Una strategia efficace di cybersecurity non deve partire dalle tecnologie, ma da un monitoraggio attento degli asset IT di un’azienda. Proprio le informazioni che verranno da questa attività, infatti, saranno utili per definire la strategia di protezione migliore dagli attacchi informatici, identificando le aree più a rischio e andando anche a individuare eventuali violazioni o compromissioni dei sistemi già in atto. A sottolinearlo è un recente report di S&P Global Ratings, che punta sull’importanza del controllo e della gestione di hardware, dispositivi connessi, software e reti lungo tutto il loro ciclo di vita. La mancanza di questo genere di attività, sottolinea il report, può significare un’errata gestione del rischio informatico e potrebbe pesare sulla view di S&P circa il rating delle organizzazioni.
Le priorità per le grandi imprese
“Per essere efficace – si legge nel report – un sistema di sicurezza informatica deve sapere cosa deve proteggere. Nelle grandi organizzazioni ciò può includere migliaia di dispositivi connessi, come computer portatili e telefoni cellulari, nonché molteplici sistemi operativi, sistemi software e reti. Il processo di registrazione, tracciamento e gestione di queste risorse si chiama tipicamente IT Asset Management (Itam) e la sua efficacia è fondamentale per una buona difesa informatica”.
I rischi per il rating
Poter contare su un It Asset Management solido, secondo S&P, è fondamentale per la capacità di un’organizzazione di gestire in modo proattivo le vulnerabilità, rispondere agli incidenti in modo efficiente e ridurre al minimo l’impatto finanziario degli attacchi informatici. “Consideriamo l’assenza di Itam come potenzialmente indicativa di una scarsa gestione del rischio informatico che, insieme ad altri fattori – sottolinea l’agenzia di Rating – potrebbe pesare sulla nostra valutazione della governance e della gestione del rischio operativo di un’entità”.
La vision del National Institute of Standards and Technology
A sottolineare l’importanza dell’Itam è anche il Nist, National Institute of Standards and Technology, agenzia del Dipartimento del Commercio degli Stati Uniti, che sottolinea come i vantaggi di questo approccio consistano in una capacità di risposta più rapida agli avvisi di sicurezza, nell’aumento della resilienza della cybersecurity grazie a una maggiore attenzione agli asset critici, in una migliore gestione dei costi e in una riduzione della superficie di attacco grazie al miglioramento delle patch e degli aggiornamenti.
“L’Itam – spiega ancora S&P – può anche svolgere un ruolo importante nel facilitare la definizione delle priorità degli asset. Non tutti i sistemi IT sono uguali e il guasto di un sistema critico può avere un impatto notevole su tutta l’organizzazione. Un sistema che aiuti le organizzazioni a tenere traccia degli asset che sono i ‘gioielli della corona’ della loro rete rende più facile la valutazione dei rischi e aiuta a dare priorità agli sforzi di sicurezza”.
I framework di Nist e Cis
A supporto delle aziende il Nist e il Center for Internet Security (Cis), organizzazione no-profit di consulenza e benchmarking, hanno descritto un inventario accurato delle risorse hardware e software come punto di partenza di un programma efficace di sicurezza informatica e gestione del rischio. “I framework forniti dal Nist e da altre organizzazioni contribuiscono al quadro di riferimento che guida la nostra analisi dell’integrazione della sicurezza informatica nella gestione complessiva del rischio”, conclude S&P.