Principi di applicazione tecnica delle policy di sicurezza

Indice

Questo articolo, dedicato principalmente a chi non conosce il mondo della sicurezza informatica, è stato pensato per spiegare “come”, “quando” e “cosa” proteggere all’interno di una rete aziendale.

Il punto di partenza.

Partiamo da due assunti di base:

  1. Tutti abbiamo qualcosa da proteggere.
  2. Tutti siamo potenzialmente minacciati.

Che sia una rete domestica o una aziendale, c’è sempre qualcosa da proteggere. Qualcosa che chiameremo “tesoro”. Il nostro tesoro, all’interno di una rete aziendale, sono i dati del lavoro dei dipendenti, le informazioni amministrative, quelle private. All’interno della rete domestica, invece, potremmo avere documenti riservati, film, musica, foto, tutte cose che apparentemente hanno meno valore ma in realtà hanno un valore diverso. Diverso significa che il dato ha una valenza più emotiva che professionale ma non per questo è considerabile meno importante.

Il fatto stesso che queste informazioni siano rilevanti, comporta che esse possano essere soggette a diverse tipologie di minacce: furto, sabotaggio, ecc… ed il rischio aumenta e diventa più sensibile, man mano che le informazioni aumentano di valore.

Di conseguenza diventa inevitabile proteggere i nostri dati con diversi strumenti tra cui antivirus, firewall ma, soprattutto nei contesti aziendali, anche con l’applicazione di regolamenti e filtri di navigazione che, per il momento, racchiuderemo sotto il nome di security policy, ossia di politiche di sicurezza.

“Chi” e “Perché”

Le policy sono applicate, tecnicamente, dal reparto IT di un’azienda ma possono essere decise e richieste anche dalla parte di management. Ciò che fa la differenza è la loro connotazione. È quindi necessario fare una dovuta distinzione tra:

  • Policy di carattere tecnico.
  • Policy di carattere organizzativo.

Le policy di carattere tecnico sono legate squisitamente alla protezione dei dati e del confine aziendale all’interno della rete intranet della compagnia.

Le policy di carattere organizzativo sono invece legate a logiche di conduzione aziendale e, spesso, consistono in filtri e restrizioni.

Sono ambedue molto importanti ma il loro criterio di applicazione è profondamente diverso. Mentre le prime sono quasi completamente “trasparenti” agli utenti finali, le seconde rappresentano delle vere e proprie restrizioni alla normale navigazione internet.

 “Quando” e “Come”

Come ogni misura di sicurezza la prima domanda che andrebbe posta, al di là del “perché” è “quando” e “come” applicare le policy di carattere organizzativo. È fisiologico che, all’interno di ogni azienda, il personale sia incline a lavorare alternando momenti di distrazione a momenti di attività. Pertanto il blocco non è indice di miglioramento di prestazioni anzi, spesso è causa di malumori e lamentele.

Per quanto riguarda il “quando” occorre specificare che questo tipo di policy potrebbero avere anche una durata temporanea e, generalmente, sono utilizzate in condizioni di “minaccia” alla sicurezza interna dell’azienda. Per cui viene aperta una piccola indagine per capire dove risiede il problema ma, nel frattempo, si limita la navigazione internet ai soli servizi essenziali.

Per quanto riguarda il “come” è indispensabile dire che sarebbe auspicabile anticipare la restrizione con una comunicazione che tenda a non colpevolizzare nessuno, per evitare ripercussioni nell’attività lavorativa quotidiana.

Le dimensioni…contano

È chiaro che un’azienda di grandi dimensioni si affiderà a restrizioni di navigazione per ridurre gli impatti di virus e malware sui sistemi, con conseguente riduzione dei problemi e degli interventi necessari a sistemarli. Questo comporta un’applicazione “massiva” di tale policy che ha molto meno senso in aziende di piccola dimensione.

Infine è importante riflettere che l’applicazione di una policy spinge i malintenzionati ad “aggirare” il problema, con conseguente contromossa del reparto tecnico e questo deve essere assolutamente tenuto in considerazione. Non avere i mezzi sufficienti per “reagire” ad una potenziale azione dannosa, comporterebbe danni collaterali non indifferenti.