All’interno delle organizzazioni complesse è necessario valutare periodicamente i rischi cyber, tipicamente anche attraverso un processo di audit di sicurezza informatica. Implementare soluzioni semplici ed efficaci per valutare e gestire le minacce in ambito cybersecurity e data protection permette di raggiungere una maggiore resilienza in termini di sicurezza, rafforzando di conseguenza le infrastrutture digitali e accrescendo la fiducia di clienti e investitori in favore del business aziendale.
In questo contesto, non basta però dotarsi di uno strumento digitale per contribuire con successo all’adozione di una strategia di sicurezza informatica e svolgere tutte le dovute valutazioni: è importante affidarsi anche alla consulenza di esperti in modo da adottare un approccio basato su best practice di settore. Un caso aziendale utile per capire questo approccio è quello di Vantea Smart, che ha supportato una realtà nazionale del settore trasporti.
Indice degli argomenti
Audit sicurezza informatica, necessario ma complesso: perché
Conducendo audit in ambito sicurezza informatica, le aziende possono identificare gap non immediatamente percepibili e migliorare la protezione di infrastrutture e dati, riducendo il rischio di violazioni. Gli audit, infatti, forniscono alle aziende una visione chiara delle loro capacità di difesa, permettendo di pianificare strategie di sicurezza più efficaci e adattabili alle nuove minacce. Inoltre, garantendo la conformità con le normative vigenti, si rafforza al contempo la fiducia dei clienti, degli investitori ed in generale degli stakeholder.
Come spiega Enrico Picano, Responsabile dell’unità di cybersecurity consulting e prodotti per Vantea Smart, i motivi per cui è indispensabile condurre un audit in ambito sicurezza informatica sono molti: “Condurre audit di sicurezza informatica è essenziale perché il cyber risk è ormai un rischio significativo e i trend relativi alle minacce sono sempre in crescita di anno in anno”. Gli audit, prosegue, aiutano dunque le aziende “ad avere consapevolezza della propria cyber risk posture, ma anche a garantire la conformità alle normative e standard di settore”. Un quadro che è influenzato da fattori sia interni che esterni all’organizzazione: “Attraverso gli audit – aggiunge Picano -, è possibile identificare eventuali lacune e di valutarne il rischio. Permette di definire un piano d’azione e una roadmap pluriennale di interventi, sostenibili anche economicamente e focalizzati sul miglioramento continuo delle misure e del livello di protezione”.
Tuttavia, realizzare un audit sulla sicurezza informatica è un’attività complessa in quanto richiede una profonda comprensione delle infrastrutture tecnologiche aziendali e delle minacce in continua evoluzione, oltre ovviamente del contesto normativo nazionale ed internazionale. Gli auditor sono specializzati in questi processi: devono analizzare molti aspetti, devono comprendere lo scenario delle minacce, il modello degli asset aziendali (dalle reti ai sistemi operativi, fino alle applicazioni e ai dispositivi mobili), per identificare eventuali aspetti organizzativi, di processo e tecnologici non in linea con quanto espresso dai requisiti di compliance indicati dai diversi regolamenti e standard di settore. Questo implica ovviamente la raccolta e l’analisi di grandi quantità di dati, spesso eterogenei, e bisogna avere gli strumenti giusti per gestire tali informazioni. Le aziende di fronte a tale complessità possono sentirsi frenate: “Ci sono diversi fattori che possono ostacolare le aziende nell’implementazione di audit di sicurezza informatica, come per esempio il fatto che questi processi siano generalmente invasivi e dunque possano avere un impatto sulle attività quotidiane – sottolinea ancora Picano -. Da non sottovalutare l’impegno che richiede, inoltre, il coinvolgimento di un gran numero di stakeholder, sia interni sia esterni: attività che richiede un coordinamento complesso e spesso difficoltoso, anche solo per incrociare le diverse agende e gestire il modello di comunicazione che prevede l’utilizzo di diversi canali”.
Oltretutto, “gli audit sono tipicamente attività che richiedono molto tempo per normalizzare e analizzare tutte le informazioni raccolte, il che può essere un deterrente per le aziende con risorse limitate – aggiunge Picano -. Può essere difficile anche solo ottenere e validare tutti i dati necessari in modo accurato e tempestivo senza considerare la complessità di gestione end-to-end del processo”.
Come la tecnologia aiuta a semplificare gli audit di sicurezza informatica
La tecnologia offre un valido supporto nella semplificazione degli audit di sicurezza informatica. Innanzitutto, spiega ancora Enrico Picano, “è possibile gestire l’onboarding in modo centralizzato, asincrono e semplificato, facilitando l’integrazione e il coordinamento tra i vari stakeholder coinvolti nel processo di audit. Secondo dati empirici raccolti durante le nostre esperienze progettuali, l’adozione di strumenti tecnologici può ridurre mediamente del 75% l’effort dedicato alle attività di audit e alla raccolta delle evidenze, rendendo l’intero processo molto più efficiente”.
La tecnologia inoltre rende superflue riunioni di persona, permette di ridurre il numero delle comunicazioni scambiate attraverso i diversi canali, condizione che porterebbe a un aumento della complessità. In generale, con l’uso della giusta tecnologia “si può definire un processo guidato, con ruoli e responsabilità chiaramente delineati, migliorando l’organizzazione e la gestione del lavoro – aggiunge Picano -. L’introduzione di elementi di automazione e controllo permette di standardizzare e monitorare le attività, mentre la creazione di un punto unico per la raccolta delle evidenze facilita l’accesso e l’analisi dei dati necessari”. Importante però avere a disposizione un auditor per risolvere qualsiasi dubbio in itinere: “Il supporto integrato nella piattaforma tramite chat dirette con esperti offre un’assistenza immediata, contribuendo a risolvere rapidamente eventuali problemi o dubbi”, conclude Picano.
Come fare un audit per la sicurezza informatica: il caso
Un caso pratico, che ha richiesto la soluzione InfoSync di Vantea Smart, permette di capire questi punti. “Un’importante realtà del settore trasporti, di fronte alla difficoltà di reperire sul mercato una soluzione dedicata ai cybersecurity audit rispondente ai propri specifici requisiti, ha espresso la necessità di adottare un nuovo approccio al processo, che contemplasse anche l’utilizzo di una piattaforma tecnologica specifica per questa esigenza”, ha spiegato ancora Picano.
Vantea ha quindi ideato un approccio innovativo integrato per gli audit di sicurezza informatica in grado di valorizzare il contributo di analisti esperti di settore con elementi di automazione forniti da una piattaforma tecnologica, che consideri un approccio multi-compliance ovvero la possibilità di incrociare la valutazione simultanea di più ambiti di controllo mediante un unico workflow di utilizzo. Questo approccio ha generato un forte interesse sul mercato, in quanto ha colto le esigenze dei clienti che si trovano ad affrontare la complessità di un contesto normativo dinamico e crescente sia in termini in termini di stratificazione di normative e direttive, come NIS2, DORA e PCI-DSS, etc e numerosità di gestione dei processi di audit”.
Per implementare la strategia, i passaggi fondamentali sono stati:
- Analizzare il modello organizzativo, di processo e tecnologico dell’azienda.
- Disegnare il processo di audit di sicurezza integrato, customizzato secondo le esigenze aziendali.
- Effettuare il setup della soluzione ed il fine tuning sempre in funzione delle necessità peculiari del cliente.
- Affrontare quindi la fase di test e deploy massivo.
- Infine, avviare il processo di audit di sicurezza e in conclusione analizzare i risultati.
Picano ha aggiunto che: “Risulta molto semplificata la parte di deployment, in quanto la soluzione utilizzata è fornita in Cloud secondo il modello di servizio SaaS. Gli utenti quindi accedono ad un portale web per svolgere le attività in maniera user-friendly e intuitiva. L’onboarding della soluzione verso i clienti e le terze parti è risultato essere efficiente a veloce, la piattaforma è unica e facilmente condivisibile con i vari stakeholder. La principale attività da gestire è stata la configurazione, finalizzata a realizzare una piena customizzazione: abbiamo integrato tutte le funzionalità scelte secondo le esigenze del cliente, poi abbiamo gestito le dovute fasi di test preventive al deployment finale della soluzione”.
La soluzione Vantea Smart per gli audit di sicurezza informatica
La tecnologia della soluzione Vantea Smart ha permesso di costruire un processo per gli audit di sicurezza informatica snello, sicuro e semplice da gestire: “Solitamente sul mercato si trovano soluzioni di Governance Risk & Compliance (GRC) complete, con un modulo dedicato al risk assessment, per cui se un’azienda ha necessità solo del modulo di risk assessment deve investire per la soluzione completa. Non è questo il caso – spiega Picano -. Inoltre, la maggior parte delle proposte sul mercato per gli audit di cybersecurity si occupa sostanzialmente di automatizzare fogli di calcolo, che vanno gestiti manualmente con tutti i possibili errori e disagi che ne conseguono”. La soluzione è “centralizzata, viene aggiornata in automatico secondo i parametri e i cambiamenti normativi, in modo quindi da garantire sempre la compliance – spiega Picano -. Ad esempio, già da inizio marzo integrava il questionario per la sicurezza dei fornitori v2 del Clusit pubblicato a fine febbraio. Non si rischia quindi di condurre processi obsoleti o di perdere importanti novità”. Infine, Vantea mette a disposizione uno spazio nel metaverso (Vanteaverse) per la formazione degli utenti.
Risultati e i prossimi passi
Il percorso per garantire una cybersecurity posture adeguata, nel corso del tempo, non può mai dirsi concluso in quanto il miglioramento continuo ne è una caratteristica fondamentale, per cui la consulenza di partner strategici può essere fattore critico di successo. I principali risultati già ottenuti dal cliente sono stati:
- La messa in esercizio del nuovo processo di audit in ambito sicurezza delle terze parti.
- L’evoluzione in termini di ottimizzazione del processo pre esistente di audit di sicurezza.
- L’incremento dell’affidabilità della valutazione del rischio cyber.
- L’estensione del perimetro di valutazione anche al processo di qualifica delle terze parti in ottica di una partecipazione a bandi di gara.
I prossimi passi che Vantea progetta di affrontare con il cliente invece riguardano l’integrazione di ulteriori framework e best practice, l’integrazione in ottica Enterprise Risk Management (ERM), contemplando anche ulteriori rischi emergenti come quelli in ambito Environmental, social, and governance (ESG), nonché l’estensione dell’applicazione del processo all’intero insieme di terze parti che collaborano con l’azienda.
Si sta inoltre progettando un’ulteriore evoluzione dell’algoritmo di calcolo dell’ICT Risk integrando dati statistici di settore di agenzie accreditate quali ad esempio ENISA e NIST.
Articolo realizzato in partnership con Vantea Smart
