Nei giorni scorsi ENISA (EU Agency for Cybersecurity) e CERT-EU (Computer Emergency Response Team delle istituzioni EU) hanno comunicato i 14 comandamenti della cybersecurity. Una sorta di best practise fortemente raccomandate per aumentare la resilienza aziendale nei confronti del crimine informatico.
Riassumo brevemente queste regole rimandanndo, a chi voglia approfondire, ai siti delle istituzioni direttamente interessate. Queste indicazioni rappresentano un ulteriore complemento a regole o indicazioni di carattere nazionale o settoriale.
1. Implementare l’autenticazione a più fattori per l’accesso ai servizi da remoto (VPN, extranet, mail online, ecc.);
2. Assicurarsi che gli utenti dei servizi non riutilizzino le medesime password per più servizi, incoraggiando, dove possibile, la MFA (Multi Factor Authentication);
3. Assicurarsi che tutti i software in uso siano aggiornati e che la politica di aggiornamento sia attenta agli aggiornamenti critici ai fini della sicurezza;
4. Controllare in modo approfondito l’accesso di sistemi di terze parti alla rete e ai servizi aziendali;
5. Poni particolare attenzione alle soluzioni in cloud, separandole in modo tale da non consentire il passaggio da un servizio ad un altro;
6. Rivedi la tua strategia di backup mantenendo almeno tre copie di dati, due locali su supporti diversi e una terza copia salvata “off line”. Ovviamente la valutazione della strategia deve considerare i parametri di Business Continuity che l’azienda si è imposta. Inoltre assicurati che tutti i dati importanti siano salvati nei sistemi aziendali e non nelle singole macchine degli operatori;
7. Cambia tutte le credenziali di default, elimina i sistemi che consentono password deboli e disabilità i protocolli che non consentono l’utilizzo della MFA (Multi Factor Authentication);
8. Implementa la segmentazione della rete introducendo le restrizioni all’accesso e all’utilizzo di sistemi non necessari;
9. Effettua formazione in modo regolare sugli aspetti di sicurezza aumentando la consapevolezza aziendale nei confronti dei rischi legati al crimine informatico;
10. Implementa un servizio mail resiliente abilitando filtri antispam, regole di sicurezza e policy di utilizzo della mail;
11. Organizza regolarmente eventi che aumentino la consapevolezza aziendale nei confronti della cybersecurity, presentando i nuovi rischi e le modalità per evidenziarli;
12. Proteggi i tuoi servizi web da attacchi DOS (Denial-of-service attacks) implementando gli opportuni servizi. Nel caso occorra garantire le prestazioni, valutare le soluzioni l’automazione del sistema di Disaster Recovery;
13. Blocca o limita in modo importante l’accesso a server o altri device che vengono riavviati raramente perchè potrebbero nascondere backdoor o altri accessi indesiderati;
14. Assicurati di avere la procedura per comunicare con il tuo CSIRT (Computer Security Incident Response Team).
Autore: Alessandro Gigliotti - Consulente e Team Leader Auditor ISO 9001 (Sistema di gestione qualità), ISO 27001 (Sistema di gestione sicurezza delle informazioni) e ISO 22301 (Sistema di gestione della Business Continuity)