Policy di sicurezza del sistema informativo aziendale

La sicurezza di un sistema informativo aziendale, e più in generale la sua salute, è strettamente correlata al comportamento e alle abitudini dei suoi utenti ed a quanto gli stessi si attengono alla policy di sicurezza.
Sono questi che, ognuno per il proprio ruolo, dall’amministratore all’operatore di data entry, ne determinano la sopravvivenza e contribuiscono alla tutela dell’investimento.
Investimento che include la costante crescita di informazioni e dati che il sistema andrà a contenere nel tempo.

La policy di sicurezza è il documento che contiene tutto ciò che è proprio del sistema informativo aziendale, la sua struttura, la descrizione tecnica , le regole di utilizzo, ciò che gli utenti possono, e non possono fare e, soprattutto, modalità e linee guida per la gestione e l’utilizzo dei software ed accessi agli stessi.

Questo oltre a dettagliate istruzioni relative al ripristino dell’operatività in caso di interruzione del servizio.
Sono parte della policy sicurezza, infatti, i piani di emergenza come il Disaster Recovery Plan, che vedremo, considerata la complessità, in un articolo completamente dedicato all’argomento.

In fine, ma da ricordare, è bene dire che non esiste un versione finale e completa di questo documento. La policy di sicurezza è qualcosa da rivedere costantemente.
Il fatto che non sia accaduto nulla di deleterio al sistema che proteggiamo non è un indicatore della bontà del piano di sicurezza. Questo valore emergerebbe solo in caso di tentativi di accesso non autorizzati o gravi danni strutturali a parti del sistema.

Pensare di aver raggiunto il massimo della sicurezza è la prima debolezza di un sistema informativo.

Logging

L’attività di logging, ovvero la registrazione di qualsiasi proprietà del sistema, sia essa hardware, sia software, che modifichi nel tempo il proprio stato o valore iniziale, è uno strumento assai utile per la capire cosa sta succedendo nel sistema nel momento in cui succede.
Oltre a poter capire, in caso di un attacco informatico, quale accesso è stato preso di mira e quindi provvedere ad una opportuna protezione.

I livelli di dettaglio delle registrazione dei dati relativi al logging, in genere, sono da stabilire in funzione del livello di rischio al quale il sistema potrebbe essere esposto.
Molto spesso questo parametro è dettato dalla tipologia di dati che il sistema custodisce.

L’importanza del corretto dimensionamento della profondità di logging si rifletterà sulle quote di storage di cui il sistema dispone.
Sino a determinare variazioni sui costi di gestione.

Audits regolari

Accumulare interi gigabyte di logs servirà a ben poco se non investiamo tempo in una accurata analisi di questi dati, o se manchiamo di assicurarci che le policy indicate nel documento vengano rispettate.

La pianificazione di audit ciclici è uno dei punti chiave di una protezione efficace del sistema informativo.

Dall’analisi del logging possono scaturire diversi aspetti sui quali porre attenzione durante le fasi di audit.
Per buona che sia la situazione iniziale di un sistema informativo aziendale, il risultato di un audit deve soltanto migliorarla, senza però irrigidire i processi funzionali in atto.

Sebbene gli audits sul sistema informativo aziendale prevedano processi standard e metodologie ritenute efficaci, è sempre opportuno comprendere le singole realtà sulle quali si opera.
Riferirsi a testi basati sulle best experiences è un ottimo punti di partenza, ma si riuscirà ad essere proficui e portatori di valore aggiunto solo con intuito e idee fuori dall’orizzonte conosciuto.

Patch Management e software update

Le aziende produttrici di software, sia sistemi operativi che applicazioni, rilasciano in continuazione aggiornamenti e patches sui propri prodotti.
In molti casi questa attività frenetica è da attribuirsi a rilasci iniziali prematuri, non sufficientemente testati nelle fasi beta.
Spesso essere presenti sul mercato con un determinato prodotto è prioritario rispetto alla qualità del prodotto stesso.

Moltissimi di questi aggiornamenti vengono rilasciati proprio a fronte di problemi di sicurezza, bugs presenti nel prodotto, che faciliterebbero la vita ad eventuali tentativi di accesso fraudolento.
Molti altri, invece,  riguardano le funzionalità del prodotto che spesso contengono errori funzionali o di compatibilità.

Per entrambi le ragioni specificate, è opportuno, e raccomandato, avere un buon controllo di questo tipo di attività. Spesso le correzioni dei bugs presenti sulle applicazioni e nei sistemi operativi sono frutto di feedback negativi e segnalazioni inviate da clienti a causa di danni subiti.

Sebbene questo tipo di attività siano, oggi, quasi completamente automatizzate, almeno nei sistemi operativi di ultima generazione, è comunque sempre opportuno verificare che l’automatismo preposto faccia correttamente il proprio lavoro.

Naturalmente questi sono benefici riservati a chi utilizza software regolarmente licenziato, il mondo on-line ha fatto si che eventuali software illegali, vengano esclusi dagli aggiornamenti periodici.

Controllo dei Privilegi di accesso

Particolare attenzione va prestata ai livelli di accesso al sistema da parte degli utenti. L’idea è quella di “chiudere tutte le porte per poi aprire solo quelle che servono”.
In altre parole dimensioniamo i privilegi di accesso al sistema informativo aziendale in modo personalizzato, secondo il ruolo che coprirà all’interno dell’organizzazione partendo dal basso.

Il ruoli di operatori e amministratori seguiranno le linee guida suggerite da tipo di sistema operativo in uso.
Solitamente per le utenze di livello alto, esistono template sia del tipo utente che del ruolo (nel caso sia previsto l’utilizzo dei ruoli) proposte dal sistema operativo o suggerite dall’applicazioni che utilizzeremo.

Tuttavia, una volta creati e configurati i profili necessari all’utilizzo ed al controllo del sistema, è buona cosa disabilitare i template con nomi facilmente intuibili, esempio Admin, BackUpOp e via dicendo. Le ragioni son facilmente intuibili.

La sicurezza fisica del sistema

Diverse filosofie hanno preso piede su questo argomento, anche in funzione dell’offerta, sempre più presente anche nel nostro paese, delle piattaforme cloud.
Un’azienda ha almeno tre possibilità di risolvere il problema della sicurezza fisica del proprio sistema :

A – Proteggere il core del proprio sistema in house attraverso l’allestimento di una servers room che preveda tutte le attenzioni del caso come, controllo accessi, sistema di allarme intrusione ed anti incendio, presidio notturno di corpi di guardia privati e magari struttura antisismica.
Naturalmente questa opzione prevede tutte le necessità operational in carico all’azienda.

B – Destinare le unità strategiche presso una server farm che offre tutte le sicurezze del caso a canoni relativamente onerosi e quindi provvedere alla connettività necessaria alle unità clients per l’accesso alle informazioni remote in server farm.
Questa soluzione prevede diversi livelli di SLA (Service Level Agreement), potenzialmente potremmo ottenere una protezione del sistema molto vicina al 99,9% a fronte del canone relativo, scaricando così completamente l’azienda da impegni manutentivi in ambiti diversi dal core business.

C– infine, come abbiamo detto all’inizio del paragrafo,  la soluzione che sempre più si sta diffondendo anche nel nostro paese, battezzata CLOUD, e che per molti versi risulta essere simile, da un punto di vista ingegneristico , alla soluzione B.

L’architettura CLOUD, oltre a proteggere gli aspetti fisici del sistema informativo aziendale, offre l’utilizzo e la gestione delle applicazionii, oltre alla loro manutenzione, le procedure di servizio operativo, scaricando così completamente l’azienda da questo tipo di onere.

Questa soluzione ha nel proprio DNA un grosso potenziale di diffusione, tuttavia è ancora di difficile metabolizzazione dalle governance delle grosse aziende.

Network Security

Anche la struttura delle rete e quindi delle sottoreti dell’azienda dovranno essere pensate in funzione della sicurezza, la soluzione più caldeggiata fra gli specialisti di networking, prevede i servers e tutte le unità strategiche indirizzate ad una rete diversa da quella sulla quale saranno indirizzate le unità mobile e fisse degli utenti, sia interni che esterni.

Anche in quest’area del sistema potrebbero emergere criticità nel caso si abbassi la guardia sulla manutenzione delle parti attive, routers e firewalls in testa alla lista.
Esattamente come le unità di elaborazione, i clients e le periferiche in generale, anche questi elementi , che rappresentano i nodi ed i controllori della nostra rete, necessitano di attenzione ai logs  e continui aggiornamenti a fronte dei rilasci di aggiornamenti da parte del costruttore.

I salvataggi dei dati di configurazione di tutti gli apparati di rete sono, nella norma, inseriti nei piani di system backup e sottoposti alla stessa cura.

Gestione dei Backups

I dati e le informazioni sono assets dell’azienda e per questo motivo meritano un trattamento simile a quello delle banconote!!
Esistono diverse correnti di pensiero in tema di data-backup, tuttavia sono convinto, anche per esperienza personale, che la semplicità ed il buon senso aiutano molto ad evitare errori, che in questo ambito sono spesso davvero costosissimi. E’ necessario che la soluzione scelta garantisca il miglior risultato riducendo i rischi al minimo possibile.

Il primo livello di sicurezza dei dati dipende dall’architettura del sistema che contiene le informazioni. La struttura dei sistemi di data storage sono dotati di dispositivi di protezione molto efficaci.
Negli ultimi decenni i sistemi in RAID e MIRRORING hanno dato una grossa mano ai CIO di tutto il mondo. Naturalmente ci riferiamo a tecnologie che attualmente sono in forza presso l’utenza media italiana e non di quanto è in divenire.

Il grado successivo di intervento sulla sicurezza delle informazioni,  prevede il salvataggio dei dati custoditi dal sistema su supporti esterni come digital data cartridge, optical disk e qualsiasi altro sistema affidale consenta la conservazione per periodi medio lunghi in sicurezza.

Se esiste la possibilità di clonare totalmente le parti del sistema su base giornaliera, possiamo ritenerci privilegiati. Molto spesso, però, questo non è possibile per via della mole di dati da salvare, il tempo a disposizione delle operazioni di backup non sarebbe sufficiente.

Sempre in ambito di daily backup, i sistemi virtuali (VMware, MS VirtualPC etc.) offrono qualche vantaggio in termini di tempo in fase di data saving. Mentre sono applicazioni  straordinarie in fase di ripristino degli ambienti di produzione.
Durante le operazioni di salvataggio oltre al salvataggio dei sistemi operativi e dei dati vengono messe in sicurezza anche tutte le macchine virtuali appartenenti alla struttura.

Due dei daily data set  (consecutivi) diventano weekly data set e riposti in luogo diverso da quello ove il sistema risiede per tornare in sede all’arrivo del WDS successivo.
La stessa rotazione si effettuerà per il Monthly Data Backup , prelevato in accordo con eventuali chiusure finanziare dell’azienda ed esiliato sino all’arrivo del successivo.

In questo modo si avrà costantemente la sicurezza di poter ricostruire il sistema informativo aziendale a prescindere da qualsiasi disastro si possa abbattere sulla server farm.
E’ opportuno creare e mantenere congelato un Yearly Data Set, ragionevolmente lo stato del sistema immediatamente successivo al closing finanziario dell’azienda.

Users Training

Il terzo millennio ed il progresso tecnologico relativo hanno molto cambiato il rapporto utente sistema. Ai giorni nostri ogni famigli dispone di un computer connesso ad internet, con il quale nel tempo si prende eccessiva confidenza, sino ad esporsi a rischi e pericoli di cui la rete internet non è scevra.

Questo atteggiamento, che inevitabilmente entra in azienda con l’utente, è decisamente un pericolo per la sicurezza del sistema.
Per questo è importantissimo istruire e sensibilizzare gli utenti, attraverso sessioni mirate alla comprensione del pericolo al quale potemmo esporre il sistema attraverso il cattivo utilizzo di anche un solo tablet aziendale.

Fra gli argomenti più importanti da approfondire con gli utilizzatori del sistema, quello della gestione delle passwords di accesso.
Spesso questo tema rappresenta un vero e proprio tallone d’Achille per la sicurezza, e su questo è importantissimo dedicare tutto il tempo necessario al totale chiarimento delle regole da seguire affinché le password utilizzate siano sufficientemente solide e variate con buona frequenza.

Sicurezza di periferiche e workstation

L’attenzione che si pone alla struttura centrale del sistema, servers etc., dovra necessariamente essere garantita soprattutto ai clients che saranno in uso all’utenza.
La competenza dell’operatore di queste unità sarà certamente elevata nel proprio settore di business.
Mentre sarà molto meno sensibile alla sicurezza di un sistema di cui intravede solo un piccolissima parte, il proprio PC e qualche altra periferica, a seconda del ruolo.

Per questo motivo le attenzioni su software patches, sistemi antivirus e istallazioni non ammesse dalla policy aziendale, devono essere poste al primo posto fra i controlli periodici da effettuare sull’istallato aziendale connesso in rete.

Conclusioni

Questi appunti rappresentano una guida da sviluppare ulteriormente da parte di chi si accinge a revisionare la sicurezza dei sistemi informativi aziendali.
Durante gli anni che ho speso su queste problematiche, non ho mai preso alla lettera testi sacri o guide magiche alle soluzioni facili. Ho sempre privilegiato l’uso del buonsenso con un approccio sempre orientato al di là del sistema di turno.

 

Scarica infografica


 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *