In un’era contraddistinta dalla moltiplicazione delle minacce alla continuità del business e alla reputazione dei brand, un’accurata gestione e mitigazione dei rischi è un processo continuativo che può raggiungere livelli di complessità molto elevati. Il security assessment è un elemento chiave di questo percorso.
Security Assessment e valutazione della protezione
Il security assessment è il processo con cui le imprese identificano la propria postura di sicurezza e valutano il grado di resilienza rispetto agli attacchi informatici, tenendo conto di tutte le fonti di rischio e le minacce, non soltanto cyber.
Come ogni valutazione, anche il security assessment esprime di fatto un giudizio di conformità rispetto a svariati criteri che derivano dalla normativa cui l’azienda è soggetta, dalle certificazioni in essere e dalle policy aziendali interne. Posto che il security assessment va attuato da tutte le organizzazioni, la sua estensione e complessità dipendono dunque delle dimensioni aziendali, dal modello organizzativo e di business, dal settore in cui opera e dalla complessità dell’architettura dei sistemi IT, laddove si concentrano svariate fonti di rischio.
L’obiettivo è l’unico elemento che accomuna tutti i security assessment, ed è la riduzione delle vulnerabilità e della superficie d’attacco.
Security o Vulnerability Assessment?
Il security assessment è fondamentale nell’era della trasformazione digitale. La spinta sul time to market sta abbattendo i tempi di validazione di qualsiasi sistema, applicazione, processo o integrazione. Da un lato si osserva la moltiplicazione delle vulnerabilità, mentre dall'altro il valore dei dati aumenta esponenzialmente, stimolando approcci sempre più sofisticati e creativi da parte dei Threat Actors. In ambito IT, inoltre, la crescente complessità di architetture ibride e distribuite rende sempre più complesso individuare eventuali limitazioni, falle e vulnerabilità che potrebbero causare danni tangibili e sistemici.
Nello scenario appena descritto, c’è il rischio di confondere il security assessment con il vulnerability assessment. La differenza principale è l’approccio: il security assessment consiste nella valutazione di tutte le fonti di rischio e nell’identificazione dei requisiti di sicurezza, mentre il vulnerability assessment, così come i penetration test, sono attività costitutive della strategia di sicurezza cyber. Il vulnerability assessment, che si avvale di appositi software e piattaforme, indaga i sistemi IT alla ricerca di vulnerabilità note, ma non copre tutte le dimensioni del security assessment, che va oltre l’aspetto tecnologico e si concentra sui processi e tutto ciò che li condiziona (dalla resilienza del data center agli errori umani).
A titolo d’esempio, in diversi settori di business (manifattura, in primis), molte aziende sono consapevoli delle proprie vulnerabilità, ma per esigenze diverse (es, non interrompere un processo critico) non possono mitigarle con semplicità e rapidità. Qui emerge il valore aggiunto del security assessment, che non si limita a fornire informazioni di cui l’azienda è già consapevole, ma identifica anche i requisiti di security propedeutici alla compensazione delle vulnerabilità mediante policy, procedure, linee guida e piattaforme ad hoc.
Come eseguire un security assessment
Come detto, il security assessment è una procedura complessa. Va affrontata con un approccio sistemico e richiede capacità di analisi dell’intero panorama di fattori che possono condizionare la sicurezza di un processo o di un servizio erogato dall’azienda.
Semplificando, si può partire proprio dal singolo servizio o dal processo ed eseguire un’attività di mappatura per capire quali fattori, risorse, sistemi e apparati interagiscano durante l’esecuzione. In questo modo, è possibile scoprire dove si annidino le vulnerabilità, metterle in relazione alle minacce e ipotizzare gli impatti, così da definire priorità d’azione. Tutto ciò deve poi condurre a un reporting dettagliato che dichiari le azioni necessarie per la mitigazione del rischio e la correzione delle vulnerabilità rilevate. Azioni che, come detto, non necessariamente richiedono solo interventi su sistemi, piattaforme e device, ma anche sui processi, sui comportamenti e l’awareness dei dipendenti.
Per quanto concerne gli step della procedura, se ne possono ipotizzare cinque:
- pianificazione, ovvero definizione degli obiettivi;
- acquisizione delle informazioni circa sistemi, processi e tutti i componenti del sistema informativo;
- studio delle vulnerabilità e delle minacce;
- esame dei controlli di sicurezza esistenti;
- reporting e raccomandazioni.
Gestire un percorso di security assessment richiede estrema competenza e capacità di analisi. Le aziende, che devono bilanciare la conformità normativa con il costante aumento delle minacce, possono affidarsi a partner specializzati, che nell’era della digital disruption sappiano coniugare competenze tecniche e di processo, tool dedicati e una forte capacità analitica. Il beneficio non si limita però alla competenza e all’adozione di metodi e framework di riconosciuta efficacia (come il NIST Cybersecurity Framework, ISO 27001 o OWASP per la sicurezza delle applicazioni web), ma anche nello sviluppo di best practice proprie e nell’aggiornamento continuo su tematiche estremamente fluide e dinamiche.
