• Non ci sono risultati.

Audit di Sicurezza

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Audit di Sicurezza"

Copied!
2
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 2 pagine )

Testo completo

(1)

M. BOSCHINI, E. CAVALLI TELEMATICA 52-53

52 BOLLETTINO DEL CILEA N. 107 GIUGNO 2007

Audit di Sicurezza

Matteo Boschini, Enrico Cavalli

CILEA, Segrate

Abstract

Il CILEA propone un nuovo servizio di Audit di Sicurezza ispirato alle norme ISO 27001 e ISECOM OSSTMM. CILEA presents its new Security Audit Service which follows ISO 27001 and ISECOM OSSTMM templates.

Keywords: Security Audit, ISO 27001, ISECOM, OSSTMM.

Introduzione

Sempre più aziende ed enti pubblici sono sen-sibili alle problematiche della sicurezza infor-matica e, più in generale, delle informazioni. Un notevole impulso in questo senso è stato dato dall'impianto normativo sulla tutela della privacy, il famoso Decreto Legislativo 196/03, in materia di trattamento dei dati personali. Inoltre, molte aziende sono rimaste “scottate”, dal punto di vista della sicurezza, per vari mo-tivi: dal banale virus, alla perdita di dati pre-ziosi perché il sistema di backup non sempre è efficace, e così via.

Ormai si danno per scontate tecnologie per la sicurezza perimetrale (firewall, VPN), tecnolo-gie più o meno reattive contro le intrusioni (In-trusion Detection System, In(In-trusion Protection System), metodi di autenticazione forti (es. smartcard).

Anche in realtà medio piccole è ormai tangi-bile una visione della sicurezza fatta non sol-tanto da prodotti tecnologici che si acquistano, si installano e si dimenticano, ma anche da un importante contorno di gestione e di procedure che deve far funzionare le singole tecnologie in un contesto unificato, commisurato alle proprie specifiche esigenze.

Di fatto, è quindi arrivato il momento di ve-rificare con uno sguardo non solo tecnicistico quanto efficaci siano le misure di sicurezza a-dottate.

L'audit di sicurezza

In questo contesto si inserisce il Security Au-dit proposto dal CILEA. Lo scopo è quello di fare una fotografia delle misure di sicurezza

implementate dal cliente che lo richieda, cer-cando di evidenziare eventuali mancanze o vul-nerabilità.

Se è vero che diverse verifiche che presen-tiamo nel seguito possono essere effettuate “in proprio”, è altrettanto importante ricordare che farle effettuare a una parte indipendente, ga-rantisce il requisito di separazione dei ruoli sancito in ogni contesto di Audit.

L'analisi riguarda sia gli aspetti di gestione della sicurezza, basandosi sullo standard inter-nazionale ISO 27001, sia gli aspetti tecnici, ba-sandosi sulla procedura ISECOM OSSTMM2.2. L'Audit di Sicurezza parte da un'analisi a ta-volino dell'infrastruttura del cliente, verificando quali dei controlli obbligatori della norma ISO 27001 siano stati applicati.

In particolare, le macro aree di indagine co-perte da questa fase riguardano principalmente: −security policy (e quindi il DPS – Documento

Programmatico sulla Sicurezza); −sicurezza nei rapporti con i fornitori; −sicurezza relativa alle risorse umane; −sicurezza fisica e ambientale;

business continuity e disaster recovery; −sicurezza di rete;

−controllo degli accessi;

−gestione del ciclo di vita dei sistemi informati-vi (sinformati-viluppo, test, deploy, dismissione);

−gestione degli incidenti;

−conformità rispetto alla normativa vigente. A corollario viene effettuata anche un'inda-gine a campione per verificare il livello di sen-sibilizzazione degli utenti finali circa le proble-matiche relative alla sicurezza (ricordiamo che

(2)

M. BOSCHINI, E. CAVALLI TELEMATICA 52-53

BOLLETTINO DEL CILEA N. 107 GIUGNO 2007 53

la normativa sulla privacy prevede l'istituzione di percorsi formativi per rendere edotti gli in-caricati circa i rischi che incombono su dati per-sonali e sensibili). Terminata questa prima fase, si passa a investigare la struttura tecnica, cer-cando eventuali vulnerabilità, sia con strumenti automatizzati che con un processo manuale. Naturalmente l'analisi verrà effettuata sia dal-l'interno della rete del cliente, che dall'esterno (in un secondo momento). A seconda della natu-ra e della dimensione delle infnatu-rastrutture del cliente, l'analisi potrà essere esaustiva, oppure condotta a campione. La profondità e il detta-glio dell'analisi vengono sempre concordati con il cliente, tenendo ben distinti il semplice vulne-rabiliy assessment dal penetration test. Nel pri-mo caso si verifica soltanto l'esistenza di vulne-rabilità, mentre nel secondo si prova a sfruttar-le.

Vale la pena ricordare che il fatto che non vengano evidenziate vulnerabilità, o che non si riesca a sfruttare eventuali vulnerabilità, non implica automaticamente che non esistano af-fatto vulnerabilità (sfruttabili) nella struttura del cliente nel momento di esecuzione dei test o in futuro.

Tra gli aspetti che vengono verificati ricor-diamo i seguenti:

− configurazione e robustezza di LAN e WAN; − livello di sicurezza dei singoli server rispetto

agli aggiornamenti del produttore e a corretta configurazione;

− regole di firewall (ed eventualmente IDS) – ingress/egress filtering, IP spoof;

− strumenti di autenticazione e autorizzazione; − vulnerabilità di applicativi WEB (information

disclosure, cross site scripting, SQL injection). Al termine dell'analisi, al cliente viene conse-gnato un rapporto diviso in executive summary e in raccomandazioni tecniche. Il cliente riceve quindi una serie di raccomandazioni per mi-gliorare la gestione della propria sicurezza, a sostegno delle quali vengono comunque sempre prodotte tutte le evidenze riscontrate in fase di Audit.

A questo proposito, vale quindi la pena di ri-cordare che l'Audit di Sicurezza non equivale a una certificazione ISO 27001, bensì potrebbe essere parte di un percorso volto alla certifica-zione stessa. Visto che la sicurezza è da inten-dersi come un processo di continuo migliora-mento, l'Audit diventa un indispensabile mo-mento di verifica delle soluzioni implementate. Ripetere l'Audit a scadenze regolari consente di

tenere monitorati, in maniera indipendente, gli avanzamenti in questo processo virtuoso.

Riferimenti

Scarica adesso ( PDF - 2 pagine - 84.70 KB )

Documenti correlati

Non è sempre facile e immediato scegliere con sicurezza la propria polizza assicurativa professionale.

… L’obbligo di sottoscrizione della polizza si considera rispettato qualora i soggetti che rilasciano attestazioni e asseverazioni abbiano già sottoscritto una polizza

Privacy. Come e perché vengono trattati i tuoi dati personali? La società raccoglie e/o riceve le informazioni che ti riguardano, quali:

Il Titolare verifica periodicamente gli strumenti mediante i quali i tuoi dati vengono trattati e le misure di sicurezza per essi previste di cui prevede l’aggiornamento

Gestione innovativa della sicurezza

IAL, Innovazione Apprendimento Lavoro Friuli Venezia Giulia SOFIA COLLABORA CON LO IAL... Agricoltura

Progetto a sostegno delle aziende  nell’applicazione della normativa di sicurezza 

Luciano Di Donato – INAIL Direzione Centrale Ricerca 10.05 – 10.30 Dettaglio tecnico della linea di indirizzo alla ISO:14119. Alessandro Muni  – 

Gestione ed organizzazione della sicurezza

secondo le Linee guida UNI INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 e il British Standard OHSAS

I SISTEMI DI GESTIONE DELLA SICUREZZA SUL

• in ogni Unità operativa dove e come sono (o non sono ancora) presidiati i seguenti aspetti. La prima scheda 2014 rispondeva al

I SISTEMI DI GESTIONE DELLA SICUREZZA SUL

Visto che grazie alla FAD è possibile coprire la maggior parte dei contenuti obbligatori e che bisogna, comunque, organizzare una sessione d’aula per lo svolgimento della

Modello di gestione incidenti di sicurezza

Nel corso del processo di gestione di un incidente di sicurezza informatico e, eventualmente, di un data breach, il gruppo potrà essere coadiuvato di volta in volta dal personale