Come risolvere i tuoi problemi di sicurezza in azienda

Lo scenario globale di incremento degli attacchi informatici ed evoluzione delle minacce richiede verifiche continue nel tempo per valutare quanto si è al sicuro. Uno strumento indispensabile in tal senso è la vulnerability assessment. I controlli hanno natura differente e servono a rilevare, con l’aiuto di un esperto,eventuali falle di sicurezza nel sistema informativo. Quest’approccio permette di investire in strategie ad hoc rispetto alle proprie necessità, senza il rischio di sperperare budget o di ritrovarsi ad attuare interventi inutili. Alla base di tale approccio, c’è la figura del Chief Information Security Officer (CISO), che con una visione da tecnico e da manager può apportare alla cybercurity dell’azienda in cui si trova, a operare il giusto contributo per garantire una vulnerability assessment efficace.

Il ruolo strategico del CISO nel vulnerability assessment

Una tra le prime responsabilità del CISO è la gestione del corpus di policy e regolamenti aziendali che devono essere emessi e rispettati, sfruttando le sue competenze in ambito sia tecnologico che di management. Policy e regolamenti devono essere studiati e vagliati al fine di adattarsi in modo profondo al mondo tecnologico aziendale.

Tra i compiti del CISO rientra anche l’individuazione, protezione ed aggiornamento dei dispositivi in uso in azienda, siano essi dispositivi in uso al personale, che server o strumenti dell’infrastruttura.

Inoltre, il compito del CISO è quello di occuparsi dell' organizzazione di opportuni piani di formazione al personale aziendale che possono risultare necessarie, ad esempio, dopo campagne di phishing simulate, pensati allo scopo di capire, se il personale aziendale è vulnerabile a eventuali tentativi di attacco.

Insomma, il CISO si preoccupa che l’ intera infrastruttura IT, le persone e l’organizzazione, siano gestiti in modo da garantire adeguati livelli di sicurezza, introducendo e controllando in modo puntuale tutti gli strumenti di controllo e reportistica atti ad individuare il buono stato di salute dei sistemi stessi. In quest’ottica, l’attività di controllo,attuata tramite vulnerability assessment, gioca un ruolo importante anche da un punto di vista di accountability: in fase di audit, la capacità di dimostrare il regolare svolgimento delle verifiche è considerata sinonimo di attenzione e buona volontà dell’azienda nel predisporre quanto necessario a garantire la sicurezza. Occorre tuttavia sottolineare l’importanza di non limitare il perimetro delle verifiche alla propria azienda, approfondendo anche la situazione di fornitori e clienti, attraverso strumenti adeguati che prevedono checklist personalizzate e la modalità self-service per i fornitori.

Minacce e vulnerability assessment

Tra le minacce che l’attività di vulnerability assessment permette di valutare, c’è quella tecnologica. Le verifiche, in questo caso, mirano a individuare eventuali configurazioni non corrette di computer o smartphone, oppure a porre rimedio alla mancata installazione dei dovuti aggiornamenti. Basti pensare che i cyber criminali scansionano l’intero internet più volte al giorno alla ricerca di computer vulnerabili da prendere di mira. Sapere che esistono vulnerabilità che un attaccante potrebbe sfruttare, per violare il sistema aziendale, consente di prevenire eventuali violazioni.

Le verifiche risultano più semplici ed efficaci se eseguite da personale specializzato. Dalle verifiche emergono sempre delle aree di miglioramento, talvolta dovute a problemi gravi la cui risoluzione può richiedere settimane o mesi di lavoro. Il CISO in questo caso si occupa di commissionare i test e di coordinarli, ma soprattutto si preoccupa che tutte le vulnerabilità individuate siano opportunamente indirizzate.

Il fattore umano

Tuttavia, riconfigurare un sistema è molto meno complicato che intervenire sulle persone. Il fattore umano è ancora una delle principali cause di intrusione da parte dei cyber criminali. La maggior parte delle intrusioni avviene tramite e-mail malevoli o con banner accattivanti che inducono le persone a cliccare, scatenando gli attacchi. Occorre quindi adottare un comportamento attento da parte del personale aziendale. Le campagne di phishing simulato servono a fotografare il grado di consapevolezza dei rischi da parte dei dipendenti e migliorarne i comportamenti.

A questo proposito, una volta condotto il vulnerability assessment, il CISO potrà avviare campagne di awareness, cioè di consapevolezza dei rischi e delle vulnerabilità, intervenendo anche sui processi. Per esempio, informando i lavoratori dell’esistenza della “CEO fraud”, una tipologia di truffa che consiste nell’invio di una mail fraudolenta che sembra provenire dal proprio superiore. Se chi la riceve non nota niente di strano può assecondare la richiesta di un bonifico, procurando un danno significativo all’azienda. Per ovviare al problema, si può intervenire prevedendo dei processi di autorizzazione tali per cui la responsabilità di disporre e approvare un bonifico sia assegnata a persone diverse, secondo il principio della “segregation of duties”.