LA GUIDA PRATICA

Cyber security nelle micro-imprese: consigli utili per una postura di sicurezza sostenibile

In Italia ci sono oltre 4 milioni di micro-imprese sulla cui affidabilità e competitività possono impattare pesantemente le poche risorse disponibili per la sicurezza, la mancanza di competenze informatiche e il crescente aumento degli attacchi informatici. Ecco come disegnare un modello che, con costi contenuti, consenta di ottenere una postura di sicurezza accettabile e sostenibile

14 Feb 2022
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Tra i piccoli imprenditori che hanno grandissime difficoltà a sostenere la competizione su scala globale e devono fare la “quadra” tra piccoli fatturati e grandi costi è tornato attuale un proverbio dialettale che, nel corso della seconda guerra mondiale, era diffuso tra i contadini delle campagne lombarde per ricordare la necessità di far leva sulle poche risorse a disposizione per fronteggiare le grandi avversità e gli elevati rischi con cui dovevano giornalmente confrontarsi: “Piutost che nagott, l’è mej piutost” (piuttosto che niente, è meglio piuttosto).

Secondo un noto studio della CGIA di Mestre, in Italia ci sono oltre 4 milioni micro imprese (pari al 95 per cento del totale) che hanno meno di 10 addetti e fatturano meno di 2 milioni di euro l’anno. Queste importantissime organizzazioni produttive danno lavoro a quasi 7,6 milioni di cittadini (pari al 44,5 per cento del totale).

Sono la spina dorsale dell’ecosistema industriale italiano e competono in un mercato mondiale molto aggressivo, esposti a rischi elevatissimi, primo fra tutti quello della sicurezza informatica che comporta investimenti molto elevati.

Inoltre, purtroppo, ancora vi è la diffusa convinzione che la cyber security sia un costo certo a fronte di un danno incerto.

Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza

La sicurezza imprescindibile fattore di fiducia

In questo complesso scenario alcuni piccoli imprenditori si limitano a far ricorso ad un buon software antivirus e si consolano ripetendo il citato proverbio “poco è meglio di niente”; il tutto con pesanti ricadute in termini di affidabilità e competitività della loro azienda.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Eppure, oggi è possibile disegnare un modello che, con costi contenuti, consenta di ottenere una postura di sicurezza accettabile e sostenibile che appare quanto mai necessaria per trasformare le micro aziende in entità trustworthy cioè “degne di fiducia” da parte dei clienti, siano essi aziende o persone.

Un’azienda che si presenta sul mercato con una buona ed effettiva politica di sicurezza viene percepita come:

  • attendibile, perché i suoi processi produttivi sono basati sul rispetto dei valori fondamentali di integrità, affidabilità, disponibilità, riservatezza e trasferibilità;
  • affidabile, in quanto degna di quella fiducia (Trust) che, in un sistema guidato dai dati, è il baricentro delle relazioni commerciali.

Il Framework Nazionale per la Cybersecurity e la Data Protection

Una politica di sicurezza accettabile e a costi sostenibili può essere disegnata applicando un metodo e facendo leva:

Il Framework Nazionale per la Cybersecurity e la Data Protection”, Edizione 2019 è un ottimo strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla protezione dei dati personali, con specifico riferimento alla sicurezza degli stessi, a fronte di possibili attacchi informatici, e alla sicurezza cyber, nonché per il loro continuo monitoraggio[1].

L’attualità e la validità del citato Framework è confermata dal D.P.C.M. 14 aprile 2021, n. 81 che, nel regolamentare le notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici all’interno del perimetro di sicurezza nazionale cibernetica, ha introdotto misure di sicurezza, rivolte agli operatori di servizi essenziali, corrispondenti proprio alle misure del Framework Nazionale per la Cybersecurity e la Data Protection.

La sicurezza minima a buon mercato

Tale Framework si rivolge anche alle imprese che non hanno sufficienti risorse per adottare gli standard di sicurezza ivi stabiliti ed offre loro un mezzo per contenere e mitigare il rischio informatico.

Si tratta di 15 “controlli essenziali”, una serie di pratiche di sicurezza che non possono essere ignorate e sono di facile e, quasi sempre, economica implementazione. Certamente contribuiscono in modo concreto a ridurre il numero di vulnerabilità presenti nei sistemi delle piccole imprese e ad aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni.

Quindi, per innalzare i livelli di sicurezza delle micro aziende e ridurre in modo significativo il rischio informatico basterebbe anche solo implementare i detti controlli essenziali di cyber security.

Un modello per la messa in sicurezza di asset, entità, comunicazioni e processi

È però possibile potenziare la capacità difensiva dei 15 controlli essenziali applicandoli in combinazione (combined model) con alcune pratiche diffuse ed alcuni utili consigli.

Il modello proposto prevede l’implementazione di meccanismi di sicurezza in relazione agli asset, alle entità, alle comunicazioni e ai processi e si declina attraverso:

  • l’inventario e la sicurezza degli asset;
  • i principali servizi di sicurezza sulle entità;
  • l’adozione di misure di sicurezza sulle comunicazioni;
  • l’esecuzione di sistematici controlli sui processi.

Inventario e sicurezza degli asset

Le prime misure di sicurezza da adottare riguardano le infrastrutture (i.e. i luoghi di produzione, gli uffici, i magazzini ecc.). Bisogna esaminare attentamente i locali, individuare tutti i punti di accesso e valutare l’opportunità di far ricorso ad adeguati strumenti di difesa passiva (e.g. porte e serramenti blindati).

Se si ritiene necessario far ricorso ad un sistema di videosorveglianza, è bene non ricorrere a videocamere che nell’immediatezza possono apparire convenienti poiché costano solo poche decine di euro ed hanno molte interessanti funzionalità. Bisogna però considerare che la maggior parte di questi prodotti non utilizzano il modello di comunicazione IoT “device to device” ma il “device to cloud”, in base al quale le videocamere sono collegate a un servizio cloud “sconosciuto”. Questi dispositivi, quindi, non contribuiscono a mettere in sicurezza il contesto infrastrutturale.

Dopo aver adottato le misure di sicurezza fisica è bene istituire e mantenere aggiornato un inventario dei sistemi, dei dispositivi, dei software, dei servizi e delle applicazioni informatiche in uso all’interno del perimetro aziendale (questo è il controllo n.1 dei 15 controlli essenziali del Framework).

Successivamente, in applicazione dei controlli n.3 e n. 4, si deve procedere a:

  • individuare le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti;
  • nominare, tra la decina di dipendenti, un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

Infine nel quadro generale della sicurezza degli asset, al fine di proteggere i dati, bisogna implementare i controlli n.11 e 12, stabilendo che:

  • la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi;
  • le credenziali di accesso di default siano sempre sostituite. Quindi si auspica che nessuno mai si avvalga delle note e pericolose credenziali “admin” – “admin”;
  • siano eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda. Gli stessi backup siano conservati in modo sicuro e verificati periodicamente.

I principali servizi di sicurezza sulle entità

Le entità di una piccola organizzazione devono essere poste nelle condizioni di svolgere ciascuno le proprie funzioni, usufruendo delle risorse in modo sicuro. Per soddisfare questa necessità è opportuno prioritariamente far ricorso ai protocolli AAA usati per gestire gli accessi a una rete informatica o a un server[2]. L’Internet Engineering Task Force, nei primi anni 2000 ha studiato e coniato l’acronimo AAA che sta ad indicare le tre fasi di autenticazione, autorizzazione e accounting.

Autenticazione (Authentication)

La fase di autenticazione consiste nel verificare l’identità dell’entità che richiede di accedere al sistema. Generalmente l’identificazione avviene attraverso la combinazione del nome utente con “almeno” uno dei sottonotati “fattori”:

  • qualcosa che l’utente “conosce” (e.g. password o passphrase);
  • qualcosa che l’utente “ha” (e.g. certificati digitali, token o smart card);
  • qualcosa che l’utente “è”, come nel caso del riconoscimento biometrico (facciale o di impronta digitale).

Il controllo n.7 dei 15 controlli essenziali raccomanda l’utilizzo, per ogni account, di password diverse aventi complessità adeguata nonché di sistemi di autenticazione più sicuri utilizzando almeno 2 dei citati fattori di autenticazione (c.d. autenticazione a 2 fattori).

Autorizzazione (Authorization)

In seguito all’autenticazione dell’utente, l’autorizzazione indica a quali risorse l’utente stesso può accedere e quali operazioni può svolgere.

Questa fase prevede l’implementazione dei controlli n. 8 e 9 dei 15 controlli essenziali che suggeriscono di fare in modo che:

  • il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri; l’accesso deve opportunamente protetto; i vecchi account non più utilizzati devono essere disattivati;
  • ogni utente possa accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

Accounting (auditing – tracciabilità)

Per completare il quadro di sicurezza sulle entità è necessario far ricorso ad un sistema di controllo che tenga traccia di chi ha effettuato l’accesso, del momento in cui è avvenuto l’accesso e cosa è stato fatto nel periodo di connessione. La tracciabilità deve riguardare tutti coloro che, in ambito aziendale, utilizzano gli strumenti informatici.

Le entità restano il “punto critico” di qualsiasi sistema di sicurezza che pertanto deve sempre essere supportato da una solida formazione del personale che deve farlo funzionare. Il concetto è ben evidenziato nel noto aforisma: “Security is only as strong as the weakest link”, i.e. la “robustezza” di un qualsiasi sistema di sicurezza è calibrata sul punto più debole del sistema stesso, che spesso è costituito proprio dalla componente umana.

A tale scopo il controllo n. 10 segnala la necessità che il personale sia adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato). I vertici aziendali devono aver cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

L’adozione di misure di sicurezza sulle comunicazioni

Lo schema generale delle comunicazioni, valido anche per le micro imprese, prevede:

  • un mittente (c.d. sender);
  • un destinatario (c.d. receiver);
  • un intercettatore (c.d. eavesdropper).

Sender e receiver devono scambiarsi informazioni in presenza di un avversario che può portare 2 tipi di attacco:

  • attacco passivo: l’avversario si limita a controllare il flusso di dati in transito. Questo tipo di attacco si può prevenire ma non si può rilevare;
  • attacco attivo: l’avversario non si limita a controllare ma prova a modificare il flusso di dati in transito. Questo attacco si può rilevare con meccanismi di controllo dell’integrità dei dati, ma non si può prevenire.

In tale quadro è possibile acquistare soluzioni informatiche che proteggano dagli attacchi passivi ed attivi alle reti di comunicazione, da integrare con i controlli n. 2, 6 e 13 che segnalano la necessità di:

  • registrarsi solo ai servizi web (social network, cloud computing, posta elettronica, spazio web ecc.) offerti da terze parti, strettamente necessari;
  • dotare tutti i dispositivi che lo consentono di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato;
  • proteggere le reti e i sistemi da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).

L’esecuzione di sistematici controlli sui processi

In questa ultima fase la sicurezza si unisce alla integrità delle risorse. Il piccolo imprenditore è chiamato a fare un’analisi dei processi aziendali e cercare di identificare tempestivamente i rischi e le vulnerabilità e trovare adeguate soluzioni per fronteggiare in modo efficace possibili attacchi.

In questa fase assumono rilevanza i controlli n.5, 14 e 15 che prescrivono di:

  • identificare e rispettare le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda;
  • informare i responsabili della sicurezza in caso di incidente (e.g. venga rilevato un attacco o un malware) e mettere in sicurezza i sistemi a cura di personale esperto;
  • aggiornare tutti i software in uso (inclusi i firmware) all’ultima versione consigliata dal produttore;
  • dismettere i dispositivi o i software obsoleti e non più aggiornabili.

Il white paper della sicurezza aziendale

Dopo aver implementato il “combined model” qui proposto, al fine di capitalizzare l’attività, è opportuno raccogliere ed organizzare tutte le misure tecniche ed organizzative, all’interno di un documento che abbia la configurazione di un “white paper” così da assolvere alla doppia funzione di:

  • “strumento di accountability”, per essere in grado di dimostrare di aver disegnato ed implementato una politica di sicurezza strutturata;
  • strumento di marketing” indirizzato ai clienti per avvalorare l’attendibilità e l’affidabilità dell’azienda.

 

NOTE

  1. Vds. premessa del D.P.C.M. 14 aprile 2021 n.81.

  2. Il primo protocollo AAA è RADIUS (Remote Authentication Dial-In User Service) sviluppato da Livingston Enterprises nel 1991. Da RADIUS è poi derivato un nuovo protocollo AAA più esteso denominato DIAMETER.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Articolo 1 di 3