{"id":555310,"date":"2025-11-04T05:59:49","date_gmt":"2025-11-04T05:59:49","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=555310"},"modified":"2025-11-04T05:59:49","modified_gmt":"2025-11-04T05:59:49","slug":"autovalutazione-della-sicurezza-informatica","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/it\/blog\/autovalutazione-della-sicurezza-informatica\/","title":{"rendered":"Come eseguire un’autovalutazione della sicurezza informatica semplificata per i clienti delle PMI"},"content":{"rendered":"

Molte piccole e medie imprese (PMI) spesso non hanno le risorse per implementare valutazioni di vulnerabilit\u00e0 su larga scala. Come soluzione, gli MSP possono adottare strategie leggere di autovalutazione della sicurezza informatica<\/strong>\u00a0per individuare i punti deboli e rafforzare la postura di sicurezza delle PMI.<\/p>\n

Categorie principali di valutazione del rischio di sicurezza e aree di interesse<\/h2>\n

Le valutazioni dei rischi per la sicurezza<\/a> non devono sempre essere complesse; per le PMI, la semplicit\u00e0 offre una migliore visibilit\u00e0. L’impiego di una strategia che genera approfondimenti in aree chiave aiuta le PMI ad adottare misure pratiche per ridurre i rischi delle vulnerabilit\u00e0.<\/p>\n

\ud83d\udccc Casi d’uso<\/strong>: Effettuare valutazioni mirate e leggere sulle aree di interesse per sapere se le misure di sicurezza sono state implementare completamente, parzialmente o non sono state implementate. Questo fornisce informazioni utili sulla postura di sicurezza e sulla qualit\u00e0 dei piani di ripristino in caso di incidenti per le PMI.<\/p>\n

Governance e rischio<\/h3>\n

I criteri di sicurezza scritti stabiliscono controlli di base per mantenere criteri coerenti in tutto l’ambiente. Senza di essi, le decisioni sulla sicurezza devono essere prese di volta in volta, e sono pi\u00f9 difficili da applicare e da verificare.<\/p>\n

Criteri di sicurezza. <\/strong>Assicurati che i criteri, come le pratiche di igiene delle password, la conformit\u00e0 delle patch e la verifica dei backup siano in vigore e vengano riviste annualmente.<\/p>\n

Contatto di sicurezza designato. <\/strong>Verifica se \u00e8 stata stabilita un chiaro responsabile principale per le questioni legate alla sicurezza, in modo da consentire un rapido monitoraggio degli avvisi e il coordinamento della risposta agli incidenti<\/a>.<\/p>\n

Pianificazione della risposta agli incidenti. <\/strong>Crea un piano di risposta agli incidenti e verifica se \u00e8 stato sottoposto a esercitazioni tabletop (discussioni simulate di scenari di attacco) per valutare la preparazione del cliente per un’eventuale risposta agli attacchi.<\/p>\n

Controllo degli accessi<\/h3>\n

La maggior parte delle violazioni del mondo reale deriva da phishing, password deboli o rubate<\/a> e sistemi non patchati, piuttosto che da complessi attacchi over-the-air. La valutazione del controllo degli accessi per le PMI rafforza i criteri di sicurezza esaminando le aree di accesso chiave che possono potenzialmente diventare punti di ingresso per le minacce.<\/p>\n

MFA.<\/strong> Assicurati che l’autenticazione a pi\u00f9 fattori (MFA) sia applicata in modo coerente a tutti gli utenti per verificare l’identit\u00e0 di chi accede.<\/p>\n

Deprovisioning degli utenti. <\/strong>Il deprovisioning tempestivo degli account inattivi o inutilizzati \u00e8 fondamentale per ridurre al minimo la superficie di attacco di una PMI.<\/p>\n

Accesso basato sui ruoli (RBAC). <\/strong>Verifica che l’accesso con il minimo privilegio assegnato agli stakeholder corrisponda ai loro ruoli e gruppi.<\/p>\n

Endpoint e rete<\/h3>\n

Patch, protezione firewall e servizi antivirus mancanti aprono punti di ingresso ben noti che gli aggressori possono sfruttare per muoversi inosservati all’interno di un’organizzazione. Gli endpoint integri dovrebbero avere superfici di attacco ridotte per ridurre la probabilit\u00e0 di attacchi e minimizzare l’impatto successivo.<\/p>\n

Stato delle patch. <\/strong>Le valutazioni dovrebbero verificare se i sistemi operativi e i browser sono completamente aggiornati, poich\u00e9 il software non patchato \u00e8 pi\u00f9 facile da sfruttare. La valutazione deve includere la percentuale di dispositivi aggiornati e il tempo trascorso dall’ultima applicazione delle patch di sicurezza.<\/p>\n

Antivirus\/EDR. <\/strong>Assicurati che le soluzioni antivirus o EDR<\/a> siano costantemente in esecuzione in background per una migliore protezione dalle minacce.<\/p>\n

Firewall e VPN.<\/strong> Verifica che i servizi di firewall siano attivi e funzionanti e valuta anche la protezione VPN degli strumenti amministrativi, come l’accesso remoto, poich\u00e9 l’esposizione a Internet pu\u00f2 compromettere i dati dell’organizzazione.<\/p>\n

Backup e ripristino<\/h3>\n

Obiettivi di ripristino chiari e backup affidabili possono trasformare i problemi pi\u00f9 gravi in eventi gestibili. Una buona strategia di backup e ripristino pu\u00f2 anche rimettere rapidamente in piedi una PMI dopo un’interruzione.<\/p>\n

Frequenza e archiviazione dei backup. <\/strong>Verifica che i dati e i sistemi critici siano regolarmente sottoposti a backup, che gli SLA siano conformi e che i repository rispettino la regola del backup 3-2-1<\/a>.<\/p>\n

Test di recupero. <\/strong>Effettua controlli supplementari dei tassi di successo del ripristino, quindi confronta i tempi di ripristino misurati e la perdita di dati con gli obiettivi RTO e RPO.<\/p>\n

Crittografia. <\/strong>Verifica la presenza della crittografia dei dati in transito e a riposo per una migliore riservatezza organizzativa.<\/p>\n

Sensibilizzazione e monitoraggio<\/h3>\n

Gli attori delle minacce possono sfruttare attacchi diretti che compromettono l’attivit\u00e0 degli utenti finali, come il phishing e l’ingegneria sociale. L’informazione \u00e8 un forte strumento contro questo tipo di minacce e la conoscenza di questo tipo di attacchi e delle risposte da parte del personale \u00e8 fondamentale per ridurre i rischi.<\/p>\n

Formazione del personale. <\/strong>Includi nelle valutazioni una formazione ricorrente con minacce simulate, quindi esamina le metriche come i tassi di segnalazione e di clic per valutare la consapevolezza degli utenti finali.<\/p>\n

Logging e avvisi sugli incidenti. <\/strong>Verifica dove vengono archiviati i registri di sicurezza per semplificare il rilevamento delle minacce e le indagini. Inoltre, valuta la capacit\u00e0 che i sistemi di avviso esistenti hanno di rispondere rapidamente alle minacce.<\/p>\n

Metodi di valutazione del rischio di cybersecurity per i clienti delle PMI<\/h2>\n

Le PMI hanno dimensioni diverse, da piccoli team a gerarchie di pi\u00f9 dipartimenti che non superano i 500 dipendenti. La scelta del metodo di gestione appropriato \u00e8 fondamentale per massimizzare il completamento e l’accuratezza delle valutazioni di sicurezza, garantendo la raccolta di dati affidabili a supporto delle valutazioni.<\/p>\n

\ud83d\udccc Casi d’uso<\/strong>: Per ottenere risultati accurati da ambienti di PMI, utilizza il metodo di valutazione pi\u00f9 adatto alle dimensioni, alla maturit\u00e0 e al livello di relazione del tuo cliente.<\/p>\n

Fogli di lavoro per l’autovalutazione della cybersicurezza<\/h3>\n

I fogli di lavoro di autovalutazione sono ideali per le piccole PMI e per i nuovi clienti, in quanto sono veloci ed economici da implementare.<\/p>\n

Utilizza fogli di lavoro per raccogliere informazioni sulle potenziali falle nella sicurezza, raccogliendo informazioni di base come la copertura MFA e la frequenza dei backup. I risultati generati forniscono agli MSP una base di riferimento per rimediare ai problemi minori e formulare strategie per quelli pi\u00f9 gravi.<\/p>\n

\u26a0\ufe0f Importante: <\/strong>Una formulazione poco chiara delle descrizioni nei fogli di lavoro pu\u00f2 portare a un’interpretazione errata, con conseguenti dati imprecisi. (Fai riferimento alla sezione \u26a0\ufe0f Cose da tenere d’occhio<\/em><\/a>. )<\/p>\n

Colloqui di valutazione della sicurezza tra MSP e clienti<\/h3>\n

In alternativa, gli MSP possono condurre colloqui con i loro clienti delle PMI per garantire la chiarezza e l’accuratezza dei dati. Colloqui strutturati aiutano a identificare le vulnerabilit\u00e0 di sicurezza e offrono una maggiore precisione rispetto alle autodichiarazioni tramite fogli di lavoro.<\/p>\n

Crea un programma che dia priorit\u00e0 alle categorie e alle aree di valutazione chiave, come MFA, backup, patching e pratiche di igiene informatica<\/a>. Durante queste chiamate, gli MSP possono discutere del gergo tecnico con i clienti, in modo da risolvere eventuali ambiguit\u00e0 e individuare subito i problemi.<\/p>\n

Integrazione RMM<\/h3>\n

Se un cliente dispone di strumenti di monitoraggio esistenti, gli MSP possono sfruttare le piattaforme RMM per confrontare i dati grezzi con quelli dei fogli di lavoro o ottenuti dai colloqui. In questo modo \u00e8 possibile ottenere metriche precise, come lo stato delle patch e dei backup, per ridurre al minimo i punti ciechi nelle valutazioni.<\/p>\n

\ud83d\udca1 Nota: <\/strong>Rispetta l’ambito dell’integrazione RMM per evitare che vengano inclusi dati sensibili dei clienti. (Fai riferimento alla sezione \u26a0\ufe0f Cose da tenere d’occhio<\/em><\/a>. )<\/p>\n

Supporto dei risultati della valutazione attraverso l’automazione di PowerShell<\/h2>\n

Oltre all’integrazione con l’RMM, i tecnici possono anche eseguire script PowerShell per raccogliere informazioni sulla postura di sicurezza di un cliente. Di seguito sono riportati alcuni esempi di script di automazione che puoi utilizzare per ottenere metriche accurate relative a patching e MFA dei clienti.<\/p>\n

Esempio di script per interrogare la versione delle patch:<\/h3>\n

Le patch mancanti e superate sono indicatori di rischio per la sicurezza, in quanto i dispositivi obsoleti possono essere potenzialmente vulnerabili alle minacce. Gli MSP possono utilizzare lo script di esempio e abbinarlo alle patch di riferimento per identificare i dispositivi obsoleti.<\/p>\n

(Get-HotFix | Sort InstalledOn -Descending | Select -First 1).InstalledOn<\/code><\/strong><\/p>\n

\ud83d\udca1 Nota: <\/strong>Lo script precedente visualizza la data dell’ultimo hotfix installato sul sistema. Confrontate queste informazioni con i dati di riferimento per il patch management, in modo da individuare i sistemi che richiedono ulteriori aggiornamenti.<\/p>\n

Esempio di script per identificare gli utenti senza MFA in Azure AD:<\/h3>\n

L’MFA previene le violazioni dovute a password rubate e la visibilit\u00e0 sulla copertura MFA aiuta a effettuare azioni rapide per ridurre al minimo i rischi di acquisizione illecita degli account. Lo script di esempio identifica gli utenti senza MFA, consentendo agli MSP di misurare la copertura MFA in un ambiente.<\/p>\n

Connect-MgGraph -Scopes \"User.Read.All\",\"Directory.Read.All\",\"UserAuthenticationMethod.Read.All\"<\/code><\/strong><\/p>\n

Get-MgUser -All -Property Id,UserPrincipalName |<\/code><\/strong>
\nForEach-Object {<\/code><\/strong>
\n$methods = Get-MgUserAuthenticationMethod -UserId $_.Id<\/code><\/strong>
\n$hasMfa = $methods.AdditionalProperties.'@odata.type' -match `<\/code><\/strong>
\n'microsoftAuthenticatorAuthenticationMethod|phoneAuthenticationMethod|fido2AuthenticationMethod|softwareOathAuthenticationMethod|windowsHelloForBusinessAuthenticationMethod|temporaryAccessPassAuthenticationMethod'<\/code><\/strong>
\nif (-not $hasMfa) { \"{0} has no MFA\" -f $_.UserPrincipalName }<\/code><\/strong>
\n}<\/code><\/strong><\/p>\n

\u26a0\ufe0f Importante: <\/strong>La sintassi e la precisione degli script sono fondamentali quando si utilizza PowerShell. (Fai riferimento alla sezione \u26a0\ufe0f Cose da tenere d’occhio<\/em><\/a>. )<\/p>\n

Creare report con i risultati dell’autovalutazione della cybersicurezza e i piani d’azione<\/h2>\n

I report visivi trasformano i dati e le metriche in informazioni utili. La creazione di un semplice report con indicazioni visive evidenzia i rischi e le minacce, aiutando le PMI a stabilire le priorit\u00e0 in termini di correzione.<\/p>\n

Crea una scorecard con codici di colore e con correzioni semplici corrispondenti<\/h3>\n

Inserisci le aree e le categorie di interesse nelle righe della scorecard e, per ogni riga, tieni traccia di 2-3 dati chiave come la data dell’ultima patch e la copertura MFA. Per maggiore chiarezza, abbina a ciascun dato chiave semplici misure correttive.<\/p>\n

Per una migliore visibilit\u00e0, organizza la valutazione delle aree di interesse utilizzando un modello di punteggio codificato a colori come nell’esempio seguente:<\/p>\n

Legenda:<\/strong><\/p>\n