Framework nazionale per la Cyber security

Ad inizio 2016 è stato redatto il “Cybersecurity Report 2016” 28_{, risultato della} collaborazione tra il CIS-Sapienza ed il Laboratorio Nazionale di Cybersecurity, con lo scopo di offrire alle organizzazioni, in particolare alle piccole e medie imprese, un approccio omogeneo per affrontare la cybersecurity, al fine di ridurre il rischio legato alla minaccia cyber. Questo documento propone 15 Controlli Essenziali di Cybersecurity che devono essere visti come delle misure minime di sicurezza di facile, e piuttosto economica, implementazione, tali da poter essere adottati da queste imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza sul tema del proprio personale; i controlli sono il risultato di un processo di semplificazione del Framework Nazionale di Cybersecurity (FNCS) pubblicato nel “Cyber security report 2015”, che non riesce da solo ad arrivare in modo capillare a tutte le imprese appartenenti alla realtà italiana.

Analizzando il panorama economico italiano, ci rendiamo conto di come questo sia costituito per la maggior parte da piccole e medie imprese; queste, per motivi strutturali e di fatturato, non hanno a disposizione il personale specifico che sarebbe invece necessario per definire e perseguire le politiche di sicurezza, e continuano quindi ad adottare comportamenti che inconsapevolmente mettono a rischio l’intera filiera produttiva. Infatti sono sempre di più gli attacchi che, passando attraverso delle debolezze di sistema di questa miriade di aziende più piccole, vanno a colpire le grandi imprese capo filiera.

Il documento nasce proprio dalla necessità d’ innalzare il livello di sicurezza delle piccole e medie imprese, passaggio dunque fondamentale per la messa in sicurezza delle intere filiere produttive.

28 _{www.cybersecurityframework.it/}

~ 60 ~

L’elenco proposto29 _{non deve essere considerato come “statico”, ma deve anzi} cambiare nel tempo (ad esempio con l’introduzione di nuovi controlli, o con l’eliminazione di altri) al variare delle tecnologie e dei profili di attacco. Come già detto non sono dei controlli obbligatori, ma sono delle pratiche relative alla

cybersecurity che se applicate, ed in modo corretto, contribuiscono a ridurre, pur non

eliminandolo del tutto, il rischio informatico.

1) Inventario dispositivi e software

✓ Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi,

software, servizi ed applicazioni informatiche in uso all’interno del perimetro aziendale;

✓ I servizi web (social network, cloud computing, posta elettronica, spazio

web, ecc.) offerti da terze parti a cui si è registrati sono quelli strettamente necessari;

✓ Sono individuate le informazioni, i dati e i sistemi critici per l’azienda

affinché siano adeguatamente protetti;

✓ È stato nominato un referente che sia responsabile per il coordinamento

delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

Il fatto che un attaccante possa sfruttare qualsiasi dispositivo connesso ad internet, sia esso personale od aziendale, hardware o software, rende necessario crearne un inventario (da tenere aggiornato) in modo da semplificare l’individuazione di eventuali dispositivi non autorizzati e conseguentemente negarne l’accesso. Oltre a questo è consigliata anche una classificazione di quelli che sono i dati e le informazioni più rilevanti e critiche del proprio business, per far sì che queste siano maggiormente protette. Infine, deve essere individuato all’interno dell’azienda un soggetto che si occupi di garantire la corretta attuazione delle procedure di protezione dell’azienda dai rischi cyber.

~ 61 ~

2) Governance

1) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

Ogni impresa deve accertarsi d’ identificare e rispettare tutte le leggi ed i regolamenti a cui, a seconda del settore di appartenenza e a seconda dei dati trattati, deve obbligatoriamente adempiere.

3) Protezione da Malware

2) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc.) regolarmente aggiornato.

Come già spiegato, i malware sono software che una volta che sono “entrati” ed eseguiti su un sistema informatico, sono in grado di apportare modifiche o danni al sistema in vario modo. E’ necessario allora fornire ogni dispositivo di software anti- malware da tenere costantemente aggiornati per poter far fronte al continuo emergere di nuove tipologie di minacce.

4) Gestione password ed account

3) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

4) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

5) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

E’ doveroso creare delle password di una complessità adeguata: lunghe, contenenti caratteri alfanumerici e speciali e non riconducibili ad informazioni dell’utente;

~ 62 ~

sarebbe ottimale, inoltre, utilizzare password diverse per i vari dispositivi a cui si ha l’accesso. Per quanto riguarda la gestione delle diverse utenze, ognuna di esse deve poter accedere esclusivamente a quanto strettamente necessario per lo svolgimento del proprio lavoro. In più deve essere fatto in modo che tra il personale non vengano condivisi gli accessi.

5) Formazione e consapevolezza

6) Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato .. ). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

La presenza di numerose misure tecniche di protezione sempre più avanzate può perdere la sua efficacia se non viene accompagnata da un’adeguata formazione delle persone che di tali misure fanno uso. Tutti gli operatori che hanno accesso ai dati o alle risorse dell’azienda tramite i vari dispositivi devono essere sensibilizzati e resi consapevoli dei rischi; è necessario cioè creare una “cultura della sicurezza” in tutto il personale, con maggior attenzione nei confronti di chi ricopre ruoli critici a riguardo. Per far ciò deve essere prevista una formazione del personale relativa alla cybersicurezza, sia prima che questo possa accedere a risorse critiche, e quindi per lo sviluppo di comportamenti da adottare a fini di prevenzione, sia periodicamente per aggiornamenti sull’evoluzione delle minacce.

6) Protezione dei dati

7) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

~ 63 ~

8) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

Essendo un’attività molto complessa e che va a incidere molto sulla sicurezza, la configurazione iniziale di dispositivi e sistemi deve essere demandata a personale, interno od esterno, con competenze specifiche. In seguito, sarà poi necessario e consigliato all’azienda sostituire tutte le configurazioni di fabbrica in merito a password, account, utenze etc, con altre nominali e personalizzate. Riguardo i Backup invece, è necessario prevederne salvataggi con cadenza periodica ed in sistemi diversi, in modo da permettere un efficace e rapido rispristino dei dati in caso di incidente.

7) Protezione delle reti

9) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti- intrusione).

Molto spesso internet permette l’accesso ai sistemi aziendali anche a persone non autorizzate; per evitare questo è indispensabile introdurre degli strumenti che permettano il controllo di quanto accade all’interno delle reti. Ne sono esempi i c.d.

Firewall, ovvero strumenti che si interpongono tra la rete aziendale ed internet

permettendo il transito solo di utenti e flussi di dati autorizzati, oppure i sistemi di

Intrusion Detection, sviluppati per controllare in modo continuo il traffico e le attività

in essere nella rete aziendale e quindi per identificare eventuali intrusioni non autorizzate.

8) Prevenzione e mitigazione

10) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

~ 64 ~

11) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Su ogni dispositivo aziendale è presente un Software, sotto forma di applicazioni o sistemi operativi, che deve essere necessariamente aggiornato nel tempo. L’aggiornamento permette di andare a sanare delle vulnerabilità note del software stesso che potrebbero essere sfruttate dai criminali cyber per compromettere il funzionamento dei sistemi ed accedere quindi ai dati aziendali.

Dal suddetto elenco di possibili controlli emerge chiaramente come la messa in sicurezza dell’azienda sia un processo interno ad essa; il mercato propone sì dei prodotti hardware e software per la riduzione del rischio, ma questi, adeguatamente implementati e costantemente aggiornati, devono inserirsi all’interno di un più ampio processo aziendale, diventandone parte integrante per supportare dal punto di vista tecnologico la messa in sicurezza dell’intera organizzazione.