Risposte alle vostre domande

Trovate rapidamente risposte alle vostre domande sulla cybersecurity, CVE Find, le norme, le vulnerabilità e i servizi Bexxo grazie alla nostra FAQ completa.

FAQ

Cos'è un cyber audit web?

Un audit web consiste nell'analizzare in profondità le vulnerabilità di un sito internet o di un'applicazione online: test di intrusione, verifica del codice sorgente, configurazioni server, ecc.

Cos'è un test di intrusione (pentest)?

Un test di intrusione, o pentest, è una valutazione di sicurezza che consiste nel simulare un attacco reale su un sistema informatico, una rete o un'applicazione, al fine di identificarne le vulnerabilità sfruttabili. L'obiettivo è rilevare le falle prima che un attaccante le scopra e fornire raccomandazioni concrete per rafforzare la sicurezza.

A differenza degli audit puramente documentali, il pentest si basa su tecniche offensive, simili a quelle utilizzate dagli hacker. Può includere lo sfruttamento di falle software, la compromissione di account o l'attraversamento di firewall. Viene spesso eseguito in aggiunta a una scansione automatizzata, per valutare non solo la presenza di falle, ma anche la loro effettiva sfruttabilità nel contesto di riferimento.

Cosa fare se ho cliccato su un link di phishing?
Agire immediatamente: (1) scollegarsi dalla rete aziendale (Wi-Fi, cavo); (2) segnalare l'incidente al reparto IT o al responsabile della sicurezza senza attendere — per telefono, non via email; (3) cambiare la password da un altro dispositivo sicuro; (4) non eliminare l'email sospetta, serve per l'analisi forense; (5) attivare l'MFA se non è ancora stato fatto. Prima si agisce, più i danni possono essere limitati.
  • Tags:  
Cosa si riceve al termine dell'analisi?

Al termine del colloquio con l'esperto Bexxo, riceverete via email un rapporto PDF personalizzato comprendente: (1) una sintesi dei rischi identificati per ambito, classificati per criticità (alta/media/bassa); (2) un piano d'azione prioritario con le misure da implementare in via prioritaria; (3) raccomandazioni adattate alle dimensioni e al settore della vostra azienda. Potete consultare un esempio di rapporto tramite il link qui sotto. Questo rapporto può essere utilizzato come base per i vostri audit interni o presentato in caso di controllo nLPD.

  • Tags:  
Esistono esempi famosi di zero-day?

Sì, diversi zero-day famosi hanno segnato la storia della cybersecurity. Uno dei più noti è Stuxnet, un malware scoperto nel 2010, progettato per sabotare le centrifughe nucleari in Iran. Sfruttava diversi zero-day in Windows, rivelando il livello di sofisticazione di alcune operazioni cyber offensive.

Un altro esempio: WannaCry, un ransomware che ha colpito centinaia di migliaia di computer nel 2017, sfruttava una vulnerabilità di Windows rivelata dal gruppo Shadow Brokers. Sebbene una patch fosse stata rilasciata poco prima dell'attacco, molti sistemi non erano aggiornati, dimostrando che la gestione delle patch rimane un anello debole. Questi esempi ricordano l'impatto devastante che possono avere le vulnerabilità non corrette.

Il mio sito WordPress ha bisogno di un audit di sicurezza?
Sì. WordPress alimenta il 43% dei siti web nel mondo ed è di gran lunga il CMS più preso di mira dagli attaccanti. Le vulnerabilità provengono spesso dai plugin di terze parti, dai temi non aggiornati e dalle configurazioni errate. Un audit Bexxo verifica tutti questi punti, non solo il core WordPress.
  • Tags:  
Il mio sito web ha bisogno di un audit della sicurezza?

Sì, se il vostro sito raccoglie dati personali, elabora pagamenti o è accessibile da Internet. Il 73% dei siti web presenta almeno una vulnerabilità critica (fonte: Bexxo, dati interni). La nuova LPD (legge svizzera sulla protezione dei dati) obbliga le aziende a documentare le proprie misure di sicurezza — un audit costituisce questa prova. In caso di fuga di dati, l'assenza di diligenza può comportare multe fino a 250 000 CHF.

  • Tags:  
Il rapporto di audit della rete può essere utilizzato per la certificazione ISO 27001?
Sì. I nostri audit seguono i controlli della ISO 27001:2022 (Allegato A — controlli tecnologici e fisici) e il NIST CSF come quadri di riferimento. Il rapporto di audit costituisce una prova documentale di diligenza nei confronti degli auditor ISO, dell'IFPDT e dei vostri partner commerciali.
  • Tags:  
In quali situazioni richiedere un servizio di negoziazione?

Quando si affronta un conflitto (ad esempio con un fornitore) o un ransomware che richiede il pagamento di un riscatto. Il servizio di negoziazione consente di esplorare le opzioni legali e operative.

L'ISO 27001 è obbligatoria in Svizzera?
No, l'ISO 27001 non è legalmente obbligatoria in Svizzera. Tuttavia, la nLPD esige misure tecniche e organizzative appropriate per proteggere i dati. L'ISO 27001 fornisce il quadro più riconosciuto per dimostrare questa conformità. Alcuni settori (finanza, sanità) la richiedono contrattualmente.
  • Tags:  
L'MFA (autenticazione a più fattori) protegge davvero dal phishing?
Sì, nella stragrande maggioranza dei casi. Anche se un aggressore ottiene la tua password tramite una pagina di phishing, non può accedere senza il secondo fattore (codice SMS, app di autenticazione, chiave fisica). L'MFA blocca il 99,9% degli attacchi automatizzati sugli account (Microsoft 2024). L'unica eccezione è il phishing in tempo reale (attacco MITM / Adversary-in-the-Middle) che intercetta il codice MFA nello stesso istante — questo vettore rimane marginale per le PMI. La raccomandazione: attivare l'MFA su tutti gli account professionali senza eccezione.
  • Tags:  
L'analisi è davvero gratuita e senza impegno?

Sì, senza condizioni. L'analisi iniziale è offerta da Bexxo nell'ambito del nostro impegno per la sensibilizzazione alla cybersecurity delle PMI svizzere. Non viene richiesta nessuna carta di credito, non viene firmato nessun contratto. Al termine dell'analisi, se siete interessati a prestazioni aggiuntive (audit approfondito, pacchetto, formazione), riceverete un preventivo dettagliato — che siete liberi di accettare o meno. Il 68% delle PMI svizzere non ha mai effettuato un bilancio di cybersecurity (NCSC): questa analisi è concepita per abbattere questo ostacolo.

  • Tags:  
L'audit include la correzione delle vulnerabilità identificate?

No — l'audit copre l'identificazione, la classificazione e il piano d'azione. La correzione delle vulnerabilità è una prestazione separata, eseguibile dai vostri team interni sulla base del rapporto, oppure da Bexxo su preventivo. Questa separazione garantisce l'obiettività dell'audit: il fornitore che esegue l'audit non può avere interesse a trovare più vulnerabilità di quante ne esistano. Tutti i nostri pacchetti comprendono un'assistenza alla comprensione del rapporto e alle prime misure correttive.

  • Tags:  
L'audit è conforme alle norme ISO 27001 e nLPD?
Sì. I nostri audit seguono i controlli della ISO 27001:2022 (Allegato A — controlli tecnologici) e il NIST CSF come quadri di riferimento. Il rapporto di audit può servire come prova di diligenza in caso di controllo dell'IFPDT nell'ambito della nLPD.
  • Tags:  
La consulenza Bexxo copre la conformità nLPD?
Sì. La conformità nLPD (nuova Legge sulla protezione dei dati, Svizzera) è integrata in tutte le nostre missioni di consulenza. Analizziamo i vostri trattamenti di dati, identifichiamo le lacune, implementiamo le misure tecniche e organizzative richieste e vi forniamo la documentazione necessaria in caso di controllo dell'IFPDT.
  • Tags:  
Prev
Next