Analisi dei Rischi Informatici

---

Home » Analisi dei Rischi Informatici

LA POLICY SULLA SICUREZZA INFORMATICA : UNA NECESSITA' PER L'AZIENDA DEL FUTURO

Gli incidenti di sicurezza provocati accidentalmente da personale interno all’azienda sono in aumento. E possono avere un impatto ben più negativo degli attacchi perpetrati in malafede. Ecco cosa emerge dall’ultima ricerca di mercato di RSA, la divisione sicurezza di EMC, commissionata ad IDC. Non esiste una singola soluzione che mitighi le minacce interne ma che sirende piuttosto necessario un approccio complessivo alla gestione del rischio ( come quello che si ha se viene applicata in Azienda una Policy Sulla Sicurezza Informatica ) che soddisfi al meglio il profilo di rischio dell’azienda e garantisca un controllo su tutti i fronti.
Si definisce un nuovo paradigma : "la sicurezza è responsabilità di tutti, non solo degli addetti ai lavori !".
Non è più sufficiente garantire una connessione cifrata (VPN) con l’azienda e una protezione da virus e malware, ma è necessario affrontare temi come la garanzie della riservatezza, dentro e fuori l’azienda, mantenere il controllo del livello di sicurezza di applicazioni e dati ospitati su un cloud pubblico o tutelare l’azienda nel caso di utilizzo di strumenti non pensati per l’utenza aziendale (tablet e smartphones).
I dipendenti intervistati da RSA dichiarano di aggirare spesso il reparto IT per acquistare servizi cloud e lavorare in maniera più efficiente per il "bene dell’azienda".
L’Azienda Moderna ha raggiunto un punto critico in cui ignorare la realtà della spesa per le nuove tecnologie come ad esempio il cloud non è più possibile ( il 23% dei dipendenti in europa ha ammesso di aver acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare i propri dati insieme a quelli aziendali, in modo non autorizzato ).
I responsabili IT devono fare i conti con questa nuova realtà, fornendo la flessibilità che i dipendenti aziendali richiedono ( maggiore velocità nello scambio delle comunicazioni e dei materiali con i clienti e maggiore competitività lanciando una nuova offerta di prodotti e servizi che forniscano un valore aggiunto ) e, al tempo stesso, gestendo tutti i processi in modo sicuro grazie ad una sempre più necessaria introduzione in Azienda di una Policy Sulla Sicurezza Informatica.

In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ? Approfondisci e potremo redigerla per voi !

INTRODUZIONE ALL’ANALISI DEI RISCHI

  1. I programmi utilizzati per l’Analisi dei Rischi non costituiscono alcun pericolo per la rete informatica aziendale e vengono attentamente scansionati alla ricerca di virus prima del loro utilizzo. Tali programmi non richiedono alcuna installazione sulle macchine dei dipendenti e possono essere avviati tramite chiavetta usb su ogni postazione, oppure richiamati da una cartella di rete condivisa che deve essere accessibile da tutte le postazioni aziendali ( modalità consigliata).
  2. La tipologia degli strumenti di controllo impiegati è uso che sia presentata prima alle rappresentanze sindacali (*), se esistenti, anche se ogni cosa viene effettuata nel rispetto dei principi di tutela della persona, delle norme poste a tutela della libertà e dignità dei lavoratore, contenute nella L. n. 300/1970 (Statuto dei lavoratori), ed alla successiva normativa in tema di Protezione dei dati personali (D.Lgs. 196/2003) (2bis). In merito all’ex articolo 4 dello statuto dei lavori, che ora si può leggere come n. 4/2011, si conferma che non viene perseguito alcun illecito relativo ai controlli a distanza poiché  i programmi non vengono installati ma fatti eseguire una sola volta sulla macchina ospite. 

(*) Si sottolinea che azienda avrebbe comunque la facoltà di effettuare l’analisi se è stato concesso ai dipendenti aziendali di avere i diritti di amministratore nelle loro postazioni, diritti che permettono loro  l’installazione o la disinstallazione di programmi senza conferme da parte dei responsabili.

  1. E’ gradito l’accompagnamento durante l’analisi da parte di un vostro responsabile, per raccogliere la firma di ogni dipendente sul modulo preposto ( con orario di inizio e termine dell’analisi ), prima di procedere con l’analisi del suo computer, e per rassicurare ulteriormente i lavoratori sul fatto che non vengono in alcun modo raccolti o visionati file personali, in osservanza dell’art. 29 della direttiva 95/46/CE del parlamento europeo sulla protezione dei dati personali e delle considerazioni ai punti 4,15,22,26,85,87 del REGOLAMENTO (UE) 2016/679.
  2. Facendo effettuare tale analisi l’azienda opera in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90).
  3. Grazie all’analisi dei rischi l’azienda potrà verificare l’eventuale abuso da parte dei dipendenti degli strumenti informatici a loro affidati per lo svolgimento delle loro mansioni, nell’opera di non esporsi al rischio di un coinvolgimento civile e penale in caso di illeciti nei confronti di terzi. L'utilizzo improprio degli strumenti telematici espone ciascuna azienda al pericolo di accessi abusivi da parte di hacker ( Art. 615 bis c.p.), di diffusione di Virus ( Art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e di trasmissione di notizie riservate. Il controllo del datore di lavoro, effettuato tramite l’analisi dei rischi informatici tende, quindi, ad evitare tale coinvolgimento.
  4. L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore, è possibile evidenziare criticità singole (macchine con memoria insufficiente e spazio quasi esaurito) per le quali si auspica un intervento a breve termine ; per il secondo fattore è possibile escludere anomalie hardware come quelle nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor o del pc, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali. Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono di prestare molta attenzione a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione ; 
  5. Grazie all’analisi dei rischi il titolare del trattamento o il responsabile del trattamento è in grado di valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi come richiesto dal REGOLAMENTO (UE) 2016/679 (cosiderazione al punto 83), nel quale si aggiunge che nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
  6. Infine, come si evince dal REGOLAMENTO (UE) 2016/679 ( considerazioni al punto 90 ) è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, (valutazione che l’analisi dei rischi garantisce), per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

TEST ONLINE PER LA SICUREZZA INFORMATICA E ANALISI DEI RISCHI INFORMATICI IN AZIENDA

ESEGUI UN TEST PRELIMINARE ONLINE e VERIFICA SUBITO IL LIVELLO DI SICUREZZA DELLA TUA ATTIVITA' / AZIENDA :


L'analisi dei Rischi informatici in Azienda è volta a evidenziare i seguenti fattori di rischio :

  1. 1) FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"
  2. 2) FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"
  3. 3) FATTORI DI RISCHIO PER "INSTALLAZIONI DI SOFTWARE NON AUTORIZZATI"
  4. 4) FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"
  5. 5) FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"
  6. 6) FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"
  7. 7) FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"
  8. 8) FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"
  9. 9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"

Verificare il corretto funzionamento del parco macchine aziendale è un elemento fondamentale per assicurare continuità al vostro lavoro.

A seguito della nostra analisi tecnica per il riscontro di anomalie informatiche nei computer aziendali saremo in grado di identificare :

a) se tutti i computer analizzati sono liberi da virus ;

b) se vi sono problemi hardware, software o delle periferiche ;

c) se i sistemi antivirus installati sono stati efficienti nel rimuovere i problemi riscontrati. La presenza di chiavi di registro aggiunte da virus o malware, non rimosse dai software anti-contaminazione poco efficaci costituiscono un problema per la stabilità della macchina e generano rallentamenti evidenti nella sua velocità ;

d) se vi sono stati degli arresti o chiusure anomale di programmi che pregiudicano il buon funzionamento del pc o del mac ;

e) una lista delle criticità singole per le quali operare subito provvedimenti. Vi forniremo un elenco dettagliato dei computer per i quali è necessario apportare modifiche hardware

A fronte dei dati che emergeranno, se richiesto, potremo redigere anche i documenti atti a REGOLARE LE PROCEDURE INTERNE ( lista dei programmi autorizzati da installare nei computer desktop e portatili, tipologie di analisi da compiere regolarmente, corrette procedure per la rimozione dei virus, utilizzo della rete wifi per i dispositivi mobili, manale da consegnare al dipendente con tutte le norme da osservare ed i comportamenti corretti per l'uso della sua postazione computer … ). Sarà inoltre possibile stabilire un piano di controllo aggiornamento software costante in azienda, tramite programmi che girano sulla rete interna senza richiedere una successiva consultazione postazione per postazione ( lan inventory scanner ).

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"

Verificheremo se in azienda esistono delle procedure di ripristino dati, sia lato server che lato client sulle singole macchine collegate in rete. Attuare un buon piano di "disaster recovery" significa poter ripristinare i dati aziendali in tempi molto più brevi e fornire così continuità ai vostri servizi.

A seguito della nostra analisi saremo in grado di evidenziare :

a) se il sistema di backup è attivo e se il suo funzionamento è correttamente impostato.

b) se esiste un partizione di "recovery drive" e se è effettivamente possibile il ripristino

Qualora in Azienda non vi fosse ancora un sistema di " backup storage" come richiesto dalla Legge sulla Privacy ( in caso di rottura di un computer, la macchina sostitutiva con i dati di backup dovranno essere ripristinati in tempi brevi, in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati secondo l'art.31 d.lgs.196/2003 ) saremo in grado di offrirvi un sistema di disaster recovery veloce, flessibile e affidabile. Garantiamo la protezione dei vostri dati e la migrazione di sistema per gli ambienti windows. Vi permettiamo di effettuare il backup di tutto quello che si trova in un ambiente windows sia esso fisico o virtuale e di ripristinarlo in qualsiasi altro ambiente (in altri tipi di hypervisor, in ambienti fisici da virtuali o viceversa o nel cloud), indipendentemente dall'hardware della macchina di destinazione.

Vi proponiamo diverse soluzioni di backup dei dati, dalla piccola alla grande azienda :

- BACKUP PER LA PICCOLA ATTIVITA' SENZA SERVER

BACKUP PER LA MEDIA ATTIVITA' o AZIENDA CON O SENZA UN SERVER

BACKUP PER LA GRANDE AZIENDA

BACKUP PER OGNI TIPO DI ATTIVITA' DEPOSITANDO I DATI SU INTERNET

 

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER "INSTALLAZIONI SOFTWARE NON AUTORIZZATE"

Effettueremo un'analisi degli account utente per ogni macchina e stabiliremo quali diritti sono stati attribuiti all'utente. E' buona norma non assegnare diritti di amministratore agli utenti, poichè questa disattenzione permetterebbe loro di installare qualsiasi software senza alcuna autorizzazione.

Eseguiremo un test per verificare il grado di sicurezza della postazione per controllare che il dipendente non possa eseguire programmi stand-alone che non richiedono installazioni, ma che possono influenzare comunque il rendimento della macchina, ridurre le risorse di rete, violare codici e comportamenti o contravvenire alle normative vigenti.

Controlleremo che non siano possibili la riproduzione o la duplicazione di programmi informatici aziendali ai sensi delle Legge n.128 del 21.05.2004

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"

Le nuove tecnologie garantiscono un veloce scambio di informazioni su supporti di ogni genere. L'uscita di informazioni sensibili o riservate dalle aziende è un fenomeno in crescita per il quale occorre prendere dei provvedimenti.

Controlleremo lo stato di sicurezza della vostra azienda relativamente :

a) all'uso dei cdrom / dvdrom e presenza di software di masterizzazione installati sulle macchine o comunque avviabili, come file eseguibili stand-alone, anche senza installazione autorizzata.

b) all'utilizzo dei device USB. Se richiesto possiamo fornirivi soluzioni avanzate per proteggere tutti i dispositivi usb aziendali con sistemi di criptazione dei dati e password di accesso che rendono inutilizzabili i device usb su computer esterni, non aziendali. Durante l'analisi vi potremo fornire anche informazioni su quali dispositivi usb sono stati inseriti nelle varie macchine e incrociando i dati evidenziare il passaggio di dati tra utenti con una lista che vi fornirà non solo il modello del dispositivo ma anche il numero di serie e la data completa di orario nel quale è stato utilizzato per l'ultima volta su ogni computer.

c) all'utilizzo di sistemi di archiviazione online di dati. I dipendenti a vostra insaputa potrebbero utilizzare servizi di scambio files o archiviazione files online su spazi personali, che metterebbero in serio pericolo la vostra azienda. Qualsiasi dato aziendale così condiviso potrebbe : essere visibile pubblicamente, violare le leggi sulla privacy, costituire un pretesto da parte del dipendente per rivendicare sui documenti archiviati eventuali proprietà intellettuali sui progetti o beni aziendali essendo questi files nel suo spazio privato online, violare contratti commerciali, violare clausole di riservatezza.

d) all'utilizzo di sistemi di connessione da remoto. Esistono oggi decine di sistemi o applicazioni anche per smartphone che permettono la connessione da remoto e la condivisione di files da remoto. Il vostro dipendente potrebbe connettersi alla sua postazione desktop anche senza vpn e prelevare importanti informazioni aziendali protette.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"

I computer aziendali delle marche più prestigiose come HP, Compaq, Sony vengono sempre più spesso forniti di software in bundle, ovvero software già preinstallato con sistemi di criptazione dati che permettono all'utente administrator della macchina di rendere impenetrabile l'accesso alle informazioni contenute nel suo computer. Eventuali attivazioni di queste modalità da parte dall'utente ( che agisce in autonomia per il fatto che gli è stato lasciato diritto di administrator), oltre a non permettere l'accesso ai dati da parte dell'IT costituisce un problema nell'eventualità di controversie legali poichè l'accesso ai files personali dell'utente, in sede penale, viene richiesto dal giudice. Questo non significa che i sistemi di criptazione non debbano essere attivati in azienda. Al contrario sono fondamentali per preservare la segretezza delle informazioni ma devono essere gestiti solo ed esclusivamente dal reparto IT aziendale, e ne consegue l'importanza della formazione da fornire agli utilizzatori.

Come affrontato nel punto precedente 4) al comma c) per evitare occultamento delle informazioni aziendali occorre sempre verificare che non siano presenti nelle macchine aziendali sistemi di archiviazione esterni online non autorizzati.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"

Esistono diversi fattori che portano alla contaminazione di un computer e la presenza di un buon antivirus non è sufficiente per ritenersi sicuri.

Nella nostra analisi :

a) verificheremo che il programma antivirus da voi scelto sia efficace nella individuazione di virus e malware.

b) Analizzeremo i files di log dell'antivirus alla ricerca delle ultime rilevazioni

c) controlleremo che l'aggiornamento delle firme antivirus venga eseguito con regolarità

d) analizzeremo tutti i programmi utilizzati per la navigazione online e le loro impostazioni alla ricerca di eventuali mancanze o "buchi di sicurezza".

e) controlleremo le impostazioni di connessione protetta per la sicurezza delle transazioni bancarie effettuate dalla vostra azienda

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"

Viviamo nell'epoca dei Social Network ed il tempo a loro dedicato può costituire un problema per la produttività aziendale.

Nella nostra analisi verificheremo che gli utenti non abbiamo installato, senza autorizzazioni, programmi di connessione ai social network, alle chat, per le chiamate tramite internet, per utilizzare sistemi di condivisione files e scaricamento di films.

L'utilizzo in particolare dei programmi di condivisione files e scaricamento di films riducono notevolmente le risorse aziendali, diminuendo l'ampiezza di banda e abbassando così la velocità di navigazione e l'accesso ad internet di tutta l'azienda.

E' risaputo che la presenza di un Proxy Server risulta fondamentale per regolare il traffico internet e fare il caching delle pagine, ma nonostante sia presente in quasi tutte le realtà aziendali più grandi, la sua configurazione è errata nel 75% dei casi.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"

Relativamente all'analisi dei fattori di rischio legati all'accesso non autorizzato ai dati dell'utente verificheremo che :

a) siano attive le policy di sicurezza aziendale relativamente all'utilizzo delle password.

b) siano attivi gli screen saver e impostate le loro password per proteggere le postazioni durante le assenze dell'utente.

c) sia rispettato il tempo del cambio delle password di dominio sia per gli account utente che administrator

d) siano configurati correttamente wlan e i dispositivi wifi associati.

e) in caso di furto dei computer portatili aziendali, dei dispositivi mobili o dei device usb, sia presente un sistema di protezione che impedisca l'accesso ai dati aziendali, a persone che non siano i vostri dipendenti.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

Le domande che vi porremo e approfondiremo sono le seguenti :

a) In azienda viene osservata la policy sulla privacy ed in particolare se vengono trattati dati sensibili è stata fatta la comunicazione (Notifica) al Garante della Privacy relativa al trattamento dei dati ?

b) I sistemi di video sorveglianza o di monitoraggio dei dispositivi/mezzi aziendali, se sono presenti, osservano tutte le norme in materia e tutelano correttamente la privacy delle persone coinvolte ?

c) E’ presente in azienda un inventario di tutte le banche dati gestite da un utente? Le ricordiamo che occorre conoscere ai fini della policy sulla privacy la tipologia/finalità/definizione del trattamento (individuazione dei dati trattati, come vengono gestiti e perché)

d) Esiste una restrizione fisica per l’accesso ai locali ove sono contenuti i dati della direzione aziendale o del server aziendale (porta chiusa a chiave, badge magnetico, etc.) ?

e) L’azienda sta portando avanti una formazione periodica agli incaricati del trattamento dei dati in tema di Privacy e Sicurezza Informatica ? (la legge prevede una formazione obbligatoria e periodica)

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]