All’azienda sono state richieste preliminarmente diverse informazioni utili e a supporto delle attività vere e proprie. Tra queste i processi più rilevanti per l’organizzazione, inclusi quelli che riguardano il trattamento di dati personali, e le soluzioni di cybersecurity già implementate. Inoltre, viene richiesta una documentazione aggiornata dell’infrastruttura IT.
Si è partiti dall’analisi delle informazioni preliminari raccolte.
Abbiamo svolto l’assessment vero e proprio in tutte le cosiddette security zone adottando un approccio Top-down.
1° step
Siamo partiti da un High Level Design Assessment, effettuando un’intervista al reparto IT per raccogliere informazioni aggiornate e dettagliate sull’infrastruttura network security, sulle security policy definite ed i relativi componenti architetturali coinvolti ed analizzando i comportamenti standard degli utenti, oltre che ad un’intervista delle risorse aziendali coinvolte nei processi di gestione dei dati privacy.
L’elaborazione delle informazioni raccolte hanno permesso di effettuare una GAP Analysis di tipo qualitativo volta ad evidenziare le “distanze” dell’infrastruttura esistente rispetto alla best practice di riferimento, in relazione ai principali vettori di attacco ed ai rischi di perdita di confidenzialità dei dati. E’ stato inoltre elaborato un Remediation Plan contenente la misurazione dei vari livelli di rischio assoluti e relativi, in base ai quali sono state definite le conseguenti attività di remediation. Questa attività ci ha dato la possibilità di coinvolgere e sensibilizzare gli stakeholder ed allinearli e innescare un confronto propedeutico.
2° step
In base a quanto precedentemente elaborato, si sono implementate delle attività sistemistiche volte a verificare puntualmente le configurazioni e le evidenze nei sistemi coinvolti nell’applicazione dei layer di sicurezza necessari nelle zone di rischio individuate (Low Design Security Assessment). Attraverso le attività di Penetration Test e Vulnerability Assessment, abbiamo contestualizzato il reale fattore di rischio testando attraverso pratiche di Ethical Hacking l’effettiva esposizione dell’infrastruttura anche nei contesti applicativi.
L’output fornito è estremamente “pratico” in quanto trasmette una stima tangibile dei problemi-GAP-risoluzioni.
Si definisce, inoltre, un primo livello di attività di remediation e le diverse contromisure da mettere in campo tramite progetti dedicati. Le diverse remediation sono state presentate con un ordine di priorità, in funzione dei rischi individuati per la sicurezza delle informazioni, che contempla da una parte la criticità ad esse associate, dall’altra una roadmap di implementazione coerente con le logiche di design.
L’Executive Summary proposto fornisce una fotografia di insieme delle aree a maggiore rischio e permetto al management di stabilire (confermando o meno le ipotesi di intervento proposte) in quali aree prevedere interventi mediante l’assegnazione di budget e risorse. Seppur non sia esplicitamente previsto un metodo di analisi specifico dalle autorità, la volontà di svolgere periodici assessment dimostra l’attenzione dell’azienda ai temi e può rappresentare un elemento di aiuto in caso di criticità formali (garante privacy).
I campi contrassegnati con * sono obbligatori