Italian Cyber Security Report la sicurezza dei nostri dati

Cyber Security National Lab
Il seguente Documeno é Estratto dal Cyber Security Report a cura di Roberto Baldoni e Luca Montanari per conto Sapienza Università di Roma tramite CINi – Cyber Security National Lab
La presente guida è strutturata in 4 aree di indirizzo, a loro volta organizzate in undici sotto aree, come di seguito riportato:
1. Identificazione degli asset e governo della sicurezza
1.1 Identificazione degli asset (IA)
2.2 Assegnazione Responsabilità (AR)
3.3 Conformità a Leggi e Regolamenti (CLR)
2.Identificazione delle minacce<
2.1 Protezione da Malware (PM)
3. Protezione dei sistemi e delle infrastrutture
3.1 Protezione perimetrale (PP)
3.2 Controllo Accessi (CA)
3.3 Configurazione Sicura Sistemi (CCS)
3.4 Aggiornamento Sistemi (AS)
3.5 Formazione di Base del Personale (FBP)
3.6 Backup e Restore (BR)
4. Gestione degli incidenti di sicurezza
4.1 Risposta agli Incidenti di Sicurezza (RI)

Per ciascuna sotto area sono indicati i controlli di carattere procedurale, organizzativo e tecnico da attuare.

Identificazione degli asset (IA)

Descrizione: L’applicazione di contromisure di sicurezza finalizzate a ridurre il rischio cyber deve avvenire su tutti sistemie i computer aziendali e in particolare su quelli valutati come critici per il business stesso. È indispensabile pertanto disporre di un inventario di tutti gli asset rappresentati dalle informazioni, applicazioni, sistemi e apparati informatici presenti all’interno dell’azienda. Registrare attributi importanti, come ad esempio la posizione fisica,il proprietario, la funzione di riferimento, le dipendenze, ecc. risulta funzionale alle attività di governo e gestionedella cyber security. Ad esempio, un inventario delle risorse è in grado di abilitare l’identificazione dei sistemi che necessitano dell’applicazione di uno specifico aggiornamento software.

Subcategory: ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione ID.AM-2: Sono censiti le piattaforme e le applicazioni software in uso nell’organizzazione

Controlli applicabili:

IA.1 Deve essere predisposto un inventario delle informazioni, applicazioni, sistemi e apparati presenti in azienda, sia a livello IT, sia riferito ai sistemi di controllo industriale (Industrial Control Systems), qualora presenti

IA.2 L’inventario deve rispondere ai seguenti criteri: (a) Sono riportate per gli asset censiti come minimo le tipologie di informazioni trattate, la posizione, la direzione/funzione di riferimento, il responsabile, i referenti coinvolti a diverso titolo nelle attività di gestione e manutenzione, dipendenze e ulteriori dettagli utili per l’attuazione dei controlli menzionati nelle successive sotto aree (e.g. tipologia hardware, versioni software, informazioni trattate, contratti di servizio ecc.) (b) Sono identificati i sistemi con maggiore rilevanza in termini di conseguimento degli obiettivi di business aziendale e quelli coinvolti a diverso titolo nel rispetto di vincoli normativi cogenti (c) Sono registrati tutti i cambiamenti di stato legati agli asset, come acquisizione, installazione, operatività e ritiro.

IA.3 L’inventario deve essere costantemente aggiornato, in particolare ogni qualvolta si dovesse verificare un cambiamento e deve essere mantenuto uno storico dei cambiamenti avvenuti

 Assegnazione Responsabilità (AR) Descrizione: L’assegnazione dei ruoli e delle responsabilità è un elemento indispensabile per assicurare un corretto governo dei rischi e permettere un’efficace operatività, intesa come attuazione dei controlli di prevenzione e/o contrasto delle minacce di cyber security a cui le aziende sono esposte. E’ fondamentale che tutto il personale sia consapevole dei ruoli e delle responsabilità di sicurezza, correlate allo svolgimento della attività lavorative. Ai vertici aziendali, nelle figure dell’amministratore delegato, del consiglio di amministrazione, della dirigenza e più in generale alla “proprietà”, è assegnato il ruolo chiave di definizione delle priorità e di assegnazione delle risorse associate alle iniziative di cyber security. Questi difatti sono i responsabili ultimi per i rischi cyber all’interno dell’azienda.

Subcategory:

ID.AM-6: Sono definiti e resi noti ruoli e responsabilità inerenti la cyber security per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner) PR.AT-4: I dirigenti e i vertici aziendali comprendono ruoli e responsabilità

Controlli applicabili:

AR.1 I vertici aziendali (i.e., amministratore delegato, consiglio di amministrazione e dirigenti) devono essere consapevoli e comprendere le responsabilità associate a rischi di cyber security. Questo deve essere evidente almeno in sede di consiglio di amministrazione (ove presente/applicabile)

AR.2 Devono essere stabiliti e formalizzati i ruoli e le responsabilità legati alla cyber security, come ad esempio quelli previsti per la protezione dei sistemi e delle infrastrutture o quelli legati all’uso corretto degli strumenti informatici, per tutto il personale e le terzi parti interessate (es. i fornitori, i clienti, i partner)

AR.3 All’interno dell’organizzazione deve essere identificata una figura che rappresenti il punto di riferimento per la cyber security (i.e. responsabile per la cyber security), con il compito di coordinare le diverse iniziative di cyber security e contattare le autorità e il CERT Nazionale in caso di eventi di ampia portata

AR.4 Tutte le assegnazioni di responsabilità devono essere opportunamente formalizzate

 

Conformità a leggi e regolamenti (CLR)

Descrizione: La crescita esponenziale delle tecnologie dell’informazione e del processo di digitalizzazione in atto ha comportato e comporterà anche in futuro, la necessità per le aziende di adeguarsi costantemente a leggi e regolamenti specifici, volti a tutelare utenti e organizzazioni nello spazio cyber. L’organizzazione ha l’obbligo di conoscere e ottemperare alle leggi e ai regolamenti applicabili al proprio contesto, soprattutto in relazione ai mercati in cui essa opera e alla tipologia di servizi informatici fruiti e/o erogati.

Subcategory:

ID.GV-3: I requisiti legali in materia di cyber security, con l’inclusione degli obblighi riguardanti la privacy e le libertà civili, sono compresi e gestiti

Controlli applicabili:

CLR.1 Individuare le leggi e i regolamenti che hanno un impatto diretto o indiretto sulla cyber security (es. Computer Crime, Data Breach Notification, proprietà intellettuale), aggiornando periodicamente il censimento

CLR.2 Identificare, attraverso un’attività di monitoraggio periodico, ogni potenziale non conformità rispetto a quanto richiesto da leggi e regolamenti e preparare un piano specifico di adeguamento in cui indirizzare tali non conformità, condividendo gli impatti e le implicazioni specifiche con i vertici aziendali

CLR.3 Applicare le misure definite nel piano di adeguamento, approvato dai vertici aziendali

CLR.4 Verificare nel tempo l’effettiva applicazione delle misure necessarie a garantire la conformità con leggi e regolamenti, condividendo con i referenti aziendali preposti, i gap e/o le criticità che possono comportare non conformità e ripercussioni legali di carattere civile e/o penale

Identificazione delle minacce

Protezione da Virus (PV) Descrizione: I sistemi informativi sono comunemente esposti a software malevoli, denominati malware, soprattutto se connessi a internet. La compromissione attraverso malware può avvenire mediante diverse modalità, quali l’apertura di una e-mail infetta, la navigazione su siti compromessi, l’apertura di file su dispositivi locali o contenuti su memorie di massa esterne (come Storage USB). Soluzioni di protezione specifiche devono essere adottate per monitorare, individuare e rimuovere il software malevolo.

Subcategory:

DE.CM-4 Il codice malevolo viene rilevato

Controlli applicabili:

PV.1 Soluzioni di protezione da malware (es. software antivirus e/o soluzioni per protezione endpoint) devono essere adottate su tutti i sistemi aziendali come computer, server e dispositivi mobili aziendali, inclusi quelli afferenti ai sistemi di controllo industriale (es. sistemi SCADA)

PV.2 La protezione malware deve essere efficace nel contrasto a tutte le forme di malware: Virus, Worm, Trojan, Spyware, Rootkit, Botnet, Keystroke Loggers, Adware.

PV.3 La protezione da malware deve essere mantenuta costantemente aggiornata nel tempo, ricorrendo il più possibile a meccanismi automatici di aggiornamento che prevedano controlli come minimo giornalieri; PV.4 La soluzione di protezione da malware deve essere sempre attiva e non disattivabile dagli utenti. Deve essere inoltre configurata per: (a) Rimuovere o isolare (porre in quarantena) i file infetti da malware (b) Eseguire scansioni a intervalli regolari di tutti i file (c) Fornire notifiche nel caso di identificazione di sospetto malware

PV.5 La soluzione deve assicurare la protezione nei seguenti casi: (a) Accesso a file e dati memorizzati localmente, su dispositivi esterni o su server centralizzati (es. file server) (b) Accesso a e-mail e relativi allegati (c) Accesso a pagine web durante navigazione internet, prevenendo la connessione a siti malevoli (d) Accesso Instant Messanger e qualsiasi altra forma di comunicazione che consenta lo scambio di file o di informazioni

Protezione dei sistemi e delle infrastrutture

Protezione perimetrale (PP) Descrizione: Le reti di computer di un organizzazione, collegate a Internet o interconnesse con altre reti, devono essere protette da attaccanti volti ad avere accesso ai sistemi, computer e alle informazioni ivi contenute. Un dispositivo di sicurezza di rete come il firewall, posizionato sul perimetro della rete, è in grado di proteggere la stessa contro le minacce cyber basilari – attacchi che richiedono capacità e tecniche limitate, e che conseguentemente risultano largamente diffusi – limitando il traffico di rete in entrata e in uscita alle sole connessioni autorizzate. Tali restrizioni si ottengono applicando delle impostazioni di configurazione note come regole (o policy) del firewall. Questa soluzione deve essere opportunamente installata, configurata e gestita nel tempo, al fine di non vanificare il conseguimento delle specifiche finalità.

Subcategory:

PR.PT-4: Le reti di comunicazione e controllo sono protette

Controlli applicabili:

PP.1 Uno o più firewall (o dispositivi di protezione equivalenti) devono essere installati sul perimetro di rete più esterno dell’organizzazione (ed esempio tra la rete Internet e la rete interna)

PP.2 Ogni regola che consenta il passaggio di traffico attraverso il firewall, legato a comunicazioni informatiche, deve essere soggetta ad approvazione da parte di un referente aziendale

PP.3 Servizi non approvati o servizi tipicamente vulnerabili devono essere disattivati o bloccati, attraverso specifiche regole del firewall

PP.4 Le regole firewall che non sono più necessarie (ad esempio perché il servizio non è più necessario) devono essere rimosse o disabilitate in modo tempestivo

PP.5 Le password associate alle credenziali di amministrazione dei firewall devono essere modificate, in alternativa a quelle fornite di base dal produttore e attribuite ad account uninominali

PP.6 L’interfaccia amministrativa utilizzata per gestire il sistema deve essere protetta da accesi non autorizzati, attraverso tecniche di Strong Authentication (es. basata su due fattori indipendenti di autenticazione) o password forti se acceduta solamente dalla rete interna. Le utenze devono essere bloccate dopo un numero massimo di tentativi di accesso non andati a buon fine

6.4 Guida all’implementazione delle Subcategory a priorità alta 63

 

Controllo Accessi (CA) Descrizione: Modalità di controllo accessi devono essere stabilite per limitare l’accesso alle informazioni, applicazioni, sistemi, reti e in generale dispositivi informatici aziendali da parte di tutti le tipologie di utenti. L’obiettivo è garantire che solo gli utenti effettivamente autorizzati possano accedere a tali sistemi o dati, assicurando il livello di privilegio minimo necessario a esercitare le proprie funzioni.

Subcategory:

PR.AC-1: Le identità digitali e le credenziali di accesso per gli utenti e per i dispositivi autorizzati sono amministrate

PR.AC-3: L’accesso remoto alle risorse è amministrato

PR.AC-4: Gli accessi alle risorse sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni

PR.AT-2: Gli utenti privilegiati (es. Amministratori di Sistema) comprendono ruoli e responsabilità PR.MA-2: La manutenzione remota delle risorse e dei sistemi è approvata, documentata e svolta in modo da evitare accessi non autorizzati

Controlli applicabili:

CA.1 Le misure di controllo degli accessi devono interessare: (a) Tutte le tipologie di individui (dipendenti, fornitori, partner, ecc.) (b) Tutti i tipi di informazione, servizi o sistemi con cui gli individui devono interagire

CA.2 Tutto il personale (interno ed esterno) deve essere univocamente identificato e autenticato per accedere a servizi, sistemi e informazioni aziendali attraverso l’impiego di identificativi nominali (account)

CA.3 Nel caso di impiego di strumenti di autenticazione come username e password, questi devono rispondere ai seguenti criteri: (a) Impiego di password robuste (almeno 8 caratteri alfanumerici e utilizzo di caratteri speciali, es. $, #, !,?,”), possibilmente attuato attraverso meccanismi di impostazione e controllo automatici (b) Aggiornamento periodico delle password con cadenza non superiore ai 60 giorni

CA.4 L’assegnazione delle credenziali di accesso e dei relativi privilegi devono essere soggetti a un processo di approvazione e deve avvenire nel rispetto dei seguenti principi: (a) Minimo privilegio, ovvero con assegnazione dei privilegi minimi necessari a esercitare le proprie mansioni (i.e., Least Privilege) (b) Accesso alle sole informazioni strettamente necessarie allo svolgimento delle proprie mansioni (i.e., Need-to-Know) (c) Segregazione dei ruoli, al fine di separare attività incompatibili tra soggetti diversi

CA.5 Le credenziali impiegate per attività specifiche, come quelle di amministrazione dei sistemi e delle applicazioni informatiche, devono essere gestite nel rispetto dei seguenti criteri: (a) Limitate a un numero ristretto di individui, preventivamente autorizzati e gestite in conformità con la normativa vigente (b) Differenziate da quelli impiegate per altri scopi

CA.6 Gli account e i privilegi di accesso devono essere disabilitati quando non più necessari (es. cambiamento di struttura, abbandono dell’organizzazione) o dopo un periodo di inattività 64 Capitolo 6. Una contestualizzazione del Framework per PMI

 

Configurazione sicura dei sistemi (CSS) Descrizione: I computer e i dispositivi di rete non possono essere considerati sicuri quando configurati con le impostazioni standard fornite in origine dai produttori. Spesso infatti le credenziali amministrative, o in generale le configurazioni impostate dal produttore, sono pubbliche o insicure e potrebbero essere usate per ottenere l’accesso non autorizzato ai sistemi di un’azienda e alle informazioni in questi contenute. Applicando alcuni semplici accorgimenti di sicurezza durante la configurazione di nuovi computer o sistemi informatici è possibile ridurre considerevolmente i rischi e le probabilità che un attacco informatico vada a buon fine.

Subcategory:

PR.IP-1: Sono definite e gestite delle pratiche di riferimento (c.d. baseline) per la configurazione dei sistemi IT e di controllo industriale

Controlli applicabili:

CSS.1 Disabilitare le utenze non strettamente necessarie, soprattutto quelle caratterizzate da privilegi elevati (es. utenze amministrative e di sistema e di sistema)

CSS.2 Cambiare immediatamente le utenze non nominali e qualsiasi password standard pre-impostata dai produttori, adottando utenze uninominali e password robuste

CSS.3 Rimuovere o disabilitare il software e i servizi non necessari (incluse applicazioni e strumenti di amministrazione)

CSS.4 Disabilitare le funzioni di “auto avvio” al fine di prevenire ad esempio la possibilità che un software venga automaticamente eseguito quando un dispositivo esterno (es. Storage USB) è connesso a un computer

CSS.5 Adottare un personal firewall (o equivalente) su PC, laptop e altri dispositivi informatici di produttività personale o aziendale, bloccando le connessioni di rete non autorizzate CSS.6 Utilizzare protocolli di rete cifrati per la gestione remota dei server e dei dispositivi di rete (es. SSH, SSL)

CSS.7 Impostare le utenze tecniche (application to application o machine to machine) in maniera tale che non ne sia possibile l’utilizzo interattivo da parte di utenti

CSS.8 Attivare le funzionalità logging sui sistemi. In caso di trattamento di dati personali, occorre conformarsi a quanto previsto dalla normativa in materia.

CSS.9 Configurare i sistemi in maniera tale che l’utente finale non possa modificare in autonomia le configurazioni impostate

Aggiornamento dei sistemi (AS) Descrizione: I software presenti su tutti i computer e più in generale sui sistemi informatici possono contenere difetti ed errori, genericamente conosciuti come “vulnerabilità”. Queste rappresentano degli elementi di debolezza intrinseci, sfruttabili da individui o gruppi di attaccanti, come anche da malware o altri programmi malevoli. Le vulnerabilità, dal momento della loro scoperta, fino al momento in cui sono eventualmente sfruttate, devono essere individuate e gestite attraverso opportune contromisure, come ad esempio l’installazione degli aggiornamenti rilasciati dai produttori software, proprio per risolvere una o più vulnerabilità. I produttori di software sono difatti responsabili per la fornitura di correzioni per le vulnerabilità identificate, nel più breve tempo possibile, in forma di aggiornamenti software, conosciuti anche come “Patch di sicurezza” e rilasciati ai clienti nell’ambito dei contratti di licenza. Per ridurre i rischi di compromissione di informazioni e sistemi informatici attraverso lo sfruttamento delle vulnerabilità del software, le aziende e organizzazioni devono gestire efficacemente tali processi di aggiornamento del software.

Subcategory:

RS.MI-3: Le nuove vulnerabilità sono mitigate o documentate come rischio accettato

Controlli applicabili:

AS.1 I software installati sui sistemi aziendali come computer, server, apparati di rete,dispositivi mobili, ecc. devono disporre della licenza del fornitore in modo da garantire la disponibilità di aggiornamenti di sicurezza o di aggiornamenti che comunque possano avere un impatto su di essa

AS.2 Le aziende devono individuare e ottenere Patch (inclusi aggiornamenti critici, service pack), quando resi disponibili per porre rimedio alle vulnerabilità scoperte, interagendo con i produttori di software o completando il recupero delle stesse dai siti web ufficiali o autorizzati da questi ultimi

AS.3 Gli aggiornamenti devono essere installati in modo tempestivo e,ove possibile, previa valutazione degli impatti, attraverso meccanismi che prevedano l’aggiornamento automatico degli stessi

AS.4 Il software non più supportato (i.e., Out-of-Date) deve essere rimosso dai sistemi aziendali o sostituito con versioni più recenti (e per le quali il produttore rilascia gli aggiornamenti)

Formazione di base del personale (FBP) Descrizione: Gli utenti delle aziende che interagiscono con i sistemi informatici rappresentano la principale fonte di rischio cyber. I comportamenti non consoni o errati possono vanificare le più sofisticate misure di sicurezza adottate da un’azienda. Per migliorare la consapevolezza degli utenti nell’utilizzo consono degli strumenti informatici e delle informazioni, l’organizzazione deve prevedere specifici programmi di sensibilizzazione e formazione, volti a migliore la percezione dei rischi cyber e a promuovere l’utilizzo di comportamenti appropriati. Specifici programmi di sensibilizzazione e formazione devono essere rivolti a tutto il personale interno o esterno che accede, direttamente o indirettamente, ai sistemi informatici e alle informazioni dell’organizzazione. Tali programmi devono essere orientati a creare una cultura della sicurezza cyber, tale da prevenire comportamenti non consoni e ridurre di conseguenza l’esposizione ai rischi.

Subcategory:

PR.AT-1: Tutti gli utenti sono informati e addestrati

Controlli applicabili:

FPB.1 Pieno coinvolgimento e approvazione dei piani di formazione e sensibilizzazione del personale da parte dei vertici aziendali che ne comunicano l’importanza e ne monitorano il completamento

FPB.2 Svolgimento di sessioni con cadenza almeno annuale mediante formazione in aula e/o ricorrendo all’utilizzo di piattaforme di e-learning

FPB.3 Richiami alla cyber security integrati nelle attività quotidiane, mediante il ricorso a diverse tecniche e modalità di comunicazione (es. poster esplicativi negli uffici, e-mail di sensibilizzazione sui rischi e i comportamenti corretti, distribuzione di opuscoli specifici, sezioni dedicate su siti e portali interni).

FPB.4 I temi trattati devono includere come minimo:(a) Principi di sicurezza (b) Utilizzo appropriato degli strumenti aziendali (PC, dispositivi mobili, ecc.) e rischi correlati al loro utilizzo improprio o non corretto (c) Comportamenti da tenere in caso di eventi sospetti (es. ricezione di mail sospette, comportamenti non usuali degli strumenti aziendali) o nel caso di incidenti di sicurezza (es. compromissioni di sistemi o supporti esterni) (d) Ruoli e responsabilità specifiche in tema di cyber security (e) Leggi o regolamenti applicabili e conseguenze in caso di violazione

FPB.5 Formazione dedicata e specialistica per gli utenti dotati di privilegi di accesso elevati (es. amministratori di sistemi informatici), volti ad accrescere e mantenere nel tempo aggiornate le competenze specifiche sui rischi cyber e sulle relative tecniche di protezion

Backup & Restore (BR) Descrizione: La disponibilità delle informazioni e dei sistemi è essenziale per garantire l’operatività stessa di un’azienda nel mercato. Il controllo primario da attuare è rappresentato dal salvataggio delle informazioni di business e delle configurazioni dei sistemi, su supporti dedicati, da impiegare in caso di disastri, guasti o errori umani, favorendo il ripristino della normale operatività.

Subcategory:

PR.IP-4: I backup delle informazioni sono eseguiti, amministrati e verificati periodicamente

Controlli applicabili:

BR.1 Devono essere adottati adeguati meccanismi e strumenti finalizzati al salvataggio e ripristino di informazioni e dati

BR.2 Deve essere definita la tipologia (parziale o totale) e la frequenza di completamento dei salvataggi. Questa deve essere stabilita in base alle esigenze di business dell’organizzazione, i requisiti di sicurezza delle informazioni, gli obblighi di legge e la criticità delle informazioni, trattate rispetto al mantenimento delle attività operative

BR.3 Deve essere verificato periodicamente (es. attraverso attività di test) il buon esito delle attività di salvataggio e di ripristino di informazioni e dati

BR.4 I backup devono essere conservati in una sede remota, a una distanza sufficiente dalla sede principale, o avvalendosi di servizi cloud aventi analoga finalità, per evitare compromissioni in caso di eventi di disastro. Questi devono essere protetti con analoghe misure di carattere fisico e logico, rispetto a quelle adottate nelle sedi principali.

Risposta agli incidenti di sicurezza (RI) Descrizione: Nei casi in cui le misure di sicurezza non siano in grado o risultino limitatamente efficaci nella prevenzione di eventi avversi di sicurezza (es. compromissione di un sistema, accesso non autorizzato alle informazioni), l’organizzazione deve avere la capacità di rispondere rapidamente ed efficacemente a un potenziale incidente di sicurezza, riducendo gli impatti e limitando la possibilità di occorrenze future.

Subcategory:

RS.MI-1: In caso di incidente vengono messe in atto procedure atte a contenerne l’impatto RS.MI-2: In caso di incidente vengono messe in atto procedure atte a mitigarne gli effetti

Controlli applicabili:

RI.1 Descrivere e rendere note a tutto il personale interessato le prassi da adottare in caso di sospetta violazione o incidente di sicurezza (i.e., processo di gestione degli incidenti)

RI.2 Il processo di gestione degli incidenti deve definire come minimo: (a) Criteri generali da adottare per riconoscere un incidente (b) Tipologie di incidenti con relativa scala della severità, necessarie a effettuare una prima classificazione

(c) Elenco dei referenti interni (es. responsabile Sistemi Informativi, responsabile Comunicazione, Responsabile legale, Direzione Aziendale) ed esterni (es. organi di Polizia Giudiziaria, fornitori esterni) da contattare in caso di incidente

(d) Criteri di notifica degli incidenti ai diversi referenti e criteri di risposta, relativi ruoli e responsabilità, finalizzati a contenere gli impatti e/o mitigarne gli effetti in funzione di ciascuna tipologia e severità

(e) Criteri, ruoli e responsabilità, procedure per il ripristino della situazione precedente al verificarsi dell’incidente

Segui Nuvola Toscana!