Scheda Qualificazione Fornitori ai fini della NIS2

La politica di alto livello che tratta la cybersecurity / sicurezza delle informazioni / sicurezza informatica è:

Inclusiva di obiettivi e principi

Approvata dall'alta direzione

Resa disponibile a tutti i soggetti interni ed esterni rilevanti

Aggiornata almeno annualmente

Non formalizzata in un documento

Esiste un piano per la gestione della continuità operativa?

Si e viene testato con periodicità almeno annuale

Si e include la parte IT con una Business Impact Analysis ad esso relativa

Si e prevede un piano di disaster recovery per i servizi critici

Si ed è mantenuto aggiornato almeno annualmente

Le responsabilità in merito alla cybersecurity / sicurezza delle informazioni / sicurezza informatica:

Sono assegnate ad un Responsabile della Sicurezza delle Informazioni / Cybersecurity o CISO che riporta al responsabile IT o superiore

Sono assegnate a chi gestisce dei sistemi informativi per garantirne la protezione

Sono assegnate a tutto il personale affinché le informazioni e i sistemi informativi siano utilizzati correttamente

Sono assegnate alle terze parti che hanno un ruolo nella protezione delle informazioni

Sono assegnate a chi deve intraprendere azioni specifiche in caso di emergenza o incidente

Sono documentate e mantenute aggiornate

Non sono formalmente assegnate o documentate

Le responsabilità in merito alla protezione dei dati personali:

Sono assegnate ad un Privacy Officer/Manager o equivalente

Sono supportate dalla presenza di un Data Protection Officer

Sono assegnate ai Dirigenti delle aree in cui sono trattati dati personali

Sono assegnate alle terze parti che agiscono in qualità di Responsabili

Sono documentate e mantenute aggiornate

Non sono formalmente assegnate o documentate

Vengono effettuati interventi formativi o campagne orientati ad aumentare la preparazione del personale sul tema della sicurezza delle informazioni?

Con cadenza almeno annuale

A tutto il personale

Solo a personale specifico (es. amministratori di sistema)

Che coinvolgono anche le terze parti rilevanti

Al momento dell’assunzione e su esigenze specifiche

Mai

Il rischio relativo alla cybersecurity / sicurezza delle informazioni aziendali viene valutato:

Annualmente

Ogni due o tre anni

Con altre periodicità più lunghe o non definite

Utilizzando metodologie diffuse o di mercato

Utilizzando metodologie proprietarie

Con l’ausilio di strumenti software dedicati che vanno oltre i fogli di calcolo

Tramite un processo formale e documentato che prevede l'individuazione di un rischio accettabile

Identificando e documentando minacce, vulnerabilità e impatti

Il livello di conformità della gestione della cybersecurity / sicurezza delle informazioni / sicurezza informatica è verificato:

Sulla base di un programma formalizzato

Da una funzione di audit interna o da un fornitore esterno indipendente

Da personale con qualifiche professionali adeguate

Con periodicità almeno annuale

Nessuna delle precedenti

Sono presenti e configurati firewall verso internet, a protezione dei server aziendali e verso ogni collegamento a terze parti?

Si, e sono configurate delle DMZ che ospitano i sistemi accessibili dall’esterno

Si, e creano delle VLAN con ACL configurate che segmentano la rete secondo le funzionalità necessarie

Si, verso tutte le direzioni elencate ma senza prevedere DMZ o VLAN con ACL

Si, ma solo verso internet e/o le terze parti. Non vi sono firewall tra reti client e server

Sono utilizzate reti wireless?

Si e sono protette con meccanismi di crittografia WPA o superiore e le chiavi crittografiche sono sostituite periodicamente

Si e sono presenti filtri degli indirizzi IP o MAC e il broadcast del SSID è disabilitato

Si e solo per la navigazione su internet degli ospiti/consulenti

Sono effettuati backup delle informazioni aziendali?

Si e secondo procedure definite

Si e i backup sono mantenuti sotto chiave in locali distinti da quelli dei sistemi

Si e i backup sono crittografati

Si e sono effettuati test periodici di recovery (al più ogni due anni)

Si ed è stato effettuato almeno un test di recovery in ambiente di produzione

Si e il backup ha cadenza almeno settimanale

Si ma solo dei sistemi più critici

Si e il backup consente di recuperare i dati fino (al più) alle precedenti 24h dalla compromissione del sistema.

No o solo occasionalmente.

Gli utenti a livello di sistema operativo e, ove applicabile, di software applicativi:

Sono tutti gestiti centralmente

Hanno privilegi corrispondenti con il minimo indispensabile per operare e gli amministratori sono limitati a un ristretto gruppo

Sono tempestivamente allineati con le nuove assunzioni, con i cambi di ruolo e i licenziamenti

Sono tempestivamente allineati con le nuove assunzioni e i licenziamenti, non sempre con i cambi di ruolo

Sono allineati periodicamente con nuove assunzioni e licenziamenti

Sono sottoposti a riesame sistematico dei privilegi con periodicità almeno semestrale

Sono registrati log sui sistemi?

Si e vi sono controlli sulla loro integrità

Si e vengono riesaminati periodicamente

Si e sono registrati in locale

Si e sono registrati su uno o più sistemi centralizzati

Si ma si registrano solo gli accessi e/o gli errori

Si e utilizzano un riferimento temporale allineato con una sorgente esterna affidabile

Non sono gestiti in modo strutturato e uniforme sui sistemi

Tutti gli endpoint aziendali (portatili, smartphone, tablet) sono protetti:

Tramite password del BIOS o equivalente

Tramite cifratura del disco o equivalente

Tramite nome utente e password del sistema operativo

Tramite criteri di sicurezza impostati con una piattaforma MDM (Mobile Device Management)

Disabilitando la possibilità di avvio mediante device removibile

Su tutti i sistemi sono attivi e configurati sistemi base di protezione:

Anti malware non centralizzato

Anti malware centralizzato

Anti malware con aggiornamento automatico o almeno giornaliero delle definizioni

EDR (Endpoint Detection and Response)

Anti-spam

Sono attivi e configurati sistemi avanzati di protezione:

DLP (Data Leakage Prevention)

Proxy Firewall con funzionalità anti-malware

IDS (Intrusion Detection System) o IPS (Intrusion Prevention System)

DRM (Digital Rights Management)

Anti-APT (Advanced Persistent Threat)

SIEM (Security Incident and Event Management)

Controllo della navigazione su Internet

File integrity monitoring

Record DNS DMARC, DKIM ed SPF

Gli incidenti vengono sempre notificati:

Pubblicamente tramite appositi comunicati

A tutti gli interessati

Alle autorità rilevanti

Entro tempi inferiori alle 72 ore

A conclusione dell'incidente una volta accertate le cause

Come viene effettuata la cancellazione sicura dei dati?

Attraverso sovrascrittura logica o distruzione fisica di tutti i supporti che lasciano l’azienda o vengono riassegnati in modo da rendere irrecuperabili i dati

Richiedendo ai manutentori dei sistemi di assicurare la cancellazione sicura dei supporti da loro sostituiti o dismessi

Utilizzando le normali funzioni di cancellazione dei dati su tutti i supporti che lasciano l’azienda o vengono riassegnati

I dati personali trattati sono:

Conservati per un periodo di tempo definito in una data retention policy o equivalente

Cancellati automaticamente in modo sicuro dopo che il tempo definito è trascorso

Anonimizzati automaticamente dopo che il tempo definito è trascorso

Sottoposti a verifiche periodiche che permettono di garantire la loro conservazione solo per il periodo di tempo definito

Non sono trattati dati personali

Scheda Qualificazione Fornitori ai fini della NIS2

Scheda Qualificazione Fornitori ai fini della NIS2

Certificazioni di qualità

Sostenibilità e Rating di Legalità