Qual è il test di sicurezza adatto per la mia azienda

Spesso ci capita di ricevere e-mail o richieste per effettuare dei security penetration test all’interno delle aziende.

La richiesta parte dall’IT Manager o dall’imprenditore stesso, il quale ci contatta direttamente per 3 motivi:

  • Il cliente/fornitore con cui vuole instaurare un rapporto tratta solo con aziende certificate cyber security 

  • La sua azienda o l’azienda per cui lavora è stata attaccata da un virus informatico

  • Vorrebbe conoscere lo stato di sicurezza della sua azienda per pianificare gli interventi di cyber security futuri 

Dobbiamo dirlo, non esiste una regola aurea, ma esistono due tipi di test in grado di valutare il livello di rischio informatico al quale è esposta l’azienda e sono:

  • Penetration Testing
  • Vulnerability Assessment

Sfortunatamente, questi due termini vengono inconsciamente usati in modo intercambiabile. In realtà si tratta di due servizi molto diversi tra loro, sia a livello tecnico che per obiettivi finali.

network analysis onorato informatica

Proprio per questo motivo, ci teniamo a mettere per iscritto la domanda saliente:

Quali sono le differenze tra Security Penetration Test e Vulnerability Assessment?

In quanto imprenditore o IT Manager devi sapere che esistono due opzioni per il test sulla sicurezza delle reti e la scelta su quale dei due implementare dipende da quali informazioni vuoi ottenere del tuo sistema informatico.

Uno (nessuno) e centomila vulnerabilità

Pen Test e VA Assessment si distinguono per obiettivi diametralmente opposti.

Il Pen Test è un vero e proprio ethical hack attack al sistema informatico ovvero un attacco informatico controllato.

Il penetration test sfrutta una e una sola vulnerabilità di sistema, la più efficace e diretta per riuscire a “bucare” la rete. L’esito positivo del test si verifica non appena si dimostra che l’attacco va a buon fine: tutti gli altri possibili scenari di attacco non vengono considerati.

Il VA, al contrario, dà la possibilità all’imprenditore e all’IT Manager di avere un check-up completo, una fotografia di tutte le vulnerabilità che sono presenti nella rete aziendale.

In altre parole, presenta una situazione complessiva delle centomila vulnerabilità presenti nel sistema.

Anche se noi ci auguriamo di trovarne il meno possibili.

Dove e Quanto vuoi

Un Vulnerability Check Scan si svolge secondo un procedimento meno invasivo e impattante rispetto ad un Pen Test.

Qualsiasi azienda può richiedere un Vulnerability Assessment e lo può fare in qualsiasi momento. Anzi, noi di Onorato Informatica consigliamo alle aziende di effettuare il test di vulnerabilità durante le normali ore lavorative, quando l’attività in rete è al massimo delle performance.

Il VA è accessibile a qualunque tipo di realtà imprenditoriale, dalle piccole imprese dove è presente un solo pc, alle realtà imprenditoriali più strutturate.

vulnerability assessment per sicurezza aziende

Al contrario, un Penetration Test è un test estremamente violento e impattante per le strutture informatiche.

Parliamo di una simulazione d’attacco mirata a violare il sistema informatico di un’azienda: un’operazione che deve raggiungere l’obiettivo a qualsiasi costo e che può bloccare i sistemi e impedire il corretto svolgimento delle attività lavorative per un tempo prestabilito.

Per non parlare della strumentazione impiegata.

Un security pen test richiede l’implementazione di tecnologie di nicchia e tempi più lunghi per il raggiungimento dei risultati. Senza contare lo sforzo economico, che possiamo definire disponibile a poche e selezionate realtà imprenditoriali.

Per concludere il confronto possiamo dire che Penetration Testing vs Vulnerability Scanning sono entrambi modi etici per identificare e valutare i punti deboli del sistema informatico aziendale.

Il macro-obiettivo di entrambi è:

prevenire le infezioni da virus informatici, gli attacchi hacker e mantenere un livello di protezione dei dati alto.

Prima di scegliere quale dei due servizi richiedere ti consigliamo di porti queste due domande:

Qual è la strada più breve per violare il mio sistema informatico aziendale?

Contattaci per un Security Penetration Test

Quali e Quante vulnerabilità ha il mio sistema informatico?

Contattaci per un Vulnerability Assessment