Re: Bypassare firewall aziendali con tunnel HTTP/HTTPS

Saverio scripsit:

....
L'utilizzo di politiche restrittive sull'output di un
firewall/nat aziendale,
senza che ci sia una reale politica di sicurezza
presente, spinge l'utente
smaliziato a considerare la figura dell'amministratore
di rete un BOFH
e di arrangiarsi con i suoi mezzi nel caso abbia
bisogno di qualcosa all'esterno.
Perchè, c'è sempre un altro modo ...

"Ho visto cose che voi umani ..."

.....

Posso dire di essere completametne d'acordo su quanto
dici. Anche perche' ho cominciato a occuparmi di
sicurezza proprio da utente aziendale irritata dalle
inspiegate e quindi incomprensibili restrizioni
sull'uso di internet.
Soprattutto irritata dal fatto che nessuno si degnasse
di dire perche' certe cose non si possono fare o vanno
fatte seguendo determinate regole.
(nota di colore: http tunnel funziona e bene :)) e
anche un utente non troppo smaliziato riesce a
cavarsela egregiamente)

Questo thread secondo me puo' introdurre
un interessante e spesso trascurato argomento: la
diffusione della cultura della sicurezza nelle
aziende, specie in quelle grandi.

E' totalmente inutile infatti implementare fior di
soluzioni tecniche per garantire sicurezza se poi gli
utenti non vengono sensibilizzati e non vengono fatti
sentire parte in causa del processo, cioe'
responsabilizzati.

Finche' non si spiega in modo chiaro e comprensibile
anche a chi tecnico non e' il perche' di certe
limitazioni e/o rotture di scatole (tipo cambiare la
password ogni tot giorni e magari doverla scegliere
"complessa", giusto per rimanere nel banale
quotidiano), l'azienda dovra' cmq fare sempre i conti
con le distrazioni, le insofferenze o altro degli
utenti.

so che esistono aziende di un certo calibro (e quindi
di un certo budget) che hanno fatto campagne di
sensibilizzazione interna ai temi della sicurezza
anche informatica, utilizzando i metodi tipici del
marketing e della comunicazione pubblicitaria.
Sarebbe, credo, interessante capire quale ritorno
questo tipo di investimenti hanno avuto in termini di
aumentata partecipazione dei dipendenti sui temi
proposti.

Anche se non si tratta di temi strettamente tecnici (e
quindi "gustosi" per i partecipanti alla lista, credo
sia cmq un argomento interessante da affrontare anche
per noi tecnici, in quanto la validita' dell'impegno
nel garantire un livello ragionevole di sicurezza puo'
essere messo in crisi dalla semplice inosservanza
delle policies da parte di un solo individuo. E questo
e' tanto piu' vero quanto piu' e' "complesso" il
sistema.

vodka


______________________________________________________________________
Iscriviti al Club Nokia, è gratis!
http://it.yahoo.com/mail_it/foot/?http://www.club.nokia.it/

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List