I test di sicurezza in azienda sono un aspetto fondamentale per la protezione degli asset aziendali.
Le modalità utilizzate per rappresentare i security testing sono molteplici: vulnerability assessment, penetration test, security test, security assessment. È compito del team interno selezionare e combinare le varie metodologie di test per ottenere i risultati migliori per innalzare la security posture aziendale.
Fra tutti, forse il più efficace è sicuramente il penetration test, come spiegato nell’articolo Security testing: soluzioni e best practice per proteggere gli asset aziendali di Cybersecurity360: si tratta di una tipologia di test che simula l’attacco esterno da parte di un attaccante. È possibile eseguire il test sia si potrà con qualche conoscenza sul target e sull’infrastruttura che in modalità cosiddetta “blind” (cieca), senza alcuna conoscenza fornita al team simulando davvero un attaccante senza alcuna informazione privilegiata.
Il test può essere eseguito da remoto, usando la rete Internet, in whitelist o meno (cioè da server attaccanti precedentemente dichiarati e autorizzati) sui sistemi perimetrali, da una postazione all’interno dell’azienda o prevedere anche una parte di assessment di sicurezza fisica simulando effrazioni agli spazi aziendali per valutare l’effettiva probabilità di violazione della rete da parte di soggetti non autorizzati.
Lo scopo del penetration test è quello di entrare il più possibile in profondità in un sistema o in una rete, esfiltrando dati verso l’esterno e/o rendendo persistente la presenza dell’attaccante all’interno dei server dell’azienda target, così da garantire la possibilità di abuso in qualunque momento.
È solo grazie all’esecuzione dei penetration test, modificando volta per volta il target della nostra attività e cambiando il punto di origine dei test, che sarà possibile simulare un attaccante proveniente dall’esterno o una minaccia interna come un malware scritto ad hoc per esfiltrare i dati o un dipendente infedele.
Le misure per proteggere la sicurezza in azienda sono molte, come spiega il lungo articolo Sistemi per la sicurezza informatica aziendale, come costruire una strategia efficace di ZeroUnoWeb, ma spesso manca la motivazione per farlo, la piena consapevolezza del rischio.
Principale leva sui cui agire per convincere aziende e top management a investire in tecnologie per la sicurezza informatica è sicuramente la valutazione degli effetti economici riconducibili a un attacco informatico.
Si tratta, in generale, di implicazioni importanti da vari punti di vista: riduzione della produttività, azioni legali, mancata compliance, pagamento di multe, perdita di clienti, danno all’immagine.
Diverse sono le voci di spesa da prendere in considerazione:
- le risorse economiche e umane impiegate per le azioni di risposta all’incidente;
- il blocco o la significativa riduzione della produttività a causa della violazione;
- implicazioni giuridiche, soprattutto se la violazione ha riguardato il furto di informazioni riservate dei clienti;
- sanzioni normative soprattutto nei settori che trattano dati sensibili;
- necessità di implementare ulteriori requisiti di sicurezza e audit, per esempio per l’introduzione di nuove tecnologie di difesa al fine di debellare l’attacco;
- ricostruzione della brand awareness, per riparare al danno d’immagine e riconquistare la fiducia del mercato.
Per mitigare i rischi sempre più cangianti e sofisticati degli attaccanti non è però sufficiente imporre l’adozione di soluzioni di IT security invasive e il rispetto di policy rigide, ma è necessario cambiare l’approccio alla security da parte di tutti gli attori in gioco.
A cura di Manuela Santini, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato Trainee Information & Cyber Security presso P4I – Partners4Innovation
