Gli obiettivi di una strategia aziendale devono mirare a garantire le tre funzionalità di base della sicurezza informatica indipendentemente dalle dimensioni dell’azienda: Confidenzialità, Identificazione, Disponibilità.

Si tenga presente, inoltre, che la legislazione italiana ed europea prevedono in merito una serie di adempimenti obbligatori.

 

Nello specifico è necessario almeno:

 

  • Garantire la confidenzialità dei dati, siano essi relativi all’azienda stessa che a terze parti, secondo le disposizioni legislative e gli interessi aziendali, assicurando l’identificazione di chi accede a quali dati ed assets, tramite opportune procedure e sistemi tecnologici
  • Assicurare l’integrità di dati ed assets, implementando procedure organizzative e/o sistemi tecnologici opportuni
  • Assicurare la disponibilità di dati ed assets, tramite procedure ed implementazioni di sistemi di Business Continuity (anche con soluzioni quasi solamente organizzative nei casi più semplici di piccole realtà aziendali) e Disaster Recovery, eventualmente con procedure di backup automatizzate e/o progedure organizzative piuttosto che mediante una vera e propria infrastruttura di storage resilience.

 

La sicurezza ICT dipende inoltre da tre fattori principali: i sistemi, i processi e le persone, in genere in ordine inverso di importanza.

 

  • Le persone devono essere consapevoli di collaborare alla realizzazione degli obiettivi di sicurezza dei dati ed assets aziendali e di terzi, che l’azienda deve gestire in rispetto dei regolamenti etici, legislativi e di business. Gran parte degli incidenti di sicurezza sono dovuti ad errore umano e comportamenti scorretti.
  • I processi organizzativi devono essere strutturati per garantire la realizzazione dei requisiti di Confidenzialità, Identificazione e Disponibilità necessari per ridurre al minimo accettabile i rischi correlati ad un incidente di accesso illegale/improprio a dati ed assets aziendali o di terze parti. Tali processi devono essere chiari, tracciabili e facilmente applicabili.
  • I sistemi tecnologici devono essere adeguati alla strategia di contenimento del rischio, fornendo una importante ma non definitiva barriera contro una parte delle possibili violazioni alle regole di sicurezza. Tuttavia molte soluzioni tecnologiche implementano “di per se” una serie di contromisure che possono aiutare a governare facilmente svariate condizioni che l’utente non esperto non può o non riesce a gestire agevolmente.

 

Tutto ciò premesso, l'intervento ICTsystem si articola nelle seguenti linee guida, servizi ed infrastrutture:

 

 

Security Audit

 

  • Network Helth Check: servzio di base per la rilevazione di vulnerailità nei sistemi e negli apparati di rete. Il servizio consiste nella scansione in locale e/o da Internet dei sistemi ed apparati con strumenti software che rilevano eventuali vulnerabilità dovute a errate configurazioni, carenza di aggiornamenti software/firmware. Di norma vengono utilizzati strumenti Open-Source e Nessus Vulnerability Scanner, su specifico progetto possono essere impiegati altri strumenti commerciali. I risultati vengono elaborati ed eventualmente riverificati con ulteriori test ad-hoc dai nostri specialisti con la collaborazione del cliente per individuare le possibili contromisure ed eventuali errori di impostazione dell’architettura del sistema informativo nel suo complesso. Il servizio è rivolto all’analisi dell’infrastruttura di rete, dei sistemi operativi e delle applicazioni infrastrutturali più diffuse (es.: MS Active Directory, MS Exchange, Lotus, etc.)

 

  • Web Application Vulnerability Testing: servizio evoluto per la rilevazione di potenziali vulnerabilità nelle applicazioni Web-Based. Il servizio consiste nella scansione  con strumenti software, sempre in locale o da Internet, di specifiche applicazioni e della verifica delle vulnerabilità riscontrate. Per i tests di base vengono utilizzati gli strumenti rilasciati da OWASP (Open Web Application Security Project), su specifico progetto è possibile utlilizzare uno o più strumenti commerciali (HP WebInspect, N-Stalker Enterprise, Acunetix Web Scanner). In entrambi i casi i nostri specialisti effettueranno una verifica congiuntamente con il cliente delle reali potenzialità delle vulnerabilità riscontrate per l’emissione del report finale.

 

 

Identity & Access Management

 

  • Infrastrutture di directory services e User Provisioning
  • Controllo accessi (Authentication Services) e strong authentication (One-Time Password, Certificati Digitali)
  • Logging & Auditing degli accessi
  • Single Sign-On

 

 

Networks & Systems Security 

 

  • Protezione della rete: Firewalls, IPS/IDS, Sistemi di protezione multifunzione UTM
  • Virtual Private Networks (IPSEC e SSL VPN)
  • Antivirus ed Anti-Malware
  • Protezione Mail: Antispam, Antivirus, content inspection
  • Protezione della Navigazione WEB: Anti-Malware e URL Filtering
  • Protezione dei Sistemi: Host IPS e Anti-Malware per Worstation e Servers
  • Network Access Control per prevenire l’accesso alla rete da parte di workstation “non compliant”
  • Sicurezza delle reti WiFi
  • Architetture di rete e di sistema fault-tolerant, per garantire la continuità del servizio

 

 

Data Protection

 

  • Data Loss Prevention e Digital Right Management per prevenire la diffusione di dati sensibili
  • Protezione delle worstation mobili
  • Cifratura dei dati su supporti fissi e removibili.