Sicurezza

Sicurezza delle informazioni

Valutazioni della sicurezza delle informazioni (Security assessment): ricognizioni che abbracciano non solo la sicurezza informatica ma anche quella logica, fisica, infrastrutturale, organizzativa. Consulenza per l’analisi e la gestione dei rischi informativi e operativi e in tema di governance dei sistemi informativi. Tra i modelli di riferimento usati: COBIT, OSSTMM, ITIL, le norme ISO della seria 27000, oltre alle leggi cogenti (231, privacy). I referenti aziendali per gli audit di sicurezza sono di solito a livello direzionale.

ISO/IEC 27001

Consulenza in fase di implementazione del sistema di gestione. Gap analysis, supporto in fase di certificazione. Audit del sistema di gestione per la verifica dello stato del sistema. Integrazione con altri modelli (Sistema Qualità ISO 9000) e con la compliance aziendale (Modello 231, Privacy, Antiriciclaggio, Sicurezza sul lavoro).

I penetration test (“pentest“) sono tra i migliori mezzi per valutare – e correggere – il livello di sicurezza informativa di un’organizzazione (o di una parte di essa).  Il pentest fa il passo successivo, rispetto ai vunerability scan, sfruttando i punti deboli trovati, assieme ad informazioni complementari sull’organizzazione, per compromettere l’obiettivo agendo esattamente come agirebbe un potenziale attaccante. I mezzi usati non si limitano a quelli puramente tecnici ma possono includere anche tecniche di social engineering. as well. Simulare il comportamento dei criminali reali permette al cliente di valutare quanto siano realmente efficaci i sistemi di sicurezza, i controlli e le misure organizzative in essere. Gli attacchi potranno essere messi in atto sfruttando metodi diversi e in sinergia, come avviene nella realtà.

I processi di Vulnerability Scan e Vulnerability Assessmenthanno l’obiettivo di identificare le vulnerabilità tecnologiche dei sistemi IT aziendali, o di un singolo sistema. Entrambi possono essere attivati come servizi autonomi oppure nel più ampio abito di una valutazione globale della sicurezza (security assessment). Si differenziano per il livello di analisi.

Commenti chiusi