Sistemi operativi
- Verifica stato licenze software di base
- Modalità di aggiornamento o sostituzione e metodologie di verifica del loro impatto sugli applicativi
Dati e Software applicativo
- Verifica dei contratti esistenti con il fornitore (disponibilità, affidabilità, adeguatezza del sw)
- Mappatura degli archivi
- Identificazione degli archivi da salvare
- Identificazione di eventuali necessità di sincronizzazione e congruenza temporale tra i dati salvati.
- Definizione delle scadenze temporali (giornaliere, settimanali, mensili o al verificarsi di un evento)
Criticità
- Indagine sulla criticità dei dati da salvare e sul significato (gravità) della loro perdita
- Indagine sul significato del ripristino di dati vecchi (ipotesi: 1giorno, una settimana…ecc)
- Indagine sulla criticità del mancato servizio (ipotesi: 1giorno, una settimana…ecc)
- Verifica delle misure eventualmente già messe in atto per contrastare queste eventualità
Salvataggi
- Frequenza dei salvataggi
- Custodia dei salvataggi
- Test di ripristino
- Test di lettura
- Sostituzione supporti di memorizzazione
Intrusioni
- Interne (azienda utilizzatrice del servizio)
- Interne (centro servizi)
- Esterne (internet)
Per ciascuna di queste tipologie di intrusioni e’ necessario:
- Analizzare il rischio
- Analizzare le misure necessarie
- Verificare la situazione attuale
- Adeguare il livello di sicurezza a quanto l’azienda richiede
- Verificare con test di intrusione l’efficacia delle misure adottate
Modalità Operative
Già da qualche anno, in alcune aziende, il Centro Elaborazione Dati è stato considerato come un centro servizi e, in qualche caso, si è arrivato a definire per ciascuna direzione aziendale, una ripartizione di costi sulla base del tempo, delle risorse impiegate e del costo dei programmi che il CED impiega per ciascun settore aziendale. Perciò, nella nostra analisi, risulta ininfluente il fatto che i Sistemi Informatici sia interni o esterni all’azienda.
La direzione aziendale ha, in ogni caso, la responsabilità di indagare in modo autonomo ed approfondito riguardo a quelli che sono i rischi della perdita, manomissione o trafugamento dei dati. Nel caso in cui il problema riguardi la non erogazione del servizio, è importante che l’azienda abbia la consapevolezza di cosa questo significhi in termini temporali.
Partendo da queste considerazioni abbiamo elaborato un questionario che è valido sia nel caso in cui il CED sia interno alla azienda utilizzatrice, sia nel caso in cui essa si avvalga di risorse esterne.
Attivazione Misure
Una volta compilato il questionario si ha una chiara visione di quanto è stato fatto per la sicurezza e sulla base della valutazione del grado di rischio relativo alle risorse da proteggere si può verificare se quanto è stato fatto corrisponda alle esigenze formulate dalla direzione.
Nel caso in cui il richiesto non coincida con quanto è in essere, sarà necessario definire modi e tempi per adeguare la struttura di sicurezza. Al termine del progetto verrà effettuata una verifica complessiva.
Controlli
Poiché non esistono situazioni immutabili e congelate, il sistema di sicurezza deve prevedere controlli periodici che riguardino i seguenti aspetti:
Verifica del rispetto delle misure definite
Verifica dell’integrazione di nuove applicazioni o programmi nel programma di sicurezza definito
Verifica di nuovi collegamenti esterni e loro interazione con il programma di sicurezza
Verifica di eventuali modifiche organizzative e variazioni di responsabilità interne
Apertura di nuove filiali e loro integrazione con il sistema di sicurezza esistente
Le nostre modalità operative e di consulenza discendono direttamente da questi concetti e crediamo che essi siano indispensabili, anche e soprattutto come cultura aziendale, per garantire un livello di sicurezza adeguato ai notevoli rischi ai quali l’azienda in rete e globalizzata oggi si espone.
