In che modo il suo Comune affronta i requisiti obbligatori del BIO, la Baseline Information Security for the Government? La nostra esperienza dimostra che la maggior parte dei comuni si adegua in minima parte al BIO, solo per 'spuntare la casella'. Tuttavia, questo lascia la sua organizzazione vulnerabile agli Attacchi ransomware e ad altri attacchi digitali. Un attacco di questo tipo può causare danni significativi. Legga qui come impostare correttamente la sua sicurezza informatica e come Secura può assisterla.
BIO per i Comuni: Un esercizio di riempimento o veramente sicuro?
Data:
16 gennaio 2023 |
Author(s):
Bram Blaauwendraad - Consulente per la sicurezza
16 gennaio 2023 |
Author(s):
Bram Blaauwendraad - Consulente per la sicurezza
Requisiti aggiuntivi
Dal 1° gennaio 2020, i Comuni dei Paesi Bassi sono tenuti a conformarsi al BIO. Questo quadro si applica a tutte le organizzazioni governative e impone più di cento requisiti di sicurezza delle informazioni aggiuntivi rispetto alle misure ISO/IEC 27002, a seconda del cosiddetto livello di sicurezza di base (BBN 1, 2 o 3) che l'organizzazione deve soddisfare. Il BIO segue il principio 'applica o spiega', secondo cui tutti gli standard devono essere rispettati, a meno che l'organizzazione non abbia un motivo giustificato per non farlo.
La nostra esperienza dimostra che, sebbene le organizzazioni spesso rispettino il BIO nella pratica, in realtà non sono sicure. Il BIO viene implementato con adempimenti minimi solo per 'spuntare la casella'. Ad esempio, i registri vengono raccolti, ma non vengono utilizzati, e molti documenti di politica rimangono solo sulla carta. Ciò è in qualche modo comprensibile, in quanto la BIO Compliance è un requisito legale, ma non esiste ancora un obbligo di certificazione esterna. Inoltre, l'implementazione comporta naturalmente dei costi finanziari.
Sicurezza digitale
Il requisito BIO, tuttavia, ha una buona ragione alla base. Il numero e la complessità degli attacchi digitali sono aumentati in modo significativo negli ultimi anni. Gli attacchi ransomware stanno diventando comuni, e gli attacchi riusciti a causa dell'insufficiente resilienza digitale dei Comuni possono portare a un'attenzione mediatica negativa, come si è visto con Comuni come Anversa, Buren, e persino a conseguenze legali nel caso di Hof van Twente (hackerato con la password "welkom2020").
Inoltre, 'conformarsi al BIO' significa anche una buona gestione, e può mostrare agli stakeholder che la sicurezza digitale è presa sul serio. La sfida, quindi, è quella di conformarsi al BIO come sottoprodotto di una solida politica di sicurezza informatica, che sia anche pragmaticamente progettata per avere un sostegno sufficiente all'interno dell'organizzazione.
Persone, Processi e Tecnologia.
Come si può implementare la BIO Compliance in modo pragmatico e non solo come obbligo di conformità? Secondo Bureau Veritas Cybersecurity, ciò si può ottenere esaminando criticamente Persone, Processi e Tecnologia:
- Persone: La formazione di awareness non deve essere un peso per il personale, ma può trasformarlo in un'arma nella battaglia digitale;
- Processo: Le politiche e i processi devono fornire una visione e un controllo sulla sicurezza delle informazioni;
- Tecnologia: Le misure di sicurezza e la ricerca devono migliorare la resilienza digitale dell'organizzazione.
In qualità di esperto indipendente di cybersecurity, Secura può assisterla in tutti gli aspetti della ISO/IEC 27002 e delle misure aggiuntive BIO, per rendere trasparente la maturità e aiutarla a implementarle efficacemente.
Argomenti BIO |
I NOSTRI SERVIZI |
|---|---|
| Politica organizzativa |
Per stabilire la posizione della sua organizzazione, Secura inizia con un Security Maturity Assessment. A differenza dell'analisi GAP del VNG, che verifica solo le misure aggiuntive BIO, Secura valuta la maturità sia rispetto alle misure aggiuntive BIO che alle misure (obbligatorie) ISO/IEC 27002 in un unico rapporto completo, supportato da grafici. In seguito, Secura può offrire assistenza per l'impostazione delle parti restanti del BIO, attraverso il supporto all'implementazione. Nota: il BIO è attualmente basato sulla versione 2013 della norma ISO/IEC 27002, ma sarà presto aggiornato. Secura può anche valutare l'organizzazione rispetto alla ISO27002:2022, per evitare lavoro e costi aggiuntivi in futuro. |
| Risk Assessment |
Secondo il BIO, la sicurezza delle informazioni dipende dalla gestione del rischio, per garantire l'adeguata protezione delle informazioni e dei sistemi informativi nel contesto e negli obiettivi dell'organizzazione. È necessario eseguire un'analisi del rischio completa, tenendo conto del contesto dell'organizzazione, del suo profilo unico e della tolleranza al rischio. Bureau Veritas Cybersecurity offre supporto attraverso i Risk Assessment in ogni fase del processo di valutazione del rischio: dal metodo di valutazione del rischio all'analisi dei rischi e alla prioritizzazione dei risultati. |
| Consapevolezza e comportamento incentrati su apprendimento, motivazione e facilitazione |
Il fattore umano è essenziale per proteggere la sua organizzazione e i suoi asset digitali. Nella pratica, spesso vediamo che la conoscenza del personale non equivale alla consapevolezza a causa di vari fattori. Bureau Veritas Cybersecurity offre un programma di security awareness e behaviour change e servizi e formazione correlati per aumentare la cyber resilience dei suoi dipendenti. Ci concentriamo non solo sulla consapevolezza (conoscenza), ma anche sull'aumento della motivazione e su una migliore facilitazione della sua organizzazione. |
| Sicurezza tecnica |
Gli aggressori spesso sfruttano le vulnerabilità tecniche, sia per entrare che per causare il massimo danno. Sottoponendo periodicamente la sua rete, i suoi sistemi e le sue applicazioni a un esame professionale, è possibile identificare le vulnerabilità e affrontarle in modo proattivo. Il Ransomware è una delle principali minacce che tengono svegli i comuni di notte. Il primo passo è la mappatura dell'ambiente, che si effettua attraverso il Threat Modeling. Si può prendere in considerazione anche la sicurezza fisica dell'ambiente. Successivamente, vengono condotte scansioni esterne, seguite da revisioni delle applicazioni e da test di penetrazione interni. Durante questi test, si può prestare particolare attenzione ad aspetti come i backup e la vulnerabilità al ransomware, tenendo conto delle tattiche, tecniche e procedure (TTP) dei moderni gruppi di ransomware. Tutto questo viene eseguito da specialisti della sicurezza del Public Market Group di Bureau Veritas Cybersecurity, che conoscono le sfide uniche del settore pubblico. |
Secura può assisterla con il BIO, ma non può sollevarla completamente dalla responsabilità. La conformità al BIO richiede il coinvolgimento e l'azione del Comune stesso. Nelle operazioni quotidiane, l'organizzazione deve assumersi la responsabilità del BIO. Se si trova a corto di capacità, il nostro servizio CISO-as-a-Service potrebbe essere interessante.
Prevenire e curare
Bureau Veritas Cybersecurity si concentra sulla valutazione e sulla consulenza indipendente in materia di sicurezza informatica. Tuttavia, la cybersecurity è un campo complesso e dinamico, e gli aggressori a volte riescono a penetrare nonostante gli sforzi. Pertanto, bisogna sempre considerare questo scenario, seguendo il cosiddetto principio della 'presunzione di violazione'. In questi momenti, è fondamentale che un'organizzazione disponga di una capacità di rilevamento sufficiente, nonché di esperti di sicurezza disponibili 24 ore su 24, 7 giorni su 7, per ridurre al minimo l'impatto di un attacco riuscito e prevenire i danni.
Per questo motivo, Secura collabora con Eye Security, un fornitore di servizi leader nel campo della cybersecurity, specializzato in monitoraggio, assicurazione e incident response. Eye Security offre una soluzione completa per proteggere i sistemi e le reti e neutralizza un attacco informatico entro quattro ore.
I NOSTRI SERVIZI di Eye Security e Bureau Veritas Cybersecurity si completano a vicenda, consentendo ai Comuni di coprire gran parte delle loro sfide BIO quando entrambe le aziende sono impegnate insieme. Ecco perché ci piace dire a tutti i Comuni: benvenuti nel 2023!
Per maggiori informazioni sui servizi di Eye per i Comuni, visiti qui.