Security.txt - Pubblicare sul sito web il contatto della persona responsabile della sicurezza

Se un’impresa o un’organizzazione riscontra problemi relativi alla cibersicurezza è fondamentale informare rapidamente la persona responsabile della sicurezza. Spesso questo contatto è difficile da trovare sul sito web o non viene neppure pubblicato. Lo standard «security.txt» consente di pubblicare il contatto in modo uniforme, così da poterlo trovare più velocemente.

Quando si parla di sistemi informatici la sicurezza totale non esiste e le vulnerabilità sono all’ordine del giorno. Tali falle di sicurezza vengono individuate di frequente dai ricercatori in materia di sicurezza, dall’UFCS, dagli stessi collaboratori delle imprese o delle organizzazioni interessate oppure dai cittadini e dovrebbero poter essere segnalate il più presto possibile alla persona responsabile della sicurezza.

Tuttavia, non di rado questi contatti specifici sono difficilmente reperibili o non vengono pubblicati. Spesso i rispettivi siti web riportano solo il numero del centralino e un indirizzo e-mail generale. Di conseguenza, chi inoltra la segnalazione deve rivolgersi a diverse persone spiegando più volte il problema prima di raggiungere l’interlocutore di riferimento. Tutto ciò fa perdere tempo prezioso e può succedere che quando l’informazione viene trasmessa alla persona responsabile sia già troppo tardi. Molte volte quest’ultima non sa nulla del problema perché le informazioni non vengono trasmesse o vengono ignorate.

Lo standard «security.txt» consente di trovare rapidamente il contatto della persona responsabile della sicurezza sul sito web di un’impresa o di un’organizzazione. Lo standard effettua il salvataggio di un file denominato «security.txt» in una cartella predefinita chiamata «.well-known» nel sito in questione. Il file contiene almeno i dati utili per contattare la persona responsabile. Eventualmente vi possono essere archiviate altre informazioni rilevanti per la sicurezza. L'UFCS ha redatto una guida, destinata alle organizzazioni e alle imprese, che descrive l’esatta procedura e fornisce maggiori informazioni.

Sul piano tecnico, lo standard «security.txt» è facilmente implementabile dal supporto informatico di un’impresa o di un’organizzazione e contribuisce in modo sostanziale a migliorare la gestione della sicurezza.

Secondo quanto rilevato dall'UFCS, ad oggi in Svizzera applicano questo standard già alcune migliaia di siti ma, considerato che i siti attivi sono milioni, vi è ancora margine di miglioramento. L'UFCS invita le imprese, le organizzazioni e le amministrazioni presenti sul territorio nazionale ad applicare questo standard di sicurezza e a fornire così un importante contributo a favore della cibersicurezza.

Anche l'amministrazione federale è in corso di implementazione di questo standard. Tra altre cose, un security.txt è già disponibile sul sito web www.admin.ch: https://www.admin.ch/.well-known/security.txt
Altri siti web dell'amministrazione federale seguiranno.

Guida dell'UFCS:

Ultima modifica 01.01.2024

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/security-txt.html