Violazione dei dati aziendali e conformità alla Privacy

Transcript

1 Competenze e Soluzioni Violazione dei dati aziendali e conformità alla Privacy Vers

2 INDICE Premessa Pag. 2 Perché avvengono le violazioni dei dati Pag. 2 Utenti interni benintenzionati Pag. 3 - Dati esposti su server e desktop - Portatili smarriti o sottratti - , Webmail e dispositivi rimovibili - Perdite di dati di terze parti - Processi aziendali e dati sensibili Attacchi mirati Pag. 3 - Vulnerabilità del sistema - Credenziali inadeguate - SQL injection - Malware mirato Le quattro fasi degli attacchi mirati Pag. 4 - Fase 1: incursione - Fase 2: rilevazione - Fase 3: acquisizione - Fase 4: fuoriuscita L'utente interno malintenzionato Pag. 5 - Crimine da parte di impiegati - Dipendenti licenziati - Dati aziendali in casa - Spionaggio industriale Come arrestare le violazioni dei dati Pag. 6 - Fase 1: arresto delle incursioni - Fase 2: identificazione delle minacce - Fase 3: protezione proattiva delle informazioni - Fase 4: automazione della sicurezza - Fase 5: prevenzione della fuoriuscita dei dati - Fase 6: integrazione delle strategie di prevenzione Tabella delle soluzioni Project++ per arrestare efficacemente le violazioni dei dati Pag. 8 Privacy Compliance (Conformità alla Privacy) Pag. 8 - Navigazione Web e conservazione dei log di connessione - Registrazione degli accessi degli amministratori - Posta elettronica - Individuazione requisiti minimi di complessità, conservazione delle password e gestione credenziali di autenticazione - Segmentazione della rete - Adozione procedure di back-up centralizzato - Protezione da rischi di intrusioni esterne e da rischi di danneggiamento dell'integrità delle risorse e dei loro contenuti - Protezione da rischi di salvataggio interno non autorizzato - Protezione documenti o mail in fase di creazione - Cifratura di particolari dati o informazioni Tabella delle soluzioni Project++ per una efficace gestione della Privacy Compliance Pag. 16 Come iniziare Pag. 17

3 Premessa Anagrafiche clienti, informazioni commerciali, documentazione aziendale interna: con l evolversi dell Information & Communication Technology sono esponenzialmente aumentati i rischi di violazione di tali risorse. Dal Rapporto investigativo sulla violazione dei dati del Verizon Business Risk Team, solo nel 2008 sono stati violati più record elettronici che in tutti e quattro gli anni precedenti. Questo a riprova che tanto più gli ambienti IT sono complessi ed eterogenei e tanto più diviene difficile proteggere i dati ed affontare le minacce, interne ed esterne. Perché avvengono le violazioni dei dati Per evitare le violazioni dei dati è essenziale comprendere perché avvengono. Una ricerca di terze parti sulle cause principali delle violazioni dei dati, basata su informazioni raccolte dal Verizon Business Risk Team e dall'open Security Foundation, identifica tre tipologie prevalenti: 1. utenti interni benintenzionati; 2. utenti interni malintenzionati; 3. attacchi esterni mirati. In molti casi, le violazioni sono imputabili a una combinazione di tali fattori. Ad esempio, gli attacchi mirati spesso vengono consentiti, involontariamente, da utenti interni benintenzionati che non si attengono alle policy di sicurezza e sono responsabili di comportamenti che possono condurre a violazioni. Figura 1. Tendenze nelle cause delle violazioni dei dati, P a g i n a

4 Utenti interni benintenzionati Secondo il report di Verizon, il 67% delle violazioni nel 2008 sono state facilitate da "errori significativi" da parte di utenti interni di questo tipo. In un'indagine del 2008 su 43 organizzazioni che hanno subìto una violazione dei dati, il Ponemon Institute ha rilevato che oltre l'88% di tutti i casi riguardava incidenti derivanti dalla negligenza degli utenti interni. Secondo una recente analisi, le violazioni causate da utenti benintenzionati si suddividono in cinque tipologie principali: 1. Dati esposti su server e desktop. Probabilmente il tipo più comune di violazione dei dati si verifica quando utenti interni benintenzionati, non consapevoli delle policy aziendali di sicurezza delle informazioni, archiviano, inviano o copiano dati sensibili non crittografati. Se un hacker accede alla rete, i file riservati archiviati o utilizzati senza crittografia sono vulnerabili e possono essere sottratti. 2. Portatili smarriti o sottratti. Lo studio condotto dal Ponemon Institute nel 2008 ha dimostrato che i portatili smarriti rappresentano la causa principale delle violazioni dei dati per il 35% delle organizzazioni intervistate. Anche quando tali eventi non conducono al furto dell'identità, le leggi sulla divulgazione delle violazioni dei dati impongono di dichiarare lo smarrimento dei portatili. 3. , Webmail e dispositivi rimovibili. Tali trasmissioni in rete creano un rischio significativo di perdita di dati. In uno scenario tipico, un dipendente invia dati riservati a un account domestico o li copia su una Memory Stick o un CD/DVD per un'attività prevista per il week-end. In tale situazione, i dati vengono esposti ad attacchi sia durante la trasmissione che sul sistema domestico o sul dispositivo di storage rimovibile potenzialmente non protetti. 4. Perdite di dati di terze parti. Le relazioni aziendali con partner e fornitori terzi spesso comportano lo scambio di informazioni riservate. Quando la condivisione dei dati è eccessivamente estesa o i partner non applicano policy di sicurezza delle informazioni, il rischio di violazioni aumenta. 5. Processi aziendali e dati sensibili. La proliferazione delle informazioni riservate è riconducibile, fra l'altro, al mantenimento di processi aziendali inappropriati o obsoleti, che le distribuiscono automaticamente a soggetti non autorizzati o sistemi non protetti, da dove possono essere acquisite senza difficoltà dagli hacker o sottratte da utenti interni malintenzionati. Attacchi mirati Proteggere le risorse di informazioni da tecniche di pirateria sofisticate costituisce una sfida estremamente complessa. Gli attacchi mirati sono sempre più diretti alla sottrazione di informazioni finalizzata al furto di identità. Questi attacchi vengono spesso automatizzati ricorrendo a codice dannoso, che può penetrare in un'organizzazione senza essere rilevato ed esportare dati su siti di hacker remoti. In base al numero di record compromessi, i tipi di attacchi da parte di hacker di gran lunga più frequenti nel 2008 sono stati i tentativi di accedere senza autorizzazione utilizzando credenziali predefinite o condivise o approfittando di elenchi di controllo degli accessi (ACL, Access Control List) con vincoli inadeguati e gli attacchi SQL injection. Inoltre, nel 90% dei casi, la perdita di record è stata attribuita all'implementazione di 3 P a g i n a

5 malware. La prima fase dell'attacco, ovvero l'incursione iniziale, normalmente viene perpetrata avvalendosi di uno dei quattro elementi seguenti: 1. Vulnerabilità del sistema. Molto spesso portatili, desktop e server non vengono aggiornati con le patch di sicurezza più recenti, il che crea un pericoloso vuoto nello stato di sicurezza complessivo. I vuoti e le vulnerabilità IT possono essere dovuti anche a configurazioni di sicurezza o di sistema scorrette. Gli hacker cercano e sfruttano tali punti deboli per poter accedere alla rete e alle informazioni riservate delle aziende. 2. Credenziali inadeguate. Le password nei sistemi di interfaccia con Internet come i server FTP, Web o vengono spesse mantenute sulle impostazioni predefinite dal produttore, che gli hacker possono procurarsi facilmente. Gli ACL obsoleti o con vincoli inadeguati forniscono ulteriori opportunità sia per gli hacker che per gli utenti interni malintenzionati. 3. SQL injection. Analizzando la sintassi dell'url dei siti Web target, gli hacker sono in grado di incorporare istruzioni per caricare spyware che consente loro di accedere in remoto ai server da colpire. 4. Malware mirato. Gli hacker utilizzano spam, e messaggi istantanei, spesso mascherati da entità note, per dirigere gli utenti a siti Web compromessi da malware. Quando un utente visita un sito Web compromesso, può scaricare malware anche senza rendersene conto. Trucchi come il software gratuito inducono gli utenti a scaricare spyware utilizzabile per monitorare la loro attività sul Web e acquisire le credenziali impiegate di frequente, come i login e le password aziendali. Gli strumenti di accesso remoto (RAT, Remote Access Tool) sono un esempio di spyware che viene scaricato in modo automatico nel computer di un utente, a sua insaputa, assicurando silenziosamente agli hacker il controllo di tale sistema e l'accesso alle informazioni aziendali da una postazione remota. Le quattro fasi degli attacchi mirati: - Fase 1: incursione. Gli hacker irrompono nella rete aziendale approfittando delle vulnerabilità del sistema e utilizzando tecniche quali la violazione delle password predefinite, le SQL injection o l'uso di malware mirato. - Fase 2: rilevazione. Gli hacker identificano la posizione dei sistemi dell'organizzazione ed eseguono la scansione automatica dei dati riservati. - Fase 3: acquisizione. I dati esposti, archiviati da utenti interni benintenzionati su sistemi non protetti, sono i primi a essere sottratti. Inoltre sui sistemi e i punti di accesso alla rete presi di mira vengono installati furtivamente componenti denominati root kit, che consentono di acquisire dati riservati mentre vengono trasmessi all'interno dell'organizzazione. - Fase 4: fuoriuscita. I dati riservati vengono inviati ai team degli hacker così come sono (ad esempio tramite la Webmail), raggruppati in pacchetti crittografati o in file zip protetti da password. Adottando precauzioni contro la rilevazione, l'acquisizione e la fuoriuscita dei dati, le organizzazioni possono potenziare in modo significativo le proprie difese dagli attacchi mirati. 4 P a g i n a

6 Figura 2. Le quattro fasi degli attacchi mirati L'utente interno malintenzionato Le violazioni imputabili a utenti interni che agiscono intenzionalmente per sottrarre informazioni si suddividono in quattro gruppi: 1. Crimine da parte di impiegati - Sottrarre informazioni consapevolmente è un operazioni perpetrata da utenti interni alle aziende che abusano del proprio accesso privilegiato alle informazioni a fini di interesse personale. 2. Dipendenti licenziati - Le violazioni dei dati operate da ex-dipendenti spesso avvengono perchè il rapporto contrattuale è interrotto prima che vengano rimossi i privilegi di accesso, ad esempio, ad Active Directory ed Exchange, lasciando così spazio all'opportunità di consultare i dati riservati e inviarli tramite a un account privato o copiarli su supporti rimovibili. 3. Dati aziendali in casa - Di frequente i dipendenti memorizzano dati aziendali su sistemi domestici al fine di creare archivi di esempi di lavori o per lavorare anche da casa. Se gli hacker attaccano il sistema domestico di un dipendente e ne sottraggono le informazioni, vengono danneggiati anche l'azienda e i relativi clienti. 4. Spionaggio industriale - L'ultima tipologia di utente interno malintenzionato riguarda il dipendente insoddisfatto o improduttivo che pianifica il passaggio alla concorrenza e invia esempi del suo lavoro a un'altra azienda a supporto della propria domanda di assunzione. Possono essere utilizzati in questo modo specifiche dei prodotti, piani di marketing, elenchi di clienti e dati finanziari. 5 P a g i n a

7 Alla luce di tali premesse è necessario riconoscere tre verità essenziali, al fine di controllare lo scenario delle violazioni dei dati: 1. Prevenire le violazioni - Per ciascuno degli scenari presentati in precedenza sussistono strumenti e soluzioni di intervento che prevedono l adozione delle giuste contromisure. 2. Riduzione del rischio - Prevenire le violazioni dei dati è possibile solo riducendo il rischio. A tal fine è necessario conoscere esattamente dove sono archiviati i dati, i loro spostamenti e come vengono utilizzati. Solo a questa condizione diventa possibile identificare chiaramente le pratiche problematiche, assegnare priorità a dati e gruppi per neutralizzare le fasi degli attacchi e iniziare a bloccare il flusso delle informazioni proprietarie in uscita dall'organizzazione. 3. Definizione di soluzioni multiple - Per prevenire le violazioni dei dati è determinante implementare una gamma di soluzioni che, operando in collaborazione, siano in grado di risolvere il problema. Ciò significa potenziare la strategia di difesa in profondità. In altri termini, le soluzioni implementate - per monitorare le informazioni, proteggere gli endpoint, verificare controlli tecnici e procedurali, difendere i sistemi critici o fornire avvisi in tempo reale - devono essere integrate per creare una panoramica centralizzata della sicurezza dei dati, in modo da poter stabilire correlazioni e identificare le cause con rapidità e senza incertezze. Come arrestare le violazioni dei dati Attenendosi alle sei fasi seguenti qualsiasi organizzazione aziendale o istituzionale può ridurre in modo significativo il rischio di una violazione dei dati: - Fase 1: arresto delle incursioni degli attacchi mirati - Le quattro metodologie principali utilizzate dagli hacker per le loro incursioni nelle reti aziendali sono lo sfruttamento delle vulnerabilità dei sistemi, le violazioni delle password predefinite, le SQL injection e l'uso di malware mirato. Per sventare le incursioni è necessario: Implementare misure di sicurezza per endpoint, messaggistica e Web, allo scopo di monitorare e bloccare il flusso in ingresso del malware mirato. Applicare sistemi su host per la rilevazione e la prevenzione delle intrusioni al fine di salvaguardare l'integrità dell'host nel caso di un attacco di tipo SQL injection. Polling automatico degli amministratori, per assicurare che le password predefinite vengano eliminate i gli ACL aggiornati. Scansione automatica dei controlli tecnici - comprese le impostazioni delle password e le configurazione di firewall e server - attraverso server di rete e reporting su tutte le violazioni delle policy. Implementare policy e gestire endpoint in modo centralizzato per automatizzare l'amministrazione delle patch e garantire l'applicazione delle più recenti impostazioni di crittografia, controllo degli accessi alla rete e sicurezza. 6 P a g i n a

8 - Fase 2: identificazione delle minacce tramite la correlazione degli avvisi in tempo reale e dell'intelligence di sicurezza globale - Per agevolare l'identificazione e la risposta alla minaccia di un attacco mirato è necessario: Mantenersi al corrente del panorama delle minacce in costante evoluzione. Tenere traccia dell'attività della rete aziendale, raccogliere dati sugli incidenti da tutti i sistemi, identificare i siti notoriamente pericolosi e altre minacce esterne in tempo reale. - Fase 3: protezione proattiva delle informazioni - Per proteggere proattivamente le informazioni più sensibili - ovunque vengano archiviate, inviate o utilizzate - e ridurre progressivamente il rischio di una violazione delle informazioni è necessario: Implementare la gestione di policy da definire una volta sola e applicare ovunque, sensibili al contenuto, con funzionalità per flusso di lavoro di risoluzione degli incidenti, reporting, gestione dei sistemi e sicurezza. Individuare informazioni riservate su file server, database, repository di , siti Web, portatili e desktop, e proteggerle mediante funzionalità di quarantena automatiche, nonché supporto della crittografia basata su policy. Ispezionare tutte le comunicazioni di rete in uscita, tramite , IM, Web, FTP, P2P e TCP generico, e applicare policy per impedire alle informazioni riservate di abbandonare il perimetro aziendale. Bloccare proattivamente i dati riservati, per impedirne l'uscita dagli endpoint dell'organizzazione mediante stampa, fax o supporto rimovibile. - Fase 4: automazione della sicurezza attraverso controlli della conformità IT - Per ridurre il rischio di una violazione dei dati, identificare e rimuovere i punti deboli e, nel caso di un attacco, individuare e assegnare priorità ai rischi a livello aziendale è necessario: Definire policy IT basandosi su best practice per la sicurezza dei dati e standard del settore quali ISO 17799, COBIT, NIST SP800-53, Sarbanes-Oxley, PCI DSS, HIPAA, GLBA e altri. Allineare le policy IT ai controlli critici di sicurezza e delle operazioni, sia procedurali che tecnici. Automatizzare la valutazione dell'infrastruttura e dei sistemi in riferimento ai controlli di conformità IT esistenti. Misurare e creare report sull'adeguatezza dell'organizzazione ai controlli di conformità IT. Assegnare priorità alla risoluzione degli incidenti, basata sui risultati di misurazione e reporting, identificare i punti deboli e aggiornare proattivamente l'infrastruttura e i sistemi di sicurezza per dimostrare la conformità e garantire il massimo livello di sicurezza. - Fase 5: prevenzione della fuoriuscita dei dati - Per impedire una violazione dei dati - internamente o durante la fase di trasmissione in uscita - e bloccare la fuoriuscita di informazioni riservate è necessario: Monitorare e prevenire le violazioni dei dati basate sulla trasmissione in rete da parte di malware o utenti interni benintenzionati o malintenzionati. Identificare le trasmissioni per individuare i siti degli hacker e avvertire i team dedicati alla sicurezza al fine di prevenire la fuoriuscita di dati riservati. 7 P a g i n a

9 - Fase 6: integrazione delle strategie di prevenzione e risposta nelle operazioni di sicurezza - Per ridurre gradualmente il rischio di attacco dei dati è necessario: Integrare soluzioni per la prevenzione della perdita di dati, la protezione dei sistemi, la conformità e la gestione della sicurezza, al fine di creare un modello operativo basato sul rischio, sensibile al contenuto, reattivo alle minacce in tempo reale e orientato al flusso di lavoro per automatizzare i processi quotidiani e colmare i vuoti fra persone, policy e tecnologie. Utilizzare servizi di sicurezza - inclusi servizi di consulenza, formazione, supporto critico e intelligence globale - che forniscano alle organizzazioni conoscenze approfondite in materia e ampie competenze sui prodotti di sicurezza. Tabella delle soluzioni Project++ per arrestare efficacemente le violazioni dei dati Soluzione GFI Backup Business Edition GFI EndPointSecurity GFI EventsManager GFI LANguard GFI MailDefense Suite GFI MailEssentials GFI MailArchiver GFI MailSecurity GFI Network Server Monitor GFI WebMonitor Microsoft Forefront Threat Management Gateway Funkwerk UTM Packet Alarm Vantaggi Soluzione di back-up, ripristino e sincronizzazione per tutti i server Web, SQL, file, etc. con recupero selettivo di singoli file, cartelle, directory e di back-up completi o individuali. Protezione della rete aziendale da furto di dati e dalle infezioni da virus mediante utilizzo di dispositivi di largo consumo come ipod, dispositivi USB, SmartPhone, etc. Monitoraggio, gestione e archiviazione semplificati dei log degli eventi con centralizzazione degli eventi Syslog, W3C, Windows, controlli SQL Server e SNMP trap generati da firewall, server, router, commutatori, centralini telefonici, PC e altro. Scanner di protezione della rete e soluzione di gestione delle vulnerabilità completi con gestione delle patch sui Pc. Soluzione specifica per le PMI per filtrare lo spam e bloccare virus e altro malware proveniente da posta elettronica. Soluzione antispam multilivello per server Exchange, SMTP e Lotus. Archiviazione, gestione e conformità posta elettronica di Exchange Server. Soluzione antispam multilivello per server Exchange, SMTP e Lotus basata su cinque motori antivirus. Funge da firewall della posta elettronica proteggendola da virus, exploit e minacce, oltre che da attacchi via . Monitoraggio automatizzato e semplificato del server e della rete per ricercare guasti, errori o irregolarità. Massimizzazione dell'uptime della rete e del server con verifica effettiva dello stato di servizio. Monitoraggio, protezione, controllo di accesso a Internet, classificazione e filtraggio del Web con copertura di oltre 205 milioni di URL. Protezione da virus, spyware, malware e frodi tramite phishing. Protegge efficacemente la navigazione Web bloccando l accesso a siti potenzialmente pericolosi evitando la preoccupazione di incorrere in malware e siti di phishing. Apparato firewall comprensivo di filtro antispam ed antivirus altamente funzionale per la prevenzione delle intrusioni. 8 P a g i n a

10 Privacy Compliance (Confomità alla Privacy) Navigazione Web e conservazione dei log di connessione Al fine di ridurre il rischio di navigazioni improprie (ovvero estranee all'attività lavorativa), il datore di lavoro deve adottare misure atte e prevenire tali fenomeni, operando i controlli sul lavoratore solo in casi di necessità defensionali (vedasi riscontro di accesso a siti illeciti da parte dell'ip aziendale). Tale obiettivo potrà essere raggiunto individuando: categorie di siti correlati o meno con la specifica attività lavorativa; adozione di black-list aventi ad oggetto siti o spazi Web contenenti determinate parole; configurazione di sistemi che limitino, monitorino o escludano download di file o programmi aventi particolari caratteristiche. Navigazione Web - Microsoft ISA Server 2006 permette di gestire la navigazione verso Internet utilizzando delle Policy. Le Policy possono permettere o negare la navigazione a seconda: del Sito destinazione (es: voglio impedire la navigazione verso un sito di gioco online: Poker.it); dell utente che ha effettuato la ricerca (voglio impedire agli utenti di scaricare contenuti, ma voglio permettere agli amministratori di scaricare driver o aggiornamenti); dell ora di connessione (Posso permettere la navigazione verso i siti dei quotidiani nazionali, ma solo durante la pausa pranzo); della tipologia di contenuto richiesto (voglio impedire il download di certe tipologie di contenuti, es filmati, audio, ecc.). Conservazione dei log di connessione e individuazione procedure e soggetti preposti per verifica navigazione singola postazione - In Isa Server i log di connessione vengono conservati in un database (Microsoft SQL Express o Microsoft SQL Server Standard). È possibile rimuovere i log utilizzando degli script per ripulire il Database. Tramite i log di connessione e i Report di ISA è possibile individuare l utente (lo Username con cui si autentica alla propria postazione o in rete) e la postazione da cui ha effettuato la navigazione. È possibile configurare ISA in modo che solo i soggetti preposti al controllo possano accedere ai log di connessione ai Report. 9 P a g i n a

11 Registrazione degli accessi degli amministratori Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Nei sistemi operativi Microsoft, da windows NT in poi, è possibile registrare gli accessi al computer e agli oggetti (file, cartelle) nel computer. Per attivare la registrazione è necessario usare le Group Policy. Se i computer fanno parte di un dominio, è possibile usare Group Policy a livello di dominio, valide per tutti i computer del dominio o della Organisational Unit. Se i computer fanno parte di un Workgroup è possibile utilizzare le Group Policy locali. Bisogna configurare le Group Policy locali per ogni computer. È possibile registrare varie operazioni, tra cui: accesso al computer (evento di logon); accesso agli oggetti; è possibile registrare i tentativi di accesso che hanno avuto successo o quelle che sono state bloccate. ACS (Audit Collection Services) è il servizio di Operations Manager che permette di raccogliere i log di sicurezza in tempo reale dai vari serve e postazioni di lavoro distribuiti in azienda e collezionarli in un unico database (SQl Server) sul quale possono essere mantenuti e acceduti da persone identificate e diverse dagli amministratori dei sistemi. Posta elettronica Per contemperare le esigenze di accesso ai contenuti della posta elettronica aziendale da una parte, ed il diritto alla tutela della segretezza della posta, dall altra, la policy interna potrà evidenziare l'obbligo di utilizzo della posta elettronica per esclusivi fini aziendali. La pratica quotidiana ci dimostra come siano spesso necessari accessi a o file allegati ad , in assenza del personale o per condivisione da parte di più aree della medesima azienda. 10 P a g i n a

12 Sarà dunque opportuno che il datore di lavoro ponga a disposizione dei lavoratori: indirizzi di posta elettronica condivisi tra più lavoratori; invio automatico di messaggi di risposta; allocazione posta elettronica su apposito server. Microsoft Exchange Server 2007 consente all interno delle organizzazioni aziendali di supportare I requisiti di conformità per i sistemi di messaggistica ed in particolare di . Questi criteri di conformità includono il data retention e la ricerca, il controllo dell accesso ai dati e più in generale la possibilità di creare regole e procedure di forzatura sull utilizzo della mail. Sono sempre più importanti i criteri di sicurezza nello scambio delle informazioni che organizzazioni come quelle nell ambito finanziario, farmaceutico ed altre, sono tenute ad implementare. Microsoft Exchange Server 2007 abilita nativamente questo tipo di scenari che supportano i requisiti richiesti. Individuazione requisiti minimi di complessità e criteri di conservazione per le password e gestione credenziali di autenticazione Individuazione requisiti minimi di complessità per le password Individuazione criteri di conservazione delle password Disattivazione credenziali di autenticazione non utilizzate Individuazione procedure di disattivazione Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc Individuazione requisiti minimi di complessità per le password - Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: criteri per le password utente; lunghezza minima della password; scadenza della password; tempo minimo prima di poter cambiare la password; numero di password che vengono registrate (e che non è possibile utilizzare quando si cambia la password); criteri di alta complessità (lettere-numero, maiuscole, caratteri non alfanumerici). 11 P a g i n a

13 Individuazione criteri di conservazione delle password e Disattivazione credenziali di autenticazione non utilizzate - Policy di blocco delle password in caso di tentativo di accesso falliti: numero di tentativi sbagliati dopo il quale l utente viene bloccato; intervallo di tempo dopo il quale viene azzerato il contatore degli errori di inserimento della password; tempo di blocco dell utente (è possibile bloccare l utente per un intervallo di tempo, oppure bloccarlo indefinitamente fino all intervento dell amministratore). Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer. Se i computer fanno parte di un dominio è possibile: impedire l accesso ai computer della rete se non a utenti autorizzati tramite credenziali di accesso (username/password); gestire l autorizzazione alle risorse (File, Cartelle, Stampanti, Cartelle condivise) usando le credenziali di accesso. Istruzioni in ipotesi di assenza temporanea o permanente del lavoratore dal pc - Se la rete aziendale è basata su un dominio, è possibile utilizzare le Group Policy di dominio, presenti da Windows 2000 Server in poi. Le Group Policy sono applicate a tutti gli utenti e i computer che fanno parte del dominio e permettono di definire: l utilizzo di Screen Saver protetto da Password; il tempo attivazione dello Screen Saver (dopo un certo numero di minuti di inutilizzo del computer). Se la rete aziendale non è basata su un dominio ma è un semplice workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer. Segmentazione della rete Nel rispetto delle previsioni di cui al Decreto Legislativo n. 196/2003, occorre che ciascun lavoratore tratti (e quindi acceda) dati accedendo esclusivamente all'ambito del trattamento consentito (art. 30, II comma Decreto Legislativo n. 196/2003). La segmentazione della rete consentirebbe evidentemente di razionalizzare l'accesso per aree e gruppi di lavoro, consentendo di adempiere al dettato normativo con il minimo impatto organizzativo. Sia per i domini di grandi dimensioni che per i piccoli gruppi di lavoro, implementare lo standard IPSec (IP Security) significa trovare un equilibrio tra la disponibilità delle informazioni al maggior numero di utenti possibile e la protezione delle informazioni riservate dall'accesso non autorizzato. In sostanza, l'isolamento 12 P a g i n a

14 di server e domini consente agli amministratori IT di limitare le comunicazioni TCP/IP dei membri di dominio che sono computer attendibili. È infatti possibile configurare tali computer in modo da consentire solo le connessioni in ingresso provenienti da altri computer attendibili o da un determinato gruppo di computer considerati attendibili. Il controllo degli accessi viene gestito centralmente tramite Criteri di gruppo per Microsoft Active Directory, che controlla i diritti di accesso alla rete. È possibile garantire la protezione di gran parte delle connessioni alla rete TCP/IP senza apportare modifiche all'applicazione, in quanto IPsec interviene a livello di rete, inferiore al livello applicazione, fornendo protezione end-to-end tra computer per l'autenticazione e a livello di pacchetto. Il traffico di rete può essere autenticato, o autenticato e crittografato, in diversi scenari personalizzabili. Adozione procedure di back-up centralizzato Tale aspetto è di particolare rilievo su più fronti: dal punto di vista del lavoratore, per consentirgli di avere consapevolezza circa la sussistenza delle risorse che eviteranno la perdita di dati, informazioni e quindi lavoro; dal punto di vista del datore di lavoro, per evitare inutili perdite e per adeguarsi all'obbligo normativo che in particolare sul fronte dei dati, dispone un obbligo di ripristino di alcune tipologie di dati, con tempi molto ridotti. Usando le funzionalità di NTBackup (strumento presente in tutti i sistemi operativi da Windows 2000 in su) è possibile eseguire un backup centralizzato dei dati utente presenti nel profilo centralizzato e nelle home directory. Ovviamente i dati salvati localmente sul computer dell utente non vengono salvati. Protezione da rischi di intrusioni esterne e da rischi di danneggiamento dell'integrità delle risorse e dei loro contenuti Questo aspetto combina un obbligo normativo con un interesse aziendale, ovvero quello di ridurre le vulnerabilità della rete aziendale rispetto agli accessi dall'esterno. Gli strumenti elettronici acquisiti devono essere aggiornati con cadenza semestrale; la policy interna avrà l'obiettivo di istruire i lavoratori su come operare evitando di alterare tali protezioni e provvedendo ad incrementarle laddove opportuno. Nell'ottica del legislatore che nel citato Allegato B ha inserito questo obbligo normativo, le intrusioni esterne sono atte a compromettere integrità e riservatezza di dati ed informazioni, ecco la ratio dalla quale nasce l'obbligo di adozione degli strumenti elettronici idonei a ridurre i rischi. L'adozione di antivirus - 13 P a g i n a

15 centralizzati o meno - consente di ridurre i rischi di danneggiamento parziale o totale, dell'integrità di dati/informazioni/risorse informatiche. È possibile utilizzare le funzionalità di Firewall di ISA server. Per proteggere dai virus i server e i client è possibile utilizzare Forefront client security. Microsoft Forefront Client Security è uno strumento unificato di facile gestione per la protezione dal malware dei sistemi operativi di computer desktop, portatili e server aziendali. Protezione da rischi di salvataggio interno non autorizzato Partendo dal presupposto che sulla base della normativa privacy, è onere del datore di lavoro organizzare la gestione dei dati e delle informazioni al fine di consentirne l'accesso ed il trattamento esclusivamente ai lavoratori designati, adottare dei sistemi di monitoraggio dei salvataggi delle informazioni, consente di scongiurare errori in buona fede da parte dei lavoratori, o condotte volontarie volte a carpire dati o informazioni. Gli utenti possono salvare i file aziendali su supporti rimovibili (salvarli su Chiavi USB, dischi esterni USB, masterizzarli su un CD/DVD). Per evitare questi comportamenti è possibile, solo per client Windows Vista, inibire l uso di periferiche USB (dischi, Chiavi) o inibire l uso di masterizzatori CD/DVD. Per inibire l uso di queste periferiche si utilizzano le Group Policy (valide solo per Windows Vista) di dominio. Se i client Vista fanno parte di un workgroup è possibile definire le stesse Policy, solo che vanno configurate manualmente su ogni computer. Se i client sono Windows XP non è possibile inibire l uso di periferiche USB o masterizzatori solo utilizzando le Group Policy, ma bisogna utilizzare degli specifici Software di terze parti a pagamento. Protezione documenti o mail in fase di creazione La protezione dati ed informazioni sancita dal legislatore può avere origine sin dalla creazione del dato o dell'informazione, eliminando alla base i rischi che potrebbero sorgere durante questa fase. Limitare pertanto la gestione del documento rispetto ad eventi esterni, consente di minimizzare il rischio di accesso o conoscibilità del dato o dell'informazione. 14 P a g i n a

16 Microsoft Windows RMS (Rights Management Services) è una tecnologia server per Windows Server 2003 che certifica le entità trusted, concede in licenza le informazioni protette con RMS, registra server e utenti e amministra le funzioni di gestione dei diritti. La tecnologia RMS agevola le fasi di installazione che permettono alle entità trusted di utilizzare le informazioni protette con RMS. È possibile ampliare RMS per supportare caratteristiche aggiuntive utilizzando il Software Development Kit (SDK) di Servizi Microsoft Windows Rights Management. Cifratura di particolari dati o informazioni La cifratura rappresenta una delle misure minime di sicurezza che il legislatore prevede in caso di trattamento dati sensibili e/o giudiziari; in realtà questa misura consente una protezione delle informazioni aziendali che va oltre l'obbligo giuridico, consentendo di evitare rischi connessi a condotte di violazione del segreto aziendale. Le funzionalità differiscono a seconda dei sistemi operativi utilizzati. Client Windows XP - È possibile cifrare i dati contenuti in una cartella, ma non tutto il disco del sistema operativo. La chiave di cifratura viene salvata nel profilo utente. Windows Vista - È possibile cifrare i dati contenuti in una cartella ma è anche possibile cifrare tutto il disco del computer. La chiave di cifratura può essere salvata, oltre che su disco, anche in uno specifico modulo Hardware (il modulo TPM, ormai molti laptop ne sono provvisti). Windows Vista fornisce quindi una soluzione più sicura e flessibile. 15 P a g i n a

17 Tabella delle soluzioni Project++ per una efficace gestione della Privacy Compliance Di seguito si riportano le metodologie discusse nella sezione Confomità alla Privacy del presente documento, con i riferimenti incrociati alle soluzioni offerte da Project++. Soluzione Microsoft ISA Server 2006 Audit Collection Services Microsoft Exchange Server 2007 IP Security NTBackup Microsoft Forefront Client Security Microsoft Rights Management Services Vantaggi Gateway per la sicurezza integrato che protegge dalle minacce di Internet fornendo agli utenti connessi alla rete aziendale un accesso sicuro ad applicazioni e dati. Consolida singoli registri di protezione in un database gestito a livello centrale e filtra ed analizza gli eventi utilizzando gli strumenti di analisi dei dati e di reporting forniti da Microsoft SQL Server Affidabile sistema di messaggistica dotato di protezione integrata contro la posta indesiderata e i virus. Permette, in tutta sicurezza, di accedere alla posta elettronica, alla segreteria telefonica, ai calendari e ai contatti da una vasta gamma di dispositivi e da qualsiasi postazione. Standard per ottenere connessioni basate su reti IP sicure attraverso la cifratura e l'autenticazione dei pacchetti IP. Esegue il backup, l'archiviazione ed il ripristino dei dati di Microsoft Exchange Server Soluzione unificata, facile da gestire e controllare, per la protezione da virus e spyware dei sistemi operativi desktop, laptop e server aziendali. Protegge i file e i documenti riservati evitando utilizzi non autorizzati delle informazioni digitali, sia in linea che non in linea, all'interno e all'esterno del firewall. Come iniziare Il primo passo nella creazione di un piano di prevenzione e risposta consiste nell'identificare i tipi di dati da proteggere e dove tali informazioni siano esposte, a livello aziendale. Una volta stabilite le informazioni prioritarie per l'organizzazione e la gravità del rischio di perdita di dati, occorre valutare la rete e identificare le aree dell'infrastruttura che lasciano vulnerabili agli attacchi esterni. Per molte organizzazioni il processo ha inizio con una valutazione del rischio on-site. Ne consegue un piano d'azione dettagliato, che comprende istruzioni per limitare i rischi interni ed esterni e attività consigliate per ridurre ed eliminare le aree di esposizione nell'intera azienda. Solo grazie a questa fase di analisi è possibile individuare i servizi/prodotti più idonei a garantire la sicurezza dei dati aziendali scegliendo tra le soluzioni Microsoft, GFI o Funkwerk. 16 P a g i n a

18 Attiva, dal 1998, nel mondo dell Information & Communication Technology ed operativa nei settori Business Intelligence, Gestionali aziendali e Sistemi, la Project++ è Microsoft Certified Partner grazie ad un approfondita conoscenza delle architetture ed alla quotidiana esperienza acquisita sulle infrastrutture dell Azienda di Redmond. È reseller ufficiale delle soluzioni professionali di protezione Web e posta elettronica, archiviazione, backup e fax, servizi di rete e sicurezza realizzati dall americana GFI su scala mondiale. È Star Partner della Funkwerk Enterprise Communications, società tedesca leader tecnologico e commerciale di sistemi professionali di comunicazione. Project++ srl Business Intelligence > Gestionali > Sistemi Via Michele Mastelloni, Foggia Telefono: Fax: