Le Security Policy hanno bisogno di ENFORCEMENT
Le Security Policy sono lo strumento con cui vengono formalizzate tutte le regole tecniche ed organizzative che si intende mettere in campo per garantire la sicurezza delle informazioni Aziendali.
Sono cioè un insieme di norme comportamentali e tecniche che debbono essere seguite nell'attuazione dei processi di Business, in modo da tutelare la Riservatezza, Integrità e Disponibilità delle informazioni Aziendali.
Per essere realmente efficace, una Security Policy dovrebbe:
- essere ben documentata attraverso un documento ufficiale, chiaro e facilmente comprensibile ai destinatari;
- essere ragionevole ed applicabile, cioè essere motivata dalla riduzione dei rischi per la sicurezza delle informazioni, e costituita da un insieme di misure effettivamente implementabili nel contesto Aziendale;
- essere conosciuta ed applicata, cioè essere adeguatamente diffusa ai destinatari che la debbono applicare e prevedere sanzioni in caso di mancata applicazione;
- essere (ove possibile) supportata da strumenti di ENFORCEMENT, cioè prevedere l'introduzione di strumenti tecnici ed organizzativi finalizzati a facilitarne l'applicazione e/o a scoraggiarne la mancata applicazione.
Ad esempio, la Policy che richiede l'impiego di password complesse per l'autenticazione è solitamente supportata da uno strumento automatico che verifica alcune caratteristiche della password scelta dall'utente e rifiuta l'inserimento di password che non rispettano determinate caratteristiche.
Cosa succede se l'ENFORCEMENT viene a mancare ?
Le Security Policy che non sono supportate da strumenti di ENFORCEMENT perdono purtroppo gran parte della loro efficacia, in quanto viene a mancare il "controllo proattivo" sulla loro effettiva applicazione.
E' il caso che mi è capitato con la Policy Aziendale sulla gestione delle informazioni, che prescrive che tutti i nuovi file creati dagli utenti sui propri Laptop siano sempre salvati sui Server, per proteggerne la DISPONIBILITA'.
Ve ne ho già parlato in questo articolo.
Con l'antivirus e con la cifratura del disco dei PC Portatili avevo in qualche modo risolto il problema della protezione della RISERVATEZZA e dell'INTEGRITA' dei dati Aziendali memorizzati sui Laptop, ma non avevo trovato nessuna soluzione per "forzare" gli utenti a copiare appena possibile sui Server i dati creati sul Laptop...
In caso di furto/smarrimento del Laptop o a causa di un RANSOMWARE quei dati sarebbero irrimediabilmente perduti.
Bisognava trovare un TOOL in grado di rilevare tutti i documenti nuovi o modificati presenti sul Laptop e di effettuarne automaticamente la copia sui Server, non appena il Laptop venisse nuovamente connesso alla rete Aziendale.
La svolta arriva proprio adesso...
Recentemente mi è capitato di incontrare un amico ed ex compagno di studi universitari, che mi racconta di un suo progetto relativo ad un programma software per gestire foto e documenti personali, invitandomi a provarlo e a suggerirgli eventuali estensioni e miglioramenti.
Provandolo, mi accorgo subito che il TOOL che stavo cercando si trova proprio qui dentro: basta solo potenziare ed automatizzare alcune funzionalità relative alla effettuazione delle copie di salvataggio dei file !
Grazie a questo fortuito incontro, oggi è disponibile questo software GRATUITO per uso personale (la licenza della versione estesa per uso Aziendale costa pochi euro...) che può fare ciò di cui avevo bisogno ed anche tanto altro...
Buon BACKUP a tutti !
Cordialmente vostro,
Autostoppista Cyber Galattico.