Assistiamo ormai a un continuo aumento di attacchi cyber che diventano sempre più complessi e articolati. Questi attacchi avvengono sfruttando una combinazione di vulnerabilità umane e tecnologiche che permettono ai cyber-criminali l’ingresso all’interno di una organizzazione.
I cyber-criminali non attaccano soltanto banche e grandi multinazionali: gran parte del loro fatturato è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese completamente impreparate a affrontare efficacemente la minaccia. I criminali bloccano l’operatività di queste imprese per poi chiedere un riscatto, rubano i loro asset, i loro dati o spiano le loro strategie di business. Questo mette a rischio la sopravvivenza stessa dell’impresa.
Tuttavia molti di questi attacchi sfruttano vulnerabilità banali presenti nei sistemi informativi dell’impresa o una mancanza di consapevolezza di questa problematica da parte del personale interno.
Questo documento propone 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi e per aumentare la consapevolezza del personale interno, in modo da resistere agli attacchi più comuni. I Controlli essenziali di Cybersecurity sono di facile e, quasi sempre, economica implementazione e rappresentano una serie di pratiche di sicurezza che non possono essere ignorate.
Il documento fornisce una guida su come implementare tali controlli essenziali e propone una stima dei costi. Tale stima, seppur pensata per essere semplicemente indicativa, fornisce però l’ordine di grandezza dell’investimento necessario per portare la propria impresa a un livello di preparazione essenziale.
L’innalzamento dei livelli di sicurezza delle piccole e micro imprese è un passaggio fondamentale per la messa in sicurezza delle filiere produttive. Un numero sempre maggiore di attacchi a grandi imprese capo-filiera viene infatti realizzato grazie a vulnerabilità presenti nelle imprese parte delle loro filiere.
Questo innalzamento è particolarmente importante in un momento di forte trasformazione digitale del settore industriale (industria 4.0) che aumenterà l’integrazione tra le aziende appartenenti a una filiera, aumentando, di conseguenza, anche la superficie d’attacco. I Controlli Essenziali di Cybersecurity sono stati derivati, attraverso un processo di progressiva semplificazione, dal Framework Nazionale di Cybersecurity (FNCS), pubblicato un anno fa all’interno dell’Italian Cybersecurity Report 2015.
Questa scelta è stata motivata dalla volontà di definire un percorso virtuoso che dovrebbe portare le piccole e micro imprese a implementare misure di sicurezza via via più complesse e articolate aderenti al FNCS, ritrovandosi così avvantaggiate nel processo di definizione del proprio profilo di rischio. I Controlli Essenziali di Cybersecurity sono stati selezionati attraverso un processo di consultazione pubblica al quale hanno partecipato oltre 200 esperti di settore. Infine il documento contiene delle raccomandazioni rivolte alle medie, piccole e micro imprese e al decisore pubblico.