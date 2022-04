Como, 5 Aprile 2022. Negli ultimi tempi, la cybersecurity è divenuta un elemento fondamentale per scongiurare eventuali rischi informatici derivanti sia da vulnerabilità dei sistemi informatici che da vulnerabilità umane.

Tutte le organizzazioni, pubbliche e private, che operano nei diversi settori produttivi, devono inevitabilmente confrontarsi con i diversi attacchi che vi possono essere e che potrebbero compromettere i loro sistemi e, di conseguenza, tutti i dati in essi presenti – dati dei dipendenti, dati dei clienti e tanto altro -.

Per poter affrontare al meglio questi attacchi, agendo anche proattivamente sul problema, si sono affermati molteplici framework che permettono alle aziende, attraverso delle guidelines e dei modelli standardizzati, di capire quali sono le falle all’interno dell’organizzazione. Tali strumenti consentono, quindi, di adottare misure di sicurezza adeguate e creare un efficace meccanismo di governance.

Alcuni framework esistenti hanno carattere generale e possono essere adattati ad ogni contesto aziendale; mentre altri sono stati sviluppati, prendendo in considerazione determinate caratteristiche, per specifici settori. Inoltre, rimane la possibilità di integrare i diversi modelli così da avere una visione complessiva del livello di sicurezza dell’infrastruttura informatica.

Giunti a questo punto, sorge spontanea una domanda: le aziende conoscono il loro livello di sicurezza e sono in grado di monitorarlo?

Cos’è il RATING DI CYBERSECURITY

Per poter dare una risposta concreta alla domanda, è necessario spostarsi sulle rive del Lago di Como dove una storica realtà del luogo ha dato vita ad un progetto di monitoraggio della cybersecurity aziendale.

L’idea è stata quella di creare un assessment complesso che fosse la somma:

• dei controlli internazionali del framework del NIST (National Institute of Standards and Technology)

• degli aspetti riguardanti il GDPR (Regolamento Europeo Privacy)

• dei requisiti previsti dalla ISO 27001 (Sistemi di Gestione per la Sicurezza delle informazioni)

• delle linee guida Agid per la Pubblica Amministrazione italiana.

Ne è nato un framework trasversale tra Cybersecurity e Data Protection che prende il nome di Rating di Cybersecurity : un sistema altamente professionale che consente, attraverso un insieme di procedure e di misure di sicurezza, di determinare e incrementare il livello di sicurezza informatica dell’azienda.

Il CSF (Cybersecurity Framework Nist) si compone di cinque funzioni principali:

I. IDENTIFY: si identificano le risorse aziendali – personale, sistemi e informazioni – e le procedure che possono determinare i rischi all’interno dell’organizzazione stessa. Una valutazione oggettiva del contesto in cui si opera;

II. PROTECT: si individuano e si implementano misure di sicurezza adeguate a scongiurare o, per lo meno, mitigare eventuali eventi di sicurezza;

III. DETECT: dopo l’individuazione delle misure di sicurezza, l’organizzazione deve attivare sistemi e procedure che consentano di monitorare eventuali eventi negativi;

IV. RESPOND: nel caso si verifichi un evento negativo, l’organizzazione deve impegnarsi ad adottare tutte le azioni e procedure in grado di ridurre i danni e le conseguenze derivanti dallo stesso. Queste procedure riguardano sia la sfera informatica che la sfera “umana”, vale a dire la formazione del personale che dovrà intervenire;

V. RECOVER: in caso di incidente, sarà necessario attivare le azioni per ripristinare lo stato degli impianti così da garantire la continuità del servizio erogato.

In particolare, ci sono ben 151 controlli suddivisi nelle 5 funzioni sopra citate, suddivise a loro volta in categorie e sottocategorie.

In base al livello di applicazione ed alla gestione del controllo, viene assegnato alla sottocategoria un valore da 1 a 5, dove si assegna un punteggio pari a 1 quando la procedura viene applicata parzialmente (manualmente e/o con supporti cartacei) ed un punteggio pari a 4 quando la stessa è applicata completamente in modo automatizzato, oltre ad essere oggetto di periodica verifica ed aver documentato con precipuo report quanto svolto.

Qualora si attesti l’impossibilità di applicare un determinato controllo nel contesto aziendale, si dovrà motivare la ragione della non applicabilità. Senza dubbio, tutte le organizzazioni dovrebbero aspirare al raggiungimento di un punteggio pari a 4.

Per ogni categoria è prevista una valutazione, che sommata a tutte le altre, darà un risultato matematico compreso tra 1 e 100, inerente al livello di cybersecurity aziendale, dove il valore 60/100 corrisponde alla sufficienza.

Dalla descrizione dell’approccio utilizzato è evidente che trattasi di valutazione oggettiva e misurabile del livello di cybersecurity, corredata da suggerimenti migliorativi, i quali aiutano le aziende ad applicare, senza discrezionalità alcuna, misure di sicurezza e procedure efficaci alla creazione di una governance della cybersecurity.

VANTAGGI DEL RATING DI CYBERSECURITY

Effettuare il Rating di Cybersecurity , in maniera periodica, porta con sé diversi vantaggi:

- Essendo uno strumento basato sull’approccio scientifico, permette di avere un valore matematico, misurabile e oggettivo della sicurezza informatica dell’azienda;

- Valutazione multidimensionale, poiché stima sia il livello di debolezze informatiche che organizzative;

- Valutazione numerica ripetibile nel tempo, per comprendere l’importanza dei miglioramenti intercorsi, tenendo conto dell’evoluzione tecnologica ed informatica;

- Possibilità di individuare obiettivi, attraverso l’aiuto del consulente, da raggiungere nel tempo;

- Percorso propedeutico alla certificazione ISO 27001;

- Strumento per rispondere correttamente al principio di Accountability del GDPR.

Questa valutazione permette all’azienda di prendere atto della propria realtà aziendale e di considerare la cybersecurity, e di conseguenza il rating di cybersecurity, uno strumento utile per poter agire in anticipo sulle minacce informatiche, indirizzando l’attenzione su diversi elementi – infrastrutture, risorse, supply chain, formazione del personale – cercando sempre di migliorarsi e non arrestando mai l’investimento sulla sicurezza della propria azienda e il progresso che ne può derivare.

