Tratto dallo speciale:

Security Management: procedure operative

di Alessia Valentini

10 Settembre 2010 09:00

La protezione aziendale operativa: come pianificare le azioni pratiche per formare i dipendenti e proteggere intranet, parco macchine e dati sensibili

In azienda è importante garantire massima sicurezza nella gestione delle informazioni, per prevenire a livello sistemico la corruzione o perdita dei dati. Quali sono dunque le priorità operative della funzione aziendale Security Management? Implementare opportuni soluzioni di contrasto delle minacce informatiche più frequenti (patching, test automatico delle vulnerabilità, misura e analisi dei risultati e degli obiettivi ancora da raggiungere, ecc.) ma anche lo sviluppo di policy comportamentali per gli utenti del sistema aziendale e di controllo degli ex-dipendenti.

Un adeguato livello di sicurezza significa salvaguardare le opportunità commerciali della propria azienda, garantire la continuità del business e dell’operatività aziendale, limitare ogni potenziale danno e ovviamente mettersi in conformità con le normative in vigore.

Il Security Manager ha la responsabilità di gestione di tutte le azioni coordinate volte a proteggere dati, know-how ed asset, aziendali e dei propri client, nel rispetto degli adempimenti normativi in termini di sicurezza fisica, logica e IT.

Secondo il Rapporto 2010 di Symantec, il 75% delle aziende ha subito attacchi negli ultimi 12 mesi, per un danno economico complessivo di 2 milioni di dollari l’anno. Il 29% ha segnalato inoltre una maggiore frequenza negli attacchi. I principali danni? Furto di dati su carte di credito o identità dei clienti e sottrazione di altre informazioni finanziarie.

Per quattro aziende su dieci il contrasto delle minacce informatiche è quindi prioritario. Certo, le nuove tecnologie a servizio delle imprese (software con licenze as-a-service, virtualizzazioni di server ed endpoint, cloud computing…) possono complicare i processi di sicurezza dei responsabili IT, ma non ci si deve scoraggiare perché esistono validi mezzi di contrasto.

Le soluzioni possono essere parte di una unica suite (preferibile) o implementate separatamente, purché aperti e flessibili, per integrarsi facilmente fra loro e con eventuali soluzioni di terze parti.

A livello operativo, gli obiettivi basilari sono: protezione da virus, worm & C.; analisi proattiva e risoluzione delle vulnerabilità; rispetto delle policy di sicurezza; creazione e mantenimento in automatico delle identità digitali; accessibilità pratica e sicura delle applicazioni da parte di tutti gli utenti; controllo centralizzato dell’infrastruttura di sicurezza.

Gestire la sicurezza in azienda significa pianificare la gestione di identità e accessi, delle minacce e delle informazioni.

Tipicamente riunite in un unico sistema di funzionalità correlate, la gestione delle identità contempla la verifica delle identità per stabilire chi è autorizzato ad accedere ad applicativi aziendali, intranet, database, piattaforme applicativi e sotto-reti, abilitando l’
opportuna profilazione per utenti e amministratori di sistema. La gestione degli accessi riguarda invece il controllo degli orari e della tipologia di attività effettuata sui sistemi. Le sotto-aree di questo task sono: Provisioning (creazione e gestione del ciclo di vita in automatico delle utenze e della loro profilazione), Enforcement (la salvaguardia dell’integrità delle proprie informazioni, impedendo accessi non autorizzati) e Auditing (monitoraggio e reportistica degli accessi per il controllo delle violazioni e l’aderenza alle normative vigenti).

La gestione delle minacce riguarda il contrasto degli agenti “patogeni” (virus worm, trojan, spam), che possono destabilizzare le risorse informative aziendali causando danni temporali o permanenti. Le soluzioni sono molteplici, essenzialmente suite software.

La gestione sicura di tutte le informazioni aziendali che tipicamente sono generate da sistemi diversi e archiviate in altrettante diverse piattaforme applicative. L’approccio frammentario aumenta i rischi, le vulnerabilità e i costi di gestione. Gli strumenti di security devono correlare, visualizzare e analizzare i dati grezzi per trasformarli in dati intelligenti che evidenzino gli eventi di intrusione, ed eventuali violazioni di sicurezza, integrità e disponibilità dei dati.

L’obiettivo è la continuità del business in ogni condizione operativa anche a fronte di incidenti fisici o informatici.

L’implementazione di soluzioni software di protezione non deve essere limitata alle macchine e sistemi Server o ai sistemi di rete (firewalling e switch, proxy , router ecc) ma deve riguardare tutti gli endpoint aziendali, ovvero i personal computer, perchè spesso si interfacciano ad una molteplicità di supporti fisici rimuovibili quali CD, DVD, chiavette USB, eventuali macchine fotografiche o sistemi video.

Non vanno inoltre dimenticati gli applicativi che risiedono sui pc e che trattano dati anche sensibili e personali quali posta elettronica, sistemi FTP, instant messagging. I software di protezione devono poter estendere le protezioni a tutte queste fonti e repository di dati garantendo l’accesso sicuro e controllato e scongiurando il furto di identità elettronica che potrebbe essere usato maliziosamente.

Non devono essere dimenticate le strategie di patching, ovvero la pianificazione degli interventi di risoluzione delle vulnerabilità dei sistemi, che hanno la funzione di correggere malfunzionamenti come i bug e migliorare la performance dell’applicativo.

Le patch sono normalmente distribuite dalle software house e quindi la fonte è solitamente nota e affidabile. Tuttavia, è buona regola disporre di ambienti di test che duplichino l’ambiente di produzione e costituiscano un adeguato banco di prova delle patch al fine di stabilire se l’implementazione del codice nuovo possa ledere applicativi o funzionalità pregresse.

È necessario monitorare i siti che periodicamente pubblicano le patch a correzione di note vulnerabilità e istituire procedure interne di test e passaggio in produzione, mantenendo ovviamente i dati pregressi in caso di necessari rollback operativi (ripristino delle funzionalità e dei dati prima dell ‘ installazione della patch).

Attenzione particolare va inoltre riservata alla gestione delle login aziendali di ex-dipendenti. Secondo una recente statistica, è proprio fra di essi che si possono nascondere intenti fraudolenti o dannosi, motivati da ripicche, vendetta o semplice superficialità. Le login e password dei dipendenti dimessi o licenziati devono essere immediatamente disabilitate segregando anche le mail eventualmente ridirette verso una casella di posta temporanea. Devono inoltre essere rimossi i permessi di accesso ad applicativi aziendali, aree disco condivise e Database per impedire azioni di violazione alla disponibilità, integrità e validità dei dati.

A seguire, devono essere stabilite precise policy interne cui i dipendenti devono attenersi scrupolosamente: periodicità del cambio password e regole per la corretta scelta di una nuova password; download e installazione di software al di fuori di quello distribuito dai responsabili IT; software di compressione e/o criptazione delle informazioni aziendali destinate all’esterno; connessioni internet che scoraggino l’utilizzo di reti diverse da quelle messe a disposizione dall’azienda (Lan o VPN) per collegarsi a siti filtrati dal proxy aziendale (Facebook, Youtube ecc) configurando chiavette USB che sfruttano reti wireless di provider esterni e favorendo così eventuali malintenzionati solitamente filtrati dalle risorse fisiche quali i firewalling aziendali.

Infine, è buona norma istituire un sistema di monitoraggio e reportistica su tutti gli obiettivi individuati e sui risultati intermedi e finali raggiunti. Il motivo è duplice: misurare i miglioramenti in azienda e giustificare eventuali investimenti aggiuntivi.