Il problema sta nel fatto che quasi tutti i clienti si affidano<\/strong> ai fornitori per le risposte accurate quando vengono poste tali domande, molto spesso perch\u00e9 non hanno altra scelta. Un approccio pi\u00f9 maturo nella realt\u00e0 informatica di oggi \u00e8 verificare<\/strong>.<\/p>\n Nel linguaggio aziendale questo si chiama fiducia della supply chain e cercare di risolvere questo enigma da soli \u00e8 un serio grattacapo. \u00c8 necessario l\u2019aiuto dei fornitori. Un fornitore responsabile \u00e8 pronto a mostrare cosa c\u2019\u00e8 dietro le sue soluzioni, ad aprire il codice sorgente a partner e clienti per la revisione e, in generale, a guadagnarsi la fiducia non con belle diapositive ma con passaggi solidi e pratici.<\/p>\n Quindi chi lo sta gi\u00e0 facendo e chi \u00e8 ancora bloccato nel passato? Un nuovo e approfondito studio<\/a> dei nostri colleghi europei ha la risposta. \u00c8 stato condotto dal rinomato laboratorio di test AV-Comparatives, dalla Camera di Commercio del Tirolo (WKO<\/a>), dalla MCI Entrepreneurial School e dallo Studio Legale Tremolada.<\/p>\n La conclusione principale dello studio \u00e8 che l\u2019era delle \u201cscatole nere\u201d nella sicurezza informatica \u00e8 finita. RIP. Amen. Il futuro appartiene a coloro che non nascondono il codice sorgente e i rapporti sulle vulnerabilit\u00e0 e che offrono ai clienti la massima scelta durante la configurazione dei prodotti. E il rapporto afferma chiaramente chi non solo promette, ma mantiene. Indovina chi!\u2026<\/p>\n Che bella ipotesi! S\u00ec, siamo noi!<\/p>\n Offriamo ai nostri clienti qualcosa che, purtroppo, \u00e8 ancora una specie rara e in via di estinzione nel settore: centri per la trasparenza, revisioni del codice sorgente dei nostri prodotti, una distinta base del software dettagliata (SBOM<\/a>) e la possibilit\u00e0 di controllare la cronologia degli aggiornamenti e controllare le implementazioni. E, naturalmente, forniamo tutto ci\u00f2 che \u00e8 gi\u00e0 diventato lo standard del settore. \u00c8 possibile esaminare tutti i dettagli nel rapporto completo \u201cTransparency and Accountability in Cybersecurity\u201d (TRACS)<\/a> o nel nostro riepilogo. Di seguito, illustreremo alcuni degli aspetti pi\u00f9 interessanti.<\/p>\n TRACS ha esaminato 14 famosi fornitori e i relativi prodotti EPP\/EDR, da Bitdefender e CrowdStrike al nostro EDR Optimum<\/a> e WithSecure. L\u2019obiettivo era capire quali fornitori non si limitano a dire \u201cfidati di noi\u201d, ma consentono effettivamente di verificare le loro affermazioni. Lo studio ha coperto 60 criteri: dalla conformit\u00e0 al GDPR<\/a> (General Data Protection Regulation \u2013 dopo tutto \u00e8 uno studio europeo) conformit\u00e0 e controlli ISO 27001, alla possibilit\u00e0 di elaborare tutta la telemetria in locale e accedere al codice sorgente di un prodotto. Gli autori hanno per\u00f2 deciso di non attribuire punti per ogni categoria o formare un\u2019unica graduatoria generale.<\/p>\n Perch\u00e9? Perch\u00e9 ognuno ha modelli di minaccia e rischi diversi. La funzionalit\u00e0 per uno pu\u00f2 essere un bug e per un altro un disastro. Installazione rapida e completamente automatica degli aggiornamenti. Per una piccola impresa o un\u2019azienda di vendita al dettaglio con migliaia di minuscole filiali indipendenti, questa \u00e8 una benedizione: non avrebbero mai abbastanza personale IT per gestire tutto manualmente. Ma per una fabbrica in cui un computer controlla il nastro trasportatore sarebbe del tutto inaccettabile. Un aggiornamento difettoso pu\u00f2 arrestare una linea di produzione, che in termini di impatto aziendale potrebbe essere fatale (o almeno peggiore del recente attacco informatico Jaguar Land Rover<\/a>); qui, ogni aggiornamento deve prima essere testato. \u00c8 la stessa storia con la telemetria. Un\u2019agenzia di pubbliche relazioni invia i dati dai propri computer al cloud del fornitore per partecipare al rilevamento delle minacce informatiche e ottenere protezione istantanea. Perfetto. Un\u2019azienda che elabora le cartelle cliniche dei pazienti o i progetti tecnici altamente riservati sui propri computer? Le impostazioni di telemetria dovrebbero essere riconsiderate.<\/p>\n Idealmente, ogni azienda dovrebbe assegnare \u201cpesi\u201d a ogni criterio e calcolare il proprio \u201cindice di compatibilit\u00e0\u201d con i fornitori di EDR\/EPP. Ma una cosa \u00e8 ovvia: vince chi offre scelte ai clienti.<\/p>\n Eseguire l\u2019analisi della reputazione dei file sospetti. Pu\u00f2 funzionare in due modi: tramite il cloud comune del fornitore o tramite un micro-cloud privato all\u2019interno di una singola organizzazione. Inoltre \u00e8 possibile disabilitare del tutto questa analisi e lavorare completamente offline. Pochissimi fornitori offrono ai clienti tutte e tre le opzioni. Ad esempio, l\u2019analisi della reputazione \u201con-premises\u201d \u00e8 disponibile solo per otto fornitori nel test. Inutile dire che siamo uno di loro.<\/p>\n In ogni categoria del test la situazione \u00e8 pi\u00f9 o meno la stessa del servizio reputazione. Analizzando attentamente tutte le 45 pagine del rapporto, siamo in vantaggio sulla concorrenza o tra i leader. E possiamo affermare con orgoglio che in circa un terzo delle categorie comparative offriamo capacit\u00e0 significativamente migliori rispetto alla maggior parte dei nostri colleghi. Scopritelo voi stessi:<\/p>\n Visitare un Transparency Center e rivedere il codice sorgente? Verificare che i file binari del prodotto vengano compilati a partire da questo codice sorgente? Solo tre fornitori nel test forniscono questi elementi. E uno di questi \u00e8 riservato ai clienti governativi. I nostri Transparency Center sono i pi\u00f9 numerosi e distribuiti geograficamente e offrono ai clienti la pi\u00f9 ampia gamma di opzioni.<\/p>\n Apertura del nostro primo Transparency Center nel 2018<\/p><\/div>\n Scaricare gli aggiornamenti dei database e ricontrollarli? Solo sei fornitori, noi compresi, forniscono questo.<\/p>\n Configurare l\u2019implementazione in pi\u00f9 fasi degli aggiornamenti? Questo non \u00e8 proprio raro, ma non \u00e8 nemmeno diffuso: solo sette fornitori oltre a noi lo supportano.<\/p>\n Leggere i risultati di un controllo di sicurezza esterno dell\u2019azienda? Solo noi e altri sei fornitori siamo pronti a condividerlo con i clienti.<\/p>\n Scomporre una supply chain in anelli separati utilizzando una SBOM? Anche questo \u00e8 raro: \u00e8 possibile richiedere una SBOM a soli tre fornitori. Uno di questi siamo noi.<\/p>\n Naturalmente, ci sono categorie in cui tutti ottengono buoni risultati: tutti hanno superato un controllo ISO\/IEC 27001, sono conformi al GDPR, seguono pratiche di sviluppo sicure e accettano rapporti sulle vulnerabilit\u00e0.<\/p>\n Infine, c\u2019\u00e8 la questione degli indicatori tecnici. Tutti i prodotti che funzionano online inviano determinati dati tecnici sui computer protetti e informazioni sui file infetti. Per molte aziende questo non rappresenta un problema e sono contente che migliori l\u2019efficacia della protezione. Ma per coloro che sono seriamente concentrati sulla riduzione al minimo dei flussi di dati, AV-Comparatives misura anche quelli, e ci capita di raccogliere la minor quantit\u00e0 di telemetria rispetto ad altri fornitori.<\/p>\n Grazie agli esperti austriaci, i CISO e i relativi team ora hanno un compito molto pi\u00f9 semplice da eseguire durante la verifica dei fornitori di prodotti di protezione. E non solo i 14 testati. La stessa struttura pu\u00f2 essere applicata ad altri fornitori di soluzioni di protezione e al software in generale. Ma ci sono anche conclusioni strategiche\u2026<\/p>\n La trasparenza semplifica la gestione del rischio<\/strong>. I responsabili della gestione di un\u2019azienda, non vogliono indovinare se lo strumento di protezione diventer\u00e0 il loro punto debole. Servono prevedibilit\u00e0 e responsabilit\u00e0. Lo studio WKO e AV-Comparatives conferma che il nostro modello riduce questi rischi e li rende gestibili.<\/p>\n Fatti anzich\u00e9 slogan<\/strong>. In questo settore, non \u00e8 sufficiente essere in grado di scrivere \u201csiamo al sicuro\u201d sul proprio sito Web. Sono necessari meccanismi di controllo. Il cliente deve essere in grado di passare e verificare personalmente. Noi forniamo questo servizio. Altri stanno ancora cercando di capire come fare.<\/p>\nFidarsi \u00e8 bene, ma verificare \u00e8 meglio<\/h2>\n
Alzare l\u2019asticella<\/h2>\n
![\"Apertura](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/02\/20125415\/transparency-independent-study-center.jpg\")
Conclusioni pratiche<\/h2>\n