Una corretta gestione dei sistemi informatici di un’azienda deve considerare centinaia di variabili, ed è importante effettuare le giuste scelte per ognuna di esse.

Qui di seguito c’è un elenco degli errori più comuni in materia di sicurezza informatica.

Politiche di sicurezza e normative:

  • Ignorare i requisiti di compliance normativa;
  • Dare per scontato che dipendenti e manager leggeranno normative, policy e memo solo perché gli è si chiesto di farlo;
  • Utilizzare modelli per la protezione senza personalizzarli;
  • Adottare framework come ISO 27001/27002 senza essere pronti ai cambiamenti richiesti;
  • Creare politiche di sicurezza che non è possibile far rispettare;
  • Applicare politiche che non sono state ancora approvate;
  • Realizzare politiche di sicurezza solo per spuntare una check-box tra “le cose da fare per l’azienda”;
  • Ingaggiare qualcuno per realizzare le politiche di sicurezza, senza che questi conosca la propria attività o processi;
  • In un ambiente multi-lingua può essere necessario tradurre le politiche di sicurezza nei diversi linguaggi. L’errore può essere la non coerenza tra le diverse traduzioni;
  • Considerare ottime delle politiche di sicurezza solo perché hanno funzionato nell’anno precedente;
  • Pensare che aver stabilito una politica di sicurezza voglia dire essere effettivamente sicuri;
  • Pensare che le politiche non siano applicabili ai dirigenti;
  • Nascondersi dagli auditor.

Strumenti per la sicurezza:

  • Distribuire un prodotto di sicurezza senza prima averlo messo a punto e testato;
  • Impostare l’IDS (Intrusion Detection System) per essere troppo, o troppo poco, selettivo;
  • Acquistare prodotti di sicurezza senza considerare la manutenzione ed i costi di implementazione;
  • Acquistare prodotti di sicurezza pensando che questi non abbiamo ed introducano problematiche di sicurezza;
  • Affidarsi unicamente ad Anti-virus e Firewall, senza effettuare ulteriori controlli;
  • Installare prodotti di sicurezza senza configurarli;
  • Esegui scansioni di vulnerabilità regolari, ma non tener conto dei risultati;
  • Lasciare che i software/hardware per la sicurezza lavorino in automatico;
  • Utilizzare diverse tecnologie senza comprenderne le implicazioni di sicurezza;
  • Acquistare un prodotto costoso quando uno più economico avrebbe potuto risolvere il problema, solo perché venduto da “IBM”.

Gestione dei rischi:

  • Utilizzare una stessa politica di sicurezza per tutte le risorse IT e tutte le divisioni dell’azienda, senza tener conto dei profili di rischio di ognuna;
  • Ingaggiare un responsabile alla sicurezza, senza fornirgli il potere di prendere decisioni;
  • Pensare che la propria azienda è troppo piccola e insignificante per proteggerla;
  • Non preoccuparsi perché non si è stati violati di recente;
  • Essere paranoici senza considerare il valore del bene o il suo fattore di esposizione;
  • Classificare tutti i dati come top secret.

Pratiche di sicurezza:

  • Non effettuare controlli periodici sui sistemi, appliances, apparati di rete, applicazioni e database;
  • Bloccare le infrastrutture in modo così stretto a tal punto che ottenere il lavoro diventa difficile, o impossibile;
  • Rispondere “no” ogni qual volta viene fatta una richiesta;
  • Imporre condizioni di sicurezza senza fornire gli strumenti e la formazione necessari;
  • Concentrarsi su i meccanismi di prevenzione, ignorando i controlli periodici;
  • Non avere una DMZ (Demilitarized Zone) per i server accessibili da Internet;
  • Dare per scontato che il vostro gestore delle patch stia lavorando, così da non controllarlo;
  • Eliminare i file di log perché sono troppo grandi da leggere;
  • Credere che SSL risolva tutti i problemi di sicurezza delle applicazioni web;
  • Vietare l’uso di unità USB, senza limitare l’accesso ad Internet;
  • Prevaricare con le proprie decisioni i responsabili della rete, dei sistemi e dei team di sviluppo;
  • Non tenersi aggiornati sulle nuove tecnologie e metodi d’attacco;
  • Adottare nuove tecnologie prima che siano maturate;
  • Assumere qualcuno solo perché ha un sacco di certificazioni;
  • Non informare gli altri responsabili dei problemi di sicurezza che i vostri sforzi hanno evitato;
  • Non formare sulle problematiche di sicurezza informatica lo staff IT, il personale ed i manager.

Gestione delle password:

  • Richiedere agli utenti di modificare le password troppo frequentemente;
  • Aspettarsi che gli utenti si ricordino le password senza scriverle;
  • Imporre password policy irrealistiche;
  • Usare la stessa password su sistemi diversi;
  • Imporre dei requisiti per le password senza considerare la facilità con la quale una password può essere reimpostata.

Vuoi conoscere la tua esposizione al rischio?

EasyAudit WEB é la soluzione entry level ideale per verificare siti web, portali, applicazioni web ed aree riservate.

EasyAudit NET ti permette di verificare la sicurezza della tua rete esposta ad internet.

Related posts