Da Samuel Greengard 

(Fonte http://www.microsoft.com/italy/pmi/sicurezza/informazioni/avoiding-common-it-mistakes.mspx )

In breve:

In molte aziende la protezione IT non viene gestita in modo accurato. Di conseguenza gli utenti malintenzionati, i ladri e i dipendenti scontenti possono accedere liberamente a sistemi e dati.

Di seguito sono elencati gli errori più comuni commessi dalle organizzazioni e le procedure da seguire per ridurre eventuali rischi:

1. Attribuzione di bassa priorità alla protezione. Nonostante anche sui media venga dato risalto a violazioni e problemi di protezione, molte società non assegnano alla protezione la giusta priorità. "La protezione ha dei costi elevati e non sembra essere una componente importante delle attività aziendali", dichiara Matthew Green, analista presso Security Evaluators a Baltimora. "Richiede denaro che i dirigenti aziendali preferirebbero spendere altrimenti".

I responsabili spesso riconoscono il rischio quando è troppo tardi e cioè in seguito al furto di dati dei clienti, ad esempio, o al danneggiamento di un sito Web. Andrea Gallazzi, presidente di Krisopea, Microsoft Certified Partner del nord Italia specializzato in infrastrutture e protezione, ritiene che i problemi più comuni si verifichino a causa di procedure non perfette per l'applicazione di patch al software, configurazioni di sistema obsolete e, in generale, per una mancanza di attenzione alla protezione.

Soluzione: Prendere molto seriamente gli attacchi alla protezione e dedicare il tempo e il denaro necessari per proteggere l'ambiente IT. Ciò significa, ad esempio, fare un passo avanti rispetto ai requisiti di base indicati dal Sarbanes-Oxley Act e da altre normative del governo degli Stati Uniti. Sebbene ciascuna organizzazione debba stabilire il livello che la protezione occupa tra le priorità di spesa, l'investimento medio per la protezione nel 2006 è stato tra l'8% e il 12% del budget IT, secondo le stime della società di consulenza IT META Group. Le organizzazioni più affermate sviluppano una procedura aziendale per le soluzioni di protezione, con informazioni provenienti da diversi reparti, che utilizzano per stabilire la spesa.

. Strategia di risposta inadeguata. Quando si verifica un attacco alla protezione e nessuno è in grado di intraprendere le azioni necessarie, ritardi e indecisioni possono rendere inutile una risposta efficace. "Oggi, molte organizzazioni sono in grado di individuare problemi di protezione che si verificano all'interno dell'ambiente IT, ma non riescono a rispondere in maniera efficace, specialmente alle minacce più recenti", afferma Ken Dunham, direttore del Rapid Response Team di VeriSign iDefense a Dulles, Virginia.

Soluzione: Una pianificazione preventiva deve coinvolgere diversi gruppi operativi e utilizzare consulenti esterni, insieme a servizi di intelligence, per monitorare le ultime minacce e distribuire le informazioni ai clienti. È necessario identificare una persona, esperta di protezione all'interno o all'esterno del reparto IT, incaricata di occuparsi della risoluzione dei problemi, di mettere insieme un team per interventi di emergenza disponibile 24 ore al giorno, 7 giorni a settimana e di sviluppare procedure e criteri chiari per rispondere agli attacchi alla protezione o agli incidenti che si verificano. Il team di risposta deve essere composto da persone provenienti da reparti diversi, tra cui risorse umane, legale, finanziario e operativo.

3. Sistemi di protezione scarsamente integrati. Poiché gli attacchi alla protezione si evolvono costantemente, molte organizzazioni si trovano di fronte a un numero elevato di applicazioni, configurazioni hardware, amministratori interni, codici di programmazione e consulenti che contribuiscono a creare incompatibilità e inefficienze. "A un certo punto le cose degenerano e ci si trova nella confusione più totale", dice Gallazzi.

Soluzione: Una procedura affidabile consiste nel riconvalidare l'ambiente IT almeno una volta all'anno e nell'integrare, consolidare e testare i sistemi con regolarità. Molte nuove offerte, tra cui la linea Microsoft Forefront di applicazioni di protezione integrate, consentono di unificare e semplificare la gestione, migliorando al contempo la protezione generale. Sebbene i costi e la complessità di gestione e test degli aggiornamenti per la protezione possano essere elevati, le organizzazioni che riescono a spendere di meno possono tuttavia trovarsi a dover affrontare costi notevoli in caso di gravi violazioni della protezione. Un simile incidente può compromettere la reputazione della società, contrariare gli azionisti, comportare sanzioni e perdite economiche.

4. Formazione del personale inadeguata. Un numero sempre crescente di attacchi è progettato per sfruttare l'anello più debole della catena: il personale. In particolare, le tecniche di social engineering tra cui il "phishing" e lo "spear phishing" (frodi indirizzate a una determinata persona o a un piccolo gruppo) possono causare gravi danni. "In molte imprese si considera la formazione una fase senza troppa importanza e si pensa che non sia produttivo sottrarre i dipendenti dalle normali attività lavorative, anche se per poco tempo", afferma Joseph Feiman, vice presidente alla ricerca della società di ricerca e consulenza IT Gartner di Stamford, Connecticut.

Soluzione: La formazione di base sulla gestione delle password, l'esplorazione protetta del Web, la messaggistica istantanea e la posta elettronica possono contribuire alla protezione dei sistemi. Non è necessario spiegare nel dettaglio il funzionamento dei firewall e dei sistemi di rilevamento delle intrusioni: è sufficiente illustrare le procedure di elaborazione sicure e altri argomenti relativi ai diversi ruoli. Spesso sono sufficienti dai 10 ai 20 minuti per le presentazioni aziendali o per i corsi di formazione online mensili obbligatori istituzionali (o sessioni più lunghe ogni trimestre), con un follow up per i suggerimenti regolari via posta elettronica o una breve e-newsletter mensile.

5. Regole e procedure inefficaci. È semplice reagire a un attacco bloccando la messaggistica istantanea o vietando le unità flash USB (Universal Serial Bus), tramite cui è possibile portare dati all'esterno di un ufficio. Si può anche creare l'illusione di una maggiore protezione chiedendo ai dipendenti di cambiare la password ogni mese. Purtroppo, regole troppo rigide riducono la produttività o inducono i dipendenti a trovare soluzioni alternative. "Criteri non appropriati possono impedire il corretto svolgimento del lavoro e aumentare i rischi di protezione", afferma Dunham.

Soluzione: Creare un giusto equilibrio tra protezione e produttività. Se da un lato è obbligatorio mettere in atto misure di protezione efficaci (ad esempio, stabilire che gli utenti devono crittografare i dati riservati sui computer portatili), l'accesso ai sistemi aziendali deve essere semplice e immediato per gli utenti autorizzati. Ad esempio, alcuni computer sono provvisti di una funzione di scansione biometrica delle impronte digitali che consente a un utente di accedere automaticamente o di decrittografare un file.

6. Attacchi dall'interno. Dopo quanto si è detto degli utenti malintenzionati e degli intrusi, è importante notare che molte delle violazioni alla protezione provengono dall'interno di una società. I dipendenti scontenti e disonesti rappresentano una minaccia costante e la disattenzione può essere molto diffusa, in particolare tra gli utenti che viaggiano spesso portando con sé PC portatili e PDA (Personal Digital Assistant). I dirigenti e gli amministratori di alto livello con privilegi di accesso virtualmente non controllati sono impossibili da fermare. Inoltre, il personale addetto alle consegne, i lavoratori a tempo determinato e perfino i custodi possono avere libero accesso alle infrastrutture.

Soluzione: Sebbene non esista un modo per raggiungere una protezione totale, è possibile ridurre i rischi. Occorre prima di tutto distribuire i sistemi e i privilegi in modo che nessuno abbia il pieno controllo. Quindi, determinare la posizione in cui si trovano backup, archivi e copie dei database utilizzati per il test e la correzione degli errori. Inoltre, tenere traccia delle persone che utilizzano dispositivi per utenti mobili e verificare che i dipendenti sappiano come proteggere i dispositivi e i dati quando sono in viaggio. Infine, non consentire agli esterni di spostarsi incontrollati all'interno degli uffici.