L’applicazione del Cybersecurity Framework del NIST, in particolare nella sua declinazione nostrana, ovvero il Framework Nazionale per la Cybersecurity e la Data Protection, consente di misurare la cyber security aziendale.
In questo senso, come abbiamo già visto in un precedente approfondimento, occorre innanzitutto gestire gli asset disponibili in azienda iniziando dai sistemi e dagli apparati fisici in uso nell’organizzazione.
Successivamente, possiamo adottare le linee guida indicate nella seconda sottocategoria del framework: “ID.AM-2: Sono censite le piattaforme e le applicazioni software in uso nell’organizzazione”.
Misurare la cyber security aziendale: ecco come usare il framework NIST
Indice degli argomenti
Censire piattaforme e applicazioni aziendali: ecco come
Ogni organizzazione deve provvedere a censire in modo preciso e dettagliato ogni piattaforma e applicazione software in uso presso l’organizzazione stessa. È necessario, quindi, censire le informazioni di tutte le applicazioni software, quali:
- sistemi operativi utilizzati;
- software applicativo generale (client di mail, word processor, foglio di calcolo ecc.);
- applicativi specifici aziendali (Gestionali, ERP, CRM ecc.);
- software di corredo (PDF reader, WinZip ecc.);
- Software as a Service erogato in cloud (Office 365, Google App, gestionali, timesheet ecc.);
- piattaforme per la gestione di siti internet;
- software di utility (software di inventory, antivirus, consolle varie ecc.).
L’installazione del software sui sistemi di produzione deve avvenire con apposite procedure che comprendano, tra le altre cose, che:
- l’installazione, l’aggiornamento e la manutenzione del software, delle applicazioni e delle librerie sia effettuato solo da persone autorizzate, formate ed addestrate;
- siano definite le modalità con cui vengono definite ed autorizzate l’implementazione delle patch rilasciate dal produttore;
- sui sistemi di produzione debba essere presente solo gli applicativi nel loro formato eseguibile e non il codice di sviluppo utilizzato per gli stessi;
- le applicazioni sono installate solo dopo opportuni test in ambienti di test diversi da quelli della produzione;
- sia implementata sempre una strategia di rollback (ovvero un’operazione che permetta di riportare il software alla versione precedente) prima di implementare dei cambiamenti;
- vi sia la registrazione di un log di tutte le attività svolte;
- le versioni precedenti dei software siano archiviate per tenerne memoria storica;
- i software non più supportati dal produttore devono essere oggetto di dismissione;
- siano note le modalità con cui i fornitori possono accedere ai software installati;
- siano determinate attività di VA/PT dei vari sistemi;
- siano definite le matrici soggetti/permessi di coloro che possono accedere ai software ed alle applicazioni.
Come applicare le misure minime di AgID
Per completare il censimento delle piattaforme e delle applicazioni software in uso nell’organizzazione, è opportuno adottare anche le misure minime AgID.
- [ABSC_ID 2.1.1]: Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.
Ovviamente non basta stilare un elenco dei software autorizzati ma bisogna anche definire con quali strumenti assicurarsi che solo i software autorizzati siano installati nei sistemi aziendali. Tale punto è anche significativo per l’organizzazione e per la sua direzione, essendoci il reato penale connesso (art. 171-bis c.p.) che ha riflessi anche in ambito di responsabilità d’impresa (art. 25-novies D.Lgs. 231/2001).
- [ABSC_ID 2.2]:
- LIVELLO 1: Implementando una “whitelist” delle applicazioni autorizzate, bloccando l’esecuzione del software non incluso nella lista. La “whitelist” può essere molto ampia per includere i software più diffusi.
- LIVELLO 2: Per sistemi con funzioni specifiche (che richiedono solo un piccolo numero di programmi per funzionare), la “whitelist” può essere più mirata. Quando si proteggono i sistemi con software personalizzati che può essere difficile inserire nella “whitelist”, ricorrere al punto ABSC 2.4.1 (isolando il software personalizzato in un sistema operativo virtuale).
- LIVELLO 3: Utilizzando strumenti di verifica dell’integrità dei file per verificare che le applicazioni nella “whitelist” non siano state modificate.
- [ABSC_ID 2.3]:
- LIVELLO 1: Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato.
- LIVELLO 2: Mantenere un inventario del software in tutta l’organizzazione che copra tutti i tipi di sistemi operativi in uso, compresi server, workstation e laptop.
- LIVELLO 3: Installare strumenti automatici d’inventario del software che registrino anche la versione del sistema operativo utilizzato nonché le applicazioni installate, le varie versioni ed il livello di patch.
- Infine è opportuno avere la maggior segregazione possibile dei software, in modo particolare per le applicazioni software più importanti: [ABSC_ID 2.4.1]: Utilizzare macchine virtuali e/o sistemi air-gapped per isolare ed eseguire applicazioni necessarie per operazioni strategiche o critiche dell’Ente, che a causa dell’elevato rischio non devono essere installate in ambienti direttamente collegati in rete.
