lunedì 7 marzo 2011

Proteggersi dal leakage

Dopo il caso di Wikileaks, qualcuno mi ha chiesto cosa si può fare per
prevenire il coinvolgimento di un'azienda in eventi simili.

Propongo di seguito alcune mie riflessioni. Ogni contributo per migliorarle
sarà ben accetto (e opportunamente attribuito).

Le tecniche sono quelle di prevenzione dallo spionaggio industriale e si
possono ridurre in due opzioni.

OPZIONE 1: pianificare una serie di interventi, tra i quali l'impostazione
di un preciso processo di gestione delle credenziali e delle autorizzazioni
(incluso un meccanismo basato sui ruoli), la revisione periodica e la
riduzione delle autorizzazioni, la formazione, la chiusura delle connessioni
a Internet, la limitazione dell'uso della posta elettronica al di fuori del
perimetro dell'organizzazione (alcune aziende mettono a disposizione
"funghi" per permettere l'uso illimitato dell'e-mail), il blocco delle porte
USB, la restrizione delle attività di configurazione sui pc

Sono in commercio diversi prodotti per il controllo delle comunicazioni da/a
un'organizzazione. Una molto breve ricerca su Internet mi ha portato a
questi due (non li conosco, non li ho mai provati), ma sicuramente i grossi
produttori e system integrator ne propongono altri:
- http://www.slideshare.net/mmilazzo/infomation-leakage-prevention-ita
- http://cleverconsultingsrl.createsend3.com/t/r/l/yujjfd/bmlklukr/j

Ognuno di questi interventi richiede un elevato sforzo da parte
dell'organizzazione che intende attuarli. In alcuni casi lo sforzo è
economico, in tutti è di tipo culturale e organizzativo (provate a togliere
la connessione Internet al personale e rischiate grandi malumori, se non
opportunamente previsti e gestiti).

OPZIONE 2: non fare nulla. Ogni azione non chiuderà mai tutti i buchi; basti
pensare che il dossier Mitrokin è stato costituito anche attraverso
documenti copiati a mano.

Tra queste due opzioni, vi è il "livello adeguato", individuabile a seguito
di risk assessment. Un risk assessment che si basi su due parametri
specifici:
- quali informazioni sono gestite dall'azienda, quali danni può portare una
loro diffusione al suo esterno, qual è la loro appetibilità, per chi sono
appetibili
- quali sono gli "agenti di attacco": quali sono le loro motivazioni e i
loro mezzi

Nessun commento:

Posta un commento