top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

ISACA Venice Chapter e @ Mediaservice.net S.r.l.

Linee guida per le verifiche di terze parti sulla sicurezza ICT


La verifica delle risorse informatiche aziendali, con particolare riferimento alle attività di Vulnerability Assessment e Penetration Test, è un processo che consente alle imprese di porre attenzione ed acquisire controllo rispetto al reale livello di sicurezza dei propri processi di business.

 

La selezione della terza parte cui affidare questa tipologia di verifiche può essere però un’operazione delicata, dato anche il carattere pervasivo di queste attività e la sensibilità dei dati che ne derivano.

 Tale selezione  dovrebbe basarsi sulla valutazione di precisi requisiti.

 

A tal scopo, ISACA Venice Chapter con la collaborazione di @ Mediaservice.net S.r.l.  ha prodotto il Quaderno Vulnerability Assessment e Penetration Test – Linee guida per l’utente di verifiche di terze parti sulla sicurezza ICT che, oltre a dettagliare le caratteristiche dei servizi di verifica, costituisce appunto una guida pratica per il Committente che deve pianificare e svolgere dette attività.

 

I principali requisiti, dettagliati nel Quaderno, pongono particolare attenzione all’individuazione di:

 

  • competenze e qualifiche del personale coinvolto;
  • metodologie e best practice utilizzate, in primis OSSTMM e OWASP;
  • qualità degli accordi formali: responsabilità e liberatorie, non-disclosure agreement e trattamento dei dati personali (in armonia con il D.Lgs. 196/03), coperture assicurative;
  • vettori di attacco, secondo diversi scenari: infrastruttura, applicazioni, telefonia, altri (ad es. human, physical, videosorveglianza, biometria, ecc.);
  • livelli di analisi, adeguati al contesto e focalizzati sugli obiettivi del Cliente;
  • un perimetro di analisi corretto, definito sulla base di requisiti derivanti da regole interne o di settore, legislazione vigente e standard adottati (ad es. standard ISO/IEC 27001, PCI DSS, ecc.) o altre necessità specifiche (ad es. verifica in seguito al manifestarsi di incidenti di sicurezza);
  • capacità di rappresentazione dei risultati e di supporto nell’ambito delle seguenti attività di remediation e follow-up.

 

Il Quaderno analizza quindi i diversi aspetti legati all’esecuzione delle analisi di sicurezza da parte di fornitori esterni qualificati, dal punto di vista degli Utenti Committenti, evidenziando le motivazioni per le quali è importante riferirsi periodicamente a questa tipologia di servizi e i benefici che il Committente può trarne.

 

 

Per approfondimenti:

http://www.isaca.org/chapters5/Venice/Benefits/Pages/Page2.aspx