Re: Bypassare firewall aziendali con tunnel HTTP/HTTPS

Ragazzi una possibile soluzione sarebbe lato client, ovvero fare delle
profilazioni sugli utenti per l'installazione di determinati programmi.

Per quanto riguarda la politica delle restrizioni, la soluzione è unica:

la scrittura di un documento programmatico sulla sicurezza informatica che
comprenda anche la motivazione di queste restrizioni.

Da me in azienda ho scritto un documento che spiega i diritti/doveri
dell'utente (rispettando la legge AFAIK) che viene consegnato ad ogni nuovo
assunto/collaboratore.
RICORDO inoltre che l'utente non sa quali tool noi usiamo per il
monitoraggio :-), indi minacciandolo con la classica "lettera di richiamo"
anche il più BOFH ci pensa due volte prima di mettersi a giochicchiare con
queste fagianate.


d'altronde la sicurezza DEVE diventare un processo organizzativo aziendale.

Baci, Federico.


----- Original Message -----
From: "vodka" <aradael@yahoo.com>
To: <ml@sikurezza.org>
Sent: Tuesday, April 09, 2002 10:48 AM
Subject: Re: Bypassare firewall aziendali con tunnel HTTP/HTTPS


> Saverio scripsit:
>
> ....
> L'utilizzo di politiche restrittive sull'output di un
> firewall/nat aziendale,
> senza che ci sia una reale politica di sicurezza
> presente, spinge l'utente
> smaliziato a considerare la figura dell'amministratore
> di rete un BOFH
> e di arrangiarsi con i suoi mezzi nel caso abbia
> bisogno di qualcosa all'esterno.
> Perchè, c'è sempre un altro modo ...
>
> "Ho visto cose che voi umani ..."
>
> .....
>
> Posso dire di essere completametne d'acordo su quanto
> dici. Anche perche' ho cominciato a occuparmi di
> sicurezza proprio da utente aziendale irritata dalle
> inspiegate e quindi incomprensibili restrizioni
> sull'uso di internet.
> Soprattutto irritata dal fatto che nessuno si degnasse
> di dire perche' certe cose non si possono fare o vanno
> fatte seguendo determinate regole.
> (nota di colore: http tunnel funziona e bene :)) e
> anche un utente non troppo smaliziato riesce a
> cavarsela egregiamente)
>
> Questo thread secondo me puo' introdurre
> un interessante e spesso trascurato argomento: la
> diffusione della cultura della sicurezza nelle
> aziende, specie in quelle grandi.
>
> E' totalmente inutile infatti implementare fior di
> soluzioni tecniche per garantire sicurezza se poi gli
> utenti non vengono sensibilizzati e non vengono fatti
> sentire parte in causa del processo, cioe'
> responsabilizzati.
>
> Finche' non si spiega in modo chiaro e comprensibile
> anche a chi tecnico non e' il perche' di certe
> limitazioni e/o rotture di scatole (tipo cambiare la
> password ogni tot giorni e magari doverla scegliere
> "complessa", giusto per rimanere nel banale
> quotidiano), l'azienda dovra' cmq fare sempre i conti
> con le distrazioni, le insofferenze o altro degli
> utenti.
>
> so che esistono aziende di un certo calibro (e quindi
> di un certo budget) che hanno fatto campagne di
> sensibilizzazione interna ai temi della sicurezza
> anche informatica, utilizzando i metodi tipici del
> marketing e della comunicazione pubblicitaria.
> Sarebbe, credo, interessante capire quale ritorno
> questo tipo di investimenti hanno avuto in termini di
> aumentata partecipazione dei dipendenti sui temi
> proposti.
>
> Anche se non si tratta di temi strettamente tecnici (e
> quindi "gustosi" per i partecipanti alla lista, credo
> sia cmq un argomento interessante da affrontare anche
> per noi tecnici, in quanto la validita' dell'impegno
> nel garantire un livello ragionevole di sicurezza puo'
> essere messo in crisi dalla semplice inosservanza
> delle policies da parte di un solo individuo. E questo
> e' tanto piu' vero quanto piu' e' "complesso" il
> sistema.
>
> vodka
>
>
> ______________________________________________________________________
> Iscriviti al Club Nokia, è gratis!
> http://it.yahoo.com/mail_it/foot/?http://www.club.nokia.it/
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List