
Sicurezza informatica
Controllare una rete informatica vuol dire ottenere sicurezza. Sicurezza intesa come corretta gestione dei flussi delle informazioni aziendali, identificando le persone che hanno accesso alle stesse in tempi e metodi. Prerequisito è un equilibrio tra le competenze ed i diritti di accesso. Competenza e diritti sono caratteristiche di ciascun utente/ruolo.
VALORE DEL SISTEMA INFORMATIVO:
Il nostro sistema informativo contiene gran parte del patrimonio di conoscenze, di contatti, di esperienza della nostra azienda: pensiamo ad esempio a progetti, schemi, contratti di fornitura, contratti di acquisto e a documenti di partecipazione a gare di appalto. L’insieme di queste informazioni nelle mani sbagliate, come possono essere quelle della concorrenza, potrebbero generare un danno.
La quantificazione di questo danno ci permette di stabilire un budget per la gestione del rischio.
HACKERS E COLLEGAMENTI A RETI PUBBLICHE (non solo INTERNET):
Attivando i sistemi di controllo di accesso ai dati otteniamo anche sicurezza contro eventuali malintenzionati della rete. Storicamente gli hackers hanno mandato in crash interi network spesso più al fine di dimostrare in un qualche modo di essere più in gamba del gestore del sistema, che per recarci un danno.
Negli ultimi anni si è assistito ad un cambiamento radicale. La criminalità organizzata ha compreso quali guadagni si possono ottenere tramite il furto di identità oppure approfittando della scarsa competenza dell’utente medio della rete. Viene generata tutta una serie di programmi che autonomamente sono in grado di diffondersi, di carpire informazioni, di ritrasmetterle in aree pubbliche di accesso anonimo.
Quindi poco conta la riservatezza o il valore intrinseco delle informazioni che conserviamo nei nostri sistemi. Già il potersi presentare con una identità reale diversa è esca sufficiente. I software malware, come virus e trojans, sono quanto di più democratico la rete abbia mai prodotto. Attaccano tutto e tutti indistintamente.
FURTI DI DATI DALL’INTERNO (LAN, UNITẢ USB, STAMPE):
La cronaca ormai ha portato alla luce la frequenza della asportazione di grandi quantità di dati dall’interno dell’azienda. Vi è una diffusa confusione sulla proprietà dei prodotti d’ingegno in relazione alle tipologie di contratto che si firmano all’assunzione di personale o con professionisti: solitamente l’azienda li acquista corrispondendo un compenso in denaro, ma ciascuno li ritiene propri. O peggio vi è chi asporta malignamente dati di progetto o contatti commerciali, quali preziose merci di scambio per nuove assunzioni.
Il collaboratore dell’azienda ha generalmente un ciclo di vita caratterizzato da un inizio ricco di aspettative ed entusiasmo per poi muoversi verso la monotonia delle occorrenze quotidiane, per talvolta deteriorarsi verso una profonda insoddisfazione, da cui il disinteresse che genera contrasti.
Il collaboratore, allo stesso tempo, è una risorsa fondamentale e insostituibile. La logica di funzionamento dei sistemi DLP, cioè di quei software preposti ad evitare la perdita/fuoriuscita di dati, deve seguire l’evoluzione dei rapporti.
La proprietà di una azienda o la sua amministrazione in delega vincola se stessa alla tutela del patrimonio proprio anche nella logica della cura di tutti coloro i quali dipendano economicamente dalle sorti dell’attività d’impresa.
LE PERIFERICHE PERSONALI e/o MOBILI (Smartphone, Blackberry, TABLET, Portatili, ecc.):
Questo tipo di periferiche è ormai assai diffuso. Il dipendente, in genere, se ne procura alcuni prima ancora che l’azienda voglia fornirgliene. Ed una volta che li ha li vuole usare. Tipicamente chiede l’accesso alla email aziendale, se non ad intere aree dati o software gestionali (es: CRM). Questo è indubbiamente un vantaggio per l’azienda che estende gratuitamente la reperibilità dei propri lavoratori, ma è intrinsecamente un rischio legato alla scarsa protezione delle apparecchiature personali, spessissimo tanto ricche di software pirati, quanto povere di antivirus e firewall.
COSA SERVE:
Nella maggior parte dei nostri computer o terminali portatili, spesso utilizzati per una minima percentuale delle loro potenzialità, sono già disponibili un insieme di programmi e funzioni che oltre a guidare gli accessi alle aree critiche del sistema, ne rendono possibile una registrazione. La C.I.S. One quindi si propone fondamentalmente di configurare correttamente tali periferiche integrando eventualmente il sistema con software e hardware specializzati nella acquisizione, nella analisi e nella verifica dei dati relativi agli accessi alle aree critiche. Sia quelli riusciti che quelli falliti.
COSA SI PUÒ FARE:
Escludendo il dolo e dando per scontata la buona fede dei nostri collaboratori, rimane comunque necessario aiutarli a non compiere modifiche, cancellazioni o diffusioni involontarie dei dati aziendali. È possibile dare agli utenti diversi livelli di accesso. Ad esempio, si possono concedere diritti solo in lettura al vivo, cioè per la durata del collegamento corrente, oppure obbligare la conservazione dei dati critici, al di fuori dell’azienda, in aree criptate, che diventano inaccessibili anche all’utente stesso dopo un tempo prestabilito dall’ultimo accesso corretto. In altre parole, i dati conservati al di fuori dell’azienda possono avere una “scadenza”. Oltre ad assegnare diritti si può conservare uno storico dell’uso degli stessi. Cioè sapere chi e quando ha avuto accesso ai dati importanti.
UN AIUTO:
Esistono poi software che vedono l’utente in prima istanza come alleato, chiedendogli, fin dagli inizi della sua carriera in azienda, di classificare il grado di riservatezza della documentazione che va a produrre. In base alla classificazione, quindi, il documento sarà o meno accessibile da diverse aree di rete, stampabile o meno e così via. Ciò che il sistema non permette sono le riclassificazioni di grandi quantità di documenti. Quindi se e quando i rapporti si vengono a deteriorare, oppure intervengono occasioni di fuga, ecco che il dipendente stesso si è impedito di generare grossi danni.
RIGORE V/S DIRITTI DELL’UTENTE:
Risulta così garantito il diritto di ogni utente del sistema, indipendentemente dal ruolo ricoperto in azienda, a poter certificare tempi e modi di accesso ai dati chiave. La misura del rigore da applicarsi nel controllo scaturisce dalla analisi della struttura operativa della azienda in relazione alla aggressività della concorrenza. Le tipologie dei dati conservati e la severità dei controlli sono decise insieme alla direzione aziendale, tutto questo nel rispetto dei limiti posti dalla nostra legislazione. Avremo ottenuto il nostro scopo se direttive aziendali, necessità operative e legislazione italiana troveranno la giusta integrazione nel sistema informativo realizzato.
INDAGINI E PERIZIE A VALLE DEL DANNO:
Qui solo un rimando alla descrizione estesa dei servizi peritali da noi forniti.
La C.I.S. One vanta pluriennale esperienza nell’affiancarsi ai committenti per indagini ed auditing per abusi e reati sui sistemi informativi.
“…certezze assolute. No! Certezze non ce ne sono. Se qualcuno ci puntasse una pistola in faccia, probabilmente gli riveleremmo tutte le informazioni in nostro possesso. E quelle ignote … ce le inventeremmo. Almeno finché di tratta di proteggere denari e non vite umane. Questo non significa però che possa essere ritenuto intelligente lasciare su ogni panchina del parco un biglietto da 50 euro, nella speranza di trovarne 100 durante il tragitto inverso. GM.”
