L’Assessment dei processi non è così diffuso come il vulnerability assessment ma può essere il primo step per intraprendere un percorso di sicurezza del dato.
L’assessment in oggetto ha lo scopo di individuare gli asset strategici dell’azienda e formulare un piano che concentri le risorse nella protezione delle informazioni, mettendo in sicurezza le procedure aziendali nei vari comparti che sono oggetto dell’analisi.
Vengono così analizzati non tanto gli aspetti tecnici ma soprattutto i lati pratici dei vari comparti aziendali, ad esempio per gli HR se la rimozione degli accessi alla rete aziendale nel momento in cui un utente lascia l’azienda è automatizzata e facilitata, oppure se i fattori di autenticazione ai conti bancari vengono conservati in modo appropriato e sicuro o ancora se lo scambio di mail o progetti confidenziali avviene in modo protetto.
Da questa analisi emerge un report che analizza ogni singola vulnerabilità e fornisce un piano di rimedio con i tempi consigliati. Molto spesso accade che non sia necessario acquistare alcun software/appliance ma si debba solo cambiare policy o comportamenti per rendere più sicure tutte le funzioni aziendali.
Grazie a questo assessment si può andare in profondità e capire dove bisogna esattamente porre l’attenzione, quali sono davvero i reparti che necessitano di un miglioramento nelle procedure che magari inconsciamente sono rimaste invariate per anni, senza mai essere state aggiornate e adeguate ai cambiamenti dell’azienda.
Giorgio Giussani 11-05-2017