Cos'è e perché è importante per le aziende
Per asset di un'azienda si intende qualsiasi bene di proprietà della stessa che possa essere monetizzato. È facile intuire che la sicurezza di tali asset è fondamentale per il corretto svolgimento dell'attività imprenditoriale. Il security risk assessment consiste proprio nell'analisi della sicurezza di questi asset. Naturalmente, oggi il sistema informatico è, per quanto tra i più utili strumenti produttivi, quello più vulnerabile agli attacchi e che quindi deve essere ben protetto. È proprio su questo aspetto che si concentra il security risk assessment, la sicurezza della rete informatica aziendale.
Un attacco informatico può costare molto caro all'azienda. La rete non è, infatti, una struttura a sé stante. Essa è il veicolo per lo scambio di una enorme quantità di dati di varia natura. È inoltre grazie alla rete informatica che funzionano molte delle applicazioni utilizzate nel processo produttivo. Non si può di certo pensare di tornare agli anni '50 e fare tutto attraverso archivi cartacei. Si rimarrebbe totalmente tagliati fuori dal mercato. È per questo che la rete, strumento assolutamente indispensabile ormai, va ben protetta. Esattamente in questo contesto si inserisce il discorso sul security risk assessment.
Il concetto di rete è in realtà molto ampio. Si potrebbe pensare, infatti, di tenere sotto controllo solo i software utilizzati, o il cloud di archiviazione. Bisogna invece fare molta attenzione, e considerare tutti gli elementi che potrebbero subire un attacco. Vanno ad esempio tenuti in considerazione strumenti hardware come centralini VoIP ed apparati di rete e IoT (Internet of Things) come stampanti e SmartTV. Anche questi, infatti, potrebbero essere delle “porte” per la violazione del sistema. Importante è poi controllare le app installate che non vengono utilizzate e, di conseguenza, aggiornate da tempo. Questo tipo di comportamento potrebbe infatti aprire un varco facile da attraversare. La cosa spiega, inoltre, l'importanza della sensibilizzazione dei dipendenti sul tema. È fondamentale che anche essi collaborino alla sicurezza aziendale attraverso comportamenti virtuosi. Affinché accada, però, è necessario che vengano istruiti in proposito.
Va detto, inoltre, che un attacco informatico potrebbe portare anche danni indiretti. Spesso, ad esempio, negli archivi si conservano dati sensibili di clienti o partner economici. Un attacco potrebbe compromettere questi dati. Di conseguenza, l'azienda incorrerebbe nelle sanzioni vigenti rispetto alla violazione degli obblighi normativi sulla protezione dei dati. Questo comporterebbe un ulteriore danno economico, oltre che legale e di immagine. Il security risk assessment, oltre a prevenire i danni, è utile per un'oculata distribuzione delle risorse. Volendo investire sulla sicurezza, ad esempio, lo si farà in particolar modo in quegli ambiti che risultano essere più vulnerabili in base all'analisi svolta. Ma vediamo come funziona questa valutazione.
Innanzitutto, questa valutazione può essere più o meno ampia e generalizzata. È facile intuire come, un'analisi dettagliata di ogni applicazione, possa essere più efficace. Va però considerato che a volte si è costretti a sottostare a limiti di budget o di tempo. Questo influisce sul tipo di esame che si andrà ad eseguire. Il security risk assessment, in ogni caso, si compone di quattro fasi. Esse sono:
La prima fase è quella volta ad identificare, appunto, tutti gli elementi critici. Per ognuno di essi va stilato un profilo di rischio. Esso dovrà comprendere le caratteristiche, i dati coinvolti e i potenziali attacchi. Una volta fatto questo si passa quindi alla valutazione. Essa consiste nella valutazione d'insieme di tutti i dati raccolti. Di conseguenza si definisce il come distribuire fruttuosamente le risorse di tempo e denaro. Successivamente si passa alla terza fase. Si tratta dell'applicazione di una strategia di rafforzamento della sicurezza per ogni rischio, che possa, quindi, mitigare la possibilità che si verifichi. L'ultima fase è quella di prevenzione. Com'è facile intuire, consiste nell'elaborazione di un piano che possa introdurre nuovi strumenti che prevengano il verificarsi dei rischi.
Va detto che il security risk assessment non è un procedimento da svolgere una tantum. Esso va infatti ripetuto periodicamente, con regolarità. Anche per questo è bene stilare un portfolio dei rischi e delle caratteristiche di ogni applicazione individuata. Successivamente si potrà aggiornare tale portfolio ad ogni controllo effettuato. Allo stesso modo è bene includere, nella relazione conseguente, un inventario non solo delle risorse, ma anche di politiche e procedure di sicurezza applicate. Questo permetterà di valutarne l'efficacia e, di conseguenza, l'opportunità di cambiarle o meno. Il security risk assessment può essere realizzato dalle risorse interne all'azienda. Se non si hanno, però, competenze adeguate, è bene affidare la procedura a dei professionisti esterni, onde evitare di sottovalutare dei rischi.