I consigli di CommuniGate Systems per attenuare i rischi derivanti dall’utilizzo dei sitemi di messaggeria istantanea
L’instant messaging si diffonde velocemente anche negli uffici. Serve per dialogare con l’esterno, ma anche con i colleghi interni e in più gode del vantaggio di essere già conosciuto da molti utenti che da tempo lo stanno utilizzando nei loro pc casalinghi. Non è però uno strumento esente da rischi. Per questo CommuniGate Systems, società che fa software per i fornitori di servizi di telecomunicazione, spiega che chi vuole utilizzarlo in ambito lavorativo deve tenere conto di cinque fattori.
1. Minimizzazione dei rischi di
sicurezza. L’Instant Messaging può essere utilizzato per inviare
diversi tipi di file e, a seconda del client utilizzato, può permettere
l’accesso remoto al desktop rendendolo così un strumento sfruttabile da una
grande quantità di minacce alla sicurezza. I client Im si basano su una
tecnologia simile al P2P e comunicano direttamente l’uno con l’altro così da
riuscire a eludere il controllo centrale o le misure di protezione. Le aziende
dovrebbero considerare questo aspetto con i rischi ad esso associati, ponendo
maggiore attenzione su due aspetti:
- il primo è il rilascio involontario di file da parte
degli utilizzatori di Im;
- il secondo è la possibilità di accesso ai server così come l’accesso non
autorizzato al sistema.
Infatti, gli attacker possono, ad esempio, sfruttare i punti deboli dei sistemi per oltrepassare i firewall così da raggiungere l’accesso diretto ai desktop e ai network. Questo tipo di intrusione può essere evitata facendo ricorso ai protocolli Ssl/Tsl (Secure Sockets Layer/Transport Layer Security) per la comunicazione criptata, o ad un sistema di Identity Access Management.
2. Monitoraggio dei gateway . Come la protezione antivirus, generalmente fa in modo che i worm spediti via Internet non costituiscano una grossa minaccia per i sistemi delle aziende. Però, dato che il traffico Im è spesso integrato con i pacchetti Http, l’individuazione dei worm diventa complicata e può causare diversi problemi alla maggior parte dei programmi anti-virus server-based che non controllano il passaggio di informazioni Im dai gateway. Ciò significa che la maggior parte degli utilizzatori di computer sono aperti agli attacchi di worm inviati via Im.
3. Definizione delle linee guida .
L’Instant Messaging, infatti, dovrebbe essere integrato all’interno delle strategie di comunicazione delle aziende. Come nel caso delle e-mail, l’Im dovrebbe avere delle linee guida alle quali i dipendenti devono aderire. Queste linee aziendali dovrebbero contenere le informazioni riguardanti i servizi a cui è possibile accedere, la tipologia di utilizzo e le informazioni sul monitoraggio, sul login e le potenziali conseguenze legali.
4. Log communication. L’accesso e la comunicazione attraverso un sistema di Instant Messaging dovrebbero essere registrati al fine di imporre agli utilizzatori le linee guida, il monitoraggio del traffico dei messaggi e di avere traccia dell’utilizzo.
5. Definizione e standardizzazione degli user
name. Anziché permettere agli utenti Im di creare il loro username
personalizzato, le aziende dovrebbero adottare una piattaforma Im unica e un
sistema di naming basato ad esempio sugli indirizzi email piuttosto che sulle
Active Directory o sugli Ldap (Lightweight Directory Access Protocol, un
protocollo standard per l’interrogazione e la modifica dei servizi di
directory). Questa strategia eviterebbe il conflitto o il mix tra username,
assicurando di mantenere l’identificazione di ciascun utente.
