1. Maggiore consapevolezza della disciplina da parte del top management Definire una strategia di sicurezza in linea con gli obiettivi aziendali e personalizzata in relazione al contesto di business ed altre caratteristiche peculiari dell’azienda. Il T …
1.
Maggiore consapevolezza della disciplina da parte del top management
Definire una strategia di sicurezza in linea con gli obiettivi aziendali e personalizzata
in relazione al contesto di business ed altre caratteristiche peculiari dell’azienda.
Il Top Management deve poter “collocare” la sicurezza IT, avendo consapevolezza
che un sistema IT privo di minacce è soltanto un’illusione: la disciplina
della sicurezza consiste in una gestione accurata dei rischi a cui tali sistemi
sono costantemente sottoposti.
2. Security Governance: non basta definire policy e piani strategici,
occorre implementarli e misurarne l’efficacia
Trasformare i documenti relativi alle policy e alle procedure di sicurezza IT
in piani di implementazione concreti e ideare soluzioni basate su tecnologie,
processi organizzativi e procedure, utili a misurare la concreta adozione delle
misure di sicurezza ipotizzate. Troppo spesso le policy di sicurezza consistono
in documenti obsoleti, spesso ignorati dalle divisioni operative dell’azienda.
E’ necessario inoltre raccogliere, normalizzare ed analizzare su base storica,
di correlazione, etc. il flusso degli eventi legati alla sicurezza e l’insieme
di dati registrati nei log file a livello di sistema, apparato, applicazione.
3. La sicurezza richiede investimenti continui: chi si ferma … perde
!
Considerare gli interventi di sicurezza come facenti parte di un processo in
continua evoluzione: le tecnologie si rinnovano, le strategie e le organizzazioni
aziendali cambiano ed i sistemi informativi sono suscettibili di attacchi e
incidenti di sicurezza sempre diversi. Per citare qualche nuova minaccia tecnologica:
sicurezza dei protocolli VOIP, sicurezza e riservatezza dei sistemi RFID, sistemi
P2P, phishing e pharming.
4. Gli incidenti e le minacce sono una realtà: meglio affrontarli
in modo serio che sperare che non si manifestino mai
Avere un piano di risposta ad incidenti di sicurezza: formalizzato e testato
(e legato ai piani di disaster recovery e business continuity), prima che l’incidente
di sicurezza avvenga. Solo cosi si minimizzano gli impatti degli incidenti di
sicurezza, visto che il problema non e’ “se” accadranno, ma “quando”
accadranno.
5. La tecnologia e pochi esperti valgono meno di una cultura ed una
consapevolezza diffusa a tutti i livelli in azienda
Curare la formazione del personale di tutta l’azienda sui temi relativi
alla riservatezza, integrità e disponibilità delle informazioni:
il comportamento dei singoli individui di un’organizzazione può
essere determinante per la salvaguardia delle informazioni e dei sistemi informativi
della azienda. Avete mai sentito la frase: “qualcuno sa come poter bloccare
l’antivirus ? ..non riesco a lavorare, il PC è troppo lento!”;
non vi è mai capitato di sentirvi chiedere dall’help desk la vostra
password per risolvere il problema segnalato?
6. Occhio ai programmatori: la sicurezza delle applicazioni custom
costituisce una delle principali fonti di vulnerabilità
Regolamentare in modo rigoroso e controllare in modo sistematico la sicurezza
delle applicazioni ed in particolare di quelle custom: negli ultimi 5-6 anni
è cresciuta la consapevolezza e la sensibilità dell’importanza
della sicurezza nelle infrastrutture IT, le lacune di sicurezza maggiori oggi
si annidano nelle applicazioni: password memorizzate in chiaro su file, numeri
di carte di credito fornite come parametri di URL, cookie e token contenenti
informazioni sensibili.
7. Gestione delle Identità ….sempre piu’ difficile
Controllare “chi” fa “cosa” in un contesto di continua
estensione del dominio delle persone che devono poter accedere ai dati ed alle
informazioni aziendali è sempre piu’ complesso. I sistemi, le applicazioni
e gli utenti dei sistemi informativi aumentano in modo costante: outsourcing,
merge, acquisizioni e partnership impongono una continua revisione dei sistemi
di accesso e di salvaguardia della riservatezza delle informazioni. Sapere chi
ha avuto accesso ad una informazione critica è ormai un requisito comune
a diverse normative e regolamenti. La disciplina dell’Identity Management
è una delle aree piu’ importanti e piu’ delicate della IT
Security: per evitare di vanificare gli investimenti occorre affrontarla coinvolgendo
tutti gli attori che possono contribuire al successo di una iniziativa cosi’
complessa ed articolata: dal Top Management al Personale, dal responsabile IT
alle strutture di operation.
8. DRM ed ERM: la sicurezza dei contenuti
L’evoluzione dei sistemi informativi da piattaforme centralizzate accessibili
mediante terminali a sistemi evoluti, intelligenti e mobili come laptop e palmari
che cooperano e comunicano attraverso sistemi wireline e wireless, impone l’uso
di sistemi di protezione dei contenuti come i Digital Rights Management o l’Enterprise
Rights Management. Queste tecnologie oltre a proteggere le informazioni con
tecniche di crittografia, consentono l’accesso controllato ai contenuti
mediante policy (“rights”, diritti d’uso).
9 Attenzione a non abusare, la Privacy è un diritto!
In alcune occasioni critiche, sollecitati da fondati sospetti di comportamenti
illegali del personale interno o stimolati da interessanti ricerche di marketing,
puo’ venire la tentazione di controllare, attraverso strumenti di audit
e forensics, il comportamento degli utenti alla ricerca del colpevole o di interessantitarget
di campagne di marketing. In queste occasioni è assolutamente necessario
limitare le attività di indagine alle soli azioni esplicitamente autorizzate
dagli utenti: la privacy è un diritto e solo le autorità preposte
possono autorizzare tali indagini.
10 Collaborare e contribuire con istituzioni e centri di competenza
Operare in sinergia con istituzioni e centri di competenza nell’ambito
della sicurezza, preferibilmente condividendo informazioni e iniziative con
altre aziende. Esistono ormai fenomeni di minaccia indotti dalla forte dipendenza
delle aziende dai servizi di comunicazione offerti da internet: la condivisione
della conoscenza accelera il processo di maturita’ di una disciplina in
continua evoluzione come la sicurezza informatica.
