Piano di protezione
Dopo
aver stilato la nostra valutazione, abbiamo studiato il seguente piano di
protezione:
Misure
di azione
1. |
Scegliere, acquistare e installare un firewall hardware
(o chiedere all'ISP o al consulente tecnologico di fornircene uno). |
2. |
Attivare Windows Firewall sul server e su tutti i
desktop. |
3. |
Assicurarsi che adeguato software antivirus sia
installato su tutti i computer e sia impostato sull'aggiornamento
automatico delle definizioni dei virus. |
4. |
Configurare i computer che eseguono Office Outlook 2003
per l'uso del filtro della posta indesiderata. Scegliere, acquistare e
installare software antispam sul server di posta elettronica, se
necessario. |
5. |
Nella rete senza fili, disattivare la trasmissione SSID
(Service Set Identifier), scegliere e configurare un opportuno SSID,
attivare la crittografia WPA, attivare il filtro MAC e configurare il punto
di accesso in modo che venga autorizzato il solo traffico proveniente dai
desktop e dai portatili dell'ufficio. |
6. |
Sostituire i quattro computer che eseguono Windows 98 con
computer basati su Windows XP Professional con SP2. |
7. |
Rivedere tutte le macchine per verificare che siano
completamente aggiornate e impostarle per l'aggiornamento automatico. |
8. |
Acquistare lucchetti e nuove custodie senza marchi per i
portatili. |
9. |
Contrassegnare con marchi di sicurezza tutti i desktop, i
portatili e i relativi accessori. |
10. |
Registrare tutti i numeri di serie. |
11. |
Acquistare e applicare lucchetti ai desktop. |
12. |
Trasferire il server in un locale adatto, che possa
essere chiuso a chiave. |
13. |
Rivedere le procedure di backup e di ripristino.
Assicurarsi che i dati degli utenti siano archiviati sul server o copiati
regolarmente prima dei backup. Implementare backup giornalieri. Assicurarsi
che venga eseguito un backup completo settimanale su destinazione esterna.
Assicurarsi che il backup sia protetto mediante password e crittografato.
Rivedere i documenti cartacei e fotocopiarli per un'archiviazione sicura
fuori sede dei documenti critici. |
14. |
Configurare Windows Small Business Server 2003 e le
singole macchine per l'utilizzo di password sufficientemente complesse.
Trovare con gli utenti un equilibrio soddisfacente di praticità e di
protezione. È in ogni caso necessario che non annotino in alcun modo le
loro nuove password. |
15. |
Configurare le workstation per la disconnessione degli
utenti e richiedere la password per riconnettersi, quando la workstation è
rimasta inattiva per più di cinque minuti. |
16. |
Acquistare stampanti a basso costo per l'amministrazione,
l'ufficio del personale e i due direttori, in modo che possano stampare in
totale sicurezza i documenti privati. |
Pianificazione
delle risposte
In caso di violazione della protezione, contatteremo Jeremy. La sua azienda
applica, nel caso di incidenti gravi quali gli attacchi virus, una politica
di intervento entro un'ora durante l'orario di ufficio ed entro quattro ore
fuori orario di ufficio. Inoltre, Steve controllerà regolarmente il server e il
firewall per verificare che non siano avvenute violazioni.
Manutenzione
e osservanza dei criteri
Steve si occuperà dell'applicazione quotidiana della protezione, mentre
Denise ne avrà la responsabilità complessiva. Steve continuerà la propria
formazione in materia, si iscriverà ai bollettini sulla sicurezza distribuiti
da Microsoft e dal nostro fornitore di software antivirus e collaborerà
regolarmente con Jeremy per verificare l'osservanza dei nuovi criteri.
Ogni
mese, Steve verificherà che Windows e il software antivirus siano aggiornati
e che le procedure di backup e di ripristino vengano eseguite correttamente.
Inoltre, si occuperà di verificare che i nuovi computer siano configurati
appropriatamente e aggiornati.
Kim
avrà il compito di assicurare che i neoassunti siano adeguatamente formati
sui criteri e sulle procedure di protezione dell'azienda.
Tra
sei mesi, si procederà a una revisione formale completa di questo piano.
Risorse e budget
Risorse
esterne
. |
Sutton
and Sutton per la verifica dei nostri criteri scritti per il personale |
. |
Jeremy
per consulenza durante la stesura del piano |
. |
Jeremy
per supporto di implementazione |
Risorse
interne
. |
Per
quanto non sia prevista una specifica retribuzione del personale per il
processo, per definire con chiarezza l'allocazione delle risorse e del
tempo disponibile è stato autorizzato l'uso del personale interno come
precedentemente indicato. |
Risorse
Oltre ai beni fisici, le nostre principali risorse sono:
. |
Le
progettazioni di prodotto e i supporti di marketing |
. |
La
documentazione di contratto con i fornitori |
. |
Il
nostro database di posta elettronica e l'archivio dei messaggi |
. |
Gli
ordini di vendita e il database dei clienti |
. |
Il
software specifico di settore per le prenotazioni e gli acquisti online |
. |
La
documentazione legale conservata in vari archivi fisici |
Tutte
queste risorse sono considerate confidenziali e sono accessibili solo in caso
di comprovata necessità. Inoltre, devono essere protette e corredate di
duplicati di riserva nel modo più sicuro possibile.
Rischi
Riconosciamo le seguenti quattro categorie di rischi:
. |
Intrusioni.
Questa categoria include virus, worm, abuso delle risorse dei computer o
della connessione Internet e usi illeciti casuali. Questi sono i rischi cui
sono esposti tutti coloro che usano computer connessi a Internet. Rischio
elevato, a priorità elevata. |
. |
Minacce
esterne (concorrenti, ex dipendenti scontenti, malintenzionati e ladri). In
genere utilizzano gli stessi strumenti degli hacker, ma prendendo
deliberatamente di mira la nostra azienda tentano di indurre il nostro
personale a fornire informazioni riservate o di utilizzare il materiale
sottrattoci per ricattarci o danneggiarci. Dobbiamo proteggere le nostre
risorse mediante sistemi di protezione sia fisica che elettronica. Rischio
elevato, a priorità elevata. |
. |
Minacce
interne. Involontariamente o deliberatamente, un membro del personale
potrebbe fare uso improprio dei privilegi accordatigli per divulgare
informazioni riservate. Rischio ridotto, a priorità ridotta. |
. |
Incidenti
e disastri. Incendi, alluvioni, cancellazioni accidentali, errori hardware
e arresto anomalo dei computer. Rischio ridotto, a priorità media. |
Modifica
dei criteri
Kim aggiornerà il manuale del personale includendovi i nuovi criteri in
materia di:
. |
Uso
consentito della posta elettronica e di Internet |
. |
Uso
delle password |
. |
Personale
autorizzato a portare beni aziendali fuori dall'ufficio. Una volta
completata una prima bozza, tali criteri verranno rivisti dai direttori e
dai legali dell'azienda prima della divulgazione. |
Formazione
degli utenti
Prevediamo una sessione di formazione (massimo due ore) per piccoli gruppi di
utenti sulle modifiche apportate. La formazione riguarderà:
. |
L'importanza
della protezione |
. |
Password |
. |
La
protezione dei portatili |
. |
La
prevenzione dei virus |
. |
L'esplorazione
sicura del Web |
. |
L'aggiornamento
del software e dei sistemi operativi da un server |
. |
La
presentazione dei nuovi criteri per il personale |
. |
L'illustrazione
delle conseguenze dell'inosservanza di tali criteri |
. |
La
valutazione della comprensione dei nuovi criteri da parte dei dipendenti |
. |
La
revisione periodica dell'applicazione dei nuovi criteri |
Tempistica
e responsabilità di progetto
. |
Le
tre priorità principali, ossia firewall, protezione da virus e
rafforzamento della protezione della rete senza fili, saranno seguite con
la massima urgenza dal nostro consulente in materia, Jeremy. |
. |
Le
altre attività saranno portate a termine dal nostro personale in ordine di
priorità. Ci attendiamo il completamento delle tre principali priorità
entro una settimana e quello delle restanti entro 30 giorni. |
. |
Steve
si occuperà degli acquisti e delle implementazioni relative alle modifiche
tecniche. Kim si occuperà di tutti i criteri e delle esigenze formative. Denise
si occuperà della supervisione del progetto e di altre attività che si
rendano necessarie in corso di realizzazione. |
|