La quinta edizione del report di CIS Sapienza e del Laboratorio CINI è dedicata ad offrire alle aziende italiane un elenco di “15 Controlli Essenziali per la cybersecurity”, una checklist di comportamenti virtuosi con il relativo ambito di applicazione. In aggiunta, sono indicati esempi di incidenti causati dalla errata o assente applicazione dei controlli, e la relazione che lega questi controlli al precedente Framework nazionale per la cybersecurity.
I 15 Controlli del report derivano da un processo di consultazione pubblica che ha coinvolto 200 esperti di settore. Si rivolgono principalmente alle PMI, ai decisori pubblici, e hanno una validità nel tempo condizionata dall’evoluzione (rapidissima) delle principali minacce cyber a cui sono soggette le aziende italiane.
Quali quindi i consigli che emergono dalla guida di CIS Sapienza/CINI? Riportiamo l’intero elenco:
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
- I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
- Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
- È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
- Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
- Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
- Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
- Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . ). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
- Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
La lista è sicuramente utile, ma attenzione, perché cosiffatta pone allo stesso livello affermazioni “di buon senso” (come il punto 9, “Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza”) con altre di non semplice realizzazione. Ad esempio, “Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda” non è affatto banale. Espressa in questo modo sottende molte complessità, per cui appare un’unica possibilità di risoluzione, quella di rivolgersi a un esperto (un legale, un consulente informatico, un consulente di Privacy) che possa suggerire in corretto approccio e risolvere tutti gli aspetti di compliance per conto dell’azienda.
Accedi al Cybersecurity Report 2016 completo.