Per verificare la sicurezza di un sistema informatico si può fare riferimento al cosiddetto penetration test, che offre la possibilità di valutare in maniera metodica e poi di validare il livello di efficacia che caratterizza i controlli di sicurezza informatica. Indicato anche con il nome di pen test, consiste in un’analisi che serve a determinare il livello di sicurezza dei software che interagiscono con la rete e delle applicazioni web. Ecco spiegato il motivo per il quale il penetration test può coinvolgere l’intero sistema informatico di un’impresa. Se si ha la necessità di analizzare un portale web, per esempio, si può cominciare con un test delle varie funzionalità, e in seguito ci si focalizza sul meccanismo di autenticazione. Dopodiché si analizza la configurazione del server, per poi passare alle informazioni e ai dati.
Il penetration test può essere considerato una verifica indispensabile attraverso la quale si può dimostrare che i requisiti di sicurezza di un sistema informatico sono soddisfatti. Il processo si basa su un’analisi del sistema sia attiva che passiva. Lo scopo è quello di identificare eventuali vulnerabilità, potenziali punti deboli e in generale difetti tecnici. Sono tutte problematiche che possono scaturire dalla progettazione del sistema, dalla sua gestione o dalla sua implementazione, e che un cyber criminale potrebbe sfruttare per incidere sugli obiettivi di sicurezza.
Con un penetration test, in altre parole, si può evitare che un malintenzionato, sia esso interno o proveniente dall’esterno, impatti sulla disponibilità delle risorse, sulla loro integrità o sulla loro confidenzialità. Lo stesso discorso vale per eventuali instabilità che caratterizzano il sistema. Una volta evidenziati i problemi di sicurezza, questi vengono indicati in un report destinato al proprietario del sistema, che ha accesso anche a una valutazione dell’impatto. Nel caso in cui non possa essere garantita una soluzione tecnica, viene comunque segnalato un rimedio di attenuazione delle criticità.
Affinché possa essere eseguito un test su sistemi non protetti, occorre agire mediante un contratto che deve certificare l’autorizzazione alle attività e il consenso. Inoltre, il contratto deve definire quali sono le risorse interessate e le tempistiche, così come gli obiettivi. Nel contratto devono essere presente l’indicazione degli indirizzi IP dai quali partiranno i test, delle clausole di riservatezza e delle persone fisiche che sono operative nel corso dell’attività. Va segnalata anche la collaborazione con amministratori interni e operatori.
Qualunque attività che venga effettuata senza essere regolamentata tramite un contratto viene ritenuta illegale. Chi esegue il test di un sistema, per altro, è tenuto ad assicurare che i processi e le attività non vengano interrotte, che i dati non vadano persi e che le informazioni dei clienti non vengano modificate. In fase di stipula del contratto vanno chiariti gli obiettivi e le finalità, fermo restando che il proprietario del sistema stabilisce quali sono le informazioni che potranno essere condivise con l’analista. Per esempio, può essere che il cliente proprietario decida di condividere solo l’indirizzo Internet.
In gergo si è soliti distinguere tra black box e white box. Che cosa vuol dire? Semplice: la black box riguarda la sola condivisione dell’indirizzo Internet. Come si può facilmente intuire, si tratta di una modalità che nella maggior parte dei casi si rivela poco efficace. Quando, invece, si condividono più dettagli o più informazioni si parla di white box o di gray box: ciò consente di avere una panoramica più ampia dl sistema, a vantaggio di una maggiore completezza del test.
IT-Impresa è l’azienda informatica a cui rivolgersi quando si ha la necessità di incrementare i propri standard di sicurezza e tutelare i propri dati. Si tratta di una realtà che, occupandosi tra l’altro di sviluppo software e di servizi IT, si presenta come unico interlocutore per il cliente. Le aziende possono contare, dunque, su uno staff di consulenti disponibili a soddisfare qualunque esigenza di sviluppo e di progettazione. Una particolare attenzione viene riservata, appunto, alla sicurezza digitale, con servizi studiati e realizzati per far sì che qualunque business possa essere difeso rispetto alle minacce online provenienti da fuori.
Polizzi Generosa ha risposto oggi all'appello "10, 100, 1000 Piazze per la Pace. Fuori la…
Tutto pronto per la XIX edizione del DiVino Festival a Castelbuono che quest’anno si preannuncia più ricca di…
Il presidente della Regione Siciliana, Renato Schifani, nella veste di commissario straordinario per il coordinamento…
Sabato 21 giugno presso l'Hotel Domina Zagarella si è tenuta l'assemblea quadriennale elettiva della CNA…
Potenziare la qualità dell'accoglienza turistica e incentivare la riqualificazione delle strutture ricettive in Sicilia. Con questi…
Il presidente della Regione Siciliana, Renato Schifani, ha ricevuto questa mattina a Palazzo d’Orléans il…