Soluzioni informatiche per l'impresa
Principale Servizi Soluzioni Supporto & Download Chi siamo Contatta
 
Logo Facile

Le nostre scelte progettuali, in campo crittografico, sono legate ai suggerimenti ed alle direttive del progetto europeo NESSIE.

L'obiettivo è stato quello di adottare schemi per la crittografia a chiave pubblica, la firma digitale e la cifratura simmetrica obiettivamente valutati, sia sotto l'aspetto della sicurezza che delle performance.

FACILE® - SICUREZZA PER LE INFORMAZIONI AZIENDALI

Cadere in piedi
Cadere in piedi non è una questione di fortuna, per la tua impresa scegli un software flessibile, agile e sicuro… Scegli Facile!

La sicurezza è un requisito irrinunciabile

Forse siamo disposti ad ammetterlo in linea teorica, ma nella pratica sorgono subito dubbi, perplessità e problemi.

È solo un gestionale, che problemi di sicurezza potranno mai esserci?

Ormai gran parte dei dati riguardanti l'attività aziendale viene gestita informaticamente. I compiti del "gestionale" si sono man mano ampliati: dalla semplice fatturazione / gestione bolle / magazzino si è passati a software integrati (ERP) in grado di supportare la capacità decisionale del management, effettuare transazioni in formato elettronico, analizzare i processi aziendali, assistere nella progettazione / produzione / rilevazione dei costi…

Le aziende si aspettano che il software non abbia mai problemi. Nel caso degli ERP lo considerano mission critical e vogliono che sia operativo 24 ore su 24.

Non è pensabile che il fulcro del sistema informativo aziendale non abbia requisiti di sicurezza.

Prima di tutto abbiamo bisogno di un sistema di gestione funzionante, la sicurezza è un obiettivo che perseguiremo in seguito

Rendere sicura un'applicazione che non lo è, risulta sempre estremamente costoso e spesso inefficace: la sicurezza è strutturale, riguarda cioè le fondamenta di un'applicazione, va pensata in fase di progetto, ed è trasversale, in quanto pervade ogni componente del software. Di conseguenza adattamenti posticci, oltre che inefficaci, danneggiano quasi sempre altre funzionalità (si suol dire che la sicurezza è un cross-cutting concern).

Un prodotto inerentemente sicuro è prerequisito necessario perchè l'introduzione di security feature (crittografia, autenticazione…) sia efficace ed efficente.

Sicurezza = più costi e nessun ritorno sull'investimento

La perdita / alterazione delle informazioni ha costi chiari:
  • impossibilità ad operare dei dipendenti e tempi morti;
  • conseguenza legali per responsabilità nel caso di furto di informazioni confidenziali / sensibili riguardanti i clienti;
  • transazioni bloccate e conseguente perdita di fatturato;
  • frodi a danno dell'azienda;
  • inaffidabilità dei processi decisionali.

Oltre a questo esistono elementi non direttamente misurabili, ma non per questo poco importanti: se i nostri clienti scoprissero che esponiamo dati che riguardano la loro attività a rischi di varia natura diventerebbero meno fedeli nei nostri confronti? L'interruzione del servizio può provocare conseguenze esterne (verso fornitori, dipendenti…).

Le analisi di ROI sono basate sui costi di una data soluzione e sui risparmi od i guadagni che essa genera. Come viene comunemente osservato, investire nella sicurezza è come acquistare un'assicurazione. Si paga in anticipo per proteggersi contro una calamità potenziale. Alcune aziende non corrono rischi vitali, ma tutte hanno un rischio quantificabile e tale da giustificare un investimento mirato.

Virus warning
Virus? No grazie!. Facile è protetto dall'azione di virus / malware: qualsiasi alterazione al programma viene rilevata e segnalata all'utente prima che si possano produrre danni.

Facile, un software gestionale sicuro

SD3

Nella realizzazione di Facile il problema della sicurezza è sempre stato fra i più sentiti. Lo sviluppo ha seguito il modello SD3: vale a dire Secure by Design, by Default and in Deployment.

Design
In fase di progettazione e realizzazione si sono assunti come punti fermi:
  • il principio di Kerckhoffs ("il nemico conosce il sistema");
  • la necessità di seguire precise coding guideline;
  • il principi del simple design e della separazione di codice e dati;
  • la necessità di effettuare security test e regression test;
  • l'effettuazione di un'accurata analisi dei rischi (mediante le metodologie STRIDE, DREAD ed il ricorso agli attack tree).
Default
  • le opzioni potenzialmente pericolose sono inizialmente disabilitate;
  • il software è progettato per evitare il problema dell'open by default (se qualche procedura fallisce in modo inatteso, il sistema non rimane in uno stato "esposto" ma resta in una situazione protetta);
  • è prevista la definizione di un organigramma in modo da permettere agli utenti l'accesso alle sole informazioni di propria pertinenza (principio del least privilege). È possibile configurare Facile in modo che l'effettuazione di determinate procedure debba essere preventivamente autorizzata da differenti persone chiave (separation of privilege).
Deployment
  • l'utente può agire su numerosi parametri riguardanti le caratteristiche di sicurezza;
  • si possono effettuare teleaggiornamenti in maniera semplice, rapida e controllabile.
 
Mappa del sitoOpportunitàCollegamentiRiservatezzaNote legaliAccessibilitàW3C
Tutti i marchi ed i copyright in questa pagina sono di proprietà dei rispettivi proprietari. Per il resto © EOS (Pisa). Ultimo aggiornamento: 2011-2-26.