Tom Kelchner, Communications e Research Analyst di GFI Software, produttrice di software di protezione Web e posta, servizi di rete e sicurezza, suggerisce le 10 regole per navigare sicuri nel corso del 2011. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza.
- Limitare l'accesso alla rete alle persone che ne necessitano. Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
- Serve una strategia per prevenire la perdita dei dati. Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone.
- Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce. Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete.
- Eseguire regolarmente audit di rete è fondamentale. Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete.
- Verificare la sicurezza dei sistemi prima di connetterli alla rete. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti.
- Rafforzare le policy di sicurezza. Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
- Autenticare sempre chi effettua chiamate. Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing - che consiste in attacchi di social engineering mirati - è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing - che avvenga via email o telefonicamente.
- È necessario eseguire i backup ma anche verificarli. Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
- Cosa fare se il programma di disaster recovery non funziona. In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto? . Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
- Chiedere aiuto se necessario. Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.
Fonte: Protezione Account
Nessun commento:
Posta un commento