Analisi del Rischio Tecnologico. Cos'è, perché e come farla.

Il problema più frequente che incontro nel mio lavoro, quando si affrontano temi relativi alla sicurezza informatica, è la mancanza di consapevolezza dei rischi a cui una azienda è esposta.

Mancanza di consapevolezza principalmente dell'imprenditore, dei dipendenti, dei manager: figlia probabilmente di una mancata informazione, o meglio - di una non-formazione specifica in questo campo.

Vittime di tutto ciò sono in prima battuta le persone che lavorano nel mondo IT: consapevoli (loro) dei rischi, devono mettere in campo tutte le difese possibili, avendo però a disposizione budget risicati.

Certo, da un lato l'azienda non stanzia un adeguato investimento in cybersecurity perché non conosce la portata del problema (e delle suo possibili cause), dall'altro i responsabili IT non possono permettersi che il sistema informatico si fermi.

Questo gioco va avanti fino a che - inevitabilmente - l'errore umano incombe, oppure le minacce informatiche si alzano di livello: il blocco dell'azienda (o di un suo reparto) è imminente.

Cosa fare?

La prima cosa da fare senza ombra di dubbio è sintetizzata in una sola parola: prevenzione.

La prevenzione è una pratica che - nell'ambito della sicurezza informatica - comprende varie attività: analisi, formazione, test, etc. Nel caso specifico voglio soffermarmi sulla prevenzione intesa come Analisi del Rischio Tecnologico.

L'Analisi del Rischio Tecnologico permette di avere una "fotografia" della propria infrastruttura informatica, che metta in evidenza eventuali vulnerabilità e piani di azione volti a risolverle.

Qualcuno potrebbe obiettare: ma io non ho vulnerabilità in azienda? Oppure: conosco già quali sono le problematiche della mia rete...

Smarchiamo queste obiezioni: innanzitutto non è praticamente possibile non avere vulnerabilità. E' possibile non averne di gravi, certo, e questo è proprio l'obiettivo. In secondo luogo, le applicazioni web e server sono sempre in costante e rapido aggiornamento: significa che c'è la possibilità (concreta e non remota) che alcune componenti dell'infrastruttura IT non abbiano recepito un upgrade, magari anche importante.

Aggiungo un ulteriore punto: l'amato e odiato GDPR, in maniera specifica nell'articolo 32 (ma non solo), obbliga (implicitamente) le imprese a svolgere una analisi del rischio:

L' articolo 32 del GDPR prevede che il titolare ed il responsabile del trattamento dei dati, mettano in atto misure tecniche adeguate per garantire la sicurezza dei dati, in particolare "una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure adottate".

Svolgere quindi una Analisi del Rischio Tecnologico porta i seguenti benefici:

1) Evidenzia le vulnerabilità informatiche, classificandole per livello di rischio

2) Suggerisce concretamente quali azioni svolgere per risolverle

2) Produce un documento valido ai fini del GDPR e rende quindi l'azienda compliance

Come fare una Analisi del Rischio Tecnologico?

Esistono molti sistemi e modalità per raggiungere questo obiettivo. Di norma però le problematiche che si possono incontrare sono dovute ai seguenti fattori:

  • Spesso servono soluzioni che richiedono installazione di hardware (sonde o appliance) presso la sede del cliente
  • Molti dei fornitori o professionisti che assistono le aziende in ambito IT, non sono dotati di piattaforme efficienti e certificate in grado di produrre una analisi del rischio tecnologico
  • I tempi per realizzare l'analisi ed i costi, sono elevati

Oggi c'è però una nuova soluzione. Fastweb, grazie al supporto della piattaforma di Cyber Security di Swascan con la quale ha stretto un importante accordo, permette di realizzare una Analisi del Rischio Tecnologico che:

  • Non è invasiva. Viene svolta da remoto, senza hardware da installare on-site
  • E' completa. Prevede analisi e piano di azione.
  • E' economica: qualsiasi azienda, anche la più piccola, può accedere a questo servizio

Questa soluzione è ovviamente disponibile verso tutto il mercato business enterprise nella sua totalità, indipendentemente dal fornitore attuale di connettività (in sintesi: non bisogna essere clienti Fastweb per accedevi).

Ricorda: un piccolo investimento di questo tipo, non produce guadagni. Ma previene future perdite.

Per avere maggiori informazioni, senza alcun impegno, puoi lasciare i tuoi dati qui sotto e sarai contattato dal sottoscritto entro 24 ore :-)

Mostra commenti

Rimaniamo in contatto

Poche email, ma buone ☺