Il 9 marzo scorso, abbiamo informato i lettori del sito del fatto che sul sito dei servizi segreti erano stati resi pubblici i testi completi del Quadro strategico nazionale per la sicurezza dello spazio cibernetico (PDF 2,4 MB) e del Piano nazionale per la protezione cibernetica e la sicurezza informatica (PDF kB 713).

Si tratta di documenti complessi, che sono un sicuro segnale di evoluzione positiva e di indice di maturità del Sistema di sicurezza nazionale.

Oggi, avvisiamo i lettori che da pochi giorni, sempre sul sito dei servizi segreti, a cura dell’Avvocato Stefano Mele, specialista della materia, è stato pubblicato un breve articolo che riassume le “best practice” alle quali debbono attenersi le Piccole e Medie Imprese che, come è noto, spesso non sono in grado di difendersi efficacemente.

In particolare, l’autore ricorda l’obbligo di adottare le note Misure Minime di Sicurezza perviste dal Codice della Privacy e, più nello specifico, dall’allegato Disciplinare tecnico. Se, fin qui, non vi è nulla di nuovo, riteniamo invece di grande interesse l’elenco in 15 punti delle best practice, che qui riassumiamo sinteticamente:

1. Creare una lista di applicazioni considerate affidabili e indispensabili;

2. Configurare in maniera sicura tutto l’hardware e il software;

3. Correggere efficacemente e rapidamente le vulnerabilità;

4. Disattivare l’account di amministratore locale e ridurre i privilegi di ‘amministratore/root’;

5. Configurare gli account degli utenti con privilegi minimi;

6. Impostare password complesse, da modificare ogni 3 mesi;

7. Predisporre un’efficace difesa del perimetro della rete aziendale (firewall e network-based intrusion detection/prevention system);

8. Utilizzare su tutto il parco dei dispositivi aziendali – sia fissi, che mobili – sistemi di analisi, identificazione e protezione in tempo reale;

9. Implementare specifici sistemi di protezione al fine di diminuire il rischio d’infezione attraverso malware;

10. Impiegare sistemi automatizzati di analisi e filtro dei contenuti web;

11. Predisporre un sistema centralizzato di raccolta, archiviazione e analisi in tempo reale dei file di log;

12. Prevenire l’uso non autorizzato e la trasmissione di informazioni aziendali riservate;

13. Adottare una politica di utilizzo e controllo dei supporti di memoria rimovibili;

14. Attuare un’efficiente politica di backup e di disaster recovery;

15. Avviare al più presto programmi di formazione del personale.

Non possiamo che concordare con l’autore, il cui articolo, però, riteniamo dovrebbe soffermarsi con maggiore attenzione al concetto di “perimetro aziendale”, indicato al punto 7 (e non solo), con riferimento ai concetti di virtualizzazione e, soprattutto, di cluod computing nelle sue diverse accezioni (pubblico, privato, Infrastructure as a Service – IaaS, Software as a Service – SaaS e Platform as a Service – PaaS).

Infatti, le best practice diffuse dall’autore non intendono essere un compendio di Data protection, ma vogliono essere un riferimento in tema di Cyber Security.

Non vogliamo addentrarci nei temi dello spionaggio internazionale tra organizzazioni e paesi o citare il solito caso Snowden. Quindi vogliamo restare nel concreto settore delle PMI.

Tutti sappiamo quante poche risorse (ma soprattutto attenzioni) possano essere destinate alla Cyber Security, ma nodimeno risulta evidente la necessità di difendersi non solo dagli attacchi degli outsider, o da quelli, subdoli, degli insider “tradizionali”, ma da una nuova categoria di soggetti, cioè i fornitori di servizi interni che però agiscono dall’esterno dei servizi tradizionali. Ci riferiamo soprattutto ai fornitori dei servizi di cloud computing.

In effetti, oggi è difficile (in realtà, impossibile!) difendersi dallo spionaggio (a volte condotto con espedienti legali) dai fornitori dei servizi di cloud, che possono rivendere o rielaborare le informazioni acquisite per mezzo dei servizi offerti.

Questo, a prescindere dai rischi, non bassi, che si corrono comunque con l’utilizzo di piattaforme di cloud computing.

Per il resto, complimenti all’autore!