ECSM - Recommendations for ALL - IT

Il mese europeo della sicurezza informatica (ECSM) è una campagna di sensibilizzazione dell’Unione che si svolge in ottobre. Ha l’obiettivo di promuovere la consapevolezza della sicurezza informatica tra i cittadini. La campagna si propone di cambiare la percezione delle minacce informatiche nella vita di ogni giorno – al lavoro o quando si è online nella vita privata.

La sicurezza delle reti e dell’informazione per gli educatori

Destinatari
I destinatari sono gli educatori, intesi come formatori, docenti, omologhi coinvolti nella didattica formale e informale, ivi compreso l’apprendimento permanente. Negli elenchi dei portatori d'interessi in materia di TIC non va dimenticato il ruolo fondamentale svolto dagli educatori!

Consigli per l’insegnamento della sicurezza delle reti e dell’informazione

  • In base ai risultati di uno studio condotto dall’ENISA, una sessione didattica di qualità presuppone che l’educatore si avvalga di: breve introduzione e laboratori pratici; storie ed esempi tratti dalla vita reale; le sessioni formative intensive possono prevedere: attività di giochi di ruolo, esercizi di simulazione, attività di lavoro di squadra; business game come parte degli esami; vari filmati di qualità;
  • Sfide da superare:
    Comprendere che l’utilizzo della tecnologia comporta rischi e che tali rischi non sono soltanto personali, bensì possono anche riguardare altre persone. è importante capire la tecnologia, non soltanto utilizzarla;
    Ridefinire i rapporti e comportamenti umani reali su Internet: “Netiquette”;
    Prendere in considerazione competenze multidisciplinari (giuridiche, tecniche, organizzative, ecc.)

  • Modello di intermediazione in materia di educazione alla sicurezza delle reti e dell’informazione

Raccomandazione

  • Raccomandiamo a educatori e studenti di adottare un atteggiamento costruttivo;
  • Istituire partenariati pubblici-privati per finanziare e sviluppare materiali e sessioni aggiornati.

Per maggiori informazioni: http://www.enisa.europa.eu/activities/stakeholder-relations/nis-brokerage-1

Formazione sulla sicurezza delle reti e dell’informazione per i dipendenti

Destinatari
La formazione è un momento fondamentale per aggiornare sia gli esperti di sicurezza dell’informazione sia i dipendenti sugli ultimi sviluppi nel settore, oltre che per ampliare le loro competenze al fine di combattere le minacce in maniera efficiente dal punto di vista dei costi.

Consigli

  • Al giorno d’oggi la sicurezza dell’informazione rappresenta un tema di grande attualità, in quanto è soggetta a uno sviluppo molto rapido e coinvolge in un modo o nell’altro la vita di ciascuno. Le persone devono poter accedere a risorse, corsi, guide e seminari formativi dedicati su come mantenere un livello accettabile di sicurezza e privacy quando si svolgono attività quotidiane che si avvalgono sempre più frequentemente della tecnologia dell’informazione;
  • Per quanto riguarda la tutela delle infrastrutture essenziali per le comunicazioni e i servizi nazionali, che forniscono acqua potabile, energia elettrica e la possibilità di comunicare, occorrono esperti che siano in grado di affrontare e risolvere i problemi, nonché di fornire consulenza. I servizi connessi alla sicurezza dell’informazione, quali gestione degli incidenti, allarmi, avvisi e analisi degli artefatti, sono molto sollecitati quando sorge la necessità. In molte occasioni si rende necessaria una squadra di pronto intervento informatico (CERT) (http://www.enisa.europa.eu/activities/cert/). Poiché la forza di ogni squadra dipende dai membri che lo compongono, occorre mantenere costantemente aggiornate le conoscenze dei dipendenti, dei referenti e anche dei formatori per poter reagire alle minacce più recenti e neutralizzarle nella maniera più rapida ed efficiente possibile;
  • dal punto di vista del formatore, il suo ruolo offre un’opportunità straordinaria di operare “sul campo” e farsi un’idea della realtà da prospettive diverse, in quanto la comunicazione in aula dovrebbe essere bidirezionale. L’esperienza e la conoscenza aggiornata sono elementi insostituibili per acquisire credibilità agli occhi delle persone da formare, che come dimostrano i commenti sulle sessioni formative svolte, apprezzano molto gli esempi tratti dalla realtà e i casi concreti;
  • diverse metodologie si prestano a trasmettere le informazioni ai destinatari della formazione, ad esempio organizzare seminari ed eventi dedicati, o semplicemente garantire l’accesso a materiale autodidattico. Entrambi gli approcci offrono vantaggi, in quanto l’autoapprendimento può essere utile per accrescere la flessibilità e ridurre i costi complessivi. Il format del seminario incoraggia la comunicazione e offre un’ottima occasione di condivisione delle esperienze e delle conoscenze. 

Raccomandazione

L’ENISA fornisce da tempo formazione sul campo per sostenere le squadre di pronto intervento informatico e altre capacità delle comunità operative; il materiale formativo è consultabile sul sito Internet dell’ENISA.

Per maggiori informazioni: http://www.enisa.europa.eu/activities/cert/support/exercise

Aggiornamenti del software


Destinatari

L’ENISA mette in guardia dai rischi connessi all’utilizzo di software fuori produzione per la mancata assistenza da parte non solo del produttore, ma anche di terzi, quali produttori di antimalware o altri tipi di software, o di periferiche per computer. Ne consegue un’esposizione continua a vulnerabilità e l'impossibilità di aggiornare periferiche o applicazioni di terzi.

Consigli

  • L’impiego di software fuori produzione comporta l’esposizione ai seguenti rischi:
    Gli utenti finali non hanno la possibilità di verificare l’integrità del software, in quanto i certificati di firma potrebbero essere scaduti; l’impossibilità di verificare l’integrità del pacchetto software potrebbe esporre l’utente a malware; sistemi potenzialmente infetti potrebbero diffondere tale infezione in tutta la rete; inoltre, ciò potrebbe comportare la non conformità alle politiche di sicurezza;

  • la mancata assistenza sul prodotto da parte del produttore di software fuori produzione potrebbe dare luogo a quanto segue: gli utenti dei sistemi fuori produzione non beneficiano di aggiornamenti o avvisi in materia di sicurezza; le nuove vulnerabilità non vengono più rilevate, segnalate e analizzate, pertanto non vengono pubblicati nuovi patch di sicurezza; di conseguenza, il software fuori produzione potrebbe essere esposto per sempre a tale vulnerabilità come se fosse un vettore di attacco c.d. "zero-day"; la mancata assistenza da produttori terzi di hardware e software potrebbe comportare la non disponibilità della piattaforma, ad esempio bug sconosciuti potrebbero impedire al software fuori produzione di funzionare; l’incompatibilità dei vecchi sistemi operativi con i nuovi dispositivi, la mancata disponibilità di driver per nuove versioni di periferiche potrebbero impedire agli utenti di aggiornare o sostituire dispositivi usati o non funzionanti; l’interruzione dell’assistenza ai dispositivi esistenti sulla piattaforma fuori produzione potrebbe tradursi nell’impossibilità di continuare a utilizzare il dispositivo in caso di guasto; l’interruzione dell’assistenza da parte di produttori terzi di software installato potrebbe impedire ai clienti di aggiornare anche il software di terzi con versioni più recenti o di applicare patch. Ciò vale anche per le nuove applicazioni. Tale situazione potrebbe rivelarsi particolarmente critica in caso di mancata disponibilità di versioni aggiornate di soluzioni antivirus e antimalware. 

Raccomandazione

  • I responsabili informatici dovrebbero mantenere i sistemi sempre aggiornati con le ultime patch di sicurezza. Il software fuori produzione dovrebbe essere considerato un rischio elevato per la sicurezza di componenti informatiche fondamentali e andrebbe mitigato migrando a soluzioni più recenti o ad altre piattaforme. In caso di sistemi informativi di infrastrutture critiche, il rischio di esposizione potrebbe riguardare i cittadini, pertanto la responsabilità dei responsabili informatici è maggiore.

  • I produttori dovrebbero accertarsi di concedere tempo sufficiente per la migrazione. Durante tale fase, l’ENISA raccomanda caldamente il ricorso ad avvisi anticipati e analisi approfondite dell’impatto atteso sulla sicurezza dell’utente in seguito all’interruzione della fornitura del prodotto.

  • Gli utenti dovrebbero accertarsi di essere consapevoli e di comprendere il rischio di sicurezza cui si espongono continuando a utilizzare software obsoleto.

Per maggiori informazioni: http://www.enisa.europa.eu/publications/flash-notes#b_start=0

Esercitazioni di sicurezza informatica per esperti tecnici

Destinatari

L’ENISA si è impegnata ad assumere il ruolo di facilitatore delle esercitazioni paneuropee per la sicurezza informatica e, più in generale, a sostenere lo scambio di buone pratiche nell’ambito della cooperazione e delle esercitazioni per le crisi informatiche. L’ENISA rappresenta il motore trainante della serie di esercitazioni paneuropee per la sicurezza informatica Cyber Europe nonché dell’esercitazione congiunta UE-USA per la sicurezza informatica (Cyber Atlantic) e delle International Conferences annuali dedicate a temi inerenti al settore della cooperazione ed esercitazioni per le crisi informatiche. Finora sono state organizzate due esercitazioni paneuropee per la sicurezza informatica, Cyber Europe 2010 e Cyber Europe 2012, e un’esercitazione congiunta UE-USA, la “Cyber Atlantic”, nel 2011; la terza esercitazione paneuropea per la sicurezza informatica, Cyber Europe 2014 (CE2014), è attualmente in corso. La partecipazione è aperta a tutti i portatori d'interessi UE ed EFTA del settore pubblico e privato, comprese le istituzioni e gli organismi dell’Unione. Tra gli esempi figurano, solo per citarne alcuni, le autorità preposte alla gestione delle crisi informatiche, quali le agenzie per la sicurezza informatica, i CERT nazionali o governativi, le autorità normative nazionali, nonché gli enti del settore privato e gli esperti in materia di sicurezza delle reti e dell’informazione.

Raccomandazione

    • L’esercitazione Cyber Europe 2012 si è dimostrata preziosa per il miglioramento della gestione paneuropea degli incidenti informatici. Pertanto, è importante proseguire tali sforzi e sviluppare ulteriormente il settore delle esercitazioni europee per la sicurezza informatica. Tali esercitazioni future dovrebbero riguardare le dipendenze intersettoriali e concentrarsi maggiormente sulle comunità specifiche;
    • l’esercitazione Cyber Europe 2012 ha rappresentato un’occasione di cooperazione a livello internazionale e di rafforzamento della comunità europea di gestione degli incidenti informatici. La promozione della cooperazione internazionale presuppone l’agevolazione degli scambi delle buone pratiche nel campo delle esercitazioni informatiche, delle esperienze acquisite e delle competenze, nonché l’organizzazione di conferenze. In tal modo si favorirà il rafforzamento di una comunità in grado di affrontare le crisi informatiche transnazionali. Tutti i portatori d'interessi nel campo della cooperazione internazionale in materia di crisi informatiche devono ricevere una formazione sull’uso delle procedure per sapere come gestirle in maniera adeguata. Il coinvolgimento di organizzazioni del settore privato come partecipanti all’esercitazione si è rivelato particolarmente utile. Ne consegue che gli Stati membri dell’UE e i paesi dell’EFTA dovrebbero prendere in considerazione il coinvolgimento del settore privato nelle esercitazioni future;
    • la comunità europea per la gestione degli incidenti informatici potrebbe essere rafforzata grazie al contributo di altri settori europei fondamentali (ad esempio, sanità, trasporti) che sono pertinenti per il trattamento delle crisi su larga scala;
    • Cyber Europe 2014: CE2014 prende le mosse dall’esperienza acquisita nelle due esercitazioni paneuropee precedenti e rappresenta un’esercitazione informatica altamente sofisticata che verrà svolta nel corso di tutto il 2014 per soddisfare i seguenti obiettivi: verificare le procedure di cooperazione esistenti e i meccanismi di gestione delle crisi informatiche in Europa; accrescere le capacità a livello nazionale; esaminare la cooperazione esistente tra settore pubblico e privato; analizzare le procedure di attivazione di livelli superiori e inferiori di intervento (livello tecnico, operativo e strategico); comprendere le questioni di carattere pubblico connesse agli attacchi informatici su larga scala.

Per maggiori informazioni: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cyber-crisis-cooperation

Sicurezza dei servizi cloud per tutti gli utenti digitali


Destinatari

Funzionari incaricati della sicurezza informatica nel settore pubblico e privato che stanno utilizzando e hanno integrato servizi cloud nella loro operatività quotidiana o che potrebbero valutare l’opportunità di acquistare servizi cloud per la loro attività. Altri destinatari sono tutti gli utenti digitali che utilizzano quotidianamente servizi di cloud di ampia diffusione (social media ecc.), ad esempio Facebook, Dropbox, Instagram, Twitter e molti altri, per spiegare loro come funziona il modello cloud, quali vantaggi e svantaggi presenta, e per consentire loro di valutare che tipo di informazioni postare o non postare nel “cloud”. L’ENISA si adopera in particolare per aiutare le PMI e gli organi della pubblica amministrazione a valutare la situazione prima di adottare i servizi cloud.

Consigli

L’ENISA suggerisce a tutti i potenziali utenti di servizi cloud di compiere le seguenti attività all’atto di valutare tali servizi:

  • Quali servizi possono essere trasferiti nel cloud e quali sono i vantaggi del cloud computing che potrebbero agevolare l’operatività quotidiana (cioè scalabilità, alto potenziale di immagazzinamento delle informazioni, backup periodici, interoperabilità)?
  • Che tipo di informazioni verranno trasferite nel cloud e quanto sono importanti tali informazioni per i titolari delle stesse (vale a dire, dati personali, dati sensibili, dati commerciali)?
  • Quali sono gli svantaggi connessi al cloud computing che inciderebbero considerevolmente sull’attività lavorativa quotidiana degli utenti e in che modo attenuarne l’impatto?
  • Come prendere una decisione informata sul tipo di servizi cloud di cui si ha necessità (IaaS, PaaS, SaaS) e conoscere i limiti delle proprie responsabilità per ogni tipologia di servizi;
  • dedicare tempo a discutere con il proprio fornitore di servizi cloud (CSP) e concordare un’intesa comune da specificare nell’accordo sul livello di servizio (ALS).

Raccomandazione

  • Le pubblicazioni dell’ENISA in materia di sicurezza dei servizi cloud rappresentano una valida guida pratica che fornisce indicazioni su come tutti i clienti cloud possono proteggere i propri beni e conoscere le responsabilità e i diritti loro spettanti all’atto di utilizzare i servizi cloud.
  • La sicurezza dei servizi cloud deve essere considerato uno dei maggiori vantaggi derivanti dall’acquisto di servizi cloud per la loro scalabilità.

Per maggiori informazioni: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing

Privacy per tutti gli utenti digitali


Destinatari

I destinatari sono gli utenti digitali. Gli utenti online godono dei medesimi diritti loro garantiti offline; dovrebbero essere a conoscenza dei loro diritti online. Le autorità nazionali per la protezione dei dati hanno il compito di assistere gli utenti.
“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” – art. 16, trattato di Lisbona

Consigli

  • Il quadro giuridico dell’Unione prevede che i cittadini dell’Unione europea godano di una serie di diritti in ambiente digitale, quali la protezione dei dati personali e della vita privata, la libertà di espressione e di informazione;
  • i principi di protezione dei dati e della vita privata non vengono sempre rispettati online. Dall’indagine Eurobarometro 2011 sull’atteggiamento nei confronti della protezione dei dati e l’identità elettronica nell’Unione europea è emerso che il 43% degli utenti di Internet afferma di aver ricevuto la richiesta di fornire più informazioni personali del necessario al momento di accedere a un servizio online o di utilizzarlo, mentre il 70% degli europei teme che i propri dati personali possano essere utilizzati per finalità diverse da quelle per le quali sono stati raccolti. Il 75% degli europei vuole avere la possibilità di eliminare le informazioni personali presenti su un sito Internet nel momento in cui decide di farlo;
  • sfide da superare: il fatto che le azioni degli individui non sempre riflettono i loro timori in materia di privacy; benché agli utenti interessi tutelare la propria privacy, gli stessi potrebbero decidere di condividere dati personali per beneficiare di uno sconto su beni o servizi; solamente un terzo (33%) degli europei è al corrente dell’esistenza di un’autorità pubblica nazionale preposta alla protezione dei loro diritti in materia di dati personali; 
  • infine, i cittadini europei devono anche avere la possibilità di individuare le pratiche che violano tali importanti principi e di adottare azioni adeguate; tra queste figurano far valere i propri diritti in qualità di persone interessate nei confronti di responsabili del trattamento dei dati che abbiano agito in maniera non conforme alla norma, nonché la possibilità di presentare denunce presso le autorità competenti, se necessario. Ne consegue una maggiore sensibilizzazione delle persone interessate, in quanto il primo passo da compiere in tal senso consiste nel garantire che le persone interessate conoscano e comprendano l’importanza di salvaguardare i propri dati da comunicazioni non necessarie. 

Raccomandazione

Raccomandiamo agli utenti di individuare le pratiche che violano i loro diritti di persone interessate e di adottare azioni adeguate in tal senso, tra cui la presentazione di denunce presso le autorità competenti, se necessario. Le autorità preposte alla protezione dei dati dovrebbero adoperarsi per sensibilizzare gli utenti circa i diritti loro spettanti ai sensi della legislazione in materia di protezione dei dati e le possibilità offerte dall’ordinamento giuridico di esercitare tali diritti, tra cui la denuncia dei casi di raccolta e conservazione eccessive di dati personali.

Per maggiori informazioni

http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/pat

EUROBAROMETER 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf

Autorità nazionali preposte alla protezione dei dati: http://ec.europa.eu/justice/data-protection/bodies/authorities/eu/index_en.htm

Reti intelligenti sicure

Destinatari  

Tutte le raccomandazioni sono rivolte alla Commissione europea, agli Stati membri, agli esperti del settore privato e delle infrastrutture critiche.
L’"infrastruttura critica" è un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini e il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro o nell'Unione a causa dell'impossibilità di mantenere tali funzioni. Seguono le raccomandazioni in materia di reti intelligenti sicure.

Raccomandazione

  • La Commissione europea (CE) e le autorità competenti degli Stati membri (SM) dovrebbero intraprendere iniziative tese a migliorare il quadro normativo e politico in materia di sicurezza informatica delle reti intelligenti a livello nazionale e di UE. 
  • La CE, in cooperazione con l’ENISA e gli SM, dovrebbe promuovere la creazione di un partenariato pubblico-privato (PPP) preposto al coordinamento delle iniziative in materia di sicurezza informatica delle reti intelligenti. 
  • L’ENISA e la CE dovrebbero promuovere iniziative di sensibilizzazione e formazione. 
  • La CE e gli SM, in cooperazione con l’ENISA, dovrebbero incentivare iniziative di divulgazione e condivisione delle conoscenze. 
  • La CE, in collaborazione con l’ENISA, gli SM e il settore privato, dovrebbe sviluppare un insieme minimo di misure di sicurezza basate su standard e orientamenti esistenti.
  • Sia la CE sia le autorità competenti degli SM dovrebbero promuovere lo sviluppo di sistemi di certificazione della sicurezza di componenti, prodotti e sicurezza delle organizzazioni. 
  • La CE e le autorità competenti degli SM dovrebbero promuovere la creazione di banchi di prova e valutazioni della sicurezza.
  • La CE e gli SM, in cooperazione con l’ENISA, dovrebbero approfondire e affinare strategie per coordinare incidenti informatici paneuropei su ampia scala che interessino le reti elettriche.
  • Le autorità competenti degli SM, in cooperazione con i CERT, dovrebbero avviare attività tese a far assumere ai CERT un ruolo consultivo nella gestione di problematiche di sicurezza informatica che interessino le reti elettriche.
  • La CE e le autorità competenti degli SM, in cooperazione con il settore accademico e della ricerca e sviluppo, dovrebbero promuovere la ricerca sulla sicurezza informatica delle reti intelligenti sfruttando i programmi di ricerca esistenti.

Per maggiori informazioni: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/smart-grids-and-smart-metering/ENISA-smart-grid-security-recommendations

Riferimenti:

ENISA

  ALTRI RIFERIMENTI

 

Browse the Topics

This site uses cookies to offer you a better browsing experience.
Aside from essential cookies we also use tracking cookies for analytics.
Find out more on how we use cookies.

Accept all cookies Accept only essential cookies