Assistiamo ormai a un continuo aumento di attacchi cyber che diventano sempre più complessi e articolati.

Questi attacchi avvengono sfruttando una combinazione di vulnerabilità umane e tecnologiche che permettono ai cyber-criminali l’ingresso all’interno di una organizzazione.
I cyber-criminali non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese completamente impreparate a affrontare efficacemente la minaccia.

I criminali bloccano l’operatività di queste imprese per poi chiedere un riscatto, rubano i loro asset, i loro dati o spiano le loro strategie di business.

Questo mette a rischio la sopravvivenza stessa dell’impresa.
Tuttavia molti di questi attacchi sfruttano vulnerabilità banali presenti nei sistemi informativi dell’impresa o una mancanza di consapevolezza di questa problematica da parte del personale interno.
Questo documento propone 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni. I Controlli essenziali di Cybersecurity sono di facile e, quasi sempre, economica implementazione e rappresentano una serie di pratiche di sicurezza che non possono essere ignorate.
Il documento fornisce una guida su come implementare tali controlli essenziali e propone una stima dei costi.
Tale stima, seppur pensata per essere semplicemente indicativa, fornisce però l’ordine di grandezza dell’investimento necessario per portare la propria impresa a un livello di preparazione
essenziale.

L’innalzamento dei livelli di sicurezza delle piccole e micro imprese è un passaggio fondamentale per la messa in sicurezza delle filiere produttive.

Un numero sempre maggiore di attacchi a grandi imprese capo-filiera viene infatti realizzato grazie a vulnerabilità presenti nelle imprese parte delle loro filiere. Questo innalzamento è particolarmente importante in un momento di forte trasformazione digitale del settore industriale (industria 4.0) che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando, di conseguenza, anche la superficie d’attacco.
I Controlli Essenziali di Cybersecurity sono stati derivati, attraverso un processo di progressiva semplificazione, dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa all’interno dell’Italian Cybersecurity Report 2015.
Questa scelta è stata motivata dalla volontà di definire un percorso virtuoso che dovrebbe portare le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS, ritrovandosi così avvantaggiate nel processo di definizione del proprio profilo di rischio.
I Controlli Essenziali di Cybersecurity sono stati selezionati attraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di settore.
Infine il documento contiene delle raccomandazioni rivolte alle medie, piccole e micro imprese e al decisore pubblico.

Controlli Essenziali di Cybersecurity

In questo Capitolo sono riportati i 15 Controlli Essenziali di Cybersecurity.
I controlli non hanno alcun ordine di priorità: tutti sono essenziali per le imprese target di questo documento, così come definite in
Sezione 1.2.
Per controllo essenziale intendiamo una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, causa un aumento considerevole del rischio informatico.
Tale aumento del rischio implica che l’operatività, la riservatezza dei dati dell’organizzazione e la loro integrità potrebbero essere lese da attaccanti con una probabilità troppo alta per essere considerata accettabile. Di contro, la corretta implementazione di tutti i controlli di cybersecurity ritenuti essenziali ha, come immediata conseguenza, una riduzione importante, ma non totale, del rischio.
Sebbene i controlli siano stati definiti per le imprese target, essi sono parte di un processo più ampio che li lega indissolubilmente al Framework Nazionale per la Cybersecurity (FNCS). È in carico all’organizzazione che li applica valutare accuratamente il proprio rischio residuo, dopo la loro applicazione, e considerare quindi l’eventuale adozione del FNCS.
Per agevolare questo passaggio, il Capitolo 3 riporta la corrispondenza tra i Controlli Essenziali e le Function, Category e Subcategory del FNCS.
Così come il FNCS stesso, i Controlli Essenziali hanno una validità limitata nel tempo, dovuta alla dinamicità della minaccia cyber.
C’è quindi la necessità di mantenere aggiornati tali controlli per rispondere in modo adeguato all’evoluzione tecnologica e della minaccia cyber.