Tel. +39 0543 801550 - Fax. +39 0543 774866
e-mail: info@programarea.com
Via degli scavi, 36 - Forlì (FC) 47122 - ITALY

09 marzo 2022

Best practices per la cyber security in azienda

Nei giorni scorsi ENISA (EU Agency for Cybersecurity) e CERT-EU (Computer Emergency Response Team delle istituzioni EU) hanno comunicato i 14 comandamenti della cybersecurity. Una sorta di best practise fortemente raccomandate per aumentare la resilienza aziendale nei confronti del crimine informatico.
Riassumo brevemente queste regole rimandanndo, a chi voglia approfondire, ai siti delle istituzioni direttamente interessate. Queste indicazioni rappresentano un ulteriore complemento a regole o indicazioni di carattere nazionale o settoriale.
 

1.    Implementare l’autenticazione a più fattori per l’accesso ai servizi da remoto (VPN, extranet, mail online, ecc.);


2.    Assicurarsi che gli utenti dei servizi non riutilizzino le medesime password per più servizi, incoraggiando, dove possibile, la MFA (Multi Factor Authentication);


3.    Assicurarsi che tutti i software in uso siano aggiornati e che la politica di aggiornamento sia attenta agli aggiornamenti critici ai fini della sicurezza;


4.    Controllare in modo approfondito l’accesso di sistemi di terze parti alla rete e ai servizi aziendali;


5.    Poni particolare attenzione alle soluzioni in cloud, separandole in modo tale da non consentire il passaggio da un servizio ad un altro;


6.    Rivedi la tua strategia di backup mantenendo almeno tre copie di dati, due locali su supporti diversi e una terza copia salvata “off line”. Ovviamente la valutazione della strategia deve considerare i parametri di Business Continuity che l’azienda si è imposta. Inoltre assicurati che tutti i dati importanti siano salvati nei sistemi aziendali e non nelle singole macchine degli operatori;


7.    Cambia tutte le credenziali di default, elimina i sistemi che consentono password deboli e disabilità i protocolli che non consentono l’utilizzo della MFA (Multi Factor Authentication);


8.    Implementa la segmentazione della rete introducendo le restrizioni all’accesso e all’utilizzo di sistemi non necessari;


9.    Effettua formazione in modo regolare sugli aspetti di sicurezza aumentando la consapevolezza aziendale nei confronti dei rischi legati al crimine informatico;


10.    Implementa un servizio mail resiliente abilitando filtri antispam, regole di sicurezza e policy di utilizzo della mail;


11.    Organizza regolarmente eventi che aumentino la consapevolezza aziendale nei confronti della cybersecurity, presentando i nuovi rischi e le modalità per evidenziarli;


12.    Proteggi i tuoi servizi web da attacchi DOS (Denial-of-service attacks) implementando gli opportuni servizi. Nel caso occorra garantire le prestazioni, valutare le soluzioni l’automazione del sistema di Disaster Recovery;


13.    Blocca o limita in modo importante l’accesso a server o altri device che vengono riavviati raramente perchè potrebbero nascondere backdoor o altri accessi indesiderati;


14.    Assicurati di avere la procedura per comunicare con il tuo CSIRT (Computer Security Incident Response Team).

 

Autore: Alessandro Gigliotti - Consulente e Team Leader Auditor ISO 9001 (Sistema di gestione qualità), ISO 27001 (Sistema di gestione sicurezza delle informazioni) e ISO 22301 (Sistema di gestione della Business Continuity)
 

Ultimi articoli pubblicati
RENTRI: Nuovo sistema di rintracciabilità dei rifiuti a partire da Dicembre 2024
24 settembre 2024
Dichiarazione MUD 2024
05 marzo 2024
Come richiedere il contributo per la Certificazione di parità di genere
23 gennaio 2024
Idee e Progetti per la tua Impresa
Contattaci

Via Degli Scavi, 36

47122 Forlì (FC) ITALY

T +39 0543 801550

F +39 0543 774866

info@programarea.com

Sitemap
Azienda Servizi Clienti News
Links
Privacy cookie policy


member of

© 2019 Program A.RE.A. - Tutti i Diritti Riservati - P.IVA 01503620401