Le dieci regole di Gfi per un 2011 più sicuro
Dieci consigli per rendere più sicuro il proprio sistema informatico aziendale.
Tom Kelchner, Communications e Research Analyst di GFI Software, ha presentato le 10 regole d'oro per un 2011 più sicuro.
Eccole nel dettaglio:
-Limitare l'accesso alla rete alle persone che ne necessitano
Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
- Serve una strategia per prevenire la perdita dei dati
Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone. Ora più che mai, gli amministratori e gli specialisti di sicurezza hanno bisogno di guardare oltre il perimetro di sicurezza. La protezione contro la perdita di dati è una questione che merita di essere considerata molto bene.
- Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce
Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete. I professionisti di sicurezza solitamente adottano per prima cosa soluzioni tecnologiche. Tuttavia, educare gli utenti a riconoscere i pericoli di spam, phishing, truffe codec fasulle, falsi prodotti di sicurezza e minacce sui social network possono prevenire molti problemi.
- Eseguire regolarmente audit di rete è fondamentale
Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Si tratta di un lavoro che può risultare noioso e dispendioso in termini di tempo, ma è sicuramente un passaggio da non tralasciare per le informazioni fondamentali che fornisce. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete. In caso di eDiscovery, dimostrare di aver fatto tutto il possibile per proteggersi da qualsiasi problema di sicurezza può fare davvero la differenza, anche nel caso in cui l'azienda abbia realmente subito un attacco.
- Verificare la sicurezza dei sistemi prima di connetterli alla rete
Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti. I prodotti Adobe dovrebbero avere priorità alta essendo diventati uno dei bersagli principali di malware. Sono inoltre cross platform e molto diffusi.
- Rafforzare le policy di sicurezza
Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
- Autenticare sempre chi effettua chiamate
Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing – che consiste in attacchi di social engineering mirati – è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing – che avvenga via email o telefonicamente.
- È necessario eseguire i backup … ma anche verificarli
Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
9. Cosa fare se il programma di disaster recovery non funziona
In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto?. Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
- Chiedere aiuto se serve!
Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.
Eccole nel dettaglio:
-Limitare l'accesso alla rete alle persone che ne necessitano
Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
- Serve una strategia per prevenire la perdita dei dati
Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone. Ora più che mai, gli amministratori e gli specialisti di sicurezza hanno bisogno di guardare oltre il perimetro di sicurezza. La protezione contro la perdita di dati è una questione che merita di essere considerata molto bene.
- Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce
Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete. I professionisti di sicurezza solitamente adottano per prima cosa soluzioni tecnologiche. Tuttavia, educare gli utenti a riconoscere i pericoli di spam, phishing, truffe codec fasulle, falsi prodotti di sicurezza e minacce sui social network possono prevenire molti problemi.
- Eseguire regolarmente audit di rete è fondamentale
Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Si tratta di un lavoro che può risultare noioso e dispendioso in termini di tempo, ma è sicuramente un passaggio da non tralasciare per le informazioni fondamentali che fornisce. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete. In caso di eDiscovery, dimostrare di aver fatto tutto il possibile per proteggersi da qualsiasi problema di sicurezza può fare davvero la differenza, anche nel caso in cui l'azienda abbia realmente subito un attacco.
- Verificare la sicurezza dei sistemi prima di connetterli alla rete
Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti. I prodotti Adobe dovrebbero avere priorità alta essendo diventati uno dei bersagli principali di malware. Sono inoltre cross platform e molto diffusi.
- Rafforzare le policy di sicurezza
Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
- Autenticare sempre chi effettua chiamate
Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing – che consiste in attacchi di social engineering mirati – è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing – che avvenga via email o telefonicamente.
- È necessario eseguire i backup … ma anche verificarli
Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
9. Cosa fare se il programma di disaster recovery non funziona
In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto?. Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
- Chiedere aiuto se serve!
Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Mag 30
Fortinet Security Day - Milano
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
