In questo articolo riporto degli esempi di minacce a cui sono esposti i sistemi informatici di molte aziende e altri esempi di azioni da intraprendere per evitarle, seguendo l’approccio da consulente di sistemi di gestione delle informazioni – ISO 27001.

Premetto che non sono un esperto informatico e quindi non è un testo tecnico, ma un semplice elenco di casi per non specialisti utile (spero) per sensibilizzare e verificare se la propria azienda è al riparo da minacce esterne e anche interne.

Inizio con la definizione di “cybersecurity” tratta da Wikipedia: ambito della sicurezza informatica che dipende solo dalla tecnologia; con esso si mettono in rilievo la resilienza, la robustezza e la reattività che una tecnologia deve avere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance (attacchi cyber).

Sistema di gestione delle informazioni – ISO 27001

La cybersecurity è una parte rilevate del sistema di gestione delle informazioni – ISO 27001

Cybersecurity è un termine molto trendy, ma potremmo benissimo parlare di protezione/sicurezza informatica. Una consulenza completa ISO 27001 prevede l’analisi di tutti i sistemi utilizzati per raccogliere, modificare, conservare, trasmettere e distruggere le informazioni.

I dati potrebbero anche non essere trattati con sistemi elettronici automatizzati (es. progetto stampato su carta), ma in questo articolo tratto le informazioni archiviate e trasmesse su supporti digitali.

sistema gestione informazioni ISO 27001

Punto 1: identificare i dati e classificarli

Un’azienda per prima cosa deve capire che dati tratta e assegnare una classificazione agli stessi.

Ad esempio per un’impresa che progetta e produce stampi, il disegno tecnico e le specifiche di progettazione dello stampo sono informazioni fondamentali che probabilmente hanno maggior valore rispetto alle schede tecniche dei prodotti chimici utilizzati dal dipendente che si occupa delle pulizie – mentre per un’impresa di pulizia le informazioni presenti nelle schede tecniche dei prodotti chimici sono indispensabili.

Consiglio di classificare le informazioni per categorie, quali ad esempio: dati dei clienti per finalità di marketing, dati amministrativi per la gestione contabile, dati del personale per l’organizzazione aziendale, dati dei progetti per la produzione.

Punto 2: identificare dove sono contenuti e trattati i dati

Una volta che l’azienda ha ben chiaro il valore delle informazioni deve correlarle a tutti gli asset che le contengono o le trattano, quali:

  • i server fisici e virtuali;
  • le applicazioni, inclusi i database management system, le applicazioni server e quelle accessibili da Internet;
  • i personal computer fissi;
  • i personal computer e dispositivi informatici portatili (cellulari, tablet, ecc.);
  • la rete informatica;
  • le apparecchiature della rete informatica.

Consiglio di predisporre un semplice foglio Excel con l’inventario di tutti gli asset (hardware, accessi in rete, software) associato ai vari utenti autorizzati ad utilizzarli e accedervi.

consulenza iso 27001

consulenza iso 27001

Vanno considerati tutti gli asset dove viaggiano informazioni. Ad esempio si sta sempre più utilizzando, anche nelle attività manufatturiere, l’internet delle cose (IoT); un’azienda potrebbe comandare una macchina utensile da remoto: fantastico, ma vuol dire anche che qualche malintenzionato potrebbe entrare nella rete aziendale da una “porta aperta” del collegamento alla macchina utensile.

Punto 3: individuare le minacce per la sicurezza dei dati

Si procede con individuare le minacce, partendo dall’individuazione degli agenti di minaccia:

  • persone malintenzionate;
  • persone non malintenzionate;
  • gli strumenti tecnici;
  • la natura.
sistema di gestione sicurezza delle informazioni

sistema di gestione sicurezza delle informazioni

Si individuano poi le tecniche di minaccia, quali ad esempio:

  • individuare le password verificando con dei software tutte le password possibili con un attacco detto brute force, spesso iniziando con le password più comuni con un attacco a dizionario;
  • inviare una email ad un utente affinché acceda con la propria password ad un sito apparentemente legittimo ma fasullo (phishing, per ricordare l’espressione “pescare password”);
  • inviare email di phishing ma con un contenuto personalizzato rispetto all’utente (spear phishing);
  • un esterno può approfittare della disattenzione di qualcuno per rubargli il pc, cellulare e/o tablet, con violenza o con destrezza;
  • ipod slurping: un malintenzionato chiede ad una persona di collegare il proprio dispositivo portatile al suo computer, per esempio per poterlo caricare. Il dispositivo però fa partire un programma che copia tutti i dati del pc nella propria memoria senza che il malcapitato se ne accorga.

Punto 4: valutare il rischio

Una volta che i dati sono stati identificati, classificati e correlati agli asset bisogna valutare il rischio per definire le misure (punto 5) atte a garantire la sicurezza delle informazioni, come ad esempio la:

  • segretezza dei progetti e ricerche (Riservatezza);
  • accuratezza di tutti i dati economici e di produzione (Integrità);
  • disponibilità dei sistemi informatici (Disponibilità).

Nel valutare il rischio si deve considerare la vulnerabilità: debolezza di un asset o di un controllo di sicurezza che può essere sfruttata da una o più minacce.

Punto 5: adottare le misure per mettere in sicurezza i dati

Le aziende devono affidarsi ad un esperto informatico che insieme alla direzione e al consulente di fiducia in materia di sicurezza delle informazioni stabiliscano la policy per proteggere i dati (patrimonio aziendale).

sicurezza dati email aziendali

Di seguito riporto un breve elenco di alcune misure di cybersecurity (gli informatici mi scuseranno, ma vuole essere di facile lettura):

  • Rete aziendale:
    • installare un firewall: “muro che protegge la rete”;
    • verificare che gli accessi alla rete siano autorizzati e che avvengano tramite VPN;
    • verificare gli accessi “hosted” di software di controllo remoto (es. TeamViewer): l’operatore che si collega deve essere censito nel software;
    • Wireless: dividere le reti (i telefonini ad esempio si devono collegare alla rete “esterna”) – adottare almeno il protocollo di sicurezza WPA, meglio se WPA2.
  • Personal Computer:
    • fare in modo che gli impiegati operino come “utenti” senza avere potere decisionale – l’amministratore della macchina non può essere una persona semplice;
    • adottare sempre per i vari accessi credenziali di autentificazione;
    • adottare sistemi per la conservazione delle password: sistemi in cloud con autentificazione a due fattori (II livello).
  • Mail: devono avere le comunicazioni SSL e una policy per la gestione delle password.
  • Software: aggiornare i sistemi operativi.
  • Sito web: deve essere in https.
  • Backup:
    • predisporre idonee procedure di backup;
    • predisporre di idonee procedure ripristino dei dati;
    • verificare periodicamente l’efficacia delle procedure di backup e ripristino dati.

Nell’adottare queste misure bisogna considerare anche la classificazione dei dati: a volte non serve implementare misure di sicurezza “eccessive” per proteggere dati di poco interesse.

Per una corretta implementazione della Cyber Security hai bisogno di un Consulente ISO 27001: contattaci!

 

Informati Ora e Richiedi una Consulenza