È necessario condurre una valutazione del rischio per la sicurezza informatica?


  • Circa il 43% degli attacchi informatici si rivolge alle piccole imprese.
  • Gli esperti stimano che il crimine informatico in tutto il mondo costerà fino a $ 6 trilioni di dollari entro il 2021.
  • Secondo uno studio dell'Università del Maryland, ogni 39 secondi si verifica un attacco informatico contro un computer con accesso a Internet.

Le violazioni dei dati nel mondo altamente connesso di oggi sono diventate all'ordine del giorno. I titoli raccontano regolarmente delle principali catene di vendita al dettaglio, delle agenzie di segnalazione del credito al consumo e persino delle entità governative che cadono in preda alle intrusioni di aggressori esterni.

Come piccola impresa, può sembrare un compito scoraggiante tenere gli attori cattivi lontano dai tuoi dati e, per estensione, dai dati dei tuoi clienti. Tuttavia, eseguendo una valutazione del rischio per la sicurezza informatica, stai compiendo i primi passi per comprendere meglio i difetti di sicurezza della tua rete e cosa devi fare per correggerli.

Le valutazioni del rischio di sicurezza informatica vengono utilizzate per identificare i dati e i dispositivi più importanti, come un hacker potrebbe ottenere l'accesso, quali rischi potrebbero sorgere se i tuoi dati cadessero nelle mani sbagliate e quanto vulnerabile sei un bersaglio. Sebbene tu possa eseguire la tua analisi completa, ci sono molte aziende disponibili a guidarti attraverso l'intero processo e fornire un servizio di monitoraggio a pagamento.

Va notato che, a seconda del proprio settore, si potrebbe già essere sottoposti a valutazioni obbligatorie del rischio di cibersicurezza da parte di un'entità certificata. In tali casi, potrebbe essere necessario utilizzare un sistema di terze parti per conformarsi alle normative.

Secondo il Verizon 2019 Data Breach Investigations Report, il 43% delle intrusioni ha preso di mira le piccole imprese. Ciò non dovrebbe sorprendere dal momento che ci sono quasi 30 milioni di piccole imprese americane e la maggior parte di esse sono obiettivi soft per gli hacker.

Poiché l'Associazione di audit e controllo dei sistemi informativi suggerisce che una valutazione del rischio di sicurezza informatica dovrebbe aver luogo almeno una volta ogni due anni, ecco alcune azioni e suggerimenti che è possibile utilizzare oggi per iniziare.

1. Raccogliere informazioni

Il motivo più importante per eseguire una valutazione del rischio per la sicurezza informatica è raccogliere informazioni sulla struttura della sicurezza informatica della rete, i suoi controlli di sicurezza e le sue vulnerabilità. Se non sai cosa stai facendo o cosa stai cercando, una valutazione condotta male potrebbe ancora renderti vulnerabile agli attacchi.

"Se le aziende non hanno l'esperienza, gli strumenti o il team per condurre una valutazione del rischio accurata e accurata e stanno solo cercando di risparmiare sui costi facendoli da soli, possono sperimentare maggiori costi in futuro in caso di violazione di hacking o dati ciò che altrimenti avrebbe potuto essere evitato si verifica ", ha dichiarato Keri Lindenmuth, responsabile marketing di Kyle David Group. "Molte piccole imprese non si riprendono da una violazione dei dati a causa delle implicazioni finanziarie e finiscono per chiudersi per sempre".

A tal fine, se la tua piccola impresa ha professionisti IT a portata di mano con una conoscenza approfondita dei tuoi sistemi, dovresti collaborare con loro per elaborare un piano per la valutazione del rischio.

Se non si assume o non si contratta con specialisti IT, ma si ha familiarità con il proprio sistema e il modo in cui funziona, è comunque possibile condurre la propria valutazione se si rimane obiettivi durante l'intero processo.

Spesso le aziende trascurano alcuni aspetti della sicurezza perché il cambiamento di tali cose causerebbe troppe interruzioni o costerebbe troppo da risolvere. Devi essere disposto a fare grandi cambiamenti se i tuoi risultati indicano importanti buchi nella tua rete.

2. Mappa il tuo sistema

Dopo aver considerato come procedere per la raccolta di informazioni, è tempo di iniziare la valutazione effettiva. Per iniziare, vorrai determinare tra l'altro come funziona il tuo sistema, quale funzione serve e chi usa il sistema.

Il tuo obiettivo è determinare eventuali rischi e vulnerabilità presenti nella tua rete. Una volta identificato, dovrai valutare l'entità del rischio in quelle aree problematiche, cosa stai facendo per mitigare tali problemi e calcolare qual è il tuo rischio complessivo.

Prendi in considerazione tutto ciò che è collegato alla tua rete. Stampanti, laptop, telefoni cellulari e dispositivi intelligenti sono tutti punti di accesso per l'ingresso di codice dannoso nella rete. Puoi trovare le vulnerabilità con l'aiuto di alcuni programmi automatizzati, come l'applicazione a pagamento Nessus Professional e lo strumento gratuito OpenVAS, che eseguono scansioni di vulnerabilità su diversi aspetti della tua rete per rilevare i rischi.

In ufficio, è importante assicurarsi che anche i dispositivi fisici siano protetti. Gli aggressori spesso ottengono l'accesso tramite dispositivi abilitati a Internet e accedono alla rete tramite exploit senza patch. Dispositivi come stampanti wireless, router Wi-Fi e dispositivi mobili possono essere sfruttati per consentire agli hacker di accedere al resto della rete.

Un modo semplice per evitare problemi è assicurarsi che il firmware dei dispositivi sia aggiornato. Microsoft ha uno strumento gratuito per aiutarti a rilevare se i tuoi prodotti Microsoft sulla tua rete sono tutti aggiornati.

3. Contrastare il fattore umano

L'errore umano può anche causare vulnerabilità della rete. Una delle maggiori cause di violazioni dei dati è causata involontariamente da dipendenti che fanno clic casualmente su collegamenti sospetti o scaricano allegati dalle e-mail di phishing. I test di vulnerabilità sulle risposte e le pratiche online dei dipendenti possono essere utili prima di iniziare un addestramento specializzato sulla sicurezza informatica.

È possibile eseguire un test di vulnerabilità di phishing utilizzando un simulatore di phishing online. Ti consente di impostare e-mail mascherate da quelle dei colleghi di lavoro con l'obiettivo di convincere i dipendenti a scaricare un allegato o inviare credenziali. I risultati negativi non dovrebbero comportare alcuna azione punitiva. Al contrario, è possibile utilizzare tali informazioni per impostare una formazione aggiuntiva sulle migliori pratiche di sicurezza informatica e fornire ai propri dipendenti suggerimenti per evitare attacchi di phishing. I risultati possono anche aiutarti a determinare se è necessario implementare l'autenticazione a due fattori sull'accesso alla rete.

Insieme a punti di accesso non intenzionali, la tua sicurezza informatica può essere messa a rischio attraverso l'uso di unità flash USB non crittografate, cattive pratiche di conservazione e distruzione dei documenti, l'uso di canali non sicuri per trasmettere informazioni personali e l'invio involontario di dati sensibili alla persona sbagliata.

Mentre possono verificarsi incidenti, gli attacchi dannosi sono gli attacchi informatici più comunemente temuti. In questi casi, software dannoso (malware), minacce interne di hacking o tattiche come attacchi DDoS (Distributed Denial of Service) possono colpire duramente la tua rete.

Esistono molti strumenti online per aiutarti a determinare se gli attaccanti possono facilmente inserirsi nella tua rete attraverso il tuo sito web. Ad esempio, Pentest Tools è un servizio a pagamento che esegue la scansione di siti Web, applicazioni Web e rete per determinare se esistono vulnerabilità. Il software di test di penetrazione ti aiuta a vedere dove gli hacker possono accedere ai tuoi dati attraverso il web. Problemi comuni con i siti Web sono la mancanza di certificati SSL / TLS e HTTPS, che sono fattori nella protezione di un dominio.

4. Considerare i rischi potenziali, la loro probabilità e il loro impatto

Oltre a considerare il lato tecnico e umano della sicurezza informatica, considera quali minacce possono colpire la tua rete e quanto è probabile che accada. Durante una valutazione del rischio per la sicurezza informatica, vorrai elencare tutti i possibili punti di attacco che gli hacker possono sfruttare per accedere alla tua rete e ai tuoi dati, indipendentemente dal fatto che siano di natura maligna o dannosa.

Un modo per prepararsi è seguire la Guida dell'Istituto nazionale per gli standard e la tecnologia per condurre valutazioni dei rischi. Questo documento contiene tabelle di esempio che è possibile utilizzare per valutare ogni potenziale rischio per la sicurezza.

Una volta identificate le potenziali minacce, si desidera determinare in che modo avrebbero un impatto sull'infrastruttura e sulle difese della rete effettiva.

Inoltre, vorrai determinare la probabilità che queste minacce si verifichino. Secondo Sage Data Security, puoi dividerlo in "valutazioni di probabilità", come ad esempio:

  • La fonte della minaccia è altamente motivata e sufficientemente capace e i controlli per prevenire l'esercizio della vulnerabilità sono inefficaci.
  • La fonte della minaccia è motivata e capace, ma sono in atto controlli che possono impedire l'esercizio corretto della vulnerabilità.
  • La fonte della minaccia è priva di motivazione o capacità o sono in atto controlli per prevenire o almeno ostacolare in modo significativo l'esercizio della vulnerabilità.

Dopo aver determinato le potenziali minacce, l'impatto che avranno sulla tua rete e la probabilità che si verifichino, dovrai immaginare cosa accadrebbe se questi attacchi alla tua azienda avessero successo. So che può essere spaventoso, ma se accadessero queste cose, è importante sapere quanto possono andare male le cose e escogitare un piano d'azione per affrontare le conseguenze. Dopotutto, è noto che la maggior parte delle PMI subisce una volta una violazione dei dati.

Alla fine della giornata, la sicurezza della rete della tua piccola impresa è fondamentale. I tuoi dati, così come i dati dei tuoi clienti, sono incredibilmente preziosi e importanti – il che, ovviamente, è il motivo per cui gli hacker vogliono ottenerli.

Se decidi di eseguire la tua valutazione del rischio per la sicurezza informatica, potresti riscontrare evidenti problemi di sicurezza mentre familiarizzi con la rete e come funziona. Sebbene sia sempre una buona cosa, un consulente o un'azienda di sicurezza informatica professionale può condurre una valutazione del rischio ancora più quantitativa che può aiutarti a evitare enormi violazioni dei dati causate da alcuni degli exploit più recenti e più sottili.

Rapporti aggiuntivi di Andreas Rivera