Cybersecurity, una guida per l’assessment del proprio Ente

I martedì della cybersecurity/ Il nostro esperto delinea dieci punti di controllo, una check lista pratica e veloce per vedere qual è il livello di a cui il nostro Ente è sottoposto

7 Novembre 2022
Modifica zoom
100%
di LUISA DI GIACOMO*

Abbiamo già parlato di una serie di best practice da adottare per minimizzare il rischio ed il danno informatico, per fare fronte ad un eventuale attacco ed abbiamo successivamente redatto una guida ad un utilizzo consapevole degli strumenti informatici in dotazione alla Pubblica Amministrazione con le dieci regole da adottare sempre allo scopo di minimizzare il rischio (ricordiamo che il rischio zero non esiste).
Proseguiamo questa road map per il comportamento virtuoso degli Enti Locali con un assessment che ogni Ente dovrebbe effettuare su sé stesso per conoscere lo stato di salute della propria infrastruttura informatica.
Dieci punti di controllo, una check lista pratica e veloce per vedere qual è il livello di rischio a cui il nostro Ente è sottoposto

Preparazione utenti

Quanto sono preparati i dipendenti dell’Ente sulle possibili minacce che possono provenire dal web e quanto sono in grado di riconoscerle in maniera indipendente? L’errore umano è la prima causa di attacchi informatici, dai più semplici ai più complessi, e testare la preparazione degli utenti, che sono “l’anello debole” della catena di sicurezza, è sempre una buona idea.

Valutazione vulnerabilità: manutenzione

Quando è stata l’ultima volta che abbiamo fatto fare la manutenzione del o dei software che usiamo quotidianamente? Cioè, come ogni quanto gestiamo in maniera puntuale le versioni dei vari software e relative patch al fine di ridurre l’esposizione ad eventuali vulnerabilità? A tal fine, nel dubbio, è bene abilitare sempre l’aggiornamento automatico, così che il produttore potrà sempre inviarvi gli aggiornamenti relativi minimizzando il rischio di subire attacchi su software vulnerabili. Ricordarsi anche delle versioni non più supportate, cioè quelle talmente vecchie che nemmeno il manutentore ha più il coraggio di metterci mano: in questi casi, il rischio è praticamente massimo.

Valutazione vulnerabilità: protezione

Quali sono i software di protezione presenti nell’Ente? La risposta a questa domanda di solito è “antivirus”, che è un buon punto di partenza, ma non è sufficiente. Verificare se sono presenti sistemi anti spam, anti phishing e connessioni VPN e con quali configurazioni e aggiornamenti.

>> NON SEI ABBONATO? PROVA GRATUITAMENTE PER 15 GIORNI LA GAZZETTA DEGLI ENTI LOCALI.

Policy e regolamenti

Il personale dell’Ente ha carta bianca nella gestione dei propri device, fissi e portatili, o è stato adottato e distribuito a tutti un regolamento informatico? È stata definita una password policy rigida, o ciascuno ha libertà di azione? Le password cambiano ogni tre o sei mesi, ogni nove, o mai? Sono tutti elementi essenziali, collegati al punto numero 1, per valutare la solidità del perimetro di sicurezza della rete.

Accessi

Quando si hanno anche solo tre o quattro computer è bene monitorare gli accessi alle varie aree del server: il nostro server è impostato in modo che “tutti entrano dappertutto e vedono tutto” o ci sono privilegi di accesso differenziati a seconda del ruolo che i vari soggetti ricoprono e delle funzioni svolte?

Configurazione di rete

Allo stesso modo è bene configurare la propria rete in maniera che le comunicazioni con determinati computer siano controllate e limitate. Ad esempio se si hanno dei server in ufficio occorre selezionare con attenzione quali computer potranno collegarsi a questi e da quali posti, o con un firewall, si possono decidere e limitare gli indirizzi esatti cui sarà consentito di accedere a determinate risorse.

Device personali

I dipendenti utilizzano device di loro proprietà per accedere a risorse dell’Ente, o questa pratica è vietata? Dalla risposta positiva o negativa discendono una serie di conseguenze, non solo in termini di sicurezza, ma anche in termini di adempimenti successivi da svolgere.

Crittografia dei contenuti

È buona norma crittografare tutti i contenuti su tutti i device. Così facendo se anche un malintenzionato entra in possesso di dati o peggio ancora di device non riuscirà ad accedervi. Sarebbe opportuno come minimo verificare se gli hard disk e le email contenti informazioni sensibili sono o meno crittografate e che il sito web è in https.

BONUS: i siti internet di tantissimi Enti locali sono in http, cioè comunicano in protocollo non sicuro. Questo, oltre ad essere un rischio per la sicurezza di tutta la rete informatica dell’ente, costituisce un pessimo biglietto da visita per il Comune, che vede campeggiare sulla propria homepage, alla barra degli indirizzi, la dicitura “non sicuro”, oltre ad essere un’esca davvero succulenta per un controllo del Garante.

Backup

Si fa presto a dire backup. Ormai la risposta alla domanda, apparentemente innocente “fate il backup dei vostri dati, è sempre sì, ma non appena si scava un po’ più a fondo emergono le magagne. Ogni quanto viene fatto il backup? In quante copie? Si tratta di backup fisico o virtuale? E dove viene collocato? Anche in questo caso, la risposta a questi interrogativi è essenziale per comprendere il livello di rischio dell’ente.

Assessment continuo

Tutte queste azioni e controlli devono diventare parte di una routine costante, duratura e periodica. Effettuare test, assessment, verifiche, anche eventualmente prove di attacco a carico dei dipendenti (come le esercitazioni anti incendio) è il solo modo per tenere costantemente al riparo il proprio Ente ed uno dei beni più importanti che possiede, ovvero i suoi Dati.

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

CybersecurityL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento