Estate: tempo di sicurezza

Sicurezza

Partendo da una presentazione di Fabrizio Grossi, uno dei responsabili dei
contenuti technet di Microsoft, analizziamo alcuni dei procedimenti esseziali
per la security aziendale

Ormai è noto. Il periodo estivo rappresenta la migliore occasione per effettuare un riassunto delle attività annuali e pianificare i principali interventi per il resto dell’anno. Le attività aziendali rallentano, il personale si riduce, i partner viaggiano al minimo. Insomma, tolte le criticità vissute nel corso dell’anno, il periodo estivo si propone come il migliore momento dell’anno da utilizzare per la riorganizzazione e la taratura dell’impianto di sicurezza aziendale.Occorre comunque un punto di partenza sul quale ragionare, e alcune linee guida da seguire. A tal proposito ci viene in aiuto una recente presentazione curata da Fabrizio Grossi nell’ambito dei seminari di Microsoft Technet. In particolare, verra affrontato l’impatto delle violazioni alla protezione aziendale.

Un importante premessa

Apparentemente i danni subiti dall’azienda a seguito di un attacco alla sicurezza sembrerebbero limitati ai sistemi colpiti e agli eventuali dati persi. Pensandoci bene a mente fredda, i danni derivanti da un fallimento delle misure di sicurezza aziendali posson essere ben più gravi. Le violazioni alla protezione possono danneggiare un’organizzazione in vari modi. Le conseguenze più diffuse possono comprendere: perdita di profitti, danni alla reputazione dell’organizzazione, perdita o compromissione di dati Interruzione dei processi aziendali, perdita di fiducia da parte dei clienti, perdita di fiducia da parte degli investitori, conseguenze legali. Le violazioni alla protezione possono avere ampie conseguenze. In presenza di un punto debole, reale o considerato tale, nella protezione, l’organizzazione deve adottare misure immediate per garantire la rimozione di tale vulnerabilità e il contenimento dei possibili danni. Molte aziende dispongono oggi di servizi che si rivolgono direttamente al pubblico, ad esempio siti Web. Questo significa che i clienti potrebbero essere i primi ad avvertire le conseguenze di un possibile attacco. È essenziale pertanto che tutti i lati dell’azienda rivolti ai clienti siano il più possibile protetti. Considerando quindi quanto accaduto durante il periodo invernale e analizzando ora con calma i log generati dalle varie appliance di sicurezza, come per esempio i firewall, gli antivirus e i sistemi di Intrusion Detection, è possibile individuare eventuali punti deboli nella struttura IT e pianificare eventuali contromisure. Ovviamente nel pieno dell’azione è un po’ difficile ragionare con chiarezza e individuare eventuali anomalie. Quando il meccanismo aziendale gira a pieno regime l’unica possibilità è sperare che le implementazioni realizzate reggano ed intervenire tempestivamente in caso d’emergenza. Ecco perchè la relativa calma estiva non dovrebbe essere sottovalutata e sfruttata nel migliore dei modi.

Un piano d’azione

La disciplina della gestione dei rischi per la sicurezza (SRMD) definisce i tre processi di base necessari per implementare e garantire nel tempo la protezione dell’ambiente informatico di un’organizzazione. Questi tre processi sono: valutazione, sviluppo e operazioni.

Valutazione ? Questa fase prevede la raccolta dall’ambiente di elaborazione dell’organizzazione delle informazioni rilevanti per poter effettuare una valutazione della protezione. È necessario raccogliere dati sufficienti per analizzare efficacemente lo stato corrente dell’ambiente. Quindi si procede a determinare in che misura le risorse informatiche dell’organizzazione sono protette da potenziali minacce. Successivamente si crea un piano di azione per la protezione, che verrà attuato nel corso del processo di implementazione.

Sviluppo e implementazione ? Questa fase riguarda l’esecuzione di un piano di azione per la protezione mirato a implementare le modifiche consigliate definite durante il processo di valutazione. A questo si aggiunge lo sviluppo di un piano di emergenza per far fronte a possibili rischi per la sicurezza.

Operazioni ? In questa fase, l’ambiente di elaborazione viene modificato e aggiornato in modo da renderlo e mantenerlo sicuro. Nel corso di questa fase vengono attuate analisi di penetrazione e strategie di intervento in risposta a possibili incidenti, volte a consolidare gli obiettivi di implementazione del piano di protezione per l’organizzazione. Vengono altresì svolte attività di controllo e monitoraggio per mantenere l’infrastruttura di protezione intatta e protetta.

Particolarmente delicata e impegnativa è la fase di analisi. Anche se può sembrare strano, spesso è difficile quantificare l’importanza di un prodotto o servizio, assegnandogli un punteggio oppure effettuandone una stima economica. Provate a pensarci. Quanto vale per la vostra azienda l’interruzione del collegamento Internet, diciamo per una mezza giornata? I dipendenti possono continuare a svolgere regolarmente e produttivamente i propri compiti? Le attività per le quali è indispensabile il collegamento Internet possono essere rimandate senza perdite economiche e di produttività? Anche la risposta a domande apparentemente banali come le precedenti può creare qualche problema. Figuriamoci poi addentrandoci sempre più in profondità nella struttura IT aziendale e iniziando a parlare di database e sistemi storage. Ecco perchè la fase di valutazione e stima è quella che riveste l’importanza maggiore e alla quale deve essere dedicata tutta l’attenzione possibile. Inoltre, è bene precisare che esiste una differenza significativa tra la fase di valutazione e quella di stima. La valutazione delle risorse mira ad assegnare un valore alle informazioni in base al punto di vista delle parti coinvolte e allo sforzo speso per sviluppare tali informazioni. Prevede inoltre che venga identificato il valore di un servizio di rete, ad esempio, il valore del servizio di fornire agli utenti della rete l’accesso esterno a Internet, in base al punto di vista delle parti che utilizzano tale servizio e al costo derivante dal doverlo ricreare. La stima mira invece a determinare i costi derivanti dalla gestione di una risorsa, dalla sua perdita o distruzione e i vantaggi conseguibili da un’altra parte dall’ottenimento di tali informazioni. Il valore di una risorsa dovrebbe riflettere tutti i costi identificabili derivanti qualora tale risorsa dovesse subire un danno effettivo. In fase assegnazione delle priorità alle varie risorse, è possibile utilizzare valori arbitrari (esempio assegnare un punteggio da 1 a 10 in base all’importanza della risorsa/servizio), oppure valori monetari effettivi. Ogni organizzazione dovrebbe utilizzare la scala che più ritiene appropriata a mettere in evidenza il valore relativo delle proprie risorse.

Alcuni consigli

Processi e applicazioni vengono eseguiti su un sistema di computer in base a un livello definito di privilegi sul sistema. Se non diversamente configurati, i processi vengono avviati mentre un utente accede al sistema ed eseguiti con gli stessi privilegi dell’utente. Per impedire attacchi accidentali, tutti gli utenti del sistema devono accedere utilizzando i privilegi più ridotti possibili necessari per eseguire le proprie funzioni. I virus vengono eseguiti con i privilegi dell’utente connesso. Il che significa che disporranno di un ambito di azione tanto più ampio se l’utente è connesso come amministratore. Per questo, come sottolinea Fabrizio Grossi, è importante eseguire servizi e applicazioni con privilegi più ridotti possibile. Inoltre, è assolutamente vitale diffondere una visione della protezione non tanto come meta ma come pratica di viaggio. Non esisterà mai un ambiente completamente protetto e sicuro. Continueranno a essere sviluppati nuovi virus, nuove patch e nuovi metodi per sfruttare possibili punti deboli. A tale scopo, è importante imparare dall’esperienza e mantenere una documentazione dettagliata ed esaustiva su qualsiasi aspetto della protezione. Per gestire i vari livelli di protezione, è invece fondamentale implementare procedure di monitoraggio e controllo e assicurarsi che il risultato di queste procedure venga elaborato regolarmente. È inoltre fondamentale disporre di piani e procedure di intervento chiari, esaurienti e ben consolidati per poter intervenire in maniera rapida ed efficace in risposta a possibili minacce.

Conclusioni

Per poter rivedere l’intero sistema di sicurezza aziendale è necessaria un’attenta fase di studio e preparazione. Naturalmente questa attività richiede tempo e soprattutto tranquillità. Quale periodo migliore nel corso dell’anno, di quello offerto dal periodo estivo, durante il quale le attività aziendali viaggiano a regime ridotto e le emergenze si riducono (si spera) al minimo? Per avere un punto di partenza e un’idea delle fasi necessarie a una revisione del sistema di sicurezza IT aziendale abbiamo preso spunto da una lezione di Fabrizio Grossi, uno dei responsabili dei contenuti technet di Microsoft. In ogni caso, ulteriori informazioni dettagliate relative alla disciplina della gestione dei rischi per la sicurezza sono disponibili nel Microsoft Solutions Guide for Securing Windows 2000 Server all’indirizzo www.microsoft.com (in lingua inglese).

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore