Caricamento...
Caricamento...
BullTech Informatica — bulltech.it — 33 Controlli per la Tua Azienda
La stessa checklist che usiamo durante le verifiche di sicurezza per le PMI lombarde. 33 punti organizzati in 6 aree, con spiegazione dettagliata per ogni controllo.
1. Antivirus/EDR installato su tutti i dispositivi
Verificare che ogni PC, server e dispositivo mobile abbia una soluzione EDR attiva e aggiornata.
2. Aggiornamenti automatici del sistema operativo attivi
Il 60% degli attacchi sfrutta vulnerabilita per cui esiste gia una patch. Automatizzare gli aggiornamenti riduce drasticamente il rischio.
3. Crittografia disco attiva su tutti i laptop
BitLocker (Windows) o FileVault (Mac) proteggono i dati in caso di furto o smarrimento del dispositivo.
4. Software non autorizzato bloccato (application control)
Il controllo delle applicazioni impedisce l'esecuzione di software malevolo o non approvato dall'IT.
5. Policy MDM attiva per dispositivi mobili
Un MDM permette di gestire, proteggere e cancellare da remoto smartphone e tablet aziendali.
6. Inventario aggiornato di tutti i dispositivi aziendali
Non puoi proteggere cio che non conosci: un inventario completo e il primo passo della sicurezza.
7. Firewall next-generation configurato e aggiornato
Un NGFW offre ispezione del traffico, IPS integrato e filtro applicativo per bloccare le minacce.
8. Rete segmentata con VLAN separate
La segmentazione (reparti, IoT, ospiti) limita la diffusione laterale in caso di compromissione.
9. Wi-Fi aziendale con WPA3 e rete ospiti separata
WPA3 offre crittografia piu solida. La rete ospiti deve essere completamente isolata dalla LAN interna.
10. VPN configurata per accesso remoto
Una VPN crittografa il traffico dei lavoratori remoti. Verificare che sia obbligatoria per lo smart working.
11. Monitoraggio traffico di rete attivo 24/7
Il monitoraggio continuo permette di rilevare anomalie, tentativi di intrusione e traffico sospetto in tempo reale.
12. DNS filtering attivo
Il filtro DNS blocca l'accesso a siti malevoli, phishing e categorie non autorizzate prima ancora che la pagina si carichi.
13. IDS/IPS configurato e testato
I sistemi di rilevamento e prevenzione intrusioni identificano e bloccano pattern di attacco noti.
14. Log firewall conservati per almeno 6 mesi
I log sono fondamentali per le indagini post-incidente e per la conformita normativa (GDPR, NIS2).
15. Backup automatici giornalieri configurati
I backup manuali vengono dimenticati. L'automazione garantisce che ogni giorno venga creata una copia di sicurezza.
16. Regola 3-2-1 applicata
3 copie dei dati, su 2 supporti diversi, con 1 copia off-site (cloud o datacenter esterno).
17. Test di ripristino eseguiti almeno ogni trimestre
Un backup non testato e un backup che potrebbe non funzionare quando serve davvero.
18. RPO e RTO definiti per ogni sistema critico
RPO (quanti dati puoi perdere) e RTO (quanto tempo per ripristinare) devono essere documentati e approvati.
19. Backup protetti da ransomware (immutabili)
I ransomware moderni puntano ai backup: copie immutabili o air-gapped sono la difesa essenziale.
20. MFA attiva per tutti gli utenti
L'autenticazione a due fattori blocca il 99,9% degli attacchi di credential stuffing (fonte: Microsoft).
21. Policy password solide (min. 12 caratteri)
Le password deboli sono ancora la causa numero uno delle violazioni. Imporre complessita e lunghezza minima.
22. Principio del minimo privilegio applicato
Ogni utente deve avere solo i permessi strettamente necessari al proprio ruolo. Niente accessi "per comodita".
23. Account admin separato da quello quotidiano
Gli amministratori non devono navigare il web o leggere email con account privilegiati.
24. Procedure di offboarding documentate
Revocare immediatamente tutti gli accessi quando un dipendente lascia l'azienda. Verificare: email, VPN, cloud, badge.
25. Password manager aziendale adottato
Un password manager elimina il riutilizzo delle password e i post-it sulla scrivania.
26. Formazione anti-phishing almeno semestrale
Il 91% degli attacchi inizia con un'email di phishing. La formazione regolare e la prima linea di difesa.
27. Simulazioni di phishing periodiche
Le simulazioni misurano l'efficacia della formazione e identificano i dipendenti piu vulnerabili.
28. Email security gateway configurato
SPF, DKIM e DMARC devono essere configurati. Un gateway anti-spam/anti-phishing filtra le minacce prima che arrivino.
29. Procedura di segnalazione incidenti nota a tutti
Ogni dipendente deve sapere cosa fare e a chi rivolgersi in caso di email sospetta o incidente.
30. Formazione specifica per ruoli ad alto rischio
CFO, finance e dirigenti sono i bersagli preferiti degli attacchi BEC (Business Email Compromise).
31. Registro dei trattamenti GDPR aggiornato
Il registro e obbligatorio per aziende con piu di 250 dipendenti e consigliato per tutte le PMI.
32. DPO nominato o referente privacy designato
Verificare se l'azienda rientra nell'obbligo di nomina DPO. In ogni caso, serve un referente privacy.
33. Requisiti NIS2 valutati (se applicabili)
La direttiva NIS2 amplia significativamente il perimetro dei soggetti obbligati. Verificare se si rientra.
La checklist ti da una panoramica. Per un'analisi approfondita della tua infrastruttura, i nostri tecnici eseguono un assessment completo con report dettagliato.