Perché i test di penetrazione sono importanti per la conformità ISO 27001?
Questa pagina fornisce una rapida introduzione al concetto di penetration testing, spiega come si relaziona allo standard ISO 27001, e offre una panoramica dei prodotti e servizi che IT Governance offre per aiutare le organizzazioni a individuare e porre rimedio alle vulnerabilità dei loro sistemi di sicurezza, in modo tale da poter raggiungere e mantenere la certificazione ISO 27001.
Per ulteriori informazioni sui nostri prodotti e servizi di penetration testing, contatta uno dei nostri esperti in materia.
Parla con un esperto
Cos’è il penetration test?
Gli attacchi informatici rappresentano un rischio per qualsiasi organizzazione, di qualsiasi dimensione, settore di appartenenza e luogo. I penetration test simulano un attacco informatico con lo scopo di stabilire se la cyber sicurezza dell’organizzazione sia adeguata, se funzioni correttamente e se resista alle minacce che provengono dall’esterno.
Un penetration test efficace prevede la simulazione di un attacco contro le misure di sicurezza che si vogliono testare, utilizzando una combinazione di strumenti e metodi scelti dal penetration tester certificato. I risultati del test forniranno una base sulla quale discutere il miglioramento o meno delle misure di sicurezza implementate o da implementare.
Scopri i nostri servizi di penetration testing
Perchè devo eseguire un penetration test?
I penetration test sono una componente essenziale di ogni Sistema di gestione della sicurezza delle informazioni (ISMS, anche conosciuto come SGSI), dalla fase iniziale di sviluppo fino alla fase di manutenzione e di miglioramento continuo.
L’obiettivo di controllo A12.6 dello standard ISO 27001 (Gestione delle vulnerabilità tecniche) stabilisce che le informazioni sulle vulnerabilità tecniche dei sistemi informativi utilizzati devono essere ottenute tempestivamente, l’esposizione dell’organizzazione a tali vulnerabilità deve essere valutata e le misure appropriate per gestire il rischio associato devono essere adottate.
La natura degli asset di information technology fa sì che essi possano avere delle vulnerabilità tecniche che potrebbero essere sfruttate da attacchi esterni. Gli attacchi informatici hanno come target le vulnerabilità nell’hardware e nel software, indipendentemente dall’organizzazione che li possiede. Queste vulnerabilità riguardano software a cui non state installate patch, password inadeguate, siti web mal codificati e applicazioni web non sicure.
I risultati del penetration test ti permetteranno di identificare le vulnerabilità dei tuoi sistemi e le minacce che possono sfruttare tali vulnerabilità, e di individuare le misure correttive da implementare.
Le minacce e le vulnerabilità identificate costituiscono un input chiave per la valutazione del rischio, mentre le misure correttive individuate ti forniranno maggiori informazioni sui controlli da selezionare.
Come si relaziona il penetration test con il mio progetto di implementazione di un ISMS conforme ISO 27001?
Un penetration test può essere eseguito in tre distinte fasi dell’intero processo di implementazione di un ISMS:
- Come parte del processo di valutazione del rischio: scopre le vulnerabilità in qualsiasi indirizzo IP, applicazione web o dispositivi interni e li ricollega alle minacce che potrebbero sfruttare tali vulnerabilità.
- Come parte del piano di trattamento del rischio: assicura che i controlli implementati funzionino in modo corretto come da progetto.
- Come parte del processo di miglioramento continuo: assicura che i controlli continuino a funzionare come richiesto e che le nuove minacce emergenti e le vulnerabilità siano identificate ed affrontate.
Come funziona un penetration test eseguito da IT Governance?
Una volta concordato l’ambito di lavoro con l’organizzazione, ci occuperemo di progettare l’attacco, tenendo conto degli obiettivi di sicurezza e dei requisiti aziendali, normativi e contrattuali.
Il nostro team di penetration tester certificati eseguirà i test concordati:
- Test della rete esterna, incentrato sugli indirizzi IP, sui dispositivi e sulle applicazioni web collegate alla rete Internet.
- Test della rete interna, che si concentrano sui dispositivi – anche quelli collegati in wireless – che costituiscono la rete e le varie applicazioni e sistemi operativi installati su di essi.
Una volta completati i test, produrremo una relazione dettagliata e documentata (in italiano o inglese) che illustra in modo chiaro e semplice le vulnerabilità che abbiamo individuato, insieme ad una valutazione della loro gravità e a consigli per risolverle.
Parla con un esperto
Uno dei nostri esperti di ISO 27001 è disponibile a rispondere a qualsiasi tua domanda sull’approccio migliore da seguire per implementare un progetto ISO 27001 e per discutere dei prodotti e servizi di IT Governance che soddisfano le tue esigenze tecniche e di budget.