Buone pratiche nella sicurezza informatica

Quali sono le semplici regole che ogni sistemista di rete dovrebbe seguire nella preparazione di una rete informatica utilizzata da personale o clienti? Proviamo a fare una sintesi delle buone pratiche attuabili per mettere in sicurezza una rete informatica locale. Il quesito è una classica domanda di esame di stato, spesso formulata in altri modi, ma con contenuti analoghi.

La sicurezza informatica è un problema complesso, molto spesso sottovalutato non dai sistemisti di rete che possono configurare dispositivi e tecnologie complesse e costose, ma più a basso livello, sono gli utenti dell'azienda o gli avventori che praticano comportamenti scorretti troppo spesso in modo inconsapevole e superficiale.  Cominciamo con la più semplici delle pratiche che si possono gestire quando nella nostra rete ci sono dei pc per svolgere attività di ufficio o produzione: questi pc usati dagli utenti devono essere protetti da credenziali e una password. Come la possiamo scegliere? Non c'è un vero manuale ma è buona prassi che:

- deve essere formata da almeno 8 caratteri alfanumerici, lettere maiuscole/minuscole, segni di punteggiatura e con simboli (&;@? % £=@ $). Un esempio: PiPpO123.

- non deve contenere elementi che possano afferire la vita privata dell'utente (data di nascita, nomi degli animali domestici, nomi di parenti stretti ecc)

- non deve avere sequenze ovvie di caratteri (es. 12345678)

- non dovrebbe essere usata la stessa password su più account

- dovrebbe essere cambiata spesso, magari 6 mesi/1 anno al massimo

- meglio se accompagnata da sistemi di sicurezza doppia con OTP, sms, mail o impronte digitali

- non annotare le password su fogli o documenti facilmente visibili a colleghi o esterni

- non condividere la password con alcuno

- digitare in modo discreto la password, cercando di coprire la visuale/mano agli occhi di persone non autorizzate

- non salvare le credenziali/password sui pc aziendali o di scuola

- effettuare il logout/disconnessione dall'account utilizzato una volta terminate le proprie attività/necessità

 Altra buona pratica che un sistemista dovrebbe attuare è formare i dipendenti nell'uso dei software aziendali, del web e della mail aziendale. In tal senso è fondamentale difendersi dal phishing formando prima di tutto il personale a non scaricare allegati da mail anomale, a non cliccare link di mail che richiedono di sbloccare account di banche/poste o di inserire comunque informazioni sensibili che possono riguardare il profilo aziendale/professionale. In modo analogo, gli utenti di un ufficio amministrativo o simile, non dovrebbero utilizzare i pc e i mezzi aziendali per scopi di intrattenimento personale, evitando quindi di navigare in siti web di scarso interesse aziendale o, a maggior ragione, a rischio di contaminazione di virus come siti pornografici, di download di materiale pirata o che hanno a che fare con spam e pubblicità ingannevole. Spesso questi siti sono interdetti alla frontiera della rete aziendale da firewall o proxy che bloccano, rispettivamente, ip o frasi e parole di una apposita blacklist. E' chiaro che spesso però gli elenchi di tali siti non idonei potrebbero non essere completi e quindi permettere la navigazione su alcuni non adeguati, ecco perché è importante istruire a comportamenti adeguati i dipendenti, oltreché un controllo costante da parte del sistemista di rete dei log del traffico web.

Altra buona pratica, installare ed aggiornare gli antivirus host-side, ovvero direttamente sui pc dei dipendenti, che fanno un'operazione preventiva di controllo sui download pericolosi o traffico anomalo in real time, mentre l'utente naviga. Sappiamo che questo genere di antivirus non è il massimo dell'affidabilità e sicurezza, ma rappresenta comunque una misura decisamente consigliata.

Se l'antivirus, è una buona pratica molto intuitiva, altra sottovalutata è quella di aggiornare il sistema operativo e i software di uso quotidiano. Esempio lampante sono gli aggiornamenti automatici di Windows che correggono bug vari e migliorano in molti casi le performance del sistema. Stessa cosa per i software, spesso introducono funzionalità aggiuntive, ma soprattutto, correggono bug che potrebbero consentire a software malevoli o utenti non autorizzati a scalare permessi per introdursi nei sistemi aziendali in modo non autorizzato o rubare informazioni e dati sensibili. Gli aggiornamenti del sistema operativo ci sono anche su Linux e Mac, ma anche sui telefoni aziendali con android o sistemi apple. Da considerare come spesso le aziende per risparmiare non aggiornano le versioni dei sistemi operativi installati. Fa rabbrividire, ma molti pc aziendali usano ancora versioni di windows molto vecchie come windows xp o 7 che non sono più ufficialmente supportate ed aggiornate, creando di fatto possibile brecce a virus ed attacchi vari. Vale la pena risparmiare qualche centinaio di euro per acquistare una licenza nuova di Windows 10 o del nuovo Office invece di tenerre un vecchio windows xp o software craccati con possibili trojan incorporati? Non credo proprio. In questi casi sarebbe opportuno valutare l'uso di software non commerciali ed open source che permettono aggiornamenti continui senza costi di installazione particolari, come Linux e Libre Office ad esempio per le operazioni di segreteria/amministrazione semplici.

Altra attività necessaria spesso ignorata nelle aziende ed amministrazioni pubbliche per risparmiare è l'aggiornamento dell'hardware. Pc nuovi ogni 5. anni o sostituzione preventiva di componenti usurabili come alimentatori ed hard disk meccanici potrebbe prevenire perdita di dati preziosi. Nel caso l'azienda abbia pc portatili, la criticità è maggiore perché decisamente difficile è sostituire i componenti integrati e di certo decisamente più esposti all'usura data la temperatura di esercizio e i continui urti durante il trasporto.

Altre azione spesso sottovalutate, sono quelle di utilizzare i propri dispositivi personali inseriti in modo non ufficiale all'interno della rete aziendale. Penso ad un pc che fa da routing ad un telefonino personale, un tablet personale collegato al wifi aziendale ecc. Un dispositivo non ufficiale è un dispositivo non controllato dal sistemista dell'azienda e potrebbe avere bug negli aggiornamenti, virus precedentemente infettati o non rispettare le politiche aziendali in quanto a password, software e tutte le pratiche citate, scavalcandole di fatto tutte quante con estrema leggerezza in un solo colpo, aprendo il financo ai maleintezionati che avrebbero nel dispositivo non aziendale un vero e proprio cavallo di troia per entrare nella rete aziendale. Il responsabile della sicurezza certamente può controllare anomalie nel traffico della rete con volumi di traffico che aumentano da determinate postazioni/uffici, ma certamente non è sempre semplice capire se qualcuno aggiunge il proprio dispositivo non autorizzato. Ecco perché va specificato preventivamente dal responsabile della rete che può dedicare zone wifi o aree guest per fare collegare i dispositivi personali degli utenti e controllare e differenziare il traffico rispetto alla rete  aziendale


Stampa