Cyber Security: Metodologia e operatività

Ambito di Applicazione

Oggetto dell'intervento richiesto sarà la struttura tecnologica in dotazione del cliente, ovvero:

  • sistema informatico
  • infrastruttura interna ed esterna
  • rete
  • dispositivo hardware/software
  • applicazione web in uso al cliente

Metodologia

La Divisione Cyber Security di INSIDE dispone di un gruppo di esperti specializzati nel settore, fregiati di un ventaglio di certificazioni accreditate a livello internazionale.

Nello specifico, svolge la propria attività professionale nel più ossequioso rispetto dei seguenti riferimenti normativi:

  • ISO/IEC 19011:2003 - Guidelines for qualità and/or environmental management
  • ISO/IEC 20000-1:2005 - Service management - Part 1: Specification
  • ISO/IEC 27002:2005 - Code of practice for information security management
  • ISO/IEC27004:2009 - Information security management - Measurement
  • ISO/IEC 27005:2008 - Information security risk management
  • BS25999-2:2007 - Business continuity management - Specification
  • COBIT v4.1 - Control Objectives for Information and related Technologies
  • OSSTMM v3 - Open Source Security Testing Methodology Manual
  • OWASP Testing Guide v3 - Open Web application Security Project Testing Guide
  • CC v3.1 - Common Criteria
  • CEM v3.1 - Common Methodology for Information Technology Security Evaluation
  • ITIL v3 - Information Technology Infrastructure Library
  • PCI-DSS v2.0 - Payment Card Industry Data Security Standard
  • Basilea2 - International Convergence of Capital Measurement and Capital Standards
  • SOX of 2002 - Public Company Accounting Reform and Investor Protection Act
  • D. Lgs. 231/2001 - Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica
  • D. Lgs. 196/2003 - Codice in materia di protezione dei dati personali
  • D. Lgs. 262/2005 - Tutela del risparmio e disciplina dei mercati finanziari
  • D. Lgs. 81/2008 - Tutela della salute e della sicurezza nei luoghi di lavoro

Riferimenti Metodologici

OSSTMM

L'OSSTMM (Open Source Security Testing Methodology Manual) è una certificazione fornita da ISECOM (Institute for Security and Open Methodologies), Comunità internazionale di ricerca e collaborazione sulla Sicurezza, fondata nel Gennaio 2001.

Trattasi di un approccio metodologico di peer-reviewed, utilizzato nell'ambito dei sistemi di sicurezza informatica, che prevede l'esecuzione dei test di sicurezza e di analisi verso infrastrutture ed asset informatici, che si traducono in fatti verificati; questi fatti forniscono informazioni utili che possono migliorare, in termini di misurabilità, la sicurezza operativa.

L'utilizzo dello standard OSSTMM, nel rispetto della normativa prevista in materia, consente di ottenere risultati consistenti e ripetibili, e di capire quali sono le contromisure da adottare, quanto il sistema oggetto di analisi è esposto a possibili aggressioni, e dunque in che modo conseguire il massimo della sicurezza.


OWASP

L'OWASP Testing Guide è un framework per il test della sicurezza di applicazioni e infrastrutture di rete, elaborato da OWASP (Open Web Application Security Project), fondazione senza scopo di lucro, che incentra le sue attività sulla produzione di risorse, articoli e materiale relativo a problematiche collegate con la sicurezza informatica.

OWASP ha stilato una classifica delle minacce per la sicurezza ritenute maggiormente critiche:

  • SQL Injection
  • Broken Authentication and Session Management
  • Cross Site Scripting
  • Insicure Direct Object Reference
  • Security Misconfiguration
  • Sensitive Date Exposure
  • Missing Function Level access Control
  • Cross Site Request Forgery
  • Using Components with Known Vulnerabilities
  • Unvalidated Redirects and Forwards