Nei giorni scorsi ENISA (EU Agency for Cybersecurity) e CERT-EU (Computer Emergency Response Team delle istituzioni EU) hanno emesso i 14 comandamenti della cybersecurity. Una sorta di best practise fortemente raccomandate per aumentare la resilienza aziendale nei confronti del crimine informatico.
Riassumo brevemente queste regole per chi voglia approfondire, ai siti delle istituzioni direttamente interessate.
Queste indicazioni rappresentano un ulteriore complemento a regole o indicazioni di carattere nazionale o settoriale.
1. Implementare l’autenticazione a più fattori (consiglio almeno 2FA) per l’accesso ai servizi da remoto (VPN, extranet, mail online, ecc.)
2. Assicurarsi che gli utenti dei servizi non riutilizzino le medesime password per più servizi, incoraggiando, dove possibile, la MFA (Multi Factor Authentication)
3. Assicurarsi che tutti i software in uso, siano aggiornati e che la politica di aggiornamento sia attenta agli aggiornamenti critici ai fini della sicurezza
4. Controllare in modo approfondito l’accesso di sistemi di terze parti alla rete e ai servizi aziendali
5. Porre particolare attenzione alle soluzioni in cloud, separandole in modo tale da non consentire il passaggio da un servizio ad un altro.
6. Rivedere la strategia di backup mantenendo almeno tre copie di dati, due locali su supporti diversi e una terza copia salvata “off line”. Ovviamente la valutazione della strategia deve considerare i parametri di Business Continuity che l’azienda si è imposta. Inoltre assicurati che tutti i dati importanti siano salvati nei sistemi aziendali e non nelle singole macchine degli operatori.
7. Cambiare tutte le credenziali di default, elimina i sistemi che consentono password deboli e disabilità i protocolli che non consentono l’utilizzo della MFA (Multi Factor Authentication).
8. Implementare la segmentazione della rete, introducendo le restrizioni all’accesso e all’utilizzo di sistemi non necessari
9. Effettuare formazione continua sugli aspetti di sicurezza, in modo da aumentare la consapevolezza aziendale nei confronti dei rischi legati al crimine informatico
10. Implementare un servizio mail resiliente abilitando filtri antispam, regole di sicurezza e policy di utilizzo della mail
11. Organizzare regolarmente eventi che aumentino la consapevolezza aziendale nei confronti della cybersecurity, presentando i nuovi rischi e le modalità per evidenziarli
12. Proteggere i servizi web da attacchi DOS (Denial-of-service attacks) implementando gli opportuni servizi. Nel caso occorra garantire le prestazioni, valutare le soluzioni l’automazione del sistema di Disaster Recovery
13. Bloccare o limitare l’accesso a server o altri device che vengono riavviati raramente perchè potrebbero nascondere backdoor o altri accessi indesiderati
14. Assicurarsi di avere la procedura per comunicare con il tuo CSIRT (Computer Security Incident Response Team).
Autore: Alessandro Gigliotti
Consulente e Team Leader Auditor ISO 9001 (Sistema di gestione qualità)
ISO 27001 (Sistema di gestione sicurezza delle informazioni)
ISO 22301 (Sistema di gestione della Business Continuity)