cybersecurity-rating-valutazione

Rating di cybersecurity: come si calcola

3 Maggio 2022

Il mondo sta cambiando, si sta evolvendo, il progresso tecnologico è sempre dietro l’angolo e con esso anche tutti i rischi derivanti da una cattiva gestione della privacy e delle infrastrutture informatiche. Le minacce cyber e la continua espansione del confine di attacco rendono sempre più difficile la gestione e l’interpretazione del rischio informatico.

Inoltre, negli ultimi anni il numero di utenti e dispositivi connessi in rete è aumentato in maniera esponenziale, esponendo una quantità di dati sensibili o strettamente riservati, ai cybercriminali.

Partendo da questo scenario, si può comprendere quanto la cybersecurity sia importante e come deve essere implementata nelle aziende per scongiurare eventuali conseguenze inerenti ai dati e la reputazione dell’organizzazione.

In questo contesto così evoluto e tecnologico, nel 2015 è stato presentato il Framework Nazionale per la cybersecurity, ispirato al cybersecurity Framework del NIST[1], che fornisce alle aziende uno strumento professionale per gestire, valutare, organizzare e implementare processi di cybersecurity.

Mondo 27001 offre una valutazione fondata sul framework del NIST, che prende il nome di Rating di Cybersecurity, un assessment trasversale tra cybersecurity e Data Protection, basato su diversi controlli inerenti: GDPR (Regolamento Europeo 679/2016 relativo alla protezione dei dati personali), certificazione ISO 27001 (Sistemi di Gestione per la Sicurezza delle Informazioni) e linee guida Agid per la Pubblica Amministrazione.

Come si calcola

Prima di vedere come avviene la valutazione dei diversi controlli attraverso il framework, è importante capire la struttura dello stesso. Si basa su 150 controlli di carattere organizzativo/tecnico, contenuti in una checklist, intervenendo anche sulla formazione del personale.

Il framework si fonda su una gerarchia:

  • Le funzioni principali sono 5: Identify, Protect, Detect, Respond e Recover[2].
  • Si individuano in linea generale processi, attività e tecnologie per gestire la singola funzione. Ad esempio, per l’Asset Management (ID.AM): i dati, il personale, i dispositivi e i sistemi e le facilities necessari all’organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell’organizzazione).
  • Hanno l’obiettivo di valutare in modo esaustivo tutte le esigenze dell’organizzazione, tenendo conto delle caratteristiche della stessa. In questo caso non tutte le sottocategorie possono essere applicate (es. ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione (Router, Firewall, Switch, Access Point Wi-fi, Server, Pc desktop, Notebook, Tablet, Smartphone, stampanti …).

Per tutte le sottocategorie è possibile indicare eventuali dettagli, riferimenti normativi (GDPR, ISO, ecc, il livello di applicazione di un determinato processo con collegamento alla sezione “punti”, le modalità correnti per l’adempimento di un controllo ed eventuali miglioramenti/consigli da parte del consulente.

Ogni controllo è soggetto a valutazione, e vi sono 5 livelli per un totale di 750 possibili scenari diversi. Da questo controllo e attraverso il prodotto delle diverse valutazioni si ottiene come risultato un valore da 1 a 100 dove 60 risulta essere la sufficienza.

Il controllo delle diverse funzioni viene svolto come una vera e propria intervista tra il consulente e l’incaricato.

Le funzioni del Framework

Per poter comprendere meglio come avviene questa valutazione/intervista prendiamo come esempio una funzione con relativa categoria e sottocategoria:

  • INDENTIFY:

Asset Management (ID.AM): I dati, il personale, i dispositivi e i sistemi e le facilities necessari all’organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell’organizzazione.

ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell’organizzazione (Router, Firewall, Switch, Access Point Wi-fi, Server, Pc desktop, Notebook, Tablet, Smartphone, stampanti).

Questa funzione richiama il Regolamento Europeo 679/2016 con particolare riguardo al principio di Accountability (art. 5.2 GDPR) e all’ambito informatico.

In questo caso si chiede all’incaricato se e come gestisce tali sistemi e apparecchiature e in base alla sua risposta si indica il livello di applicazione che può specificarsi in un range 0-5 e con la presenza di punti 0-100:

0 – Non applicato, non definito o non messo in pratica, punti 0;

1 – Applicato parzialmente (manualmente e/o con supporti cartacei), punti 25;

2 – Applicato parzialmente con l’ausilio di strumenti e/o supporti digitali, punti 50;

3 – Applicato completamente con presenza di procedure ad hoc, punti 75;

4 – Applicato completamente in modo automatizzato, oggetto di verifica periodica e documentato con report, punti 100;

5 – Non applicabile al contesto di riferimento (spiegare nelle note la motivazione).

Inoltre, è possibile indicare come si adempie a tale controllo. Ad esempio, tramite la presenza di un software di asset management che censisce in modo automatico i vari asset aziendali oppure con la tenuta di un elenco di pc/notebook, presenti in un documento excel ed infine è data la possibilità di indicare anche quali miglioramenti effettuare per poter arrivare al punteggio massimo di 100.

Al termine dell’assessment, si procede con il calcolo del punteggio finale, che si ottiene da una media di tutti i controlli. Inoltre, per avere una visione più approfondita del livello di ciascuna funzione, si offre una media del punteggio ottenuto in ciascuna. Questo è utile per avere contezza della propria situazione cyber, poiché un’azienda potrebbe aver ottenuto una media di 80 in una funzione ma una media di 30 punti in un’altra. In questo modo l’azienda potrà avere la possibilità di agire immediatamente sui processi e procedure che hanno maggiori debolezze.

Per rendere maggiormente comprensibili all’azienda il loro livello di sicurezza informatica, il totale punteggio verrà visionato tramite un grafico. Se il risultato è inferiore a 60 significa che l’organizzazione deve al più presto implementare nuove procedure e processi per ridurre i rischi informatici; se il risultato è 60 significa che l’azienda risulta essere sufficiente; dal 60 in poi l’azienda è sulla buona strada per arrivare al massimo ovvero 100. Ovviamente, il punteggio massimo è prerogativa di tutte le organizzazioni.

 

ragnatela-rating-cyber

 

Conclusioni

Il Rating di Cybersecurity è uno strumento utile all’azienda per confermare il suo continuo percorso di progresso in ambito di cybersecurity. Si consiglia, difatti, all’organizzazione di ripetere tale valutazione almeno ogni 6 o 12 mesi, in base alle caratteristiche e alle esigenze aziendali.

Tale framework è importante perché offre diversi vantaggi:

  • Valutazione oggettiva e matematica;
  • Mappatura generale dei sistemi informatici e dei relativi responsabili;
  • Intervento sul personale;
  • Valutazione ripetibile nel tempo;
  • Rating facilmente comprensibile;
  • Strumento per rispondere correttamente al principio di Accountability del GDPR.

Il Rating di Cybersecurity permette all’azienda di avere una visione generale della propria realtà indirizzando l’attenzione su diversi elementi – infrastrutture, risorse, rapporti con i fornitori, formazione del personale – consentendo alla stessa di migliorarsi investendo nelle aree a maggior rischio di minacce cyber.

 

 

[1] National Institute of Standards and Technology: agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Si inserisce nel Dipartimento del Commercio e il suo compito è la promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio. https://it.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

[2] Il Rating di Cybersecurity – Adnkronos

- Anna Pia Morelli -

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci