Presentazione Controlli EssenzialiMontanari PDF

CONTROLLI ESSENZIALI DI
CYBERSECURITY
CIS Sapienza Cybersecurity National Lab
Cyber Intelligence and information Security
Definizione di Controllo
Essenziale
“una pratica relativa alla cybersecurity

che, qualora ignorata oppure
implementata in modo non appropriato,
causa un aumento considerevole del
rischio informatico”

Controlli Essenziali sono
parte dello stesso processo
del Framework Nazionale
Strumento che permette di

”iniziare” a parlare la lingua del
Framework Nazionale dedicato a
uno specifico target d’imprese

Imprese target
Le imprese che non
hanno sufficienti
risorse per adottare il
Framework Nazionale
Razionale:
• Indipendenza dalla dimensione
• Possibilità di danni verso terzi in
servizi/prodotti
• Esposizione su internet
• Dati sensibili, personali, know how
nei dispositivi

Imprese target
Se l’organizzazione è parte del

target dovrebbe implementare tutti
i Controlli Essenziali di
Cybersecurity

Definizione di Controllo
Essenziale
Pratica di cybersecurity che, se ignorata,

causa un aumento inaccettabile del
rischio

Processo di definizione di
controlli
• Definizione del set iniziale dei controlli
definito dagli autori accademia, industria
pubblica amministrazione)
• Consultazione pubblica (circa 200
commenti tra esperti e imprese)

Il Cybersecurity Report 2016

I 15 Controlli Essenziali di
Cybersecurity

Cybersecurity
Inventario Gestione
Protezione Formazione e Protezione Protezione Prevenzione
dispositivi e Governance password e
da malware consapev. dei dati delle reti e mitigazione
software account
Controllo Controllo Controllo Controllo Controllo Controllo Controllo Controllo

1 5 6 7 10 11 13 14
Controllo Controllo Controllo Controllo

2 8 12 15
Controllo Controllo
3 9
Controllo
4

Cybersecurity
Inventario dispositivi
e software
Controllo
1 Creare inventari di sistemi, dispositivi, software, servizi
Controllo
2 Minimizzare l’esposizione sui social/servizi da terzi
Controllo
3 Creare inventari di informazioni, dati e sistemi critici
Controllo
Nominare un referente per la cybersecurity
4

Cybersecurity
Governance
Controllo Identificare e rispettare le leggi e i regolamenti

5 relativi alla cybersecurity

Cybersecurity
Protezione da
Malware
Utilizzare e mantenere aggiornato

Controllo
6 software antimalware su tutti i dispositivi che
lo consentono

Cybersecurity
Gestione password e
account
Controllo Utilizzare password lunghe e diverse per ogni account,

7 dismissione vecchi account, autenticazione forte
Controllo Effettuare l’accesso ai sistemi usando

8 utenze personali, non condivise con altri
Controllo Applicare il principio del privilegio minimo

9 di accesso alle risorse

Cybersecurity
Formazione e
consapevolezza
Controllo Eseguire adeguata formazione per tutto il personale,

10 coordinata dai vertici aziendali

Cybersecurity
Protezione dei dati
Controllo Effettuare la configurazione iniziale dei dispositivi

11 tramite di esperti
Controllo
12 Definire procedure di backup dei dati critici
Protezione delle reti
Controllo
13 Utilizzare dispositivi di protezione delle reti

Cybersecurity
Prevenzione e
mitigazione
Controllo In caso di incedente informare i responsabili. Il

14 ripristino viene curato da personale esperto
Controllo Eseguire gli aggiornamenti software/firmware

15
e dismettere hardware e software non più supportato

Guida all’applicazione
Organizzata per tematiche di sicurezza,

per ognuna:
• Descrizione dei Controlli Essenziali
• Esempi di incidenti dovuti alla
carente/errata applicazione
• Relazione tra Controlli Essenziali e
Framework Nazionale

Relazione con il Framework
Nazionale
FUNCTION CATEGORY SUBCATEGORY CONTROLLO
PR.AC-1:Le identità
digitali e le
credenziali di 7 – Le password sono diverse per ogni account, della
accesso per gli complessità adeguata e viene valutato l'utilizzo dei
utenti e per i sistemi di autenticazione più sicuri offerti dal provider
dispositivi
autorizzati sono
del servizio (es. autenticazione a due fattori).
amministrate
Access Control
(PR.AC): L'accesso
agli asset ed alle
relative risorse è
limitato al 8 – Il personale autorizzato all'accesso, sia esso remoto o
PROTECT personale, ai
PR.AC-3: L'accesso locale, ai servizi informatici dispone di utenze personali
(PR) processi, ai
remoto alle risorse è non condivise con altri; l'accesso è opportunamente
dispositivi, alle
amministrato
attività ed alle protetto; i vecchi account non più utilizzati sono
transazioni disattivati
effettivamente
autorizzate
PR.AC-4: Gli accessi

alle risorse sono
amministrati
9 – Ogni utente può accedere solo alle informazioni e ai
secondo il principio
del privilegio minimo sistemi di cui necessita e/o di sua competenza.
e della separazione
delle funzioni

Stima dei costi
Cerchiamo di fornire una stima dei costi
di applicazione dei controlli:
• Basata su un modello (sarà
disponibile a breve sul sito)
• Prendendo come riferimento 2
aziende tipo italiane:
– Micro da 9 dipendenti
– Piccola da 50 dipendenti
La cybersecurity è
ancora un costo certo a
fronte di danno incerto?
Stima dei costi
Tra settembre 2015 e settembre 2016 il
45.2% delle imprese italiane ha subito
almeno un attacco che ha provocato
danni

Stima dei costi
Tra settembre 2015 e settembre 2016 il
45.2% delle imprese italiane ha subito
almeno un attacco che ha provocato
danni
Danno medio per le PMI nel mondo

35.000€ per anno

Stima dei costi
In 5 anni
costo cybersecurity dal 41%
al 76% inferiore al danno
medio
Raccomandazioni
• Come ogni anno

concludiamo il report
con alcune
raccomandazioni
• 5 per le imprese target
• 3 per gli enti governativi

Raccomandazioni per imprese
target
• Processo di sicurezza interno
• Awareness e formazione
• Filiere produttive e il processo di
trasformazione digitale
• Controllo, monitoraggio e valutazione
delle vulnerabilità
• Il rischio cyber all’attenzione dei vertici
aziendali

Raccomandazioni per enti
governativi e regolatori di settore
• Evoluzione verso il Framework

Nazionale per la Cybersecurity
• Aspetti economici della cybersecurity:
sgravi fiscali e incentivi per i virtuosi
• Una certificazione leggera e dinamica
per fornitori di servizi

Conclusioni
• I controlli sono un mezzo per avvicinare
le imprese target al Framework
Nazionale

Conclusioni
Nazionale
• Il processo può essere supportato dalle

associazioni di categoria

Conclusioni
Nazionale
• Il processo può essere supportato dalle

associazioni di categoria
• L’obiettivo per le imprese target è non

far più parte del target
GRAZIE
• Stefano Armenia • Luca Montanari
• Roberto Baldoni • Leonardo Querzoni
• Claudia Biancotti • Lorenzo Russo
• Camillo Carlini • Federico Ruzzi
• Fabrizio d’Amore • Marco Spada
• Luisa Franchina • Emanuele Spagnoli
• Michele Kidane • Annalisa Vitale
Mariam

GRAZIE
www.cybersecurityframework.it/csr2016
staff@cybersecurityframework.it
@CIS_Sapienza
@lucamontanari

Presentazione Controlli EssenzialiMontanari PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Presentazione Controlli EssenzialiMontanari PDF

Caricato da

Copyright:

Formati disponibili

CONTROLLI ESSENZIALI DI

“una pratica relativa alla cybersecurity

CIS Sapienza Cybersecurity National Lab

Strumento che permette di

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

Se l’organizzazione è parte del

CIS Sapienza Cybersecurity National Lab

Pratica di cybersecurity che, se ignorata,

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

Controllo Controllo Controllo Controllo Controllo Controllo Controllo Controllo

Controllo Controllo Controllo Controllo

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

Controllo Identificare e rispettare le leggi e i regolamenti

CIS Sapienza Cybersecurity National Lab

Utilizzare e mantenere aggiornato

CIS Sapienza Cybersecurity National Lab

Controllo Utilizzare password lunghe e diverse per ogni account,

Controllo Effettuare l’accesso ai sistemi usando

Controllo Applicare il principio del privilegio minimo

CIS Sapienza Cybersecurity National Lab

Controllo Eseguire adeguata formazione per tutto il personale,

CIS Sapienza Cybersecurity National Lab

Controllo Effettuare la configurazione iniziale dei dispositivi

Protezione delle reti

CIS Sapienza Cybersecurity National Lab

Controllo In caso di incedente informare i responsabili. Il

Controllo Eseguire gli aggiornamenti software/firmware

CIS Sapienza Cybersecurity National Lab

Organizzata per tematiche di sicurezza,

CIS Sapienza Cybersecurity National Lab

PR.AC-4: Gli accessi

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

Danno medio per le PMI nel mondo

CIS Sapienza Cybersecurity National Lab

• Come ogni anno

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

• Evoluzione verso il Framework

CIS Sapienza Cybersecurity National Lab

CIS Sapienza Cybersecurity National Lab

• Il processo può essere supportato dalle

CIS Sapienza Cybersecurity National Lab

• Il processo può essere supportato dalle

• L’obiettivo per le imprese target è non

CIS Sapienza Cybersecurity National Lab

Potrebbero piacerti anche