Security by design e by default: i consigli dell’ENISA per le PMI

Security by design e by default: i consigli dell’ENISA per le PMI

Nel Giugno 2021, l’ENISA ha pubblicato un parere, intitolato “Cybersecurity for SMEs”, con il quale intende fornire alle PMI[1] alcuni (pratici ed operativi) consigli in ambito di cybersecurity, onde così permettere alle stesse di fronteggiare, in modo maggiormente efficace, i cybercrime attack che, proprio nel vigente periodo pandemico, hanno registrato un considerevole incremento, anche in ragione del fatto che, attraverso le PMI medesime, i criminali informatici possono aggredire quelle organizzazioni maggiormente complesse, in favore delle quali le prime fungono, di solito, da fornitori di beni, prodotti e servizi.

Ancor prima di descrivere, nel dettaglio, i consigli formulati dall’ENISA, occorre porre l’accento sulle principali tecniche di attacco informatico registratesi di recente, così come evidenziato dall’ENISA, dall’EUROPOL/IOCTA (documento “Internet Organised Crime Threat Assessment” del 2020) e, non da ultimo, dal CLUSIT (documento “Rapporto CLUSIT 2021 sulla sicurezza ICT in Italia”): ransomware[2]; malware[3]; phising/social engineering (ivi incluso, il mishing e il vishing); account cracking (ivi incluso, il Business Email Compromise); DDoS (anche tramite gli strumenti IoT); phone hacking; SQL Injection; SIM swapping[4]; e-skimming.

Tanto premesso, si procede, ora, ad illustrare, in via sintetica, i principali consigli di cybersecurity indicati dall’ENISA:

– Policy (operativa) di sicurezza circa le modalità di utilizzo dell’ambiente, delle attrezzature e dei servizi ICT aziendali, da aggiornare a cadenza regolare e al bisogno.

– Formazione adeguata e regolare in favore, in particolare, degli operatori dell’area IT (cd. fattore umano).

Test (periodico) di vulnerabilità e di sicurezza dei sistemi critici aziendali (es. firewall).

– Controllo periodico dei computer, al fine di verificare l’eventuale presenza di software illegali o comunque non approvati.

– Protezione degli apparati informatici con sistemi antivirus aggiornati.

– Crittografia applicata ai dati archiviati e/o ai dati trasferiti su reti pubbliche (es. internet).

– Protezione da accessi non autorizzati alle risorse critiche IT (es. sala server).

– Back up regolare (e crittografato, ove possibile), ivi incluso il test di ripristino al fine di verificare possibili falle nell’attività di conservazione (in un’ottica di business continuity).

– Specifici accordi contrattuali con i fornitori ICT esterni, al fine di regolamentare le modalità, i termini e la portata estensiva dell’accesso alle informazioni nel corso della fornitura del servizio richiesto, ivi inclusa un apposita clausola di confidenzialità e di riservatezza. Al riguardo, l’ENISA ha evidenziato, altresì, l’importanza di: (i) sviluppare un elenco di requisiti ed obblighi minimi di sicurezza informatica che ogni fornitore ICT deve possedere affinché possa interagire con la relativa PMI; (ii) condurre, con regolarità, un inventario dei propri fornitori ICT; (iii) condurre, in modo regolare o comunque in caso di necessità, audit di sicurezza nei confronti dei fornitori ICT; (iv) procedura tesa alla gestione dei dati personali trattati dal fornitore ICT, una volta che il relativo rapporto contrattuale è cessato.

– Piano di risposta in caso di incidente di sicurezza (composto, ad esempio, da: linee guida; ruoli; responsabilità chiave e chiare).

– Password complesse (di almeno 12 caratteri, come consigliato dal Garante Privacy francese), preferibilmente costituite dalla cd. passphrase, ossia una raccolta di parole comuni casuali combinate in una frase che fornisca un’ottima combinazione di memorizzazione e sicurezza; ove possibile, utilizzare, inoltre, l’autenticazione a più fattori (MFA).

– Aggiornamento, in modo regolare ed automatico, dei software.

– Sicurezza fisica a protezione dei dati personali conservati con modalità non automatizzate.

– Politica di mobile device management (MDM), ivi incluse le relative misure di sicurezza implementate e da aggiornare con regolarità.

Tenuti in (debita) considerazione i descritti consigli ad opera dell’ENISA, chi scrive ritiene, tuttavia, che un idoneo sistema di gestione della sicurezza delle informazioni (anche di natura personale) debba fondarsi, in un’ottica di security by design e by default, in particolar modo sui precetti (o meglio, sui controlli) espressi, fra tutti, dallo standard ISO/IEC 27001:2013 (da leggersi, in combinato disposto, con la ISO/IEC 27000:2018, 27002:2013 e 27701:2019), eventualmente da integrare, grazie ad un approccio olistico (e di cd. “cherry picking”), con quelle prescrizioni racchiuse all’interno di una regolamentazione che, seppur di secondo livello (soft law), risulta meritevole di attenzione, di analisi, di approfondimento e di applicazione, anche in via analogica e nei limiti della compatibilità dell’organizzazione presa in considerazione (cfr. ex multis: D.P.C.M. n. 81 del 14.4.2021; documento intitolato “Framework Nazionale per la Cybersecurity e la Data Protectionj” – edizione 2019 del Cyber Intelligence and Information Security (CIS) dell’Università di Roma-Sapienza e del Cyber Security National Lab (CINI); documento intitolato “2016 Italian Cybersecurity Report. Controlli Essenziali di Cybersecurity” del Cyber Intelligence and Information Security (CIS) dell’Università di Roma-Sapienza; documento intitolato “Cybersecurity for SMEs” dell’ENIS, edizione Giugno 2021; D.Lgs. n. 65/2018 (di recepimento, a livello nazionale, della Direttiva (NIS) n. 2016/1148/CE); Delibera n. 12 del 19.1.2017 a firma del Garante Privacy francese (CNIL); Provvedimento n. 49 del 11.2.2021 a firma del Garante Privacy italiano [doc. web n. 9562852]; Provvedimento n. 83 del 4.6.2016 a firma del Garante Privacy italiano [doc. web. n. 9101974]; documento intitolato “Linee guida tecniche per l’attuazione delle misure minime di sicurezza per i fornitori di servizi digitali” a firma dell’ENISA, giugno 2016; seppur (formalmente) abrogato dal D.Lgs. n. 101/2018, l’Allegato B) del previgente D.Lgs. n. 196/2003 (Codice Privacy); documento EBA/GL/2019/02 intitolato “Orientamenti in materia di esternalizzazione”; Regolamento UE n. 389/2018; documento a firma del Garante Privacy spagnolo (AEPD) riguardante la valutazione del rischio e la DPIA, giugno 2021).

 

 

 

 

 


[1] La cui definizione (e categorizzazione) si rinviene nella Raccomandazione della Commissione UE del 6.5.2003.
[2] Il ransomware impedisce agli utenti di accedere al proprio sistema o ai propri dispositivi, chiedendo loro di pagare un riscatto tramite determinati metodi di pagamento online entro un termine stabilito al fine di riprendere il controllo dei propri dati personali.
[3] Il malware include, di solito, un trojan e strumenti di accesso remoto (RAT).
[4] Lo SIM Swapping (meglio noto, come “scambio di SIM”) si verifica quando un truffatore, utilizzando tecniche di ingegneria sociale, prende il controllo della scheda SIM di un telefono cellulare, utilizzando i dati personali rubati, grazie, ad esempio, ad una tecnica di phising, app malevoli, malware, acquisti online.

Salvis Juribus – Rivista di informazione giuridica
Ideatore e Coordinatore Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti