Italian Cybersecurity report 2016

Lo scorso 2 marzo, presso l’Aula Magna dell’Università “La Sapienza” di Roma, è stato presentato l’Italian Cybersecurity Report 2016 realizzato dal CIS Sapienza e dal laboratorio nazionale di Cybersecurity CINI, presentazione seguita poi da due tavole rotonde in materia di controlli essenziali di sicurezza.

Attraverso un’analisi che ha preso il via con la pubblicazione, a inizio 2016, del Framework Nazionale per la Cybersecurity, si è constatato che la stragrande maggioranza di imprese italiane medie e piccole non possiede al suo interno personale specializzato formato per contrastare le minacce provenienti dal cyberspazio.

Le imprese costituiscono fra loro una filiera i cybercriminali, incuneandosi attraverso le vulnerabilità delle piccole aziende fornitrici e riescendo ad entrare nei sistemi informatici aziendali per trafugare i dati o renderli indisponibili.

Il noto attacco alla catena di supermercati Target, che ha portato alla sottrazione di dati di 40 milioni di carte di pagamento, è stato messo in atto grazie ad una vulnerabilità di una azienda fornitrice attraverso la quale i cybercriminali sono risaliti fino ai dati delle carte di pagamento della catena di supermercati.

I 15 punti dell’Italia Cybersecurity Report

L’Italian Cybersecurity Report, concepito come una vera e propria “Guida”, si rivolge proprio a questo tipo di Aziende, indicando con un linguaggio essenziale e chiaro, non da “addetti ai lavori”, quali sono i controlli essenziali di cybersecurity da eseguire (ne vengono identificati quindici), per mantenere i sistemi immuni da attacchi:

  • Creazione e mantenimento dell’inventario dei sistemi, dispositivi, software, servizi ed applicazioni informatiche in uso all’interno del perimetro aziendale
  • Utilizzo dei servizi web (social network, cloud computing, posta elettronica, spazio web…) offerti da terze parti strettamente necessari
  • Individuazione delle informazioni, dei dati e dei sistemi critici per l’Azienda affinché siano adeguatamente protetti
  • Nomina di un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici
  • Identificazione e rispetto delle leggi e/o regolamenti con rilevanza in tema di cyber security che risultino applicabili per l’Azienda
  • Dotazione per tutti i dispositivi che lo consentono di software di protezione (antivirus, antimalware…) regolarmente aggiornato
  • Utilizzo di password diverse per ogni account, della complessità adeguata e valutazione dell’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori)
  • Uso di credenziali personali non condivise per il personale autorizzato all’accesso, remoto o locale, ai servizi informatici; proteggere opportunamente l’accesso disattivando i vecchi account non più utilizzati
  • Accesso consentito ad ogni utente alle sole informazioni e ai soli sistemi di cui necessita e/o di sua competenza
  • Sensibilizzazione e formazione del personale sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato…). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza
  • Configurazione iniziale di tutti i sistemi e dispositivi affidata a personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
  • Esecuzione periodica del backup delle informazioni e dei dati critici per l’azienda. I backup sono conservati in modo sicuro e verificati periodicamente
  • Protezione delle reti e dei sistemi da accessi non autorizzati attraverso strumenti specifici (firewall, e altri dispositivi e software anti-intrusione)
  • In caso di incidente (es. rilevazione di un attacco o un malware) informare immediatamente i responsabili della sicurezza e mettere in sicurezza i sistemi da personale esperto
  • Aggiornamento di tutti i software in uso (inclusi i firmware) all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi

La Guida è distribuita sotto licenza Creative Commons.

Alfonso Buccini

Permalink link a questo articolo: https://www.csigbologna.it/referenze/informatica-forense/italian-cybersecurity-report-2016/