Usare il Cybersecurity Framework del NIST, in particolare nella sua declinazione nostrana, ovvero il Framework Nazionale per la Cybersecurity e la Data Protection, risulta un ottimo modo per misurare la cyber security aziendale.
Attraverso una serie di articoli, di cui questo è il capostipite, cercheremo quindi di entrare nel dettaglio delle singole sottocategorie per fornire una lettura di dettaglio delle stesse.
Test di sicurezza informatica col Framework nazionale di cybersecurity: le best practice
Indice degli argomenti
Misurare la cyber security aziendale: gestione degli asset
Oggi affrontiamo la prima sottocategoria: “ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione”.
La gestione degli asset è prevista, in generale, dell’annex A della ISO 27001, richiesta dal Cybersecurity Framework del NIST (ID.AM), dalla NIST SP 800-53, dalle misure minime di sicurezza IT nella circolare n.2/2017 dell’AGID (ABSC1), dal più generale principio di accountability (art. 5.2) nonché dal registro dei trattamenti (art. 30) del GDPR.
Ogni organizzazione deve provvedere a censire in modo preciso e dettagliato ogni apparato fisico in uso presso l’organizzazione stessa. È necessario, quindi, censire le informazioni sull’ubicazione fisica e/o logica di tutti gli apparati quali:
- router, firewall, switch ed altri apparati di rete;
- Access Point e infrastrutture Wi-Fi;
- server fisici e virtuali;
- desktop e notebook;
- smartphone e Tablet;
- sistemi di videosorveglianza;
- sistemi GPS;
- IoT;
e via dicendo.
Uno schema delle reti informatiche
Inoltre, ogni organizzazione dovrebbe avere uno schema della/delle rete/reti informatiche che gestisce. Uno schema di rete permette di avere subito un’immagine chiara della propria infrastruttura informatica.
Gli schemi di rete, in realtà, dovrebbero essere due:
- schema di rete condivisibile: schema della rete informatica privo di riferimenti (numero di IP degli host, subnet usata ecc.) da utilizzare per le attività di audit in ambito compliance (ISO 27001, GDPR ecc.) o per poter illustrare la propria rete ad altri stakeholders;
- schema di rete riservato: schema contenente ogni informazione inerente la struttura di rete da utilizzarsi in ambito operativo per la gestione della rete informatica e per eventuali interventi di manutenzione e di sicurezza. Tale schema deve essere nelle disponibilità dell’IT manager (Amministratore di Sistema) e della direzione e più in generale dell’organizzazione stessa in quanto deve essere utilizzabile, anche in assenza del IT manager o in caso di sua sostituzione. Deve, cioè, rappresentare tutte le informazioni utili a gestire il sistema anche da parte di terzi, se ciò fosse necessario.
Gli schemi di rete devono essere costantemente aggiornati in funzione delle modifiche della rete aziendale. Nessuna modifica deve avvenire senza il conseguente aggiornamento dello schema di rete. L’inventario risulta fondamentale anche per aspetti assicurativi e per gestione dei cespiti aziendali.
Definire la “responsabilità” degli asset
Ogni organizzazione deve anche provvedere a definire una responsabilità degli asset, vale a dire identificare per ogni asset un singolo individuo che ne gestisca il ciclo di vita. Ogni responsabile si assicura che l’asset sia inventariato, sia classificato e protetto, ne verifica i privilegi di accesso, ne gestisce la dismissione/distruzione.
Le linee guida AgID per il censimento degli asset
Secondo le misure minime AgID, il censimento degli asset può avvenire in vari modi, in base alla numerosità dei sistemi da tracciare e alle dimensioni dell’organizzazione.
Pertanto, è possibile avere dei livelli di applicazione diversi:
- Livello 1: Inventariare le risorse manualmente su un foglio di carta o in un file (es. Foglio di Excel);
- Livello 2:Inventariare le risorse attraverso uno strumento automatico;
- Livello 3: Effettuare il discovery dei dispositivi collegati alla rete con software specifici in grado di generare degli allarmi in caso di anomalie;
- Livello 4: Qualificare i sistemi connessi alla rete attraverso un’analisi del loro traffico.
L’organizzazione deve gestire cosa accade sulla rete attraverso i log di connessione:
- Livello 1: Gestione del logging di connessione al server DHCP;
- Livello 2: Utilizzo delle informazioni ricavate dal “logging” DHCP per migliorare l’inventario delle risorse ed identificare quelle non ancora censite.
L’organizzazione deve avere una procedura per gestire l’aggiornamento degli apparati fisici attraverso una delle seguenti modalità:
- Livello 1: Una procedura che preveda l’aggiornamento dell’inventario prima della messa in produzione dell’apparato;
- Livello 2: Un sistema automatizzato che registra il dispositivo quando viene collegato alla rete.
Ogni sistema connesso alla rete è identificato da un numero (IP). L’inventario può essere costruito con più o meno informazioni:
- Livello 1: registro solo il IP dell’apparato;
- Livello 2: identifico IP, nome della macchina, funzione del sistema, luogo in cui è ubicata la risorsa, titolare della risorsa, responsabile della sua sicurezza, dispositivo dell’organizzazione/personale;
- Livello 3: Oltre a quanto previsto al livello 2, vengono identificati ed inventariati anche tutti i dispositivi MOBILE (Smartphone, Tablet, …). L’ideale sarebbe attraverso sistemi di Mobile Device Management (MDM) che permettono una serie di azioni da remoto sui dispositivi mobili.
L’accesso alla rete aziendale deve essere riservato solo agli strumenti autorizzati. A tal fine è possibile operare una serie di attività volte a garantire un accesso sicuro, da quelle più semplici come la gestione dei MAC Address delle schedi di rete autorizzate fino a quelli più strutturati:
- installare un’autenticazione a livello di rete via 802.1x per limitare e controllare quali dispositivi possono essere connessi alla rete. L’802.1x deve essere correlato ai dati dell’inventario per distinguere i sistemi autorizzati da quelli non autorizzati;
- utilizzare i certificati lato client per validare e autenticare i sistemi prima della connessione a una rete locale.
Diversi sono i software che possono essere utilizzati come sistemi di asset inventory, basta effettuare una ricerca veloce con Google per trovare soluzioni proprietarie e sistemi open source. I sistemi usano, normalmente, due tecnologie principali:
- installazione di un agent sui sistemi;
- il discovery dei sistemi tramite scansione della rete.
Entrambi i sistemi hanno pregi e difetti e, in alcuni casi, potrebbe essere necessario usarne due con le due tecnologie per censire i sistemi che non si connettono per forza alla rete (esempio utilizzati da chi lavora da remoto o che vanno in internet ma non tramite la LAN aziendale) ed individuare quei sistemi che vengono connessi alla rete ma non passano dal IT Manager per essere configurati (spesso a volte abusivi) o non accettano l’installazione di agenti.