Cyber Security Assessment
Valutare il grado di protezione del patrimonio aziendale
Le pratiche di cyber security assessment identificano attraverso percorsi specifici i punti potenzialmente nevralgici di un’organizzazione e il loro grado di sicurezza informatica, per determinare l’indice di rischio dei diversi elementi del processo in base a precisi parametri pre-concordati e per valutare il grado di protezione rispetto alle vulnerabilità intrinseche di tutte le altre componenti interessate ai processi esaminati.
In altri termini l’assessment è una valutazione di conformità rispetto a criteri quali: requisiti di cogenza, norme volontarie, schemi tecnici e vulnerabilità intrinseche di sistemi, persone e/o processi. Il termine security, invece, assume in questo caso il significato di “protezione” di beni o di servizi da qualcosa di non desiderato che vada a danneggiare il possessore/erogatore e/o le altre parti interessate.
Le analisi dell’infrastruttura Informatica, delle procedure e dei processi interni ed esterni, risultano indispensabili poiché forniscono una ‘fotografia super-partes’ sulla sicurezza della rete ICT, della produzione e dei relativi processi e procedure. Nel caso di riscontrate criticità da qui potranno essere impostate tutte le misure necessarie per mettere in sicurezza l’ambiente e renderlo conforme alle normative vigenti, sia per i regolamenti delle norme ISO 27001 che del recente GDPR sulla tutela dei dati dei soggetti EU o di altre certificazioni specifiche.
In altri termini l’assessment è una valutazione di conformità rispetto a criteri quali: requisiti di cogenza, norme volontarie, schemi tecnici e vulnerabilità intrinseche di sistemi, persone e/o processi. Il termine security, invece, assume in questo caso il significato di “protezione” di beni o di servizi da qualcosa di non desiderato che vada a danneggiare il possessore/erogatore e/o le altre parti interessate.
Le analisi dell’infrastruttura Informatica, delle procedure e dei processi interni ed esterni, risultano indispensabili poiché forniscono una ‘fotografia super-partes’ sulla sicurezza della rete ICT, della produzione e dei relativi processi e procedure. Nel caso di riscontrate criticità da qui potranno essere impostate tutte le misure necessarie per mettere in sicurezza l’ambiente e renderlo conforme alle normative vigenti, sia per i regolamenti delle norme ISO 27001 che del recente GDPR sulla tutela dei dati dei soggetti EU o di altre certificazioni specifiche.
IN COSA CONSISTE?
Nella pratica il processo prevede: la descrizione dello stato di fatto della struttura ICT; l’analisi della struttura informatica aziendale rispetto agli obiettivi da raggiungere; la valutazione del rischio dei sistemi ICT e dei servizi; la valutazione delle pratiche aziendali, delle procedure e delle istruzioni rilasciate; la valutazione degli interventi da effettuare per aumentare il livello di resilienza del sistema; la redazione finale di un piano d’intervento per risolvere le criticità e adeguare i sistemi alle norme vigenti.
In caso di adeguamento a norme o standard qualitativi, l’assessment viene eseguito applicando le linee guida della norma (ad es. UNI EN ISO #), che descrivono dettagliatamente come condurre un audit inteso come “processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle oggettivamente al fine di determinare il grado di conformità ai criteri di audit stabiliti”. Nella pratica gli “assessment” vengono condotti mediante interviste a campione con i responsabili delle varie funzioni in esame ed analizzando la documentazione resa disponibile da parte dell’organizzazione.
In caso di adeguamento a norme o standard qualitativi, l’assessment viene eseguito applicando le linee guida della norma (ad es. UNI EN ISO #), che descrivono dettagliatamente come condurre un audit inteso come “processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle oggettivamente al fine di determinare il grado di conformità ai criteri di audit stabiliti”. Nella pratica gli “assessment” vengono condotti mediante interviste a campione con i responsabili delle varie funzioni in esame ed analizzando la documentazione resa disponibile da parte dell’organizzazione.
SECURITY ASSESSMENT
Il security assessment è un approccio ragionato, consapevole che deve indagare, non limitatamente al solo aspetto tecnologico (perché le attività di penetration test e vulnerability assessment, non sono da sole sufficienti a garantire la copertura di tutto il sistema), ma deve essere esteso all’interno della propria organizzazione anche su processi e risorse.
Nella pratica di un security assessment esistono dei ‘percorsi imprescindibili’ che dovrebbero sempre includere: i processi con i quali sono definite le modalità di governo e controllo del bene/servizio; gli asset tecnologici che consentono l’automazione e distribuzione di tale bene/servizio; le risorse umane che soprassiedono e fruiscono del bene/servizio interagendo con esso e modificandone le proprietà/comportamento.
Da questi elementi gli analisti iniziano a scomporre il contesto di riferimento sino ad arrivare alle componenti elementari del bene/servizio, alle sue vulnerabilità in riferimento al processo esaminato ed alle eventuali contromisure di mitigazione presenti.
Nella pratica di un security assessment esistono dei ‘percorsi imprescindibili’ che dovrebbero sempre includere: i processi con i quali sono definite le modalità di governo e controllo del bene/servizio; gli asset tecnologici che consentono l’automazione e distribuzione di tale bene/servizio; le risorse umane che soprassiedono e fruiscono del bene/servizio interagendo con esso e modificandone le proprietà/comportamento.
Da questi elementi gli analisti iniziano a scomporre il contesto di riferimento sino ad arrivare alle componenti elementari del bene/servizio, alle sue vulnerabilità in riferimento al processo esaminato ed alle eventuali contromisure di mitigazione presenti.
I professionisti BlendIT si occupano da oltre 25 anni di: audit, analisi e consulenza nelle materie relative alla Sicurezza Informatica, Privacy e Data Protection, Digital Forensics, Computer and Networks Forensics e consulenza di Direzione in merito alla gestione e protezione delle informazioni.
- Descrizione dello stato di fatto della struttura ICT
- Valutazione delle procedure
- L’analisi della struttura informatica aziendale
- Valutazione del rischio dei sistemi ICT