Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Introduzione al System Administration - La sicurezza non pu� essere considerata come un fattore secondario

1.7. La sicurezza non pu� essere considerata come un fattore secondario

Non ha importanza cosa pensiate dell'ambiente nel quale vengono eseguiti i vostri sistemi, non potete considerare la sicurezza come un qualcosa di scontato. Anche i sistemi del tipo 'standalone' non collegati ad internet, possono risultare a rischio (anche se ovviamente il loro rischio risulta essere diverso da un sistema collegato al mondo esterno).

Per questo motivo � molto importante considerare le ripercursioni sulla sicurezza dovute alle vostre azioni. Il seguente elenco illustra le diverse problematiche da considerare:

  • La natura dei possibili rischi per ogni sistema soggetto alla vostra attenzione

  • La posizione, il tipo, ed il valore dei dati presenti sui sistemi

  • Il tipo e la frequenza degli accessi autorizzati ai sistemi

Mentre voi state pensando alla sicurezza, non dimenticate che i potenziali intrusi non sono solo quelli che attaccano il vostro sistema dall'esterno. Molte volte la persona che perpetra una violazione risulta essere un utente interno alla compagnia. In questo modo la prossima volta che vi aggirate tra le scrivanie dell'ufficio, guardatevi intorno e domandatevi:

Cosa pu� accadere se quella persona cerca di compromettere la nostra sicurezza?

NotaNota Bene
 

Ci� non significa che dovete trattare i vostri colleghi come se fossero dei criminali. Significa soltanto di controllare il tipo di lavoro che una persona svolge, per capire di conseguenza il potenziale rischio che tale persona possa rappresentare nei confronti della sicurezza.

1.7.1. I rischi dell'ingegneria sociale

Mentre la prima reazione degli amministratori, per quanto riguarda le problematiche riguardanti la sicurezza, pu� essere quella di concentrarsi sull'aspetto tecnologico, � molto importante mantenere una certa prospettiva. Molto spesso, le violazioni che si verificano nel campo della sicurezza non presentano un fattore tecnologico, ma presentano un fattore umano.

Le persone interessate a tali violazioni, spesso usano un fattore umano per poter baipassare i controlli tecnologici dovuti all'accesso. Questo metodo � conosciuto come ingegneria sociale. Ecco un esempio:

L'operatore del secondo turno riceve una telefonata esterna. Colui che chiama dice di essere il CFO dell'organizzazione (il nome e le informazioni personali del CFO sono state ottenute dal sito web dell'organizzazione, nella pagina "Team Manageriale").

La persona che chiama dice di trovarsi in tutt'altra parte del modo (forse questo fa parte di una storia inventata, oppure la vostra pagina web riporta che il CFO della vostra compagnia � presente in un determinato salone in una citt� di un'altra nazione).

L'impostore racconta tutte le sue disavventure; il portatile � stato rubato all'aeroporto, ed � con un cliente molto importante e necessita di accedere alla pagina intranet dell'azienda, per poter controllare cos� lo stato dell'account del cliente stesso. Con molta gentilezza questa persona chiede di poter accedere alle informazioni necessarie.

Sapete cosa potrebbe fare il vostro operatore in circostanze simili? Se il vostro operatore non ha una policy specifica a riguardo (in termini di procedure), voi non saprete mai con sicurezza cosa potrebbe accadere.

L'obiettivo delle policy e delle procedure � quello di fornire una guida chiara su quello che si pu� e non si pu� fare. Tuttavia, le suddette procedure funzionano se tutte le persone le osservano. Ma si presenta sempre lo stesso problema — e cio� risulter� difficile che tutte le persone rispetteranno le suddette policy. Infatti, a seconda della natura della vostra organizzazione, � possibile che voi non abbiate l'autorit� sufficiente a definire tali procedure, e tanto meno a farle rispettre. E allora?

Sfortunatamente, non vi sono risposte facili a questa domanda. l'educazione degli utenti potrebbe esservi molto utile; fate ci� che potete per informare la vostra community sulle procedure inerenti la sicurezza, e metteteli a conoscenza della presenza di tale fenomeno. Organizzate dei meeting durante l'ora di pranzo. Inviate degli articoli relativi alla sicurezza tramite le mailing list dell'organizzazione. Rendetevi disponibili per rispondere ad eventuali domande che possono essere formulate da parte degli utenti.

In breve, inculcate il pi� possibile queste idee ai vostri utenti.

 
 
  Published under the terms of the GNU General Public License Design by Interspire