Per adeguarsi, innanzitutto, alle normative vigenti in materia di protezione dati e ai recenti framework di sicurezza informatica, ma soprattutto per ottimizzare la gestione dei rischi a cui un’azienda è esposta, è necessario predisporre una periodica attività di audit di cyber security che dia un riscontro preciso e puntuale sullo stato della sicurezza dei dati e sull’identificazione di eventuali vulnerabilità.
L’obiettivo è quello di ottenere indicazioni chiare su come ottimizzare i sistemi di controllo e protezione dalle minacce informatiche in modo da garantire il più elevato livello di sicurezza possibile per quello che, ormai, è considerato l’asset principale per ogni azienda: il dato.
L’importanza di un audit di cyber security
Uno dei rischi principali a cui un’azienda può risultare esposta è, infatti, quello di ritenere che le proprie soluzioni di sicurezza informatica siano implementate e gestite in maniera corretta in base a valutazioni del rischio standard. Ciò crea l’errata convinzione che non sia necessario provvedere ad un continuo aggiornamento tecnologico.
È evidente che un approccio del genere potrebbe causare importanti problemi organizzativi alle aziende in quanto verrebbero private delle necessarie capacità di affrontare e contenere minacce cyber sempre nuove e sempre più sofisticate grazie a strumenti malevoli evoluti che consentono, per l’appunto, di eludere le soluzioni di sicurezza sfruttandone le immancabili vulnerabilità.
E non solo: il mancato adeguamento tecnologico esporrebbe le aziende anche ad una violazione del GDPR (il Regolamento europeo sulla protezione dei dati) ed in particolare dell’articolo 32.1 – Sicurezza del trattamento – che recita testualmente: “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio [...]”.
Da qui la necessità di realizzare un piano di sicurezza che consenta non solo di garantire la riservatezza dei dati limitandone l’accesso alle sole persone autorizzate, ma anche la disponibilità dei dati stessi, che devono essere sempre accessibili anche durante un eventuale malfunzionamento dei sistemi informativi, e la loro integrità, per fare in modo che questi dati non vengano alterati, cancellati o modificati in alcun modo.
Audit cyber security as a service: la soluzione per le PMI
Ciò detto, è evidente che un audit di cyber security permette di definire lo stato dell’arte di un’azienda in materia di sicurezza informatica mediante una valutazione tecnica metodica e misurabile di come viene adottato il piano di sicurezza.
Pertanto, non può ridursi semplicemente alla compilazione di qualche checklist, ma deve semmai servire per creare obiettivi e parametri utili a definire nuovi standard di sicurezza e a colmare eventuali lacune nelle misure tecniche adottate.
La complessità nella realizzazione di un audit di cyber security richiederebbe, dunque, la presenza di una struttura interna all’azienda dedicata allo svolgimento di tutte le valutazioni tecniche necessarie.
Per ovvi motivi, però, la presenza di questa struttura interna di audit è piuttosto rara e riguarda unicamente le aziende di grandi dimensioni che il più delle volte sono anche obbligate ad averla in base a specifiche normative.
La soluzione valida soprattutto per le medie, piccole e piccolissime imprese è dunque l’audit cyber security as a service che, come il nome stesso lascia intuire, consiste nell’affidare esternamente ad esperti del settore altamente specializzati la realizzazione delle necessarie valutazioni tecniche sul livello di sicurezza informatica in azienda.
Una volta stabilito quali sono le risorse e i processi più preziosi per l’azienda, un audit cyber security as a service può aiutare a identificare tutte le possibili minacce rappresentate non solo da attacchi malware, ransomware, di tipo phishing o DDoS provenienti dall’esterno del perimetro di sicurezza, ma anche dai cosiddetti insider threat annidati tra i dipendenti e, più in generale, tra gli utenti aziendali.
Ed è proprio in quest’ultimo passaggio che un auditor esterno può tornare particolarmente utile in quanto privo di tutti quei pregiudizi “interni” che rischierebbero, altrimenti, di invalidare l’efficacia di un audit di cyber security.
