cosa-e-rating-cybersecurity

Cos’è il rating di cybersecurity

15 Febbraio 2022

Cybersecurity: alcuni dati

Le più grandi società di ricerca parlano chiaro rispetto agli avvenimenti di cybersecurity occorsi nel periodo pandemico. Tra queste vi è sicuramente Kaspersky che rende noto il susseguirsi di attacchi spyware ai danni del mondo industriale. La nota società russa aggiunge che si tratterebbe di attacchi lampo e con obiettivi ben definiti.

Anche il rapporto Clusit presenta un’analisi dai risultati allarmanti. Sulla base del lavoro condotto dal Security Operation Center (SOC) di Fastweb è stato registrato un aumento del 180% di eventi malevoli e del 350% di attività ransomware con richiesta di riscatto, rispetto al medesimo periodo di riferimento del 2020.

Le conseguenze causate da questa tipologia di attacchi, per la loro aggressività, riescono a raggiungere sempre più scalpore tanto che le testate giornalistiche presentano, oramai quotidianamente, notizie di eventi malevoli.

Le riflessioni da trarre sono molteplici. Il mondo si trova ad affrontare nuove sfide tecnologiche, soprattutto nell’era post pandemica, tanto che le società si trovano in difficoltà nella predisposizione di un’infrastruttura informatica in grado di proteggersi da qualsiasi attacco.

Il quadro appare complesso, tuttavia, esistono degli ottimi strumenti per monitorare e prevenire al meglio le future mosse dei cyber criminali.

Il rating di cybersecurity: strumento di analisi della sicurezza delle informazioni aziendali

Il Framework del NIST costituisce un’ottima base di partenza per ottenere un rating di cybersecurity, ovverosia un punteggio numerico sul reale livello di sicurezza presente nella realtà di riferimento. Se si vuole avere non solo coscienza ma consapevolezza dello “status quo” è un ottimo mezzo in grado di far convergere controlli relativi alla ISO 27001, al Regolamento Europeo 2016/679, includendo le linee guida AgID.

In quest’ottica lo strumento di rating cybersecurity consente, in base al punteggio assegnato, di raggiungere un output chiaro e definito tale da migliorare la comunicazione tra reparto IT e dirigenza, velocizzando, di conseguenza, i processi di approvazione degli investimenti, tenuto conto delle carenze registrate nonché delle migliorie da apportare.

La bontà di detto strumento si ravvisa anche in relazione al ciclo di deaming, difatti, pur nella semplicità di risultato, è possibile fruire di un’analisi dettagliata, di facile lettura ed utilizzo, anche per i non addetti ai lavori.

Obiettivi del rating cybersecurity

Il rating di cybersecurity mira al raggiungimento di un livello di sicurezza in grado di rispondere ai principi di riservatezza, integrità, disponibilità (riassunti con l’acronimo RID) e resilienza.

Andiamoli a vedere…

  • La riservatezza (confidentiality) si traduce nella protezione delle informazioni da accessi non autorizzati o dalla divulgazione non autorizzata.
  • L’integrità (Integrity) fa si che le informazioni vengano protette da modifiche non autorizzate
  • La disponibilità consiste nella possibilità, per i soggetti autorizzati al trattamento, di accedere alle risorse nei tempi e modi prefissati.
  • Oltre a questi tre obiettivi, presenti normalmente nei framework di sicurezza informatica, il GDPR ha aggiunto il concetto di resilienza. Si legge, difatti, all’art. 32, comma b), del GDPR: “il Titolare deve assicurare la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.

Per resilienza si intende la capacità dei sistemi informatici dell’organizzazione di resistere ad eventi avversi, anche particolarmente gravi, continuando ad erogare i servizi previsti, magari con minori performance, senza arrivare al completo stallo. Come dicevamo poc’anzi, occorre offrire all’azienda uno strumento operativo ed alla direzione uno strumento di valutazione oggettiva.

Il Framework NIST

Il Framework del NIST risulta essere un punto di riferimento nell’ambito della cybersecurity.

Lo schema identifica 5 principali funzioni. Per “funzioni” si intendono attività di alto livello che aiutano l’organizzazione a prendere contezza dei rischi che corrono e a definire una serie di attività che vanno svolte per affrontarli. Ogni funzione, a sua volta è divisa in “categorie”. Ogni categoria è divisa in più “subcategorie”. Alcune di queste subcategorie sono state ulteriormente dettagliate al fine di entrare nel dettaglio delle misure di sicurezza dell’azienda.

Le 5 funzioni previste dal Framework NIST sono:

IDENTIFY

Permette all’organizzazione di comprendere come gestire i rischi legati ai sistemi, alle persone, agli asset, ai dati, alle capacità dell’organizzazione stessa. Questa funzione comprende le categorie di Asset Management e Risk Assessment.

PROTECT

Focalizza l’organizzazione allo sviluppo ed implementazione di misure di sicurezza adeguate a proteggere i servizi in base alla loro criticità. Questa funzione ha il compito di contenere l’impatto di potenziali eventi di cybersecurity. Include le seguenti categorie:

    • Gestione delle identità e controllo degli accessi (Identity Management and Access Control);
    • Sicurezza dei dati – Misure tecniche (Data Security);
    • Processi e procedure per la protezione delle informazioni – Misure organizzative (Information Protection Processes and Procedures);
    • Manutenzione (Maintenance)
    • Tecnologie di protezione (Protective Technology).

DETECT

Spinge l’organizzazione a sviluppare ed implementare appropriate soluzioni per identificare qualsiasi evento legato all’ambito della cybersecurity. Include le seguenti categorie:

    • Anomalie ed eventi (Anomalies and Events);
    • Monitoraggi continui di sicurezza (Security Continuous Monitoring);
    • Processi di identificazione (Detection Processes).

RESPOND

Porta l’organizzazione all’elaborazione ed implementazione di piani per rispondere agli incidenti di cybersecurity che vengono individuati. Lo scopo è quello di contenere il più possibile il danno generato dall’incidente. Include le seguenti categorie:

    • Piano di risposta (Response Planning);
    • Piano di Comunicazione (Communications);
    • Analisi dell’incidente (Analysis);
    • Mitigazione del danno (Mitigation);
    • Miglioramento (Improvements).

RECOVER

Determina lo sviluppo e realizzazione delle attività per aumentare la resilienza dei sistemi nonché la capacità di ripristinarli in tempi certi a seguito di un incidente di cybersecurity. Include le seguenti categorie:

    • Piano di Recupero (Recovery Planning);
    • Miglioramento (Improvements);
    • Comunicazione (Communications).

L’Appendix A del Framework entra nel dettaglio delle varie funzioni, categorie e subcategorie rimandando alle principali fonti di riferimento quali ISA, ISO, NIST, COBIT, SIS CNC …

Come è evidente, trattasi di un framework di dettaglio, prezioso anche per identificare il rischio residuo ossia il rischio che permane dopo l’applicazione delle misure di prevenzione e protezione, essendo queste ultime considerate azioni di riduzione del rischio iniziale.

Del resto, non esistono strumenti che conducono al rischio zero, tuttavia, con l’adozione del rating di cybersecurity si è certi di avere il controllo della propria infrastruttura. Il rischio residuo, dunque, si attesterà su livelli più bassi e sarà possibile gestirlo attivando delle polizze assicurative predisposte ad hoc.

- Mary Manna -

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci