jump to navigation

È nata prima la policy di sicurezza o il workaround? lunedì 2 aprile 2012

Posted by andy in Information Security.
Tags: , ,
add a comment

Oggi mi stava venendo da ridere; molto probabilmente non vi racconterò nulla di nuovo, ma è interessante per scattare l’ennesima fotografia dei problemi che un responsabile della sicurezza delle informazioni si trova a dover affrontare quotidianamente.

Non faccio il nome della società di cui vi parlo, sia perché si dice il peccato e non il peccatore, sia perché sarebbe irrilevante ai fini del discorso; vi basti sapere che è una società di rilevanza mondiale, e direi una delle due top nel proprio settore.

Stiamo parlando di una società con policy di sicurezza così ben fatte e così ben applicate che risulta praticamente impossibile lavorare (almeno per una mentalità  snella e libera come può essere quella italiana).

Tra le policy, ovviamente, l’impossibilità di utilizzare dispositivi USB, il divieto (e l’impossibilità) di collegare alla rete aziendale qualsiasi dispositivo non aziendale e non autorizzato.

Situazione: riunione tra partners per la redazione e finalizzazione di un’offerta (ovviamente, molto corposa).

La riunione si tiene praticamente nell’equivalente di un bunker, completamente schermato dalle radiofrequenze, e quindi senza la disponibilità della telefonia mobile.

È uno di quei momenti topici in cui tutti devono scambiarsi documenti, aggiornamenti, revisioni, correzioni …

Come fare? Impossibile passarsi i documenti via USB, né via rete locale (gli ospiti non possono collegarsi alla rete).

Gli ospiti non possono neppure trasferire i propri file veicolandoli attraverso la rete mobile, per mancanza di copertura.

Etc. etc. etc.

Le soluzioni adottate sono state sostanzialmente due:

  1. utilizzo di un hard disk volante (forse non avete ben inteso: non un hard disk USB, bensì uno smontato da un PC del cliente, inserito in un PC dell’ospite, caricato di documenti, e ritrasferito nel suo computer originale);
  2. invio dei documenti (ovviamente altamente riservati) utilizzando caselle di posta personali (GMail) dei vari interlocutori;

Per fortuna il responsabile della security non ne sa nulla, altrimenti rischierebbe di perdere il sonno (e forse non solo quello!) …