Allen Scott di F-Secure ha pubblicato un elenco di dodici punti per migliorare la sicurezza delle PMI.
Alcune regole sono state illustrate anche in altri articoli di questo blog; l’elenco che segue le raccoglie in maniera organica a beneficio di chi vuole realizzare una checklist.
- Aggiornare. Sempre, comunque, senza se e senza ma. Quando viene pubblicata la vulnerabilità di un software, l’azienda che lo produce fa di tutto per correggere e distribuire le patch perché tutti sanno che sono le vulnerabilità con la più alta probabilità di attacco. Questi sforzi vengono vanificati da chi ignora gli avvisi di aggiornamento e ritiene che non sia il caso di aggiornare. Alcune volte non si aggiorna perché un altro software potrebbe avere problemi o perché un tema o un plugin non supportano le nuove versioni del CMS. Forse è meglio togliere di mezzo gli ostacoli in maniera programmata piuttosto che mantenere le vulnerabilità e dover gestire un’emergenza derivata da un attacco.
- Togliere di mezzo Windows XP. È un sistema operativo vecchio che ha più di 12 anni scritto quando il malware era opera di hobbisti e la sicurezza non era il problema principale di un sistema operativo. XP sta diventando una bomba ad orologeria che potrebbe esplodere fra un paio di mesi. Lasciarne anche uno solo in rete vanifica gli sforzi di aver sostituito tutti gli altri, come mettere le inferiate a tutte le finestre tranne una. Che telefono cellulare utilizzavate nel 2001?
- Proteggere anche i dispositivi mobili. Che siano forniti dall’azienda o che siano BYOD, i dispositivi mobili sono diventati uno strumento di lavoro e, come tali, vanno protetti. Nessun sistema mobile è esente da attacchi, siano essi software o hardware; anche se si protegge il telefono con un PIN è possibile sbloccarlo facilmente senza hardware per l’indagine forense.
- I backup devono essere offline. Che si utilizzi la sincronizzazione su un NAS o un servizio online, esiste il rischio che un malware o il furto di credenziali distrugga tutti i dati. Per funzionare bene un backup deve essere salvato su un supporto scollegato e spento (tranne nei momenti della copia, ovviamente). Si deve tornare ad un lavoro interattivo per fare i backup, lavoro che nessuno vuole mai fare perché è una responsabilità e si tende a procrastinare, ma la garanzia della continuità è uno degli scopi per cui un’organizzazione assume personale IT.
- Aggiornare l’antivirus. Non solamente le definizioni, ma anche il programma. Le aziende che producono antivirus aggiornano anche i programmi. Molto spesso gli aggiornamenti di versione devono essere fatti in maniera manuale o comunque non seguono la stessa strada degli aggiornamenti delle definizioni. Se non si è iscritti alle newsletter del proprio fornitore di antivirus, è bene consultare periodicamente il sito per controllare se sono disponibili aggiornamenti del software o bollettini tecnici.
- Mettere in sicurezza anche gli ambienti virtuali. Innanzi tutto le snapshot non sono un backup. Anche gli hypervisor devono essere aggiornati, specialmente se sono esposti a Internet. Le aziende che hanno un solo host con più macchine virtuali sono quelle più a rischio perché raramente si decide di aggiornare il software di virtualizzazione sia perché comporta un fermo sia perché se l’aggiornamento non va a buon fine ci si può ritrovare con il sistema informativo offline per ore. Anche chi ha soluzioni con host multipli e storage condivisi preferisce rimandare o è costretto a farlo in quanto l’azienda non ha rinnovato i contratti di abbonamento al software. Gli ambienti di virtualizzazione sono oramai i pilastri su cui si reggono le infrastrutture IT e devono essere mantenuti aggiornati.
- Attenzione a dove aprite i dispositivi mobili. Più volte mi è capitato in treno o in aereo di leggere le mail, le relazioni e i fogli di Excel della persona che sta davanti o in fianco a me. Nomi cifre, budget, contatti, pianificazioni… tutto disponibile al vicino. Lavorare in mobilità durante il viaggio da/per l’ufficio è comodo, ma pone dei rischi. Per minimizzare questi problemi esistono i privacy screen per i portatili, molto poco intrusivi e altrettanto efficaci.
- Mettere in sicurezza il Wi-Fi. Posto che usare il Wi-Fi per il normale lavoro in ufficio non è una bella idea, le reti wireless di un’organizzazione dovrebbero essere protette con il massimo livello di sicurezza consentito dalla tecnologia (qualcuno ha detto WEP?) magari senza appendere le password dappertutto. Il Wi-Fi non è sicuro, se lo si vuole offrire agli ospiti è meglio che sia su un altro network firewallato rispetto alla LAN oppure, ancora meglio, su una linea ADSL low cost dedicata, in modo tale che se arriva un ospite con un PC infetto non manda in blacklist gli IP dell’azienda. Se si deve utilizzare il Wi-Fi per l’accesso in LAN,una buona soluzione sarebbe di far connettere i client via VPN cifrata trasportata dal Wi-Fi; alcune soluzioni proprietarie usano questo sistema, ma lo si può realizzare anche con OpenVPN con gli stessi livelli di sicurezza e con il vantaggio del software open.
- Password. Qui si potrebbero scrivere megabyte di testo senza esaurire l’argomento. Le buone norme sono note a tutti, bisogna solamente farle rispettare e, soprattutto, istruire gli utenti in merito al valore della password sia per l’organizzazione sia per l’utente stesso.
- Non sottovalutare il valore delle informazioni. Spesso le piccole realtà sottovalutano l’importanza dei dati che trattano e si trasformano nell’anello debole della catena che permette un attacco mirato. I contatti dei clienti di un notaio, le planimetrie CAD di uno studio tecnico, i dati di uno studio medico, l’elenco degli alunni di una scuola sono tutte informazioni salvate su computer il cui livello di protezione è spesso scadente anche per mancanza involontaria di consapevolezza da parte di chi li tratta. Una fuga di informazioni in uno studio professionale potrebbe avere una grave ricaduta di immagine sul professionista e potrebbe esporlo a cause giudiziarie da parte delle vittime.
- Addestrare le persone. Anche se si tende a dire “il computer sbaglia” è spesso l’utente quello che commette l’errore. Le persone costituiscono la parte più vulnerabile in un contesto di sicurezza e i malviventi lo sanno benissimo. Le persone che gestiscono i dati importanti per un’organizzazione (inclusi, soprattutto, i manager) devono ricevere periodicamente un addestramento sulla sicurezza informatica. Non si può pretendere che un dipendente sia responsabile di qualcosa senza un minimo di addestramento, né si può pretendere che sia informato sugli ultimi attacchi di phishing solamente perché sa utilizzare la posta elettronica. Un’organizzazione con del personale consapevole è un bersaglio molto più difficile.
- Accettare gli incidenti. Capita a tutti che il telefono vada perso o sia danneggiato irreparabilmente. Ogni dispositivo mobile dovrebbe essere cancellabile da remoto; i portatili dovrebbero utilizzare dei sistemi di cifratura del disco, sia essa totale o relativa alle sole aree dati. Sono incidenti che possono capitare e capitano anche alle persone più diligenti.
Lascia un commento