» continua
Non smetteremo mai di stupirci per come sia diventato popolare l'instant messaging. Anche se la policy aziendale non prevede l'uso di sistemi di IM, è probabile che gli utenti prendano autonomamente l’iniziativa ed effettuino il download dei loro software di instant messaging. Il punto è che l'IM è sicuramente destinato a durare a lungo e bisogna correttamente gestirlo.
Quando correttamente applicato, l'instant messaging può essere una vera risorsa per il business, facilitando l'attività di comunicazione in tutta l'organizzazione. Se però l'instant messaging non viene attentamente implementato, può causare problemi di privacy e può esporre l'organizzazione a varie forme di malware. Per essere certi che instant messaging sia utilizzato in modo sicuro nella vostra organizzazione potete seguire alcune tecniche.
1. Stabilite delle policy di utilizzo dell’instant messaging aziendale
Se prendete in seria considerazione la sicurezza dell'instant messaging , una delle cose più importanti che potete fare è quella di stabilire una policy di utilizzo per gli utenti. Tale politicy deve spiegare in dettaglio agli utenti quali modalità di messaggistica istantanea dovrebbero o meno essere usate.
Anche con una politicy di istant messaging, però, è ingenuo presumere che ogni utente si atterrà alle norme stabilite. Una politica di instant messaging non impedirà agli utenti dall'infrangere le regole, ma vi darà l'autorità di intervenire quando tali regole sono infrante.
2. Se possibile, attivate un vostro server di messaggistica istantanea
Anche se la vostra policy definisce chiaramente come deve essere utilizzato l'instant messaging, per motivi di sicurezza è meglio assumere che detta policy venga completamente ignorata. Partendo da questo presupposto, la raccomandazione primaria per le organizzazioni attente all’aspetto sicurezza della messaggistica istantanea è di implementare un proprio server di instant messaging.
Il motivo di questa raccomandazione sta nel fatto che la maggior parte delle applicazioni commerciali di messaggistica istantanea attualmente disponibili sono di tipo client/server. Ciò significa che quando un utente invia un messaggio istantaneo a un altro utente, tale messaggio viene inviato inizialmente a un server di instant messaging e poi viene spedito al destinatario.
Adesso pensiamo alla architettura client-server da un punto di vista di utilizzo aziendale. Se un utente vuole inviare un messaggio a un altro utente nell’ufficio vicino, quel messaggio avrebbe dovuto anzitutto viaggiare in Internet, dove può potenzialmente essere letto da chiunque. D'altro canto, se avete un vostro server di messaggistica istantanea, i messaggi da un utente a un altro non dovrebbero mai lasciare la vostra rete privata. Solo i messaggi diretti all’esterno transiterebbero su Internet.
Mentre la maggior parte delle applicazioni di instant messaging commerciali utilizzano una architettura client-server, come quella descritta, esistono tante diverse architetture quanti sono i prodotti di instant messaging.
Alcuni prodotti di IM sul mercato impiegano un'architettura peer-to-peer, altri un’architettura ibrida. Per esempio, alcuni prodotti usano inizialmente un’architettura client-server per individuare il destinatario, ma poi, una volta che questo è stato localizzato, si avvalgono di un'architettura peer-to-peer per comunicare. Altri prodotti utilizzano una architettura client-server per la messaggistica, ma impiegano un'architettura peer-to-peer per il trasferimento di file.
Un server di instant messaging interno vi fornisce il massimo controllo sulla sicurezza della messaggistica istantanea. Se non è possibile effettuare il deploying di un server di instant messaging, è cercate alemno un’applicazione di messaggistica istantanea costruita tenendo ben presente l’aspetto sicurezza A meno che il software non utilizzi una vera architettura peer-to-peer che consente agli utenti nella vostra organizzazione di comunicare direttamente l'uno con l'altro senza che i messaggi debbiano attraversare Internet, la crittografia deve essere una caratteristica dell'applicazione che avete selezionato.
3. Predisponete un tool che blocchi l’uso dell’instant messaging non autorizzato
Qualunque applicazione di messaggistica istantanea abbiate scelto, è importante che tale applicazione sia controllata dal dipartimento IT e non dagli utenti finali. Abbiamo visto troppe situazioni nel corso degli anni in cui le workstation degli utenti non sono state bloccate correttamente e gli utenti installavano autonomamente software di instant messaging.
Ci sono molte ragioni per cui è estremamente importante fare in modo che gli utenti non possano installare da sé applicazioni di instant messaging. Per cominciare, l'azienda deve avere una licenza per ogni software che viene installato sui suoi sistemi. Un altro motivo è che alcuni client di messaggistica istantanea sono stati progettati in modo da includere l’adware o altri tipi di Trojan. Con l'installazione di un’applicazione di instant messaging, un utente potrebbe inavvertitamente esporre informazioni sensibili o rischiare di introdurre malware in azienda.
Molte organizzazioni hanno cercato di impedire agli utenti di utilizzare le applicazioni di messaggistica istantanea, tentando di bloccare l' instant messaging nel perimetro del firewall. Nella maggior parte dei casi, però, questa tecnica risulta inefficace.
Molti client di instant messaging sono progettati per aggirare il firewall aziendale. Le applicazioni possono inizialmente tentare di comunicare con il server di messaggistica istantanea utilizzando una porta specifica, ma se la comunicazione fallisce la maggior parte di queste applicazioni tenta di aggirare il firewall effettuando il tunneling del traffico di messaggistica istantanea su un altra porta. Tipicamente, la TCP 80 è la porta di elezione. Ma non solo, alcune applicazioni di messaggistica istantanea gestiscono il traffico tramite pacchetti SMTP.
L'unico modo per utilizzare efficacemente un firewall di perimetro nel tentativo di bloccare il traffico indesiderato di messaggistica istantanea è di fare un po' di ricerca e individuare tutti gli indirizzi IP utilizzati dalle varie applicazioni commerciali di messaggistica istantanea e quindi bloccare tali indirizzi.
In aggiunta, consigliamo di bloccare le workstation. Idealmente, le workstation dovrebbero sufficientemente sicure da non consentire agli utenti di installare applicazioni non autorizzate.
Un'altra difesa contro le applicazioni indesiderate di instant messaging è l’utilizzo di un firewall personale sui desktop. Alcuni firewall personali sono in grado di lavorare al livello dell’applicazione e quindi di bloccare il traffico sulla base della singola applicazione, e non solo in base alla porta, come invece fa un firewall perimetrale.
