La crescita dei rischi, determinata dall’estensione del perimetro aziendale – anche per l’adozione del lavoro remoto che ha permesso durante il periodo di restrizioni di proseguire le attività – oggi eleva l’attenzione per la sicurezza informatica che viene considerata “la seconda più alta fonte di rischio per la sopravvivenza aziendale, dopo quello relativo alla conformità normativa“, secondo Gartner.
La sicurezza dei sistemi informatici aziendali è pertanto fondamentale: l’obiettivo è identificare eventuali accessi non autorizzati, avendo come unico scopo la messa in sicurezza dell’infrastruttura e dei dati aziendali in rete. La sicurezza richiede un assessment continuo, ovvero una valutazione periodica dello stato di salute del sistema informatico in tutte le sue componenti, in modo tale da capire se ci sono eventuali falle e predisporre i mezzi per risolverle.
Ma quali controlli bisogna fare e come? Quali sono gli elementi da tenere in considerazione? Cosa è più importante?
Il Center For Internet Security (CIS) associazione no profit indipendente che da oltre un ventennio si occupa di promuovere e diffondere best practice e linee guida per la protezione di enti pubblici e privati dalle minacce informatiche, offre un modello semplice, conciso e adattabile alla singola realtà con le sue peculiarità. Con i suoi 18 controlli, il Center For Internet Security fornisce una lista di misure di difesa di grande efficacia, un buon punto di partenza da conoscere da parte di ciascuna organizzazione di lavoro per ottimizzare la sicurezza informatica.
Vediamo di seguito di cosa si tratta e la loro importanza, anche in termini di priorità, ai fini della protezione dei dati dai numerosi attacchi informatici.
CIS 18: i controlli del Center for Internet Security
Si tratta di pratiche estremamente importanti per le aziende di ogni grandezza. Con l’adozione di questi controlli, le aziende possono prevenire con efficacia gran parte degli attacchi informatici.
Quindi delle vere linee guida per mettere in atto i controlli opportuni per una seria e doverosa difesa contro le continue minacce informatiche. Minacce che possono alterare il regolare funzionamento delle infrastrutture e, una volta andate a segno, provocare per un’azienda danni ingenti e non solo dal punto di vista economico che di credinilità aziendale.
A confermare l’importanza di questa serie di comportamenti, ci sono autorevoli studi di settore che hanno mostrato come sia possibile con l’adozione, anche solo di parte di questi controlli, prevenire una buona percentuale di attacchi informatici. Ovviamente, adottare tutti i controlli e non solo una parte di essi, comporta un sensibile aumento del livello di sicurezza. Una serie di controlli da fare ed eventualmente, decisioni che spettano alle singole organizzazioni di lavoro, implementare con il personale qualificato, i mezzi e gli strumenti a disposizione.
Ora passiamo di seguito a conoscere a grandi linee i 18 controlli critici da attenzionare secondo il Center for Internet Security (CIS).
A maggio 2021 ne è stata rilasciata la versione numero 8, che ha visto il numero totale di controlli scendere dai precedenti 20 a 18 e ha compreso nel proprio perimetro elementi che stanno diventando sempre più presenti quali cloud, virtualizzazione ed outsourcing.
Tale modello propone una serie di punti suddivisi per differenti aree (ad esempio Malware Defenses o Security Awareness Training) e su tre differenti livelli, i cosiddetti implementation group (IG).
Questo approccio prevede che il primo IG rappresenti l’insieme minimo di contromisure che un’organizzazione dovrebbe adottare per proteggersi dalle più comuni tipologie di attacco, realizzando quella che CIS chiama “basic cyber higiene”.
Sulla base di IG1 è possibile in seguito adottare i controlli di IG2 che si adattano ad un livello di complessità operativa superiore ed in seguito ad IG3, che rappresenta il layer in cui la “maturità” chiaramente è massima.
Per saperne di più scarica qui il report di CIS
Ecco l’elenco dei controlli, i quali uniscono elementi prettamente tecnici ad altri più legati all’aspetto organizzativo e/o di governance.
- CIS Control 1 -Inventory and Control of Enterprise Assets: gestire attivamente (inventario, tracciatura, correzione) tutti i dispositivi hardware sulla rete in modo che solo i dispositivi autorizzati abbiano accesso e che vengano trovati e bloccati nell’accesso i dispositivi non autorizzati e non gestiti.
- CIS Control 2 – Inventory and Control of Software Assets: gestire attivamente (inventario, tracciatura e correzione) tutto il software sulla rete in modo che solo il software autorizzato sia installato e possa essere eseguito e che tutto il software non autorizzato e non gestito venga trovato e ne sia bloccata l’installazione o l’esecuzione.
- CIS Control 3: Data Protection: processi e strumenti utilizzati per prevenire l’esfiltrazione dei dati, mitigare gli effetti dei dati esfiltrati e garantire la privacy e l’integrità delle informazioni sensibili.
- CIS control 4 – Secure Configuration of Enterprise Assets and Software: stabilire, implementare e gestire attivamente (tracciare, riferire, correggere) la configurazione di sicurezza dei dispositivi mobili, computer portatili, server e workstation utilizzando una gestione rigorosa della configurazione e un processo di controllo delle modifiche al fine di impedire agli aggressori di sfruttare servizi e impostazioni vulnerabili.
- CIS control 5 -Account Management: gestire attivamente il ciclo di vita degli account di sistema e delle applicazioni (creazione, uso, dormienza, cancellazione) al fine di ridurre al minimo le opportunità di sfruttamento da parte degli aggressori.
- CIS control 6 – Access Control Management: processi e strumenti utilizzati per tracciare / controllare / prevenire / correggere l’accesso sicuro alle risorse critiche (ad esempio informazioni, risorse, sistemi) in base al riconoscimento formale di quali persone, computer e applicazioni hanno necessità e diritto di accedere a tali risorse, basato su una classificazione approvata.
- CIS control 7 – Continuous Vulnerability Management: acquisire, valutare e agire continuamente in base alle nuove informazioni al fine di identificare le vulnerabilità, porre rimedio e ridurre al minimo la finestra di opportunità per gli aggressori.
- CIS control 8 – Audit Log Management: raccogli, avvisare, esaminare e conservare i log di controllo degli eventi che potrebbero aiutare a rilevare, comprendere o recuperare i dati da un attacco.
- CIS control 9 – Email Web Browser and Protections: ridurre al minimo la superficie di attacco e le opportunità per gli aggressori di manipolare il comportamento umano attraverso l’interazione con il browser Web e i sistemi di posta elettronica.
- CIS control 10 – Malware Defenses: controllo dell’installazione, diffusione ed esecuzione di codice dannoso in più punti dell’azienda, ottimizzando al contempo l’uso dell’automazione per consentire un rapido aggiornamento della difesa, della raccolta dei dati e delle azioni correttive.
- CIS control 11 – Data Recovery: processi e strumenti utilizzati per eseguire correttamente il backup delle informazioni critiche con una metodologia consolidata per il loro tempestivo recupero.
- CIS control 12 – Network Infrastructure Management: stabilire, implementare e gestire attivamente (tracciare, riferire, correggere) la configurazione di sicurezza dei dispositivi dell’infrastruttura di rete usando una rigorosa gestione della configurazione e il processo di controllo delle modifiche al fine di impedire agli aggressori di sfruttare servizi e impostazioni vulnerabili.
- CIS control 13 – Network Monitoring and Defense: utilizzare processi e strumenti per stabilire e mantenere il monitoraggio completo della rete e la difesa contro le minacce alla sicurezza nell’infrastruttura di rete dell’azienda e nella base di utenti.
- CIS control 14 – Security Awareness and Skills Training: per tutti i ruoli funzionali dell’organizzazione (dando priorità a quelli mission-critical per la sicurezza), identificare le conoscenze, le capacità e specifiche necessarie per supportare la difesa dell’azienda; sviluppare ed eseguire un piano integrato per valutare e identificare le lacune, rimediare attraverso regole programmatiche, pianificazione organizzativa, formazione e sensibilizzazione.
- CIS control 15 – Service Provider Management: sviluppare un processo per valutare i fornitori di servizi che detengono dati sensibili o sono responsabili delle piattaforme o dei processi IT critici di un’azienda, al fine di garantire che questi fornitori proteggano tali piattaforme e dati in modo appropriato.
- CIS control 16 – Application Software Security: gestire il ciclo di vita della sicurezza di tutto il software sviluppato in proprio e acquisito al fine di prevenire, rilevare e correggere i punti deboli della sicurezza.
- CIS control 17 – Incident Response Management: proteggere le informazioni dell’organizzazione, così come la sua reputazione, sviluppando e implementando un’infrastruttura di risposta agli incidenti (ad esempio. piani, definizione dei ruoli, addestramento, comunicazioni, supervisione) per scoprire rapidamente un attacco e contenere efficacemente il danno, eliminando la presenza dell’attaccante e ripristinando l’integrità della rete e dei sistemi.
- CIS control 18 – Penetration Testing: verificare la forza complessiva delle difese di un’organizzazione (tecnologia, processi, persone) simulando gli obiettivi e le azioni di un attaccante.
I vantaggi delle linee guida del CIS
Riteniamo queste linee guida quindi del tutto utili a ogni azienda, dalle PMI alle grandi organizzazioni. L’impiego dell’insieme di questi controlli e una buona cultura di base tra tutti i lavoratori permette a un’azienda di operare con maggiore tranquillità e sufficientemente al riparo dagli attacchi informatici.
Ignorare tali concetti e lasciare allo scoperto dati e informazioni strategiche potrebbe voler dire compromettere giorni e giorni di intenso lavoro. Anche perché, come già visto, al pari delle novità tecnologiche avanzano gli attacchi informatici, portanti avanti da hacker disposti a tutto pur di centrare l’obiettivo. Tuttavia, nonostante ingenti investimenti fatti in termini di sicurezza informatica per alzare i livelli di protezione dei sistemi, ci sono ancora realtà poco preparate a prevenire gli attacchi e a risanare situazioni pericolose.
Procedere con una serie di comportamenti puramente tecnici è assolutamente consigliabile, di pari passo però serve una cultura generale che spinga i lavoratori a comprendere l’importanza della tematica.
Tutelare un’infrastruttura dagli attacchi informatici con la serie di controlli analizzati con questa guida va benissimo, ma tutto potrebbe risultare inutile al cospetto di lavoratori che lasciano i computer incustoditi con le sessioni di lavoro aperte, le password sulla scrivania o di fronte a lavoratori all’oscuro dei rischi delle minacce inviate dai cyber criminali attraverso la posta elettronica. La messa in campo delle strategie tecniche di ultima generazione e, di personale sufficientemente preparato e aggiornato sul tema della sicurezza, è la sinergia giusta per allontanare i rischi di eventuali attacchi informatici e all’occorrenza per saper ripristinare le situazioni di partenza.
Conclusione
Dare risalto a un tema sempre verde come quello della sicurezza informatica oggi è importante al pari, se non di più, dell’interesse da destinare ad altri aspetti fondamentali di un’azienda. Questo soprattutto alla luce di una costante evoluzione del campo tecnologico, dell’incremento parallelo degli attacchi informatici e dei rischi accidentali che possono comportare la preziosa perdita di dati.
Se hai bisogno di una consulenza a riguardo o stai valutando soluzioni di cybersecurity, contattaci!