LA GUIDA PRATICA

Sicurezza informatica e protezione dati nelle PMI: indicazioni operative

Per le PMI è importante definire un piano di sicurezza informatica e protezione dati per la difesa dai rischi provenienti dall’esterno. Ecco le indicazioni operative fornite dai 15 controlli essenziali del Framework Nazionale per la Cybersecurity e la Data Protection

21 Apr 2020
S
Alberto Stefani

Data Protection Officer, Consulente Cybersecurity


È importante che le imprese e soprattutto le PMI vengano indirizzate sul percorso da seguire per poter costruire una sensibilità aziendale proiettata verso la sicurezza informatica e la protezione dati.

La sensibilità aziendale in merito alle difese da attuare nei confronti degli attacchi informatici, infatti, molto spesso aumenta a seguito di violazioni dei propri sistemi di difesa. In molti casi, però, per le piccole e medie imprese del tessuto nazionale non è facile comprendere appieno l’importanza di un concreto piano di difesa nei confronti dei rischi provenienti dall’ambiente esterno.

Naturalmente il panorama che va dall’analisi delle minacce alla predisposizione delle opportune contromisure ed ai controlli da effettuare è molto ampio e deve avere, al fine di poter essere efficacemente attuato, delle competenze specifiche sull’argomento altrimenti il risultato può rischiare di essere sostanzialmente nullo.

Fortunatamente esistono istituzioni che indirizzano le imprese sul percorso da seguire per poter costruire questa sensibilità aziendale.

Sicurezza informatica e protezione dati nelle PMI: controlli essenziali

Tra tutti gli strumenti messi a disposizione vogliamo porre la nostra attenzione sul Framework Nazionale per la Cyber Security e la Data Protection emesso dal CIS (Cyber Intelligence and Information Security) dell’Università Sapienza in collaborazione con il CINI Cybersecurity National Lab (Consorzio Interuniversitario Nazionale per l’Informatica), il quale ha elaborato uno strumento di indirizzo nella gestione coerente e sicura dei dati all’interno delle aziende.

Tra le indicazioni fondamentali presenti all’interno del documento esistono i cosiddetti controlli essenziali. Cerchiamo di analizzarli nello specifico evidenziando le caratteristiche salienti, le motivazioni e le relazioni con le norme attualmente in vigore nel panorama nazionale e internazionale.

I 15 controlli sono suddivisi in otto tematiche principali verso cui ogni azienda deve porre l’attenzione massima per cercare di aumentare le proprie difese.

Prima tematica: inventario dispositivi e software

  • Esiste ed è aggiornato un inventario preciso e aggiornato dei dispositivi, dei sistemi, delle applicazioni informatiche in uso all’interno del perimetro aziendale.

Raramente è possibile comprendere l’importanza e i benefici che l’inventario degli asset può apportare ad una qualsiasi azienda. Se correttamente implementato e gestito, l’inventario degli asset è in grado di rispondere adeguatamente a domande fondamentali ricorrenti come ad esempio: quali asset sono presenti in azienda? Dove sono dislocati? Chi sono gli utilizzatori e in che modo sono utilizzati? Quanto sono costati, quanto valgono ora e quanto mi costerebbe riacquistarli? Quando sono da sostituire o eventualmente da aggiornare per esempio con un sistema operativo più recente? Quali sono i possibili impatti sui servizi IT e di business di un parco macchine obsoleto?

Avere un documento che racchiude tutte queste informazioni è un requisito indispensabile che ogni azienda dovrebbe possedere: può facilmente essere implementato come un vero e proprio registro (utilizzando per esempio un foglio Excel) o una mappa dell’intero patrimonio informatico aziendale che consenta l’identificazione di tutti gli archivi e le componenti dell’infrastruttura.

All’interno dell’elenco possono trovare posto hardware, software, dettagli sul sistema operativo, configurazioni e stato delle periferiche e sullo stato di protezione di ogni componente, i dati elaborati e tutte le informazioni che, a parere dell’azienda, possono risultare importanti.

Tale pratica è molto utile e alla luce del GDPR, può essere uno strumento indispensabile per la ricerca e la codifica dei trattamenti di dati da inserire in un uno dei documenti cardine di qualsiasi sistema di gestione privacy: il registro dei trattamenti (v. art.30 e sgg. GDPR).

Tutto questo può essere anche inteso come lavoro propedeutico ad una attenta e precisa valutazione dei rischi.

  • I servizi web come ad esempio social network, servizi cloud, posta elettronica, spazio web offerti da terze parti sono quelli strettamente necessari.

Ogni necessità aziendale di utilizzare le tecnologie messe a disposizione dal mondo cibernetico può rivelarsi un’ipotetica minaccia se non opportunamente utilizzata.

La raccomandazione quindi è quella di utilizzare solo ed esclusivamente le piattaforme e servizi web che sono necessari alla gestione aziendale e monitorare costantemente il loro utilizzo poiché questi canali si possono rivelare come un veicolo di minacce per l’organizzazione che li utilizza.

Pensiamo, ad esempio, alle minacce provenienti dai messaggi di posta elettronica e al rischio che la nostra posta elettronica sia violata da attacchi informatici con il conseguente sviluppo di compromissione di mail, attacchi di phishing, fraud invoice e altri.

  • Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano opportunamente protetti.

Sappiamo molto bene che i dati non sono tutti uguali. Esistono dati che per imposizione di legge devono essere protetti adeguatamente (v. dati personali nel GDPR) e altri che sono importantissimi per l’azienda e su di loro si basa il futuro della stessa (ricerche, progetti e brevetti).

Convenendo che tutti i dati sono importanti mi permetto di affermare che alcuni lo sono di più. Si introduce quindi la necessità di proteggerli nel modo adeguato attraverso le tecnologie messe a disposizione come i backup, il cloud, i firewall.

Anche qui la dottrina ci viene in aiuto potendo analizzare ogni trattamento di dati in base ai parametri RID riuscendo ad assegnare per ogni tipo di dato un valore appropriato di riservatezza, integrità e disponibilità. Ma questo necessiterebbe di una trattazione apposita.

  • È stato nominato un referente che sia nominato responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.

Il GDPR ci ha fatto conoscere la figura del DPO o, all’italiana, responsabile della protezione dei dati (RPD) poiché si è compreso ed imposto che in alcune organizzazioni di dimensioni considerevoli la protezione dei dati abbia la necessità di conoscenze specifiche e multisettoriali che vanno dalla legislazione all’informatica passando per l’ingegneria gestionale e l’analisi dei rischi.

WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

Se all’interno di un’azienda non è prevista la presenza del DPO, tutto il lavoro passa nelle mani del titolare del trattamento che avrà obbligo di organizzare, gestire, monitorare e soprattutto conoscere le dinamiche imposte da una corretta gestione dei dati presenti in azienda sicuramente in accordo e condivisione con un’altra figura fondamentale dell’organigramma aziendale in ambito della gestione dei dati ovvero l’amministratore di sistema.

Seconda tematica: Governance

  • Sono identificate e rispettate le leggi e i regolamenti in materia di cybersecurity che risultano applicabili.

Conoscere e seguire tutte le indicazioni provenienti dalle leggi e dai regolamenti non è sicuramente un’operazione facile per coloro che non sono pienamente inseriti nel settore della sicurezza informatica.

Volendo, possiamo però indicare quelle che sono le leggi e i regolamenti a cui il Framework Nazionale fa riferimento e a cui potrebbe essere necessario appellarsi per esplicitare opportune linee guida nell’applicazione dei controlli.

Di seguito riportiamo:

  1. Regolamento UE 679/2016 comunemente chiamato GDPR e ss.mm.ii.
  2. ISO/IEC 27001:2013 ossia lo standard internazionale sulla sicurezza delle informazioni.
  3. ENISA, l’Agenzia europea per la sicurezza delle reti e dell’informazione che emette costantemente documenti molto interessanti sulla sicurezza informatica e sull’analisi dei rischi.
  4. CIS CSC Critical Security Controls for Effective Cyber Defense un documento emesso inizialmente dal SANS Institute e poi passato dal 2015 al Center for Internet Security (CIS) organizzazione no profit avente sede a New York.
  5. COBIT che è un framework per la gestione della Information and Communication Technology (ICT) creato nel 1992 dall’associazione americana degli auditor dei sistemi informativi.
  6. NIST (in origine National Bureau of Standards (NBS)) è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del Dipartimento del Commercio e il suo compito è la promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio.

Terza tematica: Protezione da malware

  • Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc.) regolarmente aggiornato.

Le infezioni da malware possono verificarsi in diversi modi e per la maggior parte avvengono quando si è connessi a Internet. La rete purtroppo è diventata un ricettacolo di minacce. Queste possono provenire da siti Web compromessi o creati appositamente per gli attacchi oppure tramite download non autorizzati da browser Web oppure client di e-mail compromessi, malvertising, clic su annunci che installano malware sui nostri dispositivi.

Molte volte, poi la concausa di danni alla nostra rete viene effettuata da noi stessi che come si dice in molti casi siamo l’anello debole di una complessa catena tecnologica che nulla può nei confronti delle scelte frettolose e sbagliate della mano umana.

Ecco quindi che l’unica alternativa di tutela può rivelarsi essere un sistema di protezione che monitora costantemente il nostro pc il quale, per essere efficace, deve essere costantemente aggiornato e adeguato alle proprie necessità.

Quarta tematica: Gestione password e account

  • Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

Su questo argomento esiste una casistica sconfinata di comportamenti inappropriati che molte persone attuano senza preoccuparsi minimamente dei risvolti negativi che questo può arrecare. Password scritte su fogli lasciati sotto la testiera, password inserite e mai cambiate a distanza di mesi se non anni, log di accesso sempre attivi e quindi assolutamente non protetti e tanto altro ancora.

In questa sede vorrei solo far comprendere un argomento molto fastidioso per gli utenti ossia la complessità delle password da utilizzare sui propri dispositivi.

Un malintenzionato che volesse entrare in un nostro device utilizzando un attacco di forza bruta (per chi non lo sapesse un attacco di forza bruta viene attuato con la formazione di nuove parole, cercando di individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili).

Con un software in grado di fare questa procedura si può individuare una password di otto caratteri composta di soli numeri in nemmeno un secondo mentre occorrono ben 57 giorni utilizzando all’interno della password caratteri maiuscolo e minuscolo, numeri e caratteri speciali. Quindi tanto per fare un esempio $8cAsA8$ può dare parecchio filo da torcere ad un hacker rispetto a 12345678.

  • Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

Tra le impostazioni fondamentali che si possono implementare all’interno di un sistema informatico, gestite solitamente dagli amministratori di sistema ci sono le regole di accesso al server centrale.

Tale accesso deve avvenire attraverso il riconoscimento dell’utente che accede al sistema. Tale riconoscimento avviene attraverso i file di log che sono una registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico (server, storage, client, applicazioni o qualsiasi altro dispositivo informatizzato o programma).

Le procedure di logging sono quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano per eventuali riutilizzi successivi: queste registrazioni sono chiamate, per l’appunto, file di log.

Se l’utente ha la necessità di collegarsi fuori dall’azienda perché utilizza ad esempio un sistema di smart work è necessario, per la tutela da intromissioni, che utilizzi un collegamento VPN (Virtual Private Network) che è un collegamento criptato e quindi non visibile e comprensibile dall’esterno e che garantisce una trasmissione sicura di dati.

Ultima indicazione presente nel controllo e che è stata esplicitata in un recente provvedimento del Garante per la Protezione dei Dati n.216 del 4 dicembre 2019 è riferita alla cancellazione degli account di posta elettronica a seguito alla cessazione del rapporto di lavoro.

  • Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

Facciamo una piccola premessa cercando di chiarire un concetto. Molto spesso avremo sentito parlare soprattutto nelle aziende dove lavoriamo che “i PC sono tutti a dominio”. Cosa significa questo? In termini molto semplici, un dominio è una rete di computer, ove si configura un rapporto tra il server o i server aziendali e i vari PC (client) su cui ognuno di noi lavora.

In questo contesto, un client deve sottostare a procedure di autenticazione specifiche, definite da servizi che risiedono su un server. Queste procedure, solitamente sottendono ad una gerarchia di profili e di accessi alle risorse ossia alle informazioni memorizzate sul server. La ripartizione del server deve sottostare ad una regola molto semplice: chi vede cosa.

Quinta tematica: Formazione e consapevolezza

  • Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

Questo concetto molto importante è diventato un aspetto fondamentale del panorama attuale in cui, come abbiamo precedentemente affermato, non esiste difesa tecnologica che tenga se l’anello fondamentale della catena della sicurezza, ossia l’essere umano rimane comunque debole.

Con l’entrata in vigore del GDPR si è cercato attraverso l’articolo 29 che afferma: “[…] chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento” di diffondere la cultura che la formazione è la prima difesa da qualsiasi tipo di attacco e per questo deve trovare uno spazio importante in qualsiasi progetto di difesa.

Sesta tematica: Protezione dei dati

  • La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

Organizzare la propria struttura aziendale basandosi su princìpi cardine come la privacy by design è fondamentale per proteggere la nostra azienda.

Se spostiamo l’attenzione della privacy dal punto di vista organizzativo tecnologico possiamo parlare allora di cybersecurity by design ossia pianificare la gestione delle difese informatiche fin dalla progettazione andando a difendere in modo opportuno tutti gli asset degni di essere protetti.

Tale operazione può essere facilitata avendo applicato precedentemente le indicazioni presenti nel punto 1. del Framework ossia un corretto e accurato inventario degli asset.

Entra in gioco in questa fase un consulente esperto di sicurezza informatica che, in accordo con il titolare del trattamento e con il tecnico che ricopre il ruolo di amministratore di sistema, possa accompagnare l’azienda in una gestione corretta e coerente basata sulle effettive necessità.

  • Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

Pianificare prima per trovarsi meglio dopo non dovrebbe essere più una novità. Purtroppo i dati attuali confermano che molto spesso le aziende si trovano in difficoltà perché non hanno predisposto per tempo un adeguato piano di backup.

Al fine di scongiurare una involontaria perdita dei dati magari a seguito di un cryptolocker che rende i dati illeggibili è fondamentale predisporre un’adeguata copia dei dati dell’azienda in uno o più ambienti sicuri siano essi altri server, NAS, dischi esterni o sistemi in cloud.

La metodologia in questo caso non è rilevante ma è la finalità ad essere indispensabile per poter ridurre al minimo le conseguenze di un data breach (v.art.33 GDPR) e abbassando sensibilmente la complessità delle procedure di disaster recovery ove con questo termine si intende l’insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare i sistemi, i dati e gli apparati necessari alla tenuta dell’infrastruttura informatica aziendale.

Settima tematica: Protezione delle reti

  • Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. firewall e altri dispositivi software anti-intrusione).

Ogni sistema di difesa aziendale può comportare dei vantaggi in termini di resilienza dei dati ovvero la capacità degli stessi di essere disponibili nonostante una compromissione delle reti e dei sistemi.

Il panorama però è in fase di mutazione. La scelta forzata di incentivare i sistemi di smart work anche a causa degli ultimi fatti di cronaca in merito alla diffusione del virus Covid-19, hanno obbligato alcuni milioni di persone a lavorare a distanza utilizzando collegamenti sicuri ai server aziendali con sistemi VPN.

Questa tipologia di collegamenti permette di lavorare in completa sicurezza essendo i segnali emessi dai dispositivi totalmente criptati.

Ottava tematica: Prevenzione e mitigazione

  • In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

Sono sicuro che in caso di malfunzionamenti del sistema, perdita o inaccessibilità dei dati il primo ad essere informato sarà l’amministratore di sistema. Troppo spesso però il tecnico, per quanto esperto e preparato si troverà impotente nei confronti dell’ultimo malware o cryptolocker.

Ecco quindi che tutto può risultare più semplice se il budget da investire in cybersecurity è stato speso prima che il danno avesse luogo e non dopo per ripristinare i sistemi. Questo fa parte di un progetto di business continuity coerente con la realtà aziendale.

Ancora troppe aziende sono vittime di incidenti che possono compromettere i rapporti con aziende clienti a vantaggio di aziende concorrenti con maggior sensibilità nei confronti della sicurezza informatica.

Oggi ancora troppi data breach non vengono nemmeno denunciati all’Autorità Garante della Protezione dei dati e si stima che esista un enorme sommerso di casi di data breach mai conosciuti.

Questo oltre a contravvenire alle disposizioni presenti negli articoli 33 e sgg. del GDPR va a discapito di tutti poiché impedisce di conoscere appieno le tendenze degli attacchi informatici al fine di indirizzare una politica comune di difesa da parte delle autorità competenti.

  • Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Concludiamo questa nostra trattazione da dove siamo partiti affermando che il controllo numero 15 è di gran lunga facilitato in un’azienda se a monte esiste un accurato e dettagliato controllo e mappatura di tutto gli asset presenti in azienda.

La programmazione di aggiornamento o sostituzione dovrebbe avvenire in modo preordinato e non, come avviene molto spesso, in urgenza. Avere dei sistemi operativi obsoleti (come ad esempio Windows 7) per cui la casa produttrice non rilascia più gli aggiornamenti dovuti può risultare molto rischioso per i sistemi aziendali poiché può rivelarsi sostanzialmente la breccia virtuale da cui possono passare serie minacce alla rete aziendale.

Conclusioni

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

Possiamo concludere affermando che l’obiettivo fondamentale di tutti i documenti emessi dalle istituzioni come il Framework Nazionale che abbiamo commentato, la relazione e i provvedimenti del Garante, il Quadro strategico Nazionale sono creati non per allarmare bensì per sensibilizzare cittadini, aziende, organizzazioni sui rischi che gli strumenti digitali possono arrecare per il bene di ognuno e la tranquillità di tutti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3