Quando iniziamo il nostro percorso verso una migliore postura di sicurezza informatica, dobbiamo partire dalla corretta identificazione degli elementi che compongono la nostra organizzazione.
Conoscere “cosa” va protetto è lo step 0 per sviluppare il processo di messa in sicurezza.
In azienda non possiamo proteggere “solo” le componenti tecnologiche, ma dobbiamo tenere in considerazione anche:
-
Le persone, ovvero le figure aziendali strategiche per i processi di business (in questo gruppo includiamo: figure Direzionali/ Manageriali, Responsabili di Area, Amministratori di Sistema e Consulenti esterni con accessi privilegiati);
-
I sistemi che ospitano o rendono fruibili dati e servizi strategici per il business. Gli asset possono essere di diverso tipo (IT e OT, per esempio: per saperne di più su come implementare una maggiore sicurezza in ambito industriale ti suggeriamo questo contenuto, ma di tutti è importante effettuare una mappatura, includendo anche le loro interdipendenze e i dati che vengono scambiati;
-
Le informazioni, ovvero i dati strategici per il business in qualsiasi formato e modalità di fruizione;
-
La struttura di Governance e le modalità con cui l’organizzazione interagisce con l’esterno.
Identificare questi elementi ci aiuta nella valutazione del rischio a cui sono esposti e ci permette di individuare le giuste strategie correttive e di “remediation”. Il processo di identificazione, però, non si esaurisce quando abbiamo individuato gli elementi oggetto delle strategie di protezione, bensì prosegue con la stima del rischio a cui gli elementi sono esposti.
In questo secondo step è utile creare una mappatura che ci aiuti a tenere traccia dell’esito dell’analisi.
Proviamo a tenere in considerazione questi aspetti e a porci le giuste domande (dal punto divista organizzativo e tecnologico):
-
Minaccia: cosa potrebbe succedere? Proviamo a ipotizzare quali tipi di minaccia potrebbero colpirmi (attacco ransomware? Furto delle credenziali?)
-
Probabilità: quanto è probabile che succeda? La probabilità coincide con il livello di esposizione all’attacco
-
Vulnerabilità: quanto sono esposto e/o in grado di difendermi?
-
Impatto: che tipo di danni provocherebbe?
-
Contromisura: come posso proteggermi da quel che succedere?
A supporto del processo di identificazione, il Cybersecurity Framework del NIST ci aiuta anche a individuare le azioni che possiamo intraprendere per portare avanti questa attività in maniera costante e precisa.
Tre azioni fra tutte sono necessarie:
-
Effettuare un Vulnerability Assessment che coinvolga persone, processi e tecnologie, al fine di far emergere i punti di vulnerabilità e la priorità con la quale affrontarli;
-
Utilizzare strumenti di Inventory automatizzato che consentano di mappare e mantenere aggiornata la lista dei sistemi e dei software presenti all’interno dell’organizzazione;
-
Implementare un processo di Vulnerability Management (basato sempre sull’automazione) che, in maniera sistematica e libera dell’attività dell’operatore, ci aiuti a portare a galla tutte le aree che richiedono attenzione, evitando che si creino zone d’ombra potenzialmente attaccabili.
Se vuoi saperne di più sul Framework NIST e sullo step 1 “Identificazione", compila il form qui sotto e scarica gratuitamente l’ebook "Guida al Cybersecurity Framework del Nist: tutto quello che un IT Manager deve sapere".
