Analisi dei Rischi Informatici

---

Home » Analisi dei Rischi Informatici

LA POLICY SULLA SICUREZZA INFORMATICA : UNA NECESSITA' PER L'AZIENDA DEL FUTURO

Gli incidenti di sicurezza provocati accidentalmente da personale interno all’azienda sono in aumento. E possono avere un impatto ben più negativo degli attacchi perpetrati in malafede. Ecco cosa emerge dall’ultima ricerca di mercato di RSA, la divisione sicurezza di EMC, commissionata ad IDC. Non esiste una singola soluzione che mitighi le minacce interne ma che sirende piuttosto necessario un approccio complessivo alla gestione del rischio ( come quello che si ha se viene applicata in Azienda una Policy Sulla Sicurezza Informatica ) che soddisfi al meglio il profilo di rischio dell’azienda e garantisca un controllo su tutti i fronti.
Si definisce un nuovo paradigma : "la sicurezza è responsabilità di tutti, non solo degli addetti ai lavori !".
Non è più sufficiente garantire una connessione cifrata (VPN) con l’azienda e una protezione da virus e malware, ma è necessario affrontare temi come la garanzie della riservatezza, dentro e fuori l’azienda, mantenere il controllo del livello di sicurezza di applicazioni e dati ospitati su un cloud pubblico o tutelare l’azienda nel caso di utilizzo di strumenti non pensati per l’utenza aziendale (tablet e smartphones).
I dipendenti intervistati da RSA dichiarano di aggirare spesso il reparto IT per acquistare servizi cloud e lavorare in maniera più efficiente per il "bene dell’azienda".
L’Azienda Moderna ha raggiunto un punto critico in cui ignorare la realtà della spesa per le nuove tecnologie come ad esempio il cloud non è più possibile ( il 23% dei dipendenti in europa ha ammesso di aver acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare i propri dati insieme a quelli aziendali, in modo non autorizzato ).
I responsabili IT devono fare i conti con questa nuova realtà, fornendo la flessibilità che i dipendenti aziendali richiedono ( maggiore velocità nello scambio delle comunicazioni e dei materiali con i clienti e maggiore competitività lanciando una nuova offerta di prodotti e servizi che forniscano un valore aggiunto ) e, al tempo stesso, gestendo tutti i processi in modo sicuro grazie ad una sempre più necessaria introduzione in Azienda di una Policy Sulla Sicurezza Informatica.

In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ? Approfondisci e potremo redigerla per voi !

TEST ONLINE PER LA SICUREZZA INFORMATICA E ANALISI DEI RISCHI INFORMATICI IN AZIENDA

ESEGUI UN TEST PRELIMINARE ONLINE e VERIFICA SUBITO IL LIVELLO DI SICUREZZA DELLA TUA ATTIVITA' / AZIENDA :


L'analisi dei Rischi informatici in Azienda è volta a evidenziare i seguenti fattori di rischio :

  1. 1) FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"
  2. 2) FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"
  3. 3) FATTORI DI RISCHIO PER "INSTALLAZIONI DI SOFTWARE NON AUTORIZZATI"
  4. 4) FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"
  5. 5) FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"
  6. 6) FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"
  7. 7) FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"
  8. 8) FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"
  9. 9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"

Verificare il corretto funzionamento del parco macchine aziendale è un elemento fondamentale per assicurare continuità al vostro lavoro.

A seguito della nostra analisi tecnica per il riscontro di anomalie informatiche nei computer aziendali saremo in grado di identificare :

a) se tutti i computer analizzati sono liberi da virus ;

b) se vi sono problemi hardware, software o delle periferiche ;

c) se i sistemi antivirus installati sono stati efficienti nel rimuovere i problemi riscontrati. La presenza di chiavi di registro aggiunte da virus o malware, non rimosse dai software anti-contaminazione poco efficaci costituiscono un problema per la stabilità della macchina e generano rallentamenti evidenti nella sua velocità ;

d) se vi sono stati degli arresti o chiusure anomale di programmi che pregiudicano il buon funzionamento del pc o del mac ;

e) una lista delle criticità singole per le quali operare subito provvedimenti. Vi forniremo un elenco dettagliato dei computer per i quali è necessario apportare modifiche hardware

A fronte dei dati che emergeranno, se richiesto, potremo redigere anche i documenti atti a REGOLARE LE PROCEDURE INTERNE ( lista dei programmi autorizzati da installare nei computer desktop e portatili, tipologie di analisi da compiere regolarmente, corrette procedure per la rimozione dei virus, utilizzo della rete wifi per i dispositivi mobili, manale da consegnare al dipendente con tutte le norme da osservare ed i comportamenti corretti per l'uso della sua postazione computer … ). Sarà inoltre possibile stabilire un piano di controllo aggiornamento software costante in azienda, tramite programmi che girano sulla rete interna senza richiedere una successiva consultazione postazione per postazione ( lan inventory scanner ).

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"

Verificheremo se in azienda esistono delle procedure di ripristino dati, sia lato server che lato client sulle singole macchine collegate in rete. Attuare un buon piano di "disaster recovery" significa poter ripristinare i dati aziendali in tempi molto più brevi e fornire così continuità ai vostri servizi.

A seguito della nostra analisi saremo in grado di evidenziare :

a) se il sistema di backup è attivo e se il suo funzionamento è correttamente impostato.

b) se esiste un partizione di "recovery drive" e se è effettivamente possibile il ripristino

Qualora in Azienda non vi fosse ancora un sistema di " backup storage" come richiesto dalla Legge sulla Privacy ( in caso di rottura di un computer, la macchina sostitutiva con i dati di backup dovranno essere ripristinati in tempi brevi, in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati secondo l'art.31 d.lgs.196/2003 ) saremo in grado di offrirvi un sistema di disaster recovery veloce, flessibile e affidabile. Garantiamo la protezione dei vostri dati e la migrazione di sistema per gli ambienti windows. Vi permettiamo di effettuare il backup di tutto quello che si trova in un ambiente windows sia esso fisico o virtuale e di ripristinarlo in qualsiasi altro ambiente (in altri tipi di hypervisor, in ambienti fisici da virtuali o viceversa o nel cloud), indipendentemente dall'hardware della macchina di destinazione.

Vi proponiamo diverse soluzioni di backup dei dati, dalla piccola alla grande azienda :

- BACKUP PER LA PICCOLA ATTIVITA' SENZA SERVER

BACKUP PER LA MEDIA ATTIVITA' o AZIENDA CON O SENZA UN SERVER

BACKUP PER LA GRANDE AZIENDA

BACKUP PER OGNI TIPO DI ATTIVITA' DEPOSITANDO I DATI SU INTERNET

 

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER "INSTALLAZIONI SOFTWARE NON AUTORIZZATE"

Effettueremo un'analisi degli account utente per ogni macchina e stabiliremo quali diritti sono stati attribuiti all'utente. E' buona norma non assegnare diritti di amministratore agli utenti, poichè questa disattenzione permetterebbe loro di installare qualsiasi software senza alcuna autorizzazione.

Eseguiremo un test per verificare il grado di sicurezza della postazione per controllare che il dipendente non possa eseguire programmi stand-alone che non richiedono installazioni, ma che possono influenzare comunque il rendimento della macchina, ridurre le risorse di rete, violare codici e comportamenti o contravvenire alle normative vigenti.

Controlleremo che non siano possibili la riproduzione o la duplicazione di programmi informatici aziendali ai sensi delle Legge n.128 del 21.05.2004

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"

Le nuove tecnologie garantiscono un veloce scambio di informazioni su supporti di ogni genere. L'uscita di informazioni sensibili o riservate dalle aziende è un fenomeno in crescita per il quale occorre prendere dei provvedimenti.

Controlleremo lo stato di sicurezza della vostra azienda relativamente :

a) all'uso dei cdrom / dvdrom e presenza di software di masterizzazione installati sulle macchine o comunque avviabili, come file eseguibili stand-alone, anche senza installazione autorizzata.

b) all'utilizzo dei device USB. Se richiesto possiamo fornirivi soluzioni avanzate per proteggere tutti i dispositivi usb aziendali con sistemi di criptazione dei dati e password di accesso che rendono inutilizzabili i device usb su computer esterni, non aziendali. Durante l'analisi vi potremo fornire anche informazioni su quali dispositivi usb sono stati inseriti nelle varie macchine e incrociando i dati evidenziare il passaggio di dati tra utenti con una lista che vi fornirà non solo il modello del dispositivo ma anche il numero di serie e la data completa di orario nel quale è stato utilizzato per l'ultima volta su ogni computer.

c) all'utilizzo di sistemi di archiviazione online di dati. I dipendenti a vostra insaputa potrebbero utilizzare servizi di scambio files o archiviazione files online su spazi personali, che metterebbero in serio pericolo la vostra azienda. Qualsiasi dato aziendale così condiviso potrebbe : essere visibile pubblicamente, violare le leggi sulla privacy, costituire un pretesto da parte del dipendente per rivendicare sui documenti archiviati eventuali proprietà intellettuali sui progetti o beni aziendali essendo questi files nel suo spazio privato online, violare contratti commerciali, violare clausole di riservatezza.

d) all'utilizzo di sistemi di connessione da remoto. Esistono oggi decine di sistemi o applicazioni anche per smartphone che permettono la connessione da remoto e la condivisione di files da remoto. Il vostro dipendente potrebbe connettersi alla sua postazione desktop anche senza vpn e prelevare importanti informazioni aziendali protette.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"

I computer aziendali delle marche più prestigiose come HP, Compaq, Sony vengono sempre più spesso forniti di software in bundle, ovvero software già preinstallato con sistemi di criptazione dati che permettono all'utente administrator della macchina di rendere impenetrabile l'accesso alle informazioni contenute nel suo computer. Eventuali attivazioni di queste modalità da parte dall'utente ( che agisce in autonomia per il fatto che gli è stato lasciato diritto di administrator), oltre a non permettere l'accesso ai dati da parte dell'IT costituisce un problema nell'eventualità di controversie legali poichè l'accesso ai files personali dell'utente, in sede penale, viene richiesto dal giudice. Questo non significa che i sistemi di criptazione non debbano essere attivati in azienda. Al contrario sono fondamentali per preservare la segretezza delle informazioni ma devono essere gestiti solo ed esclusivamente dal reparto IT aziendale, e ne consegue l'importanza della formazione da fornire agli utilizzatori.

Come affrontato nel punto precedente 4) al comma c) per evitare occultamento delle informazioni aziendali occorre sempre verificare che non siano presenti nelle macchine aziendali sistemi di archiviazione esterni online non autorizzati.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"

Esistono diversi fattori che portano alla contaminazione di un computer e la presenza di un buon antivirus non è sufficiente per ritenersi sicuri.

Nella nostra analisi :

a) verificheremo che il programma antivirus da voi scelto sia efficace nella individuazione di virus e malware.

b) Analizzeremo i files di log dell'antivirus alla ricerca delle ultime rilevazioni

c) controlleremo che l'aggiornamento delle firme antivirus venga eseguito con regolarità

d) analizzeremo tutti i programmi utilizzati per la navigazione online e le loro impostazioni alla ricerca di eventuali mancanze o "buchi di sicurezza".

e) controlleremo le impostazioni di connessione protetta per la sicurezza delle transazioni bancarie effettuate dalla vostra azienda

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"

Viviamo nell'epoca dei Social Network ed il tempo a loro dedicato può costituire un problema per la produttività aziendale.

Nella nostra analisi verificheremo che gli utenti non abbiamo installato, senza autorizzazioni, programmi di connessione ai social network, alle chat, per le chiamate tramite internet, per utilizzare sistemi di condivisione files e scaricamento di films.

L'utilizzo in particolare dei programmi di condivisione files e scaricamento di films riducono notevolmente le risorse aziendali, diminuendo l'ampiezza di banda e abbassando così la velocità di navigazione e l'accesso ad internet di tutta l'azienda.

E' risaputo che la presenza di un Proxy Server risulta fondamentale per regolare il traffico internet e fare il caching delle pagine, ma nonostante sia presente in quasi tutte le realtà aziendali più grandi, la sua configurazione è errata nel 75% dei casi.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"

Relativamente all'analisi dei fattori di rischio legati all'accesso non autorizzato ai dati dell'utente verificheremo che :

a) siano attive le policy di sicurezza aziendale relativamente all'utilizzo delle password.

b) siano attivi gli screen saver e impostate le loro password per proteggere le postazioni durante le assenze dell'utente.

c) sia rispettato il tempo del cambio delle password di dominio sia per gli account utente che administrator

d) siano configurati correttamente wlan e i dispositivi wifi associati.

e) in caso di furto dei computer portatili aziendali, dei dispositivi mobili o dei device usb, sia presente un sistema di protezione che impedisca l'accesso ai dati aziendali, a persone che non siano i vostri dipendenti.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

Le domande che vi porremo e approfondiremo sono le seguenti :

a) In azienda viene osservata la policy sulla privacy ed in particolare se vengono trattati dati sensibili è stata fatta la comunicazione (Notifica) al Garante della Privacy relativa al trattamento dei dati ?

b) I sistemi di video sorveglianza o di monitoraggio dei dispositivi/mezzi aziendali, se sono presenti, osservano tutte le norme in materia e tutelano correttamente la privacy delle persone coinvolte ?

c) E’ presente in azienda un inventario di tutte le banche dati gestite da un utente? Le ricordiamo che occorre conoscere ai fini della policy sulla privacy la tipologia/finalità/definizione del trattamento (individuazione dei dati trattati, come vengono gestiti e perché)

d) Esiste una restrizione fisica per l’accesso ai locali ove sono contenuti i dati della direzione aziendale o del server aziendale (porta chiusa a chiave, badge magnetico, etc.) ?

e) L’azienda sta portando avanti una formazione periodica agli incaricati del trattamento dei dati in tema di Privacy e Sicurezza Informatica ? (la legge prevede una formazione obbligatoria e periodica)

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]