Controllo di sicurezza dell'infrastruttura informatica

Con la piena espansione delle comunicazioni elettroniche, la sicurezza dei sistemi informatici è diventata cruciale per la gestione dell’attività delle organizzazioni. Un’implementazione sicura e una buona manutenzione dell’infrastruttura informatica sono di estrema importanza, dato che la complessità e la diversità dei sistemi informatici aumentano la possibilità di difetti di sicurezza e ne rendono difficile la rilevazione. La sicurezza dell’intero sistema informatico dipende infatti dall’anello più debole: già un solo difetto può distruggere numerose misure di sicurezza (per esempio password amministrative).

Controllo generale della vulnerabilità

Tale controllo vi offrirà informazioni di base sull’esposizione della vostra infrastruttura informatica a codice maligno e altre minacce, che possono essere utilizzate dagli hackers a causa delle vulnerabilità o dei difetti nella configurazione del sistema informatico. Il controllo viene effettuato con degli strumenti automatizzati, i quali con diverse tecniche e richieste progettate ad hoc controllano sistematicamente l’accessibilità dei servizi e le vulnerabilità conosciute. I controlli di questo tipo sono per lo più eseguiti nelle aziende che devono controllare regolarmente lo stato di sicurezza informatica a causa delle esigenze dei revisori IT.

Controllo di sicurezza esterna (test di penetrazione)

Questo test è progettato per rilevare eventuali minacce alla sicurezza dell’infrastruttura informatica dalla rete esterna. Per tale scopo vengono usati i metodi e gli strumenti che sono tipicamente adottati negli attacchi web. I sistemi controllati sono i server e le applicazioni web, i server postali con i loro servizi di sostegno, i meccanismi di protezione (firewall, IPS, ecc.) ed altri servizi di pubblico accesso.

Controllo di sicurezza interna

L’obiettivo è la rilevazione di eventuali minacce di sicurezza e vulnerabilità dell’infrastruttura informatica causate da attività dannose (premeditate o no) dei dipendenti, ovvero attacchi dalla rete interna. Il test comprende il controllo della corretta progettazione del sistema informatico, dell’accessibilità, delle impostazioni software e hardware, della telefonia VoIP/IP, della rete senza fili, dei dispositivi mobili, della politica di sicurezza e delle regole di manutenzione dei sistemi nonché il controllo di sicurezza del software chiave.