wapt image 1788 Cosa abbiamo imparato dalla violazione di Facebook
Azienda | Redazionali

Cosa abbiamo imparato dalla violazione di Facebook

I titoli continuano ad abbondare sulla violazione dei dati su Facebook.

Completamente diverso dagli hacker del sito in cui le informazioni della carta di credito sono state appena rubate presso i principali rivenditori, la società in questione, Cambridge Analytica, aveva il diritto di utilizzare effettivamente questi dati.

Sfortunatamente hanno usato queste informazioni senza permesso e in un modo che era apertamente ingannevole sia per gli utenti di Facebook che per Facebook stesso.

Il CEO di Facebook Mark Zuckerberg ha promesso di apportare modifiche per evitare che questo tipo di uso improprio delle informazioni si verifichi in futuro, ma sembra che molte di queste modifiche verranno apportate internamente.

I singoli utenti e le aziende devono ancora adottare le proprie misure per garantire che le loro informazioni rimangano il più protette e protette possibile.

Per gli individui il processo per migliorare la protezione online è abbastanza semplice. Ciò può variare dall’abbandonare del tutto siti come Facebook, all’evitare i cosiddetti siti di giochi gratuiti e quiz in cui ti viene richiesto di fornire accesso alle tue informazioni ea quelle dei tuoi amici.

Un approccio separato consiste nell’utilizzare account diversi. Uno potrebbe essere utilizzato per l’accesso a importanti siti finanziari. Un secondo e altri potrebbero essere utilizzati per le pagine dei social media. L’utilizzo di una varietà di account può creare più lavoro, ma aggiunge ulteriori livelli per tenere un infiltrato lontano dai dati chiave.

Le imprese, invece, necessitano di un approccio più completo. Sebbene quasi tutti impieghino firewall, elenchi di controllo degli accessi, crittografia degli account e altro per prevenire un hack, molte aziende non riescono a mantenere il framework che porta ai dati.

Un esempio è una società che utilizza account utente con regole che impongono regolarmente modifiche alle password, ma è negligente nel modificare le credenziali del dispositivo dell’infrastruttura per firewall, router o password di switch. In effetti, molti di questi non cambiano mai.

Anche coloro che utilizzano servizi di dati Web dovrebbero modificare le proprie password. Per accedervi sono necessari un nome utente e una password o una chiave API, che vengono creati durante la creazione dell’applicazione, ma di nuovo vengono modificati raramente. Un ex membro del personale che conosce la chiave di sicurezza API per il gateway di elaborazione della carta di credito, potrebbe accedere a tali dati anche se non fosse più impiegato in tale attività.

Le cose possono anche peggiorare. Molte grandi aziende utilizzano aziende aggiuntive per assistere nello sviluppo di applicazioni. In questo scenario, il software viene copiato sui server delle aziende aggiuntive e può contenere le stesse chiavi API o combinazioni di nome utente / password utilizzate nell’applicazione di produzione. Poiché la maggior parte viene modificata raramente, un lavoratore scontento di un’azienda di terze parti ora ha accesso a tutte le informazioni di cui ha bisogno per acquisire i dati.

È inoltre necessario adottare processi aggiuntivi per evitare che si verifichi una violazione dei dati. Questi includono…

• Identificazione di tutti i dispositivi coinvolti nell’accesso pubblico ai dati aziendali, inclusi firewall, router, switch, server, ecc. Sviluppare elenchi di controllo di accesso (ACL) dettagliati per tutti questi dispositivi. Cambia di nuovo le password utilizzate per accedere frequentemente a questi dispositivi e modificale quando un membro di qualsiasi ACL in questo percorso lascia l’azienda.

• Identificazione di tutte le password delle applicazioni integrate che accedono ai dati. Si tratta di password “integrate” nelle applicazioni che accedono ai dati. Cambia spesso queste password. Modificali quando una persona che lavora su uno di questi pacchetti software lascia l’azienda.

• Quando si utilizzano società di terze parti per assistere nello sviluppo di applicazioni, stabilire credenziali di terze parti separate e modificarle frequentemente.

• Se si utilizza una chiave API per accedere ai servizi Web, richiedere una nuova chiave quando le persone coinvolte in tali servizi Web lasciano l’azienda.

• Anticipare il verificarsi di una violazione e sviluppare piani per rilevarla e fermarla. Come si proteggono le aziende da questo? È un po ‘complicato ma non fuori portata. La maggior parte dei sistemi di database ha un controllo integrato e, purtroppo, non viene utilizzato correttamente o per niente.

Un esempio potrebbe essere se un database avesse una tabella di dati che conteneva i dati del cliente o del dipendente. In qualità di sviluppatore di applicazioni, ci si aspetterebbe che un’applicazione acceda a questi dati, tuttavia, se è stata eseguita una query ad hoc che ha richiesto una grande porzione di questi dati, l’audit del database correttamente configurato dovrebbe, almeno, fornire un avviso che ciò sta accadendo .

• Utilizzare la gestione del cambiamento per controllare il cambiamento. È necessario installare il software di gestione delle modifiche per semplificare la gestione e il monitoraggio. Blocca tutti gli account non di produzione finché non è attiva una richiesta di modifica.

• Non fare affidamento sull’audit interno. Quando un’azienda verifica se stessa, in genere riduce al minimo i potenziali difetti. È meglio utilizzare una terza parte per controllare la tua sicurezza e controllare le tue politiche.

Molte aziende forniscono servizi di revisione, ma nel tempo chi scrive ha scoperto che l’approccio forense funziona meglio. Analizzare tutti gli aspetti del quadro, costruire politiche e monitorarli è una necessità. Sì, è un problema cambiare tutti i dispositivi e le password incorporate, ma è più facile che affrontare il tribunale dell’opinione pubblica quando si verifica una violazione dei dati.

Similar Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *