Il decalogo McAfee per la sicurezza IT

Sicurezza

Abbiamo chiesto ai principali interpreti della sicurezza It di indicarci le
loro dieci regole d’oro per implementare una struttura base per la sicurezza
aziendale. Questa settimana iniziamo con i consigli di McAfee.

Vnunet ha incontrato Ombretta Comi, Marketing Manager Italy di McAfee, chiedendole d’indicare, in base all’esperienza maturata da McAfee in ambito security, quali possono essere considerate le dieci regole che devono assolutamente essere alla base di ogni struttura di sicurezza It. A partire dalle successive considerazioni ciascuno potrà quindi interpretare e adattare i principi indicati al proprio contesto aziendale, creando così la base di partenza per una più completa e complessa struttura di security.

1. Informazione / educazione sulla sicurezza. Tenersi aggiornati sulle minacce informatiche e sui rischi che si corrono in modo da non cadere nelle trappole più comuni.

2. Seguire le policy aziendali. Sicuramente le policy di sicurezza non sono relegate all’aspetto It, ma toccano tutti gli aspetti della vita aziendale: le procedure devono essere il più possibile standardizzate e poi calate nelle realtà delle singole aziende. Poi, a prescindere che le aziende abbiano all’interno la struttura IT idonea, o che si avvalgano di terze parti, la sicurezza deve far parte della cultura aziendale: deve essere un atteggiamento che parte dai più alti livelli aziendali, ma è altrettanto vero che ognuno in azienda svolge un ruolo fondamentale per la sicurezza.

3. Non utilizzare PC aziendale per scopi personali. Crescono le minacce alla sicurezza aziendale dovute ad un utilizzo volontariamente o non volontariamente improprio dei PC e dei laptop affidati dalle aziende ai singoli utenti.

Annunciato in maggio 2007 lo studio Datagate: The Next Inevitable Corporate Disaster? E videnzia la convinzione che un’importante violazione di sicurezza, anche involontaria, potrebbe portare al tracollo di una grande azienda. La ricerca, condotta da Datamonitor per conto di McAfee, ha coinvolto oltre 1.400 professionisti IT di aziende con almeno 250 dipendenti n egli Stati Uniti, Regno Unito, Francia, Germania e Australia. Il 33% di coloro che hanno risposto ritiene che un episodio rilevante che comporti la divulgazione accidentale o dolosa di dati riservati potrebbe portarli al fallimento. Inoltre, la ricerca suggerisce che, mentre la consapevolezza relativamente al pericolo di violazioni è elevata, il problema continua a crescere. Il 60% degli intervistati ha affermato di aver subito una violazione dei dati nell’anno passato, e solo il 6% ha potuto affermare con certezza di non averne subita alcuna nei due anni precedenti. Comunque, nonostante la diffusione delle violazioni, le aziende dedicano al problema solo una piccola parte dei loro budget IT. In media, gli intervistati investono circa la metà dell’1% dei loro budget IT complessivi sulla sicurezza dei dati. Per mantenere la disponibilità e l’integrità dell’infrastruttura IT, le aziende dovrebbero implementare un processo e un’architettura NAC in grado di valutare la sicurezza di un sistema o di un utente nel momento in cui si collega alla rete, di monitorare la sicurezza dei sistemi che sono già collegati e soprattutto in grado di implementare policy di remediation. McAfee Policy Enforcer NAC fornisce ad aziende di medie e grandi dimensioni l’accesso alle proprie reti corporate da parte di dipendenti, ospiti e collaboratori, ovunque si trovino e in qualsiasi momento, proteggendo asset preziosi contro il rischio di malware e errori di configurazione dei sistemi. Oltre a questo, va tenuto presente il rischio di perdita dei dati; il trasferimento inappropriato di informazioni critiche e sensibili che può provocare perdite serie, multe per la non conformità e danni alla credibilità dell’azienda, con un costo medio che per le grandi organizzazioni si aggira intorno ai 335.000 dollari. McAfee Data Loss Prevention Gateway, recentemente annunciato, è una soluzione di prevenzione delle perdite di dati che si integra perfettamente con McAfee Data Loss Prev ention Host, annunciato lo scorso febbraio, fornendo protezione multi-livello che previene la perdita dei dati a livello di desktop e gateway. McAfee DLP Gateway previene la perdita dei dati da laptop ospiti, sistemi non Windows (per esempio Mac e Linux), server, dispositivi mobile e tutti gli altri dispositivi agent-less bloccando il trasferimento di informazioni riservate a livello di gateway. La protezione di dispositivi agent-less sta diventando sempre più importante poiché aziende ed enti governativi utilizzano sempre più dispositivi mobile e laptop per accedere a informazioni sensibili sulle rete aziendali.

Il seguente espediente mnemonico è stato studiato per aiutare le aziende di più piccole dimensioni a proteggersi dalla ‘minaccia interna’:

S – Systems safe (sistemi sicuri) ? Risparmiate tempo e dotatevi di aggiornamenti anti-virus automatici per i dispositivi presenti sulla vostra rete. E – Everyone knows (informare tutti) ? Assicuratevi che tutti i nuovi membri dello staff o fornitori comprendano le vostre policy di sicurezza informatica. C ? Compliance (conformità) ? Non aspettate che vi venga detto che un prodotto non è conforme, assicuratevi di comprare un prodotto con scansione automatica di tutti i dispositivi prima che entrino sul vostro sistema informatico come, per esempio, McAfee Policy Enforcer U – Update regularly (aggiornare regolarmente) ? Aggiornate e controllate tutti i sistemi informatici ogni anno man mano che l’azienda cresce, indipendentemente dalle policy che applicate o le tecnologie che utilizzate R – Risks monitoring (monitorare i rischi) ? Per i più recenti aggiornamenti sulle varie minacce informatiche visitate il sito www.mcafee.com E – Encourage communication (favorite le comunicazioni). Qualsiasi fornitore che utilizza i vostri sistemi deve essere a conoscenza delle vostre policy. Anche i clienti desiderano conoscere il vostro approccio poiché ciò garantisce loro che sarete operativi anche in futuro nonostante i virus o eventuali danneggiamenti dei vostri sistemi.

4. Verificare lo stato di sicurezza del PC. E’ buona norma controllare che il PC che si sta utilizzando sia in linea con gli ultimi aggiornamenti di sicurezza e del sistema operativo.

5. Navigare solo su siti sicuri. In particolare prestare attenzione ai download gratuiti, ai salvaschermi più di moda, ai siti di canzoni, e alla registrazione a club online. Molti download gratuiti, come giochi e sfondi per il desktop, nascondono al loro interno programmi di spyware e adware. Questi programmi possono tenere traccia dei tasti battuti sulla tastiera, memorizzare gli accessi a Internet e trasmettere informazioni riservate. Un accessorio come McAfee SiteAdvisor, che è scaricabile gratuitamente da http://www.mcafee.com/it/ , o McAfee SiteAdvisor Plus, per rilevare quei siti che favoriscono l’installazione di adware, che contengono truffe online, e-mail spazzatura o che utilizzano altre tattiche disoneste. Anche i siti web all’apparenza benigni, come quelli di shopping online, possono essere trappole per spam indesiderato e pop-up. Evitate di utilizzare programmi peer-to-peer per scaricare musica, immagini, o altri contenuti video. Il rischio è doppio: si tratta di una pratica illegale, e attraverso il download dei file provenienti da sconosciuti è facile incorrere in virus, trojan e spyware nascosti all’interno dei documenti scaricati.

6. Proteggere la propria connessione wireless. L’esigenza di sicurezza in ambito wireless anche nelle proprie case continua a crescere. Attualmente il 23% degli utenti Broadband hanno un Wi-Fi, ma si considera che il 60% di chi possiede un sistema wireless, non utilizzi la crittografia per rendere sicuri la propria rete wireless o la trasmissione dei propri dati. Bisogna tenere presente che il livello di rischio va di pari passo con l’accesso a Internet da una rete Wi-Fi, è come se ci si allontanassi dal bancomat lasciando la propria tessera inserita. Dalla rete wireless le onde radio viaggiano attraverso i muri, e un hacker, con un’antenna semplicissima, può rubare le informazioni personali anche da chilometri di distanza.

7. Non fornire dati personali o aziendali in forum o chat, sono i metodi maggiormente utilizzati dai malintenzionati per il furto delle identità e delle informazioni personali.

8. Cautela nel rispondere alle e-mail, sia richieste che non desiderate, che contengono link di ?annullamento dell’abbonamento/sottoscrizione? (unsubscribe), in cui viene dichiarato ai destinatari di offrire un modo per non ricevere più email in futuro. Nei messaggi legittimi, i link consentono ai riceventi dello spam di bloccare le email che arrivano da quel mittente. Tuttavia, in alcuni casi, anche gli spammer includono link di ?unsubscribe? nei loro messaggi. I destinatari cliccando su tali link, confermano che i loro indirizzi email sono attivi. Così gli spammer inviano poi gli indirizzi ad altri spammer.

9. Utilizzare password intelligenti. Le password, infatti, non solo devono essere rinnovate periodicamente, ma dovrebbero essere scelte con oculatezza, evitando di utilizzare il proprio nome, quello di un familiare o di un animale domestico, o altre informazioni facilmente reperibili dai propri conoscenti (piatto o colore preferito, luoghi di villeggiatura, data di nascita), utilizzare password differenti per differenti account, creare password di almeno otto caratteri che devono contenere numeri e caratteri speciali, difficili da indovinare e non presenti nei dizionari. In aree ad elevata sicurezza, poi, sarebbe meglio non affidarsi solo all’utilizzo di nomi utente e password per la sicurezza, ma utilizzare dispositivi hardware come generatori di password dinamiche, che generano codici numerici di autenticazione casuali che vengono costantemente modificati, per avere un livello aggiuntivo di sicurezza difficile da infrangere.

10. Infine, al momento della sostituzione di un PC cancellare in modo sicuro qualunque file o cartella presenti sul disco fisso in modo tale da non essere ripristinabili con i classici strumenti software, accertandosi che file contenenti dati personali o informazioni sensibili non possano cadere in mano di malintenzionati. Dal secondo Report sulla Criminologia Virtuale, dicembre 2006, di McAfee: Nell’aprile 2005, un hard disk della polizia di Brandeburgo, in Germania, fece la sua apparizione su ebay. Fu così possibile accedere appieno a documenti riservati della polizia come piani di allerta interni per situazioni estreme come dirottamenti e rapimento di ostaggi. C’erano anche elenchi di nominativi sull’hard disk che mostravano l’equipaggiamento dei gruppi di crisis management, configurazioni, ordini e analitica: informazioni che potrebbero essere molto utili a criminali di vario livello, non ultimi i terroristi.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore