La sicurezza informatica, per le aziende, è un’urgenza. Per capirlo bastano due elementi. Uno è lo sguardo, anche soltanto rapido, ai numeri del rapporto 2021 del Clusit, dove insieme all’aumento degli attacchi del 12% rispetto all’anno precedente spicca una previsione inquietante del costo degli incidenti informatici, che nel 2024 potrebbe attestarsi su una cifra compresa tra i 20 e i 25 miliardi di euro. Un altro è l’esperienza quotidiana delle aziende stesse, che contribuisce a formare le cifre del fenomeno e che, soprattutto, è fatta di un disagio spesso collocato al confine con veri e propri drammi. Un’azienda colpita, infatti, può essere costretta a chiudere i battenti. E un’azienda chiusa significa disoccupazione.
Spesso le urgenze si affrontano di fretta, senza l’opportuna ponderazione richiesta per risolverle con efficacia. Nel caso della cybersecurity questo atteggiamento si traduce nel ricorso a soluzioni di vario tipo, magari riunite in un insieme non organico, prese più per chiudere i buchi del sistema (sperando non si riaprano) che per assicurare ad esso una tenuta duratura. La sicurezza informatica, tuttavia, non può esprimersi nel prendere ciò che serve per rimediare a un guaio; piuttosto, è un percorso verso un risultato preciso. E’ una strada, sulla quale si procede per passi. Il primo di questi è il Security Assessment.
Security Assessment: di cosa parliamo?
Definire il Security Assessment è facile: si tratta del primo passo sulla strada verso una sicurezza efficace. Tecnicamente è l’analisi dello stato dell’arte della security aziendale, punto di partenza della valutazione e dell’identificazione dei potenziali rischi, condotte seguendo una precisa metodologia. Quella targata HWG si articola su tre aspetti.
«Si tratta del Vulnerability Assessment & Penetration Test, dell’Email Threat Scanner (ETS) e dell’IT Security Risk Assessment», racconta Francesca Tommasi, IT Consultant. «Con il primo punto si valutano le vulnerabilità presenti in azienda alla ricerca dei punti di ingresso utilizzabili da un possibile attaccante. I tecnici intercettano una vulnerabilità e provano a usarla per entrare nel sistema, stabilendone così il grado di criticità».
Il penetration test è un passaggio essenziale, poiché le vulnerabilità sono all’ordine del giorno. Tommasi fa l’esempio dei sistemi non patchati: «In occasione di un rilascio di una sua nuova versione, un software o un’applicazione possono presentare dei bug. Il produttore chiede quindi di correggerlo permettendo di scaricare le patch; se non le applichi, dai modo all’attaccante di sfruttarle e di fare danni. E purtroppo spesso non vengono applicate, perché bisogna fare del lavoro aggiuntivo e non si tratta di attività effettuate con automatismi».
Il secondo aspetto del Risk Assessment riguarda l’Email Threat Scanner (ETS), una soluzione specifica per Microsoft Office 365 che scansiona le email, cioè il vettore con il quale arriva a destinazione il maggior numero di minacce. L’anno 2020, segnato dall’emergenza Covid-19, ha conosciuto un’impennata di messaggi che chiedevano agli utenti di agire per combattere la pandemia, cliccando su finti link per raccolta fondi o scaricando allegati che si rivelavano essere porte di ingresso per inserire malware nelle macchine infettate.
IT Security Risk Assessment (ITSR)
Il terzo dei suddetti aspetti della metodologia di HWG si basa sugli standard internazionali di sicurezza ISO 27001 e NIST Security Framework 800-30, e porta alla realizzazione di un Security Assessment Report dettagliato su tutti i controlli effettuati in azienda. «Abbiamo come riferimento un file excel in cui riportati tutti i controlli che citino gli standard ISO e NIST - prosegue Tommasi - e identifichiamo il livello di maturità dell’azienda in relazione al controllo indicato nel file. Se il livello di maturità non corrisponde ma si rivela più basso del dovuto, dobbiamo individuare il rimedio che ci consenta di raggiungere quel livello. Questo ci porta a elaborare un piano, una roadmap dettagliata con la quale comunichiamo all’azienda le azioni che deve compiere gradualmente entro sei mesi, un anno e così via per la remediation, operando in tre ambiti: Operations, Governance e Technology».
Ricevuto il documento, la scelta passa all’azienda. Se sceglie di affidarsi ad HWG, abbraccia un programma di supporto della durata di 3 anni articolato in diverse attività (Supporto di un Virtual CISO, Poc/Tender Creation, System Hardening Quotation), ciascuna delle quali procede per step (c’è la fase di Start-up, quella di Follow up e quella di Phase-out).
«Potrebbe essere prevista anche la creazione di nuova tecnologia per la quale viene valutato, in base alla complessità del lavoro, se fare un capitolato di gara o se essere noi stessi a fornirla», conclude Tommasi.