Gli errori più comuni nella IT Security

Una corretta gestione dei sistemi informatici di un'azienda deve considerare centinaia di variabili, ed è importante effettuare le giuste scelte per ognuna di esse.

Qui di seguito c'è un elenco degli errori più comuni in materia di sicurezza informatica.

Politiche di sicurezza e normative:

• Ignorare i requisiti di compliance normativa;
• Dare per scontato che dipendenti e manager leggeranno normative, policy e memo solo perché gli è si chiesto di farlo;
• Utilizzare modelli per la protezione senza personalizzarli;
• Adottare framework come ISO 27001/27002 senza essere pronti ai cambiamenti richiesti;
• Creare politiche di sicurezza che non è possibile far rispettare;
• Applicare politiche che non sono state ancora approvate;
• Realizzare politiche di sicurezza solo per spuntare una check-box tra “le cose da fare per l'azienda”;
• Ingaggiare qualcuno per realizzare le politiche di sicurezza, senza che questi conosca la propria attività o processi;
• In un ambiente multi-lingua può essere necessario tradurre le politiche di sicurezza nei diversi linguaggi. L'errore può essere la non coerenza tra le diverse traduzioni;
• Considerare ottime delle politiche di sicurezza solo perché hanno funzionato nell'anno precedente;
• Pensare che aver stabilito una politica di sicurezza voglia dire essere effettivamente sicuri;
• Pensare che le politiche non siano applicabili ai dirigenti;
• Nascondersi dagli auditor.

• Distribuire un prodotto di sicurezza senza prima averlo messo a punto e testato;
• Impostare l'IDS (Intrusion Detection System) per essere troppo, o troppo poco, selettivo;
• Acquistare prodotti di sicurezza senza considerare la manutenzione ed i costi di implementazione;
• Acquistare prodotti di sicurezza pensando che questi non abbiamo ed introducano problematiche di sicurezza;
• Affidarsi unicamente ad Anti-virus e Firewall, senza effettuare ulteriori controlli;
• Installare prodotti di sicurezza senza configurarli;
• Esegui scansioni di vulnerabilità regolari, ma non tener conto dei risultati;
• Lasciare che i software/hardware per la sicurezza lavorino in automatico;
• Utilizzare diverse tecnologie senza comprenderne le implicazioni di sicurezza;
• Acquistare un prodotto costoso quando uno più economico avrebbe potuto risolvere il problema, solo perché venduto da "IBM".

• Utilizzare una stessa politica di sicurezza per tutte le risorse IT e tutte le divisioni dell'azienda, senza tener conto dei profili di rischio di ognuna;
• Ingaggiare un responsabile alla sicurezza, senza fornirgli il potere di prendere decisioni;
• Pensare che la propria azienda è troppo piccola e insignificante per proteggerla;
• Non preoccuparsi perché non si è stati violati di recente;
• Essere paranoici senza considerare il valore del bene o il suo fattore di esposizione;
• Classificare tutti i dati come top secret.

• Non effettuare controlli periodici sui sistemi, appliances, apparati di rete, applicazioni e database;
• Bloccare le infrastrutture in modo così stretto a tal punto che ottenere il lavoro diventa difficile, o impossibile;
• Rispondere "no" ogni qual volta viene fatta una richiesta;
• Imporre condizioni di sicurezza senza fornire gli strumenti e la formazione necessari;
• Concentrarsi su i meccanismi di prevenzione, ignorando i controlli periodici;
• Non avere una DMZ (Demilitarized Zone) per i server accessibili da Internet;
• Dare per scontato che il vostro gestore delle patch stia lavorando, così da non controllarlo;
• Eliminare i file di log perché sono troppo grandi da leggere;
• Credere che SSL risolva tutti i problemi di sicurezza delle applicazioni web;
• Vietare l'uso di unità USB, senza limitare l'accesso ad Internet;
• Prevaricare con le proprie decisioni i responsabili della rete, dei sistemi e dei team di sviluppo;
• Non tenersi aggiornati sulle nuove tecnologie e metodi d'attacco;
• Adottare nuove tecnologie prima che siano maturate;
• Assumere qualcuno solo perché ha un sacco di certificazioni;
• Non informare gli altri responsabili dei problemi di sicurezza che i vostri sforzi hanno evitato;
• Non formare sulle problematiche di sicurezza informatica lo staff IT, il personale ed i manager.

• Richiedere agli utenti di modificare le password troppo frequentemente;
• Aspettarsi che gli utenti si ricordino le password senza scriverle;
• Imporre password policy irrealistiche;
• Usare la stessa password su sistemi diversi;
• Imporre dei requisiti per le password senza considerare la facilità con la quale una password può essere reimpostata.

EasyAudit WEB é la soluzione entry level ideale per verificare siti web, portali, applicazioni web ed aree riservate.

EasyAudit NET ti permette di verificare la sicurezza della tua rete esposta ad internet.