|
|
|
Sicurezza Informatica Dettagli
Supporti hardware sui quali vengono memorizzati i dati
a) i server sono affidabili, assistiti dal produttore o assemblati con materiale facilmente e
rapidamente sostituibile?
b) la loro configurazione consente una certa "fault tolerance", cioè la capacità di
restare attivi anche se qualche componente ha dei problemi di funzionalita' o addirittura smette di
funzionare?
Ambienti nei quali sono custoditi i sistemi informativi
a) sono aree ad accesso riservato ai soli operatori?
b) la temperatura di tali ambienti è adeguata e costante, e sono state adottate appropriate e
valide misure per la prevenzione incendi?
c) dispongono di sistemi di alimentazione elettrica d'emergenza, quantomeno per consentire ai server
di non spegnersi improvvisamente in caso di mancanza di tensione elettrica di rete o meglio ancora
per fornire alimentazione autonoma in modo che possano continuare a lavorare indisturbati?
Backup regolare dei dati
a) sono previsti dei salvataggi di dati quotidiani, con cicli di backup completi, incrementali e
differenziali?
b) è stata affidata la verifica quotidiana del funzionamento e della corretta esecuzione dei
backup a chi ne ha la competenza e può occuparsene non appena dovesse rilevare un
blocco del ciclo?
Per maggiori dettagli, preleva il documento
Disaster recovery
a) è stata pianificata una procedura per "ripartire da zero", rimettendo in piedi i servizi ed
i dati necessari in un tempo ragionevolmente breve, per i malaugurati casi di situazioni che causano
danneggiamento all'intera infrastruttura informatica?
Sistemi operativi e programmi applicativi (software)
a) i sistemi operativi installati sui server sono oggetto di aggiornamenti regolari? Sono seguiti da
persone competenti in grado d'intervenire prontamente in caso di problemi o difetti improvvisi?
b) sono state predisposte delle scansioni antivirus regolari, sia sui server che su tutti i computer
usati dal personale? Il software antivirus è tenuto ben aggiornato e configurato in modo da
prevenire azioni di virus o worm che dovessero tentare di propagarsi in rete?
c) la scelta dei sistemi operativi è stata operata in base all'apparente semplicità
d'uso o considerando i rischi che determinate piattaforme comportano rispetto ad altre?
Accesso alle informazioni da parte del personale interno
a) tutti posso accedere a "tutto" all'interno dell'azienda o ci sono regole di accesso in modo
che solo chi necessita di determinati dati e privilegi sui sistemi, possa disporne in modo univoco e
riconoscibile?
b) l'architettura di rete prevede limitazioni fisiche alle aree d'accesso dei vari pc utilizzati
internamente?
c) i servizi sono protetti da richiesta di autenticazione di username e password?
d) gli utenti hanno username e password univoche che vengono cambiate regolarmente?
Accesso alle informazioni dall'esterno
a) è stata valutata l'opportunità di non mettere a disposizione di utenti casuali e
comunque esterni una parte dei sistemi e/o dei dati, in modo da ridurre il rischio d'intrusioni?
b) si dispone di sistemi di firewall aggiornati e ben gestiti per limitare l'accesso quanto
più possibile solo alle aree ed ai servizi liberamente utilizzabili da utenti esterni?
c) quali criteri di protezione si adottano per rendere quanto piu' sicure ed affidabili le
comunicazioni che coinvolgono la trasmissione di dati sensibili o strettamente riservati, da parte
degli utenti esterni e di chi opera come personale aziendale lavorando da altra sede (agenti, sedi
distaccate, telelavoratori)?
|
|
|
