sez.5. Audit FATTORI UMANI - SPPD-RSMSEFT

Vai ai contenuti

Menu principale:

sez.5. Audit FATTORI UMANI

sez.5. AUDIT FATTORI UMANI

Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)
Amministrazione della sicurezza
Azioni amministrative
Audit e review esterne
Senior Management
Azioni individuali dei dipendenti
Attività di reporting da parte dei soggetti autorizzati
Monitoraggio delle attivitÓ dei dipendenti
Formazione dei dipendenti in materia di cyber security
Responsabilità personale in tema di sicurezza
      • 5.1 La salvaguardia della sicurezza dell'azienda Þ resa parte integrante in modo formale di ciascuna mansione delle persone che vi lavorano?
      • 5.2 Ai dipendenti viene fatto obbligo di sottoscrivere accordi sulla riservatezza e sulla proprietÓ intellettuale?
      • 5.3 Ogni componente del parco hardware informatico di cui l'azienda Þ proprietaria o licenziataria risulta essere di esplicita responsabilitÓ di un determinato dipendente?
      • 5.4 Esistono etichettature permanenti o altri marchi di identificazione che rendono facile per gli altri impiegati determinare chi ôpossiedaö un dato componente informatico?
      • 5.5 Al dipendente cui si assegna la responsabilitÓ di un dato apparato informatico viene richiesto anche di salvaguardarne la sicurezza in generale?
      • 5.6 I dipendenti sono abituati a tenere i computer portatili e altri apparati informatici trasportabili sotto osservazione diretta o riposti in locali sicuri quando vengono fatti uscire dai confini dell'azienda?
      • 5.7 Le politiche aziendali regolamentano l'uso corretto della posta elettronica, dell'accesso a internet e della messaggistica istantanea da parte dei dipendenti?
      • 5.8 Le policy aziendali definiscono quali dati possono essere postati su social media dai dipendenti e quali informazioni, invece, debbano rimanere riservate?
      • 5.9 I dipendenti sono ritenuti personalmente responsabili di eventuali azioni compiute sul sistema informativo aziendale che violano le politiche di sicurezza aziendali?
      • 5.10 Ai dipendenti viene impedita la condivisione del proprio computer con altri dipendenti?
      • 5.11 Ai dipendenti viene fatto divieto di scambiarsi le password tra colleghi?

Formazione dei dipendenti in materia di cyber security
      • 5.12 A tutti i dipendenti viene fatta periodicamente formazione sulle politiche di sicurezza adottate in azienda, e sui motivi per cui tali politiche debbano essere ritenute importanti?
      • 5.13 Ai dipendenti vengono indicate quali siano le categorie di informazioni gestite dall'azienda che vanno considerate sensibili?
      • 5.14 Ai dipendenti si insegna a diffidare di qualsiasi tipo di software arrivi per posta, anche se appare confezionato e spedito da fornitori di fiducia?
      • 5.15 Ai dipendenti si insegna a non cadere vittime di manipolazioni sociali tramite telefono o Internet, che potrebbero convincerli a rivelare informazioni strettamente private oppure indurli a digitare / chiamare determinate sequenze di numeri o caratteri?
      • 5.16 Ai dipendenti si raccomanda periodicamente di non scaricare tipi di file che possano contenere del codice eseguibile, di non aprire e-mail sospette, e di non installare software personale sui sistemi dell'azienda?
      • 5.17 Ai dipendenti vengono illustrati i rischi di sicurezza che possano correre se sono soliti memorizzare informazioni private, quali i codici di identificazione personali, sui propri telefoni cellulari?
      • 5.18 Durante il training vengono realizzate anche esercitazioni pratiche?
      • 5.19 I dipendenti sono sottoposti a test periodici per verificare la loro conoscenza sulle procedure di sicurezza, nonchÚ la conoscenza sulle minacce di ultima generazione?


Monitoraggio delle attivitÓ dei dipendenti
      • 5.20 Esiste un sistema per la raccolta di informazioni relative ai luoghi fisici e alle risorse informatiche alle quali ciascun dipendente ha accesso?
      • 5.21 Sono poste in essere attivitÓ di verifica dei log di accesso (fisci e elttronici) per identificare comportamenti abituali di accesso che non sono motivati dal ruolo del dipendente?
      • 5.22 Sono effettuate ricerche su web per verificare che i dipendenti non abbiano pubblicato informazioni che potrebbero causare problemi alla sicurezza informatica dell'azienda?
      • 5.23 Esiste un sistema per il monitoraggio puntuale delle risorse e dei dati ai quali un dipendente ha avuto accesso, in particolare quando ha comunicato di voler lasciare l'azienda?
      • 5.24 L'azienda fa una attivitÓ di analisi dei dati acceduti da un dipendente almeno nei 90 giorni antecedenti alla data in cui ha dato notizia di voler lasciare l'azienda stessa?


Attività di reporting da parte dei soggetti autorizzati
      • 5.25 I dipendenti sono consapevoli che ogni volta che installano un nuovo software applicativo in un computer aziendale, sono tenuti a fare reporting al personale di cyber-security dell'azienda?
      • 5.26 Esiste un modo semplice per i dipendenti per segnalare vulberabilitÓ di sicurezza, tentativi di cyber-attacco, telefonate sospette, ecc.  e i dipendenti sono premiati per fare ci‗?
      • 5.27 Le principali strategie di attacco sono descritte in modo abbastanza esaustivo ai dipendenti, in modo tale che ci sia una buona probabilitÓ di un riconoscimento fin da subito di tali segnali?
      • 5.28 Se un dipendente riceve un link a una risora Internet da un altro dipendente o da chiunque altro, sono formati perchÚ verifchino sempre la URL per verificare che punti a un dominio corretto/atteso?


Azioni individuali dei dipendenti
      • 5.29 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni relative ai sistemi critici aziendali ai quali hanno accesso?
      • 5.30 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni che possano permettere di individuare qualli misure di sicurezza sono state implementate dall'azienda?
      • 5.31 I dipendenti sono adeguatamente formati rispetto ai rischi di sicurezza che derivano dalla memorizzazione di informazioni personali (es. PIN, password) all'interno dei propri smart phone?
      • 5.32 I dipendenti sono istruiti a non fornire all'esterno informazioni rilevanti per la sicurezza, anche informazioni che sembrano apparentemente innocue?
      • 5.33 E' fatto divieto ai dipendenti di cedere i propri dispositivi di identificazione personale per permettere l'accesso alla struttura ad altri impiegati?
      • 5.34 I dipendenti sono formati sull'evitare l'utlizzo di password costruitre su dati biografici e fatti personali che potrebbero essere pubblicamente accessibili?
      • 5.35 I dipendenti sono formati su come costruire password che non appartengono a dizionari o basate su frasi?
      • 5.36 I dipendenti sono formati sui rischi di conservare le password in posti non sicuri, come ad esempio post-it nell'area di lavoro?
      • 5.37 I dipendenti sono formati sui rischi che potrebbero derivare dal collegamento di dispositivi personali (es. smartphone, tablet, digital camera) in computer aziendali, anche solo per caricare la batteria?
      • 5.38 Il personale addetto alla sicurezza Þ stato istruito sul fatto che impedire il collegamento non autorizzato di dispositivi elettronici, incluse pen drive, ai computer aziendali Þ tanto importante quanto prevenire che il furto o il danneggiamento del dispositivo?
      • 5.39 I dipendenti sono formati sul rischio che deriva dall'apertura di un alllegato presente in una e-mail generica, non apparentemente sensata o con comportamenti strani?
      • 5.40 I dipendenti sono formati sul fatto di non installare software per scopi personali sui computer aziendali?
      • 5.41 I dipendenti sono formati sul fatto di diffidare dai software che arrivano via mail (es. aggiornamenti) anche se la sorgente sembra essere trusted?
      • 5.42 I dipendenti sono formati sul fatto che non dovrebbero collegare nessun dispositivo di cui non conosce la provenienza solo per guardare cosa c'Þ dentro?
      • 5.43 I dipendenti sono formati sul fatto di non scaricare da Internet tipi di file che potrebbero contenere codice eseguibile?
      • 5.44 I dipendenti sono formati sul fatto che anche software di massa potrebbero comunque contenere malware?
      • 5.45 I dipendenti sono formati sul non cadere vittime di manipolazioni sociali attraverso telefono o via Internet che li potrebbe portare a rivelare informazioni legate alla sicurezza?
      • 5.46 I dipendenti sono formati sul non fornire telefonicamente sequenze di numero o di caratteri (es. password) quando qulcuno glielo chiede?
      • 5.47 Ci sono restrizioni formalli per gli utenti rispetto all'acceso a sistemi critici quando si trovano in posizioni strane?
      • 5.48 I ruoli dei dipendenti sono distinti in modo tale che un singolo dipendente non possa portare a termine una operazione crtica senza la consapevolezza degli altri impiegati?
      • 5.49 L'esecuzione di operazioni estremamente critiche richiede la partecipazione simultanea di duo o pi¨ impiegati?
      • 5.50 I dipendenti nell'area IT sono resi consapevoli di quanto sia pericoloso installare collegamenti di rete (es. Wi-Fi) che siano non documentati e non autorizzati del personale della sicurezza anche quando questa richiesta proviene da un capo?
      • 5.51 L'azienda ammonisce tutti i dipendenti che lasciano l'azienda che devono rispettarne la proprietÓ intellettuale?
      • 5.52 L'azienda ha procedure per la raccolta di evidenze forensi per ogni tentativo da parte di un dipendente di utilizzare un sistema aziendali per rubare dei dati o causare un danno?

Senior Management
      • 5.53 I manager senior dell'azienda sono regolarmente informati sullo stato di cyber security dell'azienda e sulle possibili conseguenze delle minacce emergenti?
      • 5.54 I manager senior dell'azienda sono resi edotti che un buon piano di cyber security parte dal comprendere come sono utilizzati i sistemi informatici aziendali ai fini della produzione del business?
      • 5.55 I manager senior dell'azienda sono resi edotti del fatto che la migliore strada per la gestione della maggior parte dei problemi di sicurezza non Þ quella di aggiungere pi¨ misure di cyber-security, ma di fare piccoli cambiamenti nel modo in cui le attivitÓ sono svolte?
      • 5.56 I manager senior dell'azienda sono resi edotti del fatto che la gestione di problemi di cyebr-security Þ generalmente pi¨ semplice e molto meno costosa quando questi possibili problemi sono presi in considerazione quando nuove operazioni di business sono attivate?
      • 5.57 L'azienda ha un Chief Information Security Officer?
      • 5.58 Il CISO Þ tenuto a fare un reporting al CFO e al CEO senza la presenza di altri dipendenti?
      • 5.59 L'azienda utilizza le notizie relative a nuovi attacchi alla cybersecurity che sono stato portati a termine contro altre organizzazioni per aggiornare i propri piani e programmi di cyber-security?
      • 5.60 L'azienda ha un canale attraverso il quale il personale dedicato alla cyber-security pu‗ fornire consigli e avvisi riguardo alle implicazioni per la cyber-security nelle strategia, policy, procedure e rapporti verso l'esterno dell'azienda?
      • 5.61 Il personale di cyber-security è correttamente premiato se fa emergere considerazioni ai manager o ad altro personale esterno al team di ciberscurity, fino a che ha fatto in modo corretto?

Audit e review esterne
      • 5.62 Le policy di sicurezza di una azienda e la loro implementazione sono valutate annualmente da un auditor esperto esterno?
      • 5.63 Le policy di sicurezza dell'azienda e la loro implementazione sono attentamente verificate rispetto alle leggi vigenti e agli standar dell'industria?
      • 5.64 La review annuale delle policy di sicurezza delll'azienda e l'implementazione delle stesse Þ abbastanza approfondita per scoprire nuove vulnerabilitÓ?  
      • 5.65 Gli audit effettuati sono esaminati in modo analitico per identificare le aree dove Þ necessario attivare delle contro misure?
      • 5.66 I diversi audit effettuati negli anni sono comparati, in modo tale da permettere al management di valutare se la sicurezza sta crescendo anzichÚ diminuendo?


Azioni amministrative
      • 5.67 Il personale addetto alle pubbliche relazioni e commerciale Þ reso edotto sul fatto che le loro attivitÓ potrebbero avere impatto sull'organizzazione aziendale della cybersecurity?
      • 5.68 L'azienda evita attivitÓ pubblicitarie e materiale pubblicitario che potrebbero portare l'attenzione dei punti e dei sistemi critici aziendali?
      • 5.69 L'azienda evita attivitÓ di marketing che possano semprare provocazioni per la comunitÓ del underground hacker, rendendo l'azienda un possibile target?
      • 5.70 Se l'azienda Þ un target potenzialmente di alto profilo, gli annunci di lavoro per l'assunzione di personale nel ramo della cyber-security sono fatte in modo tale da evitare l'identitÓ dell'azienda?
      • 5.71 Sono effettuati approfonditi backgroun checks sui dipendenti che hanno un livello di accesso elevato alle informazioni, anche se i loro salari e il titolo di lavoro potrebbero non far intendere tale accesso?
      • 5.72 Se un dipendente viene promosso a un livello pi¨ alto in termini di responsabilitÓ e di accesso alle informazioni, viene effettuato un nuovo background check su di lui?
      • 5.73 Viene effettuato un background check del personale addetto al mentenimento degli edifici dell'azienda (es. guardiani, pulizie, ecc.) che hanno un accesso fisico elevato alle componenti dei sistemi?
      • 5.74 Se avviene un cambio consdierevole nel comportamento personale o ecomonico di un dipendente, esiste una procedure per effettuare un background check non intrusivo e capire le ragioni?
      • 5.75 Se un dipendente sta attraversando un periodo di grandi difficolta personali, esiste una policy per ridurre temporaneamente le sue responsabilitÓ rispetto ai sistemi critici aziendali?
      • 5.76 Gli impiegati addetti al monitoraggio dei sistemi critici sono ruotati al fine di rendere il proprio lavoro meno noioso?
      • 5.77 L'azienda provvede a premiare pubblicamente in meeting interni i dipendenti che operano nei sistemi informativi per aver fatto un lavoro particolarmente di pregio o rilevante per l'azienda stessa?
      • 5.78 L'azienda fornisce un canale attraverso il quale gli impiegati possono nominare in modo anonimo gli altri dipendenti per una riconoscimento speciale, basato sul fatto di aver creato qualcosa di particolarmente innovativo rispetto ai sistemi informativi?
      • 5.79 L'azienda fornisce un canale per i dipendenti per manifestare le proprie lamentele senza che questo comporti punizioni e permettendo ai dipendenti di verificare che le lamentele siano state correttamente considerate?
      • 5.80 L'azienda gestisce il ridimensionamento di certi settori in una maniera che minimizzi i sentimenti ostili da parte degli ex dipendenti?
      • 5.81 Se un dipendente che ha un ruolo che gli permette accesso ai dati interessanti per la concorrenza lascia l'azienda, viene effettuatao un check per verificare segnali di utilizzo di tali informazioni nel nuovo lavoro?
      • 5.82 L'azienda fornisce ai dipendenti una procedure che gli permette di segnalare tentativi da parte di soggetti esterni di estorcere la loro collaborazione nel superare i sistemi di sicurezza dell'azienda?
      • 5.83 L'azienda monitora le attivitÓ di ex dipendenti nelle nuove aziend dove questi si trovano, soprattutto relativamente a quelli che avevano accesso a sistemi e procedure critiche?

Amministrazione della sicurezza
      • 5.84 Esiste un sistema affidabile per tenere traccia di tutti i log e le altre sorgenti di informazioni di cui ha bisogno il team di security e per verificare che siano stati trattati con uno schedule appropriato?
      • 5.85 Esiste un sistema affidabile e costantemente aggiornato per il tracking di tutte le vulnerabilitÓ evidenziate dai dipendenti, scoperte dal audit, riportate dai vendors o diffuse dai giornali?
      • 5.86 Il sistema di tracking delle vulnerabilitÓ permette al personale addetto alla sicurezza di determinare rapidamente quali vulnerabilitÓ devono ancora essere gestite, quali siano attualmente in gestione e quali siano state giÓ sistemate?
      • 5.87 Alle vulnerabilitÓ viene assegnato un livello di prioritÓ elevato in modo tale che le vulnerabilitÓ pi¨ critiche siano gestite pi¨ rapidamente?
      • 5.88 Il livello di prioritÓ assegnato tiene in considerazione la natura delle operazioni di business e produzione che utilizzano il sistema informatico in cui la vulnerabilitÓ si verifica?
      • 5.89 Il sistema di tracking delle vulnerabilitÓ Þ coordinato con il sistema di tracking delle patch e degli aggiornamenti di sicurezza, in modo tale che non si perda produttivitÓ nella gestione dello stesso problema pi¨ di una volta?
      • 5.90 Esiste un security manager che verifichi con continuitÓ che tutte le vulnerabilitÓ siano state prese in considerazione per tempo e nel corretto ordine di prioritÓ?
      • 5.91 Il CISO fa una review mensile dei programmi e delle procedure per la cyber security per verificare che siano allineati con le attese?
      • 5.92 Il team di security ha un tempo sufficiente per mettere in pratica misure di sicurezza e rinnovare quelle vecchie, anzichÚ dover spendere tutto il proprio tempo a mettere patch alle vulnerabilitÓ e rispondere agli attacchi?


Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)
      • 5.93 L'azienda ha piani dettagliati per la gestione degli incidenti di sicurezza, sia quando stanno accadendo sia immediatamente dopo?
      • 5.94 I piani dettagliati per la gestione degli incidenti di sicurezza, specificamo chiaramente i punti in cui i senior manager devono essere avvisati?
      • 5.95 I dipendenti sanno chi avvertire, sia dentro che fuori dell'azienda, nell'eventualitÓ di un possibile attacco?
      • 5.96 Sono effettuate con regolaritÓ esercitazioni in cui sono coinvolti i dipendenti responsabili della gestione degli incidenti, attraverso simulazioni realistiche?
      • 5.97 Le persone chiave hanno avuto l'opportunitÓ di mettere in pratica la propria capacitÓ di gestione delle emergenze in situazioni reali?
      • 5.98 Gli incidenti reali o simulati sono seguiti da una discussione per identificare la lesson learned?
      • 5.99 L'azienda utilizza costantemente le news relative agli attacchi subiti da altre aziende per aggiornare e rinforzare i piani di risposta agli attacchi che potrebbero arrivare?
      • 5.100 I piani dettagliati per la gestione degi incidenti sono conservati come strattamente confidenziali?
      • 5.101 I risultati delle simulazioni di attacco sono trattati come elemento altamente confidenziale?
      • 5.102 I dipendenti sanno come interrompere o spegnere rapidamente i canali di comunicazione che sono apparentemente utilizzati da un attacco informatico?
      • 5.103 Se un particolare account Þ stato utilizzato durante un attacco, gli amministratori dei sistemi sono in grado di forzare rapidamente un logout e disabilitare l'account nelle rete aziendale?
      • 5.104 Se c'Þ ragione di credere che un attacco informatico possa essere imminente, c'Þ un piano per disabilitare temporaneamente i sistemi vulnerabili e interrompere i canali di comunicazione, al fine di limitare l'effetto dell'attacco?
      • 5.105 Se si Þ verificato un attacco grave, esistono procedure che possono essere rapidamente impementate per isolare o mettere in quarantena i sistemi che possono essere stati contaminati, senza necessitÓ di spegnerli?
      • 5.106 Sono presenti delle procedure che possono essere rapidamente adottate per isolare o mettere in quarantena i sistemi infetti se vi Þ una ragione per non fidarsi della procedura informatiica?
      • 5.107 I cavi che devono essere disconnessi in caso di un cyber attacco sono chiaramente etichettati?
      • 5.108 I dipendenti sanno quali cavi debbanno essere staccati nel caso di un attacco e quali eventi debbano triggerare questa risposta?
      • 5.109 Se un attacco sta causando la cancellazioni o la cifrature dei dati su un computer locale i dipendenti sono stati autorizzati a spegnere immediatamente il computer?


Torna ai contenuti | Torna al menu