Per verificare la sicurezza di un sistema informatico si può fare riferimento al cosiddetto penetration test, che offre la possibilità di valutare in maniera metodica e poi di validare il livello di efficacia che caratterizza i controlli di sicurezza informatica. Indicato anche con il nome di pen test, consiste in un’analisi che serve a determinare il livello di sicurezza dei software che interagiscono con la rete e delle applicazioni web. Ecco spiegato il motivo per il quale il penetration test può coinvolgere l’intero sistema informatico di un’impresa. Se si ha la necessità di analizzare un portale web, per esempio, si può cominciare con un test delle varie funzionalità, e in seguito ci si focalizza sul meccanismo di autenticazione. Dopodiché si analizza la configurazione del server, per poi passare alle informazioni e ai dati.
Perché il penetration test è necessario
Il penetration test può essere considerato una verifica indispensabile attraverso la quale si può dimostrare che i requisiti di sicurezza di un sistema informatico sono soddisfatti. Il processo si basa su un’analisi del sistema sia attiva che passiva. Lo scopo è quello di identificare eventuali vulnerabilità, potenziali punti deboli e in generale difetti tecnici. Sono tutte problematiche che possono scaturire dalla progettazione del sistema, dalla sua gestione o dalla sua implementazione, e che un cyber criminale potrebbe sfruttare per incidere sugli obiettivi di sicurezza.
A che cosa serve
Con un penetration test, in altre parole, si può evitare che un malintenzionato, sia esso interno o proveniente dall’esterno, impatti sulla disponibilità delle risorse, sulla loro integrità o sulla loro confidenzialità. Lo stesso discorso vale per eventuali instabilità che caratterizzano il sistema. Una volta evidenziati i problemi di sicurezza, questi vengono indicati in un report destinato al proprietario del sistema, che ha accesso anche a una valutazione dell’impatto. Nel caso in cui non possa essere garantita una soluzione tecnica, viene comunque segnalato un rimedio di attenuazione delle criticità.
Il contratto
Affinché possa essere eseguito un test su sistemi non protetti, occorre agire mediante un contratto che deve certificare l’autorizzazione alle attività e il consenso. Inoltre, il contratto deve definire quali sono le risorse interessate e le tempistiche, così come gli obiettivi. Nel contratto devono essere presente l’indicazione degli indirizzi IP dai quali partiranno i test, delle clausole di riservatezza e delle persone fisiche che sono operative nel corso dell’attività. Va segnalata anche la collaborazione con amministratori interni e operatori.
Che cosa succede in mancanza di un contratto
Qualunque attività che venga effettuata senza essere regolamentata tramite un contratto viene ritenuta illegale. Chi esegue il test di un sistema, per altro, è tenuto ad assicurare che i processi e le attività non vengano interrotte, che i dati non vadano persi e che le informazioni dei clienti non vengano modificate. In fase di stipula del contratto vanno chiariti gli obiettivi e le finalità, fermo restando che il proprietario del sistema stabilisce quali sono le informazioni che potranno essere condivise con l’analista. Per esempio, può essere che il cliente proprietario decida di condividere solo l’indirizzo Internet.
Black box e white box
In gergo si è soliti distinguere tra black box e white box. Che cosa vuol dire? Semplice: la black box riguarda la sola condivisione dell’indirizzo Internet. Come si può facilmente intuire, si tratta di una modalità che nella maggior parte dei casi si rivela poco efficace. Quando, invece, si condividono più dettagli o più informazioni si parla di white box o di gray box: ciò consente di avere una panoramica più ampia dl sistema, a vantaggio di una maggiore completezza del test.
I servizi di IT-Impresa
IT-Impresa è l’azienda informatica a cui rivolgersi quando si ha la necessità di incrementare i propri standard di sicurezza e tutelare i propri dati. Si tratta di una realtà che, occupandosi tra l’altro di sviluppo software e di servizi IT, si presenta come unico interlocutore per il cliente. Le aziende possono contare, dunque, su uno staff di consulenti disponibili a soddisfare qualunque esigenza di sviluppo e di progettazione. Una particolare attenzione viene riservata, appunto, alla sicurezza digitale, con servizi studiati e realizzati per far sì che qualunque business possa essere difeso rispetto alle minacce online provenienti da fuori.