Cybersecurity – Consulenza ISO 27001

In questo articolo riporto degli esempi di minacce a cui sono esposti i sistemi informatici di molte aziende e altri esempi di azioni da intraprendere per evitarle, seguendo l’approccio da consulente di sistemi di gestione delle informazioni – ISO 27001.

Premetto che non sono un esperto informatico e quindi non è un testo tecnico, ma un semplice elenco di casi per non specialisti utile (spero) per sensibilizzare e verificare se la propria azienda è al riparo da minacce esterne e anche interne.

Inizio con la definizione di “cybersecurity” tratta da Wikipedia: ambito della sicurezza informatica che dipende solo dalla tecnologia; con esso si mettono in rilievo la resilienza, la robustezza e la reattività che una tecnologia deve avere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance (attacchi cyber).

Sistema di gestione delle informazioni – ISO 27001

La cybersecurity è una parte rilevate del sistema di gestione delle informazioni – ISO 27001

Cybersecurity è un termine molto trendy, ma potremmo benissimo parlare di protezione/sicurezza informatica. Una consulenza completa ISO 27001 prevede l’analisi di tutti i sistemi utilizzati per raccogliere, modificare, conservare, trasmettere e distruggere le informazioni.

I dati potrebbero anche non essere trattati con sistemi elettronici automatizzati (es. progetto stampato su carta), ma in questo articolo tratto le informazioni archiviate e trasmesse su supporti digitali.

sistema gestione informazioni ISO 27001

Punto 1: identificare i dati e classificarli

Un’azienda per prima cosa deve capire che dati tratta e assegnare una classificazione agli stessi.

Ad esempio per un’impresa che progetta e produce stampi, il disegno tecnico e le specifiche di progettazione dello stampo sono informazioni fondamentali che probabilmente hanno maggior valore rispetto alle schede tecniche dei prodotti chimici utilizzati dal dipendente che si occupa delle pulizie – mentre per un’impresa di pulizia le informazioni presenti nelle schede tecniche dei prodotti chimici sono indispensabili.

Consiglio di classificare le informazioni per categorie, quali ad esempio: dati dei clienti per finalità di marketing, dati amministrativi per la gestione contabile, dati del personale per l’organizzazione aziendale, dati dei progetti per la produzione.


Vuoi gestire in modo sicuro i dati e le informazioni della tua azienda? Affidati ad un professionista ISO 27001

Punto 2: identificare dove sono contenuti e trattati i dati

Una volta che l’azienda ha ben chiaro il valore delle informazioni deve correlarle a tutti gli asset che le contengono o le trattano, quali:

  • i server fisici e virtuali;
  • le applicazioni, inclusi i database management system, le applicazioni server e quelle accessibili da Internet;
  • i personal computer fissi;
  • i personal computer e dispositivi informatici portatili (cellulari, tablet, ecc.);
  • la rete informatica;
  • le apparecchiature della rete informatica.

Consiglio di predisporre un semplice foglio Excel con l’inventario di tutti gli asset (hardware, accessi in rete, software) associato ai vari utenti autorizzati ad utilizzarli e accedervi.

server sicurezza informazioni ISO 27001

Vanno considerati tutti gli asset dove viaggiano informazioni. Ad esempio si sta sempre più utilizzando, anche nelle attività manufatturiere, l’internet delle cose (IoT); un’azienda potrebbe comandare una macchina utensile da remoto: fantastico, ma vuol dire anche che qualche malintenzionato potrebbe entrare nella rete aziendale da una “porta aperta” del collegamento alla macchina utensile.

Punto 3: individuare le minacce per la sicurezza dei dati

Si procede con individuare le minacce, partendo dall’individuazione degli agenti di minaccia:

  • persone malintenzionate;
  • persone non malintenzionate;
  • gli strumenti tecnici;
  • la natura.
sicurezza dati online ISO 27001

Si individuano poi le tecniche di minaccia, quali ad esempio:

  • individuare le password verificando con dei software tutte le password possibili con un attacco detto brute force, spesso iniziando con le password più comuni con un attacco a dizionario;
  • inviare una email ad un utente affinché acceda con la propria password ad un sito apparentemente legittimo ma fasullo (phishing, per ricordare l’espressione “pescare password”);
  • inviare email di phishing ma con un contenuto personalizzato rispetto all’utente (spear phishing);
  • un esterno può approfittare della disattenzione di qualcuno per rubargli il pc, cellulare e/o tablet, con violenza o con destrezza;
  • ipod slurping: un malintenzionato chiede ad una persona di collegare il proprio dispositivo portatile al suo computer, per esempio per poterlo caricare. Il dispositivo però fa partire un programma che copia tutti i dati del pc nella propria memoria senza che il malcapitato se ne accorga.


Vuoi gestire in modo sicuro i dati e le informazioni della tua azienda? Affidati ad un professionista ISO 27001

Punto 4: valutare il rischio

Una volta che i dati sono stati identificati, classificati e correlati agli asset bisogna valutare il rischio per definire le misure (punto 5) atte a garantire la sicurezza delle informazioni, come ad esempio la:

  • segretezza dei progetti e ricerche (Riservatezza);
  • accuratezza di tutti i dati economici e di produzione (Integrità);
  • disponibilità dei sistemi informatici (Disponibilità).

Nel valutare il rischio si deve considerare la vulnerabilità: debolezza di un asset o di un controllo di sicurezza che può essere sfruttata da una o più minacce.

Punto 5: adottare le misure per mettere in sicurezza i dati

Le aziende devono affidarsi ad un esperto informatico che insieme alla direzione e al consulente di fiducia in materia di sicurezza delle informazioni stabiliscano la policy per proteggere i dati (patrimonio aziendale).

sicurezza dati email aziendali

Di seguito riporto un breve elenco di alcune misure di cybersecurity (gli informatici mi scuseranno, ma vuole essere di facile lettura):

  • Rete aziendale:
    • installare un firewall: “muro che protegge la rete”;
    • verificare che gli accessi alla rete siano autorizzati e che avvengano tramite VPN;
    • verificare gli accessi “hosted” di software di controllo remoto (es. TeamViewer): l’operatore che si collega deve essere censito nel software;
    • Wireless: dividere le reti (i telefonini ad esempio si devono collegare alla rete “esterna”) – adottare almeno il protocollo di sicurezza WPA, meglio se WPA2.
  • Personal Computer:
    • fare in modo che gli impiegati operino come “utenti” senza avere potere decisionale – l’amministratore della macchina non può essere una persona semplice;
    • adottare sempre per i vari accessi credenziali di autentificazione;
    • adottare sistemi per la conservazione delle password: sistemi in cloud con autentificazione a due fattori (II livello).
  • Mail: devono avere le comunicazioni SSL e una policy per la gestione delle password.
  • Software: aggiornare i sistemi operativi.
  • Sito web: deve essere in https.
  • Backup:
    • predisporre idonee procedure di backup;
    • predisporre di idonee procedure ripristino dei dati;
    • verificare periodicamente l’efficacia delle procedure di backup e ripristino dati.

Nell’adottare queste misure bisogna considerare anche la classificazione dei dati: a volte non serve implementare misure di sicurezza “eccessive” per proteggere dati di poco interesse.

Per una corretta implementazione della Cyber Security hai bisogno di un Consulente ISO 27001: contattaci!

Contatta Studio Scudo per una Consulenza

Analizzeremo insieme la situazione per proporti la migliore soluzione per la tua azienda.

Informativa al trattamento dei dati personali privacy policy



Acconsento al trattamento dei dati personali per l’iscrizione alla mailing list – newsletter con finalità di marketing diretto come specificato nella privacy policy