
I vantaggi del Rating di Cybersecurity per il CDA
22 Febbraio 2022
Il Rating di Cybersecurity svolto da GL Consulting è una misurazione molto utile per un CDA o per l’amministratore di una società o di un ente che vuole comprendere lo stato della sua organizzazione.
La misurazione, infatti, si basa su alcuni aspetti fondamentali:
- Indipendenza. GL Consulting è un’azienda di consulenza che non vende prodotti hardware o software per la sicurezza informatica. Non ha, quindi, conflitti di interesse nell’indicare ai propri clienti la necessità di implementare soluzioni tecnologiche o operative.
- Esperienza. GL Consulting opera con personale proprio, Lead auditor per la certificazione ISO 27001, dotato delle adeguate competenze nel settore della sicurezza IT sotto il profilo tecnico ed organizzativo nonché legislativo in ambito privacy.
- Scientificità. Il rating di cybersecurity adotta un approccio scientifico che permette la valutazione sia delle misure tecniche informatiche che di quelle organizzative.
- Riproducibilità. La misurazione è basata su un algoritmo oggettivo, riproducibile nel tempo e a distanza di tempo. Il framework, infatti, confronta i vari controlli con le best practices di sicurezza informatica, risultando sempre attuale ed oggettivamente misurabile.
- Periodicità. E’ possibile effettuare il rating di cybersecurity con una periodicità definita (ogni 6 mesi o una volta all’anno) per tenere sotto controllo nel tempo l’organizzazione, valutandone gli scostamenti nel tempo.
Vantaggi del rating di cybersecurity per la governace
Partendo da questi principi, possiamo analizzare i vantaggi che il Rating di Cybersecurity offre alla governance di un’azienda o di un ente:
- Il framework utilizzato da GL Consulting è basato sul Cybersecurity Framework del NIST, un punto di riferimento mondiale in ambito cybersecurity, a sua volta adattato alla situazione italiana con il Cybersecurity Framework Nazionale ed ulteriormente da GL Consulting rielaborato per tener conto del GDPR, della certificazione ISO 27001 e delle misure AgID per la Pubblica Amministrazione.
- Misurabilità. Il rating di cybersecurity proposto da GL Consulting analizza un totale di 150 controlli, individuando 5 livelli di implementazione degli stessi per un totale di 750 possibili situazioni.
- Semplicità. Il risultato finale della misurazione offerta dal rating di cybersecurity comprende una relazione di alto livello che risulta facilmente comprensibile da chiunque, senza la necessità di alcuna preparazione informatica. Il rating di cybersecurity, infatti, fornisce un valore complessivo da 1 a 100 (dove 60 è la sufficienza).
- Il rating di cybersecurity propone anche dei valori finali riferiti alle 5 funzioni principali del framework (IDENTIFY – PROTECT – DETECT -RESPOND – RECOVER) permettendo all’organizzazione di comprendere immediatamente il suo posizionamento in questi 5 ambiti.
- Analiticità. Il rating di cybersecurity genera come output anche una dettagliata checklist riferita ai 150 controlli che indica, per ogni controllo, la situazione trovata nell’organizzazione ed il relativo voto assegnato al controllo. Tale relazione, più tecnica, risulta uno strumento operativo per il settore IT dell’organizzazione ed uno strumento di controllo nelle mani del CDA o dell’amministratore che vuole approfondire le tematiche sottostanti.
Ulteriori vantaggi
Il rating di cybersecurity risulta utile per un CDA o per un amministratore di un’azienda o di un ente anche per i seguenti motivi:
- Definire una road map di investimenti. Lavorando con risorse limitate, non potendo fare subito tutto, la checklist fornisce una serie di punti migliorabili. Il CDA o l’amministratore potrà, quindi, decidere di intervenire su quei controlli che possono essere implementati con minor costo e, a parità di costi, su quei controlli che determinano un miglioramento di valore superiore. Questo permette di definire un percorso di investimenti che massimizzi il punteggio coerentemente con le possibilità di investimento dell’organizzazione.
- Comprendere meglio le esigenze del settore IT (interno o esterno). Il framework evidenzia i controlli più scoperti e permette al CDA o all’amministratore di affidare dei compiti ben precisi al suo settore IT, comprendendo le sue richieste e misurandone nel tempo i risultati.
- Valorizzare le spese nel proprio bilancio. La valutazione periodica, a distanza di tempo, permette un’accurata analisi del vantaggio ottenuto attraverso la spesa sostenuta in ambito IT. Ciò permette di creare un centro di costo legato alla cybersecurity aziendale, andando ad indicare agli stakeholders (anche nella relazione accompagnatoria al bilancio) il vantaggio in termini di punteggio di cybersecurity a fronte delle spese sostenute.
- Percorso prodromico alla certificazione. I controlli del rating di cybersecurity hanno uno stretto collegamento con i controlli dell’Annex A della ISO 27001 per la gestione della sicurezza delle informazioni. Pertanto, la valutazione del rating mi permette di comprendere quanto lontano l’organizzazione si trovi da una possibile certificazione e seguire quanto previsto dai controlli aiuta a definire un percorso che porta alla certificazione stessa.
- Strumento per la valutazione dei fornitori. Quando un’organizzazione affida i suoi servizi all’esterno (es. sistemi in cloud), il rating di cybersecurity risulta lo strumento ideale per valutare i propri fornitori. Lo strumento è ideale anche per svolgere l’audit del Responsabile del Trattamento, previsto all’art. 28, par 3, lett. h) del GDPR.
- Gianluca Lombardi -