Sicurezza: le dieci regole per non cadere in trappola

Sicurezza

Franco Piccioni, security business developer di Dimension Data Italia, ha
stilato il decalogo per implementare le minime misure di sicurezza a livello
aziendale

Vnunet.it ha incontrato Franco Piccioni Security Business Developer di Dimension Data Italia, al quale, in base all’esperienza accumulata in anni di lavoro a diretto contatto con clienti italiani nazionali e multinazionali ha chiesto di riassumere in dieci passi quali sono le principali regole della sicurezza. Le dieci regole per mettersi in sicurezza qui descritte sono quindi rivolte a chi si trova ogni giorno a dover gestire le problematiche di sicurezza sia per ruolo aziendale, sia per incarico operativo.

1- Essere consapevoli del proprio livello di sicurezza Esiste un modo univoco per definire il livello di sicurezza di un sistema? No. Esistono delle metodologie che permettono di fare delle analisi qualitative o quantitative dei rischi, ma questo non definisce il “livello di sicurezza”. Essere consapevoli del proprio livello di sicurezza significa quindi in termini generali definire due aspetti: – il proprio dominio di competenza – alcuni elementi quantitativi di sicurezza relativi dominio Per essere concreti il proprio dominio di competenza potrebbe essere la rete informatica aziendale intesa come apparati attivi, i desktop e laptop aziendali, i server locali con relativi applicativi, ed i sistemi di comunicazione integrata aziendali (palmari, telefoni dual-mode). Gli elementi quantitativi da associare a questo dominio potrebbero essere il numero di attacchi informatici interni e/o esterni subiti nell’ultimo anno, o i fermi rete dovuti ad attacchi informatici avuti nello stesso lasso di tempo. Questi solo alcuni esempi banali, ma spesso capita che anche questi semplici elementi non possono essere misurati perche’ non esistono gli strumenti per farlo. Se affermo che la mia infrastruttura nel corso dell’ultimo anno non ha subito alcun attacco, ne sono certo o potrebbe essere che non me ne sono accorto? In sintesi quindi è importante definire in qualche modo misurabile il proprio livello di sicurezza, per poter verificare come questo livello evolve nel tempo.

2- Essere consapevoli del fatto che non esiste la sicurezza assoluta Questa regola è essenziale per valutare gli elementi della regola precedente. Ogni azienda ha le proprio caratterisctiche, e una infrastruttura che garantisce un “buon livello” di sicurezza in relazione ad un tipo di modello di Business, potrebbe fornire un livello di sicurezza scadente per un altro modello. Anche in questo caso vediamo un esempio concreto: se la mia azienda rivende prodotti, il mio modello di business considererà critica la capacità di rispondere in modo efficente alle richieste dei clienti, ma probabimente all’interno della mia azienda non circoleranno informazioni che se trafugate potrebbero incidere negativamente sul mio business, quindi il mio sistema di sicurezza dovra’ basarsi sulla garanzia della continuità del servizio riducendo al minimo il controllo sulla circolazione delle informazioni. Se invece la mia azienda si occupa di produrre beni, allora tutto il mio settore di ricerca e sviluppo diventa il sistema da proteggere, introducendo magari sistemi di “Data Loss Prevention”, che nell’azienda dell’esempio precedente non sarebbero giustificati. In sintesi quindi è importante inserire la valutazione del livello di sicurezza all’interno del proprio modello di Business, ed essere consapevoli che pur non esistendo un livello di sicurezza assoluto è generalmente possibile cercare di incrementare nel tempo il proprio livello di sicurezza.

3- Definire la propria politica di sicurezza La definizione della politica di sicurezza aziendale è la regola principale sulla quale si dovrebbero basare tutte le scelte in ambito non solo strettamente di sicurezza. Anche in questo caso le politiche dipendono dal modello di business che ogni azienda persegue, anche se è vero che è possibile trovare delle regole generali che possono essere condivise per segmenti di mercato. La politica di sicurezza aziendale, infatti, non entra nel merito del tipo di tecnologia che ognuno può utilizzare per uno scopo specifico, e non definisce nemmeno specifiche regole di comportamento da parte degli utilizzatori, ma definisce delle macroregole di sicurezza alle quali i sistemi e l’organizzazione si devono adeguare.

4- Definire un piano di realizzazione dei sistemi di sicurezza La definizione del piano di realizzazione del sistema di sicurezza include la scelta dei prodotti che permettono di attuare la propria politica di sicurezza. A prescindere dai prodotti specifici che ogni azienda puo’ individuare, è a mio parere importante definire un piano di implementazione di questi prodotti, che sia pluriennale e calibrato sulla disponibilità di budget che ogni azienda ha a disposizione. Anche in questo caso per la definizione delle priorita’ è utile correlare i prodotti individuati con le possibili variazioni del livello di sicurezza. Per fare ancora un esempio pratico, potrebbe addirittura essere possibile introdurre miglioramenti del livello di sicurezza solo riconfigurando opportunamente apparati già disponibili, ad esempio attivando e gestendo opportunamente l’802.1x sulle reti wired, e intrducendo magari in seguito sistemi di controllo avanzato dell’accesso (NAC).

5- Prevedere un servizio di Security Monitoring periodico Il servizio di Security Monitoring periodico, oltre a far parte delle principali regole di sicurezza generali, risponde a due tipi di esigenze: verificare la propria resistenza agli attacchi prima che lo faccia qualcun altro e avere una visione del proprio livello di sicurezza da parte di un’entità esterna all’azienda. Il servizio poi puo’ essere definito nei più svariati modi, da un semplice Vulnerability Assessment di rete, ad un completo Security Audit rivolto a sistemi e processi. Anche in questo caso la definizione della politica di sicurezza puo’ aiutare nel definire il piu’ corretto servizio di Security Monitoring.

6- Prevedere la formazione dell’utenza relativamente alle politiche di sicurezza La componente umana è molto importante nella valutazione di qualsiasi sistema di sicurezza. Qualsiasi sistema io mi possa inventare, devo sempre fare i conti con l’utente che dovra’ utilizzarlo. In generale ritengo sia importante prevedere una formazione di base rivolta a tutti gli utenti dei sistemi, con l’obiettivo di far comprendere la politica di sicurezza aziendale, e di illustrare il funzionamento degli strumenti che si è deciso di adottare.

7- Prevedere reportistica sintetica periodica sul funzionamento dei sistemi di sicurezza Per ogni strumento di sicurezza che si inserisce in azienda, e importante prevedere un sistema che fornisca report periodici sul suo funzionamento. La cosa complicata è poi fare una sintesi unica di tutti i sistemi attivi, che possa fornire una visione di insieme del “livello di sicurezza” dei sistemi.

8- Concordare l’analisi preventiva degli aspetti di security nella realizzazione di nuovi progetti I ritmi di crescita del business di ogni azienda richiedono la realizzazione di nuove infrastrutture, sistemi, processi in tempi rapidi. Trascurare gli aspetti di security in fase di progettazione e realizzazione e’ un rischio che non va trascurato, in quanto nuove vulnerabilità potrebbero improvvisamente abbassare drasticamente il “livello di sicurezza” di tutta la infrastruttura aziendale.

9- Coinvolgere tutti i livelli direttivi aziendali nelle scelte legate alla security Questa regola è fondamentale per fare entrare la security nei “normali ” processi di budget che ogni azienda è obbligata ad affrontare. Il codice sulla protezione dei dati personali ha sicuramente aiutato ad alzare il livello di attenzione da parte dei top manager sugli aspetti di security, ma non basta. La security è un aspetto strategico e trasversale, e le scelte in questo settore devono essere fatte con la consapevolezza e il supporto dei maggiori livelli direttivi aziendali.

10- Mantenere un elevato livello di aggiornamento su cio’ che avviene in ambito Security Ogni giorno nel mondo esistono milioni di persone che cercano di forzare sistemi informatici. Parallelamente ogni giorno migliaia di aziende, enti pubblici, enti sovranazionali e privati, cercano di difendersi dai possibili attacchi. In tutto questo movimento di bit, la quantità di informazione prodotta è enorme. Partendo dal presupposto che è impossibile essere a conoscenza di tutto cio’ che accade in ambito security, diventa però importante mantenere sempre un buon livello di aggiornamento affidandolo magari a specifici servizi di alerting.

La risposta Dimension Data

Dimension Data offre la propria esperienza basata su competenze certificate dai vendor leader di settore e dalla propria presenza pluriennale nel settore della security. In particolare Dimension Data Italia garantisce le seguenti partnership: Cisco Advanced Security Specialization, Check Point Gold Partner, Nokia Security Certified Partner, McAfee Elite Partner, Websense Premium Partner, Bluecoat Premier Partner, ISS Platinum Partner, Qualys Global Partner e Certificazioni vendor indipendent: CISSP, BS7799/ISO-17799 Lead Auditor. I principali servizi che si affiancano alle tradizionali proposte di Security Audit, Vulnerability Assessment e Penetration Test che Dimension Data propone per rispondere alle dieci regole appena descritte sono i seguenti. IPT Security Survey: IPT Security Survey di Dimension Data è un servizio di assessment e analisi dell’infrastruttura IPT e vuole essere uno strumento di contrasto verso il crescente numero di minacce alla sicurezza IPT (Toll fraud, Denial of Service, Eavesdropping). Il servizio può essere erogato con cadenza regolare. In funzione del livello di servizio prescelto, la revisione periodica ha l’obiettivo di mantenere aggiornato il cliente circa i rischi a cui è soggetta la propria rete IPT e mantenere elevato il livello di sicurezza dell’infrastruttura. Cisco Secure IOS Assessment: Il sistema operative Cisco IOS e’ diffuso nella grande maggioranza delle reti locali e geografiche delle aziende; non tutti sono consapevoli delle potenziali vulnerabilita’ e dei conseguenti rischi di attacco informatico cui anche questo ambiente e’ sottoposto. Il servizio Cisco Secure IOS consente di verificare con precisione il livello di vulnerabilita’ della propria rete tramite una dettagliata analisi di ogni singolo dispositivo e presenta una valutazione di ogni vulnerabilita’ con il relativo piano di recovery/remediation. Adaptive Secure Infrastructure (ASI): ASI e’ allo stesso tempo una metodologia di consulenza e un framework per realizzare un sistema di controllo di accesso che offre la possibilità di realizzare una infrastruttura di sicurezza dinamica, gestibile e robusta. L’approccio ASI permette di definire degli appropriati e controllati livelli di accesso ai vari utenti, interni o esterni, di un sistema informativo. ASI si basa su un approccio a 4 stadi, ciascuno dei quali rappresenta il fondamento del successivo: Identificazione, Classificazione, Isolamento e Controllo, applicati ai profili degli utenti e ai dati o applicazioni cui essi devono accedere.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore