6 settembre 2017

Information Security

Una componente fondamentale per la gestione dei rischi informatici è l’auditing periodico dell’insieme dei sistemi informativi aziendali, dalle infrastrutture alle applicazioni, alle policy, alle vulnerabilità delle risorse umane.

La capacità di remediation delle vulnerabilità riscontrate (prevenzione) deve essere affiancata alla capacità di reazione agli incidenti cyber e relativa investigazione.

Misurare a 360° lo stato di sicurezza della propria organizzazione e della infrastruttura ICT aziendale è il punto di partenza indispensabile per aumentarne i livelli di sicurezza ed eliminare le vulnerabilità, mitigando i rischi.

Penetration Test e Vulnerability Assessment sui sistemi informativi

La sicurezza dei sistemi informativi è diventata una questione strategica per le aziende. Verificare tramite delle prove di accesso la vulnerabilità del sistema informatico è uno strumento efficace sia per decidere quali misure implementare sia per verificare il grado di sicurezza raggiunto in seguito ad una implementazione di sistemi di information security.

Consilia S.r.l. e i suoi partener sono in grado di eseguire Penetration test e vulnerability assessment sui sistemi informativi aziendali al fine di verificarne il grado di protezione sia dall’esterno che dall’interno del sistema stesso.

I Test di intrusione sono utili per diversi motivi:

  • Determinare la possibilità di un particolare insieme di vettori di attacco;
  • Identificare le vulnerabilità ad alto rischio che derivano da una combinazione di vulnerabilità a basso rischio sfruttata in una particolare sequenza;
  • Identificare le vulnerabilità che possono essere difficili o impossibili da rilevare con applicazioni software di scansione delle vulnerabilità;
  • Valutare l’entità e gli impatti potenziali di attacchi riusciti sul business e sull’operatività aziendale;
  • Verifica della capacità dei firewall di rete nel rilevare e rispondere con successo agli attacchi;
  • Fornire prove a sostegno di maggiori investimenti in personale e tecnologia di sicurezza.

La metodologia utilizzata si basa sulle indicazioni OWASP (Open Web Application Security Project, e OSSTMM (Open Source Testing Methodology Manual)  di cui alcuni Security Consultant sono attivi Contributor, nel rispetto degli standard di riferimento (ISO 17799, ISO 27001, Dlg 196/2003).

Le fasi del Penetration Test

Nell’attività di penetration testing si segue una metodologia ben consolidata e formalizzata dal PTES (Penetration Testing Execution Standard).

Le fasi standard di cui si compone l’attività di penetration testing sono le seguenti:

  1. Pre-engagement Interactions;
  2. Intelligence Gathering;
  3. Threat Modeling;
  4. Vulnerability Analysis;
  5. Exploitation;
  6. Post Exploitation;
  7. Reporting.

Il penetration test non è un processo statico e replicabile senza modifiche, ma viene di volta in volta adattato all’infrastruttura e alle esigenze del cliente.

Ogni attività di penetration testing è perciò standardizzabile nella metodologia sopra indicata, ma non nei procedimenti e nei risultati ottenuti.

Ogni infrastruttura, ogni macchina, ogni rete si differenzia dalle altre in un elevato numero di particolari, ed è proprio questo ciò che rende necessario l’intervento umano per affrontare un processo di penetration testing, che altrimenti potrebbe essere totalmente automatico.

L’obiettivo finale del penetration testing è quello di consegnare al cliente un report dettagliato nel quale vengano messe in evidenza tutte le attività effettuate dal penetration tester, le vulnerabilità rilevate ed i passi necessari per mitigarle od eliminarle.

Per questioni legali, è necessario che Consilia Srl ottenga dal cliente un permesso scritto per l’esecuzione del penetration/security assessment.

Consilia Srl si avvale di partners del Master in Cyber Security promosso dal Dipartimento di Ingegneria dell’Informazione dell’Università degli Studi di Pisa e dall’Istituto di Informatica e Telematica del CNR di Pisa, nell’ottica di formare nuovi talenti nel campo della Sicurezza Informatica.

Formazione

L’uso di prodotti di sicurezza IT, integrato con adeguate competenze e conoscenze consentono di identificare e affrontare le minacce alla sicurezza IT, è il modo più efficace per proteggere se stessi ed i propri dati.

La formazione si rivolge a tutti gli utilizzatori di tecnologie informatiche che dovrebbero vigilare sulle minacce alla sicurezza IT quali virus, phishing, hacker, frodi on line e furti d’identità in generale.

La nostra formazione si prefigge il compito di:

  • far comprendere i concetti relativi alla sicurezza informatica;
  • accrescere la consapevolezza del valore delle informazioni su come proteggere i propri dati (backup);
  • identificare le principali minacce informatiche e le varie tipologie di malware;
  • illustrare le principali regole per assicurare la sicurezza nelle connessioni di rete e wireless e il controllo degli accessi;
  • illustrare le principali regole per utilizzare in modo sicuro il web (navigazione, social network).

I nostri formatori sono leader della formazione in materia di sicurezza informatica la cui mission è quella di migliorare la conoscenza e la consapevolezza su questo tema offrendo una formazione completa e pratica.

Sul nostro sito usiamo cookies. We are using cookies on our website.

Per favore confermare se accettate i nostri cookies.Avete la possibilità di negare la tranciabilità, quindi potete continuare a visitare il nostro sito senza che i vostri dati vengano trasmessi a servizi terzi.

Please confirm, if you accept our tracking cookies. You can also decline the tracking, so you can continue to visit our website without any data sent to third party services.