Analisi delle vulnerabilità degli asset: il Vulnerability Assessment Tool (VAT) di IFI Security

La valutazione delle vulnerabilità rappresenta una fase centrale del processo di risk management e richiede un’analisi puntuale e approfondita dei sistemi di sicurezza, delle strategie di mitigazione e della loro efficacia nel ridurre la probabilità di un attacco di successo.

Il Vulnerability Assessment Tool (VAT) sviluppato da IFI Security muove proprio da tali presupposti e mira a fornire una valutazione deterministica dei gap presenti nei sistemi di protezione di un dato asset. Per sistemi di protezione, si fa riferimento non solo alle componenti di sicurezza attiva e passiva, ma anche all’organizzazione generale della security (il c.d. ‘fattore umano’), alla capacità di far fronte a eventuali situazioni critiche, alla compliance del Datore di Lavoro rispetto alle normative vigenti e ad altri ambiti che possano, a vario titolo, costituire delle vulnerabilità.

Tramite l’operazionalizzazione[1] di standard e best practices internazionali, il VAT stabilisce, per ciascuno degli ambiti presi in considerazione (ognuno dei quali rappresenta, dunque, una diversa declinazione del concetto di vulnerabilità), un benchmark rispetto al quale individuare e misurare eventuali gap nel sistema di protezione.

Tale benchmark varia in funzione del livello di minaccia che caratterizza l’area ove è collocato l’asset, così da garantire il rispetto di quel principio di proporzionalità che deve essere alla base di ogni valutazione del rischio. La metodologia utilizzata dal VAT è quella della checklist, con domande a risposta chiusa che non offrono alcun margine di ambiguità, tenendo la valutazione dell’assessor entro binari ben definiti. In termini operativi, la determinazione del livello della minaccia (effettuata automaticamente dal sistema, sulla base di indicatori quantitativi calcolati sulla base di una metodologia certificata) si traduce nella creazione di una checklist ad hoc, ulteriormente personalizzata sulla base dell’indicazione della tipologia dell’asset oggetto di assessment.

Tramite un processo di aggregazione dei punteggi generati da ciascuna delle risposte data alle domande della checklist e attraverso uno specifico algoritmo di calcolo, il VAT restituisce un valore di sintesi, indicativo della vulnerabilità di un asset, ossia della sua resilienza rispetto a potenziali minacce di security individuate precedentemente. L’espressione del livello di vulnerabilità di un dato asset in un valore numerico di sintesi agevola le comparazioni di tipo sia sincronico (su più asset) sia diacronico (su uno stesso asset, in due momenti distinti).

Tale valore è espresso sotto forma numerica e si colloca su una scala che va da 0 a 100, suddivisa in cinque categorie ordinate di vulnerabilità. In questo modo, i risultati dell’assessment risultano di immediata intelligibilità, facilitando, inoltre, eventuali comparazioni tra più asset.

Le valutazioni effettuate vengono, inoltre, rappresentate tramite diagrammi a “radar” (o di Kiviat), nei quali sono riportati i valori relativi al grado di vulnerabilità associato alle singole sezioni dell’analisi. La superficie della figura che si otterrà sarà tanto più estesa quanto più alti saranno i valori di vulnerabilità associati a ciascuna sezione. Tale rappresentazione grafica consente di cogliere con immediatezza le aree di maggiore vulnerabilità.

Una volta concluso l’assessment (tramite web o attraverso la App disponibile su Apple Store e Google Play), il sistema produce in automatico un report contenente sia l’indicazione quantitativa del livello di vulnerabilità riscontrato (sia in termini complessivi, sia con riferimento a ogni specifico ambito analizzato), sia eventuali note e materiale multimediale caricato in fase di valutazione, offrendo alle funzioni di governance una panoramica puntuale e aggiornata dei livelli di sicurezza degli asset aziendali.

Il VAT, in sintesi, costituisce uno strumento estremamente prezioso per i Security Manager e per i Datori di Lavoro, che consente di:

  • sottrarre l’analisi di vulnerabilità alla soggettività e alla sensibilità dell’assessor, ancorandola, al contrario, a parametri stabili nel tempo e oggettivi;
  • comparare un numero indefinito di asset, individuando eventuali gap comuni/ricorrenti;
  • rafforzare il livello di protezione minimo degli asset, riducendo il numero di eventi dannosi;
  • stabilire priorità di intervento, sulla base sia della vulnerabilità sia della criticità degli asset valutati[2], così da rispettare eventuali limiti di budget e risorse;
  • monitorare e misurare l’efficacia dei piani di mitigazione implementati a seguito di un assessment e, conseguentemente, delle performances del personale coinvolto nelle attività di security;
  • individuare con chiarezza ruoli e responsabilità all’interno dell’Organizzazione, facendo luce su eventuali aree grigie che possano rallentare o ostacolare il processo di Risk Management;
  • centralizzare le attività di Risk Management, offrendo al Datore di Lavoro una panoramica chiara e sempre aggiornata sui rischi ai quali è esposta l’Azienda.

[1] Per processo di “operazionalizzazione”, si intende, in questo caso, la declinazione delle normative e delle best practices internazionali in indicazioni puntuali e mirate, dunque verificabili e misurabili.

[2] Il sistema consente di stabilire la criticità dell’asset, facendo riferimento alla logica del c.d. ‘worst case scenario’. Nello specifico, la determinazione del livello di criticità fa riferimento al valore economico dell’asset e al personale ivi operante.

La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.

Iscriviti alla nostra Newsletter per rimanere sempre aggiornato sulle ultime novità del mondo della Security

Condividi questo articolo
Share on facebook
Share on twitter
Share on linkedin
Seguici
Ultimi articoli

Outlook Pakistan

Il sistema politico-istituzionale pakistano è attualmente contraddistinto da un’aspra contrapposizione