Questa è la storia di come qualcosa fatto in perfetta buona fede possa diventare un possibile problema di sicurezza.
Un’azienda qualche mese fa rinnova il parco PC, quelli dismessi vengono quarantenati in magazzino.
L’azienda informa che chiunque voglia un PC di quelli dismessi deve pagare una somma a parziale copertura delle spese per cancellare i dati del PC, ma nessuno si fa avanti perché le macchine sono obsolete.
Arriva Natale e un responsabile decide all’ultimo minuto di usare uno di quei PC per fare un regalo ad una persona a cui potrebbe essere utile.
Il responsabile, lo ribadisco: in perfetta buona fede, sceglie il PC che apparteneva ad una delle contabili perché è uno dei migliori tra quelli scartati. La persona porta a casa il PC, ma si blocca perché non conosce la password di accesso al PC e mi telefona. Purtroppo non posso aiutare questa persona per telefono e devo chiedere di portare il PC in azienda.
È, quindi, necessario che ogni organizzazione abbia delle procedure definite per la dismissione di materiale informatico che contenga dei dati, anche se un computer dismesso viene affidato ad una persona a cui non interessa nulla dei dati contenuti.
Chiavette USB e memorie SD o similari: se non più utilizzate perché non funzionanti devono essere distrutte fisicamente. Quelle obsolete devono essere cedute a terzi dopo averle formattate, riempite con dati casuali (o comunque non aziendali) e cancellate o formattate di nuovo.
Le stampanti o multifunzioni che contengono hard disk devono essere opportunamente cancellate prima di portarle all’esterno dell’azienda o renderle al noleggiatore. Queste apparecchiature hanno, di solito una procedura di cancellazione dei dati. Se sono a noleggio, includere nel contratto di locazione la cancellazione dei dati alla fine del contratto.
I dischi dei PC devono essere cancellati prima di cedere il computer. Se non si vuole reinstallare il sistema operativo, procedere come segue:
- cancellare tutti i dati al di fuori dei profili utente;
- disinstallare tutto il software aziendale e quello le cui licenze non sono trasferibili;
- se il PC ha un IP fisso, configurare il DHCP;
- se il PC è in dominio, resettare la password dell’Administrator locale e rimuovere il computer dal dominio;
- cancellare tutti i profili utente;
- cancellare il contenuto di C:\WINDOWS\TEMP;
- creare una directory con dei file grossi senza dati aziendali, come ad esempio le distribuzioni ISO di Linux;
- duplicare la cartella di cui al punto precedente in modo ad averna 2, 4, 8, eccetera fino ad andare in disk full;
- cancellare le copie delle cartelle di cui sopra.
La persona o l’organizzazione che riceve il PC deve essere informata che su quel computer non è attivo l’antivirus.
Sono stati rilasciati gli aggiornamenti dei pacchetti php e php53 di CentOS versione 6 e 5.x rispettivamente.