Mauro Vecchio

FCC, una mano per la sicurezza

Uno strumento offerto dalla commissione statunitense a tutte quelle aziende che vorranno tutelarsi dalle più svariate offensive informatiche. Pacchetti di linee guida con la collaborazione di Sophos e Symantec

Roma - È stato chiamato Small Biz Cyber Planner, offerto dalla Federal Communications Commission (FCC) a tutte quelle aziende che vorranno implementare una precisa strategia anti-cracker. Piccole e medie imprese a stelle e strisce, sempre più bisognose di assistenza in materia di cybersicurezza.

La commissione guidata dal chairman Julius Genachowski ha così messo a disposizione una serie di strumenti online, che aiutino le aziende a proteggersi al meglio dalle più svariate offensive informatiche.

Questo Small Biz Cyber Planner farà inizialmente alcune cruciali domande ai rappresentanti delle imprese statunitensi. Per capire se il loro business sia basato o meno sulle transazioni via carta di credito, oppure se sia presente o meno un sito web. Il programma fornirà un pacchetto di linee guida personalizzate, praticamente in base alle risposte date dalle società alle varie domande.
Queste stesse policy non sono state svelate nel dettaglio dai vertici di FCC. Dovrebbe trattarsi di consigli sulla protezione delle connessioni WiFi o sulle tecniche di cifratura per proteggere i dati installati sui computer aziendali. Il tool è stato sviluppato con la collaborazione di operatori specializzati come Sophos e Symantec.

Mauro Vecchio
Notizie collegate
2 Commenti alla Notizia FCC, una mano per la sicurezza
Ordina
  • Ok, bene un aiuto alle piccole aziende ma Sophos e Norton non sono enti di beneficienza, quindi alle volte i consigli possono essere un pò "pelosi".

    Sarebbe stato meglio se la FCC si fosse tenuta libera da sponsorizzazioni di qualsivoglia tipo, che non venga fuori che magari è meglio usare sistemi open per cui la necessità di un antivirus si riduce di molto, un pò come quando MS fa gli sconti alle scuole.

    Non sempre chi ti vuol aiutare lo fa disinteressatamente e il conto potrebbe essere più salato del reale aiuto.
    non+autenticato
  • - Scritto da: sima
    > Ok, bene un aiuto alle piccole aziende ma Sophos
    > e Norton non sono enti di beneficienza, quindi
    > alle volte i consigli possono essere un pò
    > "pelosi".
    Pelosi?

    1. Train employees in security principles
    Establish basic security practices to protect sensitive business information and communicate them to all employees on a
    regular basis. Establish rules of behavior describing how to handle and protect customer information and other vital data.
    Clearly detail the penalties for violating business cybersecurity policies.

    E qui arriva il pelo di Sophos, che offre i corsi di "sicurezza", ma vedi bene che ci sono migliaia di società che offrono lo stesso servizio.
    Il principio stabilito tuttavia è SANO: un dipendente informato è una responsabilità di meno scaricata sul medesimo.
    Ovvero: se sai che una certa pratica è dannosa, se dopo il corso hai certificato il fatto che "lo sai", dopo... eh eh eh...

    2. Protect information, computers and networks from viruses, spyware and other malicious code
    Install, use and regularly update antivirus and antispyware software on every computer used in your business. [...]
    do a scan after the software update.
    Ed ecco il piede nella porta di Symantec, ma anche qui: la scansione dei file la devi fare anche sotto Unix, ogni tanto e non è sbagliato. Scegli il tuo antivirus (ne esistono anche di open source) e fai attenzione a cosa salvi sul disco rigido.

    3. Provide firewall security for your Internet connection
    A firewall is set of related programs that prevent outsiders from [...]
    including laptops – used in conducting your business.

    E ci sono migliaia di piccoel e medie aziende che stanno connesse ad internet direttamente dietro ad un router linksys.

    4. Download and install software updates for your operating systems and [...]
    automatically.
    Anche qui, nessun riferimento ad aziende: si tratta di una "best pratice" da avere chiara in mente. E poi un tecnico "certificato" sophos puo' metterti in piedi un sistema di aggiornamento.

    5. Make backup copies of important business data and information.
    [...]
    Backup
    data automatically if possible, or at least weekly.
    E come non essere d'accordo? E' che ancora non è entrato in testa a molti utenti.

    6. Control physical access to your computers and network components
    [...]
    theft, so make sure they are stored and locked up when unattended.
    Il penetration Test, questa disciplina.
    Non vuoi sophos? Fallo fare ad altro personale certificato, ma fallo ogni tanto!

    7. Secure your Wi-Fi networks
    If you have a Wi-Fi network for your workplace make sure it is secure and hidden. To hide your Wi-Fi network, set-up your
    wireless access point or router so it does not broadcast the network name, known as the Service Set Identifier (SSID). In
    addition, make sure to turn on the encryption so that passwords are required for access. Lastly, it is critical to change the
    administrative password that was on the device when it was first purchased.
    Una rete wifi per definizione è sempre visibile. Però è utile non dare informazioni sulla natura della rete stessa. Quindi "nascondere" il nome senza dir niente o usare nomi fantasiosi (la mia si chiama FLCT-69) garantisce un minimo di sicurezza in più.

    8. Require individual user accounts for each employee
    Setup a separate account for each individual and require that strong passwords be used for each account. Administrative
    privileges should only be given to trusted IT staff and key personnel.
    Questa è stata scritta per gli utenti windows.
    Ogni ulteriore commento...

    9. Limit employee access to data and information, and limit authority to install software
    Do not provide any one employee with access to all data systems. Employees should only be given access to the
    specific data systems that they need for their jobs, and should not be able to install any software without permission.

    La chiosa sull'installazione del software è, purtroppo, inutile: i software portable aggirano comodamente l'ostacolo.

    10. Regularly change passwords
    Passwords that stay the same, will, over time, be shared and become common knowledge to coworkers and can be easily
    hacked. Passwords should be changed at least every three months.
    Sottoscritto in pieno.

    Non dico che tutti debbano eseguire penetration test, ma almeno studiare quel minimo che serve per capire come funzionano gli account sul proprio OS, scaricare e installare gli aggiornamenti e fare "hardening" la' dove si riesce mi pare il minimo.

    GT