Sicurezza informatica nei piccoli Comuni: come proteggere i dati.

Backup, aggiornamenti, sicurezza endpoint, gestione accessi: sono 10 le attività, scelte secondo il Principio di Pareto, da portare a termine per migliorare la sicurezza informatica nei piccoli comuni (quelli con meno di 10.000 abitanti) nel nostro Paese.

  • Backup.

La prima cosa da fare è sicuramente mettere in sicurezza i dati. Come? Attraverso un backup.

Il backup può essere:

  • locale (su NAS, su disco esterno, ecc…) o remoto (su Cloud o in altra sede remota);
  • offline o online (es. su NAS);
  • dati (solo dati importanti) o infrastruttura (con Virtual Machine);
  • cifrato oppure non cifrato (ma è vivamente consigliato cifrarlo).

Il consiglio è di avere un backup infrastruttura almeno mensile offline, un backup dati giornaliero online ed eventualmente un backup giornaliero dati in Cloud. Il dato va cifrato anche in Cloud e anche mentre viene inviato al Cloud. I costi di un backup dati Cloud per un piccolo ente sono sicuramente una cosa abbordabile e che qualunque fornitore è in grado di fornire. Attenzione alla compliance GDPR.

  • Firewall.

Il dispositivo di difesa più importante, sul perimetro della rete, è senza dubbio il Firewall. È importante avere un Firewall, possibilmente “next generation” (NG), che sia in grado di analizzare il traffico fino a Layer 7 e che abbia funzionalità di antivirus, antispam, antispyware, URL filtering e così via…

I Firewall NG sono assolutamente alla portata dei piccoli enti, sebbene cambi il modello di acquisto. Ogni anno vanno acquistate le subscription (abbonamenti) che permettono di avere le firme antivirus, i modelli antispam, le tecnologie antispyware, le liste di IP malevoli sempre aggiornati.

  • Aggiornamenti.

Mantenere i sistemi aggiornati è fondamentale e, dal momento che Microsoft dallo scorso 14 gennaio non rende più disponibili gli aggiornamenti di Windows 7 e Windows Server 2008, il primo passo è sicuramente sostituire questi sistemi con Windows 10 e Windows Server 2019.

Microsoft ogni mese rilascia dei gruppi di patch per i vari sistemi operativi che vanno tenuti aggiornati mediante Windows Server Update System (WSUS) o mediante software antivirus che sono in grado di fare anche software update.

Gli aggiornamenti più importanti sono:

  • sistemi operativi server (Linux, Windows);
  • sistemi operativi client (Android, iOS, Linux, Windows);
  • software più importanti lato server (ad esempio: Adobe Reader);
  • software più importanti lato client (ad esempio: Adobe Reader);
  • firewall (anche il firewall ha un sistema operativo che va tenuto aggiornato, cadenza almeno semestrale).

Un piccolo ente può chiedere al proprio fornitore di aggiornare mensilmente i server, verificare semestralmente i client e aggiornare semestralmente il Firewall come dispositivo di networking.

  • Endpoint: formazione.

Il primo passo per la sicurezza degli Endpoint, dopo gli aggiornamenti, è dato dalla formazione del personale. Rendere consapevoli le persone dei rischi della Cyber Security è fondamentale e attraverso una formazione periodica al personale è assolutamente gestibile.

  • Endpoint: permessi amministrativi.

Un altro passo importante riguarda in permessi amministrativi, rimuovendo i permessi di administrator al pc su cui l’utente lavora è una procedura da valutare. È possibile mantenere un admin locale, in modo che l’utente possa eseguire qualche operazione, come l’installazione di un software, previo inserimento di username e password.

  • Endpoint: antimalware.

Ultimo, ma non in ordine di importanza, è l’antivirus. Sul client è fondamentale avere un software che difenda dai malware. Attualmente si stanno diffondendo due grosse famiglie: quelli basati sulle firme con upgrade associato ad analisi comportamentale, e quelli comportamentali puri che analizzano i comportamenti dei processi per capire se sono benevoli o malevoli.

I primi tipicamente sono più efficaci su malware noti, i secondi sono in grado di rilevare anche malware non noti alla comunità, ma con comportamento anomalo.

Avere una difesa su ogni client (inclusi il mobile) è fondamentale (nonostante si dica che è insufficiente) per creare un ulteriore livello di difesa. Anche questo passaggio è molto semplice da realizzare, acquistando un antivirus/antimalware e installandolo sui client, server, mobile.

  • Sicurezza.

I backup così come i server vanno tenuti sottochiave, in una stanza ad accesso. Nei piccoli enti è importante avere una stanza dedicata (o perlomeno chiusa a chiave) per server e NAS.

  • Gestione accessi.

Se pensiamo alle password di accesso (a pc, sistemi ecc…) non possiamo non immaginare il famoso “file” o “faldone”. A favore della sicurezza dei dati, andrebbe utilizzato un password manager il che implica, per chi ancora non lo usasse, una mezza giornata di trasferimento dei codici e un’oretta di formazione/spiegazione per l’utilizzo del programma.

Il password manager per avere condivisione delle password va acquistato a canone (se in Cloud, uno è Lastpass), oppure può essere un file su un disco condiviso in rete e sotto backup.

È sicuramente importante che ogni accesso ai pc e ai software sia nominale (nome.cognome) in modo che l’attività mediante i log sia riconducibile alla persona specifica.

  • Vulnerability Scan.

A prescindere dagli aggiornamenti e da tutti gli accorgimenti elencati sopra, si potrebbe presentare comunque delle vulnerabilità. A tal proposito, è consigliabile uno scan di vulnerabilità periodico (almeno 1 volta all’anno) sui sistemi al fine di individuare eventuali software obsoleti con vulnerabilità oppure sistemi progettati senza il principio di security che vanno protetti con altri tool.

Naturalmente, è preferibile affidare queste attività a personale qualificato.

  • Gestione dei Log.

Gestire i log dei sistemi è un’operazione complessa e dispendiosa in termini di spazio ma pur sempre necessaria (in caso di data breach o di attacco di vario tipo). Anche in questo caso, un fornitore qualificato è la chiave della sicurezza. Indispensabile il backup!

Sicurezza informatica & pubblica amministrazione

Sicurezza informatica, dalla consapevolezza alla gestione del rischio.

Le difese della sicurezza informatica devono essere stratificate e includere misure che prevedano soluzioni tecnologiche, politiche efficaci e formazione degli utenti. Una buona conoscenza degli attacchi informatici e delle azioni per mitigarli è indispensabile in azienda, specialmente per il Responsabile per la Transizione al Digitale e per le amministrazioni pubbliche. Attraverso una corretta formazione in materia, le attività di pianificazione, coordinamento e monitoraggio della sicurezza informatica saranno agevolate.

L’Agenzia per l’Italia Digitale (AgID) ha sviluppato un servizio di autovalutazione conforme al Regolamento Generale sulla protezione dei dati (General Data Protection Regulation – GDPR, Regolamento UE 2016/679) per aiutare le Pubbliche Amministrazioni a comprendere il proprio posizionamento relativamente alle tematiche di Cybersecurity e protezione dei dati.

Il servizio ha l’obiettivo di fornire una prima e indicativa analisi dello stato di conformità al GDPR in tema di Cybersecurity, al solo scopo auto valutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti.

AgID supporta le PA con una serie di strumenti e iniziative pensate per comprendere e affrontare i rischi legati alla sicurezza informatica e per migliorare la qualità e l’affidabilità di sistemi, servizi e informazioni.

Il tool di valutazione e trattamento del rischio Cyber di AgID conta già oltre 100 amministrazioni aderenti tra PA locali e centrali. Il progetto pilota, avviato dal Consorzio dei Comuni Trentini, è orientato all’adozione di pratiche di Open Government, anche e soprattutto nei piccoli comuni.

Sicurezza informatica & pubblica amministrazione

Anche Nexsys in campo per la tua sicurezza!

La Sicurezza Informatica deve essere SEMPRE messa al primo posto al fine di garantire continuità, sicurezza ed efficienza. Il nostro staff è altamente qualificato nel progettare soluzioni a prova di hacker.

Con i nostri corsi di formazione, poi, tutti i dipendenti dell’azienda e il personale IT saranno in grado di raggirare i pericoli dell’ingegneria sociale e delle minacce via web.