SophiaNet 
   Soluzioni per Aziende con Grandi Idee

Home
21/11/2017
 
 
PDF Stampa E-mail

ImageNews Privacy e Sicurezza

La sicurezza in ambito informatico è materia complessa e diversificata e spesso non è così facile evidenziare e analizzare tutti gli aspetti che la devono supportare.

Spesso al momento dell'installazione di un firewall ci viene domandato dal cliente, con la convinzione di ottenere una risposta affermativa:

"Adesso possiamo stare tranquilli, i virus non entrano più nella nostra rete?"

Purtroppo, ottenuta una risposta non del tutto positiva, lo sguardo dell'interlocutore manifesta una logica perplessità e sembra porre una seconda domanda nascosta:

"Ma allora cosa lo abbiamo messo a fare quel coso lì" (Si, perchè il firewall a questo punto è diventato un coso insignificante).

Questa premessa per evidenziare come la sicurezza sia un processo globale che, se attuato parzialmente, può risultare del tutto inefficace.

Gli aspetti principali che vanno considerati in stretta correlazione sono i seguenti:

  • sicurezza perimetrale

  • sicurezza anti virus e anti trojan

  • garanzia di accessibilità ai dati

  • sicurezza contro la perdita dei dati

  • sicurezza contro l'accesso non autorizzato ai dati e il furto di informazioni

  • sicurezza fisica per l'accesso ai locali

Su questi diversi aspetti della sicurezza e sulla più efficace combinazione di essi i professionisti che operano all'interno di SophiaNet sono impegnati da tempo.

E' di conseguenza doveroso che una azienda senza personale interno specializzato nel settore della scurezza informatica si ponga la domanda di quale livello di sicurezza è presente al suo interno relativamente agli aspetti sopra citati. Peraltro la legge 196/03 prevede obbligatoriamente (una direttiva successiva lo specifica meglio) anche una analisi dei rischi sulla gestione del dato.

SophiaNet è in grado di fornire documentazione sulla struttura della rete informatica dell'azienda e valutare secondo le disposizioni di legge quale livello di rischio sia presente, visionando la configurazione dei sistemi, intervistando gli utilizzatori, fornendo alla fine un rapporto sul livello operativo dell'azienda stessa.

Siamo inoltre in grado di fornire una analisi tecnica della funzionalità dei vari apparati di sicurezza già implementati, valutandone il risultato e la corretta operatività, istituendo un processo di controlli periodici di cui noi siamo in grado di occuparci.

Qui di seguito vengono approfonditi alcuni concetti, relativi ai diversi aspetti della sicurezza sopracitati, che potrebbero risultarei interessanti.

Sicurezza perimetrale

La sicurezza perimetrale consiste nel circoscrivere la rete aziendale con una serie di macchine che controllino ogni collegamento verso l'esterno dell'azienda, il nome perimetrale sta proprio ad indicare il controllo sulla parte che l'azienda ha a contatto con gli altri.

Questo lavoro viene svolto da alcune macchine che vengono chiamate firewall e che appunto si occupano di verificare se il traffico da e verso l'esterno dell'azienda è un traffico lecito e regolare, in caso contrario si preoccupano di segnalarlo e bloccarlo.

Essendo necessario controllare queste apparecchiature regolarmente, normalmente vengono limitate le connessioni aziendali verso l'esterno, centralizzandole al minor numero possibile, che si riesce normalmente a ridurre a una sola unità per ogni sede aziendale.

Queste macchine permettono a seconda della loro sofisticazione anche l'implementazione di servizi ulteriori come connessioni VPN o altro.

Il controllo perimetrale serve inoltre ad impedire l'accesso di hacker dall'esterno impedendo forzature dirette di accesso al sistema.

Una cosa importante di cui bisogna tenere conto è che comunque un firewall non può bloccare i virus, anche se ne può potenzialmente ridurre l'effetto. Dato che oggi la maggior parte delle aziende importanti dispone di firewall i virus sono spesso progettati per aggirarli, veicolandosi ad esempio con le email che non vengono bloccate.

Questo tipo di sicurezza è considerata obbligatoria dall'allegato B della legge 196/03

SophiaNet si occupa di predisporre e installare firewall, di configurarli e di gestirli.

Sicurezza anti virus e anti trojan

Questo secondo aspetto della sicurezza è altrettanto importante. Infatti come detto precedentemente i virus non possono essere fermati da un firewall, per questo è indispensabile piazzare un sistema anti virus su tutte le postazioni di lavoro, server compresi, ma soprattutto è necessario che questi vengano regolarmente aggiornati con frequenza molto alta.

Ci sono diverse modalità di installare un sistema di protezione anti virus, la migliore è generalmente quella di centralizzarlo su un server, ma la scelta dipende anche da altri fattori tra i quali la dimensione dell'azienda.

Ci sono anche modalità di gestione anti virus denominate "di flusso", che controllano, appena a valle del firewall, tutto ciò che transita, questo pu? impedire che qualche postazione mal configurata o gestita possa permettere ad un virus di fare qualche danno.

E' molto importante mantenersi protetti da virus e trojan, infatti questi possono avere dei costi estremamente alti, sia dal punto di vista del fermo lavorativo aziendale, sia dal punto di vista della perdite di informazioni.

Inoltre la protezione antivirus è obbligatoria per l'allegato B della legge 196/03.

Garanzia di accessibilità ai dati

L'accessibilità ai dati è per tutti una cosa scontata, ma in realtà, nella pratica non è sempre così

L'attuale sviluppo web prevede che i dati siano richiamati in modalità dinamica direttamente dai database

Se questi servizi si bloccano ovviamente siamo impossibilitati ad accedere alle informazioni anche se comunque non sono perse.

I motivi per cui un server può risultare non disponibile sono diversi:

  • Black out dell'energia elettrica

  • Manutenzione del Server

  • Guasto hardware del Server

  • Guasto dell'impianto elettrico

Ovviamente noti i motivi, è più semplice porvi rimedio, ma per ogni rimedio c'è un costo, quindi va bilanciato con le esigenze dell'azienda, ponendoci la domanda:

Quanto tempo siamo in grado di reggere senza accedere ai dati?

Le soluzioni ovviamente sono molto diverse a seconda del rischio che si vuole accettare.

Noi di SophiaNet siamo in grado di consigliarVi nella maniera migliore quale strategia utilizzare per meglio gestire il problema.

Sicurezza contro la perdita dei dati

La perdita dei dati è un aspetto di inaccessibilità ai dati, di tipo permanente.

Questa, che è forse la più grave disfunzione riscontrabile in un sistema informatico va assolutamente prevenuta con l'8217; implementazione di una efficiente struttura di backup.

Talora la perdita dei dati può presentarsi in maniera subdola, per questo motivo la strategia di salvaguardia dei dati deve essere pianificata esclusivamene da personale esperto nella gestione dei dati e della sicurezza.

Le modalità con cui si perdono i dati possono essere di diversa natura, dal danneggiamento di periferiche, alla corruzione dei dati stessi, che quando diventa parziale può restare a lungo inosservata, e divenire quindi molto più pericolosa.

La struttura di backup è obbligatoria secondo la legge 196/03

SophiaNet ha maturato una notevole esperienza nella gestione dei piani di backup e nelle implementazioni delle infrastrutture necessarie in aziende di diversa dimensione

Sicurezza contro l'accesso non autorizzato ai dati

Per gestire i dati di un azienda in maniera affidabile è indispensabile che il sistema possa garantire che solamente il personale autorizzato possa accedere ai dati stessi, pertanto i sistemi devono permettere l'identificazione delle persone che tentano l'accesso alle informazioni e con opportune autorizzazioni configurate, consentirlo o negarlo.

L'identificazione può essere effettuata con diverse modalità, come la UserID, la smartcard, sistemi biometrici, o quant'altro, abbinati ad una password o un pin che diano modo al sistema di autorizzare l'accesso.

Questa tecnica permette con un opportuna organizzazione interna di stabilire le regole per far si che il livello di rischio relativo al furto di informazioni venga drasticamente ridotto, permanendo il solo rischio legato alla affidabilità del personale interno abilitato all gestione delle informazioni.

L'allegato B della legge 196/03 peraltro prevede l'obbligatorietà di implementare questi servizi, dando incarico al responsabile della Privacy di decidere quali siano le persone che debbano accedere ai dati stessi, e l'amministratore del sistema.

La gestione tecnica degli accessi ai sistemi va implementata organizzando opportunamente la struttura dei dati in maiera da rendere agevole e priva di errori la definizione dei permessi stessi, e i diversi livelli di accesso. A tale scopo pu? risultare utile una mirata istruzione al personale che opera sui dati per la corretta gestione.

SophiaNet è in grado di fornire supporto sia per la definizione delle strategie opeative, sia per la struttura organizzativa dei dati sui server di rete, sia per l'addestamento del personale all'utilizzo dei sistemi nel rispetto della sicurezza.

Sicurezza fisica per l'accesso ai locali

La sicurezza relativa all'accesso ai locali non è un problema strettamente informatico, in quanto solitamente viene gestita con l'8217; ausilio della sorveglianza interna aziendale o facendo ricorso a servizi di polizia privata.

Tuttavia, soprattutto in piccole aziende o per aree limitate (es. sala CED) l'informatica può essere utilizzata per l'8217; con l'inserimento di barriere con sistemi di accesso controllato.

Gli accessi possono essere regolamentati definendo le persone autorizzate e gli eventuali orari individuali , nonchè monitorati con opportuni registri automatici che riportino il resoconto completo di tutti gli accessi effettuati.

Inoltre si possono installare dei sistemi di videosorveglianza controllati tramite sistemi informatici che permettano di tenere sotto controllo determinate aree strategiche (pur nel rispetto della legge sulla privacy) anche a distanza o fuori dell'azienda stessa. Tali sistemi possono avere la valenza parallela di antifurto.

Chi ? online
Abbiamo 5 visitatori online
 
Top! Top!