Qualys, fornitore di soluzioni di sicurezza e compliance basate su cloud, aiuta le organizzazioni ad innalzare il proprio livello di sicurezza dei sistemi informatici, supportando il framework suggerito dal Center for Information Security.
I CIS Control sono un set di venti controlli, mirati a definire un coerente percorso di difesa, correttamente bilanciato in termini di costi e benefici. Si tratta di controlli che sono stati studiati per supportate ogni organizzazione nella definizione di un piano di sicurezza, grazie alla loro capacità di mitigare gran parte degli attacchi informatici. Si stima infatti, che l'applicazione dei primi sei controlli (definiti, non a caso, basilari), possa ridurre il livello di rischio del 85%. Questi controlli sono stati tracciati inizialmente dieci anni fa dal SANS Institute e, negli anni, sono diventati best practice di riferimento per chi intenda garantire un livello accettabile di sicurezza IT e di protezione alle informazioni.
I CIS Control, sono costantemente aggiornati da un team di esperti che opera quotidianamente nel campo della cybersecurity, e si adattano egregiamente alla maggior parte dei mandati normativi, prestandosi ad essere adottati da un numero sempre crescente di organizzazioni.
In Italia l’AgID – Agenzia per l’Italia Digitale – ha utilizzato i CIS Control come riferimento per la stesura delle norme minime di sicurezza ICT per la Pubblica Amministrazione (direttiva emanata nel corso del 2016 e divenuta decreto legge nel 2017), con l’obiettivo di spingere gli Enti Pubblici ad adottare una linea minima di difesa, omogenea e basata su riferimenti chiari e comuni. La scelta di AgID è ricaduta sui CIS Control perché includono elementi basilari quali, l'inventario hardware e software completo e aggiornato di infrastrutture e soluzioni IT, la definizione delle configurazioni standard dei sistemi, la valutazione e correzione continua delle vulnerabilità e la corretta gestione dei privilegi.
“Non basta acquisire tecnologie per potersi definire GDPR compliant – sottolinea Emilio Turani, Managing Director Italia, Spagna e Portogallo di Qualys -. Serve soprattutto definire regole, strategie e procedure, per approcciare davvero la security come processo e non più come prodotto. I CIS Control rappresentano un modo chiaro, pragmatico e universalmente riconosciuto, per porre le basi di una proficua strategia difensiva”.
L’offerta commerciale Qualys è particolarmente interessante in questo contesto. La Cloud Platform di Qualys offre diverse app, completamente integrate tra loro e gestite da un'unica console, che accompagna il cliente nella gestione del proprio processo di cybersecurity.
Grazie al modulo AssetView, ad esempio, il cliente Qualys può definire un processo di catalogazione dinamica degli asset e di dashboard personalizzate, per tenere sotto controllo i vari dispositivi in uso ed il relativo software installato. Il modulo di Vulnerability Management invece, consente di implementare un processo di gestione delle vulnerabilità, dal momento della ricerca dei nuovi asset e del loro inventario, sino alla verifica della risoluzione dei problemi riscontrati nei tempi previsti. Infine, il modulo di Policy Compliance permette di definire e verificare la sicurezza delle configurazioni dei sistemi e di verificare il rispetto delle regole interne.
“Il GDPR deve essere approcciato con l’implementazione di soluzioni allineate alle esigenze di sicurezza dell’intera organizzazione, con obiettivi chiari e definiti, per evitare investimenti di tempo e budget eccessivi ed errati. In Italia, riscontriamo ancora parecchie aziende in ritardo nei confronti del GDPR, sia per mentalità sia per i sistemi adottati in modo parziale, e noi siamo pronti a supportarle con la nostra piattaforma – conclude Turani -. Aiutando le aziende a conoscere i propri asset informatici ovunque essi siano, ad identificarne le vulnerabilità e a mettere in atto un processo efficace di gestione, rimedio e prevenzione, vogliamo diventare un valido alleato per i nostri clienti.”
