Example: marketing

CI S Sa pienza - cybersecurityframework.it

Cyber Intel ligence and information SecurityCIS Sapienza2016 Italian Cybersecurity ReportControlli essenziali di CybersecurityResearch Center of Cyber Intelligence and Information SecuritySapienza Universit di RomaLaboratorio Nazionale CINI di CybersecurityConsorzio Interuniversitario Nazionale per l InformaticaVersione 2017 Cybersecurity National LabCreative Commons LicenseThis work is licensed under a Creative Commons Attribution International License( ).ISBN: 978-88-941-3732-3 Titolo: 2016 Italian Cybersecurity ReportStampato in Italia, Febbraio 2017 Realizzato da:Cyber Intel ligence and information SecurityCIS SapienzaCybersecurity National LabA cura di Roberto Baldoni, Luca Montanari, Leonardo QuerzoniAutori in ordine alfabetico:Stefano ArmeniaRoberto BaldoniClaudia BiancottiCamillo CarliniFabrizio d AmoreLuisa FranchinaMichele Kidane MariamLuca MontanariLeonardo QuerzoniLorenzo RussoFederico RuzziMarco SpadaEmanuele SpagnoliAnnalisa VitaleIndice1 Introduzione e guida alla lettura.

Cybe r In telligence a nd inform ation Secu rity CI S Sa pienza 2016 Italian Cybersecurity Report Controlli Essenziali di Cybersecurity Research Center of Cyber ...

Tags:

  Essenziali

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Advertisement

Transcription of CI S Sa pienza - cybersecurityframework.it

1 Cyber Intel ligence and information SecurityCIS Sapienza2016 Italian Cybersecurity ReportControlli essenziali di CybersecurityResearch Center of Cyber Intelligence and Information SecuritySapienza Universit di RomaLaboratorio Nazionale CINI di CybersecurityConsorzio Interuniversitario Nazionale per l InformaticaVersione 2017 Cybersecurity National LabCreative Commons LicenseThis work is licensed under a Creative Commons Attribution International License( ).ISBN: 978-88-941-3732-3 Titolo: 2016 Italian Cybersecurity ReportStampato in Italia, Febbraio 2017 Realizzato da:Cyber Intel ligence and information SecurityCIS SapienzaCybersecurity National LabA cura di Roberto Baldoni, Luca Montanari, Leonardo QuerzoniAutori in ordine alfabetico:Stefano ArmeniaRoberto BaldoniClaudia BiancottiCamillo CarliniFabrizio d AmoreLuisa FranchinaMichele Kidane MariamLuca MontanariLeonardo QuerzoniLorenzo RussoFederico RuzziMarco SpadaEmanuele SpagnoliAnnalisa VitaleIndice1 Introduzione e guida alla lettura.

2 Alla target del documento42 Controlli essenziali di Cybersecurity.. 73 Guida all applicazione dei controlli.. dispositivi e da password e e dei delle e mitigazione284 Stima dei costi dei Controlli essenziali .. tipo 1: micro-impresa tipo 2: media-impresa di dei costi dei Controlli finali sui costi365 Raccomandazioni.. per le imprese per gli enti governativi e regolatori di settore40 Ringraziamenti.. 43 Executive SummaryAssistiamo ormai a un continuo aumento di attacchi cyber che diventano sempre pi complessi earticolati. Questi attacchi avvengono sfruttando una combinazione di vulnerabilit umane e tecnologicheche permettono ai cyber-criminali l ingresso all interno di una organizzazione. I cyber-criminali nonattaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato infatti realizzatoattaccando decine di migliaia di medie, piccole e micro imprese completamente impreparate a affrontareefficacemente la minaccia.

3 I criminali bloccano l operativit di queste imprese per poi chiedere unriscatto, rubano i loro asset, i loro dati o spiano le loro strategie di business. Questo mette a rischiola sopravvivenza stessa dell impresa. Tuttavia molti di questi attacchi sfruttano vulnerabilit banalipresenti nei sistemi informativi dell impresa o una mancanza di consapevolezza di questa problematicada parte del personale documento propone 15 Controlli essenziali di Cybersecurity che possono essere adottatied implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilit presentinei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agliattacchi pi comuni. I Controlli essenziali di Cybersecurity sono di facile e, quasi sempre, economicaimplementazione e rappresentano una serie di pratiche di sicurezza che non possono essere documento fornisce una guida su come implementare tali controlli essenziali e propone una stimadei costi.

4 Tale stima, seppur pensata per essere semplicemente indicativa, fornisce per l ordine digrandezza dell investimento necessario per portare la propria impresa a un livello di innalzamento dei livelli di sicurezza delle piccole e micro imprese un passaggio fondamentaleper la messa in sicurezza delle filiere produttive. Un numero sempre maggiore di attacchi a grandiimprese capo-filiera viene infatti realizzato grazie a vulnerabilit presenti nelle imprese parte delleloro filiere. Questo innalzamento particolarmente importante in un momento di forte trasformazionedigitale del settore industriale (industria ) che aumenter l integrazione tra le aziende appartenenti auna filiera, aumentando, di conseguenza, anche la superficie d Controlli essenziali di Cybersecurity sono stati derivati, attraverso un processo di progressivasemplificazione, dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa all internodell Italian Cybersecurity Report 2015.

5 Questa scelta stata motivata dalla volont di definire unpercorso virtuoso che dovrebbe portare le piccole e micro imprese a implementare misure di sicurezzavia via pi complesse e articolate aderenti al FNCS, ritrovandosi cos avvantaggiate nel processo didefinizione del proprio profilo di rischio. I Controlli essenziali di Cybersecurity sono stati selezionatiattraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di il documento contiene delle raccomandazioni rivolte alle medie, piccole e micro imprese e aldecisore Introduzione e guida alla letturaAll inizio del 2016 abbiamo pubblicato il Framework Nazionale per la Cybersecurity [1], tratto dalFramework for Improving Critical Infrastructure Cybersecurity del NIST [4] e frutto di un lungoesercizio, che ha avuto origine dalle riflessioni sviluppate negli anni passati relative agli attacchi subitie alle problematiche del nostro sistema di difesa cyber. L idea di fondo stata quella di dare al nostroPaese una lingua comune con cui comunicare all interno di una azienda, tra fornitori e utilizzatoridi soluzioni di sicurezza informatica, indipendentemente dai settori merceologici di strumento quindi in grado di velocizzare le interazioni tra e dentro le organizzazioni in modo darendere pi efficiente e condivisa la risposta alla minaccia cyber.

6 Dal punto di vista governativo, ilFramework rappresenta uno strumento per imporre delle politiche di sicurezza, dipendenti dal settore,e per dare obiettivi precisi, adattabili nel tempo, ai livelli di sicurezza su cui ogni organizzazione, inparticolare governativa, dovrebbe attestarsi. Il Framework introduce inoltre una cultura della gestionedel rischio all interno dell azienda per combattere la minaccia cyber. Questo significa che il periodo incui la sicurezza veniva gestita unicamente in outsourcing definitivamente finito: ogni azienda devenecessariamente impiegare risorse umane interne a difesa dei propri asset aziendali. Questo personaledeve definire e perseguire politiche di sicurezza adattabili nel tempo e in grado di trovare un equilibriotra investimenti e rischio residuo, congeniale rispetto alla esposizione dell azienda alla minaccia , il panorama economico italiano costituito, nella stragrande maggioranza, da una galassiadi imprese medie, piccole e piccolissime nelle quali questo personale specifico non c per questionistrutturali e di fatturato.

7 In molte di queste realt esistono situazioni dove i computer vengono usati inmodo promiscuo (lavoro e tempo libero), dove i server risiedono in luoghi non protetti e dove non si saquanti e quali computer possano connettersi alla rete, dove siano attestati i dati aziendali, la propriet intellettuale, le metodologie di produzione, i progetti innovativi, il libro clienti ecc. Questa galassia diimprese la spina dorsale della nostra economia e la base delle filiere produttive italiane, artefici dellanostra prosperit nazionale. In questo momento esse rappresentano, per il loro modo di operare, unrischio importante per le grandi aziende capi-filiera, poich , come insegnano casi recenti come l attaccoa Target e a Sony, i cyber-criminali entrano nei sistemi delle grandi aziende attraverso vulnerabilit presenti nelle aziende fornitrici. Ad esempio, l attacco alla catena Target, che ha portato a trafugareoltre 40 milioni di dati relativi a carte di credito personali, nato attraverso lo sfruttamento di unavulnerabilit riscontrata nel fornitore di sistemi di riscaldamento/raffreddamento della catena questi sistemi, i cyber-criminali sono arrivati a istallare un malware nei POS presenti alle casse cheinviava loro i dati sensibili non appena un cliente pagava per un bene acquistato [23].

8 Per le ragione appena esposte, il Framework Nazionale per la Cybersecurity non riesce ad arrivarein modo capillare a queste imprese. A questo punto, un valido percorso alternativo consiste nel definiredelle misure minime di sicurezza, spiegate in modo semplice e facilmente attuabili. Questo permette aun amministratore di sistema di un azienda piccola o media, senza specifiche conoscenze di sicurezzainformatica, di implementare tali misure senza troppi problemi. Queste misure minime, chiamate Controlli essenziali di Cybersecurity , sono derivate in modo chiaro dal Framework Nazionale per laCybersecurity in modo che la lingua comune sia 1. Introduzione e guida alla letturaIl documento descrive 15 Controlli essenziali di Cybersecurity dandone una guida di implemen-tazione e una stima indicativa dei costi considerando due tipologie di piccole imprese. I ControlliEssenziali sono stati sottoposti a consultazione pubblica alla quale hanno risposto oltre 200 espertidi settore.

9 Questa consultazione ha dato input sulla rilevanza, sulla sintassi e sulla semantica deisingoli controlli che sono stati accolti nella versione finale della lista pubblicata in questo documento. IControlli essenziali di Cybersecurity non sono elementi statici ma cambiano nel tempo al variare dellatecnologia e dei profili di attacco. Alcuni controlli potrebbero uscire dalla lista, altri potrebbero questo la lista pubblicata in questo documento da considerarsi come passo iniziale di un percorsoin continua evoluzione. Auspichiamo che presto questa lista verr presa in carico da un organismo chegarantir questa evoluzione proprio come avviene in UK con i Cyber Essentials [5], esperienza allaquale ci siamo ispirati per sviluppare questo documento. Tale organismo dovrebbe anche ragionare sucome stimolare un processo di adozione di questi Controlli essenziali all interno di tutte le impreseitaliane, siano esse micro, piccole o medie. Tale adozione sarebbe necessaria per innalzare le difesecyber del cyberspace nazionale in modo omogeneo.

10 L ultima sezione del documento contiene delleraccomantazioni in tal Guida alla letturaIl documento pensato per un determinato insieme di imprese, che rappresentano la stragrandemaggioranza del mercato italiano. Il resto di questo Capitolo dedicato alla identificazione di taleinsieme in Sezione 15 Controlli essenziali sono elencati nel Capitolo 2. Sebbene i singoli controlli siano scritti in mododa essere il pi possibile comprensibili al target di imprese identificato, al fine di massimizzare lacomprensione, si scelto di corredarli con una guida per l applicazione. La guida, organizzata pertematiche di sicurezza, si trova nel Capitolo 3 e riporta:diversi dettagli necessari alla comprensione dei Controlli essenziali e necessari nel processo diapplicazione degli stessi;una serie di esempi di incidenti causati dalla errata o assente applicazione dei controlli;la relazione che lega i Controlli essenziali al Framework Nazionale per la consapevoli che la sicurezza rappresenta sempre un costo certo a fronte di un rischio potenziale,ma ormai chiaro che il rischio cyber a livelli mai raggiunti prima.


Related search queries