Governance

Modello OSI, definire le policy di sicurezza

Il bene più prezioso di un’azienda sono le persone, le quali, se non gestite in modo corretto, possono però rappresentare anche una delle più serie vulnerabilità. Risulta quindi strategico definire precise policy aziendali

Pubblicato il 05 Giu 2007

sicurezza-150306114242

Come molti progettisti del modello OSI sanno, è importante aumentare il livello di sicurezza a ogni strato del modello.

E sebbene molti degli sforzi abbiano a che fare con il livello 7 (layer dell’applicazione), non bisogna dimenticarsi il “layer 8”, quello relativo agli utenti e alle policy.

Da alcune valutazioni, l’80% del know how di una società risiede nelle teste delle sue persone. Questo è un bene per l’attacker perché, senza un’adeguata formazione, i dipendenti e gli impiegati possono essere obiettivi più facili da raggiungere che non i computer e i server. E il mezzo primario per sfruttare la situazione è il cosiddetto social engineering.

Social engineering

Il social engineering è l’arte della manipolazione. Uno dei più conosciuti social engineer è Kevin Mitnick. Il suo libro, The Art of Deception, descrive l’uso delle tecniche di social engineering, che possono essere messe in pratica di persona, via telefono o tramite email. Indipendentemente dal modo in cui la vittima è approcciata, il social engegneering userà tipicamente una delle seguenti sei tecniche:

1. Autorità: Il social engineer si ritrae come se fosse in una posizione di autorità, in modo che i dipendenti possano aderire alle sue richieste.
2. Gradimento: Il social engineer comparirà come una persona piacevole e, di solito, la gente desidera fare le cose per la gente che gradisce.
3. Reciprocità: Quando qualcuno ci dà un regalo o ci fa un favore, desideriamo dare qualcosa in cambio. Gli studi hanno indicato che la gente dà qualche cosa di grande valore in cambio di qualcosa di poco valore, come una penna o un portachiavi
4. Consistenza: Le persone desiderano comportarsi nei modi coerenti con i loro valori e particolarmente con le loro dichiarazione pubbliche di quei valori.
5. Validazione sociale : La gente desidera appartenere e essere accettata. Il modo migliore per appartenere è essere come gli altri.
6. Scarsità: La gente desidera le cose che sono difficili da ottenere o disponibili soltanto per un breve periodo. Potreste rinviare l’acquisto di qualcosa per una vita intera se credete che sia sempre disponibile, ma se credete che la vostra occasione di acquistare quella determinata cosa possa svanire irrevocabilmente, sarete motivati ad acquistarla ora..

Training di sicurezza

Dato che i controlli logici quali i firewall sono sempre più evoluti, i cracker cercano mezzi più facili di attacco. Un esempio arriva dall’aumento che si sta avendo nei molti nuovi attacchi mirati di phishing, che sono conosciuti come spear phishing. La difesa migliore contro il social engineering è di assicurarsi che i dipendenti siano formati e informati su tali potenziali attacchi. Ad esempio usando le seguenti tecniche:

  • Una newsletter di sicurezza su carta o via email
  • Avvisi nella aree comuni
  • Concorsi che ricompensano i dipendenti per il loro comportamento positivo riguardo la sicurezza
  • Banner che appaiono quando gli utenti effettuano il log sui loro computer o quando avviano un programma specifico come l’email

Policy di sicurezza

La seconda linea di difesa del layer 8 è la policy. Le linee guida e le policy di sicurezza sono infatti un punto critico nel rendere sicura un’organizzazione contro un attacco. La mancanza di procedure di sicurezza ben progettate e di documentazioni specifiche rappresentano uno dei problemi più diffusi tra le organizzazioni. Le policy pongono tutti allo stesso livello e indicano chiaramente come si pone il senior management rispetto ai vari aspetti della policy. Inoltre, forniscono il tono generale e definiscono come la sicurezza sia percepita da chi sta all’interno di un’azienda..

L’applicazione di una policy deve fluire dall’alto dell’organizzazione. Bill Gates ha fornito un buon esempio di ciò nel 2002, quando scrisse un appunto indirizzato a tutti i suoi dipendenti. In questo appunto, Gates parlava di come la sicurezza stesse diventando la priorità n.1 di Microsoft. Non solo, Gates ha fornito una roadmap che ha dettagliato come gli obiettivi di sicurezza debbano essere perseguiti. Le buone policy e le procedure non sono efficaci se non sono spiegate e trasferite ai dipendenti, i quali devono essere formati in modo che capiscano l’importanza delle policy e delle procedure di sicurezza. Non dimentichiamo infatti che le persone sono l’asset più di valore di un’organizzazione, ma possono anche risultare la vulnerabilità più grande.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2