Cosa è

Si tratta del processo di identificazione, quantificazione e prioritizzazione delle vulnerability presenti in un sistema informatico.

L’attività prevede le seguenti fasi:

  1. Identificazione delle risorse (hardware/software) presenti nel sistema;
  2. Identificazione delle vulnerabilità e dei rischi potenziali insistenti sulle risorse;
  3. Classificazione delle vulnerabilità identificate in termini di impatti sulla sicurezza e probabilità di violazione;
  4. Identificazione delle contromisure disponibili

I vulnerability assessment possono essere svolti da personale interno all’organizzazione (interni) o da soggetti esterni all’organizzazione  (di terze parti).

Nello svolgimento dei vulnerability assessment sono utilizzate metodologie standard come:

  • ISECOM: sistemi di rete, protocolli SCADA, biometria, strong authentication, sistemi wireless
  • OWASP: applicazioni Web based

L’approccio utilizzato è quello dell’Ethical Hacking.

Scopo

Verificare la presenza di situazioni di rischio non correttamente gestite all’interno del sistema informativo.

Contesti di applicazione

In tutti i casi in cui sia necessario comprovare l’efficacia delle misure di sicurezza in vigore nei sistemi informativi.

Ad es. in contesto bancario la legislazione vigente richiede lo svolgimento periodico a cadenze fissate di vulnerabilità assessment svolto da terze parti.

Show.it ha esperienza pluriennale nello svolgimento di vulnerability assessment in ambito bancario, delle pubbliche amministrazioni, industriale.