Adeguarsi alle Misure minime di sicurezza ICT e ai nuovi protocolli di sicurezza dei dati è importante per tutelare gli studenti da cyberbullismo, difendere la scuola in caso di attacchi telematici e avere ambienti di lavoro più sicuri.

Ma cosa sono esattamente le Misure minime di sicurezza ICT per le PA?

Il documento “Misure minime di sicurezza ICT per le Pubbliche Amministrazioni“, Direttiva del Presidente del Consiglio dei Ministri  del 1 agosto 2015, fornisce alle pubbliche amministrazioni un riferimento pratico per migliorare il proprio livello di sicurezza informatica e contrastare le minacce più comuni. Le indicazioni contenute devono essere adottate entro il 31 dicembre 2017.

Cosa deve fare la Scuola per rispettare questa direttiva?

Nel documento sono elencati tutti i controlli che dovrebbero essere implementati. Queste inidcazioni sono classificate in tre diversi livelli di attuazione:

scuola

  • Minimo – Questo elenco specifica il livello sotto il quale nessuna amministrazione può scendere. Questi controlli sono da considerare obbligatori.
  • Standard – Sono i livelli considerati di riferimento nella maggior parte dei casi.
  • Alto – Controlli complessi, da tenere a mente come obiettivo a cui tendere.

Questo elenco ti preoccupa? Ci siamo noi!

Dadonet è in grado di rendere la tua rete e i tuoi dispositivi perfettamente conformi alle Misure minime, standard o alte. Il nostro Team utilizza competenze, software e dispositivi Open Source: la tua scuola sarà sicura e in linea con le direttive del ministero, il tutto a costi davvero competitivi.

Accessi di rete, backup, ripristino dati, formazione privacy sono solo alcuni dei nostri servizi. Possiamo creare insieme dei pacchetti completi o modulati secondo le vostre esigenze tecniche ed economiche

Contatta il nostro esperto per saperne di più: [email protected] – cel:  334 729 82 50

Scopri in dettaglio cosa prevedono le azioni minime:

ABSC1 (CSC1) – INVENTARIO DEI DISPOSITIVI AUTORIZZATI E NON AUTORIZZATI

È necessario gestire attivamente tutti i dispositivi hardware sulla rete (tracciandoli, inventariandoli e mantenendo aggiornato l’inventario) in modo che l’accesso sia dato solo ai dispositivi autorizzati, mentre i dispositivi non autorizzati e non gestiti siano individuati e sia loro impedito l’accesso

  • Implementare un inventario delle risorse attive
  • Aggiornare l’inventario quando nuovi dispositivi approvati vengono collegati in rete.
  • Gestire l’inventario delle risorse di tutti i sistemi collegati alla rete e dei dispositivi di rete stessi, registrando almeno l’indirizzo IP.

ABSC2 (CSC2) – INVENTARIO DEI SOFTWARE AUTORIZZATI E NON AUTORIZZATI

Gestire attivamente (inventariare, tracciare e correggere) tutti i software sulla rete in modo che sia installato ed eseguito solo software autorizzato, mentre il software non autorizzato e non gestito sia individuato e ne venga impedita l’installazione o l’esecuzione

  • Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’istallazione di software non compreso nell’elenco.
  • Eseguire regolari scansioni sui sistemi al fine di rilevare la presenza di software non autorizzato.

ABSC3 (CSC3) – PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E SERVER

Istituire, implementare e gestire attivamente (tracciare, segnalare, correggere) la configurazione di sicurezza di laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi informatici possano sfruttare le vulnerabilità di servizi e configurazioni.

  • Utilizzare configurazioni sicure standard per la protezione dei sistemi operativi
  • Definire ed impiegare una configurazione standard per workstation, server e altri tipi di sistemi usati dall’organizzazione.
  • Eventuali sistemi in esercizio che vengano compromessi devono essere ripristinati utilizzando la configurazione standard.
  • Le immagini d’installazione devono essere memorizzate offline.
  • Eseguire tutte le operazioni di amministrazione remota di server, workstation, dispositivi di rete e analoghe apparecchiature per mezzo di connessioni protette (protocolli intrinsecamente sicuri, ovvero su canali sicuri).

ABSC4 (CSC4) – VALUTAZIONE E CORREZIONE CONTINUA DELLA VULNERABILITÀ

Acquisire, valutare e intraprendere continuamente azioni in relazione a nuove informazioni allo scopo di individuare vulnerabilità, correggere e minimizzare la finestra di opportunità per gli attacchi informatici.

  • Ad ogni modifica significativa della configurazione eseguire la ricerca delle vulnerabilità su tutti i sistemi in rete con strumenti automatici che forniscano a ciascun amministratore di sistema report con indicazioni delle vulnerabilità più critiche.
  • Assicurare che gli strumenti di scansione delle vulnerabilità utilizzati siano regolarmente aggiornati con tutte le più rilevanti vulnerabilità di sicurezza
  • Installare automaticamente le patch e gli aggiornamenti del software sia per il sistema operativo sia per le applicazioni.
  • Assicurare l’aggiornamento dei sistemi separati dalla rete, in particolare di quelli air-gapped, adottando misure adeguate al loro livello di criticità.
  • Verificare che le vulnerabilità emerse dalle scansioni siano state risolte sia per mezzo di patch, o implementando opportune contromisure oppure documentando e accettando un ragionevole rischio.
  • Definire un piano di gestione dei rischi che tenga conto dei livelli di gravità delle vulnerabilità , del potenziale impatto e della tipologia degli apparati (e.g. server esposti, server interni, PdL, portatili, etc.).
  • Attribuire alle azioni per la risoluzione delle vulnerabilità un livello di priorità in base al rischio associato. In particolare applicare le patch per le vulnerabilità a partire da quelle più critiche.

ABSC5 (CSC5) – USO APPROPRIATO DEI PRIVILEGI DI AMMINISTRATORE

Regole, processi e strumenti atti ad assicurare il corretto utilizzo delle utenze privilegiate e dei diritti amministrativi.

  • Limitare i privilegi di amministrazione ai soli utenti che abbiano le competenze adeguate e la necessità operativa di modificare la configurazione dei sistemi.
  • Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato.
  • Mantenere l’inventario di tutte le utenze amministrative, garantendo che ciascuna di esse sia debitamente e formalmente autorizzata.
  • Prima di collegare alla rete un nuovo dispositivo sostituire le credenziali dell’amministratore predefinito con valori coerenti con quelli delle utenze amministrative in uso.
  • Quando l’autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri).
  • Impedire che per le utenze amministrative vengano utilizzate credenziali deboli.
  • Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging).
  • Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history).
  • Assicurare la completa distinzione tra utenze privilegiate e non privilegiate degli amministratori, alle quali debbono corrispondere credenziali diverse.
  • Tutte le utenze, in particolare quelle amministrative, debbono essere nominative e riconducibili ad una sola persona.
  • Le utenze amministrative anonime, quali “root” di UNIX o “Administrator” di Windows, debbono essere utilizzate solo per le situazioni di emergenza e le relative credenziali debbono essere gestite in modo da assicurare l’imputabilità di chi ne fa uso.
  • Conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza.
  • Se per l’autenticazione si utilizzano certificati digitali, garantire che le chiavi private siano adeguatamente protette.

ABSC8 (CSC8) – DIFESE CONTRO I MALWARE

Controllare l’installazione, la diffusione e l’esecuzione di codice maligno in diversi punti dell’azienda, ottimizzando al tempo stesso l’utilizzo dell’automazione per consentire il rapido aggiornamento delle difese, la raccolta dei dati e le azioni correttive.

  • Installare su tutti i sistemi connessi alla rete locale strumenti atti a rilevare la presenza e bloccare l’esecuzione di malware (antivirus locali). Tali strumenti sono mantenuti aggiornati in modo automatico.
  • Installare su tutti i dispositivi firewall ed IPS personali.
  • Limitare l’uso di dispositivi esterni a quelli necessari per le attività aziendali.
  • Disattivare l’esecuzione automatica dei contenuti al momento della connessione dei dispositivi removibili.
  • Disattivare l’esecuzione automatica dei contenuti dinamici (e.g. macro) presenti nei file.
  • Disattivare l’apertura automatica dei messaggi di posta elettronica.
  • Disattivare l’anteprima automatica dei contenuti dei file.
  • Eseguire automaticamente una scansione anti-malware dei supporti rimuovibili al momento della loro connessione.
  • Filtrare il contenuto dei messaggi di posta prima che questi raggiungano la casella del destinatario, prevedendo anche l’impiego di strumenti antispam.
  • Filtrare il contenuto del traffico web.
  • Bloccare nella posta elettronica e nel traffico web i file la cui tipologia non è strettamente necessaria per l’organizzazione ed è potenzialmente pericolosa (e.g. .cab).

ABSC10 (CSC10) – COPIE DI SICUREZZA

Procedure e strumenti necessari per produrre e mantenere copie di sicurezza delle informazioni critiche, così da consentirne il ripristino in caso di necessità.

  • Effettuare almeno settimanalmente una copia di sicurezza almeno delle informazioni strettamente necessarie per il completo ripristino del sistema.
  • Assicurare la riservatezza delle informazioni contenute nelle copie di sicurezza mediante adeguata protezione fisica dei supporti ovvero mediante cifratura. La codifica effettuata prima della trasmissione consente la remotizzazione del backup anche nel cloud. .
  • Assicurarsi che i supporti contenenti almeno una delle copie non siano permanentemente accessibili dal sistema onde evitare che attacchi su questo possano coinvolgere anche tutte le sue copie di sicurezza.

ABSC13 (CSC13) – PROTEZIONE DEI DATI

Processi interni, strumenti e sistemi necessari per evitare l’esfiltrazione dei dati, mitigarne gli effetti e garantire la riservatezza e l’integrità delle informazioni rilevanti

  • Effettuare un’analisi dei dati per individuare quelli con particolari requisiti di riservatezza (dati rilevanti) e segnatamente quelli ai quali va applicata la protezione crittografica
  • Bloccare il traffico da e verso url presenti in una blacklist