INTRODUZIONESCS-LOGO

In assenza di termini di riferimento oggettivi le misure di sicurezza adottate da ciascuna azienda sono correlate alla percezione del rischio, quando tale percezione è chiara e condivisa le misure vengono adottate in modo completo ed efficace.

Purtroppo però molto spesso le misure necessarie a prevenire i rischi in ambito informatico, vengono disattese per motivi che vanno dalla mancanza di una adeguata formazione del personale interno, a uno più semplice e libero utilizzo dello strumento informatico, tuttavia è necessario sottolineare che un accesso indesiderato o fraudolento ai sistemi informativi aziendali può causare danni anche gravi, che possono arrivare a mettere a repentaglio la sopravvivenza della stessa azienda.

Nell’estate del 2012 una media azienda del padovano è stata sottoposta ad attacco, non è chiaro quale fosse l’obiettivo dell’attacco, ma nei fatti sono stati cancellati tutti i dati, inclusi i dati gestionali, i documenti di progetto e quelli commerciali: il danno subito è stato ingente, con un fermo di diversi giorni.

Il fatto è stato denunciato alla polizia postale, e sembra che l’obiettivo dei malviventi fosse quello impadronirsi di alcuni segreti industriali.

L’analisi di Vulnerabilità è un passo necessario per fotografare le problematiche del sistema informativo, indispensabile per conoscere le debolezze del sistema a 360 gradi, per poi decidere come proteggere il sistema e le trasmissioni dati, considerando in oltre le statistiche sugli incidenti informatici, la maggior parte degli attacchi (circa il 65%)sono stati realizzati con tecniche ben note. Per cui con la realizzazione di un Vulnerability Assessmente e/o Penetration Test queste vulnerabilità potrebbero essere mitigate, se non eliminate, con una certa facilità.

In aziende poco strutturate o con un reparto IT non adeguato, queste attività di valutazione del rischio possono essere affidare a soggetti esterni. ISACA

L’obiettivo del primo Quaderno ISACA VENICE Chapter è stato quello di circostanziare il valore aggiunto di un buon penetration test per una PMI, descrivere le caratteristiche desiderabili per l’esecuzione di un penetration test e suggerire linee guida per la selezione dei fornitori atti a svolgere attività di tale natura.

Sono state definite in particolare buone pratiche e aspetti critici cui porre attenzione nel commissionare un Penetration Test da parte di una PMI. Il valore del patrimonio immateriale delle PMI è spesso noto soltanto in parte. Questo è tipicamente il caso di uno degli asset più importanti, vale a dire, le informazioni. È indispensabile che i responsabili delle PMI comprendano il valore delle informazioni contenute all’interno del proprio sistema aziendale e dispongano di un quadro entro il quale valutare ed implementare la sicurezza delle informazioni.

METODOLOGIE STANDARD1

Al fine di garantire una valutazione di sicurezza indipendente, oggettiva e ripetibile, tutte le attività previste devono essere condotte in conformità con le metodologie più accreditate, nel rispetto delle norme internazionali di riferimento.

Sulla base della indagine svolta, Metodologia e Documentazione risultano le caratteristiche più importanti su cui viene scelto il fornitore a discapito della Focalizzazione. Esito del quesito sottoposto alle aziende campione: “Su quale base sceglie il fornitore”.

REQUISITI PER COMMISSIONARE UN PENETRATION TEST1

Se una Azienda commissiona questa attività per la prima volta ad un fornitore esterno, il valore aggiunto è quello di verificare oggettivamente le barriere difensive verso l’esterno. Se invece l’attività è già stata svolta devo avere come obiettivo quello di standardizzare il processo in modo da creare un percorso di miglioramento delle difese.

In generale non esiste una soglia dimensionale minima per svolgere un PT2 o VA3 per una impresa, la motivazione è piuttosto quella della consapevolezza di un potenziale rischio e la volontà di mitigarlo.

Molti titolari di PMI pensano di non essere a rischio, in virtù della ridotta dimensione della propria azienda e del patrimonio informativo. La maggior parte ritiene che soltanto le grandi società, quelle che hanno un patrimonio di grande rilievo, siano a rischio.

Questo non è vero, in primo luogo, la sensibilità delle informazioni si applica alla qualità e non alla quantità delle informazioni. In secondo luogo, le PMI non dispongono delle risorse o del personale necessari per affrontare la sicurezza in maniera intensiva, come fanno le grandi società: sono pertanto più esposte.

Di fatto, le nuove tecnologie consentono alle piccole aziende di utilizzare una buona parte dei medesimi sistemi informativi utilizzati dalle grandi imprese. Nel fare questo, le piccole aziende si espongono a molte delle minacce che tradizionalmente si associano alle grandi società. Sfortunatamente, una percentuale non irrilevante delle aziende colpite da inconvenienti che hanno messo fuori uso i computer non riesce a recuperare il danno e l’azienda stessa è costretta a chiudere.

Affinché il successo sia continuativo, è imperativo pertanto che i titolari ed i responsabili decisionali delle PMI ammettano queste insidie e prendano misure atte ad affrontare le questioni relative alla sicurezza delle informazioni Questi sono i requisiti che serve definire per commissionare un PT o VA:

  • Definire se si appartiene alle infrastrutture critiche4
  • Definire quali sono i beni aziendali coinvolti in ordine di priorità5 classificandoli in un livello da 1 a 3.
  • Definire i meccanismi di protezione attuali per tali beni.
  • Definire fra questi beni ciò che si desidera analizzare, il suo stato di verifica e la frequenza di analisi. A volte per esigenze di budget si procede a verifiche specifiche a rotazione.

COME ORIENTARSI NELLA SELEZIONE DEL FORNITORE

Non esiste una figura riconosciuta per legge di fornitore accreditato come non esiste una procedura ottimale nella qualificazione del fornitore, ma elenchiamo alcune regole di “due diligence” per una corretta scelta.

Nel documento vengono analizzati i seguenti aspetti che costituiscono le linee guida proposte:

  • Tattiche di prevendita del fornitore
  • Qualificazione del fornitore con verifiche indirette
  • Gestione del rischio nella esecuzione del servizio
  • Metodologia adottata dal fornitore
  • Reperibilità durante le analisi in caso di incidente
  • Oggettività delle analisi
  • Competenza del fornitore
  • Rotazione dei fornitori
  • Uso dei dati del cliente
  • Pianificazione delle attività
  • L’opinione del cliente

Per scaricare gratuitamente il documento a fini divulgativi:

http://www.isaca.org/chapters5/Venice/NewsandAnnouncements/Pages/Page1.aspx

 

NOTE

  1. Quaderno ISECA VENICE Chapter
  2. Penetration Test
  3. Vulnerability Assessment
  4. Il governo ha firmato a fine gennaio 2013 il decreto volto ad accrescere le capacità del Paese di confrontarsi con le minacce alla sicurezza informatica http://www.governo.it/Presidenza/Comunicati/dettaglio.asp?d=70337
  5. FIPS PUB 199, Prevede norme per la determinazione della categoria di sicurezza dei sistemi informativi di un’organizzazione che possono essere utili nello sviluppo di una graduatoria di priorità di tali sistemi per scopi di test. FIPS PUB 199 è disponibile per il download http://csrc.nist.gov/publications/PubsFIPS.html

 

 

Comments are closed.

%d bloggers like this: