Dodecalogo per le PMI

Allen Scott di F-Secure ha pubblicato un elenco di dodici punti per migliorare la sicurezza delle PMI.

Alcune regole sono state illustrate anche in altri articoli di questo blog; l’elenco che segue le raccoglie in maniera organica a beneficio di chi vuole realizzare una checklist.

  1. Aggiornare. Sempre, comunque, senza se e senza ma. Quando viene pubblicata la vulnerabilità di un software, l’azienda che lo produce fa di tutto per correggere e distribuire le patch perché tutti sanno che sono le vulnerabilità con la più alta probabilità di attacco. Questi sforzi vengono vanificati da chi ignora gli avvisi di aggiornamento e ritiene che non sia il caso di aggiornare. Alcune volte non si aggiorna perché un altro software potrebbe avere problemi o perché un tema o un plugin non supportano le nuove versioni del CMS. Forse è meglio togliere di mezzo gli ostacoli in maniera programmata piuttosto che mantenere le vulnerabilità e dover gestire un’emergenza derivata da un attacco.
  2. Togliere di mezzo Windows XPÈ un sistema operativo vecchio che ha più di 12 anni scritto quando il malware era opera di hobbisti e la sicurezza non era il problema principale di un sistema operativo. XP sta diventando una bomba ad orologeria che potrebbe esplodere fra un paio di mesi. Lasciarne anche uno solo in rete vanifica gli sforzi di aver sostituito tutti gli altri, come mettere le inferiate a tutte le finestre tranne una. Che telefono cellulare utilizzavate nel 2001? 
  3. Proteggere anche i dispositivi mobili. Che siano forniti dall’azienda o che siano BYOD, i dispositivi mobili sono diventati uno strumento di lavoro e, come tali, vanno protetti. Nessun sistema mobile è esente da attacchi, siano essi software o hardware; anche se si protegge il telefono con un PIN è possibile sbloccarlo facilmente senza hardware per l’indagine forense.
  4. I backup devono essere offline. Che si utilizzi la sincronizzazione su un NAS o un servizio online, esiste il rischio che un malware o il furto di credenziali distrugga tutti i dati. Per funzionare bene un backup deve essere salvato su un supporto scollegato e spento (tranne nei momenti della copia, ovviamente). Si deve tornare ad un lavoro interattivo per fare i backup, lavoro che nessuno vuole mai fare perché è una responsabilità e si tende a procrastinare, ma la garanzia della continuità è uno degli scopi per cui un’organizzazione assume personale IT.
  5. Aggiornare l’antivirus. Non solamente le definizioni, ma anche il programma. Le aziende che producono antivirus aggiornano anche i programmi. Molto spesso gli aggiornamenti di versione devono essere fatti in maniera manuale o comunque non seguono la stessa strada degli aggiornamenti delle definizioni. Se non si è iscritti alle newsletter del proprio fornitore di antivirus, è bene consultare periodicamente il sito per controllare se sono disponibili aggiornamenti del software o bollettini tecnici.
  6. Mettere in sicurezza anche gli ambienti virtuali. Innanzi tutto le snapshot non sono un backup. Anche gli hypervisor devono essere aggiornati, specialmente se sono esposti a Internet. Le aziende che hanno un solo host con più macchine virtuali sono quelle più a rischio perché raramente si decide di aggiornare il software di virtualizzazione sia perché comporta un fermo sia perché se l’aggiornamento non va a buon fine ci si può ritrovare con il sistema informativo offline per ore. Anche chi ha soluzioni con host multipli e storage condivisi preferisce rimandare o è costretto a farlo in quanto l’azienda non ha rinnovato i contratti di abbonamento al software. Gli ambienti di virtualizzazione sono oramai i pilastri su cui si reggono le infrastrutture IT e devono essere mantenuti aggiornati.
  7. Attenzione a dove aprite i dispositivi mobili. Più volte mi è capitato in treno o in aereo di leggere le mail, le relazioni e i fogli di Excel della persona che sta davanti o in fianco a me. Nomi cifre, budget, contatti, pianificazioni… tutto disponibile al vicino. Lavorare in mobilità durante il viaggio da/per l’ufficio è comodo, ma pone dei rischi. Per minimizzare questi problemi esistono i privacy screen per i portatili, molto poco intrusivi e altrettanto efficaci.
  8. Mettere in sicurezza il Wi-Fi. Posto che usare il Wi-Fi per il normale lavoro in ufficio non è una bella idea, le reti wireless di un’organizzazione dovrebbero essere protette con il massimo livello di sicurezza consentito dalla tecnologia (qualcuno ha detto WEP?) magari senza appendere le password dappertutto. Il Wi-Fi non è sicuro, se lo si vuole offrire agli ospiti è meglio che sia su un altro network firewallato rispetto alla LAN oppure, ancora meglio, su una linea ADSL low cost dedicata, in modo tale che se arriva un ospite con un PC infetto non manda in blacklist gli IP dell’azienda. Se si deve utilizzare il Wi-Fi per l’accesso in LAN,una buona soluzione sarebbe di far connettere i client via VPN cifrata trasportata dal Wi-Fi; alcune soluzioni proprietarie usano questo sistema, ma lo si può realizzare anche con OpenVPN con gli stessi livelli di sicurezza e con il vantaggio del software open.
  9. Password. Qui si potrebbero scrivere megabyte di testo senza esaurire l’argomento. Le buone norme sono note a tutti, bisogna solamente farle rispettare e, soprattutto, istruire gli utenti in merito al valore della password sia per l’organizzazione sia per l’utente stesso.
  10. Non sottovalutare il valore delle informazioni. Spesso le piccole realtà sottovalutano l’importanza dei dati che trattano e si trasformano nell’anello debole della catena che permette un attacco mirato. I contatti dei clienti di un notaio, le planimetrie CAD di uno studio tecnico, i dati di uno studio medico, l’elenco degli alunni di una scuola sono tutte informazioni salvate su computer il cui livello di protezione è spesso scadente anche per mancanza involontaria di consapevolezza da parte di chi li tratta. Una fuga di informazioni  in uno studio professionale potrebbe avere una grave ricaduta di immagine sul professionista e potrebbe esporlo a cause giudiziarie da parte delle vittime.
  11. Addestrare le persone. Anche se si tende a dire “il computer sbaglia” è spesso l’utente quello che commette l’errore. Le persone costituiscono la parte più vulnerabile in un contesto di sicurezza e i malviventi lo sanno benissimo. Le persone che gestiscono i dati importanti per un’organizzazione (inclusi, soprattutto, i manager) devono ricevere periodicamente un addestramento sulla sicurezza informatica. Non si può pretendere che un dipendente sia responsabile di qualcosa senza un minimo di addestramento, né si può pretendere che sia informato sugli ultimi attacchi di phishing solamente perché sa utilizzare la posta elettronica. Un’organizzazione con del personale consapevole è un bersaglio molto più difficile.
  12. Accettare gli incidenti. Capita a tutti che il telefono vada perso o sia danneggiato irreparabilmente. Ogni dispositivo mobile dovrebbe essere cancellabile da remoto; i portatili dovrebbero utilizzare dei sistemi di cifratura del disco, sia essa totale o relativa alle sole aree dati. Sono incidenti che possono capitare e capitano anche alle persone più diligenti.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

14 pensieri riguardo “Dodecalogo per le PMI”

  1. Ciao Luigi,
    bell’articolo. Aggiungo che oggi giorno utilizzare la disk encryption è molto più facile che in passato. Non conosco bene il Bitlocker di Windows, ma FileVault su Mac è oramai stabile da anni, e facilissimo da configurare. Inoltre, la scusa delle prestazioni che scadono terribilmente, con i sistemi di ultima generazione non regge più: Intel ha da anni l’accelerazione AES in hardware sui suoi processori, e coi dischi SSD le attività di encrypt-decrypt “on the fly” sono assolutamente fattibili, e non si avvertono.
    Sono anche da qualche mese possessore di un “privacy screen” di 3M, anche questo è un utile strumento, specie per chi è spesso in giro su mezzi pubblici come treni o aerei. C’è sempre quello che ti guarda cosa stai facendo, e anche se non si ha nulla di segreto o particolarmente sensibile, anche solo impedire di farsi sbirciare sulle proprie cose è un bene.

  2. Quasi ogni punto di questo ottimo elenco di cose da fare si scontra contro quello che ad oggi e` il problema fondamentale di ogni piccola impresa in italia: NON CI SONO I SOLDI. Non ci sono i soldi per pagare i fornitori, non ci sono i soldi per pagare i dipendenti. E` inutile che io, consulente IT (pagato con un anno di ritardo) vada in giro a dire che dobbiamo aggiornare, comprare, rinnovare.

    1. Dipende sempre dal valore che si da alla protezione dei propri dati: chi non investe nulla è perchè non ci tiene particolarmente, almeno io la vedo così. I budget, ristretti o meno, ci sono sempre stati e sempre ci saranno, altrimenti una qualsiasi attività a scopo di lucro non va avanti.
      Semplicemente, ognuno decide di prioritizzare alcune attività rispetto ad altre, se il budget non basta per farle tutte. Ho clienti che spendono milioni per torni e frese automatiche, e poi i loro progettisti CAD usano computer dell’anteguerra, per poi lamentarsi che i progetti non avanzano. Altri invece che l’hanno capita spendono magari un pò meno per le presse, e dotato i loro dipendenti di strumenti utili.

      Esempio di vita reale: c’è chi preferisce spendere 3000 euro per un antifurto in casa, e chi invece si fa derubare oggetti in casa che sommati valgono di più dell’antifurto. Chi dei due ha fatto l’affare?

  3. Concordo con Luca.

    Ogni configurazione ICT deve essere bilanciata. Usare un lucchetto da 100 EUR per proteggere una bicicletta da 50 EUR non ha senso, ma il cliente deve essere consapevole (consapevole, non obbligato) di quelli che sono rischi, costi e benefici, poi sara’ lui a fare le scelte, ma saranno quantomeno informate. Del resto i soldi sono i suoi.

    Uno puo’ leggere quanto sopra e decidere di usare Windows XP per altri due anni con AVG 8.0, outlook express, Office XP, Java 1.6, Acrobat 7.0 e nessun backup. Affari suoi, ma se po gli arriva un Cryptolocker che lo rade al suolo urlera’ come un’aquila contro il consulente IT solo perche’ sa benissimo che ha rimandato e si vuole sfogare con qualcuno. Ma lui sara’ il primo a sapere di essere quello che ha rinviato delle scelte (e ne risponde lui).

    1. Java 1.6, se usi i software dell’Agenzia delle Entrate, è semplicemente obbligatorio (chiedi a qualunque commercialista) e addirittura Entratel si pianta se trova una versione che vada oltre la 1.6.0.26.
      Tenendo conto che hanno i dati fiscali di tutti, ho i brividi ogni volta che ci penso

      1. Pero’ c’e’ mai stato anche UN SOLO professionista che abbia segnalato la cosa all’Agenzia tramite un ticket, una PEC o un salcielo cosa?

        Qualcuno si e’ mai lamentato?

        Quando un fornitore di un programma di contabilità (WKSI per non fare nomi) mi ha “suggerito” un antivirus “che non ha problemi con il software” facendo dei domi di antivirus fetenti gli ho detto “me lo metta per iscritto e me lo firmi e io installo l’antivirus, se il cliente si becca un virus lei e’ responsabile”. Fine dei “suggerimenti”.

  4. Ho visto solo pochi giorni fa un Bancomat dell’Unicredit che si stava riavviando quando ho visto il logo di windows xp avrei voluto ritirare tutti i miei soldi…

      1. Il problema e` quanti di questi sono in qualche modo connessi ad Internet. Sospetto che sia una percentuale piccola ma non banale…

        1. Non serve essere connessi a internet per essere attaccati.

          Circa 10 anni fa 17.500 uffici postali sono stati messi KO da SLAMMER e nessuno di loro era connesso a Internet all’epoca dei fatti.
          Le centrifughe iraniane non erano connesse a Internet, ma STUXENT le ha fatte fuori.

          Sai le risate se qualcuno che conosce l’hardware di (uno a caso) Diebold riesce a trafugare una cosa simil-STUXNET nel circuito dei bancomat e schedula un comando tipo while(0) {eroga_banconota();}

          1. Le centrifughe iraniane che si rompono per colpa di STUXNET non sono un problema. O quantomeno non sono un problema mio. Anzi, per molti versi e` meglio se gli si rompono.

            Si puo` discutere delle Poste… in un mondo perfetto, quello sarebbe un problema del CIO che viene licenziato e portato in giudizio per danni, pero` non viviamo in un mondo perfetto.

            Il PC del cretino che non usa antivirus, non usa firewall, non aggiorna il sistema, e tiene XP dopo l’8 aprile e` un problema anche mio. Perche’ quel PC entra subito in un botnet.

            Quindi inizia a fare cose simpatiche come spedire mail per conto degli spammer, fare DDoS verso siti che magari avrei piacere di usare, fa arricchire organizzazioni criminali, e cosi` via. Quindi e` un problema di tutti. Questo e` il problema di cui parlavo.

            (mi verrebbe quasi da dire “entra subito in uno o piu` botnet”, ma per fortuna si fanno la guerra fra loro)

          2. Dimenticavo: se uno sua roba Diebold, si merita pienamente che il suo bancomat venga svuotato e le sue elezioni siano truffaldine

Spazio per un commento