Reading Time: 11 minutes

Definire una politica di sicurezza

I servizi Internet si basano fondamentalmente tutti sullo stesso paradigma.

Ogni servizio è un veicolo per la trasmissione di dati. La natura dei dati trasmessi determina l’interesse degli avversari e la frequenza degli attacchi informatici.

Poiché potenzialmente ogni servizio è vulnerabile , ciascuna azienda deve maturare la propria personale scelta riguardo a Internet provvedendo anche alle eventuali contromisure.

Solo dopo un’attenta analisi delle possibili minacce e dei potenziali vantaggi, è possibile decidere in maniera corretta quale posizione generale meglio si adatta ai bisogni dell’organizzazione.

L’impostazione consigliata è adottare tutte le contromisure adatte per garantire un accesso a Internet controllato, consentendo agli utenti legittimi l’uso dei servizi necessari per lo sviluppo del business e offrendo al tempo stesso accesso a quelle applicazioni e a quei server che sono d’interesse personale (purché non rappresentino un rischio per l’azienda).

Eventuale accesso a servizi non fidati deve essere invece inibito ai propri utenti, sia dall’ufficio sia da casa (per lo meno quando si intende utilizzare un notebook aziendale).

Tale soluzione è quella oggi più realistica.

Non tutti i servizi internet sono, infatti, indispensabili per un’organizzazione e per gli utenti che ne fanno parte; soprattutto non tutti i servizi offrono le stesse garanzie di sicurezza.

Senza dover rinunciare integralmente all’enorme numero di servizi e server attivi su Internet pubblica, è oggi possibile realizzare un accesso controllato alla rete mantenendo, al tempo stesso, un adeguato livello di sicurezza globale.

È compito di ogni organizzazione stabilire la lista dei servizi da abilitare e stabilire quali meccanismi di controllo e protezione attivare.

Considerata la vastità del problema, è indispensabile arrivare alla definizione di una “visione generale”, piuttosto che pensare a regolamentare i singoli aspetti di security su base individuale.

Questo si traduce nella necessità di definire una “politica di sicurezza” complessiva, che definisca le linee guida che l’organizzazione intende seguire, nei confronti di tutti gli aspetti relativi alla sicurezza informatica.

Tali linee guida devono essere coerenti con le altre regole di comportamento interne alla organizzazione.

La disciplina dell’Internet Security rappresenta solo una componente di questa politica generale.

La politica di sicurezza di ciascuna organizzazione si articola su vari livelli. Al suo interno è necessario inserire innanzitutto un programma generale, allo scopo di definire tutti gli aspetti rilevanti la sicurezza.

Deve essere definito il campo di applicazione delle varie direttive, le responsabilità degli uffici e delle persone coinvolte, le regole per determinare la conformità alle specifiche.

A questo livello, la politica di sicurezza rappresenta una raccolta di direttive generali logistico/organizzative che stabiliscono la direzione, l’orientamento dell’azienda.

Ogni politica di sicurezza, per essere efficace, deve poi essere correttamente implementata.

A niente serve una politica di sicurezza, se non si assegnano anche le risorse umane ed economiche necessarie per metterla in atto.

Senza risorse, ogni politica di sicurezza rimane una dichiarazione di buoni propositi, redatta al semplice scopo di gettare fumo negli occhi a controllori o terze parti.

Stabilito il piano generale dell’organizzazione, è possibile definire le direttive riguardanti le diverse aree oggetto della politica di sicurezza.

In questa sezione è possibile stabilire l’atteggiamento da tenere nei confronti delle nuove tecnologie e dei nuovi servizi, le metodologie per approvare, implementare e testare nuovi applicativi all’interno dell’azienda.

Mentre il programma generale viene normalmente definito una volta per tutte, o comunque è soggetto nel tempo a variazioni minime, le direttive relative alle specifiche aree devono essere modificate molto frequentemente per star dietro alla naturale evoluzione tecnologica.

Solo dopo aver descritto gli atteggiamenti generali dell’organizzazione area per area, è possibile passare a esaminare nel dettaglio le regole specifiche per le diverse risorse da proteggere.

Questa ultima è la parte più tecnica, che richiede di essere aggiornata con maggiore frequenza per adattare la propria politica alle sempre nuove tecniche di attacco scoperte dagli avversari.

La realizzazione di questa sezione tecnica, è complicata dal fatto che possono essere necessarie regole diverse per sistemi uguali, collocati in aree diverse della stessa organizzazione, dedicati al mantenimento e all’erogazione di informazioni e servizi di diversa criticità.

La criticità dei servizi e delle informazioni a essi associate condiziona pesantemente la natura (la complessità e il costo) delle contromisure sostenibili dall’azienda a protezione dei propri servizi fondamentali.

In ogni caso la stesura di una politica di sicurezza non è mai definitiva.

Per non ritrovarsi con un piano obsoleto, è indispensabile stabilire fin dall’inizio a chi spetta il compito di controllare le varie componenti e la frequenza degli aggiornamenti.

Per la stesura e le periodiche modifiche si può ricorrere sia a conoscenze interne sia a consulenze specialistiche esterne.

Ricorrere a consulenti esterni consente di risolvere più rapidamente i problemi, ma non può essere una regola generale.

Se la stesura e il periodico aggiornamento della politica di sicurezza possono essere realizzati anche totalmente da professionisti esterni, l’implementazione delle regole in essa definite è responsabilità diretta dell’esercizio quotidiano e deve essere affidata a manager e responsabili tecnici in seno all’organizzazione.

All’interno della politica di sicurezza, è indispensabile definire non solo a chi spetta il compito di implementare le direttive, ma anche chi avvisare per ogni problema riscontrato.

Punti di contatto, centri e/o persone incaricate di raccogliere le informazioni, sono le entità alle quali gli utenti devono riferire gli inconvenienti accaduti al fine di permettere la rapida risoluzione dei problemi.

La lotta agli hacker si vince innanzitutto con l’informazione. Per questo, occorre far maturare gli utenti, coinvolgendoli attivamente.

Mezzi fondamentali per bloccare gli avversari, sono la partecipazione a seminari specifici di manager e responsabili tecnici e la realizzazione di corsi interni di aggiornamento sul tema sicurezza per il resto del personale.

Un altro ruolo che è necessario stabilire è quello della sorveglianza (o presidio sicurezza), responsabile di controllare l’utilizzo delle risorse nel rispetto delle normative esistenti e delle linee guida aziendali.

Per poter essere realmente efficace la politica di sicurezza deve stabilire le conseguenze per ogni possibile infrazione delle direttive, da parte del personale interno.

Ogni politica di sicurezza ha un costo.

Servono strumenti e persone per aggiornarla e implementarla costantemente. Il costo deve essere commisurato ai vantaggi. Lo scopo della politica relativa alla sicurezza Internet è salvaguardare l’organizzazione degli attacchi degli hacker mantenendo la fruizione di un sottoinsieme di servizi Internet.

Se i vertici dell’organizzazione non apprezzano i benefici derivanti dalla sua introduzione, difficilmente si potrà giustificarne i costi.

Gli elementi di un’organizzazione che maggiormente incidono sulla “complessità” di una politica di sicurezza sono:

  • la visibilità dell’organizzazione;
  • la sensibilità agli incidenti;
  • le conseguenze economiche degli incidenti;
  • le conseguenze di immagine;
  • le conseguenze sociali;
  • gli aspetti legali.

Molte organizzazioni, una volta connesse alla rete pubblica, basano tutte le proprie misure di difesa sulla protezione da minacce esterne.

In realtà, in molti casi, l’accesso via Internet è solo una possibile fonte di attacco.

Per poter disporre di un piano di sicurezza globale occorre valutare le minacce che insistono sulle risorse aziendali anche quando provenienti da altri canali (accessi LAN, Wi-Fi, dumpster diving).

Tenendo conto che una vulnerabilità si trasforma in problema di sicurezza reale solo quando oggetto di attacco, è fondamentale individuare tempestivamente le varie lacune e applicare le opportune contromisure.

In questo modo le vulnerabilità non hanno tempo per trasformarsi in attacchi (non esistono abbastanza a lungo per essere utilizzate dagli hacker per attaccare il sistema informativo dell’organizzazione), e il costo delle componenti di sicurezza si giustifica ampiamente nel risparmio derivante da un MTTR tendente a zero.

Per essere realmente efficace, la politica di sicurezza deve indicare anche come comportarsi in caso di attacchi.

Molti attacchi possono essere prevenuti o scongiurati con azioni deterrenti (autenticazione, corretta gestione dei dispositivi e delle altre risorse oggetto di attacchi, uso di funzioni crittografiche, pubblicità ai metodi utilizzati, soprattutto se ritenuti robusti dalla comunità di utenti e di hacker).

Le azioni deterrenti hanno lo scopo di ridurre la frequenza degli attacchi trasformando i sistemi aziendali in una infrastruttura ben difesa.

Purtroppo, anche seguendo una politica molto attenta alla prevenzione, non è possibile pensare di scongiurare completamente ogni attacco.

È necessario perciò stabilire, all’interno della politica di sicurezza, l’orientamento dell’organizzazione riguardo strumenti e metodologie idonee alla individuazione di situazioni anomale riconducibili a un attacco.

In alcune circostanze impreviste o tramite l’utilizzo di procedure non note in precedenza, gli attacchi degli hacker possono comunque avere successo.

In tal caso, è essenziale disporre di strumenti (generalmente denominati Intrusion Detection System) in grado di rilevare l’avvenuta intrusione nei propri sistemi e di provate procedure per il ripristino della situazione predente l’attacco.

La rilevazione a posteriori di una intrusione è generalmente resa possibile dall’impiego di strumenti per la registrazione dell’attività a livello di rete, di server o di singola applicazione.

La rilevazione di tentativi di intrusione in tempo reale richiede invece l’attivazione di specifici sistemi in grado di riconoscere i “pattern” tipici delle attività sospette per allarmare tempestivamente gli amministratori.

La politica di sicurezza deve descrivere anche cosa fare mentre è in corso uno specifico attacco.

La soluzione più istintiva in questi casi è eliminare al più presto l’intruso.

Tale soluzione però non è la sola possibile; spesso neppure la più efficace, perché l’attacco può ripetersi se non si adottano le giuste contromisure.

Una soluzione più matura prevede di effettuare il tracciamento dell’attività (tracking) dell’attaccante, al fine di analizzare le sue azioni e le tecniche adottate durante l’attacco.

In molti casi è desiderabile rintracciare fisicamente l’intruso coinvolto nell’attacco e/o capire il metodo utilizzato per portare l’attacco.

Individuare la reale natura di un intruso è un processo complicato in quanto generalmente gli hakcer preferiscono utilizzare sistemi di terze parti precedentemente violati, come piattaforme da cui sferrare l’attacco.

Comprendere la metodologia utilizzata dall’hacker consente però di ottenere risultati immediati come eliminare le lacune sfruttate sui sistemi compromessi, scongiurando futuri attacchi che utilizzano lo stesso metodo.

È opportuno infine stabilire le azioni da intraprendere al termine dell’attacco.

Le misure adottate più frequentemente prevedono di:

  • innalzare dispositivi antintrusione sui singoli sistemi e/o a guardia dell’intera rete locale (host o network firewall, IDS);
  • eliminare i servizi rivelatisi pericolosi (Hardening delle piattaforme client e server);
  • modificare il software delle applicazioni vulnerabili (rivedere la sicurezza del codice);
  • passare a protocolli più robusti (Introduzione di soluzioni di Encryption e Strong Authentication);
  • predisporre trappole (Honeypot) per migliorare il tracciamento delle intrusioni;
  • migliorare le capacità di logging e monitoraggio delle attività potenzialmente riconducibili a un attacco (Security Information & Evenet Management).

Un’azione esemplare, una volta risolto l’attacco, è quella di avvisare un centro CERT, in modo da sfruttare l’esperienza maturata da tale ente nella lotta contro gli hacker e poter essere di aiuto con le proprie informazioni ad altri soggetti che possono venirsi a trovare nella stessa situazione.

Anche se tra compagnie commerciali la libera circolazione di informazioni è spesso vista come una contravvenzione alla privacy aziendale, in Internet lo scambio di esperienze riguardo la protezione dei propri sistemi può essere invece un fattore determinante nella lotta comune agli hacker.

Questi posseggono infatti i loro bollettini e si scambiano tra loro molto rapidamente le esperienze acquisite.

Se nella lotta non si vuole soccombere senza speranza, occorre seguire la stessa tecnica e provvedere a scambiarsi in modo altrettanto rapido le conoscenze tecniche necessarie per fronteggiarli.

Nonostante tutti i vantaggi conseguibili attraverso una politica di sicurezza globale, la sua implementazione può rappresentare un costo maggiore di quello sostenibile dall’organizzazione.

In tal caso, occorre individuare le aree a più alta sensibilità per selezionare la priorità degli interventi e degli investimenti da effettuare.

Le aree più sensibili sono ovviamente quelle in cui è più elevata l’incidenza degli attacchi e quelle in cui la riuscita di un attacco produce danni maggiori.

Il rispetto di una politica comporta, inoltre, semplicità d’uso, conformità alle altre regole interne dell’organizzazione e in primo luogo, mantenimento di concordate prestazioni nell’accesso al servizio.

Per migliorare l’efficienza globale del servizio e rendere il sistema complessivamente meno vulnerabile, è indispensabile pensare all’introduzione di sistemi e componenti ridondate, duplicando server, database, approntando collegamenti di backup e predisponendosi per azioni di recupero (Data Recovery) in caso si verificassero eventi imprevisti e/o in caso di successo di un attacco.

La politica di sicurezza dovrebbe anche stabilire le modalità di interazione tra gli utenti di un’organizzazione e il resto della comunità Internet.

Relativamente all’uso di Internet, è necessario definire in che modo regolamentare l’accesso ai servizi da parte degli utenti locali.

Se all’interno di un’organizzazione esistono varie unità con orientamenti e sensibilità divergenti, è bene stabilire una politica gruppo per gruppo, definendo profili diversi per i diversi gruppi di utenti.

A ogni profilo possono essere assegnati privilegi diversi.

Un approccio di questo tipo è l’unico perseguibile in una realtà eterogenea, ma non sempre risulta di facile attuazione.

La realizzazione di un simile piano può essere ostacolata dalla resistenza interna esercitata dagli utenti che si sentono penalizzati.

Ogni politica di sicurezza deve essere maturata consapevolmente da tutte le entità che fanno parte dell’organizzazione in modo da non essere vissuta come un’imposizione autoritaria, ma come una necessità per una corretta convivenza con Internet e gli avversari che la popolano.

Nelle organizzazioni che pubblicano servizi per gli utenti esterni esiste infine un altro fattore che incide pesantemente sulla complessità delle regole da inserire nella propria politica di sicurezza: la presenza di server pubblici che interagiscono con server aziendali e la necessità di mantenere separato l’accesso alle informazioni esterne e interne.

L’attivazione di server pubblici sulla propria rete locale e il controllo del traffico scambiato con il resto dell’Internet devono essere descritti nella politica di sicurezza.

A tale proposito una corretta policy deve:

  • stabilire se è consentito inviare o meno a reti locali esterne dati aziendali riservati (per esempio i progetti di sviluppo di nuovi prodotti o le nuove linee di marketing);
  • scegliere i protocolli da adottare per i fari servizi e flussi dati;
  • selezionare gli applicativi da utilizzare come client;
  • definire le classi di utenza e attribuire privilegi e responsabilità a ciascuna classe;
  • scegliere i sistemi operativi delle piattaforme hardware presenti sulla rete locale;
  • definire quali servizi e stazioni server esterne sono da ritenersi fidate;
  • scegliere i servizi e le stazioni server interne che si intende mettere a disposizione di utenti esterni, per promuovere la propria immagine e/o per diffondere informazioni aziendali;
  • scegliere i dispositivi di interconnessione da interporre tra la rete locale o il resto di Internet nonché le modalità di controllo e di filtraggio del traffico che li attraversa.

Anche se la necessità di definire una politica di sicurezza potrebbe sembrare un tema che riguarda esclusivamente organizzazioni e grandi aziende, in realtà ogni utenza (anche quella domestica) dovrebbe stabilirne una propria per evitare di improvvisare comportamenti a rischio e/o adottare contromisure non efficaci.

La politica di sicurezza per una utenza residenziale o un piccolo ufficio, anche se notevolmente più semplice, deve come minimo guidare l’utente stabilendo:

  • se è corretto inviare a un server dati personali (per esempio i numeri delle proprie carte di credito);
  • la scelta dei protocolli da adottare;
  • la scelta degli applicativi da utilizzare come client;
  • la scelta del sistema operativo della propria piattaforma hardware;
  • la scelta delle stazioni server che si ritengono fidate, da cui prelevare informazioni sensibili e alle quali inviare le proprie credenziali o altre garanzie di pagamento.

Sorvolare o lasciare non chiaramente definiti, anche solo alcuni di questi aspetti fondamentali, è indice di una mancanza di maturità che gioca a favore degli avversari, trasformando gli utenti insensibili (gruppo che comprende ancora buona parte dell’utenza domestica) in entità facilmente attaccabili.

error: Content is protected !!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.