Cyber Vulnerability Scorecard
Comprendi la vulnerabilità cibernetica della tua organizzazione e identifica i passaggi necessari per rafforzarla.
La scheda punteggi include 23 domande di autovalutazione relative alla tua organizzazione:
- attrattiva per i cyber criminali
- danno potenziale in caso di violazione cyber
- punto di forza / debolezza della sicurezza informatica e della resilienza.
I risultati delle tue Scorecard sono forniti in un rapporto PDF scaricabile.
Attrazione per i criminali informatici
Tali dati potrebbero includere quelli riguardanti dipendenti, pensionati, donatori, membri di un’organizzazione, titolari di conti bancari, proprietari di casa o titolari di una varietà di documenti personali importanti. Ovunque siano detenuti dati personali l’azienda è appetibile per i criminali informatici.
Tali dati potrebbero includere informazioni confidenziali in quanto correlate a salute, origini o privacy. Altre motivazioni riguardano la confidenzialità per ragioni di sicurezza di tutela del’immagine pubblica; di riservatezza su procedimenti legali ed in generale informazioni che se rivelate potrebbero avere un impatto finanziario negativo. Le informazioni che una persona o un’azienda ha interesse a non rendere pubbliche costituiscono anche la base di un ricatto.
Tali dati potrebbero includere informazioni di valore in quanto riguardati innovazioni di prodotto o di processo insiemi di informazioni distintive relative a processi produttivi o clienti, di informazioni registrate o concernenti formule complesse.
Un’azienda potrebbe, diventare attraente per i cd."hackivisti" in virtù delle sue operazioni, delle sue opinioni dichiarate, delle sue associazioni politiche o in generale per la sua posizione percepita in un più ampio contesto sociopolitico
Le aziende che forniscono servizi ad altre aziende spesso hanno accesso a sistemi, database, informazioni sensibili e riservate delle aziende clienti. Ciò potrebbe includere, ad esempio, studi legali, società di revisione contabile, società di outsourcing IT. È più conveniente attaccare una singola azienda che permetta di accedere ad informazioni afferenti a diverse altre aziende, che attaccarle una per una.
Un’azienda che è nota pubblicamente per avere difese informatici deboli potrebbe essere attraente in quanto considerata come un obiettivo debole o facile, in cui i rischi sono bassi, ma i potenziali guadagni sono elevati. Al contempo, anche, un’azienda che è nota pubblicamente per avere difese contro la criminalità informatica potrebbe essere attraente in quanto potrebbe essere utilizzata dai criminali informatici come occasione di sfida per testare la loro esperienza.
Danni che possono essere causati
Il profilo pubblico/ marchio di un azienda può essere ben conosciuto dal pubblico in generale, all’interno di settori specifici e/o all’interno di specifici sotto-settori o aree geografiche locali
I marchi possono essere noti per ragioni positive, come la reputazione, per il lavoro di qualità svolto o per ragioni negative, come la reputazione attribuita all’azienda di facilitare l’evasione fiscale. Le aziende con un marchio ben conosciuto e un profilo pubblico positivo avranno più da perdere rispetto a aziende con un profilo pubblico già noto per caratteristiche negative.
Il reddito di un azienda potrebbe essere direttamente/indirettamente influenzato da un incidente informatico negativo. Ad esempio: un’associazione di beneficenza dipendente da donazioni individuali o uno studio legale dipendente da pagamenti non ricorrenti da parte dei clienti. Le fonti di reddito garantite a medio termine sono probabilmente meno vulnerabili agli incidenti informatici.
Dati personali, finanziari, legali e commerciali potrebbero, se rubati, essere utilizzati per una varietà di scopi criminali. Ad esempio, le informazioni personali e/o finanziarie possono essere utilizzate per commettere frodi, le informazioni legali possono essere utilizzate per porre in essere azioni di ricatto/estorsione e le informazioni commerciali potrebbero essere utilizzate per ottenere un vantaggio concorrenziale sleale.
L’aspettativa generale è che il livello di sicurezza informatica di un’azienda sia consistente con le funzioni da queste svolta. Ad esempio, i donatori possono ragionevolmente aspettarsi che le associazioni garantiscano l’archiviazione in maniera sicura delle informazioni personali. I clienti si aspettano che le aziende commerciali garantiscano la riservatezza delle informazioni contrattuali. Gli investitori si aspettano che le proprietà intellettuali distintive dell’investimento siano salvaguardate.
L'azienda vende o ha una più ampia responsabilità per i dati o i servizi tecnologici? Se così fosse, una violazione informatica potrebbe essere particolarmente dannosa per la reputazione.
Alcune aziende potrebbero subire danni finanziari immediati a causa, ad esempio, di mancati guadagni, di pagamenti per danni causati ai clienti, donazioni ridotte.
Livello di mitigazione del rischio
Ciò includerebbe l'analisi e la pianificazione della tua presenza online (piuttosto che le possibilità di crescita); il numero, il tipo e la proprietà di dispositivi specifici connessi; nonché la distribuzione dei suoi assets (i.e. dove si trovano dati e i sistemi al fine di rendere più difficile ai criminali informatici di riuscire ad attaccare un singolo luogo, e la tipologia dei dati raccolti).
Le aziende che controllano e/o elaborano informazioni personali sono comunemente soggette al possesso requisiti richiesti per la protezione dei dati. Le aziende che non soddisfano tali requisiti possono essere soggette a sanzioni pecuniarie per le violazioni di tali dati.
“Penetration Test”, noti anche come “Ethical Hacking”, consentono di testare sistemi e processi di sicurezza informatica. I “Penetration Testers”, soggetti indipendenti, specializzati e accreditati, possono testare se la vostra sicurezza informatica è al passo con la presenza delle minacce informatiche in continua evoluzione.
Il regolare back-up dei dati è un componente chiave della resilienza informatica, fornendo un’ultima protezione nel caso di un significativo incidente informatico. I back-up devono essere custoditi in modo sicuro, in più posizioni e essere separati dalle reti dell’azienda.
La consapevolezza include la comprensione da parte del personale del ruolo attribuitogli per la protezione dell’azienda nei casi di crimini informatici e di incidenti informatici negativi. Tale consapevolezza comprende anche la valutazione delle vulnerabilità interne, l’implementazione delle autorizzazioni, i controlli sugli accessi e sui potenziali dipendenti.
Un incidente informatico negativo può avere un impatto significativo e distruttivo sull’organiza, consumando tempo ed energia a scapito della normale attività operativa. Buona pratica è quella di avere un piano di crisi che si occupi di stabilire la gestione nelle fasi che caratterizzano la crisi, immediatamente e successivamente, nonché stabilire chi e come manterrà la normale attività operativa.
Le fasi iniziali di un incidente informatico negativo sono critiche. Le aziende dovrebbero disporre di una procedura concordata per garantire che ci siano le risorse disponibili per rispondere in maniera rapida e competente, per stabilire la portata dell’incidente, le sue origini, i suoi impatti probabili/potenziali nonché il modo in cui la situazione può essere ripristinata. Gli accordi con fornitori esterni dovrebbero essere definiti prima che si verifichi un incidente.
Gli impatti immediati di un incidente informatico negativo possono incidere in un primo momento sugli aspetti finanziari, ma a lungo termine l’impatto sull’immagine potrebbe potrebbe essere superiore. Le organizzazioni dovrebbero avere un piano di comunicazione tale da garantire che tutte le parti interessate ricevano le comunicazioni adeguate quando servono. Il piano dovrebbe coprire le fasi immediatamente successive all’incidente informatico al fine di riuscire a gestire, mitigare e riprendersi rapidamente e abilmente da qualsiasi danno incidente sulla reputazione. Gli accordi con fornitori esterni dovrebbero essere predisposti prima di un incidente.
Eventuali violazioni delle informazioni personali potrebbero dover essere segnalate all’autorità competente in materia di protezione dei dati. Le aziende dovrebbero disporre di una risorsa reperibile su chiamata preparata a comprendere rapidamente e con competenza se si è verificata una violazione, se un’autorità di regolamentazione deve essere informata e per mitigare possibili risposte giuridico-normative.
Una grave violazione informatica può essere costosa e interrompere le normali operazioni commerciali. L’assicurazione specifica per il settore informatico è legata alla copertura delle perdite, al fine di mitigare i danni derivanti da una violazione, al ripristino del regolare svolgimento degli affari e alle potenziali sanzioni pecuniarie emesse dalle agenzie di regolazione.