Aliware è consulente sulla sicurezza ed è in grado di
offrire:Analisi
delle infrastrutture esistenti e definizione del
Documento Programmatico sulla Sicurezza.
Installazione e
configurazione di sistemi integrati e non di:
- Antivirus
- Network e Host
Intrusion Detection
- Firewall
- Proxy Server
- VPN Server
- Infrastruttura
Certificati
- Posta elettronica
con crittografia e firma digitale
|
La visione Aliware della
sicurezza
Oggi non è più possibile pensare ad una rete di computer senza
prendere in considerazione gli aspetti relativi alla sicurezza.
Fino a qualche anno fa potevamo limitarci a esaminare il
problema sotto il punto di vista fisico perchè le reti
difficilmente erano accessibili dall'esterno e quindi , specie
nelle piccole reti, l'attenzione si concentrava sull'accesso ai
media (dischi, nastri ecc.) considerando che un qualsiasi utente
per accedere ai dati doveva entrare fisicamente negli uffici.
Non è più così.
Le nostre reti sono accessibili dall'esterno, riceviamo posta
elettronica, accediamo a siti web ed applicazioni esterne, siamo
soggetti ad attacchi virus...
Proteggere una rete non è un concetto molto diverso dalla
protezione di un'area fisica come un'appartamento, un'azienda o
un'auto. Per poter decidere le protezioni da mettere in atto
occorre valutare esattamente il rischio a cui siamo soggetti.
Sicurezza dei dati
I dati trattati dall'infrastruttura IT aziendale devono essere
classificati a seconda della rilevanza che hanno in termini di
sicurezza. Una prima classificazione potrebbe essere, a titolo
di esempio:
Dati pubblici Dati di pubblico dominio. Informazioni commerciali
e di marketing. Prodotti o servizi oggetto dell'attività e
simili. Per esempio dati contenuti sul Web Server pubblico.
Questi dati, proprio per la natura pubblica che hanno, non hanno
necessità di essere protetti dall'accesso in lettura, anzi,
probabilmente devono essere pubblicizzati e resi accessibili ad
un gran numero di persone.
Il rischio riguarda se mai la modifica non autorizzata da parte
di terzi. Molte aziende ricaverebbero un grave danno di immagine
se qualcuno riuscisse a modificare i dati pubblicati sul sito
web istituzionale.
Dati interni Sono dati interni all'azienda e quindi non pubblici
che non hanno una rilevanza strategica e che , se resi pubblici,
non comporterebbero gravi danni all'attività.
Per esempio informazioni ad uso del personale addetto al
marketing.
Dati confidenziali Sono i dati operativi aziendali. Sono
soggetti a vincoli di confidenzialità sia per questioni
operative sia per questioni di "fiducia interna". Per esempio :
i dati relativi alle paghe dei dipendenti sono confidenziali sia
per questioni di mantenimento della riservatezza dei dati del
dipendente, sia per evitare che concorrenti accedano alla
situazione contabile del personale.
Dati segreti Sono la "proprietà intellettuale" dell'azienda ed
in quanto tali devono assolutamente essere classificati con il
massimo livello di sicurezza. Sono rappresentati dai piani
aziendali, dai segreti industriali, dai progetti, formule,
programmi sorgente , hanno spesso un valore commerciale e
possono essere soggetti a furto.
Sicurezza dei servizi
Nell'analisi del rischio occorre considerare anche il livello di
danno che potremmo ottenere dall'interruzione di un servizio.
Per esempio, se un server aziendale di posta elettronica venisse
messo nell'impossibilità di ricevere od inviare posta per alcune
ore, quale sarebbe l'impatto sull'attività aziendale? o ancora ,
se il web server che permette ai nostri clienti di effettuare
acquisti on-line fosse bloccato, quale sarebbe la perdita
economica che ne deriverebbe? In entrambi i casi non avremmo
perso dati, ma saremmo nell'impossibilità di svolgere
correttamente il nostro lavoro.
Identificazione delle minacce
La conoscenza delle tecniche utilizzate più comunemente per
attaccare le strutture informatiche è assolutamente fondamentale
per poter proteggere efficacemente una rete.
Possiamo proteggere una rete da attacchi Denial of Service, da
Trojan Horse, e da ogni altro genere di minaccia in rete, e poi
forniamo username e password ad un'hacker al telefono che si è
presentato come un tecnico del nostro provider che deve
effettuare delle manutenzioni...
La stesura di un piano che coinvolga diversi livelli aziendali,
definisca regole operative e venga reso noto agli utenti interni
anche tramite periodi di formazione è assolutamente
indispensabile.
Raggio di azione del security plan
La rete aziendale richiede diversi livelli di protezione a
seconda del tipo di accesso sulle diverse aree.
Possiamo identificare a titolo di esempio 4 aree di azione: Rete
Locale, Rete Remota, Rete Pubblica e Rete di accesso partner.
La Rete Locale è la porzione di rete il cui accesso è limitato a
personale fisicamente posizionato all'interno dell'edificio
aziendale e quindi soggetto a controlli anche fisici di
identificazione.
La Rete Remota ( o le reti remote) identifica l'insieme delle
risorse che sono accessibili da altre reti della stessa azienda
che sono però situate fisicamente in remoto (per esempio due
reti in due città diverse connesse tramite VPN).
Rete Pubblica è la porzione di rete raggiungibile dalla rete
pubblica che contiene risorse utilizzabili da tutti (Mail
Server, Web Server ecc.).
Accesso Partner è l'area su cui un pubblico limitato (per
esempio aziende partner o clienti con credenziali di accesso)
può effettuare operazioni normalmente non autorizzate ad utenti
non accreditati (consultazione delle giacenze di magazzino,
accesso a documentazioni, richiesta di servizi ecc...).
Il piano di sicurezza attraverso il quale si identificheranno ed
implementeranno i meccanismi di protezione dovrà tenere conto di
ciascuna di queste zone e valutare differentemente il rischio
legato all'utilizzo delle risorse.
|
 |