Sicurezza Aziendale: gestione del rischio IT (Penetration Test )



Похожие документы
VULNERABILITY ASSESSMENT E PENETRATION TEST

penetration test (ipotesi di sviluppo)

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

1- Corso di IT Strategy

Sicurezza informatica in azienda: solo un problema di costi?

MANUALE DELLA QUALITÀ Pag. 1 di 6

Progetto di Information Security

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Analisi e sviluppo del call center e del servizio di customer care

STUDIO DI SETTORE SG87U ATTIVITÀ CONSULENZE FINANZIARIE ATTIVITÀ ATTIVITÀ DEGLI AMMINISTRATORI DI SOCIETÀ

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

Sintesi dei risultati

La Guida per l Organizzazione degli Studi professionali

Politica per la Sicurezza

Guida al colloquio d esame

I CONTRATTI DI RENDIMENTO ENERGETICO:

Appendice III. Competenza e definizione della competenza

Valutazione del potenziale

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Audit & Sicurezza Informatica. Linee di servizio

MENSA AZIENDALE: PRENOTAZIONE E PAGAMENTO

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

A cura di Giorgio Mezzasalma

SICUREZZA INFORMATICA MINACCE

LA CERTIFICAZIONE AMBIENTALE (UNI EN ISO 14001)

Sistemi di certificazione e accreditamento

GUIDA - Business Plan Piano d impresa a 3/5 anni

PO 01 Rev. 0. Azienda S.p.A.

Effettuare gli audit interni

e-dva - eni-depth Velocity Analysis

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

REALIZZARE UN BUSINESS PLAN

Perfare MASSIMIZZARE IL VALORE DELL ATTUALE GAMMA DI PRODOTTI

Caratteristiche del contesto. Rubrica valutativa della competenza

Guida alla prevenzione della pirateria software SIMATIC

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Il modello di ottimizzazione SAM

Organizzazione e pianificazione delle attività di marketing

UNIVERSITÀ DEGLI STUDI DI BRESCIA Facoltà di Ingegneria

Automazione Industriale (scheduling+mms) scheduling+mms.

Economia e gestione delle imprese - 05

TeamPortal. Servizi integrati con ambienti Gestionali

IL BUDGET 03 IL COSTO DEI MACCHINARI

La gestione della qualità nelle aziende aerospaziali

1. Team coaching e valorizzazione delle risorse umane

E possibile prevenire l abuso di alcolici? I risultati della sperimentazione del progetto PAASS

Capitolo 4 - Teoria della manutenzione: la gestione del personale

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Norme per l organizzazione - ISO serie 9000

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

SOLUZIONE Web.Orders online

!!!!!!!!!!!!!! !!!!!! SISTEMI GESTIONALI !!!!!!!!!!!!! CATALOGO CORSI !!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! 1!

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza

Alternanza scuola lavoro: che cosa significa

Procedure di lavoro in ambienti confinati Livello specialistico

Obiettivi generali del revisore

May Informatica S.r.l.

Premessa. Di seguito le nostre principali aree aree di intervento

COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?

SUAP. Per gli operatori SUAP/amministratori. Per il richiedente

Costruiamo un futuro sostenibile

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

SCHEMA DI RELAZIONE ANNUALE DEL CONSULENTE PER LA SICUREZZA

Allegato A al CCNL 2006/2009 comparto Ministeri

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

ANALISI E MAPPATURA DEI PROCESSI AZIENDALI

«VALUTAZIONE DELL EFFICACIA DI UN PANNELLO A MESSAGGIO VARIABILE LOCALIZZATO NELLA PIANA DI LUCCA»

Export Development Export Development

DEPLOY YOUR BUSINESS

Gli accordi definiscono la durata, i contenuti e le modalità della formazione da svolgere.

Misurazione, analisi e miglioramento

GESTIONE DELLA FORMAZIONE E

COMUNE DI SANTA MARIA A VICO PROVINCIA DI CASERTA. Verbale n. 9/2014

LINEA PROJECT MANAGEMENT

LA RENDICONTAZIONE SOCIALE NEL SETTORE NON FOR PROFIT

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Analisi del Rischio. Approccio alla valutazione del rischio Informatico. Contromisure. Giorgio Giudice

Dispositivo Forma.Temp di adeguamento all Accordo Stato Regioni per la formazione sulla salute e sicurezza nei luoghi di lavoro

- la possibilità di monitorare lo stato attuale della macchina - fornire una reportistica sulla base di alcune variabili

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

UNIVERSITA DEGLI STUDI DI BRESCIA Facoltà di Ingegneria

Laboratorio di Usabilità per attrezzature medicali

Definizione di un servizio finalizzato a definire un piano di disaster recovery e di intervento a beneficio delle PMI e degli studi professionali

Транскрипт:

Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato a fare attenzione a questo aspetto, grazie a una crescente consapevolezza che la sicurezza delle proprie informazioni è essenziale per evitare i rischi correlati nel mondo imprenditoriale. In termini generali, il rischio può essere definito come il prodotto della probabilità di un evento per l'impatto dello stesso, come definito nella formula Rischio = Probabilità * Impatto Secondo l international Organization for Standardization (ISO), il rischio IT è definito come la possibilità che un malintenzionato o un software malevolo possano sfruttare le vulnerabilità della rete informatica aziendale, causando danni al business. Considerando l Information Technology, è necessario prendere in considerazione aspetti di rischio quali la rilevanza di una minaccia, umana o informatica, la sicurezza del sistema, e la preparazione del personale addetto alla sicurezza. Inoltre è necessario considerare quale impatto può avere nel concreto il verificarsi di una problematica di sicurezza non solo nei confronti dell azienda, ma anche nei confronti di clienti, fornitori, finanziatori. La probabilità del verificarsi di un incidente di sicurezza è quindi una funzione della probabilità che una minaccia sia presente e che possa sfruttare con successo le vulnerabilità del sistema in questione. Le conseguenze del verificarsi di un incidente di sicurezza sono inoltre una funzione del probabile impatto che l'incidente avrà sull organizzazione stessa. Infatti lo stesso bene può avere valori diversi a seconda delle diverse organizzazioni. 1

Il tutto può essere quindi riassunto nella formula: Rischio = Minaccia x Vulnerabilità Valore Aziendale Anche OWASP, comunità online dedicata alla sicurezza delle web application, propone una linea guida di misurazione del rischio concreto, prendendo in esame aspetti quali la stima del rischio, i fattori di vulnerabilità, e l impatto sul business. Rischio complessivo ALTA Medio Alto Critico Rilevanza impatto MEDIA Basso Medio Alto BASSA Lieve Basso Medio BASSA MEDIA ALTA Probabilità Penetration test Il penetration test, in breve anche pentest, è una procedura che consiste in un attacco lecito a un sistema informatico, effettuato con l obiettivo di trovare eventuali debolezze di sicurezza che possano portare ad ottenere l'accesso ai dati o al sistema stesso da parte di malintenzionati, che possono inoltre minarne la funzionalità al punto di compromettere seriamente il business aziendale. Il processo prevede inizialmente la messa a fuoco degli obiettivi, prendendo di mira le informazioni disponibili e i mezzi necessari per raggiungerli. Un penetration test può essere svolto nella modalità white box, quando vengono fornite tutte le informazioni di base relative al sistema, o nella modalità black box, ove non viene fornita alcuna informazione tranne il nome della società. Possono anche essere svolti con modalità intermedie, definite gray box. Inoltre per entrambe le modalità è possibile operare sia dall interno dell organizzazione, che dall esterno della stessa, simulando quindi differenti scenari di attacco. 2

Ad esempio un penetration test esterno di tipo black box può essere utile ad identificare quale danno possa essere causato da un attaccante casuale esterno all'organizzazione, mentre un test interno di tipo gray box simula l operato un dipendente malintenzionato. In entrambi i casi, sarà possibile restituire informazioni sul sistema, sulla vulnerabilità agli attacchi, se le difese fornite erano sufficienti e, in caso, quali sono state efficaci e quali no. E necessario differenziare le generiche valutazioni di vulnerabilità dai reali penetration test. Nel primo caso, l analisi di un sistema andrà a scovare quali sono le possibili vie di accesso per un malintenzionato, attraverso quali vie i dati possono uscire dal sistema, e le debolezze dello stesso in generale, compresa la fragilità del sistema in caso di problematiche hardware o software. Nel secondo caso, invece, l obiettivo è quello di sfruttare effettivamente le debolezze che vengono rilevate al fine di ottenere l accesso al sistema o ai dati dello stesso. In breve, valutare la vulnerabilità è osservare una cassaforte e decidere, sulla base delle proprie conoscenze, se è sicura o meno; effettuare un penetration test significa provare ad aprirla senza averne la combinazione. A obiettivo raggiunto, sarà presentato un report al committente delle problematiche presenti nel sistema informatico. A partire da questo, sarà possibile delineare l'impatto delle stesse per l organizzazione e una serie di contromisure, tecniche e procedurali, atte a ridurre i rischi al minimo. Obiettivi del penetration test Determinare la fattibilità di eventuali attacchi informatici Identificare le vulnerabilità ad alto rischio, comprese quelle che derivano da una combinazione di vulnerabilità a basso rischio Identificare le vulnerabilità mediante procedure automatiche e mediante procedure che richiedono conoscenze specifiche, al di là delle possibilità di software di scansione automatizzati Valutare l'entità del danno in caso di reale attacco Verificare l efficacia delle difese, sia in termini di rilevazione che di risposta agli attacchi Permettere di valutare, a fronte di risultati oggettivi, l entità dei necessari investimenti in termini di conoscenze del personale e tecnologie di difesa 3

Procedure di penetration test I pentest vengono svolti ricercando inizialmente, dall'esterno o dall'interno, eventuali vulnerabilità nei sistemi maggiormente esposti. Quelle esterne vengono poi sfruttate al fine di violare il perimetro della rete, mentre i sistemi interni vengono ispezionati alla ricerca di altre vulnerabilità che permettano di ottenere ulteriore accesso ai dati e alle infrastrutture. In particolare: Internal Pentest I test vengono effettuati posizionandosi all'interno della rete aziendale. External Pentest I test vengono effettuati posizionandosi all'esterno della rete aziendale. Come già specificato, è inoltre possibile differenziare tra test Black Box, Gray Box e White Box, a seconda delle informazioni fornite sui sistemi da attaccare. Ecco alcuni esempi e scenari: External Pentest Black Box Simula un attacco da parte di un soggetto casuale o esterno (ad esempio un hacker generico, o uno al servizio di una azienda concorrente) ma comunque senza accesso ad informazioni e credenziali di accesso dell'azienda. Internal Pentest Black Box Simula un attacco da parte di un soggetto che abbia accesso fisico (ad esempio un consulente esterno o un visitatore in una sala riunioni) o remoto alla rete aziendale (ad esempio un computer di una segretaria compromesso). External Pentest White Box Simula la compromissione di una componente esposta all'esterno per capire che livello di accesso un soggetto malintenzionato possa ottenere alle altre parti dell'infrastruttura aziendale. Internal Pentest White Box Simula un attacco proveniente dall interno all'organizzazione da parte di un soggetto in possesso di informazioni ed accesso ad alcune parti dell'infrastruttura per capire che livello di accesso alle componenti critiche sia possibile ottenere. 4

Wireless Penetration Test Cerca di compromettere l'infrastruttura wireless, simulando un attacco da parte di una persona fisicamente prossima ad uno degli edifici dell'azienda in cui sia installata una rete wireless. Social Engineering Invece di attaccare la componente informatica viene attaccata quella umana. Mediante tecniche di manipolazione si cerca di indurre le persone a compiere azioni informatiche atte a dare accesso ai sistemi (ad esempio phishing) o a rivelare informazioni. Il report Il report è un documento che viene scritto al termine dell attività e che permette di riassumere in modo semplice e dettagliato tecniche utilizzate, vulnerabilità riscontrate, risultati del test e proposte di rimedio. Lo stesso è suddiviso in aree tematiche sulla base del destinatario dei singoli paragrafi. Sommario Comprende l introduzione e un riassunto di alto livello, destinato alla direzione aziendale. Tecniche utilizzate Parte tecnica che descrive nel dettaglio strumenti, attività e modalità di test. Vulnerabilità e risultati del pentest Parte tecnica che descrive nel dettaglio le vulnerabilità riscontrate e il loro impatto, dedicata al responsabile del sistema informatico. Rimedi Sezione tecnica con istruzioni e consigli su come risolvere le problematiche identificate, dedicata al responsabile del sistema informatico, al responsabile delle risorse umane, e alla direzione aziendale. 5

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back