Messa in opera Privacy in una rete aziendale

[Zannawhite]

L'argomento caldo del primo semestre 2006 sarà sicuramente la Privacy.

Anche io voglio riportare la mia esperienza, soprattutto perchè in un forum come questo , ritengo che si impari
di più che 1000 corsi dedicati alla Privacy. Infatti si leggono esperienze dirette di adetti ai lavori (tecnici informatici) e non, quindi sempre esempi pratici e non la solita filosofia legislativa
che inizi a leggerla sapendo che non potrai mai trarre conclusioni certe.

In breve vorrei condividere con voi, la messa in opera delle varie procedure per la getisone della Privacy sulla rete aziendale, PRIMA e DOPO l'attuazione.
Spero di dare e ricevere suggerimenti e consigli in merito, sul miglioramento della sicurezza.

PUNTO 1 Analisi sistema informatico

Una piccola lista di punti da seguire prese da una lista:

LE 10 REGOLE DELLA SICUREZZA
1. Assicurate il vostro PC dal punto di vista fisico;
2. Utilizzate un antivirus aggiornato;
3. Eseguite regolari backup del PC;
4. Utilizzate password "complesse (8 caratteri o +)" e cambiatele regolarmente;
5. Adottate il sistema di cifratura per le informazioni più importanti;
6. Navigate in Rete in modo prudente;
7. Installate un firewall;
8. Usate la posta elettronica in maniera sicura;
9. Aggiornate il sistema periodicamente;
10. Proteggete le vostre connessioni.


Mi ritrovo a essere il responsabile informatico (una parolona ) di una ditta di ~15 Pc. e un SERVER.

Adesso sono organizzato in questa maniera:
Tutti i Pc. hanno come O.S. Windows 2000 / Windows XP Pro , tutti aggiornati all'ultimo update disponibile.
Il Server usa Windows SERVER 2003 standard Edition. aggiornato all'ultimo update disponibile.
Inoltre in questo Pc è installato PANDA Admin secure, ritengo un ottimo Antivirus e antispam (parolona anche questa), quest'ultimo tiene
costantemente aggiornati tutti i Pc della ditta.

Tutti questi Pc sono connessi tramite rete a un router Zyxel ADSL.
Non posseggo nessun firewall hardware.
Come installazione tipica, questi Pc utilizzano Explorer x navigare, Outlook Express per la posta elettronica e Ad-aware per un controllo "settimanale"
di possibili malware,spyware,ecc......... ed infine il Firewall di windows attivato ( anche se verifica solo il traffico in ingresso, non in uscita )
Ogni utente "User" ha una password per accedere al proprio Pc.
Mi dimenticavo del SERVER, quest'ultimo effettua salvataggi giornalieri, e i Tanderberg (dischi di backup), vengono alloggiati
all'interno di una cassaforte resistente alle Fiamme per almeno 2 ore, E' l'unico Pc sotto un gruppo di continuità, visto che tutti i dati aziendali risiendono in questo Pc, mentre gli altri fungono esclusivamente da Client.


Ho tenuto anche un piccolo corso in merito alla formazione del personale sul corretto utilizzo di Internet e sostanzialmente sulle
fonti di probabili pericoli. Ritengo che sia fondamentale una continua formazione del personale sulle mutazioni dei vari pericoli.
E' circa 1 anno che questa organizzazione informatica funziona senza ( per adesso ) grossi problemi, al massimo trovo e rimuovo qualche file trovato da Ad-Aware, virus pochi ma bloccati da Panda.

Volevo chiedervi alcuni aspetti per migliorare il tutto, anche se ritengo (confematelo) che ai sensi di legge mi ritengo a posto.

Volevo valutare insieme a voi queste soluzioni:

Un firewall hardware da mettere a monte della rete ( e disattivare quello di windows ) per monitorare ulteriormente il flusso di dati ?
Utilizzare FireFox al posto di Explorer ?
Utilizzare un programma di posta elettronica migliore? Thunderbird ?
Decidere di fare scansioni e manutenzioni a Pc + frequenti ?

Comunque ritengo che alla base di tutto deve esserci collaborazione con chi utlizza il Pc, non negandogli ogni cosa
altrimenti quando può ti "frega".
Tutti noi sappiamo che è un attimo aprire un file sospetto allegato nella posta, Navigare in acque pericolose, portarsi da casa
qualcosa che può essere già infetto, ecc...............

Quindi vi chiedo alla luce di queste riflessioni se avete suggerimenti.

Successivamente effettuerò una riunione aziendale, implementando anche i vostri consigli , poi seguiranno le azioni correttive intraprese per il migliramento dell'efficienza della rete.

Riporto alcune linne guida consultabili dal Web, ben fatte e di facile comprensione:

link 1

vorrei focalizzare un piccolo pezzo tratto dal link1

..................salvaguardare la riservatezza dell'informazione significa ridurre a livelli
accettabili il rischio che un'entità possa, volontariamente o involontariamente,
accedere all'informazione stessa senza esserne autorizzata;
salvaguardare l'integrità dell'informazione significa ridurre a livelli accettabili il
rischio che possano avvenire cancellazioni o modifiche di informazioni a seguito
di interventi di entità non autorizzate o del verificarsi di fenomeni non
controllabili (come il deteriorarsi dei supporti di memorizzazione, la degradazione
dei dati trasmessi su canali rumorosi, i guasti degli apparati, i problemi ai sistemi
di distribuzione dell'energia, gli incendi, gli allagamenti) e prevedere adeguate
procedure di recupero delle informazioni (ad esempio i piani di back-up);
salvaguardare la disponibilità dell'informazione significa ridurre a livelli
accettabili il rischio che possa essere impedito alle entità autorizzate l'accesso
alle informazioni a seguito di interventi di altre entità non autorizzate o del
verificarsi di fenomeni non controllabili del tipo già visto al punto precedente.....................

Grazie

[Zannawhite]

[Zannawhite]

[Cimmo]

se posso essere d'aiuto:
- assolutamente internet explorer bannato, meglio firefox o ancora meglio Opera che risulta essere il browser + sicuro: questo perche' IE patchato all'ultima patch soffre di bug di sicurezza gravi
http://secunia.com/product/11/
- gli utenti devono essere tutti limitati (se e' possibile, cioe' se non c'e' nessun programma che ha bisogno di utenti administrator per forza)
- usare un client di posta elettronica diverso da OE sarebbe cosa buona e giusta
http://secunia.com/product/102/
- insegnarli che non si aprono gli allegati, MAI, tranne quelli che si aspettavano di ricevere e soprattutto MAI dagli sconosciuti.
- avere un firewall piu' consistente, almeno sul server

[Zannawhite]

Quote:

Originariamente inviato da Cimmo

se posso essere d'aiuto:
- assolutamente internet explorer bannato, meglio firefox o ancora meglio Opera che risulta essere il browser + sicuro: questo perche' IE patchato all'ultima patch soffre di bug di sicurezza gravi
http://secunia.com/product/11/
- gli utenti devono essere tutti limitati (se e' possibile, cioe' se non c'e' nessun programma che ha bisogno di utenti administrator per forza)
- usare un client di posta elettronica diverso da OE sarebbe cosa buona e giusta
http://secunia.com/product/102/
- insegnarli che non si aprono gli allegati, MAI, tranne quelli che si aspettavano di ricevere e soprattutto MAI dagli sconosciuti.
- avere un firewall piu' consistente, almeno sul server

Ritengo tutte le osservazioni fatte corrette, e ben documentate, le inserirò come azioni correttive per migliorare l'efficienza della sicurezza in ditta.

Grazie ancora per i preziosi consigli

[Z@nni]

Ciao,
visto che lo faccio per lavoro.....(da quasi 20 anni)

A prescindere dalla scelta di marche e modelli di sw o di hw (tanto sono per la maggior parte guerre di religione). Più investi "in periferia" (a livello gateway) e al centro stella (servers), meno spenderai a correre dietro a problematiche sui PC client ( e relativi utOnti).

relativamente al punto 6:
Non esiste la modalità "prudente" di navigazone: o navighi o non navighi !! (guarda cosa sta succedendo con il phishing o i file .wmf). Gli utenti, specialmente quelli troppo o troppo poco smaliziati ti metteranno sempre in difficoltà). Per la navigazione meglio utilizzare una soluzione di content filtering, che ti permette di definire a priori, cosa è possibile fare e cosa no con internet. Inoltre fai "un favore" al tuo datore di lavoro evitandogli possibli problematiche anche penali (il perchè è lungo e se non lo sai già, te lo spiego a parte).

relativamente al punto 7:
Il FireWall (assoultamente su HW dedicato e posizionato dietro un router), DEVE essere sempre controllato e aggiornato. Se poi riesci a controllare il log in modo continuativo e automatico (per verificare attività anomale ed eventuali attacchi) sei a cavallo.


Poi un po di notiziuole random:
All'interno della LAN NON devono essere presenti macchine con IP pubblici, queste devono essere posizionate almeno su una DMZ (il perchè è facilmente capibile)

Esiste un "programmino" (purtroppo penso sia diventato a pagamento) che è SuS di Microsoft per l'aggiornamento di tutto il tuo parco pc, senza dover scaricare 25 volte la sessa patch da internet.

E' inutile portarsi lo Spam "in casa" sul server di posta o peggio ancora sul PC per poi eliminarlo. Si crea traffico inutile e diminuzione della produttività degli utenti. Meglio "scartarlo" sempre in "periferia" con un buon antispamming. (la regola di chi più spende ...meno spende e molto spsso valida però)

ECC. ECC...

concludendo.....

prevenire è moooolto meglio che combattere!!!
E verifica sempre che qualsiasi cosa "ti porti in casa" sia supportata da qualcuno il "meno virtuale possibile"

buon divertimento...

Z@nni

NB.: approposito, non lasciarti prendere dallo sconforto per i costi della soluzione che ti piacerebbe prendere per la tua azienda. Non è detto che devi per forza acquistarle....noi ad esempio le noleggiamo !(la pubblicità è l'anima del commercio... ma non voglio fare pubblicità occulta..siamo uno dei tanti) ...soccia !!!!

[Stev-O]

nessuno ha citato ewido free come antispyware/mailware & spybot per la funzione di immunizzazione host oltre che per il suddetto controllo, molto + efficace di ad aware

e se puoi acquistare licenze di kaspersky al posto di panda sarebbero soldi ben spesi...

[Cimmo]

Quote:

Originariamente inviato da Z@nni

Ciao,
visto che lo faccio per lavoro.....(da quasi 20 anni)

A prescindere dalla scelta di marche e modelli di sw o di hw (tanto sono per la maggior parte guerre di religione). Più investi "in periferia" (a livello gateway) e al centro stella (servers), meno spenderai a correre dietro a problematiche sui PC client ( e relativi utOnti).

guarda concordo con te in quello che dici, ma fammi commentare questa parte: io non ne faccio mai una guerra di religione, anzi un po' mi sta su la gente (non parlo di te) che dice che ora si usa Firefox perche' va di moda... moda un bel niente! Usiamo Firefox perche' e' migliore su _quasi_ la totalita' dei punti di vista rispetto ad IE.
E la sicurezza e' uno di questi punti, dati alla mano, dove IE e' lacunoso. Quindi se non l'hai gia' fatto ti consiglio di fare un giretto per i link che ho postato prima di gridare alla guerra di religione, come spero tu possa constatare di persona la bonta' di firefox, ma ancora di piu' di Opera, che viaggia costantemente sul 90% e passa di fix
http://secunia.com/product/4932/

Con questo non me la sono presa, solo usciamo dal mito: "non uso IE perche' fa fico", perche' ci sono delle ragioni dietro.

[Zannawhite]

Quote:

Originariamente inviato da Z@nni

Ciao

Benvenuto nel forum di HWupgrade

Quote:

Originariamente inviato da Z@nni

..................... ( e relativi utOnti).........

Mi mancava come definizione

Quote:

Originariamente inviato da Z@nni

relativamente al punto 6:
Non esiste la modalità "prudente" di navigazone: o navighi o non navighi !! (guarda cosa sta succedendo con il phishing o i file .wmf). Gli utenti, specialmente quelli troppo o troppo poco smaliziati ti metteranno sempre in difficoltà). Per la navigazione meglio utilizzare una soluzione di content filtering, che ti permette di definire a priori, cosa è possibile fare e cosa no con internet. Inoltre fai "un favore" al tuo datore di lavoro evitandogli possibli problematiche anche penali (il perchè è lungo e se non lo sai già, te lo spiego a parte).

E' uno dei punti caldi che dovrò trattare; sicuramente ero intenzionato all'acquisto di un Firewall che non costi una pazzia ma che il suo lavoro lo sappia compiere in maniera più automatica possibile.

Quote:

Originariamente inviato da Z@nni

Esiste un "programmino" (purtroppo penso sia diventato a pagamento) che è SuS di Microsoft per l'aggiornamento di tutto il tuo parco pc, senza dover scaricare 25 volte la sessa patch da internet.

Momentaneamente non è che abbia una incidenza così elevata per pensare a una soluzione software come accennavi.

Quote:

Originariamente inviato da Z@nni

E' inutile portarsi lo Spam "in casa" sul server di posta o peggio ancora sul PC per poi eliminarlo. Si crea traffico inutile e diminuzione della produttività degli utenti. Meglio "scartarlo" sempre in "periferia" con un buon antispamming. (la regola di chi più spende ...meno spende e molto spsso valida però)

Intanto la posta viene gestita da un provider esterno alla ditta che ha già i suoi buoni filtri, comunque speravo che Panda facesse qualcosa di più, ma noto che non è molto attivo.

Per concludere credo che la lotta comune sia quella di inculcare nelle mentalità dei " soci " concetti che purtroppo per il loro modo di vedere e di operare vengono sempre convertiti in € come ogni cosa. Bisogna saperla raccontare il meglio possibile.
Sono molto d'accordo sul concetto di chi più spende meno spende. Ritengo che all'interno dell'azienda siano stati effettuati nell'anno passato investimenti pesanti per SERVER nuovo ( Xeon ), Pc con XP Pro. licenze e antivirus un pò più efficenti di Norton.

Comunque la conclusione che posso trarre è che la Privacy non è da prendere sottogamba, ma nemmeno rendere la propria ditta un bunker.

Ti ringrazio per l'ottima analisi che hai fatto.

[Z@nni]

Il mondo è bello perchè è vario....anzi in questo caso "avariato".
Io uso indistintamente IE e FF per motivi soprattutto di lavoro (Opera in verità no) e preciso subito che non ho niente da spartire con nessun vendor (Microsoft in primis) e nonostante il link di Secunia non lo discuto, (sempre per il ruolo di consulente che ricopro) non posso consigliare così impunemente browser diversi da IE, se non facendo notare (oltre agli innegabili aspetti legati alla sicurezza) anche quelli di manifeste "instabilità", soprattutto con fantomatiche "applicazioni web" assemblate "con i piedi" che trovo in giro per aziende (che a loro volta hanno un'accozzaglia di pc di tutte le razze e versioni di S.O.... nonostante il DPS.196). Non sono in grado quindi di tenere un atteggiamento da purista, ma piuttosto da "opportunista" (scelgo e faccio scegliere non fra il bene e il male, ma fra il peggio il meno peggio).. ed i questo ti chiedo venia .
Comunque il tema di questo topic non mi sembrava prevedere il confronto far questo o quel browser. Ma piuttosto definire un "atteggiamento" corretto verso l'implementazione della sicurezza informatica...che nonostante il nome altisonante....penso che non avrai nessuna difficoltà a convenire con me che NON esiste ! Ma è un processo in continuo divenire.

Quindi nessuna volontà di spezzare lance verso IE o FF o Opera, solo un atteggiamento distaccato. Consapevole che nessun software può ritenersi più sicuro di altri. I fattori che legano la maggior instabilità di un sw sono legati: sì alla filosofia costruttiva che sta alle spalle di quel progetto, ma in egual misura alla sua diffusione, al numero degli utilizzatori e infine all'accanimento dei vari hacker o sedicenti tali ad evidenziare/sfruttare eventuali bachi e gettare fango su questo o sul quel brand.....

ai posteri l'ardua sentenza......
Ciao,
Gianni.

...e buon divertimento


Ps.: assolutamente vero.... io mi voglio ritenere libero e fuori da "mode" momentanee

[Cimmo]

Quote:

Originariamente inviato da Z@nni

Quindi nessuna volontà di spezzare lance verso IE o FF o Opera, solo un atteggiamento distaccato. Consapevole che nessun software può ritenersi più sicuro di altri. I fattori che legano la maggior instabilità di un sw sono legati: sì alla filosofia costruttiva che sta alle spalle di quel progetto, ma in egual misura alla sua diffusione, al numero degli utilizzatori e infine all'accanimento dei vari hacker o sedicenti tali ad evidenziare/sfruttare eventuali bachi e gettare fango su questo o sul quel brand.....

guarda sono il primo a dirti che nessun software e' perfetto, ne' lo sara' mai, almeno finche' aggiungi codice, aggiungi potenziali bug.
Pero' c'e' un concetto che io noto e ritengo importante: c'e' un bug di sicurezza? Bene, mettiamolo a posto.
IE ha bug di sicurezza che sono li' a marcire da mesi se non anni per alcuni.
Questo dimostra che non e' un software ben mantenuto e quindi da scartare.
Quindi ok non facciamo le crociate, pero' le cose vanno dette come stanno e secondo me chiudere gli occhi e far finta di niente non serve.
Io metto a posto decine di pc al mese, ti posso assicurare che i clienti che mi hanno ascoltato e usano FF hanno molti meno spyware e virus, chi usa IE no.
Poi non voglio dire che IE e' la causa di tutto, chiaro che se per e-mail ti arriva un allegato non riconosciuto dall'antivirus e l'utonto lo apre, beh li' nessuno ti salva, pero' ti assicuro che NON usare IE mi ha portato alla conclusione che mantiene il pc molto + pulito.

ciao

[Z@nni]

Quoto tutto quello che dici, specialmente quando affermi che potrebbero essere più solerti a proporre rimedi a bachi così obsoleti.

ma quando affermi che:

Quote:

Originariamente inviato da Cimmo

Io metto a posto decine di pc al mese, ti posso assicurare che i clienti che mi hanno ascoltato e usano FF hanno molti meno spyware e virus, chi usa IE no.

Devo ammettere che qui, le nostre esperienze, sono diverse.
Io ritengo di raggiungere gli stessi risultati (in sicurezza) operando molto a livello periferico (come avevo già esposto in precedenza).
Tieni conto che il target delle aziende che seguo ha tipicamente decine se non centinaia di PC (e relativi utonti), e quindi la "migrazione" massiva di sw, s.o. o parte di essi è quasi sempre mal vista; non tantro dai responsabili EDP quanto da chi "sgancia la pilla".
A te le dovute conclusioni. Ho spesso dovuto far buono a cattivo gioco.

(se mi sono sparlato un po' addosso ma non era mia intenzione )

Ma scusa: ma per che azienda lavori? Forse ci conosciamo.

[Zannawhite]

Finalmente il primo passo è stato fatto .

Infatti è di immediato acquisto un firewall della 3COM, per adempiere alle norme legislative.

In verità serve più che altro per avere uno strumento flessibile e configurabile del semplice router.
Inoltre è subentrata la necessità di aver una VPN per avere la possibilità di gestire l'assitenza remota su un nuovo Server che è stato installato da poco.

link firewall