Il Vulnerability Assessment and Penetration Test, abbreviato VAPT, è un test di sicurezza che aiuta la tua azienda a prevenire gli attacchi informatici e a ad essere in regola con il GDPR.
Proviamo a spiegare in che cosa consiste un VAPT e perché è molto importante per la sicurezza informatica delle aziende. Attraverso questa tipologia di test è possibile rilevare i punti deboli di un sistema informatico attraverso due momenti di test fondamentali: lo screening della vulnerabilità informatica e la simulazione di un attacco hacker.
VAPT: in cosa consiste.
Le attività di VAPT si dividono in due test che verificano la sicurezza informatica dell’azienda:
- il Vulnerability Assessment: un test di cyber security che serve all’azienda per scoprire quali sono i punti deboli del sistema informatico e dove intervenire per risolverli;
- un Penetration Test: un test di sicurezza informatica che serve a simulare un attacco informatico mirato e controllato al sistema informatico di un’azienda, utile per sapere come un hacker potrebbe attaccare il sistema informatico.
Prevenire gli attacchi hacker
Partiamo dalla domanda: gli attacchi hacker sono davvero così comuni?
Spesso si è portati a pensare che questo problema interessi solo le realtà più grandi e che non la riguardi da vicino anche le PMI. Ma in realtà si tratta di un fenomeno in aumento e che interessa chiunque abbia un sistema informatico: sito, app, ecommerce e così via.
Nell’ultimo anno gli attacchi hacker ai database delle aziende sono aumentati. Secondo la Security Operations Center (Soc) di Fastweb nel primo semestre del 2021 si sarebbero verificati ben 36 milioni di “eventi malevoli”, registrando un forte aumento rispetto allo stesso periodo dell’anno precedente, addirittura un +180%.
E ancora, secondo quanto rilevato da Check point research, divisione Threat intelligence di Check Point Software Technologies, quest’anno nel nostro Paese la percentuale di cyberattacchi nei confronti di organizzazioni è salita del 36% rispetto al 2020. Questo ci posiziona al secondo posto della classifica, dietro solamente alla Spagna. Da questi dati traspare che settimanalmente le aziende italiane hanno subito ben 903 attacchi informatici.
Ogni impresa, ora più che mai, ha la necessità e il dovere di aumentare i livelli di cybersecurity per proteggere i dati sensibili dei propri clienti da possibili furti.
Cosa sono i dati sensibili?
I dati sensibili, o meglio dati particolari, nome che hanno acquistato in seguito all’entrata in vigore del Regolamento europeo GDPR, sono un sottoinsieme della categoria dei dati personali. Rappresentano per ogni azienda una grande risorsa che va custodita e protetta. I dati personali sono tutte le informazioni che riconducono a un singolo individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e così via. Tra essi possiamo annoverare:
- l’origine razziale o etnica;
- le opinioni politiche, le convinzioni religiose o filosofiche;
- l’appartenenza sindacale;
- i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica;
- i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
- tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona;
- le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona;
- i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP;
- i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi;
- i dati genetici e i dati biometrici.
VAPT e GDPR
Cos’è il GDPR, General Data Protection Regulation?
Si tratta del Regolamento europeo sulla protezione dei dati che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.
La legislazione ha lo scopo di dare a ogni persona il controllo sull’utilizzo dei propri dati sensibili, così da tutelare “i diritti e le libertà fondamentali delle persone fisiche”. Per questa ragione il Regolamento GDPR stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.
VAPT, perché è importante per il GDPR?
Il GDPR impone l’obbligo di test di sicurezza con una cadenza di almeno 12 mesi sui sistemi informativi che gestiscono i dati personali. Tale obbligo è assolto mediante l’esecuzione di un VAPT, Vulnerability Assessment and Penetration Test.
VAPT e sanzioni GDPR.
La mancata esecuzione del VAPT annuale è soggetta, in caso di ispezione del garante, a infrazione civile e cioè a multe salate e in alcuni casi anche a responsabilità penale.
Il GDPR ha un grosso potere di esecuzione, arrivando a multe fino al 4% del fatturato globale annuo di un’azienda o a multe che ammontano a 20 milioni di euro, questo dipende da quale dei due valori è il più alto, perché in alcuni casi la cifra può raggiungere cifre molto alte.
Tra le più elevate multe GDPR inflitte a partire dal maggio 2018, data di entrata in vigore del Regolamento, si segnalano:
- 50.000.000 € contro Google in Francia;
- 35.258.708 € contro H&M in Germania;
- 27.800.000 € contro TIM in Italia;
- 22.046.000 € contro British Airways nel Regno Unito.
Le ammende GDPR sono stabilite in tutta l’UE su base quasi giornaliera e la maggior parte delle multe non è rappresentata da ingenti somme a grandi aziende, ma da somme comprese tra i 4.000 e i 50.000 euro nei confronti delle piccole imprese, dei comuni, dei negozi online e altre realtà.
Trattare i dati personali in piena conformità con il GDPR è fondamentale, indipendentemente dalle dimensioni della propria azienda.
Per la Certificazione ISO27001 serve il VAPT
Che cos’è la Certificazione ISO27001?
Si tratta di una certificazione che richiede l’esecuzione ogni 6 mesi dei test di sicurezza, mediante VAPT, Vulnerability Assessment e Penetration Test, sulla propria infrastruttura.
Senza VAPT non è possibile ottenere la certificazione e la si perde nel caso i test non vengano effettuati con la periodicità prevista.
Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni. Inoltre, fornisce un controllo indipendente e qualificato in grado di attestare che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e con gli obiettivi aziendali.