Rispetto ai molteplici rischi previsti dal DPS si ritiene opportuno concentrare l'attenzione sui rischi derivanti dalle credenziali di accesso ad Host ed altri sistemi, principalmente per le seguenti motivazioni:

• In caso di abuso o compromissione possono dare accesso a informazioni e funzionalità dall'importanza vitale.

• Il loro diffuso utilizzo in rete da parte di un elevatissimo numero di persone le rende particolarmente vulnerabili qualora non siano impostate e custodite adeguatamente.

• Sono ampiamente diffuse informazioni utili alla conduzione di attacchi indirizzati alla forzatura delle credenziali di accesso.

• E' disponibile software di facile utilizzo, in grado di svelare le password se queste non rispettano alcuni requisiti minimi di qualità.

Questa tipologia di analisi assume valore particolarmente rilevante in special modo nei casi in cui, sfuggendo al controllo per svariati motivi e talvolta in assoluta buona fede, le credenziali personali di accesso non rispettino i requisiti di qualità a termini di legge, oltre a quelli dettati dalle policy interne. Casi nei quali si potrebbero profilare illeciti penali o civili a carico dei Responsabili e degli Addetti alla gestione, al controllo ed alla sicurezza delle credenziali stesse.

Al di là dei requisiti di legge, è noto come per le grandi aziende il Mainframe costituisca da sempre il cuore delle attività, e sia stato sempre curato con particolare attenzione sopportando costi ed investimenti notevoli.

Oggi generalmente l'accesso al Mainframe avviene attraverso i Personal Computer. Per questo motivo le cure che un tempo garantivano la sicurezza di Host, oggi non sono più sufficienti, essendo possibile sfruttare le debolezze dei Personal Computer per abusare di Host.

Ecco perché è necessaria l'adozione di strumenti che integrino l'analisi congiunta di molti Sistemi (Mainframe, Windows, Unix, Domino, ecc.).

I più autorevoli operatori, sia pubblici che privati, nel settore della Sicurezza Informatica come NIST, RSA Security e molti altri, concordano nel sottolineare che i rischi derivanti dall'abuso delle credenziali di accesso sono uno fra i maggiori rischi che incombono oggi sulle aziende. In Italia il Legislatore ed il Garante della Privacy hanno emesso varie normative a riguardo, le principali delle quali sono disponibili su richiesta.

Quindi per Business Continuity, e per gli stessi motivi per cui è necessario prevedere l'eventualità di un Disaster Recovery, oggi è necessario tenere sotto controllo anche i rischi derivanti dal “fattore umano” tramite l'illecito abuso dei privilegi di accesso al Mainframe.

Eventi naturali a parte, per il Mainframe i rischi maggiori derivano proprio dal “fattore umano”.

Al fine di limitare i rischi che derivano della debolezza delle credenziali di accesso, è possibile eseguirne un'analisi accurata avvalendosi anche di tecniche tipiche degli hacker, ma condotta con il rigore metodologico e le garanzie di privacy e sicurezza tipiche di un processo certificato ISO 27001.

L'analisi così condotta permette la verifica del rispetto delle leggi vigenti (come D.lgs 196/03) e delle policies interne, cui segue la disponibilità di strumenti che assistono nella pianificazione degli interventi più urgenti, completando quindi l'opera con il controllo costante nel tempo del livello di rischio.

L'esperienza ci ha insegnato che spesso i rischi si annidano anche in aspetti che sono sfuggiti perché dati per scontati, situazioni “ereditate” e poi, spesso a causa delle continue urgenze legate alla produzione, rimaste inalterate per dimenticanza, o banalmente informazioni che in buona fede semplicemente non si conoscono anche se risultano ampiamente diffuse o addirittura di dominio pubblico in internet.

Analizzare questi rischi avvalendosi di strumenti tecnologici al passo con i tempi è quindi il primo passo per poterli gestire con la priorità adeguata alla loro reale importanza.