La protezione sia delle reti sia dei dati nel rispetto delle sempre più stringenti norme in materia, al fine di tutelare l’azienda dai tanti e svariati danni associati alla perdita dati, ha reso la sicurezza in azienda un obbligo indipendente dalla grandezza e dal business di riferimento dell’azienda stessa.
È importante che si affermi nelle aziende la consapevolezza che tale processo debba essere strutturato, come approfondito su AgendaDigitale nell’articolo Protezione reti e dati in azienda, le cose più importanti da fare (e sapere) e richiede competenze specifiche in quanto potrebbe avere importanti ricadute sulla cyber security.
Installare e configurare dispositivi e sistemi è un’attività complessa: è pertanto necessario affidare la configurazione iniziale di tutti i sistemi e dispositivi a personale esperto, interno o consulenti esterni, responsabile della loro sicurezza, oltre ad eseguire periodicamente backup delle informazioni e dei dati critici per l’azienda, conservandoli in modo sicuro.
Un supporto arriva dai sistemi che possono essere acquistati da terze parti, ma non bisogna dare per scontato che questi offrano un adeguato livello di protezione di base.
Vi sono comunque alcune accortezze di base da seguire al fine di ottenere un alto livello di protezione che possono essere riassunte in:
- tutte le password di fabbrica (di default) sui dispositivi devono essere modificate. Gli account non nominali dovrebbero essere sostituiti da account nominali oppure assegnati a un unico soggetto responsabile;
- buona regola è il disabilitare l’avvio automatico di software caricato su supporto esterno, mentre sui dispositivi portatili è opportuno abilitare la codifica sicura delle memorie di massa;
- tutti i dati, le configurazioni e le informazioni critiche per l’azienda devono essere soggetti a back up periodici, conservati in sistemi diversi;
- il processo di backup deve essere automatizzato e i backup devono essere periodicamente verificati per accertare che siano effettivamente utilizzabili;
- avere almeno due destinazioni per il back up, una locale e una remota (off-site backup). La destinazione remota, laddove i regolamenti lo permettano e l’opzione sia economicamente vantaggiosa, può essere su cloud cifrando i dati.
Reti e sistemi devono inoltre essere protetti da accessi non autorizzati attraverso strumenti specifici, software e hardware, basandosi sul loro corretto funzionamento/configurazione. Fra questi possiamo trovare firewall, Intrusion Detection/Prevention System e Mail/Web Filter: strumenti utili a proteggere sia l’intera rete aziendale, sia segmenti e settori delle stesse reti, che possono ad esempio bloccare attacchi che da internet arrivano alla rete, isolando i dispositivi infetti.
Queste misure, parte della tipologia di difesa comunemente chiamata defense-in-depth, si basano su una adeguata segmentazione della rete e dei sistemi in domini di protezione separati e si ritiene permetta un notevole livello di protezione anche verso attacchi molto sofisticati.
Un’attenzione particolare va inoltre posta verso la protezione delle reti wireless, la cui cattiva configurazione unitamente alle ultime falle scoperte nei più popolari protocolli, apre importanti rischi di sicurezza a causa della possibilità di intrusione anche all’esterno dell’azienda.
Esistono diversi sistemi per criptare le connessioni e renderle più sicure. La scelta della chiave di sicurezza di rete e, quindi, del corretto livello di crittografia è altrettanto importante per garantire l’inviolabilità di una LAN wireless.
La maggior parte degli access point sono programmati per gestire tre tipologie di standard crittografici: Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) o Wi-Fi Protected Access2. Una sintesi delle varie caratteristiche per capire cosa sono le chiavi di sicurezza di rete wireless e come funzionano nell’articolo Sicurezza wireless: le differenze tra la crittografia WEP, WPA e WPA2 di ZeroUnoWeb.
Queste reti, inoltre, sono spesso usate dai dipendenti per collegare i propri dispositivi personali, senza che gli amministratori abbiano un reale controllo sui rischi a cui i sistemi vengono esposti, aprendo ulteriori vulnerabilità all’intera rete. Una possibile soluzione potrebbe essere quella di permettere l’accesso alle reti wireless solo a dispositivi precedentemente registrati e quindi noti al sistema.
A cura di Jusef Khamlichi Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Information & Cyber Security Back office Management Partners4Innovation
