Sono 15 i controlli minimi di sicurezza individuati dal report del Research center of cyber intelligence and information security dell’Università Sapienza di Roma e dal Laboratorio nazionale Cini (Consorzio interuniversitario nazionale per l’informatica) di Cyber Security e curato da Roberto Baldoni, direttore del Cis Sapienza, Luca Montanari e Leonardo Querzoni del Cis Sapienza.

L’idea dei 15 controlli essenziali di sicurezza, selezionati attraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di settore, nasce dalla considerazione che è difficile per le Pmi italiane adeguarsi alle norme del Framework nazionale per la cyber security, spesso per la mancanza di personale e di competenze specifiche, proprio mentre crescono in maniera esponenziale i rischi a cui queste società si espongono se rimangono indifese.

Vediamo uno per uno questi 15 controlli essenziali proposti dal report:

 

  • 1: serve verificare che in azienda esiste e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
  • 2: necessità di assicurarsi che i servizi web (social network, cloud computing, posta elettronica, spazio web, ecc) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
  • 3: serve individuare informazioni, dati e sistemi critici per l’azienda affinché siano adeguatamente protetti.
  • 4: nominare un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
  • 5: occorre l’identificazione e il rispetto delle leggi e/o dei regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
  • 6: la verifica che tutti i dispositivi che lo consentono siano dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornati.
  • 7: le password: devono essere diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio, come l’autenticazione a due fattori).
  • 8: serve accertare che il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri, che l’accesso sia opportunamente protetto e che i vecchi account non più utilizzati siano disattivati.
  • 9: ogni utente potrà accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
  • 10: il personale dovrà essere adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali, con i vertici aziendali che dovranno predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
  • 11: prevede di verificare che la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi, e che le credenziali di accesso di default siano sempre sostituite.
  • 12: sarà necessario che siano eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda, e che i backup sono conservati in modo sicuro e verificati periodicamente.
  • 13: verificare che le reti e i sistemi siano protetti da accessi non autorizzati.
  • 14: servono strumenti specifici che in caso di incidente vengano informati i responsabili della sicurezza e i sistemi siano messi in sicurezza da personale esperto.
  • 15: tutti i software in uso (inclusi i firmware) devono essere aggiornati all’ultima versione consigliata dal produttore.

Fonte: Corriere Comunicazioni