10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP

Pagina 1 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip

Adesione al programma ISECOM Licensed Auditor (ILA) in qualità di unico OSSTMM Expert ILA (livello Platinum)

123456789101112

> > Novità Articoli Protezione degli utenti VIP

Protezione degli utenti VIP

“The more you move away from the prison concept of security, the more you require the cooperation and goodintentions from the people you are securing.” – OSSTMM 3.0 Lavorando nel settore della sicurezza informatica può accadere di imbattersi insituazioni paradossali. Per quanto possa apparire strano, ad esempio,

. Nonostante icosiddetti “utenti VIP” abbiano accesso ad informazioni di vitale importanza ai finidel business, infatti, di frequente risultano particolarmente esposti agli attacchi.Le motivazioni sono molteplici:

spesso illivello di sicurezza di cui godono i Top Manager delle grandimultinazionali è inferiore a quello dei comuni utenti aziendali

per

gli utenti VIP. Di norma, inoltre, i Top Manager non sono assegnati ad un’unitàorganizzativa dedicata, ma vengono trattati come utenti comuni.

L’azienda non adotta politiche e procedure di sicurezza specifiche

I Top Manager hanno generalmente una e a differenza degli altri utenticondividono regolarmente informazioni critiche ai fini della sicurezza (es. credenziali di accesso alla postaelettronica) con i propri assistenti.

competenza tecnologica limitata

In qualità di , gli utenti VIP possono costituire unbersaglio più facile degli utenti comuni.

personaggi spesso in vista ed esposti a livello mediatico

Ad aggravare ulteriormente la situazione, tipicamente i Top Manager richiedono l’impostazione di a loro applicati. Ad esempio, accade spesso che

abbiano libero accesso alla navigazione Internet, possano utilizzare password più semplici di quelle richiestedalle politiche aziendali (o non le utilizzino affatto), facciano uso di strumenti tecnologici non previsti daglistandard aziendali (es. notebook Apple non attestati al dominio Microsoft Active Directory) e siano sottopostiad un monitoraggio meno stretto rispetto a quello riservato agli altri utenti.

eccezioniche concorrono ad indebolire i controlli di sicurezza

Fortunatamente, una volta raggiunta la consapevolezza dell’effettivo stato di sicurezzadegli utenti VIP, il loro numero ristretto ne semplifica la protezione. E’ infattigeneralmente possibile

, senza particolari oneri aggiuntivi.

ottenere e mantenere una postura di sicurezzasoddisfacente tramite l‘adeguamento degli strumenti procedurali e tecnologicigià presenti in aziendaAl fine di raggiungere questa consapevolezza e di promuovere la volontà dicambiamento da parte della stessa direzione aziendale, è opportuno condurreun’attività di verifica che comprenda l’

e in particolare sullariservatezza delle informazioni critiche di loro competenza (es. piani strategici). Tale attività dovrebbe prevederealmeno le seguenti fasi:

analisi dei processi e delle piattaformetecnologiche che impattano sulla sicurezza dei Top Manager

coinvolto nella gestione della sicurezza e nell’amministrazione degli asset assegnatiagli utenti VIP, finalizzate al recepimento dei flussi informativi ed all’approfondimento delle tematiche relativeai processi di , e .

Interviste al personale

governance operations support

delle normative interne, delle procedure, delle istruzioni di lavoro e degli altri documentirilevanti relativi a: governo della sicurezza e dei rischi; classificazione delle informazioni; installazione,configurazione, consegna, dismissione, assistenza e manutenzione degli asset assegnati agli utenti VIP.

Analisi documentale

condotta al fine di valutare la possibilità di sfruttare falle di configurazione suiAnalisi di laboratorio

10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP

Pagina 2 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip

dispositivi aziendali in uso agli utenti VIP (es. notebook, smartphone, tablet, computer desktop, apparati divideoconferenza, stampanti multifunzione, etc.), con finalità di accesso non autorizzato e furto di informazioni.

in modalità Vulnerability Assessment e/o Penetration Test condotta al fine dirilevare sul campo la presenza di vulnerabilità delle piattaforme tecnologiche aziendali a supportodell’operatività degli utenti VIP, quali ad esempio: servizi di posta elettronica, BlackBerry Enterprise Server,piattaforme di Mobile Device Management (MDM), infrastruttura telefonica, di videoconferenza e VoIP,stampanti multifunzione, domini Active Directory, NAS e file server, accessi remoti tramite VPN, etc.

Verifica di sicurezza logica

condotta al fine di valutare sul campo il grado di robustezza dei controlliimplementati per la protezione delle sedi aziendali e delle altre aree fisiche in uso agli utenti VIP. Tale verificadovrebbe comprendere: analisi dei varchi di accesso fisici, analisi dei sistemi di videosorveglianza, esecuzionedi bonifiche per il rilevamento di apparati di intercettazione ambientali.

Verifica di sicurezza fisica

Mettendo a frutto la propria esperienza quindicennale, il Security Advisory Team di@ Mediaservice.net ha sviluppato un

, con un approccio personalizzabile in base alle esigenze deisingoli Clienti. Nell’ambito dell’erogazione di tale servizio, è possibile rilevarenumerose classi di , quali adesempio:

servizio consulenziale per la protezionedegli utenti VIP

vulnerabilità tecnologiche, procedurali e fisiche

tra utenti VIP eutenti comuni, mancata applicazione di accorgimenti di sicurezza specifici suicomputer e sui dispositivi mobili assegnati ai Top Manager e mancata formalizzazione di procedure di gestionedei dispositivi non aziendali.

Assenza di adeguata separazione e differenziazione

, a riposo su disco e/o in transito sulla rete.Carenze nella protezione dei dati critici ai fini del business

utilizzatedai Top Manager.Carenze nel controllo degli accessi e nella configurazione delle piattaforme tecnologiche

(tramite VPN, rete telefonica pubblica e simili tecnologie).Carenze nelle protezioni perimetrali, nella segmentazione di rete e nella gestione degli accessiremoti

eseguite dagli utenti.Carenze nei meccanismi di tracciamento delle operazioni

.Possibilità di aggirare le misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici

A seguito del rilevamento dell e vulnerabilità presenti all’interno del contesto oggetto di analisi, emergetipicamente l’ che possonoimpattare sulla sicurezza dei Top Manager. Si rende pertanto necessario predisporre un

che comprenda specifiche contromisure per la messa in sicurezza di rete, sistemi, applicazioni, processi esedi fisiche, quali ad esempio:

esigenza di un controllo più serrato sugli strumenti tecnologici e procedurali piano correttivo di

rientro

, tramite l’impiego di un’infrastrutturainformatica dedicata e l’implementazione di protezioni addizionali sugli asset in uso agli utenti VIP (es.controllo preventivo sul software installato, cifratura del disco, protezione dei dati in transito, protezione delBIOS, etc.).

Messa in sicurezza delle utenze associate ai Top Manager

, che tengano conto delle specificheesigenze di questa particolare tipologia di utenza (es. utilizzo di dispositivi non standard, personale di supportodedicato, cancellazione sicura dei dispositivi di memorizzazione, creazione di un canale preferenziale per lasegnalazione di incidenti di sicurezza che coinvolgono utenti VIP, etc.).

Formalizzazione di procedure di assistenza dedicate ai Top Manager

e pianificazione di verifiche periodiche della robustezza delle password. , attivazione dei meccanismi di aggiornamento automatico del software di base e di terze parti,

adozione di soluzioni anti-malware e applicazione di procedure di hardening per le piattaforme tecnologichecritiche utilizzate dai Top Manager.

Applicazione di una politica omogenea di generazione, utilizzo e memorizzazione delle credenzialidi accesso Installazione delle patchdi sicurezza

, al fine di garantire una robusta segmentazione perla protezione da attacchi ad opera di agenti di minaccia esterni o interni, e

raggiungibili tramite la rete telefonica pubblica.

Revisione architetturale della rete pubblica e privatabonifica dei punti di accesso non

presidiati

Applicazione di eseguite dagli utenti, chegarantiscano la centralizzazione dei log e la generazione di allarmi a seguito di eventi rilevanti.

opportune impostazioni per il tracciamento delle operazioni

.Revisione delle misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici

L’approccio consulenziale che abbiamo brevemente presentato consente di valutare oggettivamente sul campo ilgrado di efficacia, efficienza e robustezza delle misure adottate per la protezione delle informazioni e dei

10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP

Pagina 3 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip

, al fine di sensibilizzare la direzione aziendale e fornire le indicazioninecessarie alla formulazione del piano correttivo di rientro per la messa in sicurezza degli utenti VIP.processi più critici ai fini del business

Richiedi il supporto di un nostro SecurityAdvisor

30/05/2014 - Marco Ivaldi, Security Advisory Team @ Mediaservice.net

Copyright © 2000-2016 @ Mediaservice.net S.r.l. ( - - ) - Contatti Info Privacy Policy

Ultimi articoli

Articoli più letti

Rilascio della nuova versione 3.2 dello standard PCI DSS

Monitoraggio dei controlli di security nell'IT

PCI DSS - Come affrontare gli ostacoli nascosti nel percorso di certificazione.

Quanto è sicuro il tuo fornitore di Sicurezza?

OSSTMM 4: la metodologia si arricchisce di nuove prospettive.

ISO/IEC 27001 – 2013 l’anno della rivincita

Visualizza tutti gli articoliAzienda

Cosa ci rende differenti

Partner

Lavora con noi

Mappa

Contatti

Lab

PCI DSS

Info

Privacy Policy