Controlli essenziali di cybersecurity

Assistiamo ormai a un continuo aumento di attacchi cyber che diventano sempre più complessi e articolati.

Questi attacchi avvengono sfruttando una combinazione di vulnerabilità umane e tecnologiche che permettono ai cyber-criminali l’ingresso all’interno di una organizzazione.

I cyber-criminali non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese completamente impreparate a affrontare efficacemente la minaccia.

I criminali bloccano l’operatività di queste imprese per poi chiedere un riscatto, rubano i loro asset, i loro dati o spiano le loro strategie di business.

Questo mette a rischio la sopravvivenza stessa dell’impresa. Tuttavia molti di questi attacchi sfruttano vulnerabilità banali presenti nei sistemi informativi dell’impresa o una mancanza di consapevolezza di questa problematica da parte del personale interno.

Ecco perché proponiamo 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni.

I Controlli essenziali di Cybersecurity sono di facile e, quasi sempre, economica implementazione e rappresentano una serie di pratiche di sicurezza che non possono essere ignorate.

L’innalzamento dei livelli di sicurezza delle piccole e micro imprese è un passaggio fondamentale per la messa in sicurezza delle filiere produttive. Un numero sempre maggiore di attacchi a grandi imprese capo-filiera viene infatti realizzato grazie a vulnerabilità presenti nelle imprese parte delle loro filiere.

Questo innalzamento è particolarmente importante in un momento di forte trasformazione digitale del settore industriale (industria 4.0) che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando, di conseguenza, anche la superficie d’attacco.

I Controlli Essenziali di Cybersecurity sono stati derivati, attraverso un processo di progressiva semplificazione, dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa all’interno dell’Italian Cybersecurity Report 2015.

Questa scelta è stata motivata dalla volontà di definire un percorso virtuoso che dovrebbe portare le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS, ritrovandosi così avvantaggiate nel processo di definizione del proprio profilo di rischio.

I Controlli Essenziali di Cybersecurity sono stati selezionati attraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di settore.

Per controllo essenziale intendiamo una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, causa un aumento considerevole del rischio informatico.

Di seguito riportiamo i 15 Controlli Essenziali di Cybersecurity. I controlli non hanno alcun ordine di priorità: tutti sono essenziali;

  1. Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
  2. I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
  3. Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
  4. È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
  5. Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
  6. Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
  7. Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
  8. Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
  9. Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
  10. Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . ). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
  11. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
  12. Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azien- da (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
  13. Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
  14. In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
  15. Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

La cybersecurity è un settore in cui non esistono (né esisteranno in futuro) soluzioni onnicomprensive in grado di azzerare il rischio cyber.

Non esisterà quindi un prodotto hardware o software che garantirà, a una qualunque impresa, la sicurezza di cui necessita. In altri termini, il mercato non risolverà il problema per voi.

La messa in sicurezza della vostra impresa deve divenire un processo interno all’azienda: tale processo dovrà coprire gli aspetti tecnologici, metodologici e economico-giuridici, minimizzando la superficie di attacco aziendale rispetto agli asset interni.

Di conseguenza esso dovrà coinvolgere tutti i livelli del personale, entrando di fatto nel DNA aziendale, in modo che tutti siano preparati ad affrontare la minaccia.

Le soluzioni tecnologiche proposte dal mercato dovranno essere selezionate all’interno di questo processo di sicurezza, per diventarne poi parte integrante, fornendo il supporto necessario per la corretta esecuzione del processo stesso.