La valutazione della sicurezza IT

L’esigenza

È del tutto evidente come, nelle organizzazioni sia private che pubbliche, la quasi totalità dei processi siano abilitati e supportati da strumenti informatici e soluzioni digitali: in questo contesto la protezione di questi sistemi è un requisito di base, sin dalla fase di progettazione e sviluppo per passare a quella di utilizzo.

Per questo il controllo delle misure tecniche e organizzative messe in atto per rispettare i requisiti di sicurezza (riservatezza, integrità, disponibilità), la loro adeguatezza alla criticità dei processi gestiti con i sistemi, e la verifica della loro efficacia sono ormai attività indispensabili, che travalicano l’ambito della pura sicurezza informatica per espandersi all’intero perimetro aziendale.

In altri termini, la Information Security e la Cybersecurity assicurano la continuità operativa dell’organizzazione ed è parte sostanziale dell’Enterprise Risk Management (ERM).

Information Security: definizione e standard di riferimento

La Information Security o Sicurezza delle Informazioni riguarda la protezione delle informazioni sia fisiche (analogiche) che digitali da accesso non autorizzato, modifica, divulgazione e interruzione. La sicurezza delle informazioni richiede il rispetto di tre requisiti: riservatezza, integrità e disponibilità (“CIA Triad”, Confidentiality, Integrity, Availability) dei dati e dei sistemi informativi con cui sono trattati.

I sistemi informativi con cui sono trattate le informazioni possono essere certificati secondo lo standard internazionale di sicurezza informatica ISO/IEC 27002:2022 che consente all’organizzazione di implementare il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System  (ISMS), che si sostanzia nella realizzazione di processi, documenti, tecnologie e persone che aiutano a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni attraverso una gestione del rischio efficiente. Nell’Allegato A sono presenti 93 controlli di sicurezza suddivisi in diverse categorie.

Cybersecurity: definizione e standard di riferimento

La Cybersecurity o Sicurezza Informatica è un sottoinsieme della sicurezza delle informazioni e riguarda solo la protezione delle informazioni digitali. Il termine deriva dal concetto di «sicurezza dello spazio cibernetico» o cyberspace, inteso come “l’insieme di reti e sistemi informativi con i quali vengono erogati i servizi a cittadini e utenti da parte di organizzazioni commerciali e industriali, pubblica amministrazione e gestori di infrastrutture (energia, acqua, trasporti, ecc)”. I sistemi informativi che operano nel cyberspace sono esposti a numerosi rischi, ed essendo in genere sistemi complessi e in rapida evoluzione presentano sempre un certo numero di vulnerabilità, sfruttabili dalle minacce per provocare danni alle informazioni ed ai sistemi con cui sono gestite.

Nell’ambito della Cybersecurity, il Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e il Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza (DIS), hanno elaborato il Framework Nazionale per la Cybersecurity e la Data Protection, emesso in versione 2 a febbraio 2019, e basato sul Framework for Improving Critical Infrastructure Cyber security ver. 1.1 del 2018 emesso dal NIST, orientato alle infrastrutture critiche.

Le misure del Framework fanno riferimento ai principali standard internazionali sulla sicurezza: ISO/IEC 27001 sulla sicurezza delle informazioni, NIST SP800-53 sui controlli di sicurezza e privacy, le linee-guida CIS CSC sulla sicurezza informatica, il modello COBIT per la gestione ICT, GDPR e ISO/IEC 29100 sulla Privacy, AgID ABSC sulle misure minime per le PPAA, ISA/IEC 62443 sulla sicurezza informatica per la tecnologia operativa nei sistemi di automazione e controllo.

Il FNCS:

  • è gerarchicamente organizzato in (5) Function, (23) Category e (98) Sub category, che individuano le attività abilitanti, quali processi e tecnologie, da mettere in campo per gestire la singola Function,
  • si basa sull’analisi del rischio come richiesto da tutti gli standard e linee-guida,
  • richiede alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber,
  • è rivolto in particolare alle piccole e medie imprese (fino a 250 dipendenti e 50ML€ di fatturato) che rappresentano il 99% del tessuto produttivo italiano ed europeo,
  • ma è utilizzabile anche dalle grandi imprese che operano nei settori delle infrastrutture critiche.

Information Security e Cybersecurity per gli Operatori di Servizi Essenziali

Sull’ultimo punto, il DPCM 81/2021 che attua una parte della Direttiva (UE) 2016/1148 (c.d. NIS da Network and Information Security) riguarda in particolare le “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione” che svolgono un ruolo vitale nella società nell’agevolare i movimenti transfrontalieri di beni, servizi e persone (reti energia, trasporti, finanza, salute, acqua, digitale, ecc), che rappresentano il “perimetro di sicurezza nazionale cibernetica”.

Il decreto, considerando di dover tenere conto degli standard definiti a livello internazionale e dell’Unione europea, assume proprio il Framework Nazionale per la Cybersecurity e la Data Protection quale base di riferimento più adatta per la individuazione delle misure volte a garantire elevati livelli di sicurezza di reti, sistemi informativi e servizi informatici delle organizzazioni che gestiscono le infrastrutture critiche.

I nostri strumenti di controllo

La nostra piattaforma digitale, sviluppata in collaborazione con MSA di Luigi Zampetti e SIET di Sergio Spera e accessibile a questo link, mette a disposizione una serie di percorsi costituiti da check list di autovalutazione. Da sottolineare che nelle check list, per ogni domanda, è indicato il riferimento normativo (Informative Reference) che lega la singola Sub category alle pratiche di sicurezza note previste da standard di settore o da regolamentazioni generali vigenti.

Il percorso D “Controlli di cybersecurity del Framework Nazionale”, composto da undici check list, permette di individuare quali misure tra quelle previste dal Framework Nazionale sulla Cybersecurity e la Data Protection, sono state adottate dall’organizzazione:

D.1 – Verifica azioni di aderenza al GDPR (DP), D.2 – Controlli essenziali di cybersecurity (CE), D.3 – Identificare il contesto (Identify), D.4 – Controllo di accesso (Protect), D.5 – Formazione e sensibilizzazione (Protect), D.6 – Protezione delle informazioni (Protect), D.7 – Sicurezza dei dati (Protect), D.8 – Manutenzione (Protect), D.9 – Tecnologie di protezione (Protect), D.10 – Individuare le minacce (Detect), D.11 – Rispondere e recuperare (Respond & Recover).

Il percorso DD “Controlli essenziali di cybersecurity”, composto da sei check list, permette di individuate le misure essenziali sono state adottate dall’organizzazione a difesa dell’infrastruttura ICT e degli applicativi software utilizzati a supporto delle attività aziendali:

DD.1 – Continuità operativa dell’infrastruttura IT (compilabile per ogni CED di cui si avvale l’organizzazione). DD.2 – Protezione degli asset IT (compilabile per l’insieme dei sistemi utilizzati). DD.3 – Protezione dell’accesso logico agli applicativi software (compilabile per ogni applicativo software utilizzato), DD.4 – Controllo delle operazioni informatiche compiute dagli utenti (compilabile per ogni applicativo software utilizzato). DD.5 – Disponibilità dei dati (compilabile per ogni applicativo software utilizzato dall’organizzazione; oppure una sola volta se le misure sono utilizzate per tutti i dati trattati da tutti gli applicativi software utilizzati dall’organizzazione). DD.6 – Protezione dei dati (compilabile per ogni applicativo software utilizzato).

Il percorso DE “Controlli ENISA di cybersecurity per le PMI”, composto da tre check list, permette di individuare quali misure sono state adottate dall’organizzazione a supporto delle 12 azioni pratiche di alto livello per proteggere meglio i rispettivi sistemi e attività, proposte da ENISA (European Network and Information Security Agency), l’Agenzia dell’Unione europea per la cibersicurezza e la certificazione ai fini della sicurezza dei prodotti, dei servizi e dei processi ICT:

1-Sviluppare una solida cultura della sicurezza. 2- Fornire una formazione appropriata. 3-Garantire un’efficace gestione dei terzi. 4-Sviluppare un piano di risposta agli incidenti. 5-Rendere sicuro l’accesso ai sistemi. 6-Rendere sicuri i dispositivi. 7-Rendere sicura la propria rete. 8-Migliorare la sicurezza fisica. 9-Rendere sicuri i backup. 10-Lavorare con il cloud. 11-Rendere sicuri i siti on line. 12-Cercare e condividere le informazioni.

I tre percorsi DA “Controlli AgID di cybersecurity per la PA”, permettono di individuare quali misure tra quelle previste dalle Linee-guida dell’AgID (Agenzia per l’Italia Digitale), pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, sono state adottate dall’organizzazione.

In dettaglio, i percorsi riguardano i controlli che dovrebbero essere implementati per ottenere uno o più tra i tre livelli di sicurezza:

  • “Minimo” che riguarda i controlli obbligatori (percorso DAM composto da 6 check list)
  • “Standard” prevede controlli che fungono da base di riferimento nella maggior parte dei casi (percorso DAS composto da 6 check list)
  • “Alto” individua i controlli che sono un obiettivo a cui tendere (percorso DAM composto da 5 check list).

Le misure previste dalle Linee-guida, pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, fanno riferimento ai principali standard internazionali sulla sicurezza:

  • ABSC-AgID Basic Security Control(s)
  • CCSC-Center for Critical Security Control (SANS20)
  • CSC-Critical Security Control
  • FNSC-Framework Nazionale di Sicurezza Cibernetica
  • NSC-Nucleo di Sicurezza Cibernetica.

In riferimento alle misure per un livello comune elevato di sicurezza per gli Operatori di Servizi Essenziali (Direttive NIS):

  • il percorso NIS MDS, composto da 14 check list, per verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021;
  • il percorso NIS MAS, composto da 18 check list, per verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009.

Descrizione del Framework

Il Cyber security Framework NIST è composto da:

1) Il Framework Core, che rappresenta la struttura del ciclo di vita del processo di gestione della cyber security, sia dal punto di vista tecnico sia organizzativo. Il Framework Core è strutturato gerarchicamente in:

1.A) Function, che sono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico; in dettaglio:

1.A.1) La Function IDENTIFY è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette a un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali. Le Category all’interno di questa Function sono:

  1. Asset Management
  2. Business Environment
  3. Governance
  4. Risk Assessment
  5. Risk Management Strategy
  6. Supply Chain Risk Management e Data Management.

1.A.2) La Function PROTECT è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Le Category all’interno di questa Function sono:

  1. Identity Management
  2. Authentication and Access Control
  3. Awareness and Training, Data Security
  4. Information Protection Processes and Procedures
  5. Maintenance
  6. Protective Technology.

1.A.3) La Function DETECT è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Le Category all’interno di questa Function sono:

  1. Anomalies and Events
  2. Security Continuous Monitoring
  3. Detection Processes.

1.A.4) La Function RESPOND è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. L’obiettivo è contenere l’impatto determinato da un potenziale incidente di sicurezza informatica. Le Category all’interno di questa Function sono:

  1. Response Planning
  2. Communications
  3. Analysis
  4. Mitigation
  5. Improvements

1.A.5) La Function RECOVER è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. L’obiettivo è garantire la resilienza dei sistemi e delle infrastrutture e, in caso di incidente, supportare il recupero tempestivo delle business operations. Le Category all’interno di questa Function sono:

  1. Recovery Planning
  2. Improvements
  3. Communications.

1.B) Category e Sub category, che sono le attività abilitanti, quali processi e tecnologie, da mettere in campo per gestire la singola Function.

1.C) Informative Reference, che sono i riferimenti che legano la singola Sub category alle pratiche di sicurezza note previste da standard di settore (ISO, SP800-53r4, COBIT-5, SANS20 e altri) o da regolamentazioni generali vigenti (Regolamento UE 2016/679 General Data Protection Regulation, Direttiva UE 2016/1148 NIS).

2) i Profili, che rappresentano il risultato della selezione, da parte di un’organizzazione, di specifiche Subcategory del Framework Core. Per sviluppare un profilo, un’organizzazione deve esaminare ciascuna delle Subcategory e, sulla base dei propri obiettivi e della valutazione dei propri rischi, determinare quali siano applicabili nel proprio contesto. Il profilo attuale (corrente) può quindi essere utilizzato per definire priorità e misurare i progressi verso il profilo desiderato (target).

3) Gli Implementation Tier, che forniscono il contesto sul livello di integrazione dei processi di gestione del rischio cyber all’interno dell’organizzazione. Sono previsti quattro livelli di valutazione, dal più debole al più forte:

3.A) Parziale, quando il modello di gestione del rischio di cyber

  1. non tiene conto in modo sistematico del rischio cyber o delle minacce ambientali
  2. il rischio cyber è gestito con processi ad hoc e spesso in modo reattivo
  3. il livello di consapevolezza del rischio a livello organizzativo è limitato
  4. non esistono processi di condivisione delle informazioni inerenti alla cybersecurity con entità esterne.

3.B) Informato, quando il modello di gestione del rischio cyber

  1. ha dei processi interni che tengono conto del rischio cyber, ma questi non sono estesi a tutta l’organizzazione
  2. il livello di consapevolezza del rischio cyber è sufficientemente esteso, ma questo non è accompagnato da processi di gestione pervasivi che coinvolgano tutti i livelli dell’organizzazione
  3. l’organizzazione comprende il suo ruolo nell’ecosistema di riferimento, ma lo scambio informativo relativo agli eventi di cybersecurity è limitato e tipicamente passivo.

3.C) Ripetibile, quando il modello di gestione del rischio cyber

  1. è formalmente definito ed approvato
  2. se l’organizzazione aggiorna regolarmente le proprie pratiche di cybersecurity basandosi sull’output del processo di risk management
  3. la gestione del rischio cyber è pervasiva a tutti i livelli organizzativi ed il personale è formato per gestire i ruoli che in merito gli vengono assegnati
  4. l’organizzazione scambia regolarmente informazione inerenti alla cybersecurity con altri attori operanti nello stesso ecosistema.

3.D) Adattivo, quando il modello di gestione del rischio cyber

  1. se l’organizzazione adatta le sue procedure di cybersecurity regolarmente attraverso l’utilizzo delle esperienze passate e degli indicatori di rischio
  2. attraverso un processo adattivo l’organizzazione si adegua in modo continuo a minacce in continua evoluzione ed è capace di rispondere efficacemente ad attacchi sofisticati
  3. lo scambio informativo con altri attori operanti nello stesso ecosistema è continuo ed avviene in tempo reale.

Controlli essenziali

Area Tabella 2.1: i controlli essenziali di Cyber security (Italian Cyber Security Report 2016)
Inventario dispositivi e software1Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc.) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
3Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
Governance5Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cyber security che risultino applicabili per l’azienda.
Protezione da malware6Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, anti malware, ecc) regolarmente aggiornato.
Gestione password e account7Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
Formazione e consapevolezza10Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
Protezione dei dati11La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
Protezione delle reti13Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
Prevenzione e mitigazione14In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.