12.11.10

VERIS: un database anonimo di incidenti di sicurezza

Ogni giorno molte aziende cadono vittima di attacchi alla sicurezza, di violazioni di database, di social engineering, di attacchi da hacker, ma quasi nessuno di questi viene divulgato. Le ragioni sono ovvie e risiedono nel timore delle aziende o dei propri dipendenti di intaccare la propria reputazione, di essere sottoposti all'umiliazione pubblica e di un calo di fiducia nei loro confronti.
A differenza, quindi, delle minacce esterne, di cui vi è fortunatamente un'ampia e sempre in crescita conoscenza perchè tutto il mondo ne parla, delle violazioni interne si parla molto poco e non esiste molta conoscenza per costituire un po' di accademia (a eccezione dello sforzo del progetto Insider Threat della Carnegie Mellon University).
Finalmente Verizon Business ha lanciato oggi pubblicamente un servizio dedicato al reporting degli incidenti di sicurezza per costruire un database che possa costituire una fonte di informazioni per le analisi dei problemi afferenti.
Nel sito Veris, i professionisti della sicurezza possono fornire informazioni dettagliate sugli incidenti e avere report dettagliati per confrontare la gestione dell'incidente con quelle di situazioni similari.

Attraverso il riempimento di un questionario anonimo con i dettagli dell'incidente e di alcuni dettagli dell'azienda, per determinarne il contesto merceologico, la dimensione, il numero di addetti alla sicurezza, ecc, sarà possibile descrivere le modalità di gestione dell'incidente come ad esempio il tempo impiegato per individuarlo, per contenerlo, come poteva essere evitato e quanti tempo, risorse e denaro sono stati spesi a causa della violazione.
Al termine dell'inserimento dei dati si avrà a disposizione un report che descrive l'incidente e lo confronta con incidenti similari già presenti nel database.

Il database attualmente contiene già le informazioni sugli incidenti collezionate durante gli ultimi anni sia da Verizon sia dallo U.S. Secret Servicee costituisce un valido supporto sia per raccogliere e diffondere la conoscenza, sia come strumento di tracciamento degli incidenti nella propria azienda utilizzando una metodologia strutturata allo scopo.

Nessun commento: