Software>Lotus notes>Privacy 2004>Come affrontare la privacy e la sicurezza nell'azienda
 
Privacy 2004
Torna al grafico
 

PRIVACY 2004


Affrontare in modo organico la privacy e la sicurezza informatica nella tua azienda.
 
Una disciplina complessa che richiede soluzioni chiare

Oramai ogni Azienda è in possesso di apparecchiature informatiche,programmi,file, archivi,progetti,brevetti,dati e informazioni immagazzinati delle più svariate forme.Tutti questi beni hanno un valore economico che molto spesso non è quantificato.Obiettivo della sicurezza informatica è proteggere tali beni con opportune tecniche;ad ogni bene dovrà corrispondere un livello protezione ed un investimento economico proporzionale al loro valore.

La gran parte delle aziende ha introdotto tecnologie di digitalizzazione dei dati aziendali per poterli archiviare,trasportare,ricercare in modo veloce ed economico.Rispetto a qualche anno fa,gli utenti sono in grado di condividere una maggiore quantità di informazioni e di personalizzarne l'utilizzo con minor sforzo.Per ottenere questo risultato,la maggior parte del software attuale,inclusi i sistemi operativi,i browser web,la posta elettronica e gli strumenti per la messaggistica e la produttività,devono fornire un elevato livello di interconnettività,integrazione e automazione.I dati non sono solo quelli alfanumerici ma oramai fotografie,filmati,file audio o musicali sono immagazzinati quotidianamente e questi occupano sempre più MB o GB degli Hard Disk.

Quantità di Dati Connessi a Internet

2001 1 petabyte (1015 bytes)
2006 1 exabyte (1018 bytes)
2010 1 zettabyte (1021 bytes)

I prodotti a disposizione dell'utente sono sempre più complessi e spesso scritti in linguaggi ad oggetti ad elevata integrazione.
Vediamo ad esempio come sono evoluti i sistemi operativi:
    Microsoft:
  • Windows 3.1 3 Milioni di righe di codice
  • Windows 95 15 " " " " "
  • Windows NT 4 17 " " " " "
  • Windows 2000 35 " " " " "
  • Windows XP 70 " " " " "(stima)

Statisticamente il software contiene errori e vulnerabilità,le stime indicano la probabilità di un errore o vulnerabilità ogni 200 linee di codice.Si pensi pertanto a quanto siano cresciute le opportunità offerte agli hacker di attaccare l'azienda.Le organizzazioni non sono più protette da confini fisici in quanto le reti virtuali hanno reso possibile ad utenti remoti di collegarsi da qualsiasi parte al mondo.La proliferazione di apparecchiature per l'accesso remoto e mobile (wireless, sistemi portatili, telefoni cellulari, PDA, ecc.) e la proliferazione dei prodotti software con la loro sempre maggior sofisticazione rendono molto più complesso il compito degli amministratori di sistema,che devono gestire la sicurezza dell'azienda.

Rendere il futuro meno Nero

Il crimine informatico sperimenta ogni giorno nuove tecniche di attacco che si vanno ad insinuare proprio in queste accresciute vulnerabilità.A queste nuove tecniche seguono nuove versioni dei prodotti di protezione.Così che gli hacker e gli specialisti della protezione sono impegnati in una lotta senza fine.
A quota 60.000 sono arrivati i vari nomi di virus con tutte le loro varianti.
Possiamo concludere che le minacce alla sicurezza sono reali e gravi ed il futuro si presenta nero.
Come bilanciare l'interesse individuale nella privacy con i benefici di maggior velocità,maggior semplicità,maggior condivisione delle informazioni?
E' indispensabile una cultura della Privacy supportata dalla tecnologia e da una nuova organizzazione aziendale!
Tre sono le domande chiave da porsi:
  1. Può oggi un'azienda trascurare tutta questa complessità e non avere un suo piano per la sicurezza?
  2. L'azienda riesce ad avere le competenze e l'organizzazione per dominare il continuo evolvere di tecnologie di attacco e difesa?
  3. I fornitori di sicurezza sono in grado di offrire ai clienti approcci e soluzioni globali così come i problemi richiedono?
Per questo motivo da alcuni anni sia a livello europeo che a livello nazionale sono state fatte una serie di leggi per regolamentare dei comportamenti che potrebbero danneggiare aziende e persone.Ecco appunto che nel giugno 2003 è stata emanata il Decreto Legge n. 196 per meglio interpretare le norme europee e sostituire la legge 675 ancora del 1996.
Secondo la Infotel srl la sicurezza informatica deve essere in grado di fronteggiare le vulnerabilità e le minacce vecchie e nuove e saper dare protezione a qualsiasi livello dell'azienda e contro le innumerevoli minaccie.Le protezioni puntuali sono sempre meno efficaci perciò occorre puntare ad un approccio integrato,pianificato e continuativo.E' nostro parere,che pochi sono in grado di affrontare la sicurezza in quest' ottica,ancora meno i clienti pienamente autonomi.Ciò dipende prevalentemente dalla scarsa disponibilità di skills elevati in una materia così sofisticata e che evolve continuamente.

COSA FARE PER PROTEGGERE L'AZIENDA?
 Inventario dell'architettura informatica: dovrà essere inventariato e aggiornato nel dettaglio l'insieme delle componenti del sistema informatico aziendale:Hardware,Software di base,Rete,Applicazioni Corporate,Software di Comunicazione,Software personale e di gruppo,Files,Data Base, ecc.
Deve anche essere documentata nel dettaglio le architetture con cui le varie componenti sono interconnesse fra di loro.

Classificazione delle informazioni: dovrà essere effettuata una classificazione delle informazioni sulla base della natura e dell'importanza, possibilmente utilizzando metodologie standard.

Individuazione dei punti a rischio:consiste in un'analisi accurata di tutta l'architettura informatica finalizzata ad individuare i punti a rischio e vulnerabilità.Per condurre quest' analisi si possono utilizzare varie tecniche incluso anche la simulazione di attacchi. L'analisi deve essere ripetuta periodicamente.

Definizione degli obiettivi di sicurezza:gli obiettivi sono il giusto compromesso fra il costo del fermo di quell' area logica-tecnologica e il costo del miglioramento del livello di sicurezza.Definizione delle politiche di sicurezza:sono le regole comportamentali degli individui e in particolare del team incaricati al trattamento e alla sicurezza, sia in fase di prevenzione sia in fase di reazione ad un attacco e le regole tecniche che definiscono le soglie d'intervento automatico dei vari dispositivi nonché le soglie d'intevento dell'eventuale sistema di monitoraggio.Le politiche di sicurezza vanno continuamente verificate e aggiornate con una frequenza che è direttamente proporzionale al valore del dato ed alla sua classe d'appartenenza(comuni,sensibili,giudiziari).

Definizione del piano e delle priorità di intervento:per ciascuna classe d'informazioni deve essere definito il livello di rischio e assegnata una priorità d'investimento per migliorare il livello di sicurezza e la priorità d'intervento in caso di attacco.Cosa fare in caso di incidente.

Operazione di emergenza: per aziende multinazionali seguire con la massima attenzione le anomalie gravi e documentare esattamente la natura dell'attacco per i nodi di filiali colpite per prima,se necessario bloccare la rete delle filiali con fuso orario in ritardo e filiali ancora sane.
Tenersi costantemente informati e seguire le istruzioni.Ciò vale in particolare in assenza di un proprio piano d'emergenza.

Piano di escalation: avere sempre a disposizione un piano di reperibilità delle persone tecniche e manageriali del proprio organico IT.Definire la soglia di allarme che richiede di informare il top management.Se non si possiedono le competenze interne avere sempre un contratto con un fornitore di fiducia che preveda interventi urgenti in tempo garantito.Se non si hanno le risorse interne ma si è consapevoli dei rischi è meglio ricorrere ad società di outsourcing della sicurezza.

Regole comportamentali:le policy di sicurezza,se ben dettagliate,devono riportare le regole del "cosa fare se..." e del "chi lo fa....." con quali mezzi,utili in caso di attacco. Aziende che interscambiano prodotti e servizi ad alta sensibilità e criticità con organismi pubblici sono tenute a precise regole che possono prevedere anche la cifratura dei dati e la denuncia alle autorità di polizia.

Figure coinvolte nei processi per la gestione della privacy e sicurezza:Titolare del trattamento,Responsabile del trattamento,Incaricato al trattamento,Incaricato alla gestione delle password,IT security administrator,IT security specialist,IT manager, Security Manager,Amministratore Delegato,Direttore o consulente legale,Consulenti esterni.

GLI OBIETTIVI DELLA SICUREZZA
    La sicurezza informatica deve garantire all'azienda:
  1. integrità.
  2. disponibilità.
  3. riservatezza delle informazioni, anche per rispondere alle normative di legge che la disciplinano.
La sicurezza informatica ha anche alcune significative implicazioni di responsabilità legali.
Il nuovo Codice sulla Privacy emanato con il D.Lgs. 196 nel giugno 2003:prescrive che ogni azienda ha l'obbligo di dotarsi di un Documento Programmatico della Sicurezza che descrive i requisiti minimi di base da cui un'azienda non può prescindere.Il Documento deve essere fatto,verificato e aggiornato annualmente entro il 31 marzo.Il rappresentante legale risponde penalmente dell'ottemperanza alla norma.
Ogni azienda ha l'obbligo di nominare un responsabile del trattamento dati cui competono le decisioni in ordine alle finalità ed alle modalità di trattamento dei dati personali ivi compreso il profilo della sicurezza.

Approccio Infotel srl alla sicurezza:
Gli specialisti Infotel srl Vi potranno consigliare su come comportarVi,sia in fase di progettazione e di reazione ad eventuali attacchi,sia su come rivisitare le applicazioni valutate vulnerabili.
Infotel srl conosce gli impatti che le stesse contromisure possono produrre sull'esercizio e potrà supportarVi nella pianificazione e nell'esecuzione degli interventi.
Infotel srl si avvale della collaborazione di due partner fondamentali:

IBM: uno dei più qualificati specialisti della consulenza globale sulla sicurezza e sui servizi di sicurezza gestita.
Symantec : fornitore di prodotti tecnologici e di soluzioni per la sicurezza.

Infotel srl potrà essere il Vostro fornitore completo di prodotti, soluzioni e servizi per la sicurezza.Infatti unitamente ai suoi partner potrà:

• fornire consulenza per il risk assessment
• sviluppare il vostro piano della sicurezza e il manuale programmatico della sicurezza
• supportarVi nella implementazione della norma
• implementare le soluzioni tecnologiche per aree e per priorità di intervento
• formare il vostro personale
• eseguire gli audit periodici sul sistema di sicurezza e aggiornare il Vostro DPS
• supportarVi nella gestione degli Incident
• gestire in co-sourcing la Vostra sicurezza.

Infotel srl ha innestato la conoscenza delle tecnologie e dei progetti di sicurezza sulle competenze di sviluppo integrazione di Applicazioni e di gestione del loro esercizio.
La nostra missione nella sicurezza è analizzare e comprendere le esigenze,definire il modello e gli obiettivi,implementare l'opportuna soluzione tecnologica e aiutare il cliente a gestirla.

 
 

   
by Italserweb
  
Home Chi siamo Software Servizi Hardware Scaricabili