I dati dei clienti sono un bene essenziale : policy e procedure per proteggerli

Postato il

 

Cyber-Crime-396x196

Qualche tempo fa ho fatto un quiz durante le ferie. Alcune persone l’hanno apprezzato, altre meno. Una della domande era:

“Quale fornitore di una organizzazione ha effettuato l’accesso a una rete non sicura e ha rilasciato per errore il worm SQL Slammer presso un impianto nucleare?”

La risposta corretta era Davis-Besse.

Questa domanda mi ha fatto pensare alla relazione che i fornitori di servizi gestiti (MSP) intrattengono con i loro clienti e all’inquietante prospettiva che gli MSP diventino una APT (Advanced Persistent Threat) che generi una violazione di dati su vasta scala. Questo dubbio mi è sorto dopo avere riflettuto su due incidenti apparentemente innocui, entrambi causati da un MSP, che mi sono stati riferiti:

  1. un progetto che prevedeva il ricondizionamento dei computer di una clinica
  2. l’incarico di eseguire l’aggiornamento di un server per una società legale

Gli MSP devono definire una serie di procedure e di policy quando gestiscono i dati dei clienti. Il problema è che i dati dei clienti ormai sono ovunque. Che si tratti di credenziali di accesso a siti commerciali e di e-commerce, elenchi di password o file .pst di account di posta elettronica, le workstation e i server sono pieni di dati appartenenti a clienti. Possiamo affermare che l’attività quasi quotidiana di copiare file utente su supporti portatili per eseguire l’aggiornamento di workstation ci rende di fatto i custodi dei dati di tali clienti.

Il progetto di ricondizionamento dei computer rappresentava un buon affare per l’MSP: 12 macchine Dell con processori Intel Dual Core di soli tre anni e dotate di 2GB di RAM! Considerando il fatto che l’MSP guadagnava qualcosa acquisendo le macchine e “ripulendole”, era certamente più proficuo ricondizionarle per clienti no-profit che consigliare l’acquisto di nuove macchine per un uso meno intensivo.

Per evitare fastidiose chiamate tipo “Ci manca un file che era nella workstation di Carlo. Potete fornircene una copia?”, era stato eseguito un backup delle macchine (per lo meno delle directory C:\Documents & Settings\User) e i relativi contenuti erano stati archiviati su un capace dispositivo NAS (Network Attached Storage) nell’ufficio dell’MSP. Negli anni questo particolare MSP aveva accumulato centinaia di migliaia di registrazioni di informazioni relative ai clienti. Se qualcuno decidesse di rubare il suo NAS, potrebbe causare una violazione di dati dalle conseguenze imponenti. Nessuno dei dati del backup era stato crittografato. Tutti gli MSP dovrebbero considerare le conseguenze economiche di scenari di questo genere e assicurare i dati dei clienti esattamente come fanno con i propri. In altre parole, dovrebbero creare delle policy e delle procedure di sicurezza.

L’aggiornamento del server della società legale fu un’operazione che si svolse perfettamente, con pochi problemi legati all’applicazione. Il processo prevedeva l’esecuzione di un backup di tutte le unità condivise dai 15 membri del personale e dai tre partner della società. Il backup venne eseguito su un immancabile disco esterno portatile USB3 da 3 TB. Si procedette quindi a installare e configurare il nuovo server e ad eseguire la migrazione dei dati su di esso. Al termine di un lavoro concluso ottimamente venne inviata la fattura al cliente.

Il giorno successivo, mentre si stava revisionando l’attrezzatura riportata in ufficio, qualcuno fece la domanda: “Dov’è il disco rigido portatile USB da 3 TB contenente l’intera copia dei dati della società legale, che non sono stati crittografati?” Lungo silenzio, seguito da una ricerca spasmodica dell’oggetto in questione.  Il disco rigido fu ritrovato, sottoposto a backup (questa volta protetto da password e crittografato) e riformattato in vista del suo prossimo uso.

Considerando entrambi gli episodi e il clima di crescente litigiosità che nasce attorno a casi di violazione di dati, possiamo concludere che gli MSP rappresentano un pericoloso target nella catena di fornitura dei servizi IT. È importante garantire la sicurezza fisica dei dati che non ci appartengono ed è probabile che, in quanto MSP, voi siate già in possesso di preziosi dati di clienti sul vostro server e sui vostri supporti mobili.

Una normale cassaforte di piccole o medie dimensioni con tastierino numerico (oltre a chiave fisica di backup) consente di conservare temporaneamente dei supporti contenenti ogni sorta di dati sensibili. La cassaforte non deve necessariamente essere certificata poiché, se il supporto si fonde in un incendio, il problema della violazione non sussiste e sarà di fatto l’ultimo dei vostri pensieri.

Tutti i dati dei clienti che non si è tenuti a conservare devono essere eliminati, a meno che ciò non sia vietato da qualche disposizione di legge. Una semplice operazione di ripartizionamento e riformattazione dovrebbe essere sufficiente. Tutti i dati presenti sulle chiavette USB devono essere cancellati dopo l’uso. I supporti portatili e i dischi rigidi dei clienti da sottoporre a backup devono essere conservati all’interno della cassaforte fino a quando non vengono eliminati i dati in essi contenuti. Tutti i supporti mobili o USB contenenti dati di backup dei clienti devono essere riposti in cassaforte. Anche i dischi rigidi rimossi dall’attrezzatura del cliente devono essere conservati in modo sicuro.

Una regola dettata dal buon senso consiglia inoltre di incollare degli adesivi o delle etichette sul supporto portatile (o sul cordoncino della chiavetta USB) che identifichino la vostra azienda fornendo le necessarie informazioni di contatto. Può essere utile persino offrire una ricompensa per la restituzione del dispositivo.

Nel 2016 è giunto il momento di eliminare gradualmente tutti i supporti che non dispongono di una password crittografica. Un esempio (non un consiglio per gli acquisti) è l’unità disco rigido esterna My Passport WD USB 3.0 da 1 TB, dotata di utilità WD Security, che consente la protezione tramite password, e di crittografia hardware integrata, per proteggere i file da usi o accessi non autorizzati.

A ciò si unisce l’unità flash USB 3.0 compatibile con MAC e PC Kingston DataTraveler Locker G3 da 64 GB, che presenta due funzioni di sicurezza: protezione tramite password, che consente agli utenti di impostare una password per impedire gli accessi non autorizzati, e prevenzione delle intrusioni, che prevede il blocco e la riformattazione dell’unità dopo 10 tentativi di accesso non validi.

Fornire un servizio ottimale ai propri clienti significa anche agire in modo responsabile nei confronti dei loro dati. Gli MSP sono tenuti a prendere tutte le precauzioni necessarie per evitare di diventare il tramite attraverso cui effettuare violazioni di dati.

MAXfocus vi consente di offrire un robusto servizio di sicurezza. Per saperne di più, perché non richiedere una prova gratuita di 30 giorni, completa di tutte le funzionalità?

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...