Come e perché è necessario un piano di audit sulla sicurezza informatica in azienda


Come e perché è necessario un piano di audit sulla sicurezza informatica in azienda

Accanto alla crescente consapevolezza dei rischi associati alla sicurezza informatica, si verifica ancora una notevole incertezza su come affrontare audit di sicurezza secondo le responsabilità assegnate nell’ambito della cyber security, in cui una realistica comprensione dei problemi informatici e dei gap della loro gestione è essenziale per proteggere i servizi pubblici, le organizzazioni private e gli utenti.

In molte organizzazioni, la capacità del personale di trattare con questo problema non ha tenuto il passo con i rischi e con l’ulteriore complessità di condividere i dati con le autorità competenti o in ambito supply chain.

Capire e reagire alla rapida evoluzione del rischio richiede di saper misurare la propria organizzazione e apportare correttivi. Questo comporta un ruolo importante per chi effettua l’audit interno di sicurezza al fine di capire se la direzione stia adottando un approccio appropriato, rispetta regole e standard, se è adeguatamente dotata di risorse e organizzata correttamente per svolgere queste attività e soprattutto se è efficace ed efficiente nel farlo.

Comprendere come affrontare un audit interno di sicurezza può aiutare le organizzazioni nel miglioramento del proprio sistema di protezione al fine di prevenire gli incidenti informatici o ridurre gli impatti del loro accadimento.

Il termine audit è associato ad una verifica di conformità rispetto ad una normativa di riferimento. Può svolgersi in vari ambiti: finanziario, sicurezza sul lavoro, qualità e via dicendo.

Nell’ambio della sicurezza informatica, un audit di sicurezza è una valutazione tecnica sistematica e misurabile del modo in cui viene utilizzata la politica di sicurezza dell’organizzazione per verificare la conformità a una serie di criteri stabiliti.

Effettuare audit periodici consente di controllare l’efficacia ovvero la correttezza dell’insieme di misure definite, implementate e mantenute per garantire la sicurezza informatica; tuttavia, poiché ogni audit punta al miglioramento del sistema di policy, procedure e regole che realizzano la sicurezza informatica, l’efficacia da sola non basta, ma è necessaria anche la verifica di efficienza, ovvero della capacità di effettuare correttamente le attività utilizzando il minor numero di risorse possibili.

Si distinguono due fasi fondamentali: la prima in cui il tema principale è la verifica della conformità del sistema controllando che procedure, linee guida, prescrizioni, regole e requisiti siano state definiti e vengano regolarmente seguiti e quindi che l’azienda effettui davvero ciò che ha dichiarato nei documenti.

In una seconda fase la verifica è la comprensione delle azioni per il miglioramento, sfruttando le occasioni che si sono presentate nel corso delle verifiche.

 

Audit di sicurezza informatica: cosa analizzare

Chi si occupa di effettuare verifiche ispettive ed audit di sicurezza conosce molto bene gli aspetti da cogliere e da osservare per comprendere una situazione di partenza e suggerire elementi evolutivi di ottimizzazione.

L’audit è normalmente legato alle certificazioni, o meglio i sistemi certificativi si basano sulle verifiche di auditing per accertare se il livello di protezione atteso sia effettivo: di fatto l’audit di cyber security rappresenta un meccanismo per verificare il livello della sicurezza informatica.

Naturalmente si può richiedere un audit anche senza possedere certificazioni ed in questo caso si parla più propriamente di gap analysis che permetta di verificare la postura di sicurezza.

La scelta del soggetto a cui commissionare un audit è molto importante: a parte il tecnico singolo che è conosciuto dall’azienda per motivi di passaparola, si dovrebbe scegliere un’azienda capace di effettuare analisi di sicurezza ed audit.

Per quello che riguarda invece le analisi tecnologiche che solitamente accompagnano una gap analysis si consiglia di eseguire inizialmente un’attività standard di Vulnerability Assessment (VA) per poi procedere ad un audit sulle configurazioni (posta e password, sistema accessi), con controlli custom mirati a capire e analizzare la modalità di gestione dei dati, la presenza di eventuale cifratura o gestione in chiaro.

A seconda del tipo di mercato in cui l’azienda opera vi sono poi degli specifici controlli da eseguire: ad esempio, se ci si trova in una manifatturiera è importante controllare la rete e il sistema produttivo, per capire se il disegno di infrastruttura della rete è realmente quello implementato o se ci sono elementi e/o nodi che non dovrebbero esistere o segmenti non realmente implementati.

Può succedere che i sistemi primari e secondari non siano realmente segregati fra loro, il che costituisce un potenziale problema di sicurezza.

In sostanza, l’audit tecnologico verifica operativamente le “verità dichiarate” e permette di individuare pericoli, vulnerabilità e “scoperture” che l’azienda committente potrebbero non conoscere.

È preferibile dotarsi di strumenti a supporto capaci di aiutare l’analisi della rete, fornendo evidenze sulle proprietà e sulle policy applicate perché si possono rendere evidenti le eventuali differenze da quelle configurazioni che ci si sarebbe aspettati di trovare o che avrebbero dovuto essere implementate.

Le analisi di audit e le analisi di gap sono solitamente focalizzate sulla protezione dell’azienda e del core business per non perdere capitale, ma piuttosto di rado si richiedono queste stesse verifiche in ottica privacy almeno per la loro esperienza.

Nonostante il rischio del 4% del fatturato, probabilmente sono ancora molte le aziende che non conoscono bene la normativa vigente e permane una scarsa consapevolezza e cultura verso la privacy e gli obblighi normativi su questi temi. 

 

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.