Fatti e misfatti della sicurezza

26 febbraio, 2002
Stampa
Invia a un amico
0

Le cautele dal lato utente nell’iniziativa ‘human firewall’ per creare maggiore consapevolezza.

di Stefano Zanero
Le altre puntate

Dopo aver esaminato la scorsa settimana gli ‘otto passi’ da compiere sul lato del management, questa settimana vorrei dare un’occhiata assieme a voi agli ‘errori più comuni’ che l’utente commette, compromettendo in tal modo anche i sistemi di sicurezza più complessi e sofisticati. Ridurre questi errori, sensibilizzando i vostri collaboratori, diventa quindi un investimento di tempo (non di denaro) che ha un immediato ritorno. Il primo, vituperato, sempre contrastato e mai vinto errore è quello di annotarsi le password. Specialmente di annotarsele vicino al pc, sul proprio PDA che viene lasciato sulla scrivania, sul solito post-it o pezzo di scotch incollato sotto la tastiera (se credevate che fosse un buon nascondiglio, sappiate che non lo è). Chi lo ha fatto sappia che è meglio strappare tutto e cambiare password. Adesso.

Parlando di cambiamenti di password: quando il sistema vi chiede di cambiarla non ribattete sempre la stessa. C’è un motivo per chiedervi di cambiarla. ‘Administrator’ non è una buona password di Administrator. ‘Gianni’ non è una buona password per nessun tipo di account. Scegliete combinazioni di lettere e numeri, magari mnemoniche per voi ma non indovinabili per gli altri.

Per evitare di rendere inutile lo sforzo di creare una buona password e ricordarsela a mente, cercate anche di spegnere o bloccare il computer quando vi allontanate. Anche se pensate di tornare subito. Meglio ancora, mettete la password sullo screen saver e dategli un tempo di cinque minuti. Non avete mai trovato qualcuno che vi aspettava nel vostro ufficio da cui vi eravate allontanati per qualche minuto? Pensate a cosa avrebbe potuto fare un malintenzionato sul vostro sistema già autenticato in rete.

Tutto questo è abbastanza inutile se poi date la vostra password per telefono ai colleghi, oppure raccontate tutti i segreti che quella password protegge al bar. Ricordatevi di Kevin Mitnick, così bravo nel ’social engineering’ (ovvero nel convincere le persone a rivelargli le proprie password) da dover raramente usare tecniche avanzate per portare a termine le sue scorribande telematiche.

Un vecchio adagio della sicurezza informatica ammonisce che, nel momento in cui un malintenzionato vi convince a eseguire sul vostro pc un programma inviatovi da lui, quello non è più il vostro pc. Scartate sempre gli allegati eseguibili: non conosco molte persone che abbiano bisogno di inviare un programma in allegato a una e-mail, e nel caso, dovreste poter controllare prima di aprirlo con una rapida telefonata. Trattenete la curiosità ed eviterete i virus. Stiamo parlando di miliardi di euro spesi in tutto il mondo, non di noccioline.

Rimanendo più o meno in tema, installare software o hardware senza consultare prima lo staff dell’IT o il responsabile della sicurezza è una pessima idea. Il software può portare cavalli di troia, essere vulnerabile ad attacchi noti o necessitare di particolari configurazioni per essere reso sicuro. L’hardware può fornire porte d’accesso ai malintenzionati. Un modem su cui si possa chiamare in dial-up o un access point wireless sono due ottimi esempi, ma non sono i soli. Uno dei grandi problemi della sicurezza – non solo informatica – è il gran numero di dispositivi laptop, palmari, e telefoni cellulari che hanno una tendenza innata a fuggire dagli uffici, dalle ventiquattrore chiuse, e a perdersi in giro per aerei, treni e aeroporti. Tenete il minimo indispensabile di dati sui dispositivi portatili, e proteggete tutto ciò che potete con la crittografia (anche solo usando ‘Crittografia cartelle’ di Windows 2000, o gli appositi programmini per il PalmOS).

A seconda di come è organizzata la vostra impresa potreste essere incaricati di scaricare le patch per determinati software e installarle, o di eseguire periodicamente l’aggiornamento dell’antivirus sulla vostra postazione, o di fare altre operazioni. Fatelo. Fatelo quando vi vien detto di farlo. Il giorno dopo potrebbe essere troppo tardi. Avete presente come funziona con i backup dei vostri file importanti, vero?

Infine, un po’ di sana paranoia: se vedete qualcosa di strano, se un collega viola in vostra presenza le politiche di sicurezza, avvisate il responsabile. So che è difficile da fare, ma è indispensabile per difendere la vostra azienda e anche per evitare al vostro collega di fare un errore di troppo e vedersi sbattere la porta in faccia. E ricordate: non sempre queste infrazioni sono fatte in buona fede.

Alcune volte, alcune persone tradiscono la fiducia che una azienda ripone in loro. È brutto pensarlo, ma è vero. Siate sempre un po’ paranoici, il peggio che vi potrà capitare sarà di esservi sbagliati.

Glossario

Trojan Horse
Un ‘cavallo di troia’ in generale è un programma che si finge buono ma che ha una finalità negativa. Tipicamente aprono surrettiziamente una porta in ascolto, che il mittente del programma conosce e può usare per assumere in qualche modo il controllo della macchina.

Access Point
Dispositivo che viene collegato in una rete LAN per fornire una estensione via wireless. In pratica fa da ‘ponte radio’ tra i client con scheda wireless e il segmento di rete su cavo.

0
commenti a questo articolo

Aggiungi un tuo commento...

Per inserire un commento è necessario registrarsi e eseguire il Login

Applicazioni

Business Intelligence

Governance

Hardware

Innovazione

Mercato

Mobile

Networking

PA

People

Servizi IT

Sicurezza

Software

Storage

Tlc

Top News

Le aziende stanno scoprendo Twitter: cinque modi per avere follower rilevanti

I sette lavori più pericolosi in ambito ICT. Ecco chi mette a rischio la propria salute

Come proteggere i desktop virtuali senza impattare sulle performance globali

Resource Center

Bizzer MPU

Gli articoli più letti

Promo Edicola

Social Bookmarks

Bizzer SKY

Sondaggio

Blogs