Cybersicurezza – cosa dicono i dati?

I dati sulla Cybersecurity ci dicono che nel 2020 c’è stato un grave incremento degli attacchi hacker, soprattutto nel settore sanitario. L’incremento riscontrato tra il 2019 e il 2020 è del +12%. Nel 56% dei casi gli attacchi hanno avuto conseguenze gravi per chi li subisce, nel 44% l’impatto è stato di media gravità. Nel 42% dei casi il cyber-attack avviene tramite malware, con il ransomware che spicca tra le metodologie più utilizzate. (fonte – rapporto clusit 2021).

Appare evidente che la minaccia degli attacchi è reale e che intervenire solo quando il danno è fatto può avere conseguenze molto gravi sia dal punto di vista economico sia dal punto di vista della reputazione.

E’ quindi necessario ragionare con un’ottica preventiva di risk management, individuando i punti di debolezza di un sistema per intervenire prima che vengano sfruttai per fini criminali.

Il Rating di Cybersecurity

Il rating di cybersecurity è un sistema professionale che consente di valutare il livello di sicurezza informatica di un’azienda.

Il risultato è un valore da 1 a 100, dove 1 è il livello minimo 100 quello massimo.

L’analisi, oltre ad attribuire una valutazione, individua le maggiori aree rischio in cui è necessario intervenire.

La sicurezza passa per la consapevolezza

Per valutare il Rating della cibersicurezza aziendale, è necessario affidarsi ad un framework di validità internazionale.

Il “Cybersecurity Framework del NIST” considera cinque funzioni principali:

  • IDENTIFY
  • PROTECT
  • DETECT
  • RESPOND
  • RECOVER

Partendo da questo framework, Mondo27001 ha sviluppato un framework trasversale tra la Cybersecurity e la Data Protection.

Questo strumento, denominato AUDIT NIST 1-100, permette di effettuare più di 130 controlli di carattere tecnico ed organizzativo, in linea con i controlli della ISO 27001, i controlli delle misure minime dell’AGID ed i controlli in ambito GDPR.

Al termine delle attività viene fornito, tramite un algoritmo, un valore numerico compreso da 1 a 100 che determina il valore della Cybersecurity aziendale, che vede in 60 punti su 100 il minimo per indicare una Cybersecurity sufficiente.

Un valore numerico, unico, oggettivo, facilmente interpretabile da chiunque, indipendentemente dalla conoscenza informatica di cui si è in possesso.

I vantaggi di AUDIT NIST 1-10o

I vantaggi dell’ approccio basato sull’ AUDIT NIST 1-100 sono:

  1. Approccio scientifico;
  2. Valutazione sia delle misure tecniche informatiche che di quelle organizzative;
  3. Quantificazione numerica oggettiva ripetibile nel tempo;
  4. Risultati facilmente comprensibili da chi non conosce approfonditamente il mondo IT;
  5. Individuazione dei punti critici su cui concentrarsi, definendo una road map di intervento in base alle priorità;
  6. Possibilità di definire degli obiettivi su cui misurare il settore IT nel tempo;
  7. Possibilità di effettuare una valutazione costi/benefici delle soluzioni tecnologiche proposte dai vari vendor;
  8. Percorso prodromico alla certificazione ISO 27001;
  9. Strumento di accountability in linea con il GDPR;
  10. L’output può essere utilizzato come input per il CDA, per l’OdV ex 231 e per il D.P.O. ex GDPR

Maggiori informazioni su “Audit NIST 1-100”?

Scarica la presentazione dedicata

    Iscriviti alla newsletter di mondo27001 e ricevi subito la presentazione completa dell'"Audit NIST 1-100"