sabato 7 gennaio 2012

SICUREZZA E POLICY


           Secondo te, il concetto di “adeguato livello di sicurezza” di un’organizzazione aziendale e’ il medesimo per tutte le imprese? Motiva la risposta.

7 commenti:

Anonimo ha detto...

No perchè dipende dall'impresa e dal suo bisogno di sicurezza.
Per esempio per un impresa che imbottiglia acqua il livello di sicurezza necessario sarà basso,mentre per un industria farmaceutica,basata sulla ricerca di nuove formule e nuovi prodotti,il livello di sicurezza dovra essere altissimo.

Anonimo ha detto...

per il commento sopra
Matricola 4001053

Anonimo ha detto...

Ogni organizzazione aziendale ha il suo livello di sicurezza adeguato, in quanto dipende da ciò di cui essa si occupa. Esistono infatti diversi metodi per ripararsi da eventi disastrosi naturali e non: uno di essi riguarda ad esempio il firewall, struttura hardware, software o mista, programmata per rilevare le intrusioni e impedire l'accesso non autorizzato a una rete. Un firewall è scalabile, ovvero può comportare una soluzione molto semplice o molto complessa a seconda che l'utente sia un privato o una grande impresa, per la quale infatti è previsto anche il controllo di ogni pacchetto che entra/esce da essa. Le policy di sicurezza aziendale variano a seconda dell'azienda, infatti ad esempio in caso di calamità naturali la Borsa di Milano deve avere un sistema di mirrorato a caldo, che le permette di essere immediatamente operativa, mentre per altre aziende è sufficiente un sistema di mirrorato a freddo, che impiega una decina di minuti per entrare in funzione.
Esistono però anche metodi di sicurezza che per legge devono essere adottati da ogni azienda, come ad esempio la PEC (Posta Elettronica Certificata), obbligatoria dal 29 Novembre 2008.
Matricola 4001082

AL - Blog admin ha detto...

Matricola 4001053: il concetto e' corretto. L'esempio non perfettamente calzante (non parlerei di livello di sicurezza "basso" ma di livello di sicurezza adeguato alla tipologia di business). L'esposizione imprecisa (il "bisogno di sicurezza" non e' una espressione adeguata ai sistemi informatici).

AL - Blog admin ha detto...

Matricola 4001082: risposta sostanzialmente corretta. Alcune imprecisioni.
Osservazioni:
1)anziche' "metodi per ripararsi" e' meglio dire "sistemi per mettersi al riparo oppure per tutelarsi da..."
2)anziche" "ogni pacchetto che entra/esce" e' meglio precisare "ogni pacchetto di dati che, attraverso la rete aziendale, entra/esce.."
3) a proposito di MIRRORING facciamo ulteriore chiarezza:
Negli ambienti mission-critical (come la Borsa di Milano), i tempi di inattività possono avere un serio impatto economico. L’utilizzo del sistema più affidabile che esista non esonera il responsabile dei sistemi informativi dall’impostare un adeguato programma di backup e di disaster recovery.
Se l’azienda vuole che il sistema informativo non si fermi per qualunque guasto si ricorre ad una copia dei server con le stesse caratteristiche dei principali (mirrorati, cioe' gemelli dei principali) che sono aggiornati in tempo reale con le modifiche dei server principali. In caso di guasto il secondo sistema subentra automaticamente al primo senza creare interruzioni del servizio. In un’architettura fault-tolerant (cioe' capace di tollerare i guasti) come quella descritta, con sistemi in stand-by "a caldo" i tempi di indisponibilita` del servizio sono di solito inferiori a quelli di un’architettura con stand-by dei sistemi "a freddo". Risulta evidente che il costo da una soluzione "a freddo" è sostanzialmente differente dal costo di una soluzione di tipo evoluto ("a caldo"); soluzioni di continuità operativa (Business Continuity) richiedono ulteriori investimenti finalizzati alla duplicazione delle apparecchiature di storage (database) e di elaborazione (server) su due poli aziendali (geograficamente distanti tra loro) ed alla connettività tra i poli stessi.
4)Pec e' diventata obbligatoria per le imprese dal 29 novembre 2011 (con proroga...)

Anonimo ha detto...

Iniziamo col dire che le soluzioni al problema della sicurezza possono richiedere anche molte risorse pecuniarie, per cui è bene che ogni azienda valuti attentamente le misure da adottare in base all'importanza dei dati da salvaguardare. La protezione più elementare e diffusa, molto importante e in adozione sia a singoli privati che ad aziende sono i sistemi anti virus che evitano azioni di phishing, sniffing e spoofing. Altro sistema sono i firewall , usati nelle aziende per il controllo degli accessi. Essi sono scalabili, cioè adattabili in base alla grandezza dell'azienda ed all'importanza a loro attribuita in fatto di sicurezza. Altri strumenti per la gestione della sicurezza, ovvero per l'identificazione e il controllo degli accessi sono 1 sistemi tangibili come badge 2 intangibili come pin 3 biometrici:sistemi molto costosi adatti ad aziende di discreta importanza. Un esempio può essere la lettura della retina. In generale diciamo che ogni azienda deve avere una policy di sicurezza adeguata alla sua grandezza ed all'importanza dei dati da proteggere, per fare fronte alle minacce da gestire. Aziende o organizzazione importanti hanno luoghi di archiviazione dei dati in sedi distaccate e lontane dalla loro sede principale, per salvaguardare i dati anche i caso di eventi naturali catastrofici( terremoti ad esempio). Esistono anche sistemi informativi mirrorati a caldo o a freddo(la differenza risiede nel tempo di intervento in sostituzione di quelli regolarmente in funzione), questi sistemi sono molto costosi per cui in adozione solo ad aziende o ad organizzazioni importanti, come ad esempio la Borsa di Milano.
Matricola 4002252

AL - Blog admin ha detto...

Matricola 4002252: senz'altro buona la sua rielaborazione personale di tutti i concetti coinvolti nella tematica.
Solo un'osservazione lessicale: a proposito di "grandezza dell'azienda" e' meglio utilizzare il termine "dimensione" di un'azienda.