Ci sono tre principali sorgenti di rischio:
1) identificare chi deve aver accesso alle informazioni, così da poter valutare le possibili minacce dovute di autorizzazioni concesse per l’accesso;
2) Gli statuti e contratti legali che un’organizzazione e i suoi partners stipulano per l’accesso alle informazioni;
3) I principali obbiettivi e caratteristiche per l’elaborazione delle informazioni che un’organizzazione ha sviluppato.
Un documento di policy della sicurezza delle informazioni deve essere pubblicato e comunicato a tutti gli impiegati ed al manager dell’informazione e nel manuale devono essere incluse almeno le seguenti guidelines:
a) Una definizione di information security (una definizione di sicurezza delle informazioni, i suoi principali obbiettivi e lo scopo e l’importanza di un meccanismo di condivisione dell’informazione);
b) Una delineazione dell’intento del management, che applica i traguardi e i principi della Information Security;
c) Una breve spiegazione delle politiche di sicurezza, i principi e gli standard, per esempio:
1) Allineamento con le richieste legali e contrattuali
2) Educazione alla sicurezza
3) Prevenzione e individuazione di virus e altri software dannosi
4) Continuità della gestione del business
5) Conseguenze delle violazioni della politica di sicurezza
d) Una definizione delle responsabilità generali e specifiche per la gestione della sicurezza delle informazioni, includente rapporti sugli incidenti di sicurezza;
e) Referenze alla documentazione sulla sicurezza fornita, che deve essere “scalabile”, ossia aggiornabile alle nuove minacce alla sicurezza e alle infrastrutture tecniche ed organizzative. Ci deve essere un aggiornamento periodico schedulato.
Ci deve essere un management team responsabile della sicurezza che deve decidere i cambiamenti e le nuove politiche di sicurezza, monitorare e rapportare.
Assets (beni, dati o informazioni):
a) Ogni sistema individuale dovrebbe essere identificato e chiaramente definito per l’accesso alle informazioni;
b) Il manager responsabile deve approvare ogni asset e processo di sicurezza e deve documentarlo;
c) I livelli di autorizzazione devono essere chiaramente definiti e documentati;
UPGRADE:
Ogni aggiornamento di software o processo informativo deve essere documentato e studiato (nuovi software, hardware e accessi esterni)
ACCESSO ESTERNO:
Ogni accesso alle informazioni da parte di esterni deve contrattualizzato e definito. Bisogna definire i livelli d’accesso alle informazioni per ogni singolo utente e definire un monitor per la tracciabilità delle azioni compiute da ognuno di essi.
Realizzare un inventario degli assets.
CLASSIFICAZIONE DELLE INFORMAZIONI
Ogni informazione deve essere classificata per determinare il livello di accesso e di importanza per l’azienda/ente. Esse devono anche essere etichettate e gestite in base alla loro classificazione.
CLASSIFICAZIONE DEL PERSONALE
Ogni ruolo deve essere classificato con un livello di responsabilità e di accesso all’informazione, il tutto regolamentato con contratti ed accordi confidenziali. Il personale deve essere addestrato ai processi di sicurezza.
RISPONDERE AGLI INCIDENTI E MALFUNZIONAMENTI:
1) Rapportare appena possibile gli incidenti di sicurezza;
2) Rapportare le debolezze riscontrate nel sistema di sicurezza;
3) Imparare dall’incidente;
4) Definire delle sanzioni disciplinari per chi ha violato le regole di sicurezza.
DEFINIRE LE AREE DI SICUREZZA:
Le aree di sicurezza possono essere, fisiche o logiche/virtuali, ognuna di esse deve avere accessi controllati e consentiti solo al personale autorizzato.
SICUREZZA DELLE INFRASTRUTTURE:
Assicurarsi della sicurezza del sito, dell’hardware, delle unità di backup energetico, cablature e distruzione documenti.
REGOLE GENERALI:
Ripulire la propria scrivania per non lasciare informazioni sensibili agli occhi di tutti.
Non disinstallare/istallare software senza autorizzazione.
Segregare tutte le password e le autorizzazioni.
Istallare anti-virus e software di protezione da accessi non consentiti.
Effettuare back-up di tutte le informazioni periodicamente.
Tracciare ogni mezzo di memorizzazione removibile
Distruggere attentamente i mezzi di memorizzazione da buttare.
Sincronizzazione degli orologi di tutti i terminali col server.
Audit di ogni accesso al terminale tramite log-on e log-off.
Log-off automatico dopo un periodo di inattività determinato.
Chiusura di ogni porta inutile al sistema.
Controllo degli accessi remoti e crittografica di alcuni documenti importanti.
Controllo generale e allarmi vari su accessi non consentiti e restrizione dei poteri degli users sui files di sistema.
Preparare un Disaster Recovery Plan (Piano di ripristino del sistema da un disastro)
Preparare dei Business Continuity Plan (Piano di Continuità dell’Attività dell’azienda), che si differisce dal D.R.P. poiché è di più ampio respiro e non di stretta emergenza, insomma il D.R.P. è paragonabile al Pronto Soccorso mentre il B.C.P. è paragonabile al ricovero e all’assistenza.
a cura del Dottor Antonio Guzzo
Responsabile CED – Sistemi Informativi del Comune di Praia a Mare
Scrivi un commento
Accedi per poter inserire un commento