Rendere sicura un’impresa è un percorso che va pianificato con cura, eseguito in modo rigoroso e migliorato nel corso del tempo. Ogni parte dell’infrastruttura di un’azienda deve essere presa in considerazione e adeguatamente protetta affinché il livel …
Rendere
sicura un’impresa è un percorso che va pianificato con cura, eseguito
in modo rigoroso e migliorato nel corso del tempo. Ogni parte dell’infrastruttura
di un’azienda deve essere presa in considerazione e adeguatamente protetta
affinché il livello di sicurezza dell’intero sistema sia omogeneo
ed è importante ricordare che mettere in sicurezza un sistema informativo
è un passo imprescindibile per la sua stessa evoluzione. Di seguito otto
passi per migliorare la sicurezza di un’impresa. Sono mosse che riguardano
elementi di base.
1) Fissare le regole
In primo luogo serve una strategia per la sicurezza. Non basta installare software,
curare i bollettini di sicurezza ogni tanto. Occorrono regole precise, codificate
e condivise. Bisogna definire i pericoli e cercare di capire come fronteggiarli,
stabilendo tre livelli di rischio (basso, medio, alto) per il business, associandoli
agli asset dell’organizzazione. Per fare ciò è necessario
identificare le minacce alla sicurezza e le vulnerabilità in base all’attuale
sistema di controllo. È opportuno poi determinare quale impatto può
avere ogni singola minaccia ipotizzata e quali contromisure, criteri di intervento
e policy sono state prese per affrontarla ed eventualmente quali soluzioni è
necessario implementare. È utile tenere traccia di questo percorso e
verificate nel tempo di avere rispettato quanto stabilito.
2) La sicurezza fisica
Il secondo elemento è la sicurezza fisica. Assicurate tutti gli asset
di un’organizzazione da un punto di vista fisico. Potrà sembrare
scontato, ma anche la protezione da pericoli reali o dalla possibilità
di furti e danni esterni è un aspetto da non sottovalutare. In particolare,
occorre prestare attenzione agli allarmi, alle chiusure dei cabinet o dei luoghi
in cui si conservano i PC.
3) Rafforzare il perimetro esterno
La terza mossa riguarda il perimetro. Esiste un livello di interazione che espone
ogni azienda sulla rete esterna e su Internet. Questo anello (all’interno
del quale operano gli addetti di una stessa impresa, anche se distribuita) è
il primo e più importante elemento da proteggere. Il perimetro si difende
in primo luogo con un firewall. In secondo luogo si devono considerare le soluzioni
antivirus, antispam e content filtering che agiscono sui messaggi di posta elettronica
in ingresso.
4) Proteggere la rete interna
Passando al livello successivo, si arriva alla sicurezza della rete interna.
È sempre ampiamente sottovalutato il fatto che molti danni ai sistemi
informativi provengano proprio dai client attivi in rete, che volontariamente
o involontariamente favoriscono l’esposizione dei sistemi informativi
generali, provocando effetti a cascata pericolosi e spesso molto costosi. Alcuni
esempi di fenomeni da monitorare: accessi non consentiti a determinate aree,
apertura non prevista di porte di comunicazione, sistemi di sniffing dei pacchetti
di rete, login non autorizzati per la connettività wireless, accessi
remoti non definiti dall’amministratore ecc. Per contrastare queste attività
potenzialmente pericolose, oltre all’uso di strumenti di analisi dedicati,
ogni amministratore può aumentare i livelli di sicurezza con scelte specifiche
nella configurazione del sistema di rete e degli accessi. Per esempio, può
richiedere mutua autenticazione, segmentare la rete, criptare le comunicazioni,
restringere il traffico, firmare i pacchetti di rete o implementare i filtri
IPSec per restringere il traffico verso i server.
5) Host sotto controllo
Il quinto punto si riferisce alla protezione degli host. Spesso chi cerca illegalmente
di entrare nelle reti aziendali punta sulla debolezza delle singole macchine,
quando non riesce a fare breccia sul perimetro. Anche in questo caso non sottovalutate
l’effetto “cavallo di Troia” che può avere l’ingresso
non autorizzato o l’infezione di un virus anche soltanto su un unico computer
di rete. In primo luogo occorre bilanciare usa- bilità e sicurezza di
queste macchine, valutando ruoli o funzioni specifiche. Le minacce più
tipiche sono dovute a configurazioni errate o falle del sistema operativo non
opportunamente aggiornato, a distribuzioni divirus o accessi non controllati.
Le contromisure devono partire dal rafforzamento del sistema operativo dei client
e del server e dalla disabilitazione di tutti i servizi non necessari. Occorre
poi controllare gli accessi e i tentativi non autorizzati di login nei sistemi.
6) Il livello applicativo
Un ulteriore elemento sono le applicazioni. Proteggerle significa mantenere
la loro efficienza. È necessario contrastare la perdita di funzionalità
applicativa o l’esecuzione di codice maligno, oltre all’uso malevolo
di questi strumenti. La risposta più adeguata comprende azioni d’intervento
mirate: bisogna stabilire setting affinché gli utenti eseguano le applicazioni
con bassi privilegi oltre ad abilitare le sole funzioni e i servizi necessari.
Inoltre, è opportuno che gli sviluppatori usino le più aggiornate
pratiche per l’estensione delle applicazioni.
7) Salvaguardare i dati
Lo step successivo riguarda la sicurezza dei dati. In essi risiede spesso la
capitalizzazione di un asset strategico: la conoscenza maturata all’interno
di un’impresa. I tre livelli da proteggere, in questo ambito, sono i documenti,
le directory e i file relativi ai programmi. Per ottimizzare la protezione su
questi livelli è necessario: eseguire back-up regolari ed effettuare
prove di ripristino e per i dati più delicati è utile implementare
un sistema di crittografia oppure l’uso di una piattaforma di protezione
dei diritti digitali.
8) Crisis Management
L’ultimo passo è forse il più delicato. Riguarda le modalità
con cui individuare e reagire a un incidente. Per questo punto non è
sufficiente avere seguito tutti gli accorgimenti indicati in precedenza, ma
occorre ipotizzare, studiare e affrontare realmente casi di malfunzionamento,
attacco o infezione. Per questo bisogna: creare un team di gestione degli incidenti,
definire una policy di reazione ed eventualmente una lista ordinata dei tipi
di danni da verificare.