Standard ISO 27000:27002

Installare un firewall non vuol dire fare sicurezza informatica

Questo è ciò che ha affermato, il 17 marzo scorso, nel discorso di apertura del convegno tenuto a Houston in Texas da Josh Ray, uno dei massimi esperti internazionali di cyber sicurezza per la Verisign, Vice Presidente della sezione iDefence Security Intelligence e relatore per quest'anno per la: "Cyber-sicurezza nelle criticità delle infrastrutture sensibili"; iniziando il simposio, dove eravamo presenti con un nostro piccolo, ma importante gruppo di amici che come noi sono analisti di sicurezza.

Molte aziende che offrono servizi software alle imprese dicono di essere capaci di fare sicurezza informatica solamente perché vendono o istallano un firewall, ma spesso questi pseudo-concorrenti dimenticano che la Network Security ha bisogno di competenze specifiche e certificate che richiedono anni di studio e di preparazione; soprattutto per avere quell'esperienza necessaria nel saper riconoscere in modo preciso quei linguaggi o anche quei meccanismi che gli hacker e i delinquenti informatici utilizzano per nascondendosi dentro aziende terze di servizi alle imprese, creando falle nei sistemi di rete dei clienti per completare i loro exploit senza essere minimamente sospettati e, sottrarre così, tutto ciò che abbia un valore di scambio in denaro alle vittime designate.

Questi pirati informatici spesso lavorano presso aziende che di facciata compiono un lavoro rispettabile. Del resto, abbiamo scoperto che è proprio in questo modo, che si guadagnando la fiducia delle loro stesse vittime e così possono guadagnare più velocemente con il traffico illecito dei dati, mettendo a rischio il profitto dei loro stessi clienti.

Sembra impossibile, ma come dicevamo, noi abbiamo scoperto decine e decine di casi di questo genere e - vi assicuriamo - che tra il prima ed il dopo, il nostro cliente ci ha sicuramente guadagnato.

Per questo e, per altre ragioni più brutte ancora, non bisognerebbe mai affidare il firewall e la gestione della sicurezza informatica delle e-mail a chi vi fornisce il vostro gestionale o ancora a semplici sistemisti - o altro - che non sia un valido Network Security certificato.

Noi siamo partner certificati di grandi aziende leader nel mondo della sicurezza informatica e non abbiamo conflitti d'interessi in atto. Quindi, sappiamo come darvi la vera tranquillità informatica che cercate.

Richiedi le nostre certificazioni di parternariato internazionale contattaci.

Le informazioni telematiche hanno il loro punto debole proprio nel loro punto di forza

La comunicazione telematica permette la trasmissione di un'infinità di dati e - le informazioni - permettono al business di essere più fruttuoso.

Ma il guadagno, realmente a chi va, se in passato per tanti anni gli imprenditori e proprietari d'azienda hanno fatto molti denari pur non avendo nessuna di queste ultime tecnologie al loro servizio?

Si potrebbe dire che ora la pressione delle tasse in Italia sia troppo alta rispetto alla capacità che offre il mercato di crescere per cui nei prossimi anni solo le aziende che riusciranno a difendere i propri interessi ed ad essere veramente concorrenziali in un mercato internazionale potranno realmente crescere.

Ed è proprio così. Ma, senza una reale capacità di calcolo, non si conclude molto ed una cosa sola emerge rispetto al passato che ha bisogno di essere sottolineata ed è che: tenere al sicuro i dati informatizzati è molto più importante adesso che allora, visto che tutto viaggia su Internet e che di DIR buoni, ce ne sono sempre meno e quei pochi fanno gola a tanti.

Relazione tra hacker e soldi

Gli hacker informatici come guadagnano?
Immaginate di essere al comando di un'azienda estera in un Paese in via di sviluppo che è vincolata a crescere e lo può fare perché è favorita da leggi che non penalizzano l'attacco informatico con pene certe.

Non vorreste avere al vostro comando un programmatore che carpisca "silenziosamente" dei dati che poi fanno raddoppiare il vostro fatturato?
A quel punto - per la vittima prescelta - tutto è a rischio: preventivi, offerte, ascolto delle comunicazioni e lettura delle e-mail in tempo reale, controllo e sottrazione di nuovi potenziali clienti, eventuali nuove proposte a nuovi potenziali clienti, accesso alla video sorveglianza per riconoscere chi entra e chi esce dagli appuntamenti, appropriazione indebita di tecniche produttive, progetti nuovi, ma anche vecchi, lista fornitori e tanto altro ancora utile a fare cassa.

Quelli che noi chiamiamo hacker o delinquenti informatici, in altre parti del mondo sono solo dei bravi dipendenti.

Per continuar ad avere un profitto reale - al giorno d'oggi - bisogna saper proteggere bene le proprie comunicazioni perché la forza del vostro profitto, corre da voi alle connessioni delle infrastrutture di rete, delle vostre e-mail ai vostri server, dai gestionali che gestiscono tutti i vostri interessi, al valore della lista clienti/fornitori fino a tutto ciò che è disponibile sui vostri cellulari e tablet.

Quindi investire in sicurezza informatica è innanzitutto utile al profitto se volete che il vostro guadagno resti solo vostro.

Facciamo un test.

Ad ogni risposta corrisponderà un punteggio.
Un valore risultante sarà espresso al termine del test.

Chi ha bisogno di sicurezza?
Nessuno 0* - Tutti 1
Siete sicuri che i vostri fornitori di prodotti e servizi compiano bene il loro lavoro?
Sì 1 - No 1
Avete un firewall?
Sì 1 - No 0
Avete uno schema puntuale della vostra rete informatica?
Sì 1 - No 0
Siete sicuri che i vostri ex-dipendenti o il personale di aziende terze non rivendano i vostri dati utili per farne un loro profitto?
Sì 1 - No 0
I DNS del nome a dominio su cui appoggiate le vostre email aziendali sono criptati o sono completamente in chiaro?
Sono criptati 1 - Sono in chiaro 0
I vostri dati sono al sicuro o ancora credete a chi vi fa credere che non avete dati da proteggere?
Sono al sicuro 1 - Non ho dati da proteggere 0
Il vostro firewall è stato controllato da un Network Security Manager oppure da un istallatore di sistemi hardware?
Network Security Manager 1 - Sistemista o rivenditore 0

_Se il vostro punteggio è pari da 0 a 3 avete un pericolo molto alto di avere un attacco informatico silente in atto. 70% di probabilità
_Se avete raggiunto almeno 4 punti avete una media protezione contro le violazioni informatiche silenti. 60% di probabilità
_Se il punteggio raggiunto è superiore ai 6 punti avete ottenuto un appena sufficiente di sicurezza informatica. 40% di probabilità
_Se avete raggiunto gli 8 punti siete al massimo della sicurezza informatica e avete solo il 20% di probabilità, ma ancora non siete al sicuro dagli attacchi silenti e - non potendo misurare l'entità dell'attacco - questo vi porta ad avere il 50% delle possibilità che questo sia in atto.
Per cui è sempre meglio fare un controllo preventivo. Chiamateci e vedremo di farvi la nostra migliore offerta in promozione. Contattaci ora!

*Sembrerebbe essere un valore paradossale, ma in realtà questi sistemi inattaccabili esistono e sono dei sistemi militari con tecnologie parallele che utilizzano Reti Intranet scollegate fisicamente da Internet e da ogni altro sistema operativo di trasmissione dati.

Provate a pensare - per un attimo - se un hacker potesse deviare la traiettoria orbitale di uno solo delle migliaia di satelliti che sfrecciano sopra la nostra testa. Cosa succederebbe.

Difatti, questi sistemi, utilizzano per comunicare ponti radio con nuovi algoritmi di criptazione nati dopo le scoperte dei matematici quantistici che hanno offerto nuove possibilità con la criptazione ellittica che calcolata su infiniti piani x,y,z sono difficili da intercettare per cui il terzo punto del vettore non è elaborato in tempi brevi anche per i computer quantistici già in commercio e utilizzati per esempio da Amazon o altri grandi colossi dell'informatica. Tra breve forse anche da Google.

Lo standard ISO/IEC 27002

Lo standard UNI CEI ISO/IEC 27002:20014 amplifica e puntualizza una "Raccolta di prassi sui controlli per la sicurezza delle informazioni" che migliora la precedente sopra indicata nel titolo di questa pagina e definisce, classificando tre ordini principali d'integrità della Norma per la gestione della sicurezza informatica che è entrata in vigore questo 2016 evidenziano l'importanza della difesa delle proprie informazioni con il completamento delle Best Praticles che possono essere suddivise in 10 punti principali con alcune osservazioni in merito per agevolare l'obbligo di adeguamento che, nei prossimi due anni bisogna fare, onde evitare sanzioni o qualunque genere di cyber-attacco, conosciuto fino ad ora.

La sicurezza informatica è subordinata ai 10 perimetri di controllo, assegnati dai disciplinari internazionali della difesa*.

*Ve ne sono diversi, ma quasi tutti trovano spunto dai protocolli di difesa e sicurezza militare del U.S. Departement of Defence. Anche se noi abbiamo scelto di presentare lo standard ISO 27oo2 (Organo Internazionale della Normazione) utilizzato anche nella normativa appena approvata e che è quello accettato comunemente dall'Europa che ha imposto l'applicazione della norma già emanata nel 2oo7.
Essa comprova la specificità della normativa che impone alle aziende di perseverare su una continua ricerca della norma anche per il loro stesso bene.

Approfondiamo quali sono:

1) Security Policy

Conferimento ad una persona di funzioni importanti per delimitare i rischi e preordinare le registrazione delle comunicazioni secondo sicurezza e privacy. Tutte queste cose devono essere ben delineate e molto comprensibili agli tutti operatori.

2) Security Organization

Gestione e controllo dei sistemi, in seno all'azienda.
Provvedere ai processi di accesso alle informazioni del personale e organizzare un accesso limitato a terze parti con protocolli assegnati e responsabilità identificate.
Chi fa cosa e quando lo fa.
Se la gestione ed il controllo viene dato in outsourcing delimitare ulteriormente le responsabilità e prefissare in un contratto i limiti delle Parti in gestione.

3) Asset Classification and Control

Controllo e classificazione dei beni per mantenere un focus costante sulla protezione dell'assetto organizzativo aziendale e garantire che le informazioni sensibili ricevano un adeguato livello di protezione.
Esempio: Lista Fornitori/Clienti - Prezzi - Promozioni - Settore ricerca e sviluppo - Sistemi produttivi.

4) Personnel Security:

La sicurezza del personale deve contribuire a far diminuire il rischio dell'errore, della fuga di informazioni, di furto, di frode o abusi da parte di operatori - interni o esterni all'azienda.
Formazione agli utenti sulle possibili minacce e sulle buone pratiche per minimizzare i danni da attacchi informatici Layer 1.

5) Physical and Environmental Security

la sicurezza fisica e ambientale deve impedire l'accesso non voluto, il danneggiamento o l'interferenza dei non autorizzati all'interno del flusso delle informazioni del business.
Impedire perdita, danni o abuso all'assetto del sistema e all'interruzione delle attività produttive, economiche e di sussistenza per impedire la manomissione o il furto delle informazioni.

6) Communications and Operations Management

Gestione delle comunicazioni interne ed esterne dell'azienda con operazioni che devono accertare corretto funzionamento delle infrastrutture di Rete e della facilità di elaborazione dell'informazione, minimizzando al tempo stesso i il rischi il rischio dei guasti al sistemi. Proteggere l'integrità del software e delle informazioni che vi vengono immesse anche dal personale che le utilizza, accertandosi di mantenere l'integrità e la validità dei processi di elaborazione delle informazioni e della loro comunicazione anche mediatica dell'azienda.
L'immagine aziendale nell'era della comunicazione vuol dire molto di più di quanto si pensi.

Garantire la salvaguardia delle informazioni in Rete e la protezione delle infrastrutture a supporto.
Prevenire i danni ai beni e le interruzioni alle attività economiche.
Impedire: la perdita, la modifica o l'abuso delle informazioni scambiate fra le grandi organizzazioni: pubbliche o private, PMI o aziende di sussistenza.

7) Access Control

Controllo agli accessi. Proteggere le informazioni utili. Impedire la penetrazione dei sistemi informativi occulti che possono arrecare danni ai sistemi di protezione dei servizi in rete.
Bloccare ogni accesso non autorizzato al database e/o ad altre liste organizzate.
Controllo, bonifica e ubicazione degli apparati di rilevamento delle infiltrazioni anche ambientali.
Accredito dei livelli di sicurezza per le informazioni sensibili a postazioni mobili di rete.

8) System Development and Maintenance

Sviluppo e manutenzione di sistemi che accertino la sicurezza all'interno dell'ingegneria di sistema con un controllo degli accesi e delle operazioni, in esecuzione - fare attenzione ai Keylogger - per bloccare la perdita di dati o un eventuale utilizzo errato dei codici in applicazioni Legacy anche all'interno di sistemi di rilevamento Firewall che devono essere sempre aggiornati - in tempo reale, meglio per proteggere: la riservatezza, l'autenticità e l'integrità delle configurazioni - Attenzione allo 0 Day nelle configurazioni degli hardware e dei software in uso.
Verifica della continuità e della sussistenza di tutto il sistema che deve restare integro.

9) Business Continuity Management

Gestione della continuità operativa e alta affidabilità dei sistemi. Impostazioni di Disaster Recovery - Immagini Disco e Storage per garantire l'attività anche dopo un evento traumatico per tutta l'azienda - incendio, catastrofi ambientali o guerra.

10) Compliance

Attività di adeguamento continuato e mirato al rispetto delle leggi civili, penali o di qualsiasi altro requisito di standard di sicurezza inclusi quelli informatici che devono elevare l'efficienza dei sistemi aziendali anche attraverso verifiche periodiche.


Vai a Consulenza ICT oppure a Soluzioni Professionali