Center for Internet Security (CIS)

Center for Internet Security (CIS)

Da quando il mondo dell’informatica ha stravolto le nostre abitudini con innovazioni tecnologiche di grande impatto, il tema della sicurezza ha accompagnato passo passo ogni nuova risorsa digitale. Trattasi di una tematica troppo delicata e complessa per abbassare la guardia sulla massiccia quantità di dati e informazioni che viaggiano online. Dati che vanno tutelati con ogni lecito mezzo per allontanare quanto più possibile i rischi che tali informazioni finiscano in mano a qualche criminale informatico o che vadano perse per fatti accidentali. In ogni caso, a prescindere dalla natura del rischio, ai dati e alle informazioni strategiche di un’organizzazione di lavoro va garantita la massima sicurezza possibile.

In questa logica da alcuni anni sono diretti gli sforzi di veri e propri professionisti in materia di sicurezza informatica e gli investimenti di diversi Paesi e di molti grandi leader aziendali del settore. Purtroppo però, allo stesso tempo, crescono gli hacker e cyber criminali disposti a tutto pur di rubare preziose informazioni e di mettere a serio rischio la funzionalità di intere infrastrutture. Criminali informatici da contrastare con efficacia e la cui losca attività va frenata sul nascere con risorse umane e finanziarie per proteggere adeguatamente i dati. I controlli del Center for Internet Security (CIS) sono una lista di misure di difesa di grande efficacia, un buon punto di partenza da conoscere da parte di ciascuna organizzazione di lavoro per ottimizzare la sicurezza informatica. Vediamo nei paragrafi successivi di cosa si tratta e la loro importanza ai fini della protezione dei dati dai numerosi attacchi informatici. Di seguito conosciamo una serie di utili controlli incentrati sulla capacità di prevenire ed eventualmente curare circostanze pericolose.

Si tratta di pratiche estremamente importanti per le organizzazioni di lavoro di qualunque grandezza esse siano. Con l’adozione di questi controlli, le organizzazioni possono correttamente ed efficacemente prevenire gran parte degli attacchi informatici. Vere linee guide per mettere in atto i controlli opportuni per una seria e doverosa difesa contro le continue minacce informatiche. Minacce, che non è difficile immaginare, quanto possano alterare il regolare funzionamento delle infrastrutture. Attacchi informatici che, una volta andati a segno, potrebbero provocare per un’azienda danni ingenti e non solo dal punto di vista economico. Pensate, per esempio, a una mancata consegna al cliente in tempi utili di una fornitura importante. In questo caso, ci rimette il cliente finale ma anche l’azienda produttrice in termini finanziari e in fatto di credibilità aziendale.

Ecco la necessità prioritaria di questi controlli dettati dal Center for Internet Security (CIS). A confermare l’importanza di questa serie di comportamenti, ci sono autorevoli studi di settore che hanno mostrato come sia possibile con l’adozione, anche solo di parte di questi controlli, prevenire una buona percentuale di attacchi informatici. Ovviamente, adottare tutti i controlli e non solo una parte di essi, comporta un sensibile aumento del livello di sicurezza. Una serie di controlli da fare ed eventualmente, decisioni che spettano alle singole organizzazioni di lavoro, implementare con il personale qualificato, i mezzi e gli strumenti a disposizione. Dare risalto a un tema sempre verde come quello della sicurezza informatica oggi è importante al pari, se non di più, all’interesse da destinare ad altri aspetti fondamentali di un’azienda. Questo soprattutto alla luce di una costante evoluzione del campo tecnologico, dell’incremento parallelo degli attacchi informatici e dei rischi accidentali che possono comportare la preziosa perdita di dati. Ora passiamo di seguito a conoscere a grandi linee i 20 controlli critici da attenzionare secondo il Center for Internet Security (CIS).

Quindi stiamo trattando una serie di controlli utili per frenare alcuni rischi e mettere così al riparo dati e informazioni. Vediamo insieme quali sono i gruppi di controlli da implementare:

• CIS Control 1: Inventory and Control of Hardware Assets
  Gestire attivamente (inventario, tracciatura, correzione) tutti i dispositivi hardware sulla rete in modo che solo i dispositivi autorizzati abbiano accesso e che vengano trovati e bloccati nell’accesso i dispositivi non autorizzati e non gestiti.
  
• CIS Control 2: Inventory and Control of Software Assets
  Gestire attivamente (inventario, tracciatura e correzione) tutto il software sulla rete in modo che solo il software autorizzato sia installato e possa essere eseguito e che tutto il software non autorizzato e non gestito venga trovato e ne sia bloccata l’installazione o l’esecuzione.
  
• CIS Control 3: Continuous Vulnerability Management
  Acquisire, valutare e agire continuamente in base alle nuove informazioni al fine di identificare le vulnerabilità, porre rimedio e ridurre al minimo la finestra di opportunità per gli aggressori.
  
• CIS Control 4: Controlled Use of Administrative Privileges
  I processi e gli strumenti utilizzati per tracciare / controllare / prevenire / correggere l’uso, l’assegnazione e la configurazione dei privilegi amministrativi su computer, reti e applicazioni.
  
• CIS Control 5: Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers
  Stabilire, implementare e gestire attivamente (tracciare, riferire, correggere) la configurazione di sicurezza dei dispositivi mobili, computer portatili, server e workstation utilizzando una gestione rigorosa della configurazione e un processo di controllo delle modifiche al fine di impedire agli aggressori di sfruttare servizi e impostazioni vulnerabili.
  
• CIS Control 6: Maintenance, Monitoring and Analysis of Audit Logs
  Raccogliere, gestire e analizzare i registri di controllo degli eventi che potrebbero aiutare a rilevare, comprendere o recuperare da un attacco.

Questi sono solo i primi 6 controlli di base indicati dal Center for Internet Security (CIS), ma è facile intuire come già con la sola applicazione delle prime misure sia possibile aumentare il livello di sicurezza. Affermato tale concetto, andiamo avanti per conoscere altri 10 controlli fondamentali per la sicurezza informatica.

• CIS Control 7: Email and Web Browser Protections
  Ridurre al minimo la superficie di attacco e le opportunità per gli aggressori di manipolare il comportamento umano attraverso l’interazione con il browser Web e i sistemi di posta elettronica.
  
• CIS Control 8: Malware Defenses
  Controllo dell’installazione, diffusione ed esecuzione di codice dannoso in più punti dell’azienda, ottimizzando al contempo l’uso dell’automazione per consentire un rapido aggiornamento della difesa, della raccolta dei dati e delle azioni correttive.
  
• CIS Control 9: Limitation and Control of Network Ports, Protocols, and Services
  Gestire (tracciare / controllare / correggere) l’uso di porte, protocolli e servizi sui dispositivi di rete al fine di ridurre al minimo le finestre di vulnerabilità disponibili per gli aggressori.
  
• CIS Control 10: Data Recovery Capabilities
  Processi e strumenti utilizzati per eseguire correttamente il backup delle informazioni critiche con una metodologia consolidata per il loro tempestivo recupero.
  
• CIS Control 11: Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches
  Stabilire, implementare e gestire attivamente (tracciare, riferire, correggere) la configurazione di sicurezza dei dispositivi dell’infrastruttura di rete usando una rigorosa gestione della configurazione e il processo di controllo delle modifiche al fine di impedire agli aggressori di sfruttare servizi e impostazioni vulnerabili.
  
• CIS Control 12: Boundary Defense
  Rilevare / prevenire / correggere il flusso di informazioni che si trasferiscono attraverso reti di diversi livelli di affidabilità, con particolare attenzione ai dati dannosi per la sicurezza.
  
• CIS Control 13: Data Protection
  Processi e strumenti utilizzati per prevenire l’esfiltrazione dei dati, mitigare gli effetti dei dati esfiltrati e garantire la privacy e l’integrità delle informazioni sensibili.
  
• CIS Control 14: Controlled Access Based on the Need to Know
  Processi e strumenti utilizzati per tracciare / controllare / prevenire / correggere l’accesso sicuro alle risorse critiche (ad esempio informazioni, risorse, sistemi) in base al riconoscimento formale di quali persone, computer e applicazioni hanno necessità e diritto di accedere a tali risorse, basato su una classificazione approvata.
  
• CIS Control 15: Wireless Access Control
  Processi e strumenti utilizzati per tracciare / controllare / prevenire / correggere l’uso sicuro di reti locali senza fili (WLAN), punti di accesso e sistemi client wireless.
  
• CIS Control 16: Account Monitoring and Control
  Gestire attivamente il ciclo di vita degli account di sistema e delle applicazioni (creazione, uso, dormienza, cancellazione) al fine di ridurre al minimo le opportunità di sfruttamento da parte degli aggressori.

Siamo così arrivati al controllo 16, che significa mettere in atto già una serie di misure di base e fondamentali per la sicurezza informatica. La lista però non si esaurisce affatto perché continua con gli ultimi 4 controlli efficaci e determinanti, che di seguito andiamo a trattare per una visione completa.

• CIS Control 17: Implement a Security Awareness and Training Program
  Per tutti i ruoli funzionali dell’organizzazione (dando priorità a quelli mission-critical per la sicurezza), identificare le conoscenze, le capacità e specifiche necessarie per supportare la difesa dell’azienda; sviluppare ed eseguire un piano integrato per valutare e identificare le lacune, rimediare attraverso regole programmatiche, pianificazione organizzativa, formazione e sensibilizzazione.
  
• CIS Control 18: Application Software Security
  Gestire il ciclo di vita della sicurezza di tutto il software sviluppato in proprio e acquisito al fine di prevenire, rilevare e correggere i punti deboli della sicurezza.
  
• CIS Control 19: Incident Response and Management
  Proteggere le informazioni dell’organizzazione, così come la sua reputazione, sviluppando e implementando un’infrastruttura di risposta agli incidenti (ad esempio. piani, definizione dei ruoli, addestramento, comunicazioni, supervisione) per scoprire rapidamente un attacco e contenere efficacemente il danno, eliminando la presenza dell’attaccante e ripristinando l’integrità della rete e dei sistemi.
  
• CIS Control 20: Penetration Tests and Red Team Exercises
  Verificare la forza complessiva delle difese di un’organizzazione (tecnologia, processi, persone) simulando gli obiettivi e le azioni di un attaccante.

Linee guida quindi del tutto utili a ogni utente, ma soprattutto alle grandi infrastrutture. L’impiego dell’insieme di questi controlli e una buona cultura di base tra tutti i lavoratori permette a un’organizzazione di lavoro di operare con maggiore tranquillità e sufficientemente al riparo dagli attacchi informatici. Ignorare tali concetti invece sarebbe un boomerang, lasciare allo scoperto dati e informazioni strategiche potrebbe voler dire compromettere giorni e giorni di intenso lavoro. Anche perché, come già visto, al pari delle novità tecnologiche avanzano gli attacchi informatici, portanti avanti con subdole strategie da hacker disposti a tutto pur di centrare l’obiettivo. Tuttavia, nonostante ingenti investimenti fatti in termini di sicurezza informatica per alzare i livelli di protezione dei sistemi, ci sono ancora realtà poco preparate a prevenire gli attacchi e a risanare situazioni pericolose.

Procedere con una serie di comportamenti puramente tecnici è assolutamente consigliabile, di pari passo però serve una cultura generale che spinga i lavoratori a comprendere l’importanza della tematica. Tutelare un’infrastruttura dagli attacchi informatici con la serie di controlli analizzati con questa guida va benissimo, ma tutto potrebbe risultare inutile al cospetto di lavoratori che lasciano i computer incustoditi con le sessioni di lavoro aperte, le password sulla scrivania o di fronte a lavoratori all’oscuro dei rischi delle minacce inviate dai cyber criminali attraverso la posta elettronica. La messa in campo delle strategie tecniche di ultima generazione e, di personale sufficientemente preparato e aggiornato sul tema della sicurezza, è la sinergia giusta per allontanare i rischi di eventuali attacchi informatici e all’occorrenza per saper ripristinare le situazioni di partenza.

Link utili segnalati da Andrea Masella:

Center for Internet Security (CIS) (sito ufficiale)