Una politica di SSI è stata formalizzata e approvata dalla direzione e /o sono state definite e comunicate a tutto lo staff regole di sicurezza approvate dai rappresentanti dello staff

Sono formalizzati ed effettuati regolari training (almeno annuali) agli utenti sull’uso del sistema informativo

La formazione e la sensibilizzazione degli utenti viene effettuata regolarmente per quanto riguarda la sicurezza delle informazioni, il phishing, le truffe telefoniche e le chiamate di imitazione e gli attacchi di social engineering?

Gli esercizi di social engineering o di simulazione di phishing vengono condotti nell’ambito di un programma di formazione del personale in costante aggiornamento?

Sono identificati i rischi inerenti ai sistemi informativi critici e sono implementati opportuni controlli per mitigarli

Sono condotti audit regolari del SSI ed è assegnata priorità all’implementazione delle raccomandazioni risultanti

Le risorse informative sono classificate in accordo alla loro criticità e sensibilità

I requisisti di sicurezza che si applicano alle risorse informative sono definiti in accordo alla loro classificazione

Conferma che tutti gli accessi dall’esterno della rete richiedono l’utilizzo dell’autenticazione a più fattori (MFA) dei sistemi informativi critici

Conferma che tutti gli Admin Accounts sono dotati di MFA per l’accesso?

Conferma che gli Admin Users utilizzano gli account con i privilegi di amministratore solo per il tempo necessario ad effettuare l’intervento richiesto e che effettuino il log-off non appena terminato. Di conseguenza con ferma agli Admin users siano in possesso di ulteriore account senza privilegi di amministratore per l’accesso ordinario ai sistemi aziendali

Le autorizzazioni di accesso al sistema si basano sui ruoli dei singoli utenti ed esiste una procedura per la gestione delle autorizzazioni

Sono definiti riferimenti di configurazione sicura per workstation, laptop, server e dispositivi mobili

E’attuata la gestione centralizzata dei sistemi informatici e il monitoraggio delle configurazioni

I prodotti di protezione degli endpoint (EPP) e soluzioni di rilevamento e risposta degli endpoint (EDR) sono utilizzati in tutta l’organizzazione su dispositivi mobili, tablet, laptop, desktop, etc?

Conferma che gli utenti delle workstation non hanno i diritti di amministratore locale e che vengono utilizzate password di amministratore locali complesse e uniche.

Agli utenti è richiesto di aggiornare regolarmente le password?

I vostri utenti possono eseguire documenti MS Office Macro come impostazione predefinita?

Fornite ai vostri utenti un software per la gestione delle password?

Sono regolarmente distribuite ed installate le security patches

Vengono eseguite scansioni automatiche per regolare le vulnerabilità?

Un DRP (Disaster recover Plan) è implementato e aggiornato regolarmente?

Relativamente al backup

Conferma dell’esecuzione di backup regolari, compresi backup più frequenti per i sistemi critici per ridurre al minimo l’impatto dell’interruzione?

I backup vengono replicati e archiviati in più locations differenti da quella principale?

I backup e le configurazioni dei principali server vengono periodicamente recuperati (ogni 6 mesi/annualmente o ogni quanto), rispetto ai dati originali, per garantire l’integrità del backup?

E’ installato ed operativo un firewall per il filtraggio del traffico tra la rete interna e internet con un controllo aggiornato del flusso di informazioni in entrata ed in uscita?

Quali dei seguenti strumenti sono presenti nell’organizzazione a tutela della sicurezza informatica (risposta multipla)

Quali delle seguenti misure proattive sono in atto a tutela della sicurezza informatica (risposta multipla)

Le policies, le procedure ed i metodi di controllo vengono aggiornati frequentemente?

Gli utenti interni all’ente/azienda hanno accesso a internet attraverso dispositivi di rete protetti da antivirus e sistemi di monitoraggio del traffico web

E’ implementata la segmentazione della rete per separare le aree critiche delle aree non critiche, compreso l’ambiente Cloud

Se viene offerta connettività internet a personale esterno (es WiFi Guest?) l’accesso a tale rete è separato dalla rete aziendale?

Sono effettuati regolarmente penetration test ed è implementato un remediation plan ove necessario

Sono effettuati regolarmente vulnerability assessment ed è implementato un remediation plan ove necessario

Son rese effettive procedure di incident management e change management

Eventi riguardanti la sicurezza, come rilevazioni di virus, tentativi di accesso, e simili, sono registrati (tramite log file) e monitorati regolarmente

Ricevi regolarmente report sullo stato delle minacce rilevate dal firewall di rete?

Sono in atto processi di risposta agli incidenti specifici del ransomware?

Il Sender Policy Framework (SPF) è rigorosamente applicato?

I gateway di risposta elettronica sono configurati per identificare links, programmi ed eseguibili potenzialmente dannosi?

Per la diversità e l’aumento della probabilità di rilevamento sono utilizzate soluzioni antivirus gateway diverse rispetto a quelle utilizzate sugli endpoint?

Le macro sono disabilitate di default?

Pre-visualizzate le mails in cerca di allegati e link potenzialmente dannosi?

Fornite un servizio di quarantena ai vostri utenti?

Avete la possibilità di detonare e valutare automaticamente gli allegati ad una mail in una “sandbox” per determinare se nocivi prima della consegna all’utente finale?

I vostri utenti possono accedere alla posta elettronica attraverso un’applicazione web su un dispositivo non aziendale?

Utilizzate Microsoft 365 nella vostra organizzazione?

Se sì: Utilizzate il componente aggiuntivo Microsoft 365 Advanced Threat Protection?

Sono presenti sistemi mi allarme/videocontrollo/controllo accessi?

Tali sistemi sono segmentati su una rete indipendente?

L’accesso esterno a tali sistemi è reso sicuro da connessioni protette e solo consentito solo a chi occorre?

Sei a conoscenza di tutti gli apparati IOT presenti?

Sei sicuro che ogni apparato IOT abbia password non standard e non sia accessibile a chiunque?

Sistemi UPS sono monitorati?

I sistemi critici sono collocati in almeno una sala computer dedicata con accesso limitato e allarmi operativi funzionanti sono inviati ad una sede di monitoraggio

I CED che ospitano sistemi critici hanno un’infrastruttura resiliente che include ridondanza dei sistemi di alimentazione, impianti di condizionamento e connessioni di rete

I sistemi critici sono duplicati in funzione di un’architettura Active/Passive o Active/Active

I sistemi critici sono duplicati in due sedi separate

Sono implementati rilevatori antincendio e sistemi automatici di estinzione in aree critiche

L’alimentazione è protetta da UPS e batterie, entrambi sottoposti a regolari programmi di manutenzione

L’alimentazone è sostenuta da generatore elettrico soggetto a regolare contratto di manutenzione e testato regolarmente

Il contratto di outsourcing include requisisti di sicurezza che devono essere osservati

I Service level Agreements (SLA) son definiti con l’outsourcer al fine di gestire gli incidenti e vengono applicate penalità all’oursourcer in caso di non conformità con SLA

Il/I comitato/i di direzione e controllo si coordina con il service provider per la gestione e il perfezionamento del servizio

Relativamente ai piani di Business Continuity e Disaster Recovery:

Sono stati effettuati test a seguito dell’emergenza Covid-19?

Sono stati modificati o sono state emesse delle integrazioni specifiche?

Relativamente alle attività di smart working:

Sai quante persone lavorano in Smart Working?

Sai quante persone hanno accesso esterno alla rete aziendale?

Sono state formalizzate e condivise con i dipendenti linee guida specifiche per lo smart working?

I dipendenti son stati tutti formati in merito agli attacchi di phishing, con particolare rilevanza per quelli basati su COVID-19?

L’azienda è strutturata per lo smart working per tutto il personale?

I dipendenti i smart working accedono tramite VPN o altre connessioni criptate? Chi è il fornitore del servizio di VPN? Il software per l’utilizzo del servizio di VPN è aggiornato alla sua versione più recente?

Sei a conoscenza di altri metodi di accesso esterni alla rete aziendale?

Chi accede da esterno visualizza solo le risorse necessarie?

Desktop management

Server management

Network management

Network security management

Application management

Utilizzo di cloud computing

Se sì, specificare la natura:

Software as a Service

Platform as a Service

Indicare il numero di record contenenti informazioni personali trattenuti per l’attività da assicurare.

Categorie di dati personali raccolti/trattati

Informazioni commerciali e di marketing

Carte di credito o informazioni sulle transazioni finanziarie

Informazioni di natura sanitaria

Altro, si prega di specificare.

I dati sono trattati

È stata formalizzata e approvata dall’amministrazione una politica sulla privacy e/o sono definite e comunicate allo staff interessato regole per la sicurezza dei dati personali

Sono forniti corsi di formazione e sensibilizzazione almeno annualmente al personale autorizzato ad accedere a o a trattare con dati personali

È nominato un funzionario incaricato della protezione dei dati personali

Gli aspetti legali relativi alla politica sulla privacy sono convalidati da un avvocato o dalla divisione legale

Sono implementate misure di monitoraggio per garantire la conformità con le leggi e regolamentazioni per la protezione dei dati personali

Le pratiche/prassi aziendali relative alle informazioni personali sono state sottoposte a auditing da un ispettore esterno negli ultimi due anni

Un Data Breach response Plan è implementato e i ruoli sono stati comunicati con chiarezza ai membri della squadra operativa

Avete notificato al Garante per la protezione dei dati personali il Responsabile del trattamento dei dati personali nominato in azienda e avete ottenuto la rispettiva autorizzazione

È stata pubblicata sul sito aziendale una politica sulla privacy revisionata da un legale/dipartimento legale

È richiesto il consenso prima di raccogliere i dati personali e gli interessati possono accedere e, se necessario, correggere o cancellare i loro dati personali

Ai proprietari è fornita in modo chiaro la possibilità di rinunciare ad operazioni mirate di marketing

Se trasferite i dati personali a terzi:

I terzi sono contrattualmente obbligati a trattare i dati personali esclusivamente per conto vostro e secondo le vostre istruzioni

I terzi sono contrattualmente obbligati a implementare sufficienti misure di sicurezza per proteggere i dati personali

L’accesso ai dati personali è limitato ai soli operatori che lo necessitano per svolgere il proprio incarico e le autorizzazioni di accesso sono revisionate regolarmente

I dati personali sono criptati quando archiviati nei sistemi informatici, così come i relativi backup

I dati personali sono criptati quando trasmessi attraverso la rete

I dispositivi mobili e gli hard disk dei laptop sono criptati

La politica di sicurezza delle informazioni proibisce la copia di dati personali non criptati su dispositivi di archiviazione mobili o la trasmissione di tali dati via email

Se gli archivi di dati personali contengono dati relativi alle carte di credito, si prega di rispondere alle seguenti

Il vostro livello PCI DSS è: