel comportamento del computer. In caso di rilevamento
di un virus tutti gli utenti che hanno accesso allo stesso programma o agli
stessi dati verranno informati del rischio che corrono e delle azioni da
intraprendere per verificare la presenza di un virus sulla loro macchina e nel
caso, rimuoverlo.


Gli utenti informeranno gli amministratori dell'esito dei test effettuati.
Ogni macchina sospettata di essere infettata da un virus va
immediatamente sconnessa dalla rete. Potrà essere riconnessa solo quando il
virus sarà stato rimosso. Se non sarà possibile rimuovere il virus, tutto il
software necessario andrà reinstallato su una macchina sicura. Quando il livello
di rischio sale al livello medio l'addestramento degli utenti
includerà anche l'approfondimento delle tematiche legate ai virus. Per contenere
il rischio di diffusione dei virus il software antivirus andrà installato sui
file server. L'esecuzione dell'antivirus verrà effettuata giornalmente, le
postazioni di lavoro disporranno di un software antivirus che controllerà tutti
i file che arrivano sul pc e i messaggi e-mail. I file suscettibili di includere
macro virus non potranno essere aperti senza essere preventivamente controllati.
Un computer sul quale viene rilevata la presenza di virus dovrà
essere immediatamente sconnesso da tutte le reti.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here