Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazione del GDPR e della Direttiva NIS (Direttiva (UE) 2016/1148) (2017-12-16)

LE MISURE MINIME DI
SICUREZZA AGID E COME
QUESTI SI INTRECCIANO
ALL’APPLICAZIONE DEL GDPR
E DELLA DIRETTIVA NIS
(DIRETTIVA (UE) 2016/1148)
Ing. Andrea Praitano
MACERATA 16 DICEMBRE 2017
16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso1

ANDREA PRAITANO, CHI SONO?
Lieutenant on
leave
Member of the
Board
ANDREA PRAITANO
MA ANCHE …..

AGENDA

Quadro normativo complessivo

QUADRO NORMATIVO DI RIFERIMENTO
DOVE CI SI TROVA AD OPERARE?
DIRETTIVA (UE)
2016/1148
REGOLAMENTO (UE)
2016/679
D.P.C.M.
17/02/2017
EPRIVACY
REGULATION
Stabilisce misure per
conseguire un livello
comune elevato di NIS
nell’Unione. Obbliga
gli Stati ad adottare
una strategia
nazionale sul NIS.
È il nuovo
regolamento
europeo sulla
protezione dei dati
(GDPR) che
diventerà operative
a Maggio del 2018.
Aggiorna l’architettura
istituzionale (definita
nel 2013) per la tutela
della sicurezza
nazionale per le
infrastrutture critiche
e la cybersecurity e
recepisce la direttiva
NIS.
Armonizza le
disposizioni degli Stati
e assicura la
libera circolazione dei
dati e delle
apparecchiature
all’interno
dell’Unione.
DIRETTIVA (UE)
2016/680
È la direttiva in
recepimento
relativa alla
gestione dei dati
giudiziari
Normative Protezione dei dati/privacy
MISURE MINIME
AGID
Attuano la Direttiva
del PCdM 1/8/15 e
forniscono alle PA dei
criteri per stabilire il
livello di protezione di
un’infrastruttura per
le esigenze operative.

Protezione dei dati personali
CybercrimeNetwork and Information Security
Hacking
Furto d’identità
Intrusione Conservazione dei dati
SICUREZZA DELLE INFRASTRUTTURE
COME SI INTRECCIANO GLI AMBITI?

Lesson
#1
Il quadro normativo prevede diverse normative, nazionali ed internazionali, che in parte si
sovrappongono ed in parte sono complementari. Poiché solitamente si hanno risorse
limitate è opportuno cercare di gestirle in modo integrato fra di loro.

Protezione dei dati personali e … 16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso8

QUALCHE DEFINIZIONE (1/3)
Termine Definizione
Protezione
dei dati
È quella disciplina dedita alla protezione dei dati personali, dati sensibili e dati giudiziari in termini
di disponibilità, autenticità, integrità e riservatezza dei dati personali conservati o trasmessi e la
sicurezza dei relativi servizi offerti
Privacy La privacy termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla
riservatezza della propria vita privata
[Fonte: Wikipedia]
(privacy non può essere considerato sinonimo della protezione dei dati come richiesto dalla normativa)
Sicurezza
delle
informazioni
2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità
dell’informazione
Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-
repudiation (2.54), and reliability (2.62) can also be involved.
[Fonte ISO/IEC 27000:2014]
Cybersecurity Preservazione di riservatezza, integrità e disponibilità dell’informazione nel Cyberspace
[Fonte ISO/IEC 27032:2012]
Cyberspace: “the complex environment resulting from the interaction of people, software and services on the Internet by means of technology
devices and networks connected to it, which does not exist in any physical form”
………..

http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296

RISERVATEZZA - CONFIDENTIALITY
La riservatezza è il grado in cui l’accesso alle informazioni è limitato a un
gruppo preventivamente definito ed autorizzato ad avere questo accesso.
Questo include anche misure per proteggere la privacy.

MISURE DI SICUREZZA PER GARANTIRE LA
RISERVATEZZA
• L'accesso alle informazioni è concessa secondo il principio del need to know. Non è necessario, per esempio, per un impiegato
del dipartimento Finance essere in grado di vedere i report di discussioni con il cliente;
• I dipendenti adottano misure atte a garantire che le informazioni non possano essere viste da persone non autorizzate.
Garantiscono, ad esempio, che nessun documento riservato siano lasciati sulla scrivania mentre sono assenti (politica scrivania
pulita);
• Gestione degli accessi logici assicura che le persone o i processi non autorizzati non hanno accesso a sistemi automatizzati,
database e programmi. Un utente, ad esempio, non ha il diritto di modificare le impostazioni del PC;
• Una separazione delle funzioni si crea tra l’organizzazione di sviluppo del sistema, l’organizzazione di elaborazione e
l’organizzazione che lo utilizza. Uno sviluppatore di sistema non è in grado, per esempio, apportare modifiche per stipendi;
• Segregazioni rigide sono create tra l’ambiente di sviluppo, l’ambiente di test e collaudo e l’ambiente di produzione;
• Nel trattamento e l’utilizzo dei dati, sono adottate misure per garantire la privacy del personale e dei terzi. Il dipartimento
delle risorse umane (HR) ha, per esempio, la propria rete che non è accessibile ad altri servizi;
• L’uso del computer da parte degli utenti finali è protetta da misure atte a garantire la riservatezza delle informazioni. Un
esempio è una password per l’accesso al computer e alla rete.

INTEGRITÀ - INTEGRITY
L’integrità è il grado con cui le informazioni sono aggiornate e senza errori
Le caratteristiche dell’integrità sono:
• La correttezza delle informazioni;
• La completezza delle informazioni.
Information and Security

MISURE DI SICUREZZA PER GARANTIRE L’INTEGRITÀ
• I cambiamenti all’interno dei sistemi e nei dati sono sottoposti ad autorizzazione. Ad esempio, un
membro del personale inserisce un nuovo prezzo per un articolo sul sito web, e un altro verifica la
correttezza del prezzo prima della pubblicazione;
• Quando possibile, i sistemi sono costruiti in modo tale da forzare le persone ad utilizzare il termine
corretto. Ad esempio, un fornitore è sempre chiamato un «fornitore», il termine «venditore» non può
essere inserito;
• Le azioni degli utenti vengono registrate (log) in modo tale che può essere determinato chi ha fatto la
modifica delle informazioni;
• Le azioni di sistema vitali, ad esempio, l’installazione di un nuovo software, non possono essere
svolte da una sola persona. La separazione delle funzioni, le posizioni e l’autorità, almeno due persone
sono necessarie per effettuare un cambiamento che ha importanti conseguenze;
• Il trasferimento di informazioni fra sistemi diversi include verifica dell’integrità di quanto trasmesso.
Ad esempio un sistema fa un hash del dato/file poi trasferisce i dati, all’arrivo viene fatta una verifica
dell’hash iniziale.

DISPONIBILITÀ - AVAILABILITY
La disponibilità è il grado in cui le informazioni sono disponibili all’utente e al sistema
informativo nel momento in cui viene richiesto.
Le caratteristiche di disponibilità sono:
• Temporali: i sistemi informativi sono disponibili quando necessario;
• Continuità: il personale può continuare a lavorare in caso di guasto;
• Robustezza: vi è una capacità sufficiente per consentire a tutto il personale nel
sistema di lavorare.

MISURE DI SICUREZZA PER GARANTIRE LA
DISPONIBILITÀ
• La gestione dello storage dei dati è tale che la possibilità di perdita di dati è
minima. I dati sono, per esempio, memorizzato su un disco di rete, non sul disco
rigido del PC;
• Le procedure di backup sono impostate. Sono presi in considerazione i requisiti
normativi per quanto tempo i dati devono essere conservati. La posizione del backup
è separato fisicamente dal luogo primario al fine di assicurare la disponibilità in casi
di emergenza;
• Le procedure di emergenza sono impostate per assicurare che le attività possano
riprendere non appena possibile dopo un’interruzione importante.

Lesson
#2
La protezione dei dati (comunemente nota anche come privacy), la sicurezza delle
informazioni, la sicurezza informatica e la cybersecurity non sono cose diverse fra di loro ma
parte di una stessa «famiglia», quindi possono essere affrontate insieme o, comunque, con
le stesse tecniche e conoscenze.

Lesson
#3
I principi base sono molto similari e sono sintetizzabili nella protezione della Riservatezza,
Integrità e Disponibilità (RID o CIA) delle informazioni e dei dati. In modo speculare le
vulnerabilità presenti nei sistemi sono schematizzabili in termini di violazione di uno o più
di questi aspetti.

Entro il 9 novembre 2018, gli Stati membri identificano, per ciascun settore e sotto-settore di cui all'allegato II, gli
operatori di servizi essenziali con una sede nel loro territorio.
a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o
economiche fondamentali;
I criteri per l'identificazione degli operatori di servizi essenziali di cui all'articolo 4, punto 4, sono i seguenti:
b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; e
c) un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.
Ai fini del paragrafo 1, ciascuno Stato membro istituisce un elenco dei servizi di cui al paragrafo 2, lettera a).
Ai fini del paragrafo 1, qualora un soggetto fornisca un servizio di cui al paragrafo 2, lettera a), in due o più
Stati membri, questi ultimi avviano consultazioni reciproche. Tale consultazione si svolge prima che sia presa
una decisione sull'identificazione.
Gli Stati membri riesaminano e, se del caso, aggiornano su base regolare, ed almeno ogni due anni dopo il
9 maggio 2018, l'elenco di operatori di servizi essenziali identificati
IDENTIFICAZIONE DEGLI OPERATORI DI SERVIZI
ESSENZIALI

IDENTIFICAZIONE DEGLI OPERATORI DI SERVIZI
ESSENZIALI
• Ci sono degli operatori che è evidente che rientrano nella lista di operatori di servizi
essenziali (ad es. telco, energia, ferrovie, difesa, ecc.).
• Avere una lista di servizi critici nazionali può essere una «debolezza» nazionale, è si
una lista di servizi da proteggere …..ma anche una lista di servizi da attaccare.
• Potrebbe alterare la competizione fra aziende imponendo misure di sicurezza a
qualche operatore e meno o nessuna ad altri.

Lesson
#4
La lista di operatori di servizi essenziali ancora non è stata formulata nella sua interezza,
questa può comprendere sia operatori pubblici che operatori privati.

DA DOVE NASCONO LE MISURE MINIME DI
SICUREZZA?
Gli eventi di cyber attack, in particolare nei confronti della Pubblica amministrazione, sono
aumentati parecchio nel tempo.
La Pubblica Amministrazione Italiana è sempre più sotto attacco e con poche difese, il
personale e le strutture ICT delle Pubbliche Amministrazioni non erano preparate a
«difendersi» adeguatamente.
Serviva un quadro di riferimento che le aiutasse a indirizzare le proprie risorse nella
protezione degli aspetti più critici ed in modo omogeneo fra di loro.
La Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015, in considerazione
dell’esigenza di consolidare un sistema di reazione efficiente, che raccordi le capacità di
risposta delle singole Amministrazioni, con l’obiettivo di assicurare la resilienza
dell’infrastruttura informatica nazionale, a fronte di eventi quali incidenti o azioni ostili che
possono compromettere il funzionamento dei sistemi e degli assetti fisici controllati dagli
stessi.

RAPPORTO CLUSIT 2017 (1/3)

Lesson
#5
Le pubbliche amministrazioni italiane sono sempre più sotto attacco e con poche difese,
necessitano di una linea guida (comune) su come e dove andare a difendersi.

I CIS CRITICAL SECURITY CONTROLS
I CIS Critical Security Controls sono stati redatti dal Center for Internet Security (CIS) in
collaborazione con una comunità internazionale di professionisti e di istituzioni.
L’obiettivo sottostante ai controlli non è tanto avere una lista di cose da svolgere ma
una prioritizzazione delle cose con un’alta focalizzazione sulle cose importanti.

DA SANS 20 A MISURE MINIME AGID (1/3)
• Le Misure Minime di Sicurezza ICT partono dalle misure di sicurezza previste nel SANS
20 ma si focalizzano su un loro sotto insieme.
• Le Misure Minime di Sicurezza ICT dell’AgID, come dice il nome, non sono «tutte» le
misure di sicurezza che un’Amministrazione dovrebbe adottare.
• L’AgID ha identificato 8 aree prioritarie in quanto:
▪ Importanza fondamentale della rilevazione delle anomalie operative da qui l’importanza degli
inventari (prime due ambiti delle misure minime);
▪ Protezione della configurazione (terzo ambito);
▪ Rilevanza dell’analisi delle vulnerabilità (quarto ambito);
▪ Gestione degli utenti, in particolare degli amministratori (quinto ambito);
▪ Prevenzione dell’installazione di codice malevolo e sua individuazione (sesto ambito);
▪ Ripristino dei sistemi (settimo ambito);
▪ Protezione dalla sottrazione dei dati e informazioni (ottavo ambito).

CIS Critical Security Controls Misure Minime di Sicurezza ICT AgID
CSC 1: Inventory of Authorized and Unauthorized Devices ABSC 1 (CSC 1): Inventario dei dispositivi autorizzati e non
autorizzati
CSC 2: Inventory of Authorized and Unauthorized Software ABSC 2 (CSC 2): Inventario dei software autorizzati e non
autorizzati
CSC 3: Secure Configurations for Hardware and Software
on Mobile Devices, Laptops, Workstations, and Servers
ABSC 3 (CSC 3): Proteggere le configurazioni di hardware e
software sui dispositivi mobili, laptop, workstation e server
CSC 4: Continuous Vulnerability Assessment and
Remediation
ABSC 4 (CSC 4): Valutazione e correzione continua della
vulnerabilità
CSC 5: Controlled Use of Administrative Privileges ABSC 5 (CSC 5): Uso appropriato dei privilegi di
amministratore
CSC 6: Maintenance, Monitoring, and Analysis of Audit
Logs
-
CSC 7: Email and Web Browser Protections -
CSC 8: Malware Defenses ABSC 8 (CSC 8): Difese contro i malware
CSC 9: Limitation and Control of Network Ports, Protocols,
and Services
-
CSC 10: Data Recovery Capability ABSC 10 (CSC 10): Copie di sicurezza

CIS Critical Security Controls Misure Minime di Sicurezza ICT AgID
CSC 11: Secure Configurations for Network Devices such as
Firewalls, Routers, and Switches
-
CSC 12: Boundary Defense -
CSC 13: Data Protection ABSC 13 (CSC 13): Protezione dei dati
CSC 14: Controlled Access Based on the Need to Know -
CSC 15: Wireless Access Control -
CSC 16: Account Monitoring and Control -
CSC 17: Security Skills Assessment and Appropriate Training
to Fill Gaps
-
CSC 18: Application Software Security -
CSC 19: Incident Response and Management -
CSC 20: Penetration Tests and Red Team Exercises -

MAPPATURA DEI CONTROLLI CON ALTRI FRAMEWORK
Allo stato
attuale manca
la mappatura
con il GDPR

Lesson
#6
Le Misure Minime di Sicurezza ICT dell’AgID hanno attinto ad un’esperienza internazionale
ma sono state ritagliate e contestualizzate alle pubbliche amministrazioni italiane.

Lesson
#7
Le Misure Minime di Sicurezza ICT dell’AgID non rappresentano tutto quello che andrebbe
fatto ma solo una pare.

Minime
Standard
Alte
Scelta e collocazione dei sistemi della PA 16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso36

I SISTEMI NON SONO TUTTI UGUALI
All’interno delle organizzazioni e Pubbliche Amministrazioni sono
presenti numerosi sistemi ICT. Questi non sono tutti ugualmente
critici fra di loro.
Bisogna quindi andare a valutare (sarebbe opportuno anche documentare) l’impatto
di un’interruzione delle attività di questi sistemi e servizi.

COSA DOVREMMO TENERE IN CONSIDERAZIONE?
Fare una BIA sarebbe l’approccio probabilmente più corretto per identificare la criticità
dei sistemi ICT dell’Amministrazione, però potrebbe essere complesso e lungo. Come si
potrebbe fare in modo semplice e che cosa si dovrebbe andare a tenere in
considerazione?
• Il sistema eroga o è di supporto ad un servizio
essenziale a livello nazionale?
• Il sistema che tipologia di dati contiene e gestisce?
Contiene dati personali, sensibili, confidenziali?
• Il sistema e i servizi/processi che supporto sono in
grado di tollerare un’interruzione prolungata?

Lesson
#8
Per scegliere il livello delle misure di sicurezza sarebbe necessario effettuare una Business
Impact Analysis almeno in modo semplice.

Tempi e modulo di implementazione 16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso40

ENTRO QUANDO LE PA DOVREBBERO ADEGUARSI (IN
TEORIA)?
L'adeguamento delle Pubbliche
amministrazioni alle Misure minime dovrà
avvenire entro il 31 dicembre 2017, a cura del
responsabile della struttura per
l'organizzazione, l'innovazione e le tecnologie
di cui all'art.17 del C.A.D., ovvero, in sua
assenza, del dirigente allo scopo designato.

IL MODULO PER LE MISURE MINIME
ABSC_ID Livello Descrizione Modalità di implementazione
1 1 1 M Implementare un inventario delle risorse attive
correlato a quello ABSC 1.4
1 1 2 S Implementare ABSC 1.1.1 attraverso uno strumento
automatico
1 1 3 A Effettuare il discovery dei dispositivi collegati alla rete
con allarmi in caso di anomalie.
1 1 4 A Qualificare i sistemi connessi alla rete attraverso
l'analisi del loro traffico.
1 2 1 S Implementare il "logging" delle operazione del server
DHCP.
1 2 2 S Utilizzare le informazioni ricavate dal "logging" DHCP
per migliorare l'inventario delle risorse e identificare le
risorse non ancora censite.
1 3 1 M Aggiornare l'inventario quando nuovi dispositivi
approvati vengono collegati in rete.
1 3 2 S Aggiornare l'inventario con uno strumento automatico
quando nuovi dispositivi approvati vengono collegati in
rete.
1 …. …. …. ………
Le misure pensate devono essere serie, attinenti e concrete non
«buttate» li a caso. Ad es. il SIEM non è la panacea di tutti i mali e non
risolve tutti i problemi del mondo!

Lesson
#9
La scadenza per le pubbliche amministrazioni di comunicare lo stato delle misure di
sicurezza a livello teorico è il 31/12/2017 …..alcune sono in alto mare.

Le Misure Minime di sicurezza, esempi.16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso44

GLI OTTO AMBITI DELLE MISURE MINIME
ABSC 1 (CSC 1)
INVENTARIO HW E SW
ABSC3(CSC3)
PROTEZIONE
CONFIGURAZIONI
GESTIONE VULNERABILITÀABSC 5 (CSC 5)
PRIVILEGI
MALWARE
ABSC10(CSC10)
BACKUP
PROTEZIONE DATI

ABSC 1 (CSC 1) & ABSC 2 (CSC 2): INVENTARIO DEI
DISPOSITIVI E SOFTWARE AUTORIZZATI E NON AUTORIZZATI
È importante avere l’inventario ma è ancora
più importante che questo sia mantenuto
costantemente aggiornato ed allineato a
quanto effettivamente presente!

ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI
AUTORIZZATI E NON AUTORIZZATI (1/2)
1 1 1 M
Implementare un inventario delle risorse attive correlato a quello
ABSC 1.4
Ad es.: Implementare una gestione dei cespiti attraverso uno strumento
informatizzato
1 1 2 S Implementare ABSC 1.1.1 attraverso uno strumento automatico
Ad es.: Implementare un CMDB come indicato da ITIL, ISO 20000 o A8.1.1
Inventario Asset ISO 27001:2013
1 1 3 A
Effettuare il discovery dei dispositivi collegati alla rete con allarmi
in caso di anomalie.
Ad es.: Implementare un NAC che limita l’accesso ad una zona controllata per i
non autenticati oppure un proxy autenticato
1 1 4 A
Qualificare i sistemi connessi alla rete attraverso l’analisi del loro
traffico.
Ad es.: attraverso l’utilizzo di NAC di nuova generazione
1 2 1 S Implementare il "logging" delle operazione del server DHCP. Ad es.: Connettere il server DHCP al SIEM
1 2 2 S
Utilizzare le informazioni ricavate dal "logging" DHCP per
migliorare l'inventario delle risorse e identificare le risorse non
ancora censite.
Ad es.: Audit di verifica alla ricerca di discordanze fra dispositivi loggati e quelli
censiti nell’inventario
1 3 1 M
Aggiornare l’inventario quando nuovi dispositivi approvati
vengono collegati in rete.
Ad es.: Processo di assegnazione dei nuovi dispositivi e relativo aggiornamento
all’interno dell’Inventario
1 3 2 S
Aggiornare l’inventario con uno strumento automatico quando
nuovi dispositivi approvati vengono collegati in rete.
Ad es.: Utilizzo di strumento di inventory da remoto con aggiornamento
automatico dell’inventario (da implementare gestione delle eccezioni)

ABSC 1 (CSC 1): INVENTARIO DEI DISPOSITIVI
1 4 1 M
Gestire l'inventario delle risorse di tutti i sistemi collegati alla
rete e dei dispositivi di rete stessi, registrando almeno l’indirizzo
IP.
Ad es.: registrazione dell’assegnazione dell’indirizzo IP alla macchina/utente
1 4 2 S
Per tutti i dispositivi che possiedono un indirizzo IP l’inventario
deve indicare i nomi delle macchine, la funzione del sistema, un
titolare responsabile della risorsa e l’ufficio associato.
L’inventario delle risorse creato deve inoltre includere
informazioni sul fatto che il dispositivo sia portatile e/o
personale.
Ad es.: avere un campo che permette di collegare il device a cui è assegnato
l’indirizzo IP ad altre informazioni presenti nell’inventario oppure uno strumento
che permette di collegare in automatico le informazioni tecniche ed
amministrative
1 4 3 A
Dispositivi come telefoni cellulari, tablet, laptop e altri dispositivi
elettronici portatili che memorizzano o elaborano dati devono
essere identificati, a prescindere che siano collegati o meno alla
rete dell’organizzazione.
Ad es.: l’inventario deve comprendere tutti i dispositivi, sia fissi che mobili (laptop,
smartphone, ecc.) dell’organizzazione, questi devono essere
identificati/identificabili
1 5 1 A
Installare un’autenticazione a livello di rete via 802.1x per
limitare e controllare quali dispositivi possono essere connessi
alla rete. L'802.1x deve essere correlato ai dati dell’inventario per
distinguere i sistemi autorizzati da quelli non autorizzati.
Ad es.: la rete WiFi deve essere controllata come la rete cablata, sarebbe
opportuna l’implementazione di una rete separata per gli ospiti (guest) autenticata
e con accesso limitato alle risorse
1 6 1 A
Utilizzare i certificati lato client per validare e autenticare i
sistemi prima della connessione a una rete locale.
Ad es.: adozione di certificati locali alle macchine per consentire l’autenticazione
della stessa alla rete

ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE
2 1 1 M
Stilare un elenco di software autorizzati e relative versioni
necessari per ciascun tipo di sistema, compresi server,
workstation e laptop di vari tipi e per diversi usi. Non
consentire l'installazione di software non compreso
nell'elenco.
Ad es.: redigere una lista di software autorizzato (o non consentito)
differenziandolo per profili se necessario. Si può effettuare un approccio del tipo
«se un software non è espressamente autorizzato è da ritenersi non autorizzato».
2 2 1 S
Implementare una "whitelist" delle applicazioni autorizzate,
bloccando l'esecuzione del software non incluso nella lista. La
"whitelist" può essere molto ampia per includere i software
più diffusi.
Ad es.: Arrivare a questa situazione è complesso e può prevedere la presenza di un
insieme di soluzioni tipo: utenti non amministratori sulle macchine, postazioni di
lavoro in dominio, applicazioni di group policy con software consentito. Ma ci sono
anche altre soluzioni.
2 2 2 S
Per sistemi con funzioni specifiche (che richiedono solo un
piccolo numero di programmi per funzionare), la "whitelist"
può essere più mirata. Quando si proteggono i sistemi con
software personalizzati che può essere difficile inserire nella
"whitelist", ricorrere al punto ABSC 2.4.1 (isolando il software
personalizzato in un sistema operativo virtuale).
Ad es.: vedi sopra
2 2 3 A
Utilizzare strumenti di verifica dell'integrità dei file per
verificare che le applicazioni nella "whitelist" non siano state
modificate.
Ad es.: Si può utilizzare software per il File Integrity Monitoring (FIM) (McAfee
Change Control) oppure attraverso l’utilizzo di Host based intrusion detection
system (HIDS) (come TRIPWIRE)

ABSC 2 (CSC 2): INVENTARIO DEI SOFTWARE
2 3 1 M
Eseguire regolari scansioni sui sistemi al fine di rilevare la
presenza di software non autorizzato.
Ad es.: Tool di remote inventory (da confrontare con una baseline autorizzata)
2 3 2 S
Mantenere un inventario del software in tutta
l'organizzazione che copra tutti i tipi di sistemi operativi in
uso, compresi server, workstation e laptop.
Ad es.: vedi 1.1.2
2 3 3 A
Installare strumenti automatici d'inventario del software che
registrino anche la versione del sistema operativo utilizzato
nonché le applicazioni installate, le varie versioni ed il livello
di patch.
Ad es.: Tool di remote managment permettono di fare inventari da remoto,
volendo possono anche arrivare a disinstallare in automatico il software non
autorizzato
2 4 1 A
Utilizzare macchine virtuali e/o sistemi air-gapped per
isolare ed eseguire applicazioni necessarie per operazioni
strategiche o critiche dell’Ente, che a causa dell’elevato
rischio non devono essere installate in ambienti direttamente
collegati in rete.
Ad es.: utilizzo di sistemi virtualizzati nei datacenter isolati (non è sicuro al 100%)

Lesson
#10
Avere un corretto inventario o un CMDB è funzionale per lo svolgimento di molte attività.
Indipendentemente dal livello di dettaglio che si sceglie di avere è di fondamentale
importanza che questo sia aggiornato. Può essere controproducente spingersi ad un livello
di dettaglio avanzato perché più complesso da mantenere.

ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI
DI HARDWARE E SOFTWARE SUI DISPOSITIVI
Le configurazioni hardware e software
vanno valutate, testate, approvate e
«certificate». Non deve essere un «caso»
quello che è presente in rete!

16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso
ABSC 3 (CSC 3): PROTEGGERE LE CONFIGURAZIONI DI HARDWARE E
SOFTWARE SUI DISPOSITIVI MOBILI, LAPTOP, WORKSTATION E
SERVER (1/3)
3 1 1 M
Utilizzare configurazioni sicure standard per la protezione dei
sistemi operativi.
Ad es.: Andrebbe definita una configurazione standard per le diverse tipologie di
device, configurazioni diverse da quelle standard valutate ed approvate deve
essere espressamente autorizzata
3 1 2 S
Le configurazioni sicure standard devono corrispondere alle
versioni "hardened" del sistema operativo e delle
applicazioni installate. La procedura di hardening comprende
tipicamente: eliminazione degli account non necessari
(compresi gli account di servizio), disattivazione o
eliminazione dei servizi non necessari, configurazione di stack
e heaps non eseguibili, applicazione di patch, chiusura di
porte di rete aperte e non utilizzate.
Ad es.: tutti i software devono essere installati in versione hardenizzata almeno
come indicato dal produttore, meglio se definita internamente all’organizzazione
dopo specifico test. Tutti i dispositivi devono essere patchati al livello più recente
di patch autorizzato. Si possono considerare anche le versioni testate EALx
3 1 3 A
Assicurare con regolarità la validazione e l'aggiornamento
delle immagini d'installazione nella loro configurazione di
sicurezza anche in considerazione delle più recenti
vulnerabilità e vettori di attacco.
Ad es.: le configurazioni dei vari dispositivi variano nel tempo, queste devono
essere testate secondo le più recenti tecniche di attacco e sfruttamento delle
vulnerabilità e, conseguentemente, deve essere aggiornata la configurazione
approvata.
3 2 1 M
Definire ed impiegare una configurazione standard per
workstation, server e altri tipi di sistemi usati
dall'organizzazione.
Ad es.: Deve essere definita una configurazione standard dei vari device
(eventualmente in più tipologie se necessario)
3 2 2 M
Eventuali sistemi in esercizio che vengano compromessi
devono essere ripristinati utilizzando la configurazione
standard.
Ad es.: Se un sistema in esercizio viene compromesso sarebbe opportuno, se
possibile, ripristinare la configurazione di base al posti di «bonificarlo» in quanto
questa potrebbe non essere completa
3 2 3 S
Le modifiche alla configurazione standard devono effettuate
secondo le procedure di gestione dei cambiamenti.
Ad es.: Cambiamenti alla configurazione standard devono essere testati ed
approvati attraverso un processo di Change Management (ITIL Service Transition),
solo dopo possono essere gestite come change standard o service request53

SERVER (2/3)
3 3 1 M
Le immagini d'installazione devono essere memorizzate
offline.
Ad es.: Dovrebbe essere resa disponibile un Definitive Media Libriry (ITIL Service
Transition)
3 3 2 S
Le immagini d'installazione sono conservate in modalità
protetta, garantendone l'integrità e la disponibilità solo agli
utenti autorizzati.
Ad es.: vedi sopra
3 4 1 M
Eseguire tutte le operazioni di amministrazione remota di
server, workstation, dispositivi di rete e analoghe
apparecchiature per mezzo di connessioni protette
(protocolli intrinsecamente sicuri, ovvero su canali sicuri).
Ad es.: Va eseguita la connessione remota attraverso https, ssh, ecc.
3 5 1 S
Utilizzare strumenti di verifica dell'integrità dei file per
assicurare che i file critici del sistema (compresi eseguibili di
sistema e delle applicazioni sensibili, librerie e configurazioni)
non siano stati alterati.
Ad es.: Si può utilizzare software per il File Integrity Monitorinh (FIM) (McAfee
Change Control)
3 5 2 A
Nel caso in cui la verifica di cui al punto precedente venga
eseguita da uno strumento automatico, per qualunque
alterazione di tali file deve essere generato un alert.
Change Control)
3 5 3 A
Per il supporto alle analisi, il sistema di segnalazione deve
essere in grado di mostrare la cronologia dei cambiamenti
della configurazione nel tempo e identificare chi ha eseguito
ciascuna modifica.
Change Control)
3 5 4 A
I controlli di integrità devono inoltre identificare le alterazioni
sospette del sistema, delle variazioni dei permessi di file e
cartelle.
Change Control), ma anche l’esecuzione di audit di sicurezza
54

SERVER (3/3)
3 6 1 A
Utilizzare un sistema centralizzato di controllo automatico
delle configurazioni che consenta di rilevare e segnalare le
modifiche non autorizzate.
Ad es.: Tool di remote managment permettono di fare inventari da remoto
confrontarli con una baseline autorizzata e, volendo, possono anche arrivare a
disinstallare in automatico il software non autorizzato
3 7 1 A
Utilizzare strumenti di gestione della configurazione dei
sistemi che consentano il ripristino delle impostazioni di
configurazione standard.
Ad es.: vedi sopra

Lesson
#11
La sicurezza delle configurazioni è importante, si può partire con un hardening dei sistemi e
processi di patching per poi aggiungere il monitoraggio dell’integrità dei file solo dove
necessario e non generalizzato.

ABSC 4 (CSC 4): GESTIONE DELLE VULNERABILITÀ
Le vulnerabilità sono presenti costantemente nei sistemi, la sicurezza al 100% non
esiste. Vulnerabilità vengono scoperte costantemente, quindi è un processo
continuo non un’attività una tantum.

ABSC 4 (CSC 4): VALUTAZIONE E CORREZIONE
CONTINUA DELLA VULNERABILITÀ (1/3)
4 1 1 M
Ad ogni modifica significativa della configurazione eseguire la
ricerca delle vulnerabilità su tutti i sistemi in rete con
strumenti automatici che forniscano a ciascun
amministratore di sistema report con indicazioni delle
vulnerabilità più critiche.
Ad es.: Esecuzione Vulnerability Assessment (senza dimenticare il trattamento e la
gestione delle vulnerabilità rilevate)
4 1 2 S
Eseguire periodicamente la ricerca delle vulnerabilità ABSC
4.1.1 con frequenza commisurata alla complessità
dell'infrastruttura.
Ad es.: vedi sopra
4 1 3 A
Usare uno SCAP (Security Content Automation Protocol) di
validazione della vulnerabilità che rilevi sia le vulnerabilità
basate sul codice (come quelle descritte dalle voci Common
Vulnerabilities ed Exposures) che quelle basate sulla
configurazione (come elencate nel Common Configuration
Enumeration Project).
Ad es.: Le vulnerabilità andrebbero identificate e gestite, sarebbe anche
opportuna la disponibilità o l’accesso ad un Early Warning system/service
4 2 1 S
Correlare i log di sistema con le informazioni ottenute dalle
scansioni delle vulnerabilità.
Ad es.: andrebbero correlati i log di sistema con le informazioni ottenute dalle
vulnerabilità attraverso vulnerability scan, log collector, ecc.
4 2 2 S
Verificare che i log registrino le attività dei sistemi di scanning
delle vulnerabilità
Ad es.: vedi sopra
4 2 3 S
Verificare nei log la presenza di attacchi pregressi condotti
contro target riconosciuto come vulnerabile.
Ad es.: vedi sopra

4 3 1 S
Eseguire le scansioni di vulnerabilità in modalità privilegiata,
sia localmente, sia da remoto, utilizzando un account
dedicato che non deve essere usato per nessun’altra attività
di amministrazione.
Ad es.: Tutte le attività di verifica e di testing devono essere condotte in modo
etico e tracciabile, devono essere fatte utenze specifiche per i test autenticati, ma
anche per l’effettuazione di Penetration Testing
4 3 2 S
Vincolare l’origine delle scansioni di vulnerabilità a specifiche
macchine o indirizzi IP, assicurando che solo il personale
autorizzato abbia accesso a tale interfaccia e la utilizzi
propriamente.
Ad es.: Le scansioni sono sia un veicolo di verifica che un veicolo di attacco (sono
utilizzati tool similari a quelli che utilizzerebbe un attaccante, quindi non devono
essere consentite all’interno della rete e appositamente approvate. Nella rete
devono essere presenti FW che impediscono questo tipo di traffico e apposite
regole devono essere approvate ed implementate per l’effettuazione delle
scansioni, inoltre gli IP di sorgente devono essere dichiarati dai tester.
4 4 1 M
Assicurare che gli strumenti di scansione delle vulnerabilità
utilizzati siano regolarmente aggiornati con tutte le più
rilevanti vulnerabilità di sicurezza.
Ad es.: Va definita una procedura di scansione che prevede l’effettuazione
dell’aggiornamento delle strumento prima della scansione qualora non sia prevista
in automatico dallo strumento adottato.
4 4 2 S
Registrarsi ad un servizio che fornisca tempestivamente le
informazioni sulle nuove minacce e vulnerabilità.
Utilizzandole per aggiornare le attività di scansione
Ad es.: Le vulnerabilità andrebbero identificate e gestite, sarebbe anche
opportuna la disponibilità o l’accesso ad un Early Warning system/service
4 5 1 M
Installare automaticamente le patch e gli aggiornamenti del
software sia per il sistema operativo sia per le applicazioni.
Ad es.: WSUS o software distribution (push o pull è lo stesso)
4 5 2 M
Assicurare l'aggiornamento dei sistemi separati dalla rete, in
particolare di quelli air-gapped, adottando misure adeguate
al loro livello di criticità.
Ad es.: aggiornamento manuale
4 6 1 S
Verificare regolarmente che tutte le attività di scansione
effettuate con gli account aventi privilegi di amministratore
siano state eseguite secondo delle policy predefinite.
Ad es.: valutazione dei report delle scansioni (aggiungerei disabilitazione delle
utenze con privilegi amministrativi quando non utilizzate durante le scansioni)
59

4 7 1 M Verificare che le vulnerabilità emerse dalle scansioni siano
state risolte sia per mezzo di patch, o implementando
opportune contromisure oppure documentando e
accettando un ragionevole rischio.
Ad es.: Deve essere presente un processo non solo di vulnerability assessment ma
anche di vulnerability management
4 7 2 S Rivedere periodicamente l’accettazione dei rischi di
vulnerabilità esistenti per determinare se misure più recenti
o successive patch possono essere risolutive o se le
condizioni sono cambiate, con la conseguente modifica del
livello di rischio.
Ad es.: Nel vulnerability management deve essere, ovviamente, inclusa la
possibilità di accettazione del rischio derivante, per esempio, da incompatibilità di
una patch con un applicativo. Le accettazioni del rischio non devono essere a
tempo indeterminato.
4 8 1 M Definire un piano di gestione dei rischi che tenga conto dei
livelli di gravità delle vulnerabilità, del potenziale impatto e
della tipologia degli apparati (e.g. server esposti, server
interni, PdL, portatili, etc.).
Ad es.: Dovrebbe essere eseguita un’analisi dei rischi che tenga in considerazione
la tipologia di apparato e la sua esposizione, in base a questo devono essere
assegnati requisiti di sicurezza specifici e attinenti
4 8 2 M Attribuire alle azioni per la risoluzione delle vulnerabilità un
livello di priorità in base al rischio associato. In particolare
applicare le patch per le vulnerabilità a partire da quelle più
critiche.
Ad es.: Adottare un modello di assegnazione delle priorità come per i requisiti
funzionali MosCoW
4 9 1 S Prevedere, in caso di nuove vulnerabilità, misure alternative
se non sono immediatamente disponibili patch o se i tempi di
distribuzione non sono compatibili con quelli fissati
dall'organizzazione.
Ad es.: Deve essere presente un processo non solo di vulnerability assessment ma
anche di vulnerability management
4 10 1 S Valutare in un opportuno ambiente di test le patch dei
prodotti non standard (es.: quelli sviluppati ad hoc) prima di
installarle nei sistemi in esercizio.
Ad es.: Processi di Change Management e di Release and Deployment
Management di ITIL Service Transition
60

PREVEDERE VERIFICHE DI SICUREZZA CONTINUA IN FASE DI
PROGETTAZIONE E DI SVILUPPO

http://iatraining.disa.mil/eta/cyberchallenge_v4/launchPage.htm
AWARENESS AGLI UTENTI - DOD
Anche se fa parte del dominio CSC 17: Security Skills Assessment and Appropriate Training to Fill Gaps non incluso nelle
Misure Minime è il primo tassello della sicurezza.

Lesson
#12
Noi siamo sicuri quanto è sicuro l’anello più debole della catena, è li che l’attaccante tende
ad intrufolarsi. Le vulnerabilità dei sistemi sono molto similari nel tempo e basta adottare
degli accorgimenti minimi per fare già un buon salto di sicurezza. Ovviamente sistemi più
critici hanno bisogno di un’attenzione particolare e più puntuale.

ABSC 5 (CSC 5): PRIVILEGI DI AMMINISTRATORE
L’assegnazione dei corretti privilegi e la
segmentazione dei privilegi all’interno
dell’infrastruttura è di estrema
importanza. Non tutti gli utenti sono
uguali e non devono vedere e avere
accesso alle stesse cose.

ABSC 5 (CSC 5): USO APPROPRIATO DEI PRIVILEGI
DI AMMINISTRATORE (1/4)
5 1 1 M
Limitare i privilegi di amministrazione ai soli utenti che
abbiano le competenze adeguate e la necessità operativa di
modificare la configurazione dei sistemi.
Ad es.: Va effettuata un profilazione degli utente, non tutti gli utenti devono
essere amministratori e comunque non amministratori di tutto; gli amministratori
non dovrebbero fare tutto con utenze amministrative ma utilizzarle solo quando
necessario
5 1 2 M
Utilizzare le utenze amministrative solo per effettuare
operazioni che ne richiedano i privilegi, registrando ogni
accesso effettuato.
Ad es.: vedi sopra
5 1 3 S
Assegnare a ciascuna utenza amministrativa solo i privilegi
necessari per svolgere le attività previste per essa.
Ad es.: vedi sopra
5 1 4 A
Registrare le azioni compiute da un’utenza amministrativa e
rilevare ogni anomalia di comportamento.
Ad es.: tutte le attività dovrebbero essere loggate, motivo in più per farlo con
quelle amministrative, esistono tool che permettono di ricostruire quasi sotto
forma di registrazione le azioni effettuate
5 2 1 M
Mantenere l'inventario di tutte le utenze amministrative,
garantendo che ciascuna di esse sia debitamente e
formalmente autorizzata.
Ad es.: le utenze devono essere nominali e deve esistere un processo di
autorizzazione delle utenze, in particolare per quelle amministrative
5 2 2 A
Gestire l'inventario delle utenze amministrative attraverso
uno strumento automatico che segnali ogni variazione che
intervenga.
Ad es.: vedi sopra

5 3 1 M
Prima di collegare alla rete un nuovo dispositivo sostituire le
credenziali dell’amministratore predefinito con valori
coerenti con quelli delle utenze amministrative in uso.
Ad es.: solitamente è parte dell’hardening
5 4 1 S
Tracciare nei log l’aggiunta o la soppressione di un’utenza
amministrativa.
Ad es.: vedi 5.2.1
5 4 2 S
Generare un’allerta quando viene aggiunta un'utenza
amministrativa.
Ad es.: vedi 5.2.1
5 4 3 S
Generare un’allerta quando vengano aumentati i diritti di
un’utenza amministrativa.
Ad es.: prevedere che questo genere di attività venga tracciata ed inviata, per
esempio, al SIEM
5 5 1 S
Tracciare nei log i tentativi falliti di accesso con un’utenza
amministrativa.
Ad es.: sarebbe anche opportuno che superato un limite di tentativi (per esempio
3) venga generato un incidente di sicurezza e trattato conseguentemente
5 6 1 A
Utilizzare sistemi di autenticazione a più fattori per tutti gli
accessi amministrativi, inclusi gli accessi di amministrazione
di dominio. L'autenticazione a più fattori può utilizzare
diverse tecnologie, quali smart card, certificati digitali, one
time password (OTP), token, biometria ed altri analoghi
sistemi.
Ad es.: strong autentication

5 7 1 M
Quando l’autenticazione a più fattori non è supportata,
utilizzare per le utenze amministrative credenziali di elevata
robustezza (e.g. almeno 14 caratteri).
Ad es.: Utilizzare una password policy con criteri di complessità delle password
adeguata e impostata sui sistemi
5 7 2 S
Impedire che per le utenze amministrative vengano utilizzate
credenziali deboli.
Ad es.: vedi sopra
5 7 3 M
Assicurare che le credenziali delle utenze amministrative
vengano sostituite con sufficiente frequenza (password
aging).
Ad es.: vedi sopra
5 7 4 M
Impedire che credenziali già utilizzate possano essere
riutilizzate a breve distanza di tempo (password history).
Ad es.: vedi sopra
5 7 5 S
Assicurare che dopo la modifica delle credenziali trascorra un
sufficiente lasso di tempo per poterne effettuare una nuova.
Ad es.: vedi sopra
5 7 6 S
Assicurare che le stesse credenziali amministrative non
possano essere riutilizzate prima di sei mesi.
Ad es.: vedi sopra
5 8 1 S
Non consentire l'accesso diretto ai sistemi con le utenze
amministrative, obbligando gli amministratori ad accedere
con un'utenza normale e successivamente eseguire come
utente privilegiato i singoli comandi.
Ad es.: policy utenze e profilazione degli utenti
5 9 1 S
Per le operazioni che richiedono privilegi gli amministratori
debbono utilizzare macchine dedicate, collocate su una rete
logicamente dedicata, isolata rispetto a Internet. Tali
macchine non possono essere utilizzate per altre attività.
Ad es.: definire macchine dedicate o macchine virtuali ponte per eseguire attività
amministrative ma anche test di sicurezza in generale

5 10 1 M
Assicurare la completa distinzione tra utenze privilegiate e
non privilegiate degli amministratori, alle quali debbono
corrispondere credenziali diverse.
Ad es.: Va effettuata un profilazione degli utente, non tutti gli utenti devono
essere amministratori e comunque non amministratori di tutto; gli amministratori
non dovrebbero fare tutto con utenze amministrative ma utilizzarle solo quando
necessario. Le utenze amministrative dovrebbero essere riconoscibili, per
esempio, nsurnameX amministratore e nsurname non amministratore
5 10 2 M
Tutte le utenze, in particolare quelle amministrative,
debbono essere nominative e riconducibili ad una sola
persona.
Ad es.: le utenze devono essere nominali e deve esistere un processo di
autorizzazione delle utenze, in particolare per quelle amministrative
5 10 3 M
Le utenze amministrative anonime, quali "root" di UNIX o
"Administrator" di Windows, debbono essere utilizzate solo
per le situazioni di emergenza e le relative credenziali
debbono essere gestite in modo da assicurare l’imputabilità
di chi ne fa uso.
Ad es.: solitamente è parte dell’hardening la loro disabilitazione, se necessarie va
definito un processo di assegnazione di password temporanee per queste utenze
in modo da tracciarne anche l’utilizzo
5 10 4 S
Evitare l’uso di utenze amministrative locali per le macchine
quando sono disponibili utenze amministrative di livello più
elevato (e.g. dominio).
Ad es.: gli utenti locali non dovrebbero essere amministratori, le postazioni di
lavoro dovrebbero essere in dominio e dovrebbero essere utilizzate le utenze
amministratori di dominio dove si necessiti di diritti amministrativi
5 11 1 M
Conservare le credenziali amministrative in modo da
garantirne disponibilità e riservatezza.
Ad es.: attraverso il mantenimento delle password in busta chiusa e consegnate
solo su richiesta
5 11 2 M
Se per l’autenticazione si utilizzano certificati digitali,
garantire che le chiavi private siano adeguatamente protette.
Ad es.: istruire il personale adeguatamente

Lesson
#13
Gli utenti non sono tutti uguali e non devono avere gli stessi diritti di accesso sui sistemi.
Inoltre uno stesso utente può svolgere attività normali su un sistema e, occasionalmente,
dover essere amministratore, non per questo deve accedere sempre come amministratore
al sistema. È di fondamentale importanza avere un processo di approvazione dei diritti di
accesso ai sistemi magari con una doppia approvazione funzionale e da parte della
sicurezza!

ABSC 8 (CSC 8): ANTIVIRUS E MALWARE
I virus e i malware sono sempre presenti e si
aggiornano e modificano (vedi i ransowere).
Spesso sono attacchi «mirati» a organizzazioni
ben precise.

ABSC 8 (CSC 8): DIFESE CONTRO I MALWARE (1/3)
8 1 1 M
Installare su tutti i sistemi connessi alla rete locale strumenti
atti a rilevare la presenza e bloccare l’esecuzione di malware
(antivirus locali). Tali strumenti sono mantenuti aggiornati in
modo automatico.
Ad es.: Utilizzo di sistemi antivirus e antimalware sia locali sugli end-point che sul
server di posta, deve essere presente una console centrale che aggiorna
costantemente i client e monitora lo stato di quali sono aggiornati e quali no
8 1 2 M Installare su tutti i dispositivi firewall ed IPS personali. Ad es.: utilizzo di personal firewall locali come quello di Windows stesso
8 1 3 S
Gli eventi rilevati dagli strumenti sono inviati ad un repository
centrale (syslog) dove sono stabilmente archiviati.
Ad es.: utilizzo di un log collector o un SIEM
8 2 1 S
Tutti gli strumenti di cui in ABSC_8.1 sono monitorati e gestiti
centralmente. Non è consentito agli utenti alterarne la
configurazione.
Ad es.: utilizzo di un log collector o un SIEM
8 2 2 S
È possibile forzare manualmente dalla console centrale
l’aggiornamento dei sistemi anti-malware installati su ciascun
dispositivo. La corretta esecuzione dell'aggiornamento è
automaticamente verificata e riportata alla console centrale.
Ad es.: vedi 8.1.1
8 2 3 A
L’analisi dei potenziali malware è effettuata su di
un’infrastruttura dedicata, eventualmente basata sul cloud.
Ad es.: infrastruttura dedicata di test scollegata dalla rete
8 3 1 M
Limitare l’uso di dispositivi esterni a quelli necessari per le
attività aziendali.
Ad es.: policy utilizzo device esterni
8 3 2 A Monitorare l’uso e i tentativi di utilizzo di dispositivi esterni. Ad es.: utilizzo di NAC

8 4 1 S
Abilitare le funzioni atte a contrastare lo sfruttamento delle
vulnerabilità, quali Data Execution Prevention (DEP), Address
Space Layout Randomization (ASLR), virtualizzazione,
confinamento, etc. disponibili nel software di base.
Ad es.: Si possono attivare queste funzionalità di gestione della memoria sui
sistemi operativi
8 4 2 A
Installare strumenti aggiuntivi di contrasto allo sfruttamento
delle vulnerabilità, ad esempio quelli forniti come opzione
dai produttori di sistemi operativi.
Ad es.: Vanno opportunamente valutati sia per l’utilizzo di risorse che per la
compatibilità con i sistemi e le applicazioni utilizzate
8 5 1 S
Usare strumenti di filtraggio che operano sull’intero flusso
del traffico di rete per impedire che il codice malevolo
raggiunga gli host.
Ad es.: IPS
8 5 2 A Installare sistemi di analisi avanzata del software sospetto.
8 6 1 S
Monitorare, analizzare ed eventualmente bloccare gli accessi
a indirizzi che abbiano una cattiva reputazione.
Ad es.: implementare una whitelist dei siti accessibili e anche un url filtering
8 7 1 M
Disattivare l’esecuzione automatica dei contenuti al
momento della connessione dei dispositivi removibili.
Ad es.: andrebbe visto in modo più ampio sulla gestione delle porte USB sia come
esecuzione automatica che come veicolo per copia dati e esecuzione di programmi
in versione portable
8 7 2 M
Disattivare l’esecuzione automatica dei contenuti dinamici
(e.g. macro) presenti nei file.
Ad es.: hardening degli applicativi e del pacchetto Office
8 7 3 M
Disattivare l’apertura automatica dei messaggi di posta
elettronica.
Ad es.: vedi sopra
8 7 4 M Disattivare l’anteprima automatica dei contenuti dei file. Ad es.: hardening del sistema operativo

8 8 1 M
Eseguire automaticamente una scansione anti-malware dei
supporti rimuovibili al momento della loro connessione.
Ad es.: vedi 8.7.1
8 9 1 M
Filtrare il contenuto dei messaggi di posta prima che questi
raggiungano la casella del destinatario, prevedendo anche
l’impiego di strumenti antispam.
Ad es.: Antispam
8 9 2 M Filtrare il contenuto del traffico web. Ad es.: web filtering
8 9 3 M
Bloccare nella posta elettronica e nel traffico web i file la cui
tipologia non è strettamente necessaria per l’organizzazione
ed è potenzialmente pericolosa (e.g. .cab).
Ad es.: configurazione mail server, antivirus sulla posta e antispam
8 10 1 S
Utilizzare strumenti anti-malware che sfruttino, oltre alle
firme, tecniche di rilevazione basate sulle anomalie di
comportamento.
Ad es.: vedi 8.1.1
8 11 1 S
Implementare una procedura di risposta agli incidenti che
preveda la trasmissione al provider di sicurezza dei campioni
di software sospetto per la generazione di firme
personalizzate.
Ad es.: incident management come indicato da ITIL Service Operation

Lesson
#14
Virus e malware si stanno differenziando, bisogna adeguare i sistemi (ma anche le persone)
a riconoscerli e gestirli. Va inteso in senso molto largo includendo phishing, ramsoware,
virus, malware e tutte le altre forme.

ABSC 10 (CSC 10): COPIE DI SICUREZZA
Gli incidenti e la perdita dei dati anche per semplici
guasti sono più comuni di quanto si pensi, il backup dei
dati è di fondamentale importanza così come le
procedure di testing dell’effettiva possibilità di
ripristinare i dati.

ABSC 10 (CSC 10): COPIE DI SICUREZZA
10 1 1 M
Effettuare almeno settimanalmente una copia di sicurezza
almeno delle informazioni strettamente necessarie per il
completo ripristino del sistema.
Ad es.: Backup e processo
10 1 2 A
Per assicurare la capacità di recupero di un sistema dal
proprio backup, le procedure di backup devono riguardare il
sistema operativo, le applicazioni software e la parte dati.
10 1 3 A
Effettuare backup multipli con strumenti diversi per
contrastare possibili malfunzionamenti nella fase di restore.
Ad es.: Backup e processo (onestamente non sono d’accordo …..meglio uno
testato bene)
10 2 1 S
Verificare periodicamente l’utilizzabilità delle copie mediante
ripristino di prova.
10 3 1 M
Assicurare la riservatezza delle informazioni contenute nelle
copie di sicurezza mediante adeguata protezione fisica dei
supporti ovvero mediante cifratura. La codifica effettuata
prima della trasmissione consente la remotizzazione del
backup anche nel cloud.
10 4 1 M
Assicurarsi che i supporti contenenti almeno una delle copie
non siano permanentemente accessibili dal sistema onde
evitare che attacchi su questo possano coinvolgere anche
tutte le sue copie di sicurezza.

Lesson
#15
I backup rivestono un’importanza fondamentale nel ripristinare il servizio a seguito di un
evento, è di fondamentale importanza il testing della effettiva fattibilità del ripristino e che
corruzioni sui dati non si propaghino all’interno dei backup.

ABSC 13 (CSC 13): PROTEZIONE DEI DATI
I dati sono il bene più importante che
custodiscono le organizzazioni, i dati hanno un
valore!

ABSC 13 (CSC 13): PROTEZIONE DEI DATI (1/2)
13 1 1 M
Effettuare un'analisi dei dati per individuare quelli con
particolari requisiti di riservatezza (dati rilevanti) e
segnatamente quelli ai quali va applicata la protezione
crittografica
Ad es.: vedi GDPR
13 2 1 S
Utilizzare sistemi di cifratura per i dispositivi portatili e i
sistemi che contengono informazioni rilevanti
Ad es.: end point encryption
13 3 1 A
Utilizzare sul perimetro della rete strumenti automatici per
bloccare, limitare ovvero monitorare in maniera puntuale, sul
traffico uscente dalla propria rete, l’impiego di crittografia
non autorizzata o l’accesso a siti che consentano lo scambio e
la potenziale esfiltrazione di informazioni.
Ad es.: esistono strumenti che permettono di controllare il traffico cifrato
(decifrandolo), ovviamente su cifratura lecita con strumenti aziendali, per traffico
illecito va tracciato che è passato traffico cifrato anomalo e investigato
puntualmente come incidente di sicurezza
13 4 1 A
Effettuare periodiche scansioni, attraverso sistemi
automatizzati, in grado di rilevare sui server la presenza di
specifici "data pattern", significativi per l’Amministrazione, al
fine di evidenziare l’esistenza di dati rilevanti in chiaro.
Ad es.: DLP
13 5 1 A
Nel caso in cui non sia strettamente necessario l’utilizzo di
dispositivi esterni, implementare sistemi/configurazioni che
impediscano la scrittura di dati su tali supporti.
Ad es.: vedi 8.7.1
13 5 2 A
Utilizzare strumenti software centralizzati atti a gestire il
collegamento alle workstation/server dei soli dispositivi
esterni autorizzati (in base a numero seriale o altre proprietà
univoche) cifrando i relativi dati. Mantenere una lista
aggiornata di tali dispositivi.
Ad es.: usare Tool come il Mcafee HDLP

ABSC 13 (CSC 13): PROTEZIONE DEI DATI (2/2)
13 6 1 A
Implementare strumenti DLP (Data Loss Prevention) di rete
per monitorare e controllare i flussi di dati all'interno della
rete in maniera da evidenziare eventuali anomalie.
Ad es.: DLP
13 6 2 A
Qualsiasi anomalia rispetto al normale traffico di rete deve
essere registrata anche per consentirne l'analisi off line.
Ad es.: IPS e IDS
13 7 1 A
Monitorare il traffico uscente rilevando le connessioni che
usano la crittografia senza che ciò sia previsto.
Ad es.: sonde
13 8 1 M Bloccare il traffico da e verso url presenti in una blacklist. Ad es.: proxy
13 9 1 A
Assicurare che la copia di un file fatta in modo autorizzato
mantenga le limitazioni di accesso della sorgente, ad
esempio attraverso sistemi che implementino le regole di
controllo degli accessi (e.g. Access Control List) anche quando
i dati sono trasferiti al di fuori del loro repository.
Ad es.: tool che controllano le ACL sui files https://docs.microsoft.com/it-
it/sysinternals/ da associare ad un processo di verifica periodico.

I dati hanno un valore sul “mercato”, perché complicarsi la vita e
gestire dati non necessari alle funzionalità dei sistemi?
Fonte: Trendmicro
Meno misure di
sicurezza
necessarie!
DESENSIBILIZZARE I SISTEMI, GESTIRE SOLO I DATI
PERSONALI NECESSARI

Lesson
#16
I dati sono un valore importante, vanno protetti e controllati!

Possono essere un’applicazione del PbD?16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso83

1. Proactive not reactive; Preventative not remedial
2. Privacy as the default setting
3. Privacy embedded into design
4. Full functionality – positive-sum, not zero-sum
5. End-to-end security – full lifecycle protection
6. Visibility and transparency – keep it open
7. Respect for user privacy – keep it user-centric
http://www.privacybydesign.ca/
Information and Privacy Commissioner of
Ontario, Canada
SEVEN PRINCIPLES OF PRIVACY BY DESIGN

1. Desensibilizzare i
sistemi, gestire solo i dati
personali necessari;
2. Definire i requisiti di
sicurezza in fase iniziale del
progetto (parallelamente ai
requisiti funzionali);
3. Prevedere verifiche di
sicurezza continua in fase di
progettazione e di sviluppo
(Sviluppo e progettazione
sicura, Code review, …);
4. Prevedere test di
sicurezza in parallelo ai test
funzionali (VA, PT);
5. Prevedere audit e test di
sicurezza continui;
DATA PROTECTION BY DESIGN
Opinione
personale!

I requisiti e le funzionalità di sicurezza vanno di pari passo con i
requisiti funzionali e le funzionalità, implementare dopo la sicurezza
costa di più ed è meno efficace!
Misure di sicurezza
pensate per
tempo!
Sviluppo a cascata tradizionale
Funzionali
Infrastrutturali
Sicurezza
Sicurezza
Sviluppo agile
DEFINIRE I REQUISITI DI SICUREZZA IN FASE INIZIALE DEL
PROGETTO

Gli hacker vedono da un punto di vista differente le cose, la sicurezza
va provata «sul campo»!
Misure di sicurezza
adeguate!
PREVEDERE TEST DI SICUREZZA

PASSI PER LA DPIA
1. definire e descrivere il contesto del trattamento dei
dati personali in esame e la posta in gioco connessa;
2. identificare i controlli esistenti o previsti (per
soddisfare i requisiti legali e per il trattamento dei
rischi per la privacy proporzionati);
3. valutare i rischi per la privacy per garantire che siano
trattati correttamente;
4. prendere la decisione di convalidare il modo in cui si
prevede di rispettare i principi sulla privacy e il
trattamento dei rischi, o rivedere i passaggi precedenti.

PROCESSO DPIA

IL PRINCIPIO DI PRIVACY BY DESIGN DEL GDPR
L’adozione corretta delle misure minime di sicurezza ICT emesse dall’AgID è soltanto una
parte del principio del Privacy by Design enunciato dal GDPR. Questo in quanto il
principio prevede:
• Che i trattamenti (e non solo i sistemi ICT che li supportano) devono essere progettati
in sicurezza.
• L’adozione corretta delle Misure Minime di sicurezza ICT interviene prevalentemente
sui sistemi già esistenti che è solo una parte del principio.
Comunque contribuiscono alla messa in sicurezza e a mantenere in sicurezza i sistemi
ICT, quindi, anche se solo in parte, contribuiscono alla messa in sicurezza dei trattamenti.
Inoltre ci si troverà che molte delle misure di sicurezza della DPIA saranno già in essere.

MISURE MINIME E GDPR
Non sono la stessa cosa ma comunque vanno a braccetto e,
comunque, vanno nella stessa direzione di aumentare la sicurezza
dei sistemi ICT.

Lesson
#17
Le Misure Minime di Sicurezza ICT dell’AgID sono relative alla cybersecurity il GDPR (quindi
Privacy by Design e DPIA) alla protezione dei dati quindi sono parte di una stessa famiglia di
attività. Le Misure Minime mirano più che altro a mettere in sicurezza sistemi esistenti che
è soltanto una parte della Privacy by Design e, se fatte bene, saranno parte delle misure di
sicurezza implementate.

Possono contribuire alla Cybersecurity nazionale?16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso93

CYBER SECURITY NAZIONALE E MISURE MINIME
Le Misure Minime di Sicurezza ICT dell’AgID sono focalizzate sull’ICT
Se approcciate correttamente possono aiutare a focalizzare le
attenzioni prevalentemente sui sistemi critici della PA
Non coprono, comunque, tutto quello che servirebbe per la
cybersecurity
Non sono focalizzate sui servizi critici nazionali (che non sono solo
pubblici)

Lesson
#18
Sono solo parte della cybersecurity nazionale per due motivi principali: a) sono relative alla
sola pubblica amministrazione mentre la cybersecurity nazionale include anche i privati (ad
es. Telecom); b) non includono tutto lo spettro di misure di sicurezza (vedi SANS 20 ad
esempio), quindi sono solo una parte delle attività da fare.

Conclusioni del Seminario e del ciclo di seminari16/12/2017Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea Praitano - vietato l'uso96

DOMANDE?

CONCLUSIONI SUL MODULO
• Le Misure Minime di sicurezza nascono da un contesto internazionale consolidato;
• Hanno dei limiti sia per comprendere cosa si intende in alcune parti che come
«valutazione» della soluzione identificata in termini di efficacia;
• Esistono standard e best practices ampie sulla sicurezza delle informazioni a cui
poter attingere per fare bene la protezione dei dati.
• …..ricordate le varie «lesson»

Andrea Praitano
andrea.praitano@gmail.com
@apraitano
+39 328 8122642
it.linkedin.com/in/andreapraitano/
Commissione Sicurezza informatica

Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazione del GDPR e della Direttiva NIS (Direttiva (UE) 2016/1148) (2017-12-16)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazione del GDPR e della Direttiva NIS (Direttiva (UE) 2016/1148) (2017-12-16)

Similar to Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazione del GDPR e della Direttiva NIS (Direttiva (UE) 2016/1148) (2017-12-16) (20)

More from Andrea Praitano

More from Andrea Praitano (12)

Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazione del GDPR e della Direttiva NIS (Direttiva (UE) 2016/1148) (2017-12-16)