"Test di penetrazione" sotto la lente d'ingrandimento
I rapporti dei media o gli incidenti nel settore spingono i decisori a far controllare la sicurezza informatica nelle loro aziende. Spesso considerano un "test di penetrazione". Tuttavia, un tale test non è sempre efficace. Un'analisi dei rischi crea chiarezza.
Se i dirigenti sono sensibilizzati a causa delle minacce attuali, vogliono sapere come la loro azienda è posizionata in termini di sicurezza informatica. Un cosiddetto "test di penetrazione" è quindi una scelta ovvia per loro. I consulenti IT sono sfidati da una tale richiesta, perché si trovano di fronte al dilemma: bisogna affrontare direttamente la richiesta e realizzare il test desiderato? O bisogna chiedere prima le motivazioni e le aspettative del cliente?
Capire la motivazione
Se il consulente informatico lo chiede, scoprirà le vere ragioni della richiesta. Tuttavia, una domanda offre anche al cliente la possibilità di riflettere sulla sua richiesta. L'obiettivo è quello di ottenere una visione d'insieme della situazione al fine di sostenere il cliente nella sua richiesta nel miglior modo possibile. Un "test di penetrazione" è solo una misura possibile. Serve a identificare i punti deboli nel perimetro esterno, cioè al confine tra le reti interne ed esterne. Senza un quadro chiaro, però, non è sostenibile perché è solo un'istantanea.
Considerare l'intera TIC
È quindi necessario scandagliare l'organizzazione e la responsabilità all'interno della tecnologia dell'informazione, così come le regole e i processi esistenti. Questo solleva domande come: Il cliente ha una governance IT? Esiste una strategia ICT? Attribuisce l'importanza necessaria alla sicurezza informatica? Esistono direttive e regole che forniscono un quadro di riferimento che l'IT deve rispettare? Le minacce sono registrate e valutate sistematicamente? Le risposte dipingono un quadro differenziato. Mostra anche se la richiesta del cliente di un "test di penetrazione" era ad hoc o sistematica.
Scopo del "test di penetrazione
Come misura, un "test di penetrazione" scopre le lacune di sicurezza nei sistemi ICT. Il focus è il contatto con le reti esterne e i partner commerciali. Le misure derivate dai risultati dei test dovrebbero impedire un'intrusione nell'infrastruttura ICT o almeno renderla più difficile. A condizione che le lacune trovate siano minacciose per l'azienda.
Si raccomanda un'analisi dei rischi
Un approccio sistematico e orientato al rischio aiuta a identificare potenziali minacce di ogni tipo. In un'analisi dei rischi, il loro impatto sull'azienda è stimato sulla base di scenari. I rischi vengono così identificati, valutati e valutati: quanto è probabile che si verifichino e quali costi causerebbero. Le minacce rilevanti sono registrate in un registro dei rischi. In questo modo, le misure possono essere prioritarie e implementate efficacemente in vista di rischi più ponderati.
Dopo l'analisi dei rischi e le misure di sicurezza che ne derivano, il cliente formulerà un ordine chiaro per il "Pe-netration Test". Perché ora conosce i possibili effetti sull'infrastruttura ICT. E sa come vuole trattare i risultati e a quali intervalli il test deve essere ripetuto.
Affrontare attivamente il cambiamento
Oggi, il business e la tecnologia stanno cambiando dinamicamente: la globalizzazione e il networking stanno aumentando la complessità. Questo fa nascere costantemente nuovi pericoli, ma anche opportunità. La sfida è quella di affrontare sistematicamente i pericoli e, allo stesso tempo, di approfittare delle opportunità che nascono dall'uso delle tecnologie dell'informazione e della comunicazione. Nel fare ciò, si devono prendere in considerazione i rischi inclusi e le restrizioni inserite consapevolmente. Senza una governance dei rischi, le azioni innescate spontaneamente - come un "test di penetrazione" non riflessivo - sono più simili a esercizi a gettone senza benefici a lungo termine.
