Analisi del processo di gestione dell'accesso all'infrastruttura di rete
dei consulenti esterni




L’accesso alla rete locale dell’azienda da parte di soggetti terzi, come nel caso dei consulenti o dei fornitori, deve essere appositamente regolamentato al fine di ridurre e contenere i potenziali rischi correlati.

È necessario che tutte le risorse collegate in rete siano preventivamente identificate e autorizzate: non deve essere possibile connettersi alla LAN aziendale senza aver prima ottenuto una specifica autorizzazione da parte di un Responsabile aziendale. Lo scopo è quello di far sì che tutte le risorse informatiche connesse alla rete siano state preventivamente verificate dal punto di vista tecnologico per avere una ragionevole garanzia sul fatto che abbiano un livello di sicurezza adeguato: le verifiche possono riguardare la presenza dell’antivirus, di firewall, di software antispyware o una scansione con un tool di vulnerability assessment.

La connessione alla rete aziendale comporta la possibilità da parte di questi utenti di accedere alle risorse aziendali, sia in termini di servizi utilizzabili (connettività verso internet) sia in termini di informazioni (ad esempio cartelle condivise, siti presenti nell’intranet…).

La connessione alla rete aziendale da parte di personale non dipendente deve essere regolamentata da un apposita procedura organizzativa mediante la quale siano stabilite le modalità con cui richiedere le credenziali di accesso e assegnare gli adeguati profili autorizzativi.

Una soluzione puramente organizzativa non può essere sufficiente a garantire all’azienda che nessun utente possa connettersi senza essere stato preventivamente autorizzato, dal momento che potrebbero comunque verificarsi comportamenti non conformi dovuti a non conoscenza delle procedure interne oppure comportamenti volutamente dolosi attuati, ad esempio, per accedere a dati o informazioni riservate.

Si rende necessario pertanto adottare delle soluzioni tecnologiche grazie alle quali controllare l’accesso alle risorse informatiche e informative presenti nella rete aziendale. Il sistema deve essere in grado di segnalare eventuali tentativi non autorizzati di connessione, inibendone l’accesso e inviando appositi alert alle strutture di controllo.

Un sistema come quello descritto consente inoltre di segregare gli utenti in appositi segmenti della rete (VLAN) a seconda delle credenziali di accesso utilizzate, attuando non solo un sistema di autenticazione ma anche di autorizzazione.

Scopo dell'attività di analisi: verificare la fattibilità e l’opportunità di implementare all’interno del sistema informativo dell’azienda una soluzione che consenta di prevenire l’accesso alla rete aziendale da parte di dispositivi non autorizzati o non conformi alle policy di sicurezza interne.

Output: valutazione quantitativa e qualitativa della problematica eventualmente presente e identificazione delle possibili attività correttive e migliorative.