Prevenzione informatica: 15 consigli essenziali

condividi
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Ecco i 15 Controlli Essenziali di Cybersecurity, raccolti per tipologia:

 

Inventario dei dispositivi e del software

1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

2) I servizi web offerti da terze parti a cui si è registrati sono quelli strettamente necessari.

3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

4) È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

 

Governance

5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

 

Protezione da malware

6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (es. Endpoint, antivirus, anti-malware…) regolarmente aggiornato.

 

Gestione password e account

7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori)

8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

 

Formazione e consapevolezza

10) Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

 

Protezione dei dati

11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

 

Protezione delle reti

13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. Firewall e altri dispositivi/software anti-intrusione).

 

Prevenzione e mitigazione

14) In caso di incidente (es. sia rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

Ecco il documento completo:

2016 Italian Cybersecurity Report – Controlli Essenziali di Cybersecurity(http://www.cybersecurityframework.it/sites/default/files/csr2016web.pdf).