LA GUIDA PRATICA

Sistemi di controllo di rete, per misurare la cyber security aziendale: ecco le best practice

Gestire e identificare i flussi di dati e comunicazioni inerenti l’organizzazione, applicando i controlli di sicurezza elencati dal Cybersecurity Framework del NIST e dal Framework Nazionale per la Cybersecurity e la Data Protection, è necessario per misurare la cyber security aziendale. Ecco come procedere

19 Apr 2022
L
Gianluca Lombardi

Ingegnere, Maestro della Privacy, DPO, Auditor Privacy, Socio Clusit

Il Cybersecurity Framework del NIST, in particolare nella sua declinazione nostrana, ovvero il Framework Nazionale per la Cybersecurity e la Data Protection, offrono tutti i controlli necessari per misurare la cyber security aziendale.

Abbiamo già affrontato le prime due sottocategorie di controlli per la gestione degli asset e per completare correttamente il censimento di piattaforme e applicazioni aziendali. Adesso affrontiamo la terza sottocategoria: “ID.AM-3: I flussi di dati e comunicazioni inerenti l’organizzazione sono identificati”.

Controlli di rete: gestire flussi di dati e comunicazioni Internet

Ogni organizzazione deve implementare una serie di sistemi per controllare la propria rete informatica in modo efficacie. In particolare è opportuno predisporre delle misure di sicurezza per:

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
  1. salvaguardare riservatezza ed integrità dei dati in transito sulle reti pubbliche e sulle reti wireless;
  2. raccogliere i log e monitorarli per verificare se vi siano azioni non autorizzate o attacchi in corso;
  3. gestire sistemi di autenticazione dei device alla rete (es. Mac Address o sistemi anche più moderni);
  4. limitare i sistemi connessi alla rete esterna (es. creazione di DMZ);
  5. evitare di collegare alla rete sistemi che non lo necessitino;
  6. connessione alla rete crittografata;
  7. gestione di VPN per accessi dall’esterno (possibilmente VPN personali assegnate nominalmente e con doppia autenticazione).

Politiche e procedure per il trasferimento delle informazioni

È necessario che l’organizzazione predisponga delle specifiche politiche e procedure per il trasferimento delle informazioni che contengano, tra le altre cose:

  1. definizione di quali dati possono essere trasferiti digitalmente e con quali mezzi in funzione della classificazione dei dati stessi;
  2. misure di sicurezza per trasferire dati in modo sicuro mantenendo integrità e riservatezza dei dati trasferiti adottando tecniche di cifratura del contenuto e/o del canale di trasmissione ed evitando la trasmissione in chiaro di dati particolari ex art. 9 del GDPR (buste paga, documenti medici ecc.);
  3. misure di sicurezza volte a scansionare i dati inviati/ricevuti per verificare che non siano accompagnati da malware (opportuna una scansione anti malware in entrata con sistemi di “sandbox” che possano aprire eventuali allegati o link in ambiente sicuro, onde verificare la loro pericolosità, prima di trasmetterli all’utente);
  4. regole per l’uso accettabile di sistemi di trasmissione (es. evitando uso di sistemi quali WeTransfer, WhatsApp, Skype ecc., favorendo uso di aree aziendali di scambio file in cloud protette);
  5. regole di comportamento nell’utilizzo degli strumenti di comunicazione aziendale ammessi;
  6. regole per la gestione e conservazione dei messaggi inviati/ricevuti;
  7. regole per evitare il reinoltro di messaggi a mail esterne all’organizzazione e/o mail personali (magari con sistemi automatizzati impostabili direttamente dall’utente);
  8. formazione del personale;
  9. regole per evitare di trasmettere in chiaro e con lo stesso mezzo le credenziali di autenticazione;

L’organizzazione deve, inoltre, definire con i propri partner degli accordi per il trasferimento delle informazioni che devono comprendere, tra le altre cose:

  1. definizione dei canali di comunicazione sicuri approvati dalle parti;
  2. procedure per assicurare tracciabilità e non ripudio;
  3. gestione degli spedizionieri ammessi;
  4. responsabilità in caso di incidenti relativi ai dati trasmessi;
  5. definizione di una classificazione ed etichettatura delle informazioni;
  6. utilizzo della crittografia per i dati di business più significativi e per i dati personali particolari ex art. 9 del GDPR;
  7. gestione della catena di custodia;
  8. gestione dei supporti fisici in transito;
  9. modalità di cancellazione dei dati alla fine del loro utilizzo

Come applicare le misure minime di AgID

Per implementare una serie di sistemi per controllare la propria rete informatica è opportuno adottare anche le misure minime AgID.

  • [ABSC_ID 13.3.1]: Utilizzare sul perimetro della rete strumenti automatici per bloccare, limitare ovvero monitorare in maniera puntuale, sul traffico uscente dalla propria rete, l’impiego di crittografia non autorizzata o l’accesso a siti che consentano lo scambio e la potenziale esfiltrazione di informazioni.
  • [ABSC_ID 13.4.1]: Effettuare periodiche scansioni, attraverso sistemi automatizzati, in grado di rilevare sui server la presenza di specifici “data pattern”, significativi per l’Amministrazione, al fine di evidenziare l’esistenza di dati rilevanti in chiaro.
  • [ABSC_ID 13.6]:
  1. LIVELLO 1: Implementare strumenti DLP (Data Loss Prevention) di rete per monitorare e controllare i flussi di dati all’interno della rete in maniera da evidenziare eventuali anomalie.
  2. LIVELLO 2: Qualsiasi anomalia rispetto al normale traffico di rete deve essere registrata anche per consentirne l’analisi off line.
  • [ABSC_ID 13.7.1]: Monitorare il traffico uscente rilevando le connessioni che usano la crittografia senza che ciò sia previsto.
  • [ABSC_ID 13.8.1]: Bloccare il traffico da e verso URL presenti in una blacklist.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4