Contenuti
A costo di sembrare ripetitivi, in questo blog abbiamo parlato più volte del fatto che IBM i è un sistema da non sottovalutare infatti, nonostante più di 30 anni di onorato servizio, ha acquisito la fama di sistema affidabile e sicuro. Non è quindi un caso che sia la piattaforma più scelta da tutte quelle aziende che hanno quotidianamente a che fare con una mole di dati colossale, come banche, ospedali, centri di produzione e distribuzione, rivenditori al dettaglio ed enti pubblici. Ovviamente, per garantire la sicurezza dei propri dati personali e la solidità del proprio business, non basta avere un sistema IBM i, ma è importante tenere aggiornata la propria infrastruttura con i giusti strumenti e accorgimenti per poter sbloccare tutto il suo potenziale. In questo articolo andremo ad approfondire le peculiarità e le possibilità che i sistemi Power mettono a disposizione degli utenti per garantire la continuità del business al 100%.
Maggiore complessità chiede maggiore flessibilità
Come si legge dai documenti sull’introduzione alla sicurezza, IBM dichiara che la flessibilità è un requisito fondamentale per una piattaforma che deve gestire un’ampia gamma di utenti e situazioni differenti. Infatti, Le aziende che utilizzano IBM i possono avere sistemi gestiti da tre/cinque utenti, così come possono avere sistemi di grandi dimensioni con diverse migliaia di utenti. Alcune aziende hanno le proprie stazioni di lavoro in un solo punto, relativamente protetto, mentre altre hanno utenti distribuiti ovunque. Ancora, alcuni utenti si connettono tramite la composizione di un numero telefonico, mentre utenti indiretti collegati tramite personal computer o reti di sistemi. Quindi, gli scenari sono molteplici ed è necessario comprendere le caratteristiche e le opzioni disponibili in modo che sia possibile adattarle ai propri requisiti di sicurezza.
“Questo non accadrà a noi”
Ignorare la possibilità che la propria azienda possa essere esposta ad un incidente di sicurezza è un errore troppo comune. “Questo non accadrà a noi” si rivela falso molto più spesso di quanto si pensi! Infatti, in caso di attacco, le conseguenze sono incalcolabili in termini di costi e tempi di inattività se non si dispone un piano di risposta agli incidenti adeguato.
Un caso molto frequente sono i tentativi di phishing dalle mail aziendali, che sono maggiormente prese di mira poiché la soglia di allerta degli utenti è meno alta rispetto alla mail personale. Gli obiettivi dei cyber criminali possono essere le credenziali di accesso a siti, mail, CRM, ambienti applicativi. Inoltre, le mail aziendali possono essere camuffate per estorcere denaro, farsi fare bonifici, o chiedere informazioni come utenze e password. Questo non per spaventare gli utenti, ma per renderli consapevoli dei rischi che si corrono quotidianamente.
Quello della sicurezza deve diventare un asset mentale proprio della cultura aziendale, educando e responsabilizzando i dipendenti. Anche perché, un incidente di sicurezza non significa necessariamente una violazione dei dati dall’esterno, ma può venire in maniera accidentale da un utente interno con il rischio di interrompere il business, o causare la perdita o il furto di dati.
Serve una politica di sicurezza aziendale?
Avere una regolamentazione interna, anche se non è sempre obbligatorio a livello legislativo (vedi Regolamento PCI DSS in ambito bancario), è una buona pratica che tutte le imprese dovrebbero avere. Infatti, definire una politica di sicurezza crea uno standard di conformità obbligatorio all’interno dell’azienda e favorisce la sensibilizzazione dei dipendenti. Bastano poche regole ben definite e ponderate per alzare il livello di sicurezza interna. Inoltre, IBM i ha già al suo interno tutte le funzioni per creare una regolamentazione interna senza costi aggiuntivi.
Una politica di sicurezza traccia i requisiti di ciò che ci serve fare, e deve comprendere le direttive a livello aziendale, le variazioni divisionali/geografiche, le aspettative sulla privacy (quindi l’adeguamento ai vari GDPR, etc.), le regole di accesso ai server (policy password, etc.) e definisce le applicazioni consentite e l’accesso ai dati. In conclusione, è fondamentale che queste policy siano regolarmente aggiornate in relazione alle ultime normative e novità di mercato, comunicando in maniera chiara tutte le modifiche ai propri collaboratori.
Come possiamo proteggerci?
Affidarsi a un’unica tecnologia o soluzione da sola non manterrà il sistema sicuro. Le aziende devono avere un approccio multilivello alla sicurezza.
Sicurezza fisica e virtuale
Dal punto di vista della sicurezza fisica, le aziende sono solitamente già ben preparate con badge all’ingresso del reparto IT o della sala macchine, passkeys, badge visitatori e videocamere.Il discorso diventa più delicato quando passiamo alla sicurezza virtuale. Per garantire la sicurezza perimetrale dell’infrastruttura digitale ci sono alcuni strumenti a cui è fondamentale affidarsi. Dotarsi di un firewall (sia fisico che digitale) è spesso la prima misura di sicurezza che tutte le aziende adottano, ma ricordiamoci che questa risulterà una soluzione inutile se non viene aggiornata periodicamente, installando le varie patch fornite dal venditore. Abbiamo già parlato dell’aumento vertiginoso di attacchi informatici dall’emergenza sanitaria che ha cambiato le abitudini di lavoro in favore del lavoro da remoto. Diventa indispensabile, quindi, dotarsi di un Virtual Private Network (VPN) con il massimo livello di crittografia. Poi, segmentare la nostra rete può fare la differenza in caso di attacco informatico, poiché possiamo limitarlo fisicamente a determinati sistemi o rami di rete. O ancora meglio, possiamo creare delle Demilitarized Zone (DMZ): delle vere e proprie zone in cui le comunicazioni vengono filtrate tra l’esterno e l’interno rendendo la gestione delle informazioni più sicura.
Accorgimenti per gli utenti
È possibile mettere in atto alcuni accorgimenti per gestire gli utenti in maniera più sicura. Ad esempio, una buona pratica è la segregazione degli utenti, che consiste nel definire cosa può fare l’utente e creare dei gruppi per organization unit o mansione applicative.
Un altro accorgimento può essere limitare l’accesso degli sviluppatori, che spesso hanno accesso ad una tipologia di dati troppo sensibile, quando potrebbero avere accesso ad un database anonimizzato, ma sempre consistente dal punto di vista applicativo.
Tutti i device aziendali, dai telefoni cellulari, tablet e PC devono avere degli antivirus, e dei gestori di end point management, utili ad esempio per “pulire” i device una volta riconsegnati o passati di consegna ad altri colleghi.
È fondamentale, inoltre, che solo gli amministratori abbiamo accesso *ALLOBJ, poiché l’elevazione del profilo a super user deve essere utilizzata per utilizzare i “privilegi” solo in caso di emergenza.
Ricordiamo che, chiunque sia inserito in un gruppo di tipo “amministratore”, eredita i suoi privilegi; pertanto è importante fare attenzione. A questo proposito, sconsigliamo categoricamente il così detto “3 di copia…” per creare un nuovo profilo utente.
Infatti, in questo modo si clona un’utenza già esistente con le relative credenziali, autorizzazioni e gruppi di appartenenza, aumentando la vulnerabilità dell’azienda.
IBM è vulnerabile come gli altri sistemi operativi?
Buone notizie: Il National Institute for Standards & Technology dichiara che IBM i è un sistema sicuro. Infatti, come afferma l’esperto di sicurezza di IBM Robin Tatam, AS/400 è “securable” cioè potenzialmente ha tutti gli strumenti, le capacità e le metodologie per essere la macchina più sicura del vostro reparto IT, a patto che venga preso il giusto tempo per configurarla e tenerla aggiornata con le TPF (temporary program fix) di sicurezza e gestione che periodicamente la casa madre rilascia.
Nei prossimi articoli approfondiremo le best practice di sicurezza che gli utenti e gli amministratori possono mettere in atto, parleremo di password e delle migliori soluzioni di sicurezza per IBM i presenti sul mercato.
Per approfondire l’argomento sulla sicurezza dei sistemi IBM i, Scarica lo studio sullo stato della sicurezza di IBM i 2021.
Inoltre, ti ricordiamo che WSS Italia mette a disposizione il proprio team di esperti per la verifica dello stato di sicurezza della tua infrastruttura Power & IBM i.
Scopri le nostre soluzioni di Security & Complince e scrivici a info@wssitalia.it per richiedere il tuo Security Scan gratuito, il tool di PowerTech che in soli dieci minuti fa un check-up completo sullo stato di sicurezza dei tuoi sistemi IBM i.