security

Linee guida per la sicurezza informatica delle imprese

Gli ultimi anni sono stati oggetto di un costante aumento delle minacce informatiche, delle attività di spionaggio informatico e degli attacchi mirati a bloccare o a rendere inutilizzabili le infrastrutture ICT di aziende e professionisti.

Le minacce e le tecniche di attacco sono evolute non solo in numero, ma anche in complessità e, se la prima diretta conseguenza è l’incremento degli esploit riusciti, d’altra parte anche l’ecosistema delle contromisure ne è stato fortemente rivoluzionato.

A maggior ragione oggi è obbligatorio per tutti affrontare il problema della sicurezza informatica in modo organico, elaborando strategie a tutto tondo che coinvolgano tutto l’ecosistema ICT aziendale. E’ altrettanto fondamentale adeguare il nostro approccio con il mondo di internet e dei social network, guardando con particolare attenzione ai dati personali che immettiamo in rete e che utilizziamo sui nostri apparati elettronici.

Come riportato anche dal sito del Sistema di Informazione per la Sicurezza della Repubblica, che raccoglie i principali Servizi Segreti e attività d’intelligence nazionali, tra cui CISR, DIS, AISE e AISI, ha pubblicato il rapporto “Le best practice in materia di cyber-security per le PMI”.

Il rapporto emanato dal SISR, oltre a richiamare l’attenzione sulle vigenti norme in materia di sicurezza informatica quali il Testo Unico sulla Privacy (DL 196/2003) e il Decreto del Presidente del Consiglio del 24/1/2013 e sui vigenti standard e best pratice internazionali quali lo standard ISO/IEC 270015 ed il framework COBIT6, ha elaborato una serie di 15 best pratice “da considerarsi assolutamente basilari ed ad altissima priorità per qualsiasi impresa”:

  1. Creare una lista di applicazioni considerate affidabili e indispensabili per la produttività aziendale, impedendo l’installazione di qualsiasi altra applicazione.
  2. Configurare in maniera sicura tutto l’hardware e il software nel parco dei dispositivi aziendali, sia fissi che mobili (server, workstation, router, pc portatili, smartphone aziendali, ecc.).
  3. Svolgere un’efficace ed effettiva politica di correzione delle vulnerabilità̀ di sistemi operativi e applicazioni in tempi ristretti e comunque non superiori alle 48 ore dalla pubblicazione di ciascun aggiornamento di sicurezza (patch).
  4. Disattivare l’account di amministratore locale e limitare al massimo il numero degli utenti con privilegi di “amministratore/root” sia a livello locale sia di dominio, obbligando inoltre questi ultimi a usare account de-privilegiati per le operazioni quotidiane (lettura e-mail, navigazione Internet, ecc.).
  5. Configurare gli account degli utenti con i privilegi minimi richiesti per eseguire le attività loro assegnate, e quindi con possibilità di vedere e utilizzare solo le informazioni e risorse condivise aziendali utili a svolgere il proprio lavoro.
  6. Impostare per tutti gli utenti una politica di autenticazione attraverso password complesse, obbligandone la modifica ogni 3 mesi e impedendo l’uso almeno delle 5 password precedenti.
  7. Predisporre un’efficace difesa del perimetro della rete aziendale attraverso strumenti informatici – software e/o hardware – per l’analisi e protezione in tempo reale del traffico di rete proveniente sia dall’interno che dall’esterno dell’azienda, al fine di ricercare anomalie, attacchi e/o tentativi di accesso non autorizzati (firewall e network-based intrusion detection/prevention system).
  8. Utilizzare su tutto il parco dei dispositivi aziendali, sia fissi, che mobili, sistemi di analisi, identificazione e protezione in tempo reale degli accessi degli utenti, dello stato dei sistemi informatici, dei programmi in esecuzione e del loro utilizzo delle risorse (antivirus, workstation firewall e host-based intrusion detection/prevention system).
  9. Implementare specifici sistemi di protezione e stringenti politiche di sicurezza per l’uso di e-mail e soprattutto file allegati, per ridurre i rischi d’infezione attraverso malware.
  10. Impiegare sistemi automatizzati di analisi e filtro dei contenuti web, al fine di impedire l’accesso a siti Internet inappropriati e/o potenzialmente pericolosi per la sicurezza dei sistemi.
  11. Predisporre un sistema centralizzato di raccolta, archiviazione e analisi in tempo reale dei file di log, sia generati dai sistemi informatici, sia dalle attività di rete (da conservare per almeno 6 mesi, come per legge).
  12. Prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate attraverso specifiche politiche di dataloss prevention.
  13. Adottare una politica di utilizzo e controllo quanto più stringente possibile sull’uso in azienda di supporti di memoria rimovibili (chiavette USB, hard disk esterni, memory card, ecc.).
  14. Attuare un’efficiente politica di backup e disaster recovery per prevenire eventuali perdite di dati e aumentare il livello di resilienza dei sistemi informatici.
  15. Avviare al più presto programmi di formazione del personale sull’uso degli strumenti informatici aziendali, sulla sicurezza informatica e delle informazioni, nonché sulla privacy e la protezione dei dati personali.

L’innovazione tecnologica introduce continuamente nuove minacce e tecniche di attacco e pertanto il processo di protezione ICT deve essere costante: è di fondamentale importanza che la sicurezza informatica non sia vista come un costo ma come un vero e proprio investimento a tutela del business e del proprio, quanto spesso altrui, patrimonio.