L’entrata in vigore del GDPR ha cambiato, in modo sostanziale, il modo di affrontare il tema sicurezza informatica nelle organizzazioni.
Mai come oggi è fondamentale tutelare le infrastrutture IT aziendali da eventi avversi; non solo per le sanzioni ma soprattutto per la continuità aziendale.
Sicurezza significa anche controllo e verifica, senza i quali non è possibile avere una visione dello stato di salute dei propri sistemi.
In questo ambito, sono indispensabili le attività di assessment; tra le più importanti disponiamo della Vulnerability Assessment o Valutazione delle Vulnerabilità.
Per attività di Vulnerability Assessment (che qualcuno definisce anche come Vulnerability Scan) si intendono quelle attività tecniche specialistiche, effettuate di norma con strumenti automatici, che ricercano ed evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software, sulla base di database predisposti da organizzazioni internazionali di security IT.
Una attività di VA restituisce una “radiografia” dello stato della infrastruttura IT; sono scoperte le vulnerabilità causate da software non aggiornato, protocolli insicuri, sistemi di cifratura obsoleti, fallati o misconfigurati, impostazioni errate e addirittura configurazioni di default per le quali non sono state sostituite le credenziali predefinite (molto spesso si trovano database secondari o sistemi di controllo remoto, quali iDRAC, che hanno ancora le password di default).
Effettuare una VA alla propria infrastruttura IT (oppure a specifici sistemi IT più critici) restituisce una serie di risultati che indicano anche la soluzione o le misure di mitigazione.
Qualora le problematiche vengano affrontate, la successiva VA fotografa una situazione reale nella quale il Titolare ha preso misure di security ed ha ottenuto risultati.
Proprio quello che serve per dimostrare accountability.