La nuova guida europea ai controlli di sicurezza delle informazioni per le piccole e medie imprese

L’associazione Small Business Standards SBS pubblica una preziosa guida gratuita al fine di accompagnare le piccole e medie imprese nella definizione di una strategia in materia di protezione delle informazioni e nell’implementazione di sedici controlli minimi indispensabili a tutela delle imprese controlli sulle persone, organizzativi e tecnologici .

La sicurezza informatica costituisce uno strumento indispensabile, un prerequisito per la tenuta della nostra economia, la transizione digitale delle nostre imprese e delle nostre vite e la competitività del nostro paese. Nella strategia europea 2030 Il Decennio Digitale viene previsto l’utilizzo di servizi di cloud computing, big data e intelligenza artificiale da parte del 75% delle imprese. Il 99% delle aziende in Europa è costituito da PMI. L’ European DIGITAL SME Alliance e SBS Small Business Standards ha pubblicato una specifica guida in lingua inglese sui controlli di sicurezza delle informazioni per le piccole e medie. Il documento in esame si pone come un prezioso punto di riferimento nel settore in quanto costituisce la prima guida in materia in Europa. La guida ai controlli di sicurezza delle informazioni per le piccole e medie imprese è stata tradotta in italiano dalla Italian Digital SME Alliance con il supporto di CNA Milano, Assintel, Confindustria digitale, Italia4blockchain. Il sopra citato documento è finalizzato a guidare non solo le imprese del settore ICT ma le imprese di tutti i settori e si rivolge ai manager e ai quadri delle nostre imprese. Il documento specifica in apertura come la sicurezza delle informazioni riguardi la protezione delle informazioni , indipendentemente dal supporto fisico, audio o video, e su supporti e sistemi digitali , mentre la sicurezza delle ICT riguarda la protezione dei sistemi ICT e dei dati che contengono ed elaborano. La guida in esame tende a colmare un deficit delle nostre imprese il ritardo nell’adozione di sistema di gestione delle informazioni sulla privacy e nell’implementazione degli standard ISO/IEC 27001 e 27701. I sopra citati standard sono documenti ancora troppo complessi e presentano troppi costi per le nostre imprese. Le nostre imprese devono, tuttavia, alla luce dell’aumento degli attacchi informativi, dotarsi di procedure per la sicurezza delle informazioni, al fine di tutelarne i tre valori fondamentali riservatezza, integrità e disponibilità. Nel documento viene sottolineato come nel 2019, Eurostat abbia stimato che solo il 33% delle imprese europee dispone di documenti relativi a provvedimenti, prassi o procedure sulla sicurezza delle ICT e che, solo il 24% ha definito o rivisto questi documenti negli ultimi 12 mesi. La guida in esame tende a colmare questo gap e ad aiutare le imprese a implementare controlli minimi raccomandati per proteggere le proprie informazioni, mantenere la fiducia dei consumatori e rispettare le disposizioni del GDPR. La guida in esame è stata scritta da imprese e specialisti del settore per altre imprese non si tratta, pertanto, di un documento calato dall’alto o adottato da enti terzi lontani dal contesto industriale e produttivo. La guida è basata su standard internazionali , in primis ISO/IEC 27002 nonché le norme ISO/IEC 27701, 17021, 17065 e il GDPR ed è divisa in due parti. La prima parte illustra la necessità di una strategia e di obiettivi chiari per un'implementazione ottimale dei controlli di sicurezza e presenta i concetti di base in tema di privacy e la loro rilevanza per i controlli di sicurezza, le certificazioni e la conformità al GDPR. La seconda parte suggerisce i sedici controlli minimi indispensabili, che le PMI devono implementare per proteggere le proprie informazioni e per conformarsi al GDPR. Il documento intende fornire un supporto per l’evoluzione delle PMI che desiderano acquisire sicurezza informatica tramite l’adozione di pratiche corrette . Il documento è finalizzato a sensibilizzare sulle problematiche affrontate dalle PMI e aiutare i dirigenti a indirizzare le attività che il proprio personale tecnico o i provider di servizi di sicurezza devono svolgere. La guida richiama l’attenzione delle nostre imprese in merito a questioni relative all’importanza della protezione delle informazioni capitolo 4 , alla protezione della privacy e conformità al GDPR capitolo 5 , alla governance della sicurezza delle informazioni capitolo 6 , ai controlli per la sicurezza delle informazioni capitolo 7.1 . Il documento ha il pregio di illustrare in termini semplici e divulgativi i principali concetti, definizioni ed istituti in materia di sicurezza delle informazioni e in materia di protezione dei dati personali e di accompagnare le nostre imprese nel percorso di consapevolezza verso un sistema di gestione della sicurezza delle informazioni PIMS e verso la scelta e l'adattamento degli standard. Gli standard per la sicurezza delle informazioni aiutano le nostre imprese ad adottare le azioni più idonee, in conformità con i regolamenti, per gestire una situazione specifica di una determinata entità e aumentare la competitività. Quali sono i vantaggi per un imprenditore di dotarsi di un PIMS? Secondo la guida un PIMS genera fiducia nella capacità dell’azienda di gestire le informazioni personali, sia nei clienti che nei dipendenti facilita la dimostrazione della conformità al GDPR e ad altre normative sulla privacy applicabili. Il PIMS chiarisce ruoli e responsabilità all'interno dell'azienda, migliora la competenza interna e i processi per evitare violazioni, offre trasparenza in merito ai controlli di gestione della privacy stabiliti, semplifica gli accordi con i partner commerciali, qualora la gestione delle PII Informazioni di identificazione personale sia importante per entrambe le parti, consente una facile integrazione con lo standard principale per la sicurezza delle informazioni ISO/IEC 27001. La guida ha il pregio di descrivere alle nostre imprese che cosa sia la governance della sicurezza delle informazioni. La governance della sicurezza delle informazioni riguarda l'uso di asset per garantire un'implementazione efficace della sicurezza delle informazioni e fornisce la garanzia che vengano rispettate le direttive in materia di sicurezza delle informazioni. La guida sottolinea come l' organo direttivo dell’impresa deve ricevere una reportistica affidabile e pertinente in merito alle attività inerenti alla sicurezza delle informazioni. Il documento evidenzia come l'implementazione di controlli di sicurezza, in assenza di una precisa strategia e di obiettivi chiari può renderli inefficaci e persino dannosi per l'azienda. La governance aziendale è pertanto indispensabile e ricomprende sia la governance IT, che indirizza l'implementazione delle tecnologie dell'informazione e della comunicazione e sia la governance della sicurezza delle informazioni, che guida la gestione delle informazioni nel complesso avremo l’EGIT - Enterprise Governance of Information and Technology. Quali sono i vantaggi che derivano dall’implementazione di EGIT? secondo il documento i vantaggi sarebbero tre l’ottenimento di vantaggi, l’ottimizzazione del rischio e degli asset. La parte più interessante e utile della guida è costituita dalla sezione sui controlli per la sicurezza delle informazioni e la protezione dei dati personali. L’ottica è garantire alle nostre imprese una protezione minima efficace dei dati aziendali, in luogo dei complessi 114 controlli previsti dallo standard ISO/IEC 270002, il documento descrive e raccomanda l’applicazione di 16 controlli. I controlli riguardano differenti livelli di protezione e sono classificati in quattro distinte categorie a Controlli sulle persone b Controlli organizzativi c Controlli parzialmente organizzativi/tecnologici d Controlli tecnologici relativi all’ICT . La guida indica alle imprese non solo cosa devono fare ma anche come fare, in particolare come le PMI devono attuare azioni concrete per implementare il controllo e raggiungere il relativo obiettivo. Tutti i controlli presentano la medesima struttura. composta da Controllo una descrizione chiara dell’azione da avviare e portare a termine Obiettivo illustra, per quanto possibile, l'obiettivo che il controllo intende raggiungere, in modo SMART Ambito il contesto che il controllo intende considerare Situazione attuale una visione pragmatica dell'attuale situazione del controllo all'interno delle PMI. Alcune PMI sono, naturalmente, molto più conformi e abituate alle buone pratiche Guida un elenco di azioni obbligatorie dettagliate necessarie per effettuare il controllo, corredato, se del caso, da una procedura pratica riportata in un allegato. I Controlli sulle persone sono finalizzati a sensibilizzare il personale delle PMI in materia di sicurezza delle informazioni e a stabilire delle linee guida per il personale e gli utenti delle PMI, che consentano loro di conformarsi agli obiettivi di sicurezza delle informazioni mediante la consapevolezza, l’addestramento e la formazione. I Controlli organizzativi si focalizzano, invece, sul lato gestionale della sicurezza delle informazioni, utilizzando la matrice RACI che specifica il tipo di relazione fra la risorsa e l'attività Responsible, Accountable, Consulted, Informed e indica in termini operativi chi fa che cosa , all'interno di una organizzazione. La guida richiama l’attenzione delle imprese sulla necessità della PMI che organizza la sicurezza delle proprie informazioni, di definire e assegnare i ruoli principali relativi alla sicurezza al personale responsabile, stabilendo precisi meccanismi di reportistica alla dirigenza I controlli organizzativi si focalizzano qui seguenti profili Controllo N. 1 Gestione degli asset compresa la procedura di classificazione Controllo N 2 Politiche, standard e linee guida Controllo N 3 Gestione degli incidenti Controllo N 14 Aspetti di sicurezza delle informazioni in relazione ai fornitori Controllo N 15 Organizzazione della sicurezza delle informazioni Controllo N 16 Ulteriori controlli sulla privacy. I Controlli parzialmente organizzativi/tecnologici si concentrano invece sul controllo N 4 sulla Gestione del controllo degli accessi. I Controlli tecnologici relativi all’ICT riguardano, invece, la maggior parte delle attività tecniche necessarie per proteggere la rete dell'impresa e affrontano i seguenti aspetti facilitare lo scambio dei dati e impostare procedure adeguate per il backup degli stessi, nonché per il lavoro a distanza affrontare e gestire vulnerabilità, minacce informatiche e malware garantire adeguate misure di salvaguardia e preservare la continuità operativa a seguito di un attacco informatico. I controlli tecnologici approfondiscono i seguenti profili Controllo N 5 Sicurezza di rete e scambi di dati Controllo N 6 Gestione delle vulnerabilità Controllo N 7 Protezione contro i malware Controllo N 8 Gestione dei backup Controllo N 9 Gestione delle misure di salvaguardia Controllo N 10 Prontezza ICT per la continuità operativa Controllo N 11 Lavoro a distanza Controllo N 12 Monitoraggio delle minacce informatiche. La guida approfondisce il profilo dei backup poiché le informazioni sono gli asset più preziosi di un'azienda, è necessario disporre di copie che ne garantiscano la disponibilità, l'integrità e la riservatezza. Il documento richiama l’attenzione delle aziende su necessità di eseguire e verificare periodicamente copie di backup di informazioni, software e configurazioni di sistema, in conformità alla politica di backup definita. La guida sottolinea come per aver maggiori probabilità di intascare il riscatto per il recupero delle informazioni, i criminali informatici cercano di eliminare le copie di backup prima di procedere alla crittografia delle informazioni, utilizzando un ransomware. Risulta pertanto strategico per le nostre imprese sviluppare una politica in materia backup e una specifica procedura. La politica in materia di backup ha lo scopo di stabilire i requisiti dell'azienda in merito ai backup di informazioni, software e configurazioni, per definire anche il profilo della conservazione, nonché i requisiti di protezione dei backup per ciascun tipo di informazione. In riferimento alla procedura di backup, il documento consiglia di utilizzare la strategia di backup 3-2-1 - 3 Conservare almeno 3 copie dei dati - 2 Conservare 2 copie in due luoghi diversi - 1 Conservare almeno 1 copia in un luogo al di fuori della sede dell’azienda. La guida specifica che una copia sono i dati di produzione, le altre due copie sono i backup. Ciascuna di queste copie deve contenere la stessa versione dei dati, a partire dalla medesima data. I dati di backup devono essere soggetti a un livello adeguato di protezione fisica e ambientale, coerente con le norme applicate presso la sede dell’azienda. Tutti i backup devono essere crittografati. L'accesso al software di backup e al luogo di archiviazione deve essere protetto con credenziali di amministrazione specifiche. Il documento ricorda alle imprese che i file di log dei backup devono essere esaminati quotidianamente, per verificare che le copie siano state completate correttamente e che non vi siano stati errori e sottolinea come almeno una delle copie deve trovarsi in un luogo diverso, a una distanza sufficiente per essere al sicuro qualora si verifichi una situazione di emergenza nella sede aziendale. La guida in esame nel suo complesso costituisce u no degli strumenti più interessanti degli ultimi anni , in quando siamo in presenza di un documento ben strutturato che non si rivolge solo agli addetti ai lavori. Siamo in presenza di un documento, come abbiamo visto, rivolto alle imprese scritto da imprese e professionisti. La portata del documento si estende anche al di là del settore produttivo in quanto è finalizzato a tutelare la società digitale nel suo complesso. La guida rappresenta come la sicurezza informatica costituisca un requisito per l’intera catena di approvvigionamento, che garantisce il passaggio graduale dei processi industriali dal mondo fisico al cyberspazio. La guida è utile in quanto offre spunti e suggerimenti preziosi per rendere consapevole la governance delle imprese sull’importanza di proteggere le informazioni e rispettare le diverse leggi, incluso il GDPR. Il documento approfondisce nell’allegato A il profilo strategico della tecnica per la classificazione delle informazioni. Negli ultimi mesi i cyberattacchi continuano a crescere sia a livello quantitativo che qualitativo con sempre più violazioni di dati, le misure per salvaguardare le proprie risorse digitali stanno diventando più complesse e costose per le nostre imprese. La guida alla luce del sopra citato contesto di attacchi informatici è preziosa perché finalizzata ad accompagnare gli enti nel percorso di attuazione di una politica efficace in materia di protezione dei dati e suggerisce alle imprese e ai consulenti i sedici controlli per supportare e consigliare la governance sulle azioni più idonee da adottare. La guida costituisce il punto di partenza di in percorso di sensibilizzazione e di compliance in materia di sicurezza informatica e raccomanda che le PMI, comprese le microimprese, che non dispongono di un DPO dedicato o di professionisti della sicurezza, si rivolgano a PMI e/o a professionisti della sicurezza informatica per garantire un'adeguata protezione dei propri dati.

Small Business Standards, Guida europea ai controlli di sicurezza delle informazioni per le piccole e medie imprese, 2022