Cybersecurity
Riepilogo Sulla Sicurezza Delle Informazioni
L’Information Security Snapshot è un servizio che Soluzione PA Srl offre al Top Management o alla Proprietà aziendale per realizzare quella si può considerare una “foto panoramica” del livello di sicurezza all’interno dell’impresa, per quello che riguarda tutti gli aspetti della Gestione dell’Informazione, dalla Business Continuity, agli adeguamenti normativi. L’attività consiste in una serie di interviste rivolte ai responsabili delle funzioni di Business, della Direzione aziendale e ad alcuni utenti presi a campione.
Il report risultante dalle suddette interviste, consentirà al Management di valutare eventuali analisi più approfondite su alcune tematiche o aree aziendali, per poi definire e pianificare azioni correttive/evolutive dei processi, dell’organizzazione e delle soluzioni tecnologiche presenti in azienda.
Scansione Delle Vulnerabilità
Attività, in genere ricorsiva, effettuata principalmente con strumenti automatici, avente l’obiettivo di verificare la presenza di vulnerabilità conosciute e classificate. Viene integrata con attività manuali di normalizzazione dei risultati e di verifica di eventuali falsi positivi.
Valutazione Delle Vulnerabilità E Test Di Penetrazione
In modalità Black Box e Grey Box (post autenticazione), effettuati su reti, sistemi ed applicazioni, sia accedendo dalla rete esterna (accesso ad Internet), sia sulla rete interna (attraverso una connessione VPN).
Servizio applicabile anche agli ambienti Voip, si pongono come obiettivo la valutazione del grado di sicurezza degli ambienti testati. Lo svolgimento delle attività avviene in modalità Ethical Hacking e principalmente con attività manuali e di intelligence.
Valutazione Delle Vulnerabilità E Test Di Penetrazione INSIDER
In modalità Black Box, Grey Box e White Box, effettuati su reti, sistemi ed applicazioni interne presso la sede del Cliente; rispetto ai test effettuati da remoto, il servizio è più pervasivo, consente ad esempio di sfruttare accessi occasionali da prese abilitate ad esempio nelle sale riunioni, porte di stampanti, infrastrutture ed accessi (anche fisici), non protetti o controllati.
Servizio applicabile anche agli ambienti Voip e WiFi (che per tipologia di connessione mal si presta ad essere testato da remoto), si pongono come obiettivo la valutazione del grado di sicurezza degli ambienti testati. Lo svolgimento delle attività avviene in modalità Ethical Hacking e principalmente con attività manuali e di intelligence.
Test Di Penetrazione Applicativa
Si definisce Web Application Penetration Test il test di Vulnerabilità che ha l’obiettivo di individuare le carenze di misure di sicurezza delle applicazioni web.
I Test di Vulnerabilità sono eseguiti sia manualmente che con il supporto di tool automatici.
La metodologia di riferimento per il Web Application Penetration Test è OWASP, gli strumenti principali per seguire tale metodologia sono la Testing Guide e la Top Ten delle 10 maggiori vulnerabilità.
Valutazione
Analisi di dettaglio che comprende l’analisi della rete, delle architetture, delle applicazioni, dei processi, della documentazione, ecc. per recuperare le informazioni necessarie a fare una analisi approfondita ed a proporre le azioni necessarie in linea con gli obiettivi del Cliente (Compliance, Certificazioni, Audit periodici,….)
Tutto l’ambito di indagine individuato dal cliente (personale, infrastrutture, processi e procedure, sistemi e strumenti informativi) viene analizzato e documentato al fine di valutare la compliance alle normative ed agli standard vigenti e il grado di esposizione al rischio (Risk Assessment); viene effettuata un’analisi del livello di esposizione al rischio della infrastruttura ICT e della gestione delle informazioni in genere, per poterne conoscere le criticità e gestire e mitigare con successo i rischi per il business.
Da questa analisi ne derivano una serie di indicazioni volte alla mitigazione del rischio (Remediation Plan) compatibilmente con le strategie aziendali. Viene così disegnato un percorso evolutivo che minimizzi gli impatti generati dal cambiamento in termini di continuità di servizio e contenimento costi.
Implementazione Di Remediation Plan
Una volta redatto il piano per mitigare o trasferire i rischi, questo deve essere implementato, controllato e manutenuto; questa attività necessita sia di competenze sulla sicurezza, sia di competenze di Project Management e naturalmente skill relazionali e di comunicazione. Soluzione PA Srl si affianca al management del Cliente per rendere operativo ed efficace il Remediation Plan, coordinare le risorse del Cliente e produrre la reportistica necessaria, indispensabile anche per i processi di compliance e certificazione.
Consulenza
I consulenti Soluzione PA Srl si affiancano al Management del Cliente per supportarlo nelle fasi di pianificazione, implementazione e controllo degli strumenti, delle metodologie e dei processi per la gestione delle informazioni aziendali e dei servizi ad esse associati. Soluzione PA Srl offre inoltre la propria esperienza per aiutare il cliente nella valutazione delle soluzioni hardware e software offerte dai principali vendor presenti sul mercato che siano rispondenti ai requisiti del core business dell’azienda. Le attività di Vulnerability Assessment e Penetration Test (di seguito VAPT) sono parte integrante di un processo di Risk Assessment e sono progettate specificamente per questo compito; se eseguite correttamente, in modo efficiente ed efficace, forniscono ai manager aziendali le indicazioni necessarie per capire e gestire i rischi connessi alla loro attività e per porre in essere le misure più idonee per il rilevamento ed il contrasto delle frodi e dei crimini informatici.
Fare una verifica del livello di sicurezza della propria infrastruttura IT consente di acquisire la consapevolezza di eventuali problematiche, e questo è condizione indispensabile per individuare ed implementare azioni e soluzioni correttive.
Allo stesso tempo, è importante che siano preventivamente definite delle regole di comportamento e implementati gli opportuni processi di controllo a tutela dei beni e del patrimonio informativo dell’impresa e del personale che al suo interno vi opera.
In particolare devono essere presi in considerazione i tre aspetti fondamentali per la gestione della sicurezza delle informazioni/servizi informativi, sono:
- Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie;
- Integrità: protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza e della completezza dei dati;
- Disponibilità: le informazioni vengono rese disponibili quando occorre e nell’ambito di un contesto pertinente.
I servizi di VAPT sono finalizzati alla valutazione del grado di sicurezza di reti, sistemi, applicazioni ed informazioni e possono essere effettuati anche per testare la sicurezza di ambienti Wireless e VoIP.
Le attività vengono svolte con strumenti automatici affiancati da attività mirate di tipo manuale in modalità Ethical Hacking.
Inoltre gli aspetti della security sono tutti correlati ed impattano tra loro formando una catena di sicurezza, basta solo un anello di questa per mettere a rischio tutta la sicurezza dei dati dell’azienda. I test di vulnerabilità sono eseguiti dal solo personale con comprovata esperienza pluriennale ed in possesso delle certificazioni professionali adeguate, le metodologie di riferimento sono la ISECOM OSSTMM per i sistemi e OWASP per le applicazioni web. Il test di vulnerabilità, si svolge tra le parti: Cliente e Soluzione PA Srl stipulano un contratto di riservatezza e segretezza “NDA” (Non Disclosure Agreement) oltre a un documento (cosiddetto: “manleva”) per l’autorizzazione a condurre una simulazione di attacco verso i propri sistemi.