azienda Archivi

Vediamo le differenze che passano tra un Penetration Test e un Vulnerability Assessment, e quali sono le analogie. Entrambi rientrano nel grande tema della cybersecurity, eppure, nonostante i punti in comune, gli obiettivi e le modalità sono diversi.

Penetration Test e Vulnerability Assessment: due aspetti della cybersecurity

Molti specialisti IT conoscono già i termini Vulnerability Assessment e Penetration Test, temi entrambi già affrontati.

Eppure, anche nel mondo IT, esiste ancora molta confusione tra le due attività.

Nel seguente post cercheremo quindi di spiegarvi le differenze principali tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda. Inoltre vedremo perché sono entrambi fondamentali per garantire la sicurezza dei sistemi informatici.

Iniziamo con una breve definizione che già circoscrive in sintesi le differenze tra Penetration Test e Vulnerability Assessment.

Vulnerability Assessment

Il Vulnerability Assessment è un vero e proprio check-up dei sistemi informatici. Una sorta di scanning che mira a far emergere possibili vulnerabilità dell’infrastruttura e della rete IT.

Con il Pen Test, invece, si conosce già l’obiettivo potenzialmente vulnerabile da andare a colpire. Si tratta perciò di una simulazione di attacco verso quel determinato obiettivo.

Lo scopo del Vulnerability Assessment è quindi quello di identificare quali parti del sistema risultano deboli a livello di sicurezza.

Penetration Test

Il Penetration Test, invece, è una dimostrazione pratica dell’esistenza e delle conseguenze di una particolare vulnerabilità.

Punti di incontro nell’ambito della cybersecurity

Ora che abbiamo sintetizzato in cosa differisce un Penetration Test da una scansione delle vulnerabilità, andiamo ad approfondire l’argomento per delineare ulteriori elementi distintivi e i punti di incontro.

Un’attività di Vulnerability Assessment si conclude normalmente con un report che elenca i possibili punti deboli di un sistema difensivo. Il report dovrebbe quindi riportare:

le vulnerabilità rilevate
la gravità delle vulnerabilità sulla base delle esigenze e delle criticità specifiche dell’azienda

Da un lato è importante comprendere che un solo VA non basta a un’azienda per garantire la sicurezza dei suoi sistemi informatici. Il VA può essere paragonato a un esame del sangue: se si rilevano anomalie, è importante procedere con una cura (quindi un Remediation Plan) e ripetere gli esami per verificare l’efficacia della cura stessa.

Dall’altro dev’essere chiaro che i risultati che un Vulnerability Assessment fa emergere non sono di per sé verificati. Alcuni di questi, perciò, potrebbero equivalere a dei falsi positivi.

Il Penetration Test, come già accennato, ha già valutato specifici obiettivi o scenari di attacco. Lo scopo è quello di testare l’efficacia delle difese che un hacker potrebbe voler bypassare: un Pen Tester è quindi una sorta di “hacker buono” che esegue un attacco a scopo dimostrativo, per verificare che una vulnerabilità sia effettivamente autentica e quali conseguenze comporta.

Cybersecurity: cosa scegliere per la propria azienda?

Ecco cosa deve considerare un’azienda nel decidere se eseguire un’attività di Penetration Test e/o di Vulnerability Assessment

Ampiezza e profondità

Penetration Test e Vulnerability Assessment si differenziano per la copertura della vulnerabilità: il primo ha un approccio alla profondità perché mira proprio ad approfondire una vulnerabilità specifica. Il secondo, invece, mira a scoprire quanti più possibili punti di vulnerabilità attraverso un metodo, quindi, orientato all’ampiezza.

Automazione

Un’altra differenza tra Vulnerability Assessment e Penetration Test è dovuta agli strumenti e alle modalità con cui vengono eseguiti. Il Vulnerability Assessment è un’attività sostanzialmente automatizzata, mentre il Pen Test combina automazione e tecniche manuali, proprio per il suo mirare a un obiettivo specifico: l’abilità del Penetration Tester risulta infatti fondamentale per l’esito del test stesso.

Rischio

Abbiamo detto che il Vulnerability Assessment è una scansione dei sistemi finalizzata a rilevarne i possibili punti deboli. Di per sé, quindi, non implica nessun rischio per l’azienda.
Il Pen Test, al contrario, in quanto simulazione di attacco, potrebbe colpire la funzionalità dei sistemi: questo tipo di attività si addice perciò maggiormente alle aziende più “mature” a livello di sicurezza informatica, quindi quando si ritiene che le difese del bersaglio siano forti.

La valutazione della vulnerabilità, d’altra parte, è particolarmente adatta in situazioni in cui sono noti problemi di sicurezza o quando un’organizzazione sta iniziando a impostare la sua strategia di protezione. A ogni modo, il Vulnerability Assessment è una metodologia ideale per le tutte le aziende, in quanto è essenziale mantenere il proprio livello di sicurezza alto.

Frequenza

Proprio per la natura dei rispettivi obiettivi, la frequenza con la quale eseguire le attività di Vulnerability Assessment e di Penetration Test non sono le medesime. La scansione delle vulnerabilità è un’attività che va ripetuta nel tempo con cadenza regolare, idealmente una volta al mese, per verificare lo stato di salute dei nostri sistemi di sicurezza.
Il Penetration Test, al contrario, è qualcosa che si svolge ad hoc, sulla base di particolari esigenze.

Conclusioni

Arrivati a questo punto, quindi, cosa deve scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.

Sia il Vulnerability Assessment sia il Penetration Test, infatti, devono essere inseriti in una politica più ampia di sicurezza aziendale. Da soli, infatti, non bastano: nelle aziende deve instaurarsi una vera e propria cultura della sicurezza, che si traduca in un progetto integrato, nel quale comprendere attività di prevenzione delle minacce come il Vulnerability Assessment e il Penetration Test.

Consulenza, Digitalizzazione, Internet, Sistemi

28 Marzo 20210

Che cosa è la digitalizzazione

La digitalizzazione aziendale è una delle tante sfide imposte dall’attuale periodo storico. Nonostante la tecnologia sia diventata parte integrante della nostra esistenza, molte aziende faticano a inserirla nei propri processi in modo sicuro e costante. Questo succede soprattutto nelle imprese vecchio stampo che, oltre ad acquisire figure professionali e strumenti adatti, devono operare un profondo cambio di mentalità.
D’altronde, digitalizzare non significa esclusivamente inviare un’e-mail al posto di una lettera commerciale. Vuol dire adattare tutti i processi aziendali alle esigenze imposte dall’era digitale, dove velocità d’esecuzione ed efficienza rivestono ruoli cruciali.

Questa operazione si rivela importante soprattutto per le piccole e medie aziende che devono muoversi in un mercato sempre più competitivo e caratterizzato da cambiamenti continui. I consumatori pretendono risultati ottimi in tempi brevissimi e se un’azienda non è in grado di offrire tutto questo, fatica a rimanere a galla. Fortunatamente negli ultimi anni molti imprenditori italiani hanno compreso l’importanza della digitalizzazione. Ciò si deve anche alle agevolazioni statali pensate per chi vuole operare la cosiddetta digital transformation. Sapere cos’è la digitalizzazione, conoscerne i vantaggi e le agevolazioni a disposizione delle aziende è il primo passo per operare un cambiamento efficace

Che cosa è la digitalizzazione?

Molti imprenditori si illudono che digitalizzare la propria attività significhi semplicemente convertire i documenti cartacei in file elettronici da conservare dentro il computer. In realtà la digitalizzazione è un percorso complesso, che richiede un cambio di mentalità e di organizzazione aziendale soprattutto da parte delle imprese con molti anni di attività sulle spalle. Far capire al management che per restare competitivi in un mondo globalizzato le strategie dei primi anni 2000 non sono più efficienti è la parte più difficile. Molto vedono il processo di digitalizzazione come una spesa superflua e non come un investimento ad alto rendimento. L’obiettivo è sfruttare le opportunità offerte dalla tecnologia in modo da aumentare le performance.

Digitalizzazione delle imprese

Occorre rivedere completamente strategia e processi produttivi.
Il primo passo è operare una riorganizzazione, introducendo o formando professionisti con competenze digitali.
Il secondo passo che facilita la digitalizzazione nelle imprese è l’introduzione di tecnologie capaci di rendere i processi aziendali più fluidi, efficienti e veloci. Non basta avere un computer, creare un indirizzo di posta elettronica oppure usare uno smartphone per sentirsi digitali.

Una delle tante sfide lanciate dalla trasformazione digitale è quella di eliminare la carta dagli uffici. In quest’ottica, i documenti vengono creati, elaborati e archiviati all’interno di computer e con l’aiuto di altri dispositivi elettronici. Non serve più avere registri cartacei, fogli, faldoni, cartelle e quant’altro. Al loro posto compaiono file, cartelle elettroniche, software gestionali, terminali e quant’altro.

Accanto alla creazione e l’archivio di documenti, l’azienda deve pensare ad un nuovo modo di comunicare e condividere informazioni e documenti. Al posto dell’enorme armadio poggiato alla parete dell’ufficio principale, appare quindi una rete aziendale dove i documenti sono facilmente accessibili e condivisibili dai singoli computer dei dipendenti.

Insomma, per capire a colpo d’occhio se un’impresa è coinvolta in un processo di digital transformation basta guardare le scrivanie del personale: se non è presente neanche un faldone e tutto è gestito tramite computer, allora sicuramente si è a buon punto.

Digitalizzazione: quali sono i vantaggi?

Come abbiamo accennato, la digitalizzazione è un processo fondamentale per le piccole e medie imprese, che devono lottare ancora più duramente per imporsi sul mercato. Le loro risorse sono minori rispetto a quelle di una grande azienda: occorre gestire capitali in modo più attento e consapevole.

La digitalizzazione si rivela quindi una scelta necessaria, capace di apportare tanti vantaggi in un’azienda. Innanzitutto, l’eliminazione della carta è una scelta sostenibile e permette di avere un risparmio in termini di spazio: tutto viene conservato e gestito tramite un computer poggiato sulla scrivania, senza archivi e armadi dove magari regna il caos.

Infine, dopo aver definito e assimilato le nuove competenze e gli strumenti digitali, ecco che i tempi necessari per raggiungere un risultato si riducono sensibilmente. Questo è sicuramente il vantaggio competitivo più importante che convincerà definitivamente anche gli imprenditori più incerti. D’altronde il tempo è denaro, quindi meglio sfruttarlo al meglio e introdurre fin da subito la trasformazione digitale in azienda.

Come digitalizzare l’azienda: le agevolazioni

Avviare un processo di digitalizzazione dell’azienda ha un costo, che in alcuni casi può rivelarsi anche piuttosto elevato. Per questo motivo il Ministero dello Sviluppo Economico ha varato una misura economica che aiuti le imprese. L’agevolazione prende il nome di “Voucher per consulenza in innovazione” e prevede un supporto finanziario per le imprese che chiedono aiuto a un Innovation manager per rivoluzionare l’organizzazione e la struttura dell’azienda.

Il MiSE ha anche creato un albo degli Innovation Manager dove le PMI possono scegliere il consulente che meglio si adatta alle proprie necessità. Il Voucher prevede che l’Innovation Manager lavori con l’azienda per un periodo di almeno nove mesi. Le risorse stanziate superano i 90 milioni di euro e per il 2020 e 2021 sono previsti ulteriori fondi.

Il “Voucher per consulenza in innovazione” non è l’unico strumento che le aziende possono utilizzare per avviare il processo di trasformazione digitale. Il MiSE, Ministero dello Sviluppo Economico, mette a disposizione anche fondi per l’acquisto di macchinari intelligenti, mentre le singole Regioni hanno avviato programmi di accompagnamento con fondi dedicati. Il processo di digitalizzazione è ineluttabile e non può essere rimandato: il rischio è di diventare obsoleti e perdere quote di mercato.

GDPR

18 Marzo 20210

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

È sicuramente una soluzione comoda quella di usare WhatsApp per le comunicazioni aziendali e, magari, scambiare informazioni e documenti. Quali sono ormai le aziende che non hanno il loro gruppo WhatsApp, usato per comunicare di tutto tra tutti i dipendenti. Dai turni di lavoro alle indicazioni su come realizzare un nuovo progetto fino ad arrivare, ovviamente, ai documenti. Certamente i più pensano che, trattandosi di messaggi interni ad un gruppo di colleghi e magari indispensabili per la produzione, il tutto sia giustificato e non richieda alcuna accortezza se non la riservatezza degli utenti. Ma l’uso di WhatsApp per le comunicazioni aziendali non è esente da rischi: vediamo quali tra i più comuni si corrono.

Niente di più sbagliato

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

Notizie di stampa riferiscono di un’indagine che ha evidenziato come oltre il 70% dei dipendenti utilizzi questo sistema, al di là dei gruppi, per inviare dati, documenti, notizie sensibili e ogni altro tipo di informazione relativo all’attività aziendale. Ovviamente in pochissimi si rendono conto che, nella quasi totalità dei casi, viene utilizzato uno strumento non fornito dall’azienda e veicolare informazioni e documenti con queste modalità potrebbe già costituire una violazione del GDPR. Basta infatti chiedersi se l’azienda abbia autorizzato ogni dipendente, previo percorso formativo, a usare il proprio cellulare e quello specifico mezzo di trasmissione delle informazioni. E accanto ai cellulari dobbiamo anche considerare i computer ed i portatili oltre alle piattaforme di videoconferenze, da Skype fino alla gettonatissima Zoom.

Rischi di perdita dati e di contenuti che raddoppiano per le aziende che, difficilmente, possono controllare i loro dipendenti non solo fuori dall’orario di lavoro, ma anche nelle proprie abitazioni. Di conseguenza gli stessi apparati sono usati anche da moglie e figli, magari per vedere video, collegarsi a siti non sicuri o aprire mail inattendibili.

Data breach

Vi sono inoltre altri rischi che sarebbe opportuno evitare come, ad esempio, quello che un documento possa transitare da un cellulare all’altro fino a diventare virale. Lo sa bene la Banca di Transilvania. Questa infatti è stata sanzionata per 100.000 euro dal Garante della Romania. Questo perché i dipendenti avevano prima fatto girare al loro interno e poi all’esterno, la lettera con la quale un cliente rispondeva in maniera ironica ad una richiesta di spiegazioni. Mancata adozione di misure organizzative e inefficienza della formazione.

Sicurezza dei dati aziendali

Già prima della pandemia era emerso come gran parte dei data breach fosse imputabile ai dipendenti che, con comportamenti a dir poco leggeri, avevano messo a repentaglio la sicurezza dei dati aziendali. Addirittura in alcuni casi anche con autorizzazione più o meno implicita da parte del datore di lavoro ad utilizzare strumenti reperibili online e gratuitamente. Non valutando purtroppo tutti i connessi rischi e le immaginabili conseguenze. Quello della banca rumena è solo uno dei possibili esempi. Immaginiamo cosa potrebbe accadere se in una chat di colleghi venisse inviato un certificato medico con indicate particolari patologie. Oppure su un gruppo aziendale foto di un cliente in un momento di imbarazzo magari scattate a sua insaputa.

Informativa sulla privacy

Si tratta di un problema non da poco per le aziende che, magari pensando di risparmiare, utilizzano piattaforme che possono generare altri tipi di costi più che benefici. Ad esempio sanzioni da parte del garante e data breach che potrebbero anche imporre una completa revisione, con i conseguenti oneri, dell’intera politica privacy aziendale. L’uso dei sistemi di messaggistica e dei social, è uno degli aspetti da considerare al momento di predisporre la privacy policy come fattore di rischio.

Cookie	Durata	Descrizione
__hssrc	sessione	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	6 mesi	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 anno	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".

Cookie	Durata	Descrizione
__cf_bm	30 minuti	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	sessione	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durata	Descrizione
__hstc	sessione	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X	2 anni	This cookie is installed by Google Analytics
CONSENT	2 anni	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	sessione	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	6 mesi	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	sessione	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests	Mai	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Tag: azienda

Vulnerability Assessment e Penetration Test