La valutazione della sicurezza IT

L’esigenza

È del tutto evidente come, nelle organizzazioni sia private che pubbliche, la quasi totalità dei processi siano abilitati e supportati da strumenti informatici e soluzioni digitali: in questo contesto la protezione di questi sistemi è il requisito di base da rispettare per garantire innanzitutto la continuità operativa delle organizzazioni.

In questo contesto il controllo delle misure tecniche e organizzative messe in atto per rispettare i requisiti di sicurezza (riservatezza, integrità, disponibilità), la loro adeguatezza alla criticità dei processi gestiti con i sistemi, e la verifica della loro efficacia sono attività indispensabili, che travalicano l’ambito della pura sicurezza informatica per espandersi all’intero perimetro aziendale.

In altri termini, la Information Security e la Cybersecurity assicurano la continuità operativa dell’organizzazione e sono ormai parte sostanziale dell’Enterprise Risk Management (ERM).

I nostri strumenti di controllo

Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di autovalutazione, accessibile a questo link, mette a disposizione una serie di percorsi basati su standard e norme o su best practices.

I percorsi di autovalutazione di seguito elencati nascono per sostituire le attività svolte in sede, riducendo così i tempi, l’impiego di risorse, i costi dell’audit.

  • Il percorso D “Controlli di cybersecurity del Framework Nazionale”, composto da undici check list, permette di individuare quali misure tra quelle previste dal Framework Nazionale sulla Cybersecurity e la Data Protection, sono state adottate dall’organizzazione:
  • D.1 – Verifica azioni di aderenza al GDPR (DP), D.2 – Controlli essenziali di cybersecurity (CE), D.3 – Identificare il contesto (Identify), D.4 – Controllo di accesso (Protect), D.5 – Formazione e sensibilizzazione (Protect), D.6 – Protezione delle informazioni (Protect), D.7 – Sicurezza dei dati (Protect), D.8 – Manutenzione (Protect), D.9 – Tecnologie di protezione (Protect), D.10 – Individuare le minacce (Detect), D.11 – Rispondere e recuperare (Respond & Recover).
  • Il percorso DD “Controlli essenziali di cybersecurity”, composto da sei check list, permette di individuate le misure essenziali sono state adottate dall’organizzazione a difesa dell’infrastruttura ICT e degli applicativi software utilizzati a supporto delle attività aziendali:
  • DD.1 – Continuità operativa dell’infrastruttura IT (compilabile per ogni CED di cui si avvale l’organizzazione). DD.2 – Protezione degli asset IT (compilabile per l’insieme dei sistemi utilizzati). DD.3 – Protezione dell’accesso logico agli applicativi software (compilabile per ogni applicativo software utilizzato), DD.4 – Controllo delle operazioni informatiche compiute dagli utenti (compilabile per ogni applicativo software utilizzato). DD.5 – Disponibilità dei dati (compilabile per ogni applicativo software utilizzato dall’organizzazione; oppure una sola volta se le misure sono utilizzate per tutti i dati trattati da tutti gli applicativi software utilizzati dall’organizzazione). DD.6 – Protezione dei dati (compilabile per ogni applicativo software utilizzato).
  • Il percorso DE “Controlli ENISA di cybersecurity per le PMI”, composto da tre check list, permette di individuare quali misure sono state adottate dall’organizzazione a supporto delle 12 azioni pratiche di alto livello per proteggere meglio i rispettivi sistemi e attività, proposte da ENISA (European Network and Information Security Agency), l’Agenzia dell’Unione europea per la cibersicurezza e la certificazione ai fini della sicurezza dei prodotti, dei servizi e dei processi ICT:
  • 1-Sviluppare una solida cultura della sicurezza. 2- Fornire una formazione appropriata. 3-Garantire un’efficace gestione dei terzi. 4-Sviluppare un piano di risposta agli incidenti. 5-Rendere sicuro l’accesso ai sistemi. 6-Rendere sicuri i dispositivi. 7-Rendere sicura la propria rete. 8-Migliorare la sicurezza fisica. 9-Rendere sicuri i backup. 10-Lavorare con il cloud. 11-Rendere sicuri i siti on line. 12-Cercare e condividere le informazioni.
  • I tre percorsi DA “Controlli AgID di cybersecurity per la PA”, permettono di individuare quali misure tra quelle previste dalle Linee-guida dell’AgID (Agenzia per l’Italia Digitale), pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, sono state adottate dall’organizzazione.
  • In dettaglio, i percorsi riguardano i controlli che dovrebbero essere implementati per ottenere uno o più tra i tre livelli di sicurezza:
    • “Minimo” che riguarda i controlli obbligatori (percorso DAM composto da 6 check list)
    • “Standard” prevede controlli che fungono da base di riferimento nella maggior parte dei casi (percorso DAS composto da 6 check list)
    • “Alto” individua i controlli che sono un obiettivo a cui tendere (percorso DAM composto da 5 check list).
  • Le misure previste dalle Linee-guida, pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, fanno riferimento ai principali standard internazionali sulla sicurezza:
    • ABSC-AgID Basic Security Control(s)
    • CCSC-Center for Critical Security Control (SANS20)
    • CSC-Critical Security Control
    • FNSC-Framework Nazionale di Sicurezza Cibernetica
    • NSC-Nucleo di Sicurezza Cibernetica.
  • In riferimento alle misure per un livello comune elevato di sicurezza per gli Operatori di Servizi Essenziali (Direttive NIS):
  • il percorso NIS MDS, composto da 14 check list, per verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021;
  • il percorso NIS MAS, composto da 18 check list, per verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009.

Si sottolinea che, ove possibile, ad ogni domanda presentata all’utente dalla check list è associato il riferimento normativo (Informative Reference).

Suggerimenti dopo la compilazione

La compilazione delle check list sui controlli di sicurezza informatica le misure IT (Percorsi D, DD, DE, DA) permette agevolmente di individuare le misure NON adottate: in base al contesto ed al livello di rischio stimato l’organizzazione è chiamata a decidere se e quali misure di mitigazione adottare.

Una best practice consiglia di assegnare ad ogni misura “non in atto” il livello di priorità di adozione sulla base di questi due criteri:

1. la capacità di ridurre il rischio in base:

    A. al contrasto delle vulnerabilità che espongono gli asset e le informazioni alle minacce

    B. alla riduzione della probabilità con cui una specifica minaccia può concretizzarsi

    C. alla minimizzazione dell’entità del danno agli asset, ai dati, al business, alle persone;

2. la semplicità (ed economicità) di implementazione della misura di sicurezza.

La combinazione dei due criteri determina tre livelli di priorità di adozione delle misure, come tra l’altro previsto nel “Framework Nazionale per la Cyber security e la Data Protection”:

  • Interventi a priorità Alta, che incidono fortemente su uno o più fattori (1A,1B,1C) e sono da attuare indipendentemente dalla loro complessità realizzativa (2).
  • Interventi a priorità Media, che riducono uno o più fattori (1A,1B,1C) e sono di semplice implementazione (2).
  • Interventi a priorità Bassa, che riducono uno o più fattori (1A,1B,1C) ma sono ad elevata complessità realizzativa (2) (ad esempio, cambiamenti organizzativi rilevanti e/o modifiche infrastrutturali significative).

Information Security: definizione e standard di riferimento

La Information Security o Sicurezza delle Informazioni riguarda la protezione delle informazioni sia fisiche (analogiche) che digitali da accesso non autorizzato, modifica, divulgazione e interruzione. La sicurezza delle informazioni richiede il rispetto di tre requisiti: riservatezza, integrità e disponibilità (“CIA Triad”, Confidentiality, Integrity, Availability) dei dati e dei sistemi informativi con cui sono trattati.

I sistemi informativi con cui sono trattate le informazioni possono essere certificati secondo lo standard internazionale di sicurezza informatica ISO/IEC 27002:2022 che consente all’organizzazione di implementare il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System  (ISMS), che si sostanzia nella realizzazione di processi, documenti, tecnologie e persone che aiutano a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni attraverso una gestione del rischio efficiente. Nell’Allegato A sono presenti 93 controlli di sicurezza suddivisi in diverse categorie.

Cybersecurity: definizione e standard di riferimento

La Cybersecurity o Sicurezza Informatica è un sottoinsieme della sicurezza delle informazioni e riguarda solo la protezione delle informazioni digitali. Il termine deriva dal concetto di «sicurezza dello spazio cibernetico» o cyberspace, inteso come “l’insieme di reti e sistemi informativi con i quali vengono erogati i servizi a cittadini e utenti da parte di organizzazioni commerciali e industriali, pubblica amministrazione e gestori di infrastrutture (energia, acqua, trasporti, ecc)”. I sistemi informativi che operano nel cyberspace sono esposti a numerosi rischi, ed essendo in genere sistemi complessi e in rapida evoluzione presentano sempre un certo numero di vulnerabilità, sfruttabili dalle minacce per provocare danni alle informazioni ed ai sistemi con cui sono gestite.

Nell’ambito della Cybersecurity, il Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e il Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto dell’Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza (DIS), hanno elaborato il Framework Nazionale per la Cybersecurity e la Data Protection, emesso in versione 2 a febbraio 2019, e basato sul Framework for Improving Critical Infrastructure Cyber security ver. 1.1 del 2018 emesso dal NIST, orientato alle infrastrutture critiche.

Le misure del Framework fanno riferimento ai principali standard internazionali sulla sicurezza: ISO/IEC 27001 sulla sicurezza delle informazioni, NIST SP800-53 sui controlli di sicurezza e privacy, le linee-guida CIS CSC sulla sicurezza informatica, il modello COBIT per la gestione ICT, GDPR e ISO/IEC 29100 sulla Privacy, AgID ABSC sulle misure minime per le PPAA, ISA/IEC 62443 sulla sicurezza informatica per la tecnologia operativa nei sistemi di automazione e controllo.

Il FNCS:

  • è gerarchicamente organizzato in (5) Function, (23) Category e (98) Sub category, che individuano le attività abilitanti, quali processi e tecnologie, da mettere in campo per gestire la singola Function,
  • si basa sull’analisi del rischio come richiesto da tutti gli standard e linee-guida,
  • richiede alle organizzazioni un approccio volontario e omogeneo per affrontare la cyber security al fine di ridurre il rischio legato alla minaccia cyber,
  • è rivolto in particolare alle piccole e medie imprese (fino a 250 dipendenti e 50ML€ di fatturato) che rappresentano il 99% del tessuto produttivo italiano ed europeo,
  • ma è utilizzabile anche dalle grandi imprese che operano nei settori delle infrastrutture critiche.