Un documento di Ca indica le linee guida da seguire per ridurre al minimo i rischi che derivano dall’utilizzo di Internet
E’ provato che è impossibile proteggere un’organizzazione al 100%, ma
l’applicazione di due semplici misure aiuta a salvaguardare in modo ragionevole
dati business, applicazioni software, processi e insieme ad esse la reputazione
dell’azienda. La prima regola è formulare una policy di
sicurezza adatta all’azienda; la seconda è implementare efficacemente
la policy mediante un programma completo per la gestione della sicurezza, facilmente modificabile e ampliabile in modo da proteggere l’azienda dall’insorgere di nuove minacce.
Primo passo: definire una policy di sicurezza
Una policy di sicurezza
definisce il framework (il contesto) per un programma completo di prevenzione, identificazione e neutralizzazione delle minacce adatto all’azienda.
Tale framework deve coprire gli aspetti
relativi alla sicurezza logica e fisica, alla privacy/riservatezza e alla
conformità normativa che coinvolgono l’organizzazione. Il framework deve anche
definire i ruoli e le responsabilità di amministratori, utenti
e service provider e prevedere un componente regolamentare che stabilisce i
comportamenti contrari alla policy e le azioni disciplinari che l’azienda intraprenderà in caso di violazioni.
Di seguito sono elencati le cinque fasi che è necessario intraprendere per implementare una policy di sicurezza efficace:
Condurre un esame approfondito di tutta la rete e di tutte le risorse It a essa collegate (workstation, applicazioni, dati e database, sistemi e server, dispositivi storage, periferiche e strumenti di servizio), oltre che di qualunque altro sistema indipendente in uso nell’azienda.
Documentare il ruolo
di ognuna di queste risorse informative evidenziando quelle critiche per la sopravvivenza dell’azienda, senza dimenticare i processi di business da esse utilizzati e supportati né gli utenti che ne fanno uso. È necessario inoltre documentare le risorse fisiche che proteggono queste risorse informative, come porte di sicurezza, computer room protette, sistemi di backup on-site e off-site, ecc.
Analizzare singolarmente e complessivamente le reti e le
risorse documentate al fine di identificare i rischi e le vulnerabilità
potenziali. Tra i rischi più comuni
figurano accessi non autorizzati, diffusioni di informazioni riservate, perdite o danneggiamenti di dati, malfunzionamenti operativi, cadute di corrente e rallentamenti causati da virus.
Valutare i rischi e le vulnerabilità identificate rispetto all’importanza delle risorse vulnerabili. In questo modo è possibile stabilire quanto tempo e denaro investire per proteggere ciascuna risorsa.
Assegnare la priorità alle varie minacce
sulla base delle valutazioni del rischio e utilizzare queste priorità per
sviluppare una policy comprensiva di regole, procedure e tool di protezione
oltre che per documentare le misure disciplinari e di altro genere da
intraprendere in caso di violazioni della policy stabilita.
Tra i vari aspetti, la policy di sicurezza dovrebbe contemplare:
l’uso
appropriato dei sistemi di posta elettronica e di instant messaging
dell’azienda.
Misure appropriate per proteggere i dati operativi (ad esempio informazioni relative a dipendenti, clienti e contabilità) e le altre informazioni sensibili.
Procedure per
rispondere a minacce alla sicurezza, tentativi di intrusione, perdite di dati e
malfunzionamenti di rete o di sistema. L’utilizzo e la cura di protocolli e
sistemi di autenticazione (user name e password).
Infine, per mantenere aggiornata la policy di sicurezza, è
opportuno includere una funzione built-in di auditing/revisione atta a
facilitare l’adeguamento della policy ai cambiamenti introdotti nell’azienda e nell’ambiente business.
Secondo passo: implementare la policy di sicurezza stabilita
Sviluppare una policy di sicurezza è piuttosto semplice, farla funzionare è ben più complesso. Grazie ai moderni tool per la gestione dell’informazione, tuttavia, l’amministrazione proattiva della sicurezza IT oggi è molto più facile e lineare. Ad esempio, è possibile utilizzare le informazioni di auditing per definire le abitudini d’uso con l’obiettivo di evidenziare le vulnerabilità, rilevare e bloccare le intrusioni; filtrare i contenuti, neutralizzare i worm e i virus, e automatizzare gli aggiornamenti e l’implementazione delle patch software evitando di sprecare tempo prezioso.
Nel complesso,
per moltiplicare l’efficacia dell’implementazione di sicurezza è opportuno
concentrare gli sforzi in tre aree principali:
1) rilevamento e prevenzione delle intrusioni;
2) protezione dei dati;
3) autenticazione e autorizzazione degli accessi utente a sistemi e informazioni.
1) Rilevamento e prevenzione delle intrusioni.
Per definire le procedure di sicurezza atte a rilevare e prevenire le intrusioni è necessario osservare le seguenti guideline:
utilizzare un firewall per creare uno confine sicuro tra i sistemi business dell’azienda e la rete Internet pubblica.
Installare un sistema per il rilevamento delle intrusioni per proteggere il perimetro della rete aziendale da hacker e utenti non autorizzati.
Nel caso sia prevista la gestione in
proprio di un sito Web, implementare una zona demilitarizzata
, ovvero un computer o una sotto-rete collocati tra l’infrastruttura interna e le reti esterne affinché al server Web giunga solamente il traffico in entrata e in uscita autorizzato. Quale ulteriore misura di sicurezza è possibile implementare il server Web su una Lan virtuale separata dalla rete Lan interna all’azienda.
Installare una Vpn (Virtual private network) nel caso in cui sia necessario collegarsi a uffici remoti.
Aggiornare e installare regolarmente le patch per il software utilizzato. La finestra temporale tra la scoperta di una minaccia e il suo sfruttamento pratico, infatti, si riduce sempre più.
2) Qualche suggerimento per proteggere i dati.
È importante sottolineare come la protezione dei dati si articoli su due aspetti fondamentali: definire misure di sicurezza adeguate ed effettuare regolarmente il backup dei dati. Secondo una recente indagine condotta da Quocirca, negli ultimi 12 mesi, il 50% delle Pmi non ha verificato la propria capacità di effettuare il recovery dei dati dai backup esistenti. Questo dato indica che al verificarsi di eventuale perdita di dati e contemporanea indisponibilità dei backup i problemi per le aziende sarebbero enormi.
Per salvaguardare più efficacemente i dati è opportuno:
proteggere l’accesso ai dati sia a livello fisico che mediante meccanismi di autenticazione/autorizzazione.
Creare quotidianamente copie di backup dei dati e conservarle offsite.
Automatizzare il backup dei desktop effettuando a livello centrale la copia dei dati contenuti non soltanto sui server, ma anche su laptop e personal computer. Molti drive locali contengono grandi quantità di dati preziosi dei quali non viene effettuato il backup altrove, con il pericolo che vadano irrimediabilmente perduti in caso di malfunzionamento del computer su cui si trovano.
Tenere presente che tutti i dati di cui viene effettuato il backup a livello centrale devono essere copiati, tipicamente su un server separato situato altrove, a scopo di archiviazione e backup. Verificare regolarmente tutti i sistemi di backup (almeno due volte all’anno) per accertarne il regolare funzionamento.
Installare gruppi elettrici di continuità per evitare perdite e danneggiamenti dei dati provocati da cadute di corrente.
Implementare sistemi data storage ad alta disponibilità tolleranti ai guasti nel caso in cui le attività dell’azienda dipendano dall’accesso costante ai dati.
Utilizzare software
anti-virus/anti-spyware
affidabile e verificare che sia configurato e aggiornato in maniera appropriata; crittografare i file contenenti dati sensibili.
L’implementazione appropriata di tool specifici per la gestione dell’informazione contribuisce a ridurre i costi e le complessità dell’amministrazione della sicurezza e a contenere le spese amministrative rendendo nel contempo più sicura l’azienda.
3) Automatizzare l’identity management.
Gli approcci tradizionali (ed essenzialmente manuali) all’autenticazione e all’autorizzazione del personale, ovvero la verifica dell’identità e delle prerogative di accesso, rappresentano sempre più una grave fonte di pericolo per tutte le aziende. Ciò accade perché la maggior parte del personale viene autenticata mediante una combinazione di codici identificativi (quali user name) e password (generalmente scelti dagli utenti stessi). Questo sistema può risultare pericoloso semplicemente perché gli utenti hanno già troppe password da ricordare e generalmente sono portati a scegliere password ovvie e facilmente intuibili da parte dei malintenzionati. Inoltre, spesso gli account degli impiegati che lasciano l’azienda non vengono cancellati manualmente lasciando così i sistemi esposti ad accessi non autorizzati.
Una soluzione possibile a questo problema, nota come sistema federato per l’identity management, prevede l’accentramento della gestione di tutte le autenticazioni e autorizzazioni utente. In questo modo vengono semplificate l’applicazione delle policy di sicurezza e l’eliminazione degli account scaduti e risulta più facile implementare opzioni self-service e per l’automazione destinate agli utenti finali, alleggerendo il carico di lavoro che grava sul personale It e velocizzando l’operatività dei nuovi utenti.
Non esiste una soluzione semplice e veloce
per gestire in maniera completa la sicurezza It. Tuttavia, sviluppando una
policy e un programma di gestione della sicurezza adeguati, modificabili
rapidamente in modo da fornire protezione contro le nuove minacce, un’azienda
può disporre di strumenti efficaci per proteggere i dati business, le
applicazioni software, le attività e, aspetto ancor più importante, la business
continuity e la propria reputazione.
