Spesso ci viene chiesto quando sia il caso di effettuare una valutazione di sicurezza. Eccezione fatta per chi è obbligato a compiere tale attività con cadenza annuale è bene considerare l’esecuzione di una valutazione almeno in questi casi:
- Quando l’azienda è cresciuta velocemente in un breve periodo di tempo: quando bisogna dare spazio e strutturare velocemente il rischio di non riuscire a gestire correttamente le modifiche occorse aumenta inevitabilmente;
- Quando abbiamo completato dei processi di transizione come migrazioni d’infrastruttura e/o applicativi: per accertarsi di non lasciar aperta la “porta sul retro”;
- Quando per troppo tempo la gestione di domini e raccolta dati è stata gestita esclusivamente dal reparto marketing senza alcuna interazione con il reparto IT.
Queste tre brevi casistiche, ovviamente, sono solo alcuni dei casi principali in cui l’organizzazione potrebbe ottenere un vantaggio effettivo dall’esecuzione di un VA/PT: riduzione dei danni da disservizio, organizzazione maggiore dell’organigramma societario, etc. Quando si iniziano a vedere dei comportamenti anomali probabilmente è troppo tardi.
E’ bene ricordarsi infatti, così come abbiamo già accennato brevemente in passato, che troppo spesso manca da una parte la disponibilità ad investire proattivamente onde evitare i danni di un attacco (ti sei perso l’articolo? Clicca qui) e dall’altra la conoscenza dei rischi a cui tutti noi ogni giorno siamo esposti.