L’entrata in vigore del GDPR ha cambiato, in modo sostanziale, il modo di affrontare il tema sicurezza informatica nelle organizzazioni.
Mai come oggi è fondamentale tutelare le infrastrutture IT aziendali da eventi avversi; non solo per le sanzioni ma soprattutto per la continuità aziendale.
Sicurezza significa anche – e sopratutto – controllo e verifica, senza i quali non è possibile avere una visione dello stato di salute dei propri sistemi.
In questo ambito, sono indispensabili le procedure di assessment; tra le più importanti proponiamo l’attività di Vulnerability Assessment o Valutazione delle Vulnerabilità.
Per attività di Vulnerability Assessment (che qualcuno definisce anche come Vulnerability Scan) si intendono quelle attività tecniche specialistiche, effettuate di norma con strumenti automatici, che ricercano ed evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software, sulla base di database predisposti da organizzazioni internazionali di security IT.
Una attività VA restituisce una “mappatura” dello stato della infrastruttura IT; sono evidenziate le vulnerabilità causate da software non aggiornato, protocolli insicuri, sistemi di cifratura obsoleti, fallati o misconfigurati, impostazioni errate e addirittura configurazioni di default per le quali non sono state sostituite le credenziali predefinite (molto spesso si trovano database secondari o sistemi di controllo remoto, quali iDRAC, che hanno ancora le password di default).
Effettuare una procedura VA alla propria infrastruttura IT (oppure a specifici sistemi IT più critici) restituisce una serie di risultati che indicano anche la soluzione o le misure di mitigazione.
Qualora le problematiche vengano affrontate, la successiva VA fotografa una situazione reale nella quale il Titolare ha preso misure di security ed ha ottenuto risultati, dimostrando e certificando la propria accountability.
Al fine di ridurre i costi operativi e minimizzare i contatti fisici, abbiamo studiato una procedura di VA remota, effettuata tramite un device proprietario che viene spedito presso la stuttura aziendale da sottoporre a valutazione, che verrà svolta tramite attività in telepresenza.
Contattateci per ulteriori informazioni o per i costi della attività di vulnerability scan.
Commenti recenti