Quanto sono sicuri i vostri servizi IT? Gli imprenditori e i dirigenti dovrebbero porsi spesso questa domanda, a maggior ragione in tempi di crescenti attacchi ransomware. I Security Assessment e i Penetration Test sono in grado di fornire risposte a questa domanda. Ma quando è utile svolgere questi test?
Il mancato funzionamento dei servizi IT generalmente paralizza le aziende. Questa tuttavia non è l’unica ragione per cui le aziende dovrebbero avere un interesse vitale nel prevenire gli attacchi dei criminali informatici. La direzione aziendale può infatti anche essere considerata responsabile dei danni causati dagli attacchi informatici. Ma come fa un’azienda a stabilire se i suoi servizi IT sono ben protetti o meno? Due procedimenti comunemente utilizzati per valutare il livello di sicurezza informatica in azienda sono i Security Assessment e i Penetration Test.
Security Check IT
Ottenete rapidamente una prima valutazione dello stato della sicurezza informatica della vostra azienda con il nostro Security Check IT. Il test servirà come punto di partenza per stabilire eventuali ulteriori misure necessarie.
Security Assessment o Penetration Test?
Un Security Assessment (in italiano «valutazione della sicurezza») analizza le misure tecniche e organizzative. Questo tipo di test non prevede lo sfruttamento delle vulnerabilità di sicurezza per penetrare nei sistemi.
Al contrario, un Penetration Test (in italiano «test di penetrazione»), abbreviato in Pentest, prevede anche l’intervento di uno specialista della sicurezza, che tenta di penetrare nei sistemi dell’azienda per conto della stessa. Un Pentest mette così in evidenza le lacune di sicurezza esistenti che i criminali informatici potrebbero sfruttare.
Cos’è un Security Assessment?
Il Security Assessment esamina le misure di sicurezza in vigore. La procedura è in gran parte standardizzata sotto forma di un’intervista con i responsabili IT e i membri della direzione aziendale. Vengono poste loro domande sulle misure di protezione tecniche e organizzative. Esempi di tali domande sono:
- Esiste un piano per la gestione sicura dei computer e dei dati, per esempio linee guida per la scelta delle password e diritti di accesso commisurati ai ruoli dei collaboratori?
- Ci sono specifiche per la configurazione sicura di computer e server sul posto di lavoro?
- Qual è la procedura di salvataggio per ripristinare i dati in caso di guasto?
Inoltre, un Assessment di questo tipo può includere un Vulnerability Scan. Questa ricerca di vulnerabilità rileva eventuali lacune di sicurezza, dovute ad esempio a una versione obsoleta del software. A tal fine si utilizza un software apposito che analizza tutti i sistemi della rete e che può anche creare un inventario dell’hardware utilizzato.
L’esito di un Security Assessment è registrato in un rapporto, che fornisce non solo una panoramica delle misure adottate, ma anche una valutazione dei rischi identificati. Questo aiuta l’azienda a individuare le misure di sicurezza necessarie cui dare priorità. Seguendo tali raccomandazioni, un’azienda potrà aumentare la sicurezza dell’intera infrastruttura informatica.
Cos’è un Penetration Test?
Durante un Penetration Test uno specialista della sicurezza («hacker») attacca l’infrastruttura informatica per conto dell’azienda stessa servendosi dei mezzi che utilizzerebbero i criminali informatici. La portata e la natura dell’attacco sono determinate in anticipo in base alle esigenze specifiche dell’azienda. Alcuni esempi sono:
- Penetrazione nel sito web o nell’online shop
- Conferimento di diritti di accesso di amministratore ai sistemi della rete aziendale
- Accesso alla rete aziendale dall’esterno
Lo specialista della sicurezza cerca di penetrare nei sistemi interessati utilizzando tool appositi. La procedura è in parte manuale, in parte automatizzata, e sfrutta sia le vulnerabilità del software che eventuali carenze organizzative, come le password non sicure. L’obiettivo normalmente è quello di acquisire i diritti di amministratore sul sistema attaccato e di ottenerne così il controllo.
Come per il Security Assessment, i risultati del Penetration Test vengono registrati in un rapporto, che evidenzia le lacune di sicurezza esistenti e le misure migliorative raccomandate, in ordine di priorità secondo il grado di urgenza o gravità della lacuna presa in esame.
Security Audit
Mentre l’Assessment e il Pentest analizzano la sicurezza dell’IT, un Security Audit esamina i processi sulla base della loro conformità a uno standard specifico. Viene svolto quando un’azienda vuole essere certificata, per esempio per operazioni informatiche sicure secondo gli standard ISO 27001. Un audit di questo tipo è esaustivo e richiede molto tempo.
Quale procedura è necessaria e quando?
Il Security Assessment è raccomandato come punto di partenza per controllare il livello attuale della sicurezza ed è sufficiente per identificare le lacune principali e intraprendere le misure appropriate. A seconda della responsabilità, può essere utile coinvolgere il proprio partner IT in un assessment.
In confronto, un Penetration Test richiede molto più tempo. Vale la pena svolgerlo se il funzionamento di un’azienda dipende fortemente dall’infrastruttura informatica, ad esempio se l’intera vendita avviene tramite un online shop o gli ordini, le fatture e la logistica sono gestiti tramite un sistema ERP (software aziendale) autonomo.
Indipendentemente da come è impostata la vostra azienda, spesso non fare nulla e dover ripristinare l’intera infrastruttura ad attacco informatico avvenuto è l’opzione più costosa.