"..molti professionisti dell'IT si crogiolano nella presunzione errata di aver reso la loro ditta immune agli attacchi perché hanno usato prodotti standard, firewall, sistemi di rilevamento intrusioni [...]. Chiunque pensi che i prodotti da soli offrano la vera sicurezza si sta cullando soltanto nella sua illusione. Sta vivendo nel mondo dei sogni. Prima o poi gli capiterà un grosso incidente."
Kevin D. Mitnick, "L'arte dell'inganno"
Kevin D. Mitnick, "L'arte dell'inganno"
Sicurezza dei Sistemi Informativi
I Servizi offerti:
Progettazione ed implementazione di sistemi per la sicurezza
Sistemi per la sicurezza perimetrale (firewall, filtraggio dei contenuti, server proxy), Sistemi di rilevazione delle intrusioni (IDS), reti private virtuali (VPN), comunicazioni sicure e crittografia, disaster recovery, posta elettronica sicura.
Analisi delle vulnerabilità (vulnerability scanning)
Verifica delle vulnerabilità presenti nei sistemi IT del cliente effettuata con strumenti per lo più automatizzati dall'interno e dall'esterno. Copre i livelli software presenti dai Sistemi Operativi alle applicazioni, al software di sistema degli apparati di rete. Il risultato dell'attività è un report tecnico contenente l'elenco delle vulnerabilità rilevate e i passi da compiere per correggerle. Il destinatario naturale del report è il reparto tecnico ICT (CED).
Valutazione delle vulnerabilità (vulnerabilty assessment)
Questo servizio aggiunge alla scansione automatizzata una valutazione dei risultati da parte del consulente alla luce dell'infrastruttura di rete esistente. Inoltre comprende una analisi della architettura.
Analisi dei rischi (risk analysis)
Le vulnerabilità dei sistemi fanno nascere dei rischi, che vanno valutati con metodologie appropriate, per il business dell'organizzazione. Questa valutazione non è più strettamente tecnica e per avere valore deve coinvolgere oltre alla struttura tecnica anche il management. Il risultato è una analisi dettagliata dei rischi per il business e degli impatti economici e di altro tipo per la continuità di esso.
Penetration test
Test di penetrazione dall'esterno, applicando il metodo che userebbe un eventuale aggressore. Valutazione dei risultati.
Security assessment
La valutazione globale della sicurezza non comprende solo la sicurezza informatica ma anche quella logica, fisica, infrastrutturale, organizzativa... Comprende anche elementi di processo. I modelli di riferimento sono CobIT di ISACA, OSSTM, ITIL. I referenti aziendali principali sono di livello direzionale.
Auditing e certificazione ISO 27001/17799
Analisi della conformità agli standard internazionali ISO in materia di sicurezza informatica, valutazione dei passi da intraprendere per allinearsi agli standard ed eventualmente ottenere la certificazione ISO. Auditing di terza parte sui sistemi ISO27001.