Al termine del periodo di test è stilato un rapporto con una valutazione generale delle infrastrutture e delle eventuali lacune riscontrate.

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Al termine del periodo di test è stilato un rapporto con una valutazione generale delle infrastrutture e delle eventuali lacune riscontrate."

Virgilio Federici
7 anni fa
Visualizzazioni

1 Penetration testing Simulazione d attacco esterno il cui scopo è penetrare nel sistema informatico della vostra azienda. Durante il periodo d' osservazione, le risorse informatiche aziendali sono sottoposte ad un esame mirato ad individuare i punti deboli nella rete e/o nelle procedure di sicurezza da voi adottate. Cercheremo di capire in che modo i vostri server sono esposti al mondo esterno e se è possibile sfruttarli dall esterno per ottenere informazioni confidenziali, o per danneggiare le infrastrutture informatiche della vostra azienda. Al termine del periodo di test è stilato un rapporto con una valutazione generale delle infrastrutture e delle eventuali lacune riscontrate. Se necessario sarà allestito un piano d intervento mirato alle esigenze dell azienda. Auditing La vostra società ha deciso di effettuare una serie di test di sicurezza per verificare l'idoneità della struttura informatica. Una volta definite le priorità - confidenzialità, integrità, disponibilità, ecc. - è stilato un piano d'intervento personalizzato, che indica quali sono gli interventi appropriati e un preventivo. Interventi mirati più comuni Gli interventi mirati sono proposti come misure a seguito di "Penetration testing" o "Auditing", ma anche come singole misure per risolvere problemi puntuali. 1 / 5

2 Creazione o ristrutturazione della rete Se si parte da zero è bene predisporre una rete ragionevolmente sicura sin dall'inizio. I motivi per ristrutturare una rete già esistente invece, possono essere diversi: ad esempio, l'azienda cresce ed è sempre più dipendente dalla rete e da internet, oppure la concorrenza si fa più agguerrita ed è necessario garantire la privacy riguardante dati, progetti e liste clienti, oppure è aumentato il numero di utenti e di conseguenza sono aumentati anche i rischi... Lo scopo dell'esercizio è quello di stilare, in accordo con il cliente, una policy di sicurezza, vale a dire un documento che elenca quali sono le infrastrutture sensibili, qual è il loro valore e quali sono i passi che è necessario intraprendere per raggiungere lo scopo e garantire la massima sicurezza possibile della nuova rete. sicure Le sono un mezzo poco sicuro di scambiare informazioni importanti perché è relativamente semplice: Intercettare e leggere la posta altrui. Inviare messaggi "falsi" che sembrano provenire da un indirizzo valido. Le soluzioni sono: Uso di crittografia in chiave pubblica per rendere lo scambio di sicuro. Il software "cifra" e "firma" automaticamente i messaggi in uscita in modo da ottenere: Segretezza: solo i legittimi destinatari possono decifrare il contenuto del messaggio. Autenticità: i messaggi cifrati sono considerati validi solo se provengono da una sorgente verificata elettronicamente. Integrità: i messaggi non possono essere alterati mentre viaggiano verso la loro destinazione. Il servizio è indipendente dal provider di posta utilizzato (i.e. Gmail/Hotmail o server dedicato di posta aziendale) ed è necessario istruire gli utenti con un corso specifico. 2 / 5

3 Servizio di backup automatico Molti accorgimenti mirano ad impedire ai malintenzionati di accedere alle risorse informatiche: con il backup dei dati si intende invece agire in modo preventivo, indipendentemente da ciò che potrebbe succedere alle infrastrutture. Un backup regolare e strategicamente predisposto permette di eliminare o limitare i rischi di una perdita di dati, dovuta a fattori interni o esterni. Vi offriamo un servizio di backup personalizzato a seconda delle vostre esigenze, installando un dispositivo dedicato nella vostra rete aziendale, oppure presso uno dei nostri server dedicati. Accesso remoto ai dati (VPN) Molti utenti hanno l'esigenza di accedere alle proprie risorse aziendali anche fuori dall'azienda, ad esempio durante un viaggio o presso il domicilio di un cliente. In molti casi le aziende implementano un sistema utile a soddisfare questa esigenza trascurando però, spesso inconsciamente, la sicurezza della propria infrastruttura informatica. Predisponendo un servizio di connessione sicura - utilizzando un Virtual Private Network (VPN) - sarete in grado di accedere alle risorse della vostra rete in tutta sicurezza, mantenendo la mobilità richiesta dai clienti. Abbonamenti Servizio di monitoraggio e pronto intervento In numerosi casi, quando si è sottoposti ad un attacco informatico, non è possibile capirlo 3 / 5

4 perché non si dispone delle infrastrutture adeguate a rendersene conto. E' possibile, per esempio, che un malintenzionato riesca ad infiltrarsi nella vostra rete e installi un programma che gli permette di controllare il vostro computer a distanza, di leggere la vostra posta e conoscere in anticipo quali sono i vostri piani o progetti per il futuro. Per mitigare sensibilmente questi problemi occorre monitorare costantemente la vostra rete e reagire nel più breve tempo possibile. Vi offriamo un servizio di monitoraggio della rete personalizzato, utilizzando programmi o server dedicati, e un pronto intervento a secondo delle condizioni scelte dalla vostra azienda. Corsi Training alle pratiche di sicurezza Il comune anello debole di tutte le strutture informatiche è l'utente finale. Ciò è generalmente dovuto ad una mancanza di informazione e di istruzione specifica. Spesso si tende a sottovalutare il pericolo perché non si conosce la tecnologia che si adopera, ma anche perché si è inconsapevolmente imprudenti. Ad esempio, si è abbonati a diversi servizi, tutti accessibili grazie a password inadeguate e facilmente individuabili anche da un eventuale malintenzionato. Per ovviare a questo problema è necessario istruire in modo adeguato il personale sulle tecnologie utilizzate e i loro limiti a livello di sicurezza. Questo pacchetto è rivolto al personale di una o più aziende e oltre una panoramica generale dei più pericolosi vettori di attacco comunemente utilizzate, e i modi di evitarli. 4 / 5

5 Corso di base Passwords deboli Attacchi via browser Attacchi via Social engineering Attacchi fisici (USB, WiFi,...) Protezione dei dati personali Consapevolezza di quello che può succedere online Crittografia e scambio sicuro di dati Software pericoloso (P2P,...) Manutenzione dei dati importanti (backup, encryption,...) Ogni argomento può diventare a richiesta fonte di approfondimento e costituire un corso mirato. 5 / 5

Documenti analoghi

Condivisione documentale tra avvocati e terze parti: 5 modi per mitigare i rischi sicurezza

Condivisione documentale tra avvocati e terze parti: 5 modi per mitigare i rischi sicurezza Giuseppe Polimeni Sales & Marketing Manager Legal Software giuseppe.polimeni@wolterskluwer.com Condivisione documentale