FAQ
Perché richiedere un audit web Bexxo?
Combiniamo competenza tecnica e metodologia all'avanguardia per identificare rapidamente le vulnerabilità, proporre correzioni e rafforzare la tua piattaforma contro gli attacchi informatici.
Perché ricorrere alla cyber consulenza di Bexxo?
I nostri consulenti ti aiutano a elaborare una roadmap chiara, a ottimizzare il tuo budget per la cybersecurity e a definire azioni concrete allineate alle tue sfide di business.
Perché una PMI svizzera ha bisogno di un audit di cybersecurity?
Oltre il 40% degli attacchi informatici in Svizzera colpisce le PMI. Un audit identifica le vulnerabilità dei vostri sistemi (rete, sito web, accessi) prima che vengano sfruttate e garantisce la conformità con ISO 27001 e la nLPD.
PhishTrainer è ospitato in Svizzera?
Sì. PhishTrainer è 100% svizzero: sviluppato da Bexxo (Ins, cantone di Berna) e ospitato su server in Svizzera. Nessun trasferimento di dati all'estero. I dati dei tuoi collaboratori e i risultati delle campagne rimangono sul territorio svizzero, conformemente ai requisiti della nLPD. PhishTrainer offre opzionalmente una crittografia lato client (client-side encryption): i dati vengono crittografati nel browser dell'utente prima di essere trasmessi ai nostri server. In concreto, anche la nostra infrastruttura non può accedere ai dati in chiaro — è una garanzia di massima riservatezza che pochi strumenti di simulazione possono offrire.
Posso adattare i vostri modelli alla mia azienda?
Sì, ogni modello è concepito per essere personalizzato. I documenti sono in formato PDF con sezioni chiaramente identificate da adattare (nome dell'azienda, perimetro, responsabili). Bexxo può anche accompagnarvi nella personalizzazione nell'ambito di un audit di conformità.
Potete recuperare i dati se non abbiamo backup?
Sì, in molti casi. I nostri esperti nel recupero dati — gli stessi team di SOS Data Recovery, attivi dal 2006 — possono estrarre dati direttamente dai supporti fisici (dischi rigidi, SSD, server, NAS) tramite tecniche forensi avanzate. Un ransomware cifra i file, non li distrugge necessariamente a livello fisico. Il tasso di recupero dipende dal tipo di ransomware e dallo stato dei supporti.
Qual è il ruolo dell'UFCS in materia di cybersecurity in Svizzera?
L'UFCS (Ufficio federale della cybersicurezza, ex NCSC) è l'autorità nazionale svizzera incaricata di coordinare la protezione delle infrastrutture critiche, gestire gli incidenti di cybersecurity a livello nazionale e sensibilizzare le aziende e il grande pubblico. Pubblica regolarmente avvisi, raccomandazioni e rapporti sulle minacce attuali. Bexxo segue le sue pubblicazioni per rimanere allineato con le priorità strategiche e normative svizzere — in particolare nel contesto della nLPD (nuova Legge sulla Protezione dei Dati).
Qual è la differenza tra Bexxo e Tesweb SA?
Tesweb SA è l'entità giuridica fondata nel 2006, che opera due poli di competenza: SOS Data Recovery (recupero dati, servizio leader in Svizzera) e Bexxo (cybersicurezza, marchio lanciato nel 2023). Bexxo è un marchio registrato e protetto, dedicato esclusivamente alla protezione digitale delle aziende. Questa doppia competenza — recupero e protezione dei dati — costituisce un posizionamento unico in Svizzera.
Qual è la differenza tra CVE Find e il sito ufficiale cve.org?
Il sito cve.org, gestito da MITRE, è la fonte ufficiale degli identificativi CVE. È indispensabile per garantire l'unicità e la struttura delle voci. Tuttavia, cve.org si concentra sull'aspetto amministrativo e non fornisce né punteggio EPSS, né indicatori di sfruttamento, né funzionalità di ordinamento avanzate.
Il nostro servizio CVE Find riprende questi dati ufficiali, li arricchisce con metriche complementari (KEV, EPSS, CVSS) e li presenta in un'interfaccia più moderna, rapida e filtrabile. È quindi uno strumento di monitoraggio pratico, concepito per un uso operativo e decisionale quotidiano.
Qual è la differenza tra CVE Find e la base NVD del NIST?
La NVD (National Vulnerability Database) del NIST è la fonte ufficiale americana. CVE Find aggrega questi dati e aggiunge uno strato di avvisi personalizzati, filtro per prodotto e punteggio EPSS (probabilità di sfruttamento reale) che la NVD non offre nativamente. L'interfaccia è disponibile in italiano.
Qual è la differenza tra ISO 27001 e ISO 27002?
L'ISO 27001 definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI) e consente la certificazione. L'ISO 27002 è una guida alle buone pratiche che dettaglia l'implementazione dei 93 controlli dell'Allegato A. In sintesi: la 27001 dice «cosa fare», la 27002 dice «come farlo».
Qual è la differenza tra PhishTrainer e Bexxo Academy?
Sono due strumenti complementari:
- PhishTrainer agisce attraverso la pratica: invia finte e-mail di phishing ai vostri collaboratori e misura chi clicca e chi segnala l'attacco. È l'approccio comportamentale — imparare dall'esperienza. La dashboard fornisce il tasso di clic, il tasso di segnalazione e l'evoluzione nel tempo.
- Bexxo Academy agisce attraverso la conoscenza: moduli video, quiz interattivi, giochi didattici sulle minacce informatiche. Accessibile 24 ore su 24 online, completato da sessioni in presenza a Ins (BE). Ideale per l'integrazione dei nuovi collaboratori e l'aggiornamento delle conoscenze.
I due strumenti insieme coprono il ciclo completo: sensibilizzare → testare → misurare → migliorare.
Qual è la differenza tra PhishTrainer e Bexxo Academy?
PhishTrainer e Bexxo Academy sono due strumenti complementari: PhishTrainer testa (simulazione di attacchi, identificazione delle vulnerabilità, misurazione del tasso di clic), Bexxo Academy forma (moduli e-learning, quiz, video, sessioni in presenza). Funzionano in sinergia: i risultati di PhishTrainer identificano i team o i profili a rischio, Bexxo Academy fornisce i percorsi di formazione adeguati. Per una protezione efficace, Bexxo raccomanda di usare entrambi gli strumenti insieme secondo il metodo Simulare → Formare → Misurare.
Qual è la differenza tra White Box, Grey Box e Black Box per una rete?
Il White Box dà accesso agli schemi di rete e alle configurazioni (il più completo, ideale pre-certificazione ISO). Il Grey Box simula un dipendente o un fornitore con accesso VPN parziale (il più equilibrato per le PMI). Il Black Box testa dall'esterno senza conoscenze preliminari, come un attaccante reale. Bexxo raccomanda il Grey Box come standard per le PMI.
Qual è la differenza tra White Box, Grey Box e Black Box?
Il White Box analizza il codice sorgente e l'architettura interna (il più completo). Il Grey Box simula un utente con accesso parziale (il più equilibrato per le PMI). Il Black Box testa dall'esterno senza conoscenze preliminari, come un attaccante (il più realistico). Bexxo raccomanda il Grey Box come standard per le PMI.