Sicurezza informatica nei piccoli Comuni: come proteggere i dati.

Backup, aggiornamenti, sicurezza endpoint, gestione accessi: sono 10 le attività, scelte secondo il Principio di Pareto, da portare a termine per migliorare la sicurezza informatica nei piccoli comuni (quelli con meno di 10.000 abitanti) nel nostro Paese.

  • Backup.

La prima cosa da fare è sicuramente mettere in sicurezza i dati. Come? Attraverso un backup.

Il backup può essere:

  • locale (su NAS, su disco esterno, ecc…) o remoto (su Cloud o in altra sede remota);
  • offline o online (es. su NAS);
  • dati (solo dati importanti) o infrastruttura (con Virtual Machine);
  • cifrato oppure non cifrato (ma è vivamente consigliato cifrarlo).

Il consiglio è di avere un backup infrastruttura almeno mensile offline, un backup dati giornaliero online ed eventualmente un backup giornaliero dati in Cloud. Il dato va cifrato anche in Cloud e anche mentre viene inviato al Cloud. I costi di un backup dati Cloud per un piccolo ente sono sicuramente una cosa abbordabile e che qualunque fornitore è in grado di fornire. Attenzione alla compliance GDPR.

  • Firewall.

Il dispositivo di difesa più importante, sul perimetro della rete, è senza dubbio il Firewall. È importante avere un Firewall, possibilmente “next generation” (NG), che sia in grado di analizzare il traffico fino a Layer 7 e che abbia funzionalità di antivirus, antispam, antispyware, URL filtering e così via…

I Firewall NG sono assolutamente alla portata dei piccoli enti, sebbene cambi il modello di acquisto. Ogni anno vanno acquistate le subscription (abbonamenti) che permettono di avere le firme antivirus, i modelli antispam, le tecnologie antispyware, le liste di IP malevoli sempre aggiornati.

  • Aggiornamenti.

Mantenere i sistemi aggiornati è fondamentale e, dal momento che Microsoft dallo scorso 14 gennaio non rende più disponibili gli aggiornamenti di Windows 7 e Windows Server 2008, il primo passo è sicuramente sostituire questi sistemi con Windows 10 e Windows Server 2019.

Microsoft ogni mese rilascia dei gruppi di patch per i vari sistemi operativi che vanno tenuti aggiornati mediante Windows Server Update System (WSUS) o mediante software antivirus che sono in grado di fare anche software update.

Gli aggiornamenti più importanti sono:

  • sistemi operativi server (Linux, Windows);
  • sistemi operativi client (Android, iOS, Linux, Windows);
  • software più importanti lato server (ad esempio: Adobe Reader);
  • software più importanti lato client (ad esempio: Adobe Reader);
  • firewall (anche il firewall ha un sistema operativo che va tenuto aggiornato, cadenza almeno semestrale).

Un piccolo ente può chiedere al proprio fornitore di aggiornare mensilmente i server, verificare semestralmente i client e aggiornare semestralmente il Firewall come dispositivo di networking.

  • Endpoint: formazione.

Il primo passo per la sicurezza degli Endpoint, dopo gli aggiornamenti, è dato dalla formazione del personale. Rendere consapevoli le persone dei rischi della Cyber Security è fondamentale e attraverso una formazione periodica al personale è assolutamente gestibile.

  • Endpoint: permessi amministrativi.

Un altro passo importante riguarda in permessi amministrativi, rimuovendo i permessi di administrator al pc su cui l’utente lavora è una procedura da valutare. È possibile mantenere un admin locale, in modo che l’utente possa eseguire qualche operazione, come l’installazione di un software, previo inserimento di username e password.

  • Endpoint: antimalware.

Ultimo, ma non in ordine di importanza, è l’antivirus. Sul client è fondamentale avere un software che difenda dai malware. Attualmente si stanno diffondendo due grosse famiglie: quelli basati sulle firme con upgrade associato ad analisi comportamentale, e quelli comportamentali puri che analizzano i comportamenti dei processi per capire se sono benevoli o malevoli.

I primi tipicamente sono più efficaci su malware noti, i secondi sono in grado di rilevare anche malware non noti alla comunità, ma con comportamento anomalo.

Avere una difesa su ogni client (inclusi il mobile) è fondamentale (nonostante si dica che è insufficiente) per creare un ulteriore livello di difesa. Anche questo passaggio è molto semplice da realizzare, acquistando un antivirus/antimalware e installandolo sui client, server, mobile.

  • Sicurezza.

I backup così come i server vanno tenuti sottochiave, in una stanza ad accesso. Nei piccoli enti è importante avere una stanza dedicata (o perlomeno chiusa a chiave) per server e NAS.

  • Gestione accessi.

Se pensiamo alle password di accesso (a pc, sistemi ecc…) non possiamo non immaginare il famoso “file” o “faldone”. A favore della sicurezza dei dati, andrebbe utilizzato un password manager il che implica, per chi ancora non lo usasse, una mezza giornata di trasferimento dei codici e un’oretta di formazione/spiegazione per l’utilizzo del programma.

Il password manager per avere condivisione delle password va acquistato a canone (se in Cloud, uno è Lastpass), oppure può essere un file su un disco condiviso in rete e sotto backup.

È sicuramente importante che ogni accesso ai pc e ai software sia nominale (nome.cognome) in modo che l’attività mediante i log sia riconducibile alla persona specifica.

  • Vulnerability Scan.

A prescindere dagli aggiornamenti e da tutti gli accorgimenti elencati sopra, si potrebbe presentare comunque delle vulnerabilità. A tal proposito, è consigliabile uno scan di vulnerabilità periodico (almeno 1 volta all’anno) sui sistemi al fine di individuare eventuali software obsoleti con vulnerabilità oppure sistemi progettati senza il principio di security che vanno protetti con altri tool.

Naturalmente, è preferibile affidare queste attività a personale qualificato.

  • Gestione dei Log.

Gestire i log dei sistemi è un’operazione complessa e dispendiosa in termini di spazio ma pur sempre necessaria (in caso di data breach o di attacco di vario tipo). Anche in questo caso, un fornitore qualificato è la chiave della sicurezza. Indispensabile il backup!

Sicurezza informatica & pubblica amministrazione | Sicurezza Informatica | Nexsys

Sicurezza informatica, dalla consapevolezza alla gestione del rischio.

Le difese della sicurezza informatica devono essere stratificate e includere misure che prevedano soluzioni tecnologiche, politiche efficaci e formazione degli utenti. Una buona conoscenza degli attacchi informatici e delle azioni per mitigarli è indispensabile in azienda, specialmente per il Responsabile per la Transizione al Digitale e per le amministrazioni pubbliche. Attraverso una corretta formazione in materia, le attività di pianificazione, coordinamento e monitoraggio della sicurezza informatica saranno agevolate.

L’Agenzia per l’Italia Digitale (AgID) ha sviluppato un servizio di autovalutazione conforme al Regolamento Generale sulla protezione dei dati (General Data Protection Regulation – GDPR, Regolamento UE 2016/679) per aiutare le Pubbliche Amministrazioni a comprendere il proprio posizionamento relativamente alle tematiche di Cybersecurity e protezione dei dati.

Il servizio ha l’obiettivo di fornire una prima e indicativa analisi dello stato di conformità al GDPR in tema di Cybersecurity, al solo scopo auto valutativo (pre-assessment), senza sostituirsi agli strumenti messi a disposizione dalle autorità competenti.

AgID supporta le PA con una serie di strumenti e iniziative pensate per comprendere e affrontare i rischi legati alla sicurezza informatica e per migliorare la qualità e l’affidabilità di sistemi, servizi e informazioni.

Il tool di valutazione e trattamento del rischio Cyber di AgID conta già oltre 100 amministrazioni aderenti tra PA locali e centrali. Il progetto pilota, avviato dal Consorzio dei Comuni Trentini, è orientato all’adozione di pratiche di Open Government, anche e soprattutto nei piccoli comuni.

Sicurezza informatica & pubblica amministrazione | Sicurezza Informatica | Nexsys

Anche Nexsys in campo per la tua sicurezza!

La Sicurezza Informatica deve essere SEMPRE messa al primo posto al fine di garantire continuità, sicurezza ed efficienza. Il nostro staff è altamente qualificato nel progettare soluzioni a prova di hacker.

Con i nostri corsi di formazione, poi, tutti i dipendenti dell’azienda e il personale IT saranno in grado di raggirare i pericoli dell’ingegneria sociale e delle minacce via web.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?