In recent decades, vulnerability management processes have gained prominence within corporate security strategies. Initially adopted by large tech organizations, these pro cesses have expanded across all industries, becoming a standard to ensure protection against ever-evolving cyber threats. Vulnerability management involves a continuous cy cle of identifying, analyzing, prioritizing, and remediating weaknesses within information systems. This approach aims to minimize exposure to cyber attacks, preventing exploits that could compromise the confidentiality, integrity, and availability of corporate data. In general, an increasing number of companies recognize the importance of a proactive ap proach to security, driven by real incidents that have jeopardized critical operations. For instance, the notorious WannaCry attack exposed the inability of many companies to properly manage their system vulnerabilities, resulting in significant financial and repu tational damages. This led many organizations to invest in solutions enabling continuous and automated vulnerability management. Today, the presence of vulnerability man agement processes is crucial in an era marked by growing regulatory requirements and security standards. Various regulations, such as GDPR and NIS, explicitly require com panies to monitor their vulnerabilities and implement corrective measures promptly. This regulatory pressure, along with the need to safeguard corporate reputation and protect customers, has encouraged companies to adopt increasingly automated vulnerability man agement solutions integrated into governance, risk, and compliance (GRC) systems. This evolution reflects the growing awareness that security cannot be treated as a reaction to incidents but must be an integral part of the IT lifecycle. This thesis aims to pro vide and describe a vulnerability and cyber risk management process implemented in the context of a betting company. The primary objective is to offer emerging companies—or those needing to establish an IT security structure—a series of "steps," software solutions, potential roles, and communication methods across various teams to create an efficient, streamlined process. It also aims to present a formula for calculating risk in a simple, automated manner, given the volume of data that companies process daily.
Negli ultimi decenni, i processi di gestione delle vulnerabilità hanno guadagnato impor tanza all’interno delle strategie di sicurezza aziendale. Originariamente adottati dalle grandi organizzazioni tecnologiche, questi processi si sono estesi a tutti i settori, di ventando uno standard per garantire la protezione contro minacce informatiche in con tinua evoluzione. La gestione delle vulnerabilità consiste in un ciclo continuo di identifi cazione, analisi, prioritizzazione e rimedio delle debolezze all’interno dei sistemi informa tivi. Questo approccio mira a ridurre al minimo l’esposizione agli attacchi informatici, prevenendo exploit che potrebbero compromettere la riservatezza, l’integrità e la disponi bilità dei dati aziendali. In generale, sempre più aziende stanno riconoscendo l’importanza di un approccio proattivo alla sicurezza, spinti da incidenti reali che hanno messo a repen taglio perazioni critiche. Ad esempio, il celebre caso dell’attacco WannaCry ha esposto l’incapacità di molte aziende di gestire adeguatamente le vulnerabilità dei propri sistemi, con danni economici e reputazionali rilevanti. Questo ha portato molte organizzazioni a investire in soluzioni che permettano una gestione continua e automatizzata delle vulner abilità. Oggi, la presenza di processi di gestione delle vulnerabilità è cruciale in un’era caratterizzata da crescenti requisiti normativi e standard di sicurezza. Diverse normative, come il GDPR e il NIS, richiedono esplicitamente alle aziende di mantenere sotto con trollo le proprie vulnerabilità e di implementare misure correttive in tempi rapidi. Questa pressione normativa, unita alla necessità di salvaguardare la reputazione aziendale e di proteggere i clienti, ha spinto le aziende ad adottare soluzioni di gestione delle vulnera bilità sempre più automatizzate e integrate nei sistemi di governance, risk e compliance (GRC). Tale evoluzione riflette la crescente consapevolezza che la sicurezza non può essere trattata come una reazione agli incidenti, ma deve essere parte integrante del ciclo di vita IT. La presente tesi si pone l’obiettivo di fornire e descrivere un processo di gestione delle vulnerabilità e del rischio informatico che è stato applicato nel contesto di un’azienda che opera nell’ambito delle scommesse. Lo scopo principale è quello di dare alle nuove aziende emergenti - o a coloro che hanno necessità di mettere in piedi una struttura di sicurezza IT - una serie di steps, soluzioni software, possibili ruoli e le modalità di comunicazione dei vari Team al fine di creare un processo efficiente e lineare e una formula per calcolare il rischio in maniera semplice e automatizzata, data la mole di dati che tutti i giorni le aziende si trovano a processare.
Methodologies and tools for a vulnerability management process with an integrated risk evaluation framework
LO GIUDICE, FORTUNATO GABRIELE
2023/2024
Abstract
In recent decades, vulnerability management processes have gained prominence within corporate security strategies. Initially adopted by large tech organizations, these pro cesses have expanded across all industries, becoming a standard to ensure protection against ever-evolving cyber threats. Vulnerability management involves a continuous cy cle of identifying, analyzing, prioritizing, and remediating weaknesses within information systems. This approach aims to minimize exposure to cyber attacks, preventing exploits that could compromise the confidentiality, integrity, and availability of corporate data. In general, an increasing number of companies recognize the importance of a proactive ap proach to security, driven by real incidents that have jeopardized critical operations. For instance, the notorious WannaCry attack exposed the inability of many companies to properly manage their system vulnerabilities, resulting in significant financial and repu tational damages. This led many organizations to invest in solutions enabling continuous and automated vulnerability management. Today, the presence of vulnerability man agement processes is crucial in an era marked by growing regulatory requirements and security standards. Various regulations, such as GDPR and NIS, explicitly require com panies to monitor their vulnerabilities and implement corrective measures promptly. This regulatory pressure, along with the need to safeguard corporate reputation and protect customers, has encouraged companies to adopt increasingly automated vulnerability man agement solutions integrated into governance, risk, and compliance (GRC) systems. This evolution reflects the growing awareness that security cannot be treated as a reaction to incidents but must be an integral part of the IT lifecycle. This thesis aims to pro vide and describe a vulnerability and cyber risk management process implemented in the context of a betting company. The primary objective is to offer emerging companies—or those needing to establish an IT security structure—a series of "steps," software solutions, potential roles, and communication methods across various teams to create an efficient, streamlined process. It also aims to present a formula for calculating risk in a simple, automated manner, given the volume of data that companies process daily.| File | Dimensione | Formato | |
|---|---|---|---|
|
2024_12_LoGiudice.pdf
accessibile in internet per tutti
Descrizione: Tesi Lo Giudice Fortunato Gabriele testo integrale
Dimensione
4.94 MB
Formato
Adobe PDF
|
4.94 MB | Adobe PDF | Visualizza/Apri |
I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/10589/229714