Best practice

Dai Servizi Segreti le indicazioni per la sicurezza ICT delle PMI

Il report “Le best practice in materia di cyber-security per le PMI” sul sito del Sistema di Informazione per la Sicurezza della Repubblica detta 15 regole «assolutamente basilari e ad altissima priorità» per proteggere sistemi informativi e informazioni di qualsiasi piccola e media impresa. «Dev’essere un processo in continua evoluzione, da considerare non come un costo ma come un vero investimento»

Pubblicato il 02 Lug 2014

sicurezza-security-cybersecurity-140702104807

Le piccole e medie imprese sono il principale asse portante e il motore economico dell’Europa – e in particolare dell’Italia, il cui settore PMI è il più grande dell’Unione Europea per numero di imprese – e operano spesso a stretto contatto con operatori pubblici e privati classificabili come infrastrutture critiche nazionali. Per cui la continua crescita delle attività di spionaggio elettronico su queste realtà, volte a sottrarre know-how e informazioni riservate, è un pericolo per la stessa competitività e sicurezza economica del Paese.

Con questa premessa, il sito del Sistema di Informazione per la Sicurezza della Repubblica – che raccoglie i principali Servizi Segreti e attività d’intelligence nazionali, tra cui Comitato interministeriale per la sicurezza della Repubblica (CISR), Dipartimento delle informazioni per la sicurezza (DIS), Agenzia informazioni e sicurezza esterna (AISE), Agenzia informazioni e sicurezza interna (AISI) – ha pubblicato il rapporto “Le best practice in materia di cyber-security per le PMI”, una panoramica sulle misure di sicurezza IT e le informazioni utili ad arginare le minacce di attacco ai sistemi informativi.

Il rapporto è a firma di Stefano Mele, avvocato specializzato in Diritto delle tecnologie, Privacy e Sicurezza delle informazioni, Coordinatore dell’Osservatorio InfoWarfare e Tecnologie emergenti dell’Istituto Italiano di Studi Strategici Niccolò Machiavelli, e consulente per organizzazioni nazionali ed estere in materia di cyber-intelligence. Mele cita prima di tutto le norme italiane che raccomandano l’adozione di best practice e misure per tutelare la sicurezza dei sistemi informativi di organizzazioni pubbliche e private, tra cui il Testo Unico sulla Privacy (DL 196/2003) e il Decreto del Presidente del Consiglio del 24/1/2013.

Inoltre ricorda anche diversi documenti con standard e best practice validate e riconosciute a livello internazionale dalla comunità di esperti del settore, per una corretta gestione della sicurezza informatica e delle informazioni. Tra questi lo standard ISO/IEC 270015, il framework COBIT6, il NIST SP 800-53, e diversi rapporti governativi soprattutto di Paesi anglosassoni. La messa in sicurezza dei sistemi informatici e delle informazioni in essi contenute, sottolinea Mele, è un processo che raramente si può sintetizzare in pochi principi, specie se riferito a un mondo variegato come le PMI italiane. Ciononostante alcune regole primarie si possono definire in modo generale, «e le seguenti 15 best practice devono essere considerate come assolutamente basilari e ad altissima priorità per qualsiasi piccola e media impresa».

1. Creare una lista di applicazioni considerate affidabili e indispensabili per la produttività aziendale, impedendo l’installazione di qualsiasi altra applicazione.

2. Configurare in maniera sicura tutto l’hardware e il software nel parco dei dispositivi aziendali, sia fissi che mobili (server, workstation, router, pc portatili, smartphone aziendali, ecc.).

3. Svolgere un’efficace ed effettiva politica di correzione delle vulnerabilità di sistemi operativi e applicazioni in tempi ristretti e comunque non superiori alle 48 ore dalla pubblicazione di ciascun aggiornamento di sicurezza (patch).

4. Disattivare l’account di amministratore locale e limitare al massimo il numero degli utenti con privilegi di “amministratore/root” sia a livello locale sia di dominio, obbligando inoltre questi ultimi a usare account de-privilegiati per le operazioni quotidiane (lettura e-mail, navigazione Internet, ecc.).

5. Configurare gli account degli utenti con i privilegi minimi richiesti per eseguire le attività loro assegnate, e quindi con possibilità di vedere e utilizzare solo le informazioni e risorse condivise aziendali utili a svolgere il proprio lavoro.

6. Impostare per tutti gli utenti una politica di autenticazione attraverso password complesse, obbligandone la modifica ogni 3 mesi e impedendo l’uso almeno delle 5 password precedenti.

7. Predisporre un’efficace difesa del perimetro della rete aziendale attraverso strumenti informatici – software e/o hardware – per l’analisi e protezione in tempo reale del traffico di rete proveniente sia dall’interno che dall’esterno dell’azienda, al fine di ricercare anomalie, attacchi e/o tentativi di accesso non autorizzati (firewall e network-based intrusion detection/prevention system).

8. Utilizzare su tutto il parco dei dispositivi aziendali – sia fissi, che mobili – sistemi di analisi, identificazione e protezione in tempo reale degli accessi degli utenti, dello stato dei sistemi informatici, dei programmi in esecuzione e del loro utilizzo delle risorse (antivirus, workstation firewall e host-based intrusion detection/prevention system).

9. Implementare specifici sistemi di protezione e stringenti politiche di sicurezza per l’uso di e-mail e soprattutto file allegati, per ridurre i rischi d’infezione attraverso malware.

10. Impiegare sistemi automatizzati di analisi e filtro dei contenuti web, al fine di impedire l’accesso a siti Internet inappropriati e/o potenzialmente pericolosi per la sicurezza dei sistemi.

11. Predisporre un sistema centralizzato di raccolta, archiviazione e analisi in tempo reale dei file di log, sia generati dai sistemi informatici, sia dalle attività di rete (da conservare per almeno 6 mesi, come per legge).

12. Prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate attraverso specifiche politiche di data loss prevention.

13. Adottare una politica di utilizzo e controllo quanto più stringente possibile sull’uso in azienda di supporti di memoria rimovibili (chiavette USB, hard disk esterni, memory card, ecc.).

14. Attuare un’efficiente politica di backup e disaster recovery per prevenire eventuali perdite di dati e aumentare il livello di resilienza dei sistemi informatici.

15. Avviare al più presto programmi di formazione del personale sull’uso degli strumenti informatici aziendali, sulla sicurezza informatica e delle informazioni, nonché sulla privacy e la protezione dei dati personali.

La protezione dello spazio cibernetico, conclude il report, è un processo più che un fine, e l’innovazione tecnologica introduce continuamente nuove vulnerabilità. «È quindi di fondamentale importanza che la sicurezza dei sistemi informatici delle PMI non sia intesa come un mero costo, bensì come un vero e proprio investimento. Un processo in continua evoluzione e aggiornamento volto anzitutto a tutelare il business di quelle aziende che – nei fatti – costituiscono la vera ossatura e il motore dell’industria e dell’economia italiana».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2