6a_GDPR non ti temo – Inventario dispositivi hardware e software (PRO)

Vediamo per punti come gestire dispositivi e risorse all’interno dell’azienda, ecco i 3 punti su cui dobbiamo basare il nostro lavoro


1- INVENTARIO

È buona norma, per gestire correttamente le condizioni di utilizzo del Sistema Privacy, avere un elenco degli asset per diversi motivi:

  • sapere chi accede
  • sapere chi proteggere
  • conoscere i punti deboli
  • intervenire puntualmente in caso di problematiche.

Nell’inventario, che deve essere aggiornato periodicamente, saranno indicati i dispositivi fisici (hardware), i programmi (software) e tutti i sistemi, i servizi e le applicazioni informatiche utilizzate all’interno del perimetro aziendale.

Quando diciamo “periodicamente” si deve sempre considerare non un “periodo fisso” di tempo, ma all’occorrenza:

  • in caso di nuovi acquisti/introduzioni di moduli o specifiche
  • in caso di variazione delle credenziali/posizioni del personale o ruoli
  • in caso di dismissione (del materiale obsoleto) o dimissione del personale

È quindi sempre necessario che l’inventario sia uno specchio quanto più fedele possibile della realtà aziendale e dei suoi utilizzi.

Quando nuovi dispositivi e software sono installati o collegati alla rete è necessario aggiornare immediatamente l’inventario, sul quale devono essere registrate anche le attività (tutte le tipologie di informazioni trattate) e la gestione della cyber security.

Il primo passo è quindi creare una lista dei dispositivi hardware e software sui quali adottare una strategia di governance. E mantenerla aggiornata.


2- ACCESSI

È buona regola fare accedere alla rete solo i dispositivi autorizzati, così da poter individuare intrusioni e bloccarle. I programmi e le applicazioni devono essere preventivamente testate ed approvate ed essere limitate all’accesso alle sole risorse necessarie.

Mentre i sistemi informatici in uso forniti da terzi parti (servizi cloud, social network, posta elettronica e spazi web) devono essere ridotti a quelli strettamente necessari per lo svolgimento delle attività d’impresa.

Immaginiamo se per un errore od una superficiale osservazione, o peggio, configurazione del dispositivo, programma o servizio trovassimo i nostri dati disponibili su internet al pubblico. I problemi più delicati sono i servizi di Repository (Dropbox, GDrive, Onedrivve, ecc) che forniscono spazi su server non controllabili direttamente. In questo caso si deve fare affidamento alle SLA del fornitore.


3- PERSONE

Non smetteremo mai di dirlo: il nostro personale è l’arma migliore che possiamo avere, ma anche la migliore per il nemico se cade in mani sbagliate.

Indispensabile quindi agire sulla preparazione della persone e diffondere la necessità di mappatura così che sia sempre attuata.

Basti pensare al dispositivo personale portato in azienda, e magari collegato al wi-fi. Il BYOD (Bring Your Own Device), che abbiamo avuto modo di analizzare in un altro articolo, è sicuramente comodo, economico e molte volte utile, ma se utilizzato a livello aziendale deve essere soggetto alle stesse regole dell’azienda.

Ma di persone è fatto anche il mondo che ci attacca:

  • hacker
  • insider
  • concorrenti

sono tutte persone che cercano di approfittare delle debolezze della rete per poter danneggiare il nostro sistema. Un corretto inventario permette di individuare i punti critici per gli attacchi “umani” ed adottare idonee precauzioni (segmentazione, credenziali, ecc)


METTIAMO IN PRATICA QUANTO DETTO NEI PUNTI PRECEDENTI:

Come vedrete i PUNTI precedentemente elencati nella puntata 6 (punti 1, 2 e 3) si fondono in una scheda che chiameremo ASSETS INVENTORY che indichi per ogni dispositivo:

  • indirizzo IP e nome macchina
  • le caratteristiche “fisiche e logiche” (RAM, processore, dischi, sistema operativo)
  • i programmi utilizzati ed autorizzati
  • eventuali sistemi di protezione “autonoma” (antivirus, firewall, password o lettori di card)
  • la funzione del dispositivo
  • un titolare responsabile della risorsa e l’ufficio associato
  • eventuali risorse collegate in rete e tipologie di accesso (lettura/scrittura, copia, cancellazione)

Ovviamente l’inventario deve includere telefoni cellulari, tablet, laptop e altri dispositivi portatili che memorizzano o elaborano dati che devono essere identificati, a prescindere che siano collegati o meno alla rete dell’organizzazione, a prescindere che siano o meno di proprietà dell’azienda.

Periodicamente (con la definizione data sopra) dobbiamo tenere sempre aggiornato l’inventario:

  • creando una “whitelist” delle applicazioni autorizzate e bloccando l’esecuzione del software non incluso nella lista.
  • eseguendo regolari verifiche (audit) sui sistemi al fine di rilevare la presenza di software non autorizzato, rendendo partecipe il responsabile assegnato per eventuali anomalie;
  • controllando e disattivazione degli account non più utilizzati, controllando password non aggiornate e variazione su dati/informazioni;
  • verificando la registrazione a servizi esterni esclusivamente tramite le e-mail aziendali e non con le credenziali personali, che possono essere sottratte e non controllate in caso di dimissioni;
  • stilando la lista completa dei supporti rimovibili (USB) ed aumentare la consapevolezza nell’utilizzo di tali dispositivi, che non essendo criptati nella maggior parte dei casi, diventano veicolo di “perdita o sottrazione” di dati;
  • verificando sempre le condizioni di utilizzo dei servizi Social, SaaS e cloud, in modo particolare come e in quale modo i dati aziendali (e personali dei nostri clienti) verranno gestiti dai provider;
  • identificando un responsabile per il coordinamento delle attività di gestione e protezione dei dati/informazioni, anche nel caso in cui non sia necessario un DPO. Una persona che sappia come rispondere e gestire le emergenze e che sia sempre aggiornata ed informata può aiutare e supportare il Titolare.
  • individuando il grado di criticità di ogni singolo sistema e informazione, e il potenziale impatto in caso di incidente, sia localmente che sulla totalità del sistema e sugli obiettivi di business dell’azienda.

Fatto questo elenco per ogni asset devono essere individuate le dipendenze tra dato, informazione, software, dispositivo e sistema e messe in relazione al relativo processo di business.

Dobbiamo quindi:

  • recuperare ed elencare i servizi che fornisce
  • identificare i componenti di basso livello che attuano il servizio di alto livello dell’asset.

Fatto questo identifichiamo le vulnerabilità che potrebbero affliggere il componente di basso livello, che quindi vengono propagate all’asset stesso.

un esempio:

PC che serve all’agente per recuperare gli ordini:

  • responsabile: agente
  • servizio erogato: attività commerciale
  • software utilizzati (componenti di basso livello)

elaborazione testi, foglio di calcolo, mail, programma gestionale per ordini:

  • servizi di alto livello:
  • proposte al cliente (usa excel, word e mail)
  • inserimento ordine (usa mail e gestionale)
  • vulnerabilità della mail: intercettazione, perdita o sottrazione password
  • vulnerabilità del gestionale: perdita di dati, connessione inaffidabile o non su VPN


E ORA PASSIAMO ALLA FASE SUCCESSIVA:
IL CALCOLO DEL RISCHIO E DEL RISCHIO NORMALIZZATO