Vulnerability Assessment

L’entrata in vigore del GDPR ha cambiato, in modo sostanziale, il modo di affrontare il tema della sicurezza delle informazioni nelle organizzazioni sia pubbliche che private.

Mai come oggi è fondamentale tutelare le infrastrutture IT aziendali da eventi avversi; non solo per le sanzioni ma soprattutto per la continuità aziendale ed – in ultima istanza – per garantire il futuro della economia basata sui dati e servizi digitali europea.

Sicurezza significa anche controllo e verifica, senza i quali non è possibile avere una visione dello stato di salute dei propri sistemi e la loro robustezza (che preferiamo definire resilienza).

In questo ambito, sono indispensabili le attività di assessment; tra le più importanti disponiamo della Vulnerability Assessment o Valutazione delle Vulnerabilità.

Per attività di Vulnerability Assessment (che qualche collega definisce anche come Vulnerability Scan, ma per noi una VAscan è solo una parte del VAss) si intendono quelle attività tecniche specialistiche, effettuate prevalentemente con strumenti automatici ma anche tramite attività specialistiche, che ricercano ed evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software, sulla base di database predisposti da organizzazioni internazionali di security IT.

Una attività di VAss restituisce una “radiografia” dello stato della infrastruttura IT; sono rilevate le vulnerabilità causate da software non aggiornato, protocolli insicuri, sistemi di cifratura obsoleti, fallati o misconfigurati, impostazioni errate e addirittura configurazioni di default per le quali non sono state sostituite le credenziali predefinite (molto spesso si trovano database secondari o sistemi di controllo remoto, quali iDRAC, che hanno ancora le password di default).

Effettuare un Vulnerability Assessment alla propria infrastruttura IT (oppure a singolo e/o specifici sistemi IT critici) restituisce una serie di risultati che indirizzano anche verso la soluzione da attuare o le necessarie misure di mitigazione.

Qualora le problematiche vengano affrontate, la successiva VAss certifica un processo di accountability, determinato da controlli > riscontri della presenza di vulnerabilità > risoluzione della vulnerabilità o adozione di misure a mitigazione. In pratica, il Titolare del trattamento ha effettuato controlli – come indicato al’art. 32 GDPR, adottato misure di sicurezza ed ha ottenuto risultati (il secondo assessment non rileva più le vulnerabilità pregresse).

Proprio quello che occorre per dimostrare accountability della organizzazione.

APPROFONDIMENTI TRAMITE I NOSTRI ARTICOLI IN TEMA DI VULNERABILITY ASSESSMENT