Sicurezza non è un'isola.

[56francesco]

Vorrei provare ad aprire una discussione sulla sicurezza del sito joomla con la affermazione riportata nel titolo.
Infatti nello scorrere le slide
http://www.slideshare.net/surfbit/toscana-joomla-party-presentation/v1?src=embed
ho ricevuto l'impressione che manchi qualcosa che pure il Italia è ben previsto anche dalla legislazione, cioè il cosidetto codice privacy.
Non ho notato o mi è sfuggito, nelle slide alcun riferimento al famigerato D.P.S. (documento programmatico della sicurezza)
Al che il titolo un po polemico di questo post, per dire che la sicurezza non è una isola tutta tecnica e files, è anche e direi soprattutto tutto ciò che il codice privacy prevede e dispone sia il contenuto del DPS (appunto).
La mia opinione è che nella predisposizione di un sito e non solo aziendale va immediatamente costituita una gerarchia di figure professionali con al vertice non già l'agenzia web ma il consulente privacy.
Cosa deve fare costui?
molto sinteticamente, acquisita una documentata conoscenza del progetto deve predisporre una bozza di DPS e in collaborazione con tutti i soggetti apportare e chiedere le migliorie per arrivare ad una stesura definitiva a misura di progetto.
Un dps coerente e ben fatto incapsula tutti i fatti aziendali (non solo il sito) in condizioni contrattuali ed operative sicure per quanto possibile a norma di legge.
Un solo esempio: password spedite via email e conservate in posta in arrivo! oggi molti uffici contigui usano solo la posta elettronica per comunicare, va bene così? no di certo! come minimo usare la cifratura e quindi salvare la posta periodicamente in supporto esterno (cd o disco esterno?)
Quindi per come sopra va istruito il personale (io consiglio tuntherbird e i suoi componente per farlo velocemente e senza costi eccessivi e il cd poi archiviato in sicurezza)
Messe in sicurezza le credenziali di accesso (e modificate nei termini dagli operatori incaricati) dai rotokit anche il sito sarà sicuro.
E quante installazioni si sarebbero salvate se solo si fosse cambiato la user admin? 

Ecco quindi che si capisce come privacy e  sicurezza siano un unico problema che presuppone una professionalità specifica e il webmaster e la web agenzia non deve sentirsi sminuita a lavorare con le direttive di una altra figura professionale, così facendo lavora spedito ed economizza tempo necessario per far meglio la sua professione, se il progetto è in sicurezza allora il sito è più sicuro.

Aggiungo che il consulente privacy attento  ha solo da arricchirsi professionalmente nella conoscenza dei problemi della sicurezza informatica specificatamente tecnica.

Cosa ne pensate?

[Locu]

Ciao Francesco,
concordo con quello che dici, il maggiore dei problemi relativi alla sicurezza informatica, citando una frase celebre, è posto tra lo schermo e lo schienale della sedia. Infatti molto spesso gli attacchi a sistemi vengono svolti utilizzando tecniche di social engineering e ciò rende la vita molto dura ai tecnici dei centri IT.
Recentemente ho fatto una consulenza per un'azienda che gestisce dati sensibili... I dati giravano in una VPN ma spesso si sono verificati problemi a causa di alcuni dipendenti che usavano il pc per i loro svaghi. A quel punto si è deciso di procedere dotando ogni pc di un programma di messaggistica istantanea e ralativo servizio email entrambi criptati, inoltre un'altro piccolo accorgimento è stato quello di installare un keyscrambler.(per chi non lo sapesse è un driver che scombina gli input della tastiera rendendo la vita diffile a tutte le applicazioni keyloggers). Ovviamente nell'azienda era presente un firewalls che filtrava alcuni isp, abbiamo fatto qualche miglioramento ma alla fine della fiera non siamo ancora sicuri che ciò basti a garantire la sicurezza.

Di questi tempi privacy e security sono concetti molto labili anche per gli utenti più preparati.