Security Assessment
In un percorso di Cybersecurity il Security Assessment e’ la prima attivita’ da eseguire per verificare l’AS-IS di un’azienda, permette di mappare in maniera dettagliata gli asset di un’azienda e valutarne la loro sicurezza e vulnerabilità. Viene quindi verificato che tutti i sistemi e le politiche rispettino i requisiti di sicurezza richiesti e se ne verifica l’aderenza ai principali Framework GDPR/NIST/27001 per evidenziare le discrepanze.
Queste valutazioni, di solito eseguite annualmente, seguono uno schema preciso che parte dall’identificazione dei componenti presenti per poi verificare se rispondono ai requisiti del compito che devono svolgere. Una volta terminata questa fase, si conducono test di vulnerabilità controllando, in questa maniera, l’intero sistema e andando a correggere eventuali criticità.
Cos'è un Security Assessment
Il Security Assessment è composto da una serie di azioni volte a ottenere una sicurezza efficace nell’ azienda. Dal punto di vista puramente tecnico, quando parliamo di Security Assessment ci stiamo riferendo all’analisi della sicurezza informatica aziendale.
Il Security Assessment quindi valuta, identifica e implementa i protocolli di sicurezza presenti in azienda, concentrandosi sulla prevenzione del rischio e sulle vulnerabilità dei sistemi nei quali circolano anche dati sensibili.
Partendo da queste analisi è possibile, infatti, capire le criticità di un’azienda nell’ambito della sicurezza, andando a individuare i rischi effettivi così da evitare eventuali danni che potrebbero capitare.
Qual è il costo...
Secondo quanto riportato da IBM e Ponemon Institute, il costo di una violazione dei dati aziendali ha raggiunto la cifra di 4,35 milioni di dollari. Questo dato tiene conto di tutta una serie di fattori come la mancanza della Business Continuity, le attività legali o la perdita di brand equity.
Partire col mettere al sicuro la propria azienda con azioni come il Security Assessment diventa quindi cruciale.
Il processo di Security Assessment segue questi 4 step:
- Identificazione – Significa segnalare tutti gli asset critici dell’infrastruttura tecnologica andando a individuare quali dati aziendali sensibili sono passati attraverso questi asset. Sarà quindi utile creare un profilo di rischio per ciascuno di essi.
- Valutazione – È utile valutare tutti i rischi di sicurezza che vengono identificati per ogni asset risultato critico. Dopo averli valutati sarà utile gestire il tempo e le risorse in maniera efficace per minimizzare il rischio.
- Mitigazione – Nel Security Assessment bisognerà definire un approccio di mitigazione e applicare i controlli di sicurezza per ogni rischio individuato.
- Prevenzione – L’azienda dovrà poi implementare strumenti e processi in grado di ridurre al minimo le minacce esterne e la vulnerabilità delle risorse.