Lo scorso 2 marzo, presso l’Aula Magna dell’Università “La Sapienza” di Roma, è stato presentato l’Italian Cybersecurity Report 2016 realizzato dal CIS Sapienza e dal laboratorio nazionale di Cybersecurity CINI, presentazione seguita poi da due tavole rotonde in materia di controlli essenziali di sicurezza.
Attraverso un’analisi che ha preso il via con la pubblicazione, a inizio 2016, del Framework Nazionale per la Cybersecurity, si è constatato che la stragrande maggioranza di imprese italiane medie e piccole non possiede al suo interno personale specializzato formato per contrastare le minacce provenienti dal cyberspazio.
Le imprese costituiscono fra loro una filiera i cybercriminali, incuneandosi attraverso le vulnerabilità delle piccole aziende fornitrici e riescendo ad entrare nei sistemi informatici aziendali per trafugare i dati o renderli indisponibili.
Il noto attacco alla catena di supermercati Target, che ha portato alla sottrazione di dati di 40 milioni di carte di pagamento, è stato messo in atto grazie ad una vulnerabilità di una azienda fornitrice attraverso la quale i cybercriminali sono risaliti fino ai dati delle carte di pagamento della catena di supermercati.
I 15 punti dell’Italia Cybersecurity Report
L’Italian Cybersecurity Report, concepito come una vera e propria “Guida”, si rivolge proprio a questo tipo di Aziende, indicando con un linguaggio essenziale e chiaro, non da “addetti ai lavori”, quali sono i controlli essenziali di cybersecurity da eseguire (ne vengono identificati quindici), per mantenere i sistemi immuni da attacchi:
- Creazione e mantenimento dell’inventario dei sistemi, dispositivi, software, servizi ed applicazioni informatiche in uso all’interno del perimetro aziendale
- Utilizzo dei servizi web (social network, cloud computing, posta elettronica, spazio web…) offerti da terze parti strettamente necessari
- Individuazione delle informazioni, dei dati e dei sistemi critici per l’Azienda affinché siano adeguatamente protetti
- Nomina di un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici
- Identificazione e rispetto delle leggi e/o regolamenti con rilevanza in tema di cyber security che risultino applicabili per l’Azienda
- Dotazione per tutti i dispositivi che lo consentono di software di protezione (antivirus, antimalware…) regolarmente aggiornato
- Utilizzo di password diverse per ogni account, della complessità adeguata e valutazione dell’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori)
- Uso di credenziali personali non condivise per il personale autorizzato all’accesso, remoto o locale, ai servizi informatici; proteggere opportunamente l’accesso disattivando i vecchi account non più utilizzati
- Accesso consentito ad ogni utente alle sole informazioni e ai soli sistemi di cui necessita e/o di sua competenza
- Sensibilizzazione e formazione del personale sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato…). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza
- Configurazione iniziale di tutti i sistemi e dispositivi affidata a personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
- Esecuzione periodica del backup delle informazioni e dei dati critici per l’azienda. I backup sono conservati in modo sicuro e verificati periodicamente
- Protezione delle reti e dei sistemi da accessi non autorizzati attraverso strumenti specifici (firewall, e altri dispositivi e software anti-intrusione)
- In caso di incidente (es. rilevazione di un attacco o un malware) informare immediatamente i responsabili della sicurezza e mettere in sicurezza i sistemi da personale esperto
- Aggiornamento di tutti i software in uso (inclusi i firmware) all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi
La Guida è distribuita sotto licenza Creative Commons.
Alfonso Buccini