In un precedente articolo avevamo introdotto il problema di un attacco informatico ai sistemi aziendali, parlando soprattutto di uno dei più impattanti, il ransomware.
In realtà i problemi possono essere tanti e vanno comunque previsti ed analizzati in un ottica di prevenzione per grantire i tre cardini della sicurezza informatica: riservatezza, integrità e disponibilità delle informazioni.
Nello specifico:
- Riservatezza: proprietà delle informazioni che non vengono rese disponibili o divulgate a persone, entità o processi non autorizzati;
- Integrità: proprietà di precisione e completezza;
- Disponibilità: proprietà di accessibilità e fruibilità su richiesta da parte di un’entità autorizzata.
- Informazioni: Le informazioni sono un insieme di dati interpretabili che, all’interno di un dato contesto, hanno un significato e un valore. Per garantire e migliorare questi dati di valore, l’interpretabilità e il contesto devono essere preservati e tutelati.
Siamo quindi in un ambito abbastanza ampio che non riguarda solo la cybersecurity ma tutta la sicurezza delle informazioni, sia fisiche che elettroniche, per arrivare anche alla conoscenza insita nei soggetti preposti a raccoglierle, gestirle e divulgare quelle autorizzate.
Per tale motivo, prima di intraprendere un qualsiasi percorso di sicurezza, l’ente e/o l’azienda deve fare un percorso ben preciso di catalogazione delle informazioni, come sono trattate e quindi una analisi dei rischi per garantire la riservatezza, l’integrità e la disponibilità.
L’analisi dei rischi è una attività che potrebbe essere anche molto lunga e dispendiosa ma necessaria. Ci sono diverse metodologie, tra cui la più completa è quella che fa riferimento alla normativa della serie ISO 31000 che vale per tutta l’azienda, poi ce ne sono altre più specifiche per il rischio cyber come la serie ISO 27000.
Questo quadro normativo classifica la gestione del rischio a seconda dei componenti, delle categorie target e delle unità organizzative. In aggiunta e per mantenere le strategie di analisi del rischio informatico allineate agli obiettivi di business è possibile adottare anche il framework metodologico di governance COBIT (Control OBjective for Information Technologies n.d.r.) della ISACA. Come framework metodologico è molto utile anche riferirsi allo standard NIST (National Institute of Standards and Technology): Framework for Improving Critical Infrastructure Cybersecurity (Version 1.0) del 2014.
Nelle piccole aziende questi framework potrebbero essere di diffcile implementazione per i tempi e i costi associati (anche se ne vale la pena). Per una analisi più semplice si possono però usare la metodologia della matrice Probabilità/Gravità, individuato in una scala di valori che va da Rischio Basso (a cui si è attribuito il valore 1) a Rischio Alto (a cui si è attribuito il valore 9).
Con questa analisi si riesce in poco tempo a fare una valutazione del rischio abbastanza precisa ed obiettiva, in sostanza si conosce se stesso.
Ed è solo l’inizio da cui partire per creare un sistema di cybersecurity efficace. Ma di questo ne parleremo nei prossimi articoli utilizzando come guida la serie ISO 27000.