Le misure minime di sicurezza si possono riassumere nei seguenti punti:
- Utilizzare sistemi operativi che prevedano un sistema di autenticazione e autorizzazione (sono da escludere quindi Windows 95, 98, ME, e sono sconsigliate le versioni Home di Windows XP o superiori)
- Definire delle politiche di accesso ai dati basate sul minimo privilegio necessario
- Ai computer o ai server che contengono dati, quando non presidiati, non deve essere lasciato accesso fisico (devono essere tenuti in stanze chiuse a chiave e ad accesso controllato)
- Devono essere utilizzate password personali, conosciute solo dall’utente. L’utente deve avere la possibilità di cambiare la propria password quando necessario.
- Le password devono rispondere a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi)
- Le password devono avere una scadenza almeno trimestrale e non possono essere riutilizzate.
- Quando l’utente si allontana dal terminale, la sessione deve essere bloccata, è consigliabile utilizzare un salvaschermo con richiesta della password
- Chi si connette ad internet deve sempre essere protetto da un firewall
- Deve essere presente una protezione antivirus e quest’ultima deve essere costantemente aggiornata
- I sistemi e i programmi utilizzati devono essere aggiornati su base regolare (es. Windows update – questo sconsiglia l’uso di sistemi non più supportati dal produttore come Windows NT e prossimamente Windows 2003)
- I dati devono essere sempre disponibili e al sicuro, devono essere ripristinabili in caso di perdita (Procedure di Backup e restore, predisposizione di un piano di disaster recovery)
- Le misure di sicurezza devono periodicamente essere riconsiderate ed adeguate ai progressi tecnici e all’evoluzione dei rischi.
- Distruzione dei supporti magnetici o ottici non più utilizzati e che potrebbero ancora contenere dati (Floppy, Nastri, CD, ecc.)
- Le password devono avere un ciclo di vita massimo di 6 mesi
N.B. Chi tratta dati sensibili (medici, giudiziari, ecc.) è tenuto ad utilizzare tecniche crittografiche a protezione dei dati custoditi.
Software dedicati
Digibyte srl ha selezionato tra diversi software presenti sul mercato un prodotto che permette attraverso la compilazione di un questionario e la definizione della base dei dati di poter svolgere agevolmente la parte burocratica necessaria a soddisfare i requisiti di legge.
Inoltre Digibyte mette a disposizione la propria consulenza per quanto riguarda l’adeguamento tecnico della vostra struttura.
Il costo di tale software varia in base alle dimensioni aziendali.
La base di partenza è fissata in Euro 340 per il primo anno, si prevede anche un canone annuo di aggiornamento obbligatorio di Euro 100
Il software permette in maniera automatica la creazione delle lettere di incarico e dell’eventuale DPS in funzione dei parametri impostati attraverso il questionario.
Consulenza
Nel caso desideriate la consulenza di un nostro incaricato per assistervi in questa procedura e aiutarvi a verificare la rispondenza della vostra struttura dal punto di vista tecnico, è possibile prenotare un intervento al costo di Euro 288 per mezza giornata di consulenza, esclusa trasferta.
Verrà rilasciata dichiarazione sullo stato attuale della vostra struttura e una lista di adeguamenti da effettuare per soddisfare i requisiti minimi.
Ricordiamo che tra gli adempimenti minimi si trovano indicazioni ormai strettamente necessarie per il corretto funzionamento del vostro sistema informativo e che la loro implementazione funzionale è una buona occasione per innalzare il vostro livello di sicurezza.
Digibyte mette a disposizione dei propri clienti l’esperienza accumulata in questi anni nel campo della sicurezza.
Siamo in grado di installare:
- Antivirus e sistemi di filtraggio per la posta elettronica (Antivirus, Antispam, Content Filtering) e la navigazione internet (Proxy server, Antivirus per firewall, Content e URL Filtering)
- Sistemi di gestione degli aggiornamenti software (Patch Management)
- Sistemi Firewall Avanzati e Virtual Private Network (VPN) basate sui protocolli IPSEC, L2TP, PPTP, SSTP, OPENVPN
- Definizione di policy IPSEC per l’accesso criptato alle informazioni
- Archiviazione sicura delle informazioni tramite Encrypting File System o PGP
- Installazione di autorità di certificazione per Public Key Infrastructure (PKI)
- Sistemi di autenticazione a tre fattori basati su crittografia asimmetrica in chiave pubblica/privata e accesso basato su One Time password (OTP) Token o SmartCard
- Configurazioni per l’accesso protetto ai siti web (HTTPS SSL)
- Reti Wireless sicure basate sugli standard 802.1X e Radius
- Inoltre possiamo eseguire analisi della sicurezza dei sistemi.