fbpx
Napoli e Omignano-Scalo
+39 081 19750217
commerciale@selefor.it

Come capire quali rischi minacciano un prodotto ICT

Nella fase della progettazione, i prodotti del settore ICT devono integrare misure tecniche tali da ridurre il rischio entro i limiti dell’accettabilità. È importante perciò, prevenire e non correggere: le misure di sicurezza corrispondenti a un basso rischio aumentano i costi di investimento ma riducono il numero di incidenti e dunque i costi ex post diretti e indiretti (ripristino dei sistemi, reputazione, rimborsi ai clienti).

Le vulnerabilità di un prodotto del settore ICT possono essere:

  • Tecniche (fisiologiche a ogni nuovo rilascio di una soluzione ICT); 
  • Organizzative/procedurale
  • collocazione geografica delle risorse;
  • Comportamentali;
  • Scarsa attenzione alla formazione.

Le cause di vulnerabilità possono essere:

  • Malfunzionamento nell’hardware;
  • Errori nella scrittura del software (bug-vulnerabilità);
  • Errori di progettazione;
  • Errori che si determinano in fase di aggiornamento del software;
  • Metodi di criptazione inefficienti;
  • Assenza di procedure di autenticazione nella fornitura dei servizi (possibilità di denial of services). 

La vulnerabilità delle ICT espongono le organizzazioni che se ne avvalgono a minacce che possono produrre notevoli conseguenze sotto il profilo economico, finanziario, della reputazione dell’azienda stessa e dei dati dei dipendenti. 

Tali vulnerabilità delle ICT sono sfruttate dagli hacker che agiscono nell’ambito del cyber crime per violare infrastrutture e sistemi che sono gestiti con queste tecnologie (es. ricerca di backdoor, porte di accesso secondarie). L’attacco determina un esito di blocco o rallentamento della fornitura di un servizio da parte di un provider (denial of service); la saturazione di un server, pertanto, incide sull’erogazione del servizio ai client richiedenti.

Gli effetti sull’organizzazione e sugli stakeholder a vario titolo interessati possono riguardare i diritti e le libertà degli interessati se i loro dati sono stati divulgati, ma possono riguardare anche l’immagine dell’organizzazione, tutto ciò si traduce in una perdita economica per l’azienda. Ad esempio, la saturazione di un server rende un sito e-commerce non più in grado di erogare il servizio ai client richiedenti, con conseguente perdita di ricavi.

Come intervenire prevenendo tutto questo?

L’attività di vulnerability assessment consiste nella rilevazione e analisi dei punti deboli presenti nei sistemi di ICT di un’organizzazione. Le vulnerabilità vengono individuate grazie a software di scansione e classificate per tipologia con l’assegnazione di un grado di gravità, è una procedura alla quale segue il penetration test che consta delle seguenti fasi:

  • Individuazione del perimetro d’azione;
  • Simulazioni di azioni dall’esterno (per verificare l’efficacia dei sistemi di protezione del perimetro);
  • Simulazioni di azioni dall’interno (per verificare l’efficacia delle procedure di assegnazione dei diritti per l’accesso alle risorse da parte dei dipendenti);
  • Report finale (per valutare il successivo piano di intervento).

Il penetration test viene effettuato per valutare quanto un sistema sia vulnerabile e quali conseguenze comporta. I sistemi di ICT sono sovente impiegati sia per la fornitura di servizi sia come mezzi di trattamento di dati. 

I profili di sicurezza sono stati definiti nell’ambito delle politiche europee in materia di sicurezza delle reti e dei sistemi dell’informazione.