sez.2. Audit SOFTWARE - SPPD-RSMSEFT

Privacy 4.0 e Protezione dei dati

DPS-2016-2017 e SPPD2018-2019

Politica Privacy sul sito web

Informativa Sintetica ed Estesa agli Interessati

Affiliazione e Codice Etico Confcommercio

Vai ai contenuti

Menu principale:

sez.2. Audit SOFTWARE

AREA FORMAZIONE > AUDIT ANALISI RISCHI ICT per DPIA

sez.2. AUDIT SOFTWARE

Applicazione e sistemi operativi

2.1 In azienda esiste un inventario accurato dei software di sitema e applicativi installati?
2.2 Esiste una policy inerente quali software i dipendendi possano/non possano usare?
2.3 Esiste un inventario di quali applicazioni richiedano accessi amministrativi e quali utenti posseggano tali privilegi?
2.4 Esiste una procedura per la documentazione e il tracking delle applicazioni
2.5 Esiste una lista comprensiva di tutti gli script/applicazioni che utilizzano credenziali embedded?
2.6 Esiste il patch management tracking, cioè log delle patch richieste, delle patch pronte, date di ricezione e date di applicazione?
2.7 Viene effettuato un approfondito test di vulnerabilità sulle applicazioni prima che esse vengano messe in produzione?
2.8 Le impostazioni di sicurezza di default (impostate dal vendor) di un software, vengono modificate?
2.9 Le password per gli account di servizio (es backup server, etc) sono complesse per numero di caratteri e loro tipologia?
2.10 La sequenza di boot dei computer aziendali è impostata per fare il boot solo dal disco del sistema operativo (no CD, no USB)?
2.11 "Gli account ""Amministratore"" sono stati rinominati?"
2.12 Gli account di servizio sono stati rinominati?
2.13 I sistemi aziendali vengono regolarmente controllati alla ricerca di malware e hacking tool?
2.14 Gli innalzamenti di privilegio vengono loggati e controllati?
2.15 Le richeste di privilegi amministrativi (es: Domain Administrator) sono loggati e immediatamente controllati?
2.16 Dopo patch/upgrade le configurazioni e le impostazioni del software vengono verificate (automaticamente)?
2.17 Esiste una procedura per verificare che patch e update sono state installate nei tempi e modi corretti?
2.18 L'azienda effettua vulnerability testing dopo il deploy di applicazioni/sistemi?
2.19 "L'azienda mantiene la cosiddetta ""golden image"" di riferimento per ogni OS a suite di applicativi?"
2.20 Viene effettuato un approfondito test da esperti sulle golden image?
2.21 Le golden image sono mantenute in un repository sicuro, accessibile solo da determinati indirizzi e utenti?
2.22 Vengono calcolati e mantenuti hash (anche multipli) delle golden image?
2.23 Esistono procedure dettagliate per l'aggiornamento (path/upgrade) delle golden image?
2.24 Le procedure di path/upgrade prevedono una fase di test prima di essere applicate in produzione?
2.25 I tempi di applicazione delle patch/upgrade sono scelti in modo da ridurre eventuali malfunzionamenti?

Assegnazione Privilegi

2.26 L'accesso alle applicazioni critiche è permesso solo a quegli utenti che lo necessitano?
2.27 Viene chiesto agli utenti una lista delle applicazioni cui loro richiedono accesso?
2.28 La lista delle richieste d'uso delle applicazioni è controllata ed il controllo loggato?
2.29 In caso di prolungata assenza d'uso di una applicazione, all'utente viene rimosso l'accesso?
2.30 Nel caso l'utente cambi mansione, la lista delle sue applicazioni viene rivista?
2.31 Esiste una procedura di controllo (es: annuale) dei privilegi assegnati agli utenti?
2.32 I privilegi di root/domain admin sono ristretti ai soli utenti che li necessitano?
2.33 I privilegi locali di amministrazione sono disabilitati sui sistemi degli utenti?

Utilizzo Applicazioni

2.34 In caso di nuove vulnerabilità software/hardware, le persone in carico di decidere le misure prima del rilascio delle patch vengono informate?
2.35 I messaggi di errore sono stati impostati per non rivelare informazioni sul design e configurazione interna dell'applicazione?
2.36 In produzione, è stato verificato che le feature di debug (o anche semilavorati) siano state eliminate?

Patch e Update (domande condivise con altre sezioni)

Circolazione dati e modifiche

2.37 "La disseminazione delle informazioni in azienda segue il principio del ""need to know""?"
2.38 L'azienda ha formalmente assegnato una classificazione ai proprio documenti?
2.39 La classificazione delle informazioni, e ciò che ne deriva, è stata comunicata in modo chiaro ai dipendenti?
2.40 La classificazione delle informazioni viene (es: annualmente) rivista?
2.41 L'accesso ai dati sensibili ristretto ai solo utenti che ne hanno necessità?
2.42 Le informazioni classificate al massimo livello sono mantenute in uno storage cifrato quando non in uso?
2.43 Agli utenti che accedono a dati sensibili vengono richieste ulteriore forme di autenticazione (es: password, 2FA)?
2.44 Esistono informazioni finte mescolate con le vere in modo che un attaccante non sappia distinguerle?
2.45 Il database o contenitore di informazioni classificate è configurato in modo che tali informazioni non possano essere sovrascritte, ma corrette con revisioni loggate e archiviate?
2.46 I file di log che devono essere preservati, sono opportunamente trattati (diverse copie a prova di contraffazione)?
2.47 Nella circolazione di documenti aziendali al di fuori dell'azienda viene usato un formato di file resistente alle modifiche?
2.48 Nella circolazione di documenti aziendali al di fuori dell'azienda esse vengono firmate digitalmente?
2.49 Vengono utilizzate firme digitali nello scambio di email interne?
2.50 E' in uso un meccanismo per il controllo e log di tutti i cambiamenti ai database critici?
2.51 Gli upload verso l'esterno di dati sensibili sono monitorati?
2.52 Gli upload verso l'esterno di dati cifrati sono monitorati?
2.53 L'azienda controlla accesso ai dati (almeno quelli sensibili) inusuali?
2.54 L'azienda controlla modifiche ai dati (almeno quelli sensibili) inusuali?
2.55 L'azienda previene fortuiti upload/download di dati sensibili da parte degli utenti fra i sistemi?
2.56 L'azienda previene la stampa di email/allegati/etc da parte degli utenti non autorizzati?
2.57 Ai dipendenti viene impedito di salvare dati sensibili su dispositivi come DVD, USB, salvo specifiche autorizzazioni?
2.58 Esiste un limite alla quantità di dati che può essere acceduta/scaricata da un sistema ad un altro?
2.59 Se gli utenti possono memorizzare localmente informazioni sensibili, tale azione è monitorata?
2.60 L'azienda applica watermark ai documenti particolarmente sensibili?
2.61 L'azienda applica beacon ai documenti particolarmente sensibili?

Sistemi di autenticazione

2.62 Esiste policy per l'immediata deattivazione delle password (e altri sistemi di autenticazione) quando un dipendente fuoriesce dall'azienda?
2.63 Le username login degli utenti sono differenti dal loro nome e indirizzo email?
2.64 Esiste una policy per il cambio password ogni x giorni?
2.65 Alla richiesta di cambio password, gli utenti possono inserire password giá utilizzate in precedenza?
2.66 I computer/software applicativi vanno in lock dopo un determinato periodo di inattivitá da parte dell'utente?
2.67 Esiste una policy che richieda il logging di tutti i tentativi di accesso (positivi e negativi) per le applicazioni/sistemi critici?
2.68 I log di accesso a sistemi critici sono mantenuti su dischi non riscrivibili o comunque resistenti a manipolazioni?
2.69 Esiste un sistema di allarme automatico in caso di multipli accessi falliti, anche se questi ultimi sono sparsi nel tempo e fra gli utenti?
2.70 Accessi autorizzati ma temporalmente inusuali vengono analizzati?
2.71 Esiste un sistema di allarme in caso di sottrazione di un file contenente password di accesso a sistemi?
2.72 Se un amministratore cambia delle password, tali cambiamenti sono loggati e analizzati in tempo utile?
2.73 Esiste un sistema di allarme in caso di uso di 2FA (es: smart card) che é stato revocato?
2.74 Esiste un sistema di allarme in caso di uso di un account disabilitato?
2.75 Esiste una procedura per il cambio rapido e sicuro di password all'interno dell'organizzazione (in caso di compromissione)?
2.76 In caso un utente necessiti di recuperare o cambiare una password, vengono utilizzate domande segrete di cui egli é il solo a conoscerne la risposta?
2.77 In caso un utente necessiti di recuperare o cambiare una password, viene inviato un link all'email aziendale dell'utente?
2.78 Esiste una procedura rapida e sicura per la deattivazione di token di sicurezza (in caso di compromissione/smarrimento)?
2.79 L'azienda ha la possibilitá, se necessario, di accedere in modo controllato ad applicazione e dati protetti dalla password e/o token di un utente?

Policy di Autenticazione

2.80 I sistemi aziendali sono tutti protetti con sistemi di autenticazione di base, come username e password?
2.81 I tentativi di login sono limitati ad un massimo di x/minuto (piuttosto che in numero senza limite temporale)?
2.82 Il tempo minimo fra due possibili tentativi di login viene gradualmente aumentato in caso di fallimenti?
2.83 Se un account o sistema viene acceduto dopo molteplici tentativi falliti, esso viene immediatamente monitorato per possibile uso improprio?
2.84 Esiste una procedura sicura ed automatica per eliminare gli accessi di un dipendente una volta fuoriuscito dall'azienda?

Passwords

2.85 Le password devono rispettare criteri minimi di lunghezza e complessitá?
2.86 Vengono eseguiti dei check durante la creazione delle password per verificare se essere rispettino i criteri minimi impostati?
2.87 Viene impedito l'uso di password note e/o appartenenti alle comuni liste online?
2.88 Esistono policy che richiedano procedure sicure per la generazione e la trasmissione di password?
2.89 Le password sono sempre e comunque memorizzate in forma cifrata?

Autenticazione Avanzata

2.90 Le informazioni e i sistemi critici richiedono 2FA?
2.91 Le informazioni e i sistemi critici richiedono autenticazione doppia (due utenze)?

Biometria

2.92 Vengono utilizzati sistemi biometrici per l'autenticazione?