Gli attacchi informatici occorsi negli ultimi anni hanno pienamente confermato che la Cybersecurity è una sfida sempre più articolata e che necessariamente rappresenta una priorità per tutte le aziende sia in termini di sviluppo che di investimenti.
In questo contesto i CERT ricoprono un ruolo fondamentale nella sicurezza perimetrale della propria azienda ma ancor più di quella generale nazionale. Protagonisti e prima linea di difesa svolgono il fondamentale compito di identificare, prevenire, rispondere, risolvere e combattere qualsivoglia tipo di incidente informatico a salvaguardia degli interessi nazionali e aziendali.
Proprio per tali ragioni GCSEC ha deciso di sviluppare un Tool che possa contribuire, quale strumento di self-assessment, a fotografare e valutare il livello di Maturità del proprio CERT e dei servizi forniti alla Constituency e aiutare a meglio affrontare il complesso compito dei Computer Emergency Response Team.
Lo strumento è stato sviluppato secondo il Capability Maturity Model definito da ENISA (SIM3), che si basa su una classificazione della maturità dei CERT secondo tre principali livelli: Base, Intermedio o Avanzato e attraverso un Questionario composto da 44 domande orientato su 4 direttrici fondamentali: Organizzazione, Human, Tool e Processi.
La piattaforma fornisce un questionario, fedele al modello SIM3 di ENISA, per l’intero CERT e altri 14 questionari per i suoi servizi.
I 14 Servizi dei CERT, definiti da ENISA, hanno un proprio questionario dedicato basato sul modello e sulle metriche del Capability Maturity Model implementato da ENISA e customizzati per ciascun servizio. Dopo aver risposto ai questionari relativi al CERT e ai sevizi il Tool restituisce anche la maturità del CERT c.d. applicata, ovvero non relativa al CERT nel suo complesso ma tenendo conto della maturità di ogni singolo servizio e il ruolo rivestito da ciascuno di essi per il raggiungimento degli obiettivi aziendali.
La piattaforma è completamente personalizzabile. CERTrating offre infatti la possibilità di inserire il nome del proprio CERT, dell’azienda, il suo logo, creare nuove utenze per i diversi ruoli all’interno della propria azienda, selezionare i servizi erogati dal CERT attribuendone i relativi pesi, modificare in qualsivoglia momento il questionario completato per aggiornare il proprio livello di Maturità.
Il Tool prevede una dashboard e report specifici per utili al Top Management per fotografare lo stato del CERT e dei suoi servizi al momento della compilazione dei questionari dedicati. Proprio la sezione di reportistica offre una rappresentazione grafica di sintesi del livello di maturità del CERT e dei suoi servizi, l’andamento della maturità nel tempo, lo storico di tutte le valutazioni effettuate per il CERT e per i suoi servizi, la media ottenuta dalle risposte fornite per il proprio CERT con quella degli altri CERT.
CERTrating, sempre sulla base dei parametri definiti da ENISA, offre consigli e azioni da intraprendere per il proprio CERT e servizi per raggiungere il livello di maturità immediatamente successivo al proprio e il livello di maturità ottimale.
Da questi due link potrai accedere direttamente al Tool CERTrating: