Il contatto di sicurezza deve essere rintracciabile
In caso di incidenti di sicurezza, è importante individuare rapidamente e immediatamente il referente IT responsabile dell'azienda. Spesso questi contatti non vengono memorizzati affatto. Lo standard "security.txt" è destinato a risolvere questo problema.
Non esiste una sicurezza al cento per cento nei sistemi informatici e le vulnerabilità fanno parte della vita quotidiana. Spesso, però, questi contatti non sono facilmente reperibili sui siti web o non sono affatto memorizzati. Lo standard "security.txt" offre la possibilità di pubblicare i contatti di sicurezza di un'organizzazione o di un'azienda in modo uniforme e quindi di trovarli più rapidamente.
Lo standard richiede che un file di testo con il nome "security.txt" sia salvato nella directory predefinita "/.well-known" sul sito web dell'azienda o dell'organizzazione. Questo file contiene almeno i dati di contatto che possono essere utilizzati per contattare il responsabile della sicurezza di un'azienda o di un'organizzazione. Inoltre, vi si possono memorizzare anche altre informazioni rilevanti per la sicurezza.
Secondo il National Cyber Security Centre (NCSC), lo standard "security.txt" è tecnicamente facile da implementare da parte del supporto informatico dell'azienda o dell'organizzazione e contribuisce in modo significativo a migliorare la gestione della sicurezza. Un'indagine dell'NCSC ha dimostrato che diverse migliaia di siti web in Svizzera hanno già implementato lo standard "security.txt". Tuttavia, rispetto al numero totale di siti web in Svizzera, pari a diversi milioni, c'è ancora "margine di miglioramento".
L'NCSC ha un Guida per organizzazioni e aziende, che descrive la procedura esatta e fornisce ulteriori informazioni.
Fonte: NCSC