Analisi dei Rischi Informatici

---

Home » Analisi dei Rischi Informatici

ANALISI DEI RISCHI INFORMATICI E POLICY SULLA SICUREZZA AZIENDALE : UNA NECESSITA' FONDAMENTALE PER LE AZIENDE DI OGGI

Analisi dei Rischi Informatici


Gli incidenti di sicurezza provocati accidentalmente da personale interno all’azienda sono in aumento. E possono avere un impatto ben più negativo degli attacchi perpetrati in malafede. Ecco cosa emerge dall’ultima ricerca di mercato di RSA, la divisione sicurezza di EMC, commissionata ad IDC. Non esiste una singola soluzione che mitighi le minacce interne ma che si rende piuttosto necessario un approccio complessivo alla gestione del rischio ( come quello che si ha se viene applicata in Azienda una Policy Sulla Sicurezza Informatica ) che soddisfi al meglio il profilo di rischio dell’azienda e garantisca un controllo su tutti i fronti.
Si definisce un nuovo paradigma : "la sicurezza è responsabilità di tutti, non solo degli addetti ai lavori !".
Non è più sufficiente garantire una connessione cifrata (VPN) con l’azienda e una protezione da virus e malware, ma è necessario affrontare temi come la garanzie della riservatezza, dentro e fuori l’azienda, mantenere il controllo del livello di sicurezza di applicazioni e dati ospitati su un cloud pubblico o tutelare l’azienda nel caso di utilizzo di strumenti non pensati per l’utenza aziendale (tablet e smartphones).
I dipendenti intervistati da RSA dichiarano di aggirare spesso il reparto IT per acquistare servizi cloud e lavorare in maniera più efficiente per il "bene dell’azienda".
L’Azienda Moderna ha raggiunto un punto critico in cui ignorare la realtà della spesa per le nuove tecnologie come ad esempio il cloud non è più possibile ( il 23% dei dipendenti in europa ha ammesso di aver acquistato un servizio cloud esterno e di utilizzarlo in azienda per archiviare i propri dati insieme a quelli aziendali, in modo non autorizzato ).
I responsabili IT devono fare i conti con questa nuova realtà, fornendo la flessibilità che i dipendenti aziendali richiedono ( maggiore velocità nello scambio delle comunicazioni e dei materiali con i clienti e maggiore competitività lanciando una nuova offerta di prodotti e servizi che forniscano un valore aggiunto ) e, al tempo stesso, gestendo tutti i processi in modo sicuro grazie ad una sempre più necessaria introduzione in Azienda di una Policy Sulla Sicurezza Informatica.

La gestione del Rischio Informatico richiede una visione olistica della sicurezza che permetta di spostare l'attenzione da un problema contingente ad una visione complessiva nella quale vengono valutati costantemente molteplici fattori, quali a titolo non esaustivo :

  • il contesto di riferimento aziendale, l'area territoriale di riferimento, il core business ed eventuali strategie di espansione dell’impresa.
  • gli aspetti tecnologici di auto-assessment come l'utilizzo di penetration test e vulnerability scan.
  • l'analisi dei rischi informatici per evidenziare non solo i fattori di rischio tecnologici ma soprattutto quelli legati ai comportamenti degli operatori o di terze parti (es: sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali ...).
  • le soluzioni di content security (Firewall, Antivirus, Antispam, Antispyware), ma anche soluzioni più evolute e strutturate come business continuity e disaster recovery e crittografia
  • le misure di sicurezza organizzative e la presenza di una documentazione interna adeguata per rispondere a tutte le condizioni di risk management già conosciute e l'identificazione di figure preposte al loro aggiornamento.
  • gli strumenti finalizzati a garantire l’aderenza alle normative vigenti e ad utilizzare politiche di sicurezza formalizzate come quelle proposte dalla Policy Sulla Sicurezza Informatica
  • la preparazione e competenza delle figure coinvolte nel trattamento della privacy come previsto dal REGOLAMENTO EUROPEO (UE) 2016/67 in particolare qualora sia obbligatorio condurre la valutazione d'impatto, assegnando per ciascun rischio individuato un livello di probabilità di realizzazione e un grado di potenziale impatto (Ai sensi dell’art. 35, 3° comma del Regolamento Europeo, la valutazione d’impatto è obbligatoria in presenza di: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato; b) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o c) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico)
  • il livello di formazione del personale aziendale, essendo più che mai valida la considerazione che la sicurezza di un sistema equivale a quella del suo anello più debole. Quale livello di sicurezza potreste mai garantire se la vostra azienda è quasi "impenetrabile" da un punto di vista tecnico ma un vostro dipendente offre un accesso inconsapevole alla rete interna ad un hacker ?

La nostra società è in grado di rispondere a tutti i punti sopra elencati anche se in questa sezione del nostro sito ci dedichiamo principalmente alla valutazione dei Rischi Informatici e alla redazione della Policy sulla Sicurezza Informatica.

In Azienda adottate già una POLICY SULLA SICUREZZA INFORMATICA ? Approfondisci e potremo redigerla per voi !

INTRODUZIONE ALL’ANALISI DEI RISCHI INFORMATICI

  1. I programmi utilizzati per l’Analisi dei Rischi non costituiscono alcun pericolo per la rete informatica aziendale e vengono attentamente scansionati alla ricerca di virus prima del loro utilizzo. Tali programmi non richiedono alcuna installazione sulle macchine dei dipendenti e possono essere avviati tramite chiavetta usb su ogni postazione, oppure richiamati da una cartella di rete condivisa che deve essere accessibile da tutte le postazioni aziendali ( modalità consigliata).
  2. La tipologia degli strumenti di controllo impiegati è uso che sia presentata prima alle rappresentanze sindacali (*), se esistenti, anche se ogni cosa viene effettuata nel rispetto dei principi di tutela della persona, delle norme poste a tutela della libertà e dignità dei lavoratore, contenute nella L. n. 300/1970 (Statuto dei lavoratori), ed alla successiva normativa in tema di Protezione dei dati personali (D.Lgs. 196/2003) (2bis). In merito all’ex articolo 4 dello statuto dei lavori, che ora si può leggere come n. 4/2011, si conferma che non viene perseguito alcun illecito relativo ai controlli a distanza poiché  i programmi non vengono installati ma fatti eseguire una sola volta sulla macchina ospite. 

(*) Si sottolinea che l'azienda avrebbe comunque la facoltà di effettuare l’analisi se è stato concesso ai dipendenti aziendali di avere i diritti di amministratore nelle loro postazioni, diritti che permettono loro  l’installazione o la disinstallazione di programmi senza conferme da parte dei responsabili.

  1. E’ gradito l’accompagnamento durante l’analisi da parte di un vostro responsabile, per raccogliere la firma di ogni dipendente sul modulo preposto ( con orario di inizio e termine dell’analisi ), prima di procedere con l’analisi del suo computer, e per rassicurare ulteriormente i lavoratori sul fatto che non vengono in alcun modo raccolti o visionati file personali, in osservanza dell’art. 29 della direttiva 95/46/CE del parlamento europeo sulla protezione dei dati personali e delle considerazioni ai punti 4,15,22,26,85,87 del REGOLAMENTO EUROPEO (UE) 2016/679. Si aggiunga che la finalità delll'analisi dei rischi non richiede l'identificazione dell'interessato ma viene svolta su dati statistici globali e per tale motivo come previsto dall'articolo 11 del GDPR il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l'interessato al solo fine di rispettare il presente regolamento.
  2. Facendo effettuare tale analisi l’azienda opera in accordo all’articolo 2087 del codice civile per l’adempimento degli obblighi in materia di sicurezza sul lavoro. La norma testualmente dispone che: “l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”. Si tratta di una norma la cui inosservanza determina casi di responsabilità civile e che impone un continuo aggiornamento degli strumenti di prevenzione secondo quanto il progresso tecnico suggerisce in materia. La giurisprudenza è infatti unanime nell’individuare l’obbligo di tutela delle condizioni di lavoro anche da agenti esterni (Ex multis Cass. 5002/90).
  3. Grazie all’analisi dei rischi l’azienda potrà verificare l’eventuale abuso da parte dei dipendenti degli strumenti informatici a loro affidati per lo svolgimento delle loro mansioni, nell’opera di non esporsi al rischio di un coinvolgimento civile e penale in caso di illeciti nei confronti di terzi. L'utilizzo improprio degli strumenti telematici espone ciascuna azienda al pericolo di accessi abusivi da parte di hacker ( Art. 615 bis c.p.), di diffusione di Virus ( Art. 615 quater c.p.), con conseguente rischio di perdita o modificazione dei dati e di trasmissione di notizie riservate. Il controllo del datore di lavoro, effettuato tramite l’analisi dei rischi informatici tende, quindi, ad evitare tale coinvolgimento.
  4. L’analisi dei rischi informatici è da considerarsi un valore aggiunto per la tutela della salute dei lavori, sia essa legata allo stress lavorativo dovuto all’utilizzo di macchine non idonee al carico di lavoro, sia essa legata alla loro salute fisica. In merito al primo fattore, è possibile evidenziare criticità singole (macchine con memoria insufficiente e spazio quasi esaurito) per le quali si auspica un intervento a breve termine ; per il secondo fattore è possibile escludere anomalie hardware come quelle nelle schede grafiche dei computer aziendali che pregiudicano lo stato dei monitor o del pc, in osservanza alle norme previste dal Decreto Legislativo 81/08 che coinvolgono anche le attività che prevedono l’uso di attrezzature munite di videoterminali. Nello specifico, l’articolo 172 e l’articolo 173 forniscono indicazioni sul campo di applicazione e sulle definizioni utilizzate all’interno del decreto, che prevedono di prestare molta attenzione a elementi come la cattiva visualizzazione di singoli caratteri, frasi o di intere porzioni di testo o elementi come lo sfarfallio dei caratteri e dello sfondo, soprattutto con gli schermi di vecchia generazione ; 
  5. Grazie all’analisi dei rischi il titolare del trattamento o il responsabile del trattamento è in grado di valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi come richiesto dal REGOLAMENTO (UE) 2016/679 (cosiderazione al punto 83), nel quale si aggiunge che nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
  6. Infine, come si evince dal REGOLAMENTO (UE) 2016/679 ( considerazioni al punto 90 ) è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, (valutazione che l’analisi dei rischi garantisce), per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

Analisi dei rischi e direttive sulla Privacy REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO ( GDPR )

Il regolamento generale sulla protezione dei dati (General Data Protection Regulation - Regolamento UE 2016/679), cui devono sottostare le aziende che operano nell'UE, considera molteplici aspetti relativi al trattamento dei dati, noi ne riportiamo solo alcuni strettamente collegati all'analisi dei rischi informatici :

 

- (Motivo 42 ) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un'altra questione dovrebbero esistere garanzie che assicurino che l'interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio (10) è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

 

- (Motivo 49) Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza. Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica

 

- ( Motivo 61 ) L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l'interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, dovrebbe fornire all'interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie. Qualora non sia possibile comunicare all'interessato l'origine dei dati personali, perché sono state utilizzate varie fonti, dovrebbe essere fornita un'informazione di carattere generale.

 

- (Motivo 83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

 

- (Motivo 87 ) È opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c'è stata violazione dei dati personali e informare tempestivamente l'autorità di controllo e l'interessato. È opportuno stabilire il fatto che la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l'interessato. Siffatta notifica può dar luogo a un intervento dell'autorità di controllo nell'ambito dei suoi compiti e poteri previsti dal presente regolamento.

 

- (Motivo 89 e 90) La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali tipi di trattamenti includono, in particolare, quelli che comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale. In tali casi, è opportuno che il titolare del trattamento effettui una valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento.

 

- ( Motivo 146 ) Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile

TEST ONLINE PER LA SICUREZZA INFORMATICA E ANALISI DEI RISCHI INFORMATICI IN AZIENDA

ESEGUI UN TEST PRELIMINARE ONLINE e VERIFICA SUBITO IL LIVELLO DI SICUREZZA DELLA TUA ATTIVITA' / AZIENDA :


L'analisi dei Rischi informatici in Azienda è volta a evidenziare i seguenti fattori di rischio :

  1. 1) FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"
  2. 2) FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"
  3. 3) FATTORI DI RISCHIO PER "INSTALLAZIONI DI SOFTWARE NON AUTORIZZATI"
  4. 4) FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"
  5. 5) FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"
  6. 6) FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"
  7. 7) FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"
  8. 8) FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"
  9. 9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

FATTORI DI RISCHIO "ARRESTO DEL LAVORO PER ANOMALIE MACCHINA"

Verificare il corretto funzionamento del parco macchine aziendale è un elemento fondamentale per assicurare continuità al vostro lavoro.

A seguito della nostra analisi tecnica per il riscontro di anomalie informatiche nei computer aziendali saremo in grado di identificare :

a) se tutti i computer analizzati sono liberi da virus ;

b) se vi sono problemi hardware, software o delle periferiche ;

c) se i sistemi antivirus installati sono stati efficienti nel rimuovere i problemi riscontrati. La presenza di chiavi di registro aggiunte da virus o malware, non rimosse dai software anti-contaminazione poco efficaci costituiscono un problema per la stabilità della macchina e generano rallentamenti evidenti nella sua velocità ;

d) se vi sono stati degli arresti o chiusure anomale di programmi che pregiudicano il buon funzionamento del pc o del mac ;

e) una lista delle criticità singole per le quali operare subito provvedimenti. Vi forniremo un elenco dettagliato dei computer per i quali è necessario apportare modifiche hardware

A fronte dei dati che emergeranno, se richiesto, potremo redigere anche i documenti atti a REGOLARE LE PROCEDURE INTERNE ( lista dei programmi autorizzati da installare nei computer desktop e portatili, tipologie di analisi da compiere regolarmente, corrette procedure per la rimozione dei virus, utilizzo della rete wifi per i dispositivi mobili, manale da consegnare al dipendente con tutte le norme da osservare ed i comportamenti corretti per l'uso della sua postazione computer … ). Sarà inoltre possibile stabilire un piano di controllo aggiornamento software costante in azienda, tramite programmi che girano sulla rete interna senza richiedere una successiva consultazione postazione per postazione ( lan inventory scanner ).

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "PERDITA DATI / RIPRISTINO VELOCE DELLA MACCHINA"

Verificheremo se in azienda esistono delle procedure di ripristino dati, sia lato server che lato client sulle singole macchine collegate in rete. Attuare un buon piano di "disaster recovery" significa poter ripristinare i dati aziendali in tempi molto più brevi e fornire così continuità ai vostri servizi.

A seguito della nostra analisi saremo in grado di evidenziare :

a) se il sistema di backup è attivo e se il suo funzionamento è correttamente impostato.

b) se esiste un partizione di "recovery drive" e se è effettivamente possibile il ripristino

Qualora in Azienda non vi fosse ancora un sistema di " backup storage" come richiesto dalla Legge sulla Privacy ( in caso di rottura di un computer, la macchina sostitutiva con i dati di backup dovranno essere ripristinati in tempi brevi, in osservanza agli obblighi del datore di lavoro di adottare tutte le misure idonee a prevenire rischi di distruzione o perdita, anche accidentale dei dati secondo l'art.31 d.lgs.196/2003 ) saremo in grado di offrirvi un sistema di disaster recovery veloce, flessibile e affidabile. Garantiamo la protezione dei vostri dati e la migrazione di sistema per gli ambienti windows. Vi permettiamo di effettuare il backup di tutto quello che si trova in un ambiente windows sia esso fisico o virtuale e di ripristinarlo in qualsiasi altro ambiente (in altri tipi di hypervisor, in ambienti fisici da virtuali o viceversa o nel cloud), indipendentemente dall'hardware della macchina di destinazione.

Vi proponiamo diverse soluzioni di backup dei dati, dalla piccola alla grande azienda :

- BACKUP PER LA PICCOLA ATTIVITA' SENZA SERVER

BACKUP PER LA MEDIA ATTIVITA' o AZIENDA CON O SENZA UN SERVER

BACKUP PER LA GRANDE AZIENDA

BACKUP PER OGNI TIPO DI ATTIVITA' DEPOSITANDO I DATI SU INTERNET

 

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER "INSTALLAZIONI SOFTWARE NON AUTORIZZATE"

Effettueremo un'analisi degli account utente per ogni macchina e stabiliremo quali diritti sono stati attribuiti all'utente. E' buona norma non assegnare diritti di amministratore agli utenti, poichè questa disattenzione permetterebbe loro di installare qualsiasi software senza alcuna autorizzazione.

Eseguiremo un test per verificare il grado di sicurezza della postazione per controllare che il dipendente non possa eseguire programmi stand-alone che non richiedono installazioni, ma che possono influenzare comunque il rendimento della macchina, ridurre le risorse di rete, violare codici e comportamenti o contravvenire alle normative vigenti.

Controlleremo che non siano possibili la riproduzione o la duplicazione di programmi informatici aziendali ai sensi delle Legge n.128 del 21.05.2004

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "RIVELAZIONE DI INFORMAZIONI AZIENDALI ALL’ESTERNO"

Le nuove tecnologie garantiscono un veloce scambio di informazioni su supporti di ogni genere. L'uscita di informazioni sensibili o riservate dalle aziende è un fenomeno in crescita per il quale occorre prendere dei provvedimenti.

Controlleremo lo stato di sicurezza della vostra azienda relativamente :

a) all'uso dei cdrom / dvdrom e presenza di software di masterizzazione installati sulle macchine o comunque avviabili, come file eseguibili stand-alone, anche senza installazione autorizzata.

b) all'utilizzo dei device USB. Se richiesto possiamo fornirivi soluzioni avanzate per proteggere tutti i dispositivi usb aziendali con sistemi di criptazione dei dati e password di accesso che rendono inutilizzabili i device usb su computer esterni, non aziendali. Durante l'analisi vi potremo fornire anche informazioni su quali dispositivi usb sono stati inseriti nelle varie macchine e incrociando i dati evidenziare il passaggio di dati tra utenti con una lista che vi fornirà non solo il modello del dispositivo ma anche il numero di serie e la data completa di orario nel quale è stato utilizzato per l'ultima volta su ogni computer.

c) all'utilizzo di sistemi di archiviazione online di dati. I dipendenti a vostra insaputa potrebbero utilizzare servizi di scambio files o archiviazione files online su spazi personali, che metterebbero in serio pericolo la vostra azienda. Qualsiasi dato aziendale così condiviso potrebbe : essere visibile pubblicamente, violare le leggi sulla privacy, costituire un pretesto da parte del dipendente per rivendicare sui documenti archiviati eventuali proprietà intellettuali sui progetti o beni aziendali essendo questi files nel suo spazio privato online, violare contratti commerciali, violare clausole di riservatezza.

d) all'utilizzo di sistemi di connessione da remoto. Esistono oggi decine di sistemi o applicazioni anche per smartphone che permettono la connessione da remoto e la condivisione di files da remoto. Il vostro dipendente potrebbe connettersi alla sua postazione desktop anche senza vpn e prelevare importanti informazioni aziendali protette.

e) all'utilizzo dei dispositivi di stampa tecnologici ( Scheda di interfaccia di rete : qualsiasi dispositivo presente in rete può costituire un punto di ingresso ; Bios Firmware : attacchi che possono infettare altri dispositivi nella rete ; Disco rigido : i dati sensibili possono essere alterati o rubati ; Gestione : mancanza di visibilità per i controlli ; Pannello di controllo : un utilizzo improprio da parte del personale può disabilitare i dispositivi ; Vassoio di Alimentazione : i supporti speciali possono essere rubati ; Vassoi di Uscita : è possibile accedere ai file dei documenti riservati che quindi possono essere divulgati o utilizzati in modo improprio )

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO PER LA "PRESENZA DI DATI NON AUTORIZZATI O OCCULTAMENTO DI DATI AZIENDALI"

I computer aziendali delle marche più prestigiose come HP, Compaq, Sony vengono sempre più spesso forniti di software in bundle, ovvero software già preinstallato con sistemi di criptazione dati che permettono all'utente administrator della macchina di rendere impenetrabile l'accesso alle informazioni contenute nel suo computer. Eventuali attivazioni di queste modalità da parte dall'utente ( che agisce in autonomia per il fatto che gli è stato lasciato diritto di administrator), oltre a non permettere l'accesso ai dati da parte dell'IT costituisce un problema nell'eventualità di controversie legali poichè l'accesso ai files personali dell'utente, in sede penale, viene richiesto dal giudice. Questo non significa che i sistemi di criptazione non debbano essere attivati in azienda. Al contrario sono fondamentali per preservare la segretezza delle informazioni ma devono essere gestiti solo ed esclusivamente dal reparto IT aziendale, e ne consegue l'importanza della formazione da fornire agli utilizzatori.

Come affrontato nel punto precedente 4) al comma c) per evitare occultamento delle informazioni aziendali occorre sempre verificare che non siano presenti nelle macchine aziendali sistemi di archiviazione esterni online non autorizzati.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "CONTAMINAZIONE VIRUS E MALWARE e PERICOLI PER BROWSER DI NAVIGAZIONE OBSOLETI"

Esistono diversi fattori che portano alla contaminazione di un computer e la presenza di un buon antivirus non è sufficiente per ritenersi sicuri.

Nella nostra analisi :

a) verificheremo che il programma antivirus da voi scelto sia efficace nella individuazione di virus e malware.

b) Analizzeremo i files di log dell'antivirus alla ricerca delle ultime rilevazioni

c) controlleremo che l'aggiornamento delle firme antivirus venga eseguito con regolarità

d) analizzeremo tutti i programmi utilizzati per la navigazione online e le loro impostazioni alla ricerca di eventuali mancanze o "buchi di sicurezza".

e) controlleremo le impostazioni di connessione protetta per la sicurezza delle transazioni bancarie effettuate dalla vostra azienda

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALLA SCARSA PRODUTTIVITA’"

Viviamo nell'epoca dei Social Network ed il tempo a loro dedicato può costituire un problema per la produttività aziendale.

Nella nostra analisi verificheremo che gli utenti non abbiamo installato, senza autorizzazioni, programmi di connessione ai social network, alle chat, per le chiamate tramite internet, per utilizzare sistemi di condivisione files e scaricamento di films.

L'utilizzo in particolare dei programmi di condivisione files e scaricamento di films riducono notevolmente le risorse aziendali, diminuendo l'ampiezza di banda e abbassando così la velocità di navigazione e l'accesso ad internet di tutta l'azienda.

E' risaputo che la presenza di un Proxy Server risulta fondamentale per regolare il traffico internet e fare il caching delle pagine, ma nonostante sia presente in quasi tutte le realtà aziendali più grandi, la sua configurazione è errata nel 75% dei casi.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

FATTORI DI RISCHIO "LEGATI ALL’ACCESSO NON AUTORIZZATO AI DATI UTENTE"

Relativamente all'analisi dei fattori di rischio legati all'accesso non autorizzato ai dati dell'utente verificheremo che :

a) siano attive le policy di sicurezza aziendale relativamente all'utilizzo delle password.

b) siano attivi gli screen saver e impostate le loro password per proteggere le postazioni durante le assenze dell'utente.

c) sia rispettato il tempo del cambio delle password di dominio sia per gli account utente che administrator

d) siano configurati correttamente wlan e i dispositivi wifi associati.

e) in caso di furto dei computer portatili aziendali, dei dispositivi mobili o dei device usb, sia presente un sistema di protezione che impedisca l'accesso ai dati aziendali, a persone che non siano i vostri dipendenti.

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]

9) FATTORI DI RISCHIO "LEGATI ALLA PRIVACY, ALLA SICUREZZA ACCESSI e ALLA FORMAZIONE PERIODICA"

Le domande che vi porremo e approfondiremo sono le seguenti :

a) In azienda viene osservata la policy sulla privacy ed in particolare se vengono trattati dati sensibili è stata fatta la comunicazione (Notifica) al Garante della Privacy relativa al trattamento dei dati ?

b) I sistemi di video sorveglianza o di monitoraggio dei dispositivi/mezzi aziendali, se sono presenti, osservano tutte le norme in materia e tutelano correttamente la privacy delle persone coinvolte ?

c) E’ presente in azienda un inventario di tutte le banche dati gestite da un utente? Le ricordiamo che occorre conoscere ai fini della policy sulla privacy la tipologia/finalità/definizione del trattamento (individuazione dei dati trattati, come vengono gestiti e perché)

d) Esiste una restrizione fisica per l’accesso ai locali ove sono contenuti i dati della direzione aziendale o del server aziendale (porta chiusa a chiave, badge magnetico, etc.) ?

e) L’azienda sta portando avanti una formazione periodica agli incaricati del trattamento dei dati in tema di Privacy e Sicurezza Informatica ? (la legge prevede una formazione obbligatoria e periodica)

f) E' stata fatta una formazione completa ai dipendenti per l'introduzione della Policy sulla Sicurezza Informatica in azienda ?

La nostra società vi offre un pacchetto completo di formazione che accompagna l'entrata in vigore della policy sulla sicurezza informatica in azienda. ( segue una slide di introduzione )

formazione per introduzione della policy aziendale sulla sicurezza informatica ed adeguamenti privacy gdpr

LEGGI COME SI STRUTTURA IL SERVIZIO DI ANALISI DEI RISCHI NEL RISPETTO DELLE NORMATIVE VIGENTI [ con un click qui ]