Risultati della valutazione
La
nostra valutazione ha prodotto i seguenti risultati:
Competenze
e conoscenze
Il nostro consulente tecnologico, Jeremy, conosce bene i nostri sistemi e le
soluzioni per la protezione informatica. Sarà la nostra guida. Tuttavia, è
essenziale condividere tali conoscenze il più possibile all'interno
dell'azienda. Ciò ci consentirà anche di risparmiare denaro.
In
preparazione al processo, ogni membro del team di progetto ha letto le guide
per la pianificazione della protezione distribuite da Microsoft.
Complessivamente, l'azienda ha una conoscenza tecnica discreta, ma (salvo un
paio di eccezioni) considera i computer come uno strumento di lavoro e non ne
conosce in dettaglio il funzionamento.
Reti
e sistemi dell'azienda
Di seguito, riportiamo l'inventario dell'apparecchiatura tecnologica
disponibile:
. |
Desktop: ventidue
(uno per ogni membro del personale e due macchine più vecchie, impiegate
come server di stampa) |
. |
Portatili: sei (uno per
ogni dirigente più uno per Steve e tre per il personale di vendita) |
. |
Stampanti: due (un
plotter di fascia alta e un'unità stampante-fax per uso generale) |
. |
Server: uno (un computer
con Windows Small Business Server 2003 per la gestione di connessione
Internet, posta elettronica e database dei clienti) |
. |
Connessione
Internet: modem via cavo da 1,5 Mbps. Il server e alcuni
computer sono collegati tramite cavi Ethernet Cat5 da 100 Mbps. Gli altri
sono collegati mediante una rete senza fili 802.11g con porta di accesso. |
Tutti
i computer hanno installato Windows XP Professional, tranne i due server di
stampa e due computer in amministrazione, che eseguono Windows 98.
Protezione
Abbiamo confrontato ogni computer con l'elenco di controllo fornito nella
Guida alla sicurezza per le piccole imprese. Abbiamo inoltre eseguito lo
strumento Microsoft Baseline Security Analyzer. Queste operazioni hanno
prodotto i seguenti risultati:
. |
Protezione
contro i virus: assente su sei computer; non aggiornata su quattro
computer; in genere, la maggior parte degli utenti era consapevole della
minaccia, ma non sapeva esattamente come prevenirla. |
. |
Software
antispam: molti utenti avevano cominciato a lamentarsi dello
spamming, ma non era stata adottata alcuna misura protettiva. |
. |
Firewall: pensavamo
che il router del nostro ISP includesse un firewall, ma non è così;
pertanto, ne siamo sprovvisti. |
. |
Aggiornamenti: tutti i
sistemi basati su Windows XP Professional sono aggiornati perché
prevedevano già l'individuazione e il download automatico degli
aggiornamenti. Tuttavia, varie installazioni di Microsoft Office devono
essere aggiornate e i computer con Windows 98 non sono affatto aggiornati. |
. |
Password: una verifica
a campione ci ha consentito di scoprire che la maggior parte dei dipendenti
non usa alcuna password o che le ha annotate su foglietti adesivi attaccati
al computer. In particolare, nessuno dei portatili è protetto mediante
password. |
. |
Protezione
fisica: finestre, porte e sistemi d'allarme sono in
condizioni soddisfacenti. Tuttavia, nessuno dei computer ha un numero di
serie impresso sul case né disponiamo di un registro dei numeri di serie.
Abbiamo inoltre notato che tutti, inclusi Tracy e i due direttori,
utilizzano la stessa stampante, con potenziali rischi di divulgazione del
contenuto di documenti riservati che vengano inavvertitamente dimenticati
vicino all'apparecchio. |
. |
Portatili: tutti i
portatili dispongono di vistose custodie con il logo del produttore. Non
sono presenti lucchetti di sicurezza. |
. |
Reti
senza fili: la rete è stata semplicemente installata e messa in
funzione, senza che nessuno ne abbia modificato le impostazioni. Tuttavia,
è risultato che la nostra rete wireless è accessibile a utenti esterni in
grado di rilevare le reti senza fili e che utilizzano la connessione
Internet per i loro scopi. |
. |
Esplorazione
del Web: tutti pensano che disporre di accesso veloce a
Internet sia un grande vantaggio, ma lo sfruttano costantemente e non sono
molto coscienti dei rischi che corrono. Attraverso un controllo con filtro
dei contenuti, è risultato che il 20% dei siti Web visitati non era
pertinente all'attività aziendale. Non disponiamo di criteri sugli usi
consentiti e nessuno ha ancora preso misure di protezione. |
. |
Backup: eseguiamo il
backup dei dati sul server in un'unità DAT (Digital Audio Tape) con
frequenza settimanale, ma non abbiamo ancora verificato le copie con un
ripristino dei dati; se il personale non si ricorda di copiare i file
locali sul server, tali file non vengono sottoposti a backup e ciò non è
accettabile. Il server contiene inoltre il nostro principale database dei
clienti, per cui è essenziale che i backup siano perfettamente verificati e
che si provveda a conservarne una copia fuori sede. |
Priorità
In base alla nostra analisi, il team ritiene che le priorità per la
protezione siano le seguenti:
1. |
Prevenzione delle intrusioni:
. |
Installazione di firewall |
. |
Installazione e aggiornamento della protezione antivirus |
. |
Rafforzamento della rete senza fili |
. |
Sostituzione dei quattro computer con Windows 98 con
computer basati su Windows XP Professional con SP2 |
. |
Configurare tutti i computer per l'aggiornamento
automatico |
. |
Formare gli utenti e spiegare i criteri di protezione |
|
2. |
Prevenzione dei furti:
. |
Rafforzamento della protezione dei portatili |
. |
Inventario delle risorse |
. |
Trasferimento del server in un locale protetto e chiuso
a chiave |
. |
Protezione fisica dei desktop e dei portatili |
|
3. |
Prevenzione delle perdite:
. |
Creazione di un piano di backup migliore con
archiviazione fuori sede |
. |
Garanzia di un backup dei dati locali degli utenti |
. |
Archiviazione fuori sede di copie dei documenti
cartacei critici |
. |
Verifica regolare delle copie di backup mediante
esecuzione di ripristini |
|
4. |
Protezione e riservatezza interne:
. |
Creazione di criteri per l'utilizzo di password
complesse |
. |
Protezione delle stampanti di contabilità, ufficio
personale e dirigenza |
. |
Revisione delle procedure di protezione degli archivi e
della documentazione confidenziale |
|
|