Consulenze tecnologiche e informatiche
Sei consapevole dei rischi che fai correre alla tua azienda?

Sei consapevole dei rischi che fai correre alla tua azienda?

Ho svolto una visita esplorativa da un potenziale cliente, nulla di che, una semplice questione di protezione dai virus che rubano i dati, critici e fondamentali per l’azienda in questione.

Essendo un primo contatto penso sia il caso di accennare anche a quella cosa che in Italia si chiama GDPR, ovvero la nuova regolamentazione della comunità europea per il trattamento dei dati personali, che busserà senza pietà alle nostre porte il 25 maggio 2018.

Già che ci sono consiglio la consultazione del sito di ENISA (European Union Agency for Network and Information Security), dove è reperibile molta documentazione sull’argomento e specifiche linee guida per le diverse tematiche.

Nonostante gli oltre 40 (quaranta) dipendenti e qualche migliaio di clienti non c’era la minima conoscenza dell’esistenza della nuova normativa, in compenso erano casualmente presenti il legale ed il fiscalista dell’azienda, entrambi all’oscuro di questa GDPR, e per nulla interessati a saperne di più, con il loro lavoro già sapevano tutto.

La mia missione primaria era comunque un’altra, sull’onda di quanto avrei scoperto avrei cercato successivamente di far recepire la delicatezza del tema sul trattamento dei dati.

L’incubo stava per iniziare.

Non aprite quella rete!

La sicurezza perimetrale

Scopro con piacere la presenza di due linee dati, attestate a due firewall di tipo UTM, a loro volta collegati a quattro switch in cluster.

Non ultimo anche i firewall operano in alta affidabilità con bilanciamento di carico, un vero spettacolo il fatto che gli apparati hanno attivo uno sbarramento di sicurezza di tutto rispetto e che chi opera in smart working accede alla rete aziendali con collegamenti VPN a doppia autenticazione e strong encryption.

Con questo inizio il resto deve essere uguale o meglio, il lavoro si prospetta una passeggiata, durante la quale apprendo che gli apparati firewall sono gestiti da un’azienda esterna e che il potenziale cliente vorrebbe cambiare perché è a suo avviso non ha senso dover pagare i rinnovi dei servizi dei firewall ogni anno, compresi gli aggiornamenti del sistema operativo. Questo perchè da quando sono installati non ci sono mai stati problemi di violazione del perimetro, sottolineo perimetro, inteso proprio come fossato del castello.

Gli spiego che la mancanza di violazioni del fossato sono dovute non solo alla presenza dei firewall, ma anche al fatto che queste due scatole hanno sempre versioni di sistema operativo aggiornate e sono sottoposte a costante manutenzione.

Il potenziale cliente non sembra molto convinto dalla spiegazione e ancora meno dalla necessità di manutenzione, afferma sorridendo che capisce che dobbiamo inventare qualcosa per spillare soldi al cliente.

Che domani o poco dopo ti buchino la rete e prendano i progetti tanto importanti, poi ne parliamo

La protezione antivirus

Aggiungerei quella sconosciuta.

Il sistema informativo aziendale è gestito da un’altra azienda esterna, più simpatica di quella dei firewall perché più in linea con i bisogni reali del cliente, ovvero non spendere.

La realtà è un mix tra una ventina di licenze Avira comprate al MediaWorld e un’equa distribuzione tra AVG e AVAST in versione free.

Faccio notare che è bene avere un unico sistema antivirus e tanto meglio se commerciale e magari senza firme e necessità di aggiornamenti, insomma un bel WebRoot in soluzione MSP e non ci pensi più.

Anche in questo caso la reazione è quella con il sorriso, ovvero che un programma vale l’altro e siamo noi a cercare di vendere questi antivirus per spillare soldi ai clienti, se fosse per lui non li metterebbe nemmeno, tanto non è mai successo nulla.

Infatti alcuni computer sono proprio senza antivirus, in quanto installati da poco e ci si penserà più avanti.

Spero che ti rubino anche tutto il database dei clienti e i dati di accesso ai conti correnti

Vogliamo parlare delle postazioni di lavoro?

Le 20 password banali più usate tra 2016 e 2017

Le 20 password banali più usate tra 2016 e 2017

Su quelle non c’è un filo di polvere, la pulizia è un must, l’unico problema è che non ci sono due computer uguali tra loro come installato.

Alcuni usano Windows 7, altri Windows 8 e altri ancora Windows 10, sui sistemi operativi non mi soffermo, sono tutti in servizio e supportati da Microsoft. A parte che non hanno aggiornamenti recenti applicati.

Il divertente sono gli strumenti di lavoro, infatti passiamo da Microsoft Office a Open Office non solo all’interno della medesima azienda, ma anche del medesimo ufficio.

Mi chiedo come facciano a lavorare, ma non estendo la mia domanda al Manager con la M maiuscola, già immagino la risposta.

Il meglio deve ancora venire, alcune delle postazioni, la maggioranza in realtà, usano Active Directory, senza le impostazioni di sicurezza per le password, intuisco infatti dal movimento delle dita che è in uso anche la password 1234ab. Almeno è un poco più complessa della 123456, ad oggi nella top twenty delle password più usate.

Le condivisioni al file server avviene per tutti con la password di administrator, anche per le postazioni in Active Directory, la cosa non è per niente chiara, decido di indagare per conto mio, la domanda al Manager non avrebbe una grande risposta.

Scopro infatti che le macchine sono iscritte in Active Directory, ma gli utenti sono locali. A questo punto mi informo sulle ragioni di questa scelta.

Ecco quanto è sicura la tua password

Ecco quanto è sicura la tua password

La realtà è che un primo consulente aveva iniziato la strutturazione del sistema informativo, solo che pretendeva di fare una serie di cose inutili, a partire dalle policy aziendali e a seguire con tutte le regole di scadenza delle password e di forzatura dei formati delle password, oltre al log di accesso degli amministratori e al tracciamento delle modifiche sui file, in particolare la cancellazione.

Alla fine i rapporti con questa azienda sono diventati tesi fino a quando hanno abbandonato il progetto, con il subentro dell’attuale azienda di consulenza definita più esperta (dipende dai punti di vista).

Sul punto della maggiore esperienza della nuova azienda ho deciso di sparare un colpo di cannone parlando di un sistema RMM per gestire tutte le macchine e arrivare ad una struttura uniforme, quindi nel passaggio tra gli uffici e la sala macchine snocciolo le peculiarità di Autotask.

La risposta ve la risparmio.

Nel passaggio di piano rifiuto il caffè, un apporto di caffeina in quel momento mi avrebbe trasformato in un berserker.

Arriviamo finalmente al server

Un sistema server dovrebbe essere qualcosa di accessibili a pochi noti e con accesso agli utenti per i soli servizi necessari.

Ecco quanto è sicura la mia password

Ecco quanto è sicura la mia password

Quando scopro è che l’utente di amministrazione è il solito administrator, nemmeno rinominato, ma nemmeno affiancato da degli utenti amministrativi nominali, come il mio adm_emilio.polenghi, dove se tocco qualcosa finisce nei log con il mio nome e nessuno ha la mia password. La password di questo utente è anche lei tra le prime 100 più usate e più vulnerabili.

Nel caso del suddetto server, non solo l’utente è unico, ma la password è nota a quasi tutti i dipendenti, dalle informazioni avute circa 30 su 40. I quali ne fanno uso per entrare sul server con il desktop remoto e accedere a non si sa bene cosa, tanto da rendere il server equivalente ad una comune postazione di lavoro.

Nell’ultimo passaggio sul installato mi devo appoggiare al tavolo per non svenire, il server non è protetto da alcun antivirus.

Il backup?

Il server con i contenuti critici e vitali è coperto da un backup verso un sistema NAS, quello esiste ed è anche abbastanza capiente.

La soluzione di backup è tale che per poco mi serve un’ambulanza con l’attrezzatura di rianimazione, infatti il salvataggio dei dati viene avviato in modo automatico, punto di rilievo nella spiegazione, la sera del venerdì e un robocopy esegue una copia dei dati, il tutto è concepito per salvare le ultime 4 settimane. Di più non si può, ci vorrebbe troppo spazio nel NAS.

Inutile spiegare che sarebbe il caso di prendere almeno una soluzione antivirus che faccia almeno un backup giornaliero e che grazie ai sistemi di ottimizzazione permetta magari di salvare gli ultimi sei mesi, che con un prodotto valido ci starebbero pure nel NAS.

Il meglio sarebbe un affiancamento con un sistema di Business Continuity, perché non un bel Datto e via il mal di denti a tempo di record? Ne parlo e già sapete la risposta, è solo un modo per permettere a noi inutili informatici di spillare soldi.

La conclusione

La conclusione non è stata delle migliori, ad un certo punto non è possibile tacere e bisogna mettere chi si ha d’avanti di fronte alla nuda e cruda realtà.

Decantata la lista di cose che non vanno bene e ricevuta la risposta che sarebbero uno spreco di denaro, non ho potuto che condividere con una stretta di mano, avvisando che il giorno della catastrofe i soldi spesi saranno molti di più e senza una garanzia di recupero.

La fortuna (o C..o) non durano in eterno e prima o poi qualcosa andrà storto e certamente la mia spalla non sarà disponibile per il pianto di questa azienda.

Dopo giornate come queste, che in toni diversi capitano spesso, mi chiedo a che pro cercare di portare consapevolezza sui rischi in certe realtà italiane, fortunatamente sono un testardo sognatore e non mi arrendo. Anche perché uno su mille ce la fa e per me è una vittoria. Gli altri 999 possono affondare.

 

Per valutare la sicurezza delle tue password fai un giro sul sito How secure is my password.

 

Anche tu fai affidamento sulla fortuna?

 

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin.

Per essere informato sui nuovi articoli e contenuti puoi anche iscriverti alle nostre newsletter.

 

 

Categorie
Archivi
Count per Day
  • 57Questo articolo:
  • 86021Totale letture:
  • 62Letture odierne:
  • 199Letture di ieri:
  • 21 novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati