Vulnerability Assessment e Penetration Testing sono a volte considerate attività analoghe, e confuse fra loro. Ma non è così. Facciamo chiarezza una volta per tutte.
A cosa servono? Sono davvero utili?
Sono talmente importanti tanto da essere richiesti alle aziende e, in alcuni casi, persino obbligatori.
Servono per verificare l’esistenza dei rischi e correre ai ripari prima che sia troppo tardi. Solo effettuando azioni vere e concrete, che mettono davvero alla prova le difese delle imprese, eseguite in modo corretto, è possibile mettere in opera le attività di remediation sul piano della sicurezza informatica. Perché gli hacker non danneggiano solo la nostra azienda, ma anche i nostri clienti, collaboratori e fornitori. Attenzione! Perché poi vanno risarciti!
Vulnerability Assessment
Si tratta di una vera e propria scansione dei sistemi IT della propria azienda, che ha lo scopo di individuare ed evidenziare eventuali vulnerabilità o falle nel sistema. Questa attività riesce a individuare problematiche da risolvere, configurazioni errate o che necessitano di modifiche o aggiornamenti, l’eliminazione di bug e altro ancora. Questo porta ad intraprendere delle azioni “patch” per mettere in sicurezza la propria azienda. In sintesi, è la verifica che tutto sia in ordine e che le principali regole siano rispettate.
Penetration Testing
Anche se il primo test è superato, occorre vedere se funziona nella realtà. A questo punto, si adotta una tecnica utilizzata da hacker etici professionisti che “lanciano” attacchi informatici concreti ma controllati, per “scovare” eventuali ulteriori vulnerabilità del sistema, sfuggite alla fase di messa a punto col Vulnerability Assessment. Si effettuano azioni come tentativi di esfiltrare dati o impedire l’accesso a server e cartelle, secondo obiettivi diversi azienda per azienda. Ovviamente, si tratta solo di un test e di fatto non accade niente all’azienda. Ma, spesso, è uno strumento che apre gli occhi alle imprese, facendo toccare con mano i danni ingenti con i quali andrebbero a scontrarsi.
Test di garanzia
Sono attività che necessitano di tempo, expertise e risorse, per adempiere agli obblighi e ai requisiti imposti, ma sono strumenti indispensabili non solo per la conformità normativa, ma servono anche come assicurazione, in grado di generare un vantaggio d’immagine a lungo termine. Oltre che, naturalmente, a garantire la massima protezione dei dati dell’azienda.
GlobalNet è in grado di testare i vostri sistemi e di trovare le soluzioni migliori.
GlobalNet supporta le aziende nell’ottenimento dei requisiti consigliati o imposti dalle norme del G.D.P.R, ISO, Regolamento Dora, Direttiva Nis 2, AgID e ACN, con professionalità e competenze certificate in materia di cybersecurity. Contattaci subito per una consulenza gratuita.