Vulnerability assessment: come risolvere i tuoi problemi di sicurezza in azienda
13 Gennaio 2021 in CISO as a Service
Lo scenario globale di incremento degli attacchi informatici ed evoluzione delle minacce richiede verifiche continue nel tempo per valutare quanto si è al sicuro: uno strumento indispensabile in tal senso è il vulnerability assessment. I controlli hanno natura differente e servono a rilevare con l’aiuto di un esperto eventuali falle di sicurezza nel sistema informativo. Questo approccio permette di investire in strategie ad hoc rispetto alle proprie necessità senza il rischio di sperperare budget o di ritrovarsi ad attuare interventi inutili. Alla base di tale approccio c’è la figura del Chief Information Security Officer (CISO), che con una visione da tecnico e da manager può apportare alla cyber security dell’azienda in cui si trova a operare il giusto contributo per garantire vulnerability assessment efficace.
Il ruolo strategico del CISO nel vulnerability assessment
Tra i compiti del CISO rientrano per esempio l’organizzazione di campagne di phishing simulate, pensate allo scopo di capire se il personale aziendale è vulnerabile a eventuali tentativi di attacco. Un’ulteriore responsabilità del CISO riguarda la gestione del corpus di policy e regolamenti aziendali che devono essere emessi e rispettati sfruttando competenze in ambito sia tecnologico sia di management.
Insomma, il CISO si preoccupa di server, persone e organizzazione, controllando che tutto venga svolto in maniera da garantire adeguati livelli di sicurezza. In quest’ottica, l’attività di controllo attuata tramite vulnerability assessment gioca un ruolo importante anche da un punto di vista di accountability: in fase di audit, la capacità di dimostrare il regolare svolgimento delle verifiche è considerato sinonimo di attenzione e buona volontà dell’azienda nel predisporre quanto necessario a garantire la sicurezza. Occorre tuttavia sottolineare l’importanza di non limitare il perimetro delle verifiche alla propria azienda, approfondendo anche la situazione di fornitori e clienti, magari attraverso strumenti adeguati che prevedono checklist personalizzate e la modalità self-service per i fornitori.
Minacce e vulnerability assessment
Tra le minacce che l’attività di vulnerability assessment permette di valutare, c’è quella tecnologica. Le verifiche in questo caso mirano a individuare eventuali configurazioni non corrette di computer o smartphone, oppure a porre rimedio alla mancata installazione dei dovuti aggiornamenti. Sapere che esistono vulnerabilità che un attaccante potrebbe sfruttare per violare il sistema aziendale consente di prevenire eventuali violazioni. Basti pensare che i cyber criminali scansionano l’intero internet più volte al giorno alla ricerca di computer vulnerabili da prendere di mira.
Le verifiche risultano più semplici ed efficaci se eseguite da personale specializzato. Dalle verifiche emergono sempre delle aree di miglioramento, talvolta dovute a problemi gravi la cui risoluzione può richiedere settimane o mesi di lavoro. Il CISO in questo caso si occupa di commissionare i test e di coordinarli, ma soprattutto si preoccupa che tutte le vulnerabilità individuate siano opportunamente indirizzate.
Il fattore umano
Tuttavia, riconfigurare un sistema è molto meno complicato che intervenire sulle persone. Il fattore umano è ancora una delle principali cause di intrusione da parte dei cyber criminali. La maggior parte delle intrusioni avviene tramite e-mail malevoli o con banner accattivanti che inducono le persone a cliccare, scatenando gli attacchi. Occorre quindi adottare un comportamento attento da parte del personale aziendale. Le campagne di phishing simulato servono a fotografare il grado di consapevolezza dei rischi da parte dei dipendenti e migliorarne i comportamenti.
A questo proposito, una volta condotto il vulnerability assessment, il CISO potrà avviare campagne di awareness, intervenendo anche sui processi. Per esempio, informando i lavoratori dell’esistenza della “CEO fraud”, una tipologia di truffa che consiste nell’invio di una mail fraudolenta che sembra provenire dal proprio superiore. Se chi la riceve non nota niente di strano può assecondare la richiesta di un bonifico, procurando un danno significativo all’azienda. Per ovviare al problema, si può intervenire prevedendo dei processi di autorizzazione tali per cui la responsabilità di disporre e approvare un bonifico sia assegnata a persone diverse, secondo il principio della segregation of duties.
Luca Bechelli – Information & Cyber Security Advisor presso P4I – Partners4Innovation