Protezione degli utenti VIP - bls.srl · – OSSTMM 3.0 Lavorando nel settore della sicurezza...
Transcript of Protezione degli utenti VIP - bls.srl · – OSSTMM 3.0 Lavorando nel settore della sicurezza...
10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP
Pagina 1 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip
Adesione al programma ISECOM Licensed Auditor (ILA) in qualità di unico OSSTMM Expert ILA (livello Platinum)
123456789101112
> > Novità Articoli Protezione degli utenti VIP
Protezione degli utenti VIP
“The more you move away from the prison concept of security, the more you require the cooperation and goodintentions from the people you are securing.” – OSSTMM 3.0 Lavorando nel settore della sicurezza informatica può accadere di imbattersi insituazioni paradossali. Per quanto possa apparire strano, ad esempio,
. Nonostante icosiddetti “utenti VIP” abbiano accesso ad informazioni di vitale importanza ai finidel business, infatti, di frequente risultano particolarmente esposti agli attacchi.Le motivazioni sono molteplici:
spesso illivello di sicurezza di cui godono i Top Manager delle grandimultinazionali è inferiore a quello dei comuni utenti aziendali
per
gli utenti VIP. Di norma, inoltre, i Top Manager non sono assegnati ad un’unitàorganizzativa dedicata, ma vengono trattati come utenti comuni.
L’azienda non adotta politiche e procedure di sicurezza specifiche
I Top Manager hanno generalmente una e a differenza degli altri utenticondividono regolarmente informazioni critiche ai fini della sicurezza (es. credenziali di accesso alla postaelettronica) con i propri assistenti.
competenza tecnologica limitata
In qualità di , gli utenti VIP possono costituire unbersaglio più facile degli utenti comuni.
personaggi spesso in vista ed esposti a livello mediatico
Ad aggravare ulteriormente la situazione, tipicamente i Top Manager richiedono l’impostazione di a loro applicati. Ad esempio, accade spesso che
abbiano libero accesso alla navigazione Internet, possano utilizzare password più semplici di quelle richiestedalle politiche aziendali (o non le utilizzino affatto), facciano uso di strumenti tecnologici non previsti daglistandard aziendali (es. notebook Apple non attestati al dominio Microsoft Active Directory) e siano sottopostiad un monitoraggio meno stretto rispetto a quello riservato agli altri utenti.
eccezioniche concorrono ad indebolire i controlli di sicurezza
Fortunatamente, una volta raggiunta la consapevolezza dell’effettivo stato di sicurezzadegli utenti VIP, il loro numero ristretto ne semplifica la protezione. E’ infattigeneralmente possibile
, senza particolari oneri aggiuntivi.
ottenere e mantenere una postura di sicurezzasoddisfacente tramite l‘adeguamento degli strumenti procedurali e tecnologicigià presenti in aziendaAl fine di raggiungere questa consapevolezza e di promuovere la volontà dicambiamento da parte della stessa direzione aziendale, è opportuno condurreun’attività di verifica che comprenda l’
e in particolare sullariservatezza delle informazioni critiche di loro competenza (es. piani strategici). Tale attività dovrebbe prevederealmeno le seguenti fasi:
analisi dei processi e delle piattaformetecnologiche che impattano sulla sicurezza dei Top Manager
coinvolto nella gestione della sicurezza e nell’amministrazione degli asset assegnatiagli utenti VIP, finalizzate al recepimento dei flussi informativi ed all’approfondimento delle tematiche relativeai processi di , e .
Interviste al personale
governance operations support
delle normative interne, delle procedure, delle istruzioni di lavoro e degli altri documentirilevanti relativi a: governo della sicurezza e dei rischi; classificazione delle informazioni; installazione,configurazione, consegna, dismissione, assistenza e manutenzione degli asset assegnati agli utenti VIP.
Analisi documentale
condotta al fine di valutare la possibilità di sfruttare falle di configurazione suiAnalisi di laboratorio
10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP
Pagina 2 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip
dispositivi aziendali in uso agli utenti VIP (es. notebook, smartphone, tablet, computer desktop, apparati divideoconferenza, stampanti multifunzione, etc.), con finalità di accesso non autorizzato e furto di informazioni.
in modalità Vulnerability Assessment e/o Penetration Test condotta al fine dirilevare sul campo la presenza di vulnerabilità delle piattaforme tecnologiche aziendali a supportodell’operatività degli utenti VIP, quali ad esempio: servizi di posta elettronica, BlackBerry Enterprise Server,piattaforme di Mobile Device Management (MDM), infrastruttura telefonica, di videoconferenza e VoIP,stampanti multifunzione, domini Active Directory, NAS e file server, accessi remoti tramite VPN, etc.
Verifica di sicurezza logica
condotta al fine di valutare sul campo il grado di robustezza dei controlliimplementati per la protezione delle sedi aziendali e delle altre aree fisiche in uso agli utenti VIP. Tale verificadovrebbe comprendere: analisi dei varchi di accesso fisici, analisi dei sistemi di videosorveglianza, esecuzionedi bonifiche per il rilevamento di apparati di intercettazione ambientali.
Verifica di sicurezza fisica
Mettendo a frutto la propria esperienza quindicennale, il Security Advisory Team di@ Mediaservice.net ha sviluppato un
, con un approccio personalizzabile in base alle esigenze deisingoli Clienti. Nell’ambito dell’erogazione di tale servizio, è possibile rilevarenumerose classi di , quali adesempio:
servizio consulenziale per la protezionedegli utenti VIP
vulnerabilità tecnologiche, procedurali e fisiche
tra utenti VIP eutenti comuni, mancata applicazione di accorgimenti di sicurezza specifici suicomputer e sui dispositivi mobili assegnati ai Top Manager e mancata formalizzazione di procedure di gestionedei dispositivi non aziendali.
Assenza di adeguata separazione e differenziazione
, a riposo su disco e/o in transito sulla rete.Carenze nella protezione dei dati critici ai fini del business
utilizzatedai Top Manager.Carenze nel controllo degli accessi e nella configurazione delle piattaforme tecnologiche
(tramite VPN, rete telefonica pubblica e simili tecnologie).Carenze nelle protezioni perimetrali, nella segmentazione di rete e nella gestione degli accessiremoti
eseguite dagli utenti.Carenze nei meccanismi di tracciamento delle operazioni
.Possibilità di aggirare le misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici
A seguito del rilevamento dell e vulnerabilità presenti all’interno del contesto oggetto di analisi, emergetipicamente l’ che possonoimpattare sulla sicurezza dei Top Manager. Si rende pertanto necessario predisporre un
che comprenda specifiche contromisure per la messa in sicurezza di rete, sistemi, applicazioni, processi esedi fisiche, quali ad esempio:
esigenza di un controllo più serrato sugli strumenti tecnologici e procedurali piano correttivo di
rientro
, tramite l’impiego di un’infrastrutturainformatica dedicata e l’implementazione di protezioni addizionali sugli asset in uso agli utenti VIP (es.controllo preventivo sul software installato, cifratura del disco, protezione dei dati in transito, protezione delBIOS, etc.).
Messa in sicurezza delle utenze associate ai Top Manager
, che tengano conto delle specificheesigenze di questa particolare tipologia di utenza (es. utilizzo di dispositivi non standard, personale di supportodedicato, cancellazione sicura dei dispositivi di memorizzazione, creazione di un canale preferenziale per lasegnalazione di incidenti di sicurezza che coinvolgono utenti VIP, etc.).
Formalizzazione di procedure di assistenza dedicate ai Top Manager
e pianificazione di verifiche periodiche della robustezza delle password. , attivazione dei meccanismi di aggiornamento automatico del software di base e di terze parti,
adozione di soluzioni anti-malware e applicazione di procedure di hardening per le piattaforme tecnologichecritiche utilizzate dai Top Manager.
Applicazione di una politica omogenea di generazione, utilizzo e memorizzazione delle credenzialidi accesso Installazione delle patchdi sicurezza
, al fine di garantire una robusta segmentazione perla protezione da attacchi ad opera di agenti di minaccia esterni o interni, e
raggiungibili tramite la rete telefonica pubblica.
Revisione architetturale della rete pubblica e privatabonifica dei punti di accesso non
presidiati
Applicazione di eseguite dagli utenti, chegarantiscano la centralizzazione dei log e la generazione di allarmi a seguito di eventi rilevanti.
opportune impostazioni per il tracciamento delle operazioni
.Revisione delle misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici
L’approccio consulenziale che abbiamo brevemente presentato consente di valutare oggettivamente sul campo ilgrado di efficacia, efficienza e robustezza delle misure adottate per la protezione delle informazioni e dei
10/10/16, 16'21@ Mediaservice.net - Protezione degli utenti VIP
Pagina 3 di 4https://www.mediaservice.net/news/518/protezione-degli-utenti-vip
, al fine di sensibilizzare la direzione aziendale e fornire le indicazioninecessarie alla formulazione del piano correttivo di rientro per la messa in sicurezza degli utenti VIP.processi più critici ai fini del business
Richiedi il supporto di un nostro SecurityAdvisor
30/05/2014 - Marco Ivaldi, Security Advisory Team @ Mediaservice.net
Copyright © 2000-2016 @ Mediaservice.net S.r.l. ( - - ) - Contatti Info Privacy Policy
Ultimi articoli
Articoli più letti
Rilascio della nuova versione 3.2 dello standard PCI DSS
Monitoraggio dei controlli di security nell'IT
PCI DSS - Come affrontare gli ostacoli nascosti nel percorso di certificazione.
Quanto è sicuro il tuo fornitore di Sicurezza?
OSSTMM 4: la metodologia si arricchisce di nuove prospettive.
ISO/IEC 27001 – 2013 l’anno della rivincita
Visualizza tutti gli articoliAzienda
Cosa ci rende differenti
Partner
Lavora con noi
Mappa
Contatti
Lab
PCI DSS
Info
Privacy Policy