Cybersecurity
per le mPMI
Framework Nazionale per la Cybersicurezza e la Data Protection
Pensare alla Cybersecurity delle micro, piccole e medie imprese è un compito molto delicato, perchè presuppone una profonda conoscenza del sistema economico italiano e altresì una competenza e un aggiornamento continuo dei rischi cyber a cui gli imprenditori sono quotidianamente esposti.
Abbiamo quindi deciso di partire dal Framework Nazionale per la Cybersicurezza e la Data Protection e dai controlli essenziali di cybersecurity, per proporre un percorso di adeguamento e accopagnare le micro, piccole e medie imprese italiane verso una postura cyber più robusta e una maggiore consapevolezza, sulle minacce e i rischi a cui tutti quotidianamente siamo sottoposti.
I 15 controlli essenziali sono suddivisi nelle 8 categorie principali:
- Inventario dispositivi e software (4 controlli)
- Governance (1 controllo)
- Protezione da malware (1 controllo)
- Gestione password e account (3 controlli)
- Formazione e consapevolezza (1 controllo)
- Protezione dei dati (2 controlli)
- Protezione delle reti (1 controllo)
- Prevenzione e mitigazione (2 controlli)
Inventario dispositivi e software

#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#2- Inventario dispositivi e software
Controllo 2 - I servizi web (social network, cloud computing, posta elettronica, spazio web, etc...) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. Le truffe portate avanti con la social engineering possono essere molto creative e...
#3- Inventario dispositivi e software
Controllo 3 - Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati....
#4- Inventario dispositivi e software
Controllo 4 - È stato nominato un referente per la cybersecurity, che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. Anche se la nostra impresa non ha l’obbligo di nomina del responsabile...
Governance

#5 Governance
Controllo 5 - Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda. In ambito europeo negli ultimi anni si sono aggiunte diverse norme di riferimento in materia di cybersecurity e data...
Protezione da malware

#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
Gestione password e account
#7 – Gestione password e account
Controllo 7 - Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). L'uso di password deboli La scelta delle...
#8 – Gestione password e account
Controllo 8: Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati. Dotare ogni utente di un accesso...
#9 – Gestione password e account
Controllo 9: Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza, secondo il principio del privilegio minimo. Non tutti i dipendenti di un’azienda hanno le stesse responsabilità e non tutti devono necessariamente avere...
Formazione e consapevolezza

#10 – Formazione e consapevolezza
Controllo 10: Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc...). I vertici...
Protezione dei dati
#11 – Protezione dei dati
Controllo 11: La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite. Nel #controllo1 si è parlato dell’inventario...
#12 – Protezione dei dati
Controllo 12: Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al #controllo3). I backup sono conservati in modo sicuro e verificati periodicamente. I backup sono ciò a cui ci rivolgiamo quando le cose vanno...
Protezione delle reti

#13 – Protezione delle reti
Controllo 13: Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione). Al fine di impedire l’accesso indiscriminato di persone non autorizzate ai sistemi aziendali...
Prevenzione e mitigazione
#14 – Prevenzione e mitigazione
Controllo 14: In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto. Sono sicuro che in caso di malfunzionamenti del sistema, perdita o...
#15 – Prevenzione e mitigazione
Controllo 15: Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. L'ultimo controllo chiude il cerchio richiamando il #controllo1, sulla...