Si è svolto nei giorni scorsi a Roma il Convegno di presentazione dell’Italian Cybersecurity Report 2016 realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cyber Security-CINI. All’iniziativa hanno preso parte le più importanti aziende impegnate nella sicurezza informatica come Microsoft, Cisco, IBM, Huawey, Hewlett Packard.
Il documento, presentato da Roberto Baldoni, responsabile del Center of Cyber Intelligence and Information Security, contiene le proposte dei 15 controlli di sicurezza essenziali per la riduzione dei possibili attacchi informatici oggi sempre più frequenti in molti ambiti delle attività produttive, delle imprese, e delle istituzioni. Si tratta di attivare e implementare un sistema organico di cultura della sicurezza in grado almeno di ridurre i costi e i rischi rilevanti che corrono la maggior parte delle vittime: medie, piccole e micro aziende spesso del tutto impreparate alle aggressioni degli hacker.
Le raccomandazioni si concentrano sulle best practice che le imprese dovrebbero attivare in modo capillare a tutti i livelli della propria organizzazione/struttura: dal vertice aziendale all’ultimo dei collaboratori o dei fornitori esterni all’azienda. È noto il caso recente di un’impressa oggetto di attacco avvenuto in un nodo periferico della propria organizzazione: le macchine automatiche di distribuzione di bevande collegate con la casa madre attraverso la rete.
A partire dalla definizione delle aziende target, indipendentemente dalla loro dimensione, le raccomandazioni possono interessare anzitutto quelle situazioni di imprese dove non esiste una struttura – e spesso una cultura – della sicurezza informatica. Si tratta di imprese che detengono proprietà intellettuali di prodotti o processi destinati a rimanere riservati, che possano essere interessata alla gestione di dati personali (clinici, finanziari, politici etc) o che pure, come tutto lascia immaginare, o che si rivolgono al mondo dell’IoT è destinato ad invadere nei prossimi anni in modo massiccio la privacy degli individui.
Il controllo essenziale viene definito come una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, è in grado di generare un aumento considerevole del rischio informatico.
Il documento completo è disponibile sul sito http://www.cybersecurityframework.it/csr2016
I lavori sono stati conclusi da Alessandro Pansa, Direttore del Dipartimento delle Informazioni per la Sicurezza della Repubblica.
P.R.
