Cybersecurity: dopo l’assessment, ecco il piano di riduzione del rischio

I martedì della cybersecurity/ Il nostro esperto definisce i requisiti di un corretto mitigation plan per gli Enti pubblici

14 Novembre 2022
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

Dopo l’assessment che ogni Ente dovrebbe effettuare su sé stesso per conoscere lo stato di salute della propria infrastruttura informatica, proseguiamo la Guida alla sicurezza informatica con la redazione di un mitigation plan, ossia di un piano per la riduzione del rischio. L’esecuzione (o la mancata esecuzione) delle azioni prospettate in questa lista ha un impatto sull’effettivo tasso di rischio annuo di subire un attacco informatico di successo: un quadro di rischio grave a seguito di assessment non seguito da alcun piano di mitigazione del rischio può fare aumentare la probabilità di attacco di successo di oltre il 25% (la media è del 15%), mentre un buon piano di sicurezza può farlo scendere al di sotto del 10%.
Tenendo sempre presente che il rischio zero non esiste, ecco qui le dieci azioni consigliate per ogni profilo di rischio evidenziato la scorsa settimana.

Preparazione utenti

Quanto sono preparati i dipendenti dell’Ente sulle possibili minacce che possono provenire dal web e quanto sono in grado di riconoscerle in maniera indipendente? L’errore umano è la prima causa di attacchi informatici, dai più semplici ai più complessi. I passi consigliati sono una formazione specifica a tutto il personale per imparare a individuare attacchi di phishing mirato ed altresì campagne di phishing probing, ossia attacchi simulati per testare la tendenza del personale ad essere vittime di attacchi reali.

Manutenzione software

Quando è stata l’ultima volta che abbiamo fatto fare la manutenzione del o dei software che usiamo quotidianamente? Cioè, come ogni quanto gestiamo in maniera puntuale le versioni dei vari software e relative patch al fine di ridurre l’esposizione ad eventuali vulnerabilità?
Azioni di mitigazione del rischio sono l’abilitazione dell’aggiornamento automatico ogni qualvolta venga pubblicata una nuova versione (operazione che, pur se a costo zero, potrebbe avere qualche impatto dal punto di vista operativo, in quanto spesso le nuove release presentano difficoltà di integrazione con sistemi preesistenti) e la nomina di un amministratore di sistema.
Talvolta può essere possibile allungare ad hoc il supporto tecnico per le versioni del proprio software ufficialmente non più supportate, ma questa risulta essere una soluzione di compromesso non conveniente sul lungo periodo.

Software di protezione

Installare su tutte le macchine un antivirus e mantenerlo aggiornato, dotarsi di una VPN (Virtual Protected Network) per le connessioni di business sono il primo passo. Se poi si volesse essere veramente virtuosi, l’acquisto di una vera e propria suite di protezione (con filtri di navigazione, messa in quarantena degli allegati email e protezione dai link web malevoli) potrebbe fare la differenza tra un attacco di successo e uno sventato.

Policy e regolamenti

Scegliere password robuste, diverse per ogni servizio, che non utilizzino informazioni personali, utilizzare i sistemi di autenticazione a due fattori o multi fattore, scegliere e usare un password manager, il tutto completato da una password policy definita e rigida per tutto il personale dell’Ente.

Accessi

Per controllare gli accessi, è necessario censire con precisione i ruoli aziendali e stabilire quali sono gli asset cui è utile accedere nonché con quali diritti (ad es. Sola lettura o anche modifica) per ciascuno dei ruoli definiti e successivamente procedere alla configurazione di ciascun sistema in accordo a tale policy. Un software dedicato che gestisca i livelli di accesso di tutti i sistemi da un unico access point (identity manager) completerebbe al meglio il livello di protezione.

Configurazione di rete

Un buon programma di mitigazione del rischio dovrebbe saper scegliere tra un firewall software (efficaci per proteggere la singola macchina) o hardware (nel caso di reti con più macchine e soprattutto nel caso di server cui è necessario accedere sia dall’ufficio sia in mobilità). È anche possibile dotarsi di un next generation firewall, che non solo funge da “porta tagliafuoco”, ma che è anche in grado di ispezionare il contenuto dei file alla ricerca di programmi malevoli.

Device personali

I device personali dovrebbero essere vietati nell’Ente. Nel caso in cui vengano permessi, è necessario definire e gestire una policy di BYOD (Bring Your Own Device, cioè porta il tuo device personale) che comprenda le regole per la cancellazione della memoria da remoto in caso di furto o smarrimento.

Crittografia dei contenuti

È buona norma crittografare tutti i contenuti su tutti i device. Così facendo se anche un malintenzionato entra in possesso di dati o peggio ancora di device non riuscirà ad accedervi. Sarebbe opportuno come minimo verificare se gli hard disk e le email contenti informazioni sensibili sono o meno crittografate e che il sito web è in https.

BONUS: i siti internet di tantissimi enti locali sono in http, cioè comunicano in protocollo non sicuro. Questo, oltre ad essere un rischio per la sicurezza di tutta la rete informatica dell’ente, costituisce un pessimo biglietto da visita per il Comune, che vede campeggiare sulla propria homepage, alla barra degli indirizzi, la dicitura “non sicuro”, oltre ad essere un’esca davvero succulenta per un controllo del Garante.

Backup

È obbligatorio definire la frequenza minima di backup sulla base della mole e della frequenza di modifica dei dati per ciascun sistema, dotandosi di un software che gestisca la procedura in automatico. Sarebbe bene avere un backup fisico ed uno virtuale sul cloud, e naturalmente avere una policy di data breach e di disaster recovery.

Assessment continuo

Tutte queste azioni e controlli devono diventare parte di una routine costante, duratura e periodica. Effettuare test, assessment, verifiche, anche eventualmente prove di attacco a carico dei dipendenti (come le esercitazioni anti incendio) almeno una volta l’anno (come frequenza minima, ma vale sempre la regola dell’approccio basato sul rischio) è il solo modo per tenere costantemente al riparo il proprio Ente e per fare in modo che tutti gli sforzi e gli investimenti fatti (in termini di tempo, risorse finanziarie e umane) diano i frutti sperati, ovvero contribuiscano il più possibile alla minimizzazione del rischio.

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

CybersecurityL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

Redazione