Il security assessment rappresenta il punto di partenza per identificare una strategia di sicurezza in grado di proteggere gli asset aziendali ed evitare gravi perdite finanziarie. I trend tecnologici e i fenomeni emergenti, come l’annullamento del perimetro aziendale e l’aumento delle informazioni e della loro circolazione, incrementano i rischi per la sicurezza aziendale, con costi diretti, indiretti e di immagine, in caso di incidente grave. Il report Ponemon – Cost of a Data Breach riporta, ad esempio, un costo di 150 dollari per record perso o sottratto nel caso si riferisca a dati di un cliente dell’azienda, i più frequentemente violati, mentre valuta che il costo complessivo per un incidente grave in Italia raggiunga i 3 milioni di dollari. Se a queste valutazioni si aggiunge il fatto che gli attacchi sono in costante crescita, arrivando a 140 violazioni gravi in un anno, secondo il monitoraggio di Clusit, è evidente la necessità di correre ai ripari. È, infatti, riconducibile l’83% degli attacchi al cybercrime che opera per fini economici, con tecniche di attacco come malware, phishing e social engineering, sfruttamento delle vulnerabilità, account cracking, ecc.
Per poter migliorare la sicurezza aziendale vanno seguiti più passi, da ripetersi ciclicamente: security assessment, analisi dei risultati, definizione delle linee di azione per la mitigazione del rischio, condivisione dei piani con i vertici aziendali. Il security assessment è punto di partenza necessario per identificare lo stato iniziale della sicurezza aziendale come premessa per identificare i gap, rispetto agli obiettivi aziendali e pianificare di conseguenza le necessarie.
Una check list per il security assessment
Il security assessment ha l’obiettivo di identificare le vulnerabilità e le falle per poter intervenire con le successive azioni di remediation. Alcuni dei principali fattori che minacciano la sicurezza aziendale sono le vulnerabilità dell’infrastruttura, in particolare della rete e dei dispositivi aziendali a essa collegati, la non corretta configurazione e posizionamento degli apparati di sicurezza. Vista la sempre maggiore presenza di reti wireless andrebbe verificata anche la loro vulnerabilità agli attacchi e il livello dei controlli di accesso previsti.
Di seguito indichiamo una check list con gli aspetti da verificare, un elenco utile per accertare le possibili criticità dell’infrastruttura tecnologica aziendale alla base del security assessment:
- Stato di aggiornamenti e patch per i sistemi operativi e le applicazioni, per evitare rischi anche per vulnerabilità note
- Lo stato di aggiornamento degli antivirus e della loro corretta configurazione
- Password strong, meglio se con un’autenticazione a più fattori
- Ricorso ad accessi da amministratore
- Presenza di segmentazione e segregazione della rete per limitare l’impatto di un’eventuale intrusione
- Sicurezza dei device (fissi e mobili) connessi, con particolare attenzione nel caso sia in atto una policy BYOD
- Presenza di policy adeguate sulle comunicazioni interne e verso l’esterno
- Corretta configurazione della sicurezza a più livelli; se sono presenti al contempo software antivirus, un firewall e un sistema di prevenzione delle intrusioni (IPS) va verificato se sono implementati correttamente
- Presenza di vulnerabilità interne ed esterne, che andrebbero ripetute periodicamente
- Backup dei dati (meglio se crittografati) residente in una locazione sicura, esterna alla sede principale; eseguito regolarmente riduce i rischi in caso di incidente informatico
- Consapevolezza delle problematiche di sicurezza e delle politiche aziendali da parte del personale; è un aspetto essenziale visto che le persone rappresentano l’anello più debole in qualsiasi strategia di sicurezza, come dimostra il successo di attacchi con tecniche note e relativamente poco sofisticate come il phishing
Per un security assessment efficace serve un partner
Realizzare un security assessment completo è fondamentale, ma spesso le organizzazioni non dispongono né delle competenze né delle risorse interne per implementare autonomamente queste misure. Rivolgersi ad un partner come NovaNext, che dispone dell’esperienza, delle conoscenze e degli strumenti tecnologici per supportare le organizzazioni, può fare la differenza.