Stabilire quanto è sicuro un sistema tramite security audit è uno degli aspetti più complessi da affrontare in ambito aziendale. Quando si svolge una procedura di revisione della sicurezza, come ad esempio un Security Audit Log, vi sono innumerevoli aspetti da tenere in considerazione per poter stabilire se il sistema sia o meno sicuro.
Nel dettaglio, i security audit comprendono un’analisi dettagliata non solo di prodotti e applicazioni, ma anche dei processi aziendali. Pertanto, ogni singolo aspetto deve essere valutato nel modo corretto e i manager hanno il compito di preparare i propri dipendenti a conoscere e comprendere le basi di ogni processo.
Alla base di qualsiasi security audit troviamo la figura dell’auditor, ovvero la persona che svolge i controlli seguendo il paradigma RCE: “regole, controlli ed evidenze”. La sua attività può essere definita simmetrica rispetto a quella del security administrator. Se quest’ultimo ha come obiettivo quello di progettare un sistema sicuro, il security auditor è capace di individuare e mettere in mostra eventuali punti vulnerabili.
Generalmente, il security audit inizia con una mappatura preliminare di tutte le risorse da verificare seguita da una valutazione in termini di rischi e minacce degli oggetti. L'obiettivo, in questo caso, è quello di ricondurre la complessità delle architetture, processi e procedure dati a un modello logico, così da poter analizzare componenti critici su cui effettuare le relative verifiche.
La seconda fase è quella di assessment che, tuttavia, richiede tempo, risorse ed energie al fine di individuare gli assetti critici e selezionare quelli che saranno messi in sicurezza, con relative priorità e con un'attenzione nei confronti della compliance. Inoltre, le tipologie di assessment si distinguono in tre approcci: controlli di sicurezza, valutazioni a livello di vulnerabilità e test di penetrazione.
Gli audit di sicurezza hanno come obiettivo quello di misurare le prestazioni del sistema rispetto ad un determinato numero di parametri e criteri. Quest’ultimi possono comprendere sia l’aspetto umano che quello tecnologico.
Per quanto concerne le vulnerabilità, questo passaggio implica uno studio completo del sistema informativo per verificare lo stato della sicurezza, attraverso una serie di test di diverse classi che potrebbero essere sfruttate per violare il sistema stesso e i dati in esso contenuti.
Infine, il test di penetrazione comprende simulazioni di attacchi esterni aventi lo scopo di acquisire informazioni sul sistema informatico dell’azienda e analizzare tutte le componenti visibili dall’esterno, al fine poi di rilevare possibili vulnerabilità e vie di accesso che possono consentire attacchi. Quest’ultimo può far leva su strategie non propriamente di carattere tecnologico, bensì sfruttare eventuali falle nei processi aziendali con un approccio di ingegneria sociale.
Il rapporto permetterà di ottenere un’ampia serie di informazioni riguardanti sia i processi aziendali, ma anche del sistema, oltre ai servizi attualmente attivi necessari per rilevare vulnerabilità e implementare sistemi di protezione più efficaci. A questo punto, sarà compito del security auditor fornire una lista di priorità e formulare i passaggi da compiere per raggiungere un livello di sicurezza elevato tale da stabilire che l’intero sistema può essere considerato sicuro.
Il security audit è un processo che non si deve compiere una tantum, bensì l’obiettivo è quello di creare una cultura e un’atmosfera di analisi continua. È prassi per molte aziende svolgere per la prima volta un security audit, per poi scordarsene nel breve e lungo periodo. Questo atteggiamento porta come diretta conseguenza la creazione di nuove opportunità per colpire e accedere a dati sensibili attraverso falle che si sono create nel tempo.
Lo svolgimento di audit di sicurezza in modo continuo consente di identificare tempestivamente i punti deboli e di predisporre soluzioni adeguate a tenere il più possibile lontani potenziali attacchi. Questa strategia di audit consente anche la creazione di un livello base per la sicurezza che può essere modificato e aggiornato così da monitorare continuamente i progressi e le aree in cui sono necessari miglioramenti.
Una politica di gestione degli audit strutturata nel tempo e atta a mitigare le problematiche a livello di sicurezza rappresenta, quindi, la chiave per stabilire la sicurezza del proprio sistema.