News: tutti i segreti di Internet

Sans "Top 20" 2007

ale

15 Aprile 08 @ 08:00 am

La guida SANS Top 20 in italiano e il test per correggere i maggiori rischi per la sicurezza informatica

L’ultima edizione della guida SANS Top 20 è ora anche in italiano, con la descrizione dei venti maggiori rischi per la sicurezza informatica di organizzazioni, aziende ed enti pubblici, corredata dai consigli per risolvere le vulnerabilità e da un test gratuito per verificare la propria situazione.

Grazie all’iniziativa congiunta di Sans Institute, Qualys e Data Security, oltre al classico report annuale, strumento indispensabile per qualsiasi amministratore di rete, è online uno strumento di analisi che può verificare il grado di sicurezza della propria azienda nei confronti dei venti punti critici messi in evidenza dalla lista del SANS.

Il documento è scaricabile dal sito www.datasecurity.it, dove si può trovare anche il link per eseguire il test Qualys gratuito per verificare la sicurezza dei propri sistemi di rete.

Nella SANS Top 20 localizzata per l’Italia vengono messe in risalto le minacce più pericolose per la sicurezza, classificandole in base al contesto nel quale si possono verificare (applicazioni lato client, software dei server, politiche di sicurezza e del personale, dispositivi di rete, abuso di applicazioni).

Lasciando da parte i toni allarmistici di molte pubblicazioni sulla sicurezza informatica, la Top 20 analizza in dettaglio i rischi più concreti e urgenti, indicando volta per volta i rimedi da adottare per evitare danni al patrimonio informativo di aziende, enti e organizzazioni.

Tutte le indicazioni riportate nel documento sono fondamentali per i soggetti che vogliono tutelare il proprio patrimonio economico e intellettuale dalle molteplici tipologie d’attacco oggi sempre più diffuse. Il furto o la perdita di dati si traducono, infatti, in perdite monetarie a volte difficili da quantificare; il furto di un brevetto o di altre informazioni riservate, oltre a rappresentare un danno economico ingente nell’immediato, può minare o ridurre la competitività a lungo termine; il danno d’immagine che deriva da un attacco riuscito indebolisce il prestigio di qualsiasi azienda.

La lista SANS Top 20, realizzata grazie al lavoro congiunto di dozzine tra i maggiori esperti mondiali di sicurezza informatica, è strutturata quest’anno in sei sezioni. In apertura vengono esaminate le vulnerabilità relative ai browser Web, agli applicativi Office, ai client di posta elettronica e ai lettori multimediali. Nei capitoli seguenti l’attenzione viene indirizzata verso le vulnerabilità lato server rappresentate dalle applicazioni web, dai servizi Windows, Unix e Mac OS, dai software di backup e anti-virus, dai management server e dai software per database. Nella sezione “Politiche di sicurezza e personale” vengono presi in considerazione i rischi connessi al comportamento dei dipendenti, in particolare per quanto riguarda i diritti eccessivi concessi all’utente, l’uso di dispositivi non autorizzati, il Phishing, l’utilizzo dei computer portatili senza crittografia e dei sempre più diffusi dispositivi rimovibili. Successivamente sono analizzati in modo approfondito i rischi connessi ad applicazioni di messaggistica e di condivisione di file peer-to-peer, alla diffusione dei servizi di telefonia VoIP, per concludere fornendo indicazioni su come affrontare le sempre più diffuse minacce “Zero Day”, ovvero quelle per cui non è disponibile immediatamente un rimedio tecnologico.

Dal rapporto di quest’anno emerge l’aumentato pericolo del fattore interno rispetto agli attacchi provenienti dall’esterno delle organizzazioni: se esistono ancora i pericoli legati agli ormai noti malware diffusi nel web e a coloro che, approfittando delle vulnerabilità che ogni giorno vengono scoperte, tentano di introdursi dall’esterno nelle reti aziendali, avanza il rischio, spesso sottovalutato, rappresentato dai dipendenti che, per dolo, negligenza o semplicemente perchè poco formati, possono provocare danni a colte ancora più gravi. Per questo, rispetto alle edizioni precedenti, la SANS Top 20 2007 non si occupa solo di aspetti propriamente tecnici, ma focalizza in modo significativo la sua attenzione sulle politiche di sicurezza e alle esigenze organizzative indirizzate al personale interno.