Brian Pince spiega su eWeek i cinque punti fondamentali per evitare compromissioni ai propri database, illustrati da un analista di Forrester Research.

(eWeek) - Giornalmente assistiamo a una crescente citazione di aziende i cui archivi restano vittima di problemi. Monster.com, Pfizer (ndt: salita recentemente agli onori della cronaca e citata da Punto Informatico), TJX e varie altre. Curiosamente, al presentarsi dei problemi tutti concentrano le proprie attenzioni sulla "periferia" e nessuno si focalizza sugli stessi database. A questo proposito, infatti, riferisce l'analista Noel Yuhanna di Forrester Resarch che le realtà enterprise devono dotarsi di un database security plan: qualcosa come l'80% delle enterprise non ne ha neanche uno.

"La gente dà per scontato che i database siano sicuri", dice Noel Yuhanna. "E' impossibile che si compri un qualsiasi prodotto e, come per magia, questo sia intrinsecamente sicuro. Molta gente lo pensa, tant'è che non ha uno straccio di security plan".

In un forum tenutosi presso Forrester il 5 Settembre scorso, Yuhanna ha spiegato che la creazione di un security plan non è un fatto di tecnologia ma di processo ed occorre focalizzare cinque elementi chiave:

1. Monitoraggio
   Gli strumenti di monitoraggio automatizzati sono importanti: alcune organizzazioni hanno migliaia di transazioni al secondo che vengono trattate; sarebbe impossibile monitorare tutto senza un minimo di automatizzazione.
   

2. Valutazione dei rischi
   Le aziende devono valutare i propri dati secondo l'importanza che hanno e la natura delle informazioni che portano; devono poi integrare i loro data security plan con quelli corporate, relativi all'information risk management. Debbono altresì istituire categorie specifiche per ogni tipo di dati e determinare il miglior modo di proteggerne ciascuna. Una volta classificati i dati, si costruisce la relativa politica di trattamento attorno ad essi.
   

3. Mascheramento dei dati reali
   Tenere i dati reali lontani dai database (online, ndt). I più furbi adottano lo stratagemma di impiegare dati fittizi, di valore credibile e realistico, in modo che le applicazioni che li maneggiano siano in grado di funzionare normalmente, senza esporre a rischio i database veri e propri.
   

4. Cifratura
   La cifratura è importante e costituisce un pilastro fondamentale nel processo di protezione dei dati. Il farlo, in un ambito aziendale o enterprise, non è scevro da rischi: implementazioni mal progettate e mal eseguite di politiche di cifratura possono influire negativamente sulla velocità di risposta delle applicazioni, pertanto occorre procedere con estrema cautela. Tuttavia, pur essendo un processo complesso e difficoltoso, la cifratura almeno di una parte dei dati è un elemento chiave della sicurezza e spesso è parte dei passi necessari a rispondere ad alcune specifiche di sicurezza. Per esempio, le norme dell'HIPAA e del PCI richiedono che i vostri dati siano interamente protetti, a tutti i livelli.
   

5. Auditing
   Ogni accesso deve risultare da qualche parte. Ogni operazione dovrebbe poter essere annullata ("rollback", ndt). In mancanza di questo requisito, ogni business avrà difficoltà a crescere sano.

In questi cinque punti si esplica il concetto, espresso da Yuhanna di Forrester: "Diciamo sempre ai nostri clienti che la sicurezza non è un progetto ma un processo".

Ndr: questo articolo, pur se tratto da notizie circolanti sulle abituali fonti di cui si legge in rete, per l'argomento che tratta costituisce una valida base da tener presente; pertanto, a differenza degli altri articoli, non ha impostata alcuna data di archiviazione e sarà sempre disponibile in area didattica.

Condividere questa pagina su: