CyberReadiness.IT

CyberReadiness.IT

Il programma CyberReadiness.IT mira a fornire metodologie e strumenti utili a misurare l’impatto del fattore umano nella valutazione dei rischi informatici di una organizzazione, a partire dalle risposte fornite a un apposito questionario da parte delle singole persone dell’organizzazione stessa.

Il questionario è di volta in volta costruito “su misura” in base alle caratteristiche dell’organizzazione e, durante l’erogazione, le domande vengono modificate “dinamicamente” sulla base delle risposte via via fornite.

Da un punto di vista metodologico, il questionario è basato sul Framework Nazionale per la Cybersecurity e la Data Protection e su una innovativa metodologia scientifica denominata Cyber Security Human Readiness Index (CSHRI). In particolare, esso permette di valutare, per ciascun individuo che lo compili, alcuni aspetti potenzialmente critici, tra i quali:

  • Il livello di conoscenza di un insieme base di buone pratiche di cybersecurity;
  • Il livello di conoscenza degli standard e delle misure relative a vari aspetti della cybersecurity definite all’interno dell’organizzazione;
  • Il livello di cyber hygiene individuale;
  • Nel complesso, i punti di forza e debolezza rispetto ai rischi informatici.

In base a specifiche esigenze dell’organizzazione committente, il questionario può essere integrato con domande specifiche correlate alla necessità di raccogliere dati aggregati utili per evidenziare eventuali vulnerabilità e i fattori tecnico-organizzativi di maggior rilievo esogeni ed endogeni all’organizzazione.

In questo senso, il programma CyberReadiness.IT permette di:

  • Valutare il livello di sicurezza e di esposizione dell’organizzazione committente ai rischi cyber, rapportandoli alle criticità derivanti dal fattore umano (human factor);
  • Valutare i fabbisogni in termini generali;
  • Aumentare la consapevolezza e le capacità del singolo utente e dell’intera organizzazione.

I vantaggi principali dell’utilizzo del programma CyberReadiness.IT si hanno a livello sia individuale sia organizzativo. In particolare, per la persona singola, il programma fornisce strumenti flessibili e adattabili necessari per l’assessment della cybersecurity di ciascun utente, mentre, a livello di organizzazione, l’utilizzo del programma permette la valutazione delle capacità di risposta, anche in relazione ai cambiamenti della minaccia e ai rischi cyber correlati con il fattore umano.

In entrambi i casi, poi, il programma CyberReadiness.IT è in grado di individuare e proporre un adeguato insieme di azioni, volto a mitigare gli elementi di criticità rilevati dal Cybersecurity Human Readiness Index, attraverso strumenti di remediation specifici e personalizzati in base sia agli esiti del questionario sia alle esigenze dell’organizzazione committente.

Da un punto di vista operativo:

  • Il questionario è sempre somministrato in modo anonimo e le risposte vengono trattate nel pieno rispetto degli standard tecnici, giuridici e di accountability;
  • Il questionario include un insieme di domande, tutte a risposta chiusa;
  • Il numero di quesiti è tipicamente compreso tra 50 e 60;
  • Il tempo richiesto per la compilazione non supera i 15 minuti;
  • L’output finale è uno score ponderato sulle domande e le risposte ricevute, sulla base dei fattori di riferimento.

Da un punto di vista implementativo, il programma CyberReadiness.IT rispetta i più restrittivi standard di riservatezza e di sicurezza informatica.

In termini di deployment, il programma utilizza una piattaforma disponibile nelle seguenti versioni:

  • On-Premise: la piattaforma viene installata sui server/data-center dell’organizzazione;
  • On Cloud: la piattaforma viene installata sul Cloud dell’organizzazione: in questo caso è richiesta una architettura PaaS (Platform as a Service), basata su Container Docker;
  • SaaS (Software as a Service): la piattaforma è ospitata presso strutture del Lab. Naz. Cybersecurity e l’organizzazione vi può accedere grazie ad account regolati da opportune policy di accesso.

Contatti

Responsabile progetto
Luigi Martino, Università di Firenze
M: luigi.martino@unifi.it