Sicurezza informatica

•  Analisi dei rischi (Vulnerability assesment)

•  Collaudo e stima della sicurezza raggiunta (Security assesment)

•  Creazione - Pianificazione ed implementazione - Monitoraggio e gestione di policy di sicurezza aziendale (Security policy)

Vulnerability Assessment
Per garantire la sicurezza dei sistemi, in particolare di quelli che erogano servizi sulla rete pubblica Internet, è necessario attuare un costante adeguamento degli apparati stessi, in conformità alle nuove vulnerabilità rilevate ormai giornalmente. La velocità di realizzazione e diffusione di software che, attraverso tali vulnerabilità, possono permettere accessi non autorizzati alle informazioni è ormai elevatissima. Il servizio supporta il Cliente nel monitoraggio costante dei propri apparati, con cadenza prefissata (bimestrale, mensile o settimanale). L'analisi può avvenire in particolari orari (es. di notte) per non impattare sul normale funzionamento dei sistemi, viene eseguita remotamente su un insieme di oggetti, identificabili da indirizzi IP precedentemente concordati e produce un report dettagliato (già analizzato ed eventualmente filtrato da personale altamente qualificato) consegnato al Cliente. Eventuali gravi vulnerabilità riscontrate vengono segnalate direttamente ai referenti IT indicati, per permettere una rapida e tempestiva risoluzione delle situazioni critiche.I principali vantaggi di un servizio di questo tipo sono:

• lo sgravio del costo economico di acquisto del software necessario a svolgere questa tipologia di indagini
• l'utilizzo di personale altamente qualificato preposto a questo tipo di attività estremamente routinaria.

Il target di questo servizio è qualunque entità che eroghi servizi su Internet e non possieda le competenze tecniche sufficienti per effettuare un monitoraggio continuo dello stato di aggiornamento dei sistemi.

Security Assessment
Un Security Assesment, anche detto Penetration Test, ha come finalità la verifica della sicurezza di un sistema informativo. Per raggiungere tale obiettivo, si opera come un vero e proprio attaccante malintenzionato, simulando dei tentativi di intrusione non autorizzata, al fine di carpire informazioni sensibili o di particolare importanza come password di accesso, numeri di carta di credito, segreti industriali, ecc. Tali azioni sono compiute da personale in possesso di skill tecnici e competenze particolarmente elevati nei campi dell'hacking, del social engineering e della programmazione, il cui impiego è finalizzato esclusivamente alla dimostrazione della presenza di una vulnerabilità. E' possibile sintetizzare le varie fasi dell'attività come segue:

• raccolta di informazioni inerenti i sistemi obiettivo
• analisi e studio dei sistemi e delle applicazioni accessibili
• individuazione di possibili vulnerabilità
• accesso alle informazioni sensibili tramite le vulnerabilità individuate
• redazione del report finale

Le tecniche utilizzate sono le più varie ed includono, secondo le esigenze esposte dal Cliente, la realizzazione di virus trojan e backdoor (senza caratteristiche distruttive, ma solo atte al recupero di informazioni), e più in generale la creazione di software ad hoc per l'accesso ai dati non autorizzato o l'impersonificazione di personale interno.
Questo tipo di attività è anche indicata per valutare le competenze del personale IT ed i tempi e le modalità di risposta attuati dalla propria struttura di fronte ad una possibile minaccia.
Può essere svolta anche una variante direttamente all'interno della propria Intranet aziendale: in questo caso, si simula il comportamento di un normale utente o di un consulente esterno con accesso alla rete, al fine di verificare che tali classi di utente accedano esclusivamente alle informazioni necessarie alla propria attività lavorativa.
Al termine dell'attività viene redatto un dettagliato report tecnico destinato ai responsabili IT contenente la descrizione dell'analisi condotta, le vulnerabilità rilevate e le informazioni accedute, oltre ad una possibile soluzione dei problemi riscontrati; su richiesta del Cliente è possibile redigere, in aggiunta, un report meno specifico, sintetizzante le vulnerabilità riscontrate, indirizzato al Management.

Il target di questo servizio è per quanto riguarda i Penetration Test esterni, tutte le entità che erogano servizi sulla la rete pubblica Internet o permettono l'accesso ad utenti autorizzati alla propria Intranet aziendale tramite portali dedicati, invece, per quanto riguarda i Penetration Test interni, interessano qualunque azienda possieda una propria Intranet su cui sono disponibili dati sensibili industriali o personali.

Security Policy
I problemi di sicurezza più rilevanti per un'azienda non sono collegati all'uso di determinate tecnologie, bensì alla mancata (o parziale) conoscenza di politiche orientate alla sicurezza ed alla loro applicazione all'interno della propria struttura. La maggioranza delle entità aziendali ha infatti scarsa dimestichezza con le policy di sicurezza, molte di esse utilizzano "prassi" non scritte: la diretta conseguenza di questi fatti è l'innalzamento del rischio e, soprattutto, la forte dipendenza dell'azienda dalle conoscenze del proprio personale tecnico, spesso non adeguatamente formato. L'utilizzo di policy scritte e ben definite richiede, inoltre, da parte del proprio personale una maggiore attenzione e responsabilità durante la propria attività lavorativa. Il target di questo servizio è qualunque azienda che abbia un sistema informativo.