| |
|
Governance
Compliance
Gestione della conformità rispetto a standard e norme
|
| |
Risk Management
Calcolo del rischio e determinazione dei criteri di gestione
|
| |
|
|
|
| |
| |
|
|
Security Policy |
| |
Un sistema di gestione della sicurezza delle informazioni si basa su un
insieme di documenti che descrivono in modo chiaro e circostanziato gli
obiettivi, le strategie, i requisiti ed i vincoli per il governo della
sicurezza. Nello specifico tale corpus documentale si articola su tre
livelli di seguito esposti.
- Politica per
la sicurezza dell’informazione. La politica ha
lo scopo di definire gli obiettivi ed i vincoli per la tutela del
Patrimonio Informativo. In particolare nella politiche si stabiliscono
i principi generali di sicurezza, i requisiti per l’utilizzo
consapevole e la gestione sicura delle informazioni, i ruoli e le
responsabilità delle strutture aziendali coinvolte.
- Linee guida.
Successivamente alla definizione della politica è necessario
definire un maggior livello di dettaglio orientato ad argomenti
specifici che forniscono una guida ai vari contesti coinvolti
nell’organizzazione e nella gestione della sicurezza. In
altri termini partendo dai concetti generali definiti nella politica le
linee guida definiscono i modelli organizzativi e gestionali per
implementazione della sicurezza in un determinato ambito o
sistema.
- Procedure.
Le procedure operative rappresentano l’ultimo livello
funzionale per la gestione della sicurezza. Esse descrivono i metodi e
le tecniche adottate per rispettare quanto definito dalla politica
prima e dalle linee guida dopo per implementare operativamente la
sicurezza. Le procedure affrontano i vari aspetti tecnici di dettaglio
che vanno dalla configurazione dei sistemi operativi alla
modalità di gestione dei database, dalla gestione degli
apparati hardware fino alla gestione degli accessi.
Linee giuda e procedure realizzate da Communication Valley in materia
di Security Policy si riflettono in servizi offerti, alcuni
dei quali sono di seguito presentati.
Baseline &
Hardening
Il servizio si propone di dare supporto nel minimizzare i rischi
associati all’utilizzo dei sistemi IT. L’esperienza
insegna che cracker e utenti malintenzionati hanno un vantaggio
intrinseco rispetto a chi ha il compito di difendere un sistema
informatico. Quotidianamente, vengono scoperte e divulgate nuove
vulnerabilità che aumentano il rischio di subire reati
informatici. Allo scopo di minimizzare tali rischi, è
necessario concentrare gli sforzi sull’aumento del livello di
sicurezza dei sistemi informatici utilizzati, tramite un continuo
controllo delle configurazioni di sicurezza. Sin dal primo momento in
cui viene messo in esercizio un nuovo sistema, esiste un rischio legato
al gap tra il suo livello di sicurezza effettivo e la situazione ideale
in cui il sistema stesso non è vulnerabile. Questo rischio
è dovuto alle vulnerabilità che affliggono il
sistema operativo e le applicazioni presenti sul sistema,
nonché all’applicazione di configurazioni non
ideali. Tale rischio, tende a crescere nel tempo a causa della scoperta
di nuove vulnerabilità o vettori di attacco. Il servizio si
concretizza nella pubblicazione di documenti contenenti pareri e linee
guida sviluppati dai security specialist di Communication Valley allo
scopo di:
- elevare ad un adeguato livello di sicurezza i sistemi
operativi e le applicazioni correggendo le configurazioni che
introducono vulnerabilità (Hardening);
- mantenere nel tempo un elevato livello di sicurezza dei
sistemi operativi e delle applicazioni tramite una puntuale
applicazione delle patch necessarie ad eliminare pericolose falle di
sicurezza scoperte sui sistemi (Security
Baseline), adottando rimedi alternativi per mitigare il
rischio nel caso in cui si dovesse optare per non applicare alcune
delle patch suggerite.
L’applicazione dei suggerimenti di hardening permette di
eliminare, già in fase di configurazione iniziale, una vasta
gamma di queste vulnerabilità note e di configurazioni di
default che non sono corrette relativamente ad uno specifico ambiente.
Successivamente, sarà necessario mantenere a livelli minimi
il gap tra vulnerabilità note e livello di sicurezza del
sistema.
Linee guida per il
Security Testing
Il servizio di propone di dare supporto nella
selezione delle attività di verifica di sicurezza rispetto
ad un determinato contesto operativo ed organizzativo. Una linea guida
d’esecuzione di security test nasce dall’esigenza
di rendere misurabili e confrontabili nel tempo attività
che, in molti casi, sono commissionate a fornitori esterni che
applicano tecniche, strumenti, sistemi di analisi e reporting tra loro
differenti e che, quindi, danno spesso risultati non comparabili. Le
Linee Guida forniscono un supporto chiaro e un framework univoco per
l’esecuzione delle verifiche tecniche di sicurezza.
Lo scopo di tali documenti è infatti di:
- costruire un metodo di analisi basato su best-practice;
- rendere le attività di test ripetibili e
confrontabili nel tempo;
- stabilire una metrica di valutazione adeguata per
l’organizzazione;
- stabilire dei vincoli chiari per i fornitori di servizi sia
in fase di richiesta d’offerta sia in fase
d’esecuzione.
La metodologia OSSTMM, unitamente alla OWASP Testing Guide,
costituirà la base di riferimento per la creazione del
framework personalizzato. Le informazioni contenute nelle metodologie
sopra citate vengono integrate, qualora opportuno e/o necessario, con
best-practice specifiche per l’ambiente specifico e con
eventuali altre norme, standard e regolamenti applicabili (Basilea II, Sarbanes-Oxley, ecc.).
|
| |
|
|
