Cybersecurity Rating: scopri quanto è protetta la tua azienda

Questa frase emblematica campeggiava sul frontone del tempio dell'Oracolo di Delfi, dedicato al dio Apollo. Gli antichi greci lo sapevano bene: la consapevolezza è il punto di partenza per migliorare sé stessi. Proviamo a parafrasare questo insegnamento in ottica di cybersecurity aziendale: “il primo passo per migliorare la sicurezza informatica è valutare il proprio livello di protezione”. È quindi necessario ragionare all'interno di una prospettiva preventiva di risk management, individuando i punti di debolezza di un sistema per intervenire prima che vengano sfruttati per fini criminali. Per fortuna esiste uno strumento che è stato creato precisamente per questo scopo: il Cybersecurity Rating.

Il Rating di Cybersecurity è uno strumento professionale, sviluppato nel nostro paese, che consente di valutare il livello di sicurezza informatica di un'azienda. Per fare ciò, utilizza diversi parametri, attingendo da realtà sia europee che internazionali.

• Il Framework statunitense NIST (National Institute of Standards and Technology).
• Il GDPR (General Data Protection Regulation, vale a dire il regolamento europeo sulla protezione dei dati).
• La ISO 27001 (Sistemi di gestione per la sicurezza delle informazioni).
• Le linee guida Agid per la Pubblica Amministrazione Italiana.

Questo strumento, denominato AUDIT NIST 1-100, permette di effettuare più di 130 controlli di carattere tecnico e organizzativo. Al termine delle attività viene fornito, tramite un algoritmo, un valore numerico compreso da 1 a 100 che determina l'efficacia della propria cybersecurity aziendale. Un punteggio di 60 su 100 costituisce il valore minimo per indicare un livello di protezione sufficiente. A partire da questo punteggio, facilmente interpretabile, indipendentemente dalla conoscenza informatica di cui si è in possesso, è possibile impostare una strategia di potenziamento della cybersecurity aziendale, partendo proprio dai punti deboli messi in luce da questo assessment.

Lo strumento più importante utilizzato da AUDIT NIST 1-100 è il Framework statunitense NIST, progettato per valutare il livello di sicurezza di un sistema attraverso cinque parametri principali:

• IDENTIFY

Questa fase è fondamentale per comprendere quali risorse aziendali (siano esse personale, sistemi o informazioni) e quali processi possono essere più suscettibili ad attacchi esterni e quindi rappresentare un rischio per l'azienda.

• PROTECT

In questa fase si individuano e implementano le misure di protezione adeguate per scongiurare o mitigare eventuali eventi di sicurezza.

• DETECT

Una volta individuate le misure di sicurezza appropriate, l'azienda deve attivare sistemi e procedure volte a monitorare eventuali eventi negativi.

• RESPOND

Qualora si verifichi uno di questi eventi negativi, l'azienda deve rispondere in modo immediato per ridurre i danni derivanti da questi attacchi. Si tratta di procedure sia legate alla sfera informatica che a quella umana: per questo motivo la formazione del personale è importante quanto i software antivirus.

• RECOVER

In caso di incidente, sarà necessario intraprendere le azioni adeguate per ripristinare lo stato degli impianti aziendali, così da garantire la continuità del servizio erogato.

Questo strumento di valutazione dei rischi comporta moltissimi vantaggi per le aziende. Dal momento che il Cybersecurity Rating fornisce un valore numerico basato su diversi parametri, sia informatici che organizzativi, consente di monitorare in maniera oggettiva e misurabile lo stato di sicurezza di un'azienda. Questo significa poter individuare con precisione i punti deboli della propria impresa e mettere così in campo strategie precise, modellate sulla base delle caratteristiche uniche di ogni azienda. Si tratta inoltre di un processo ripetibile, che permette quindi di valutare l'evoluzione della sicurezza nel tempo, sia per quanto riguarda la formazione del personale che la protezione garantita dalle tecnologie di cybersecurity impiegate. A tale scopo Vodafone offre una serie di servizi pensati per monitorare lo stato di sicurezza delle imprese ed intervenire preventivamente, come ad esempio il Domain Threat Intelligence, la soluzione in cloud e SaaS che permette di identificare in maniera preventiva l’esposizione al rischio Data Breach ed email compromesse delle aziende. In conclusione, il Cybersecurity Rating è uno strumento importante per proteggere i propri asset (infrastrutture, supply chain, dati sensibili), ed è in grado di anticipare le minacce informatiche e comprendere su quali aspetti della propria azienda sia più opportuno investire tempo e risorse.