Molte piccole e medie imprese (PMI) spesso non hanno le risorse per implementare valutazioni di vulnerabilità su larga scala. Come soluzione, gli MSP possono adottare strategie leggere di autovalutazione della sicurezza informatica per individuare i punti deboli e rafforzare la postura di sicurezza delle PMI.
Categorie principali di valutazione del rischio di sicurezza e aree di interesse
Le valutazioni dei rischi per la sicurezza non devono sempre essere complesse; per le PMI, la semplicità offre una migliore visibilità. L’impiego di una strategia che genera approfondimenti in aree chiave aiuta le PMI ad adottare misure pratiche per ridurre i rischi delle vulnerabilità.
📌 Casi d’uso: Effettuare valutazioni mirate e leggere sulle aree di interesse per sapere se le misure di sicurezza sono state implementare completamente, parzialmente o non sono state implementate. Questo fornisce informazioni utili sulla postura di sicurezza e sulla qualità dei piani di ripristino in caso di incidenti per le PMI.
Governance e rischio
I criteri di sicurezza scritti stabiliscono controlli di base per mantenere criteri coerenti in tutto l’ambiente. Senza di essi, le decisioni sulla sicurezza devono essere prese di volta in volta, e sono più difficili da applicare e da verificare.
Criteri di sicurezza. Assicurati che i criteri, come le pratiche di igiene delle password, la conformità delle patch e la verifica dei backup siano in vigore e vengano riviste annualmente.
Contatto di sicurezza designato. Verifica se è stata stabilita un chiaro responsabile principale per le questioni legate alla sicurezza, in modo da consentire un rapido monitoraggio degli avvisi e il coordinamento della risposta agli incidenti.
Pianificazione della risposta agli incidenti. Crea un piano di risposta agli incidenti e verifica se è stato sottoposto a esercitazioni tabletop (discussioni simulate di scenari di attacco) per valutare la preparazione del cliente per un’eventuale risposta agli attacchi.
Controllo degli accessi
La maggior parte delle violazioni del mondo reale deriva da phishing, password deboli o rubate e sistemi non patchati, piuttosto che da complessi attacchi over-the-air. La valutazione del controllo degli accessi per le PMI rafforza i criteri di sicurezza esaminando le aree di accesso chiave che possono potenzialmente diventare punti di ingresso per le minacce.
MFA. Assicurati che l’autenticazione a più fattori (MFA) sia applicata in modo coerente a tutti gli utenti per verificare l’identità di chi accede.
Deprovisioning degli utenti. Il deprovisioning tempestivo degli account inattivi o inutilizzati è fondamentale per ridurre al minimo la superficie di attacco di una PMI.
Accesso basato sui ruoli (RBAC). Verifica che l’accesso con il minimo privilegio assegnato agli stakeholder corrisponda ai loro ruoli e gruppi.
Endpoint e rete
Patch, protezione firewall e servizi antivirus mancanti aprono punti di ingresso ben noti che gli aggressori possono sfruttare per muoversi inosservati all’interno di un’organizzazione. Gli endpoint integri dovrebbero avere superfici di attacco ridotte per ridurre la probabilità di attacchi e minimizzare l’impatto successivo.
Stato delle patch. Le valutazioni dovrebbero verificare se i sistemi operativi e i browser sono completamente aggiornati, poiché il software non patchato è più facile da sfruttare. La valutazione deve includere la percentuale di dispositivi aggiornati e il tempo trascorso dall’ultima applicazione delle patch di sicurezza.
Antivirus/EDR. Assicurati che le soluzioni antivirus o EDR siano costantemente in esecuzione in background per una migliore protezione dalle minacce.
Firewall e VPN. Verifica che i servizi di firewall siano attivi e funzionanti e valuta anche la protezione VPN degli strumenti amministrativi, come l’accesso remoto, poiché l’esposizione a Internet può compromettere i dati dell’organizzazione.
Backup e ripristino
Obiettivi di ripristino chiari e backup affidabili possono trasformare i problemi più gravi in eventi gestibili. Una buona strategia di backup e ripristino può anche rimettere rapidamente in piedi una PMI dopo un’interruzione.
Frequenza e archiviazione dei backup. Verifica che i dati e i sistemi critici siano regolarmente sottoposti a backup, che gli SLA siano conformi e che i repository rispettino la regola del backup 3-2-1.
Test di recupero. Effettua controlli supplementari dei tassi di successo del ripristino, quindi confronta i tempi di ripristino misurati e la perdita di dati con gli obiettivi RTO e RPO.
Crittografia. Verifica la presenza della crittografia dei dati in transito e a riposo per una migliore riservatezza organizzativa.
Sensibilizzazione e monitoraggio
Gli attori delle minacce possono sfruttare attacchi diretti che compromettono l’attività degli utenti finali, come il phishing e l’ingegneria sociale. L’informazione è un forte strumento contro questo tipo di minacce e la conoscenza di questo tipo di attacchi e delle risposte da parte del personale è fondamentale per ridurre i rischi.
Formazione del personale. Includi nelle valutazioni una formazione ricorrente con minacce simulate, quindi esamina le metriche come i tassi di segnalazione e di clic per valutare la consapevolezza degli utenti finali.
Logging e avvisi sugli incidenti. Verifica dove vengono archiviati i registri di sicurezza per semplificare il rilevamento delle minacce e le indagini. Inoltre, valuta la capacità che i sistemi di avviso esistenti hanno di rispondere rapidamente alle minacce.
Metodi di valutazione del rischio di cybersecurity per i clienti delle PMI
Le PMI hanno dimensioni diverse, da piccoli team a gerarchie di più dipartimenti che non superano i 500 dipendenti. La scelta del metodo di gestione appropriato è fondamentale per massimizzare il completamento e l’accuratezza delle valutazioni di sicurezza, garantendo la raccolta di dati affidabili a supporto delle valutazioni.
📌 Casi d’uso: Per ottenere risultati accurati da ambienti di PMI, utilizza il metodo di valutazione più adatto alle dimensioni, alla maturità e al livello di relazione del tuo cliente.
Fogli di lavoro per l’autovalutazione della cybersicurezza
I fogli di lavoro di autovalutazione sono ideali per le piccole PMI e per i nuovi clienti, in quanto sono veloci ed economici da implementare.
Utilizza fogli di lavoro per raccogliere informazioni sulle potenziali falle nella sicurezza, raccogliendo informazioni di base come la copertura MFA e la frequenza dei backup. I risultati generati forniscono agli MSP una base di riferimento per rimediare ai problemi minori e formulare strategie per quelli più gravi.
⚠️ Importante: Una formulazione poco chiara delle descrizioni nei fogli di lavoro può portare a un’interpretazione errata, con conseguenti dati imprecisi. (Fai riferimento alla sezione ⚠️ Cose da tenere d’occhio. )
Colloqui di valutazione della sicurezza tra MSP e clienti
In alternativa, gli MSP possono condurre colloqui con i loro clienti delle PMI per garantire la chiarezza e l’accuratezza dei dati. Colloqui strutturati aiutano a identificare le vulnerabilità di sicurezza e offrono una maggiore precisione rispetto alle autodichiarazioni tramite fogli di lavoro.
Crea un programma che dia priorità alle categorie e alle aree di valutazione chiave, come MFA, backup, patching e pratiche di igiene informatica. Durante queste chiamate, gli MSP possono discutere del gergo tecnico con i clienti, in modo da risolvere eventuali ambiguità e individuare subito i problemi.
Integrazione RMM
Se un cliente dispone di strumenti di monitoraggio esistenti, gli MSP possono sfruttare le piattaforme RMM per confrontare i dati grezzi con quelli dei fogli di lavoro o ottenuti dai colloqui. In questo modo è possibile ottenere metriche precise, come lo stato delle patch e dei backup, per ridurre al minimo i punti ciechi nelle valutazioni.
💡 Nota: Rispetta l’ambito dell’integrazione RMM per evitare che vengano inclusi dati sensibili dei clienti. (Fai riferimento alla sezione ⚠️ Cose da tenere d’occhio. )
Supporto dei risultati della valutazione attraverso l’automazione di PowerShell
Oltre all’integrazione con l’RMM, i tecnici possono anche eseguire script PowerShell per raccogliere informazioni sulla postura di sicurezza di un cliente. Di seguito sono riportati alcuni esempi di script di automazione che puoi utilizzare per ottenere metriche accurate relative a patching e MFA dei clienti.
Esempio di script per interrogare la versione delle patch:
Le patch mancanti e superate sono indicatori di rischio per la sicurezza, in quanto i dispositivi obsoleti possono essere potenzialmente vulnerabili alle minacce. Gli MSP possono utilizzare lo script di esempio e abbinarlo alle patch di riferimento per identificare i dispositivi obsoleti.
(Get-HotFix | Sort InstalledOn -Descending | Select -First 1).InstalledOn
💡 Nota: Lo script precedente visualizza la data dell’ultimo hotfix installato sul sistema. Confrontate queste informazioni con i dati di riferimento per il patch management, in modo da individuare i sistemi che richiedono ulteriori aggiornamenti.
Esempio di script per identificare gli utenti senza MFA in Azure AD:
L’MFA previene le violazioni dovute a password rubate e la visibilità sulla copertura MFA aiuta a effettuare azioni rapide per ridurre al minimo i rischi di acquisizione illecita degli account. Lo script di esempio identifica gli utenti senza MFA, consentendo agli MSP di misurare la copertura MFA in un ambiente.
Connect-MgGraph -Scopes "User.Read.All","Directory.Read.All","UserAuthenticationMethod.Read.All"
Get-MgUser -All -Property Id,UserPrincipalName |
ForEach-Object {
$methods = Get-MgUserAuthenticationMethod -UserId $_.Id
$hasMfa = $methods.AdditionalProperties.'@odata.type' -match `
'microsoftAuthenticatorAuthenticationMethod|phoneAuthenticationMethod|fido2AuthenticationMethod|softwareOathAuthenticationMethod|windowsHelloForBusinessAuthenticationMethod|temporaryAccessPassAuthenticationMethod'
if (-not $hasMfa) { "{0} has no MFA" -f $_.UserPrincipalName }
}
⚠️ Importante: La sintassi e la precisione degli script sono fondamentali quando si utilizza PowerShell. (Fai riferimento alla sezione ⚠️ Cose da tenere d’occhio. )
Creare report con i risultati dell’autovalutazione della cybersicurezza e i piani d’azione
I report visivi trasformano i dati e le metriche in informazioni utili. La creazione di un semplice report con indicazioni visive evidenzia i rischi e le minacce, aiutando le PMI a stabilire le priorità in termini di correzione.
Crea una scorecard con codici di colore e con correzioni semplici corrispondenti
Inserisci le aree e le categorie di interesse nelle righe della scorecard e, per ogni riga, tieni traccia di 2-3 dati chiave come la data dell’ultima patch e la copertura MFA. Per maggiore chiarezza, abbina a ciascun dato chiave semplici misure correttive.
Per una migliore visibilità, organizza la valutazione delle aree di interesse utilizzando un modello di punteggio codificato a colori come nell’esempio seguente:
Legenda:
- 🟢 Implementato (rispetta l’obiettivo)
- 🟡 Parzialmente implementato (necessita di miglioramenti)
- 🔴 Non implementato (rischio elevato)
| Categoria | Stato | Dati chiave | Azioni da intraprendere | Proprietario |
| Governance e rischio | 🟡 | I criteri sono state rivisti di recente; l’ultimo test tabletop risale a 10 mesi fa. | Pianificare un test tabletop per gli incidenti di 30 minuti. | Ops Manager |
| Controllo degli accessi | 🟢 | MFA al 100% e tutti gli account inutilizzati sono stati disattivati. | N/A | IT Lead |
| Endpoint e rete | 🟡 | L’età critica delle patch è di 18 giorni e l’EDR ha una copertura dell’88%. | Distribuire le patch entro 7 giorni e distribuire l’EDR per una copertura del 100%. | Amministratore RMM |
| Backup e ripristino | 🔴 | Backup obsoleto e ultimo test di ripristino non trovato | Eseguire il backup del dispositivo e successivamente eseguire un test di ripristino. | Operazioni |
| Sensibilizzazione e monitoraggio | 🟢 | Simulazione di phishing con una percentuale di clic dello 0%; i log vengono conservati per 90 giorni. | N/A | MSP |
Report di riepilogo
Riassumi tutto in un semplice report di una pagina che evidenzia i rischi per la sicurezza, l’impatto potenziale e le misure adottate per ridurre tali rischi. Riassunti dei documenti per misurare i progressi tra i QBR, mantenendo tutti allineati senza la necessità di leggere pagine e pagine di report.
Strategie di governance e di follow-up per mantenere la postura di sicurezza
Una buona strategia di autovalutazione non si esaurisce con un singolo report, ma deve essere un processo facilmente ripetibile. Incorpora il seguente ciclo di governance semplificato per individuare e ridurre rapidamente le falle nella strategia di sicurezza di una PMI.
Effettua valutazioni trimestrali o semestrali
Ripeti le valutazioni del rischio di cybersecurity ogni 3-6 mesi, o anche prima in caso di cambiamenti organizzativi come trasferimenti di uffici e nuovi strumenti. L’esecuzione regolare di valutazioni aiuta a controllare in modo proattivo le derive e le vulnerabilità, in modo che di emergano precocemente, prima che causino interruzioni.
Delega la responsabilità delle attività
Le attività possono bloccarsi in assenza di una chiara figura responsabile, in quanto tutti hanno voce in capitolo su ciò che deve essere fatto. Il responsabile lato cliente può approvare le modifiche ai criteri, stabilire le priorità e dare suggerimenti al personale per garantire valutazioni senza intoppi. Nel frattempo, i responsabili lato MSP possono intervenire per ridurre i problemi e coordinare il lavoro tecnico.
Documenta i risultati all’interno dei PSA per un efficiente roadmapping
Sfrutta le soluzioni di Professional Services Automation (PSA) per avere un elenco condiviso di cose da fare. La creazione di ticket aiuta a tracciare i progressi della valutazione, rendendoli visibili e accessibili per la reportistica. In occasione dei QBR, gli MSP possono mostrare i risultati ottenuti e la loro roadmap per rafforzare la postura di sicurezza del cliente.
Confronta i riepiloghi per seguire le tendenze nel tempo
Tieni traccia ogni trimestre dei dati relativi alle aree di valutazione chiave per identificare le tendenze. Una visione chiara delle tendenze aiuta a risolvere le lacune nella valutazione, a giustificare i costi e a dimostrare la qualità dell’erogazione del servizio.
Idee di integrazione NinjaOne per le valutazioni del rischio di cybersecurity
NinjaOne fornisce strumenti che aiutano gli MSP a eseguire e monitorare controlli di cybersecurity semplificati su più clienti da un’unica console.
- Monitoraggio e gestione remota. Sfrutta NinjaOne per utilizzare criteri che monitorano i sistemi e attivano gli avvisi, automatizzando i controlli sullo stato dell’antivirus, sulla conformità delle patch, sull’abilitazione del firewall e su altre aree chiave della cybersecurity.
- Documentazione. Centralizza la documentazione dei riepiloghi di valutazione all’interno dei registri delle risorse di un cliente e condividili con il personale chiave per un accesso unificato.
- Avvisi di inventario sulle dashboard. Utilizza le icone di stato all’interno delle dashboard per identificare a colpo d’occhio lo stato e i problemi della sicurezza degli endpoint.
- Gestione delle vulnerabilità. Ottieni una visione, relativa all’intero ambiente, dei sistemi vulnerabili a livello di cliente. Identifica gli endpoint con patch mancanti o non aggiornate, patch disattivate, punti deboli noti e software antivirus assente.
⚠️ Cose da tenere d’occhio
Ecco le insidie più comuni da tenere d’occhio quando si implementano le autovalutazioni di cybersecurity:
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Formulazione poco chiara nei fogli di lavoro di autovalutazione. | I clienti possono interpretare in modo errato le formulazioni inserite nei fogli di lavoro, e questo può dare luogo a risposte imprecise. | Mantieni le domande semplici e definisci accuratamente i termini per evitare interpretazioni errate. |
| Violazione degli standard di privacy attraverso l’integrazione RMM. | Le integrazioni profonde delle piattaforme RMM nelle valutazioni del rischio di cybersecurity possono includere accidentalmente i dati sensibili dei clienti e degli utenti finali. | Imposta l’integrazione per raccogliere solo la telemetria di base rilevante, come la data dell’ultima patch del sistema operativo, le installazioni dell’agente di backup e il numero di amministratori locali. |
| Esecuzione di script imprecisi. | Gli script PowerShell sono sensibili alla sintassi e alle maiuscole; un cmdlet sbagliato può rendere la logica non valida, causando errori o configurazioni errate. | Testa gli script su un computer locale e includi la logica di gestione degli errori per rilevare problemi prima della distribuzione sugli endpoint. |
Valuta la posizione di cybersecurity delle PMI attraverso controlli semplificati
Una valutazione del rischio di cybersecurity semplice, mirata e facilmente comprensibile può aiutare a individuare le possibili minacce e anche a prevenirle prima che si verifichino. Se ripetuta con pianificazioni regolari, la valutazione ti garantirà di poter visualizzare una tendenza chiara a cui i clienti possono fare riferimento per le future strategie di sicurezza.
La valutazione proattiva della postura di sicurezza informatica di un cliente posiziona gli MSP come partner strategici nella riduzione del rischio, e aiuta i clienti a compiere passi pratici verso criteri di sicurezza più resilienti.
Argomenti correlati:
- Che cos’è una valutazione della vulnerabilità e perché è importante?
- 7 statistiche sulla sicurezza informatica delle PMI da conoscere nel 2025
- Che cos’è una valutazione della vulnerabilità e perché è importante?
- Che cos’è una vulnerabilità di sicurezza?
- Elenco di controllo per la sicurezza informatica degli MSP nel 2025: Proteggersi dalle minacce e dai ransomware
