
Il rating di cybersecurity applicato a diverse realtà
18 Ottobre 2022
Del Rating di Cybersecurity ideato da Mondo27001 abbiamo già parlato in precedenza in vari articoli; giusto per citarne uno che spieghi il concetto di base potete andare a leggere
Riassumendo, si tratta di un assessment volontario, basato sul Framework del National Institute of Standards and Technology (NIST) per lasicurezza informatica delle organizzazioni, che valuta le criticità e i rischi delle infrastrutture informatiche aziendali grazie alla compilazione di una checklist in grado di mappare, attraverso i 150 controlli previsti, le 5 categorie principali ( Identificare, Proteggere, Rilevare, Rispondere, Ripristinare ).
Dall’analisi deriva un risultato che dà un punteggio da 1 a 100 per ogni singola funzione, tradotto poi in una media generale che sintetizza in percentuale tutto il lavoro svolto, facilmente comprensibile da chiunque, dove la sufficienza viene raggiunta a partire dai 60 punti.
Da quando il rating è operativo, sono diverse le organizzazioni che hanno scelto di effettuarlo con la consulenza di Mondo27001, anche in ottica di certificazione ISO 27001, per toccare con mano e comprendere al meglio la reale situazione interna.
Va da sé che nella maggior parte dei casi l’esito genera sorpresa da parte del direttivo che spesso sopravvaluta la resilienza dei propri sistemi. Convinto di essere pienamente in grado di soddisfare i requisiti minimi di sicurezza, si trova invece di fronte ad un risultato che mette in luce, in modo se vogliamo anche brutale, la cruda verità: la tua azienda ha raggiunto una media di 47,58 punti su 100… forse qualcosa da rivedere c’è.
Che fare dopo un esito di questo tipo, chiudere bottega? Assolutamente no! La consapevolezza è l’unico strumento che incentiva a dare di più e da questo punto bisogna ripartire a testa bassa per riportare l’attenzione ad un livello adeguato. Ricordiamo che è un processo volontario e che può essere ripetuto a intervalli nel tempo, quindi, basta porsi degli obiettivi da rivalutare nello step successivo.
I settori del rating di cybersecurity
I consulenti di Mondo27001 hanno avuto il piacere di affiancare clienti che operano in settori anche molto distanti tra loro, come fondazioni, RSA, fornitori IT, associazioni, industrie … in cui il core business varia dall’assistenza sanitaria con trattamento di dati particolari alla fornitura di sistemi in cloud, ma il focus è sempre la gestione in sicurezza dei dati e delle informazioni.
Delle varie esperienze possiamo riportare alcuni esempi tra quelli più significativi:
Azienda leader nel settore automotive
Azienda con 15 stabilimenti distribuiti sul territorio nazionale e fatturato da centinaia di milioni di euro. Il loro obiettivo era constava nel raggiungimento dei requisiti per porsi in posizione privilegiata all’interno della supply chain, con fine ultimo la certificazione ISO 27001.
Inizia le attività di assessment a fine 2020 con un risultato disastroso, poco più di 28 punti percentuali con una forbice nelle singole funzioni che va dai 6 ai 40 punti. Dallo sconcerto iniziale, la direzione intraprende un serio percorso che coinvolge tutti i reparti e si prefigge di raggiungere un miglioramento significativo nell’arco di sei mesi.
Ad un secondo passaggio effettuato nel giugno del 2021 la situazione che si è andata a riscontrare era di una media generale di oltre 59 punti (più che raddoppiati) con un range per categoria tra i 17 e i 68 punti percentuali.
Ancora sotto la sufficienza, seppur di poco, non contenti e galvanizzati dall’ottimo risultato decidono di proseguire nel percorso di adeguamento continuo e si presentano al terzo appuntamento con una situazione di tutto rispetto: 71 punti abbondanti di media con un picco di 85… niente male se pensiamo che il tutto è stato portato avanti nel giro di un anno in parallelo con le attività quotidiane e senza interferire nei processi produttivi.
Fornitore di infrastrutture IT e cloud
Azienda con assistenza e manutenzione attiva in tutta Italia. Lo scopo del rating di cybersecurity era avere contezza della situazione interna che per business viene traslata al di fuori dell’azienda, in ottica di un servizio in linea con le aspettative del cliente finale.
Al primo riscontro si è evidenziata una condizione di partenza tutto sommato accettabile, 57 punti rimediati grazie alle ottime competenze tecniche penalizzate da una carenza procedurale che ne ha determinato l’insufficienza.
Anche nel loro caso, sistemando quegli aspetti che potevano essere formalizzati meglio, il risultato finale è stato molto soddisfacente portando l’azienda ad un livello di consapevolezza elevato.
Associazione di categoria nel settore agricolo
Associazione che opera a livello regionale: in questo caso la sensibilità verso l’argomento è dovuta alla mole di dati trattati per conto delle migliaia di soci; si va dalle dichiarazioni tributario-fiscali all’assistenza sindacale, fino alla gestione dei contenziosi legali.
Il direttivo dell’Ente ad un certo punto si è reso conto che le attività svolte non venivano aggiornate da tempo, ma tutto seguiva le impostazioni iniziali considerando solo in minima parte l’evoluzione tecnologica avvenuta negli anni.
Soprattutto a livello delle piccole sedi locali, la sensazione era di non avere sotto controllo la situazione poiché gestita in autonomia e non in modo centralizzato; ci si è quindi rimboccati le maniche per affrontare il percorso di analisi che nei mesi successivi ha portato l’evidenza di alcune criticità sotto l’aspetto dell’infrastruttura informatica.
Da qui, si è voluto approfondire il tema con attività di vulnerability assessment che ha riscontrato sistemi server fuori supporto e non più aggiornabili, assenza di patch di sicurezza e suite di cifratura (CIPHER) obsolete.
Conclusione
In sostanza, non importa quanto è grande la tua azienda o se sei un privato piuttosto che un ente pubblico, a fare la differenza è la voglia di comprendere se e dove ci sono delle possibili lacune da colmare; rimanere statici nella propria comfort zone spesso nuoce a lungo andare e, come si dice, non c’è peggior cieco di chi non vuol vedere.
- Stefano Carlesso -