Name: Secure Online Desktop s.r.l.
Price range: $$$

Home » Standard ISO 27001 richiede un Pentest?

lunedì, 12 Ottobre 2020 07:00 Giacomo Lanzi

Standard ISO 27001 richiede un Pentest?

Tempo di lettura: 4 min

Una domanda legittima che spesso ci si pone e’ se il Penetration Test sia necessario per la conformita’ allo standard ISO 27001. Per comprendere appieno la risposta, bisogna chiarire cosa si intende con questi termini e capire la relazione tra tutte le componenti del meccanismo di certificazione.

Standard ISO 27001

Una norma tecnica, impropriamente chiamata anche standard, e’ un documento che descrive le specifiche che un certo oggetto / ente / entita’ deve rispettare per poter essere certificato. In generale, una norma descrive i requisiti di materiali, prodotti, servizi, attivita’, processi, terminologia, metodologie e altri aspetti che riguardano l’oggetto della norma stessa. In parole molto semplici, le norme sono regole che regolamentano quasi ogni cosa offrendo degli standard costruttivi e metodologici.

Lo standard ISO 27001 (ISO/IEC 27001:2013) e’ la norma internazionale che descrive le best practice per un ISMS, Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni, SGSI, in italiano). Seppur seguire la norma non sia obbligatorio, e’ necessario per ottenere una certificazione a garanzia della sicurezza logica, fisica e organizzativa.

Ottenere una certificazione ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato. La sicurezza e’ garantita essere in linea con lo standard internazionale e gli obiettivi aziendali.

Di grande importanza per lo standard ISO 27001 e’ l’allegato A “Control objective and controls”, che contiene i 133 controlli a cui l’azienda interessata deve attenersi.

Vulnerability Assessment e Penetration Test

Quando si esegue un’analisi delle vulnerabilita’ (o Vulnerability Assessment) sulla rete e sui sistemi informatici, si mira a identificare tutte le vulnerabilita’ tecniche presenti nei sistemi operativi e nei software. Alcuni esempi di vulnerabilita’ possono essere SQL Injection, XSS, CSRF, password deboli, ecc. L’individuazione delle vulnerabilita’ indica che esiste un rischio riconosciuto per la sicurezza a causa di un problema di un qualche tipo. Non dice se e’ possibile o meno sfruttare la vulnerabilita’. Per scoprirlo, e’ necessario effettuare un Penetration Test (o pentest).

Per spiegare quanto detto sopra, immaginate di avere un’applicazione web vulnerabile all’SQL Injection che potrebbe consentire ad un malintenzionato di eseguire operazioni nel database. Una VA identifica tale vulnerabilita’, vale a dire che potrebbe essere possibile accedere al database. In seguito alla valutazione della vulnerabilita’, se viene effettuato un pentest e la vulnerabilita’ puo’ essere sfruttata, si dimostrerebbe l’esistenza del rischio.

Per rispettare il controllo A.12.6.1 dell’allegato A della norma ISO 27001, e’ necessario impedire lo sfruttamento delle vulnerabilita’ tecniche. Tuttavia, la decisione su come procedere spetta a voi. E’, quindi, necessario eseguire un Pentest? Non necessariamente.

Dopo l’analisi delle vulnerabilita’, potremmo riparare e sistemare le debolezze ed eliminare il rischio prima di eseguire un pentest. Quindi, ai fini della conformita’ allo standard ISO 27001 si puo’ ottenere il risultato richiesto semplicemente eseguendo la valutazione della vulnerabilita’ e risolvendo i potenziali problemi che si sono riscontrati.

Detto questo, raccomandiamo vivamente di effettuare un Penetration Test completo per esser davvero sicuri del rispetto della norma. Puo’ aiutarvi a dare priorita’ ai problemi e vi dira’ quanto sono vulnerabili i vostri sistemi.

Rivolgersi a professionisti

Esistono sul mercato diverse soluzioni per svolgere pentest. Sono software che possono agevolare il lavoro e facilitare il test, ma se azionati da personale inesperto, possono anche creare dei problemi. e’ possibile che la rete ne risulti rallentata e i computer sensibilmente meno reattivi, fino anche a possibili crash di uno o piu’ dei sistemi coinvolti.

Puntando alla certificazione per lo standard ISO 27001, e’ meglio non fare gli eroi e assicurarsi davvero che i controlli siano rispettati. Richiedere l’intervento di professionisti del settore, serve proprio a minimizzare i rischi e assicurarsi che il processo sia svolto in modo impeccabile.

SOD offre un servizio di verifica delle vulnerabilita’ e pentest affidandosi ad hacker etici professionisti. Dopo un primo colloquio, le varie fasi del processo sono eseguite per verificare e testare le potenziali minacce. E’ possibile anche richiedere che la verifica delle vulnerabilita’ sia svolta con regolarita’ per verificare la sicurezza dei sistemi.

Richiedi informazioni specifiche, oppure visita la pagina dedicata. Per ulteriori informazioni sulle nostre certificazioni, e’ possibile visitare l’apposita pagina.

[btnsx id=”2929″]

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

RSS

Piu’ articoli…

Categorie …

Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
Cloud CRM (1)
Cloud Server/VPS (22)
Conferenza Cloud (4)
Log Management (2)
Monitoraggio ICT (4)
Novita' (12)
ownCloud (7)
Privacy (7)
Secure Online Desktop (14)
Security (8)
- Ethical Phishing (3)
- SOCaaS (13)
  - SIEM (5)
  - UEBA (5)
- Vulnerabilita' (82)
Web Hosting (15)

CSIRT

Aggiornamenti mensili Microsoft (AL03/210414/CSIRT-ITA) Aprile 14, 2021
Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 110 vulnerabilità, 19 delle quali di livello critico.
Sanate vulnerabilità su Chrome (AL02/210414/CSIRT-ITA) Aprile 14, 2021
Google ha rilasciato una nuova versione del browser Chrome per sanare 2 vulnerabilità con gravità “alta”.
Risolte nuove vulnerabilità in Microsoft Exchange (AL01/210414/CSIRT-ITA) Aprile 14, 2021
Microsoft ha rilasciato aggiornamenti di sicurezza che permettono di mitigare 4 nuove vulnerabilità di livello critico in Exchange Server.
Phishing Aruba con riferimenti a Banca Sella (AL01/210412/CSIRT-ITA) Aprile 12, 2021
Individuata una campagna phishing che impatta gli utenti del provider Aruba sottraendo informazioni personali, dati di pagamento e OTP.
La Settimana Cibernetica del 11 aprile 2021 Aprile 12, 2021
Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 05 al 11 aprile 2021.
Vulnerabilità in prodotti Cisco non più supportati (EOL) (AL01/210408/CSIRT-ITA) Aprile 8, 2021
Cisco ha reso nota una vulnerabilità critica che interessa alcuni suoi prodotti end-of-life, per i quali consiglia la dismissione.
Phishing a tema Aruba (AL01/210407/CSIRT-ITA) Aprile 7, 2021
Rilevata una pagina di phishing finalizzata al furto delle credenziali di accesso al portale di gestione dei servizi Aruba.
Campagna malspam diffonde il trojan Poulight (AL02/210406/CSIRT-ITA) Aprile 6, 2021
È stata recentemente rilevata una campagna malspam finalizzata a diffondere il trojan Poulight, programmato per raccogliere il maggior numero di informazioni sulla macchina infetta.
Risolta vulnerabilità critica in VMware (AL01/210406/CSIRT-ITA) Aprile 6, 2021
VMware ha pubblicato un bollettino di sicurezza contenente aggiornamenti per sanare una vulnerabilità con gravità “critica” nella soluzione Carbon Black Cloud Workload.
La Settimana Cibernetica del 4 aprile 2021 Aprile 5, 2021
Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 29 marzo al 4 aprile 2021.

Dark Reading:

Software Developer Arrested in Computer Sabotage Case Aprile 15, 2021
Officials say Davis Lu placed malicious code on servers in a denial-of-service attack on his employer.
Google Brings 37 Security Fixes to Chrome 90 Aprile 15, 2021
The latest version of Google Chrome also introduces HTTPS as the browser's default protocol.
US Formally Attributes SolarWinds Attack to Russian Intelligence Agency Aprile 15, 2021
Treasury Department slaps sanctions on IT security firms that it says supported Russia's Foreign Intelligence Service carry out the attacks.
Pandemic Pushes Bot Operators to Redirect Efforts Aprile 15, 2021
As demand for travel, lodging, and concerts plummeted in 2020, bot traffic moved to more popular activities, such as e-commerce, healthcare, and government sites.
6 Tips for Managing Operational Risk in a Downturn Aprile 15, 2021
Many organizations adjust their risk appetite in an economic downturn, as risk is expanded to include supplier and customer insolvency, not to mention cash-flow changes.
How to Create an Incident Response Plan From the Ground Up Aprile 15, 2021
Security 101: In the wake of an incident, it's important to cover all your bases -- and treat your IR plan as a constantly evolving work in progress.
Nation-State Attacks Force a New Paradigm: Patching as Incident Response Aprile 15, 2021
IT no longer has the luxury of thoroughly testing critical vulnerability patches before rolling them out.
Malicious PowerShell Use, Attacks on Office 365 Accounts Surged in Q4 Aprile 15, 2021
There was also a sharp increase in overall malware volumes in the fourth quarter of 2020, COVID-19 related attack activity, and mobile malware, new data shows.
Thycotic & Centrify Merge to Form Cloud Identity Security Firm Aprile 14, 2021
The combined entity will expand on both companies' privileged access management tools and expects to debut a new brand this year.
CISA Urges Caution for Security Researchers Targeted in Attack Campaign Aprile 14, 2021
The agency urges researchers to take precautions amid an ongoing targeted threat campaign.

Full Disclosure

SEC Consult SA-20210414-0 :: Reflected cross-site scripting in Microsoft Azure DevOps Server Aprile 14, 2021
Posted by SEC Consult Vulnerability Lab on Apr 14SEC Consult Vulnerability Lab Security Advisory < 20210414-0 > ======================================================================= title: Reflected cross-site scripting product: Microsoft Azure DevOps Server vulnerable version: 2020.0.1 fixed version: 2020.0.1 Patch 2 CVE number: CVE-2021-28459 impact: medium homepage:...
CFP ZeroNights 2021 Aprile 10, 2021
Posted by CFP ZeroNights on Apr 09ZeroNights 2021 CFP is OPEN: Offensive and defensive research (15/30/45min). Submit your talk! # About conference Place: Saint-Petersburg, Russia Date: 30 June Timeslots: 15/30/45 min Site: https://zeronights.org # CFP Timeline CFP start: 1 March CFP end: 15 May CFP page: https://01x.cfp.zeronights.ru/zn2021/ # Conditions: A speaker may deliver either a […]
Backdoor.Win32.Small.n / Unauthenticated Remote Command Execution (SYSTEM) Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/fb24c3509180f463c9deaf2ee6705062.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Small.n Vulnerability: Unauthenticated Remote Command Execution (SYSTEM) Description: The backdoor malware listens on TCP Port 1337, upon successful connection we get handed a remote shell from the infected host with SYSTEM...
[SYSS-2020-032] Open Redirect in Tableau Server (CVE-2021-1629) Aprile 8, 2021
Posted by Vladimir Bostanov on Apr 08Advisory ID: SYSS-2020-032 Product: Tableau Server Manufacturer: Tableau Software, LLC, a Salesforce Company Affected Version(s): 2019.4-2019.4.17, 2020.1-2020.1.13, 2020.2-2020.2.10, 2020.3-2020.3.6, 2020.4-2020.4.2 Tested Version(s): 2020.2.1 (20202.20.0525.1210) 64-bit Windows Vulnerability Type: URL Redirection to Untrusted Site (CWE-601) Risk Level: Medium Solution Status: Fixed Manufacturer Notification: 2020-07-29 Solution Date:...
Backdoor.Win32.Hupigon.das / Unauthenticated Open Proxy Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/7afe56286039faf56d4184c476683340.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hupigon.das Vulnerability: Unauthenticated Open Proxy Description: The malware drops an hidden executable named "winserv.com" under Windows dir, which accepts TCP connections on port 8080. Afterwards, it connects to a...
Trojan.Win32.Hotkeychick.d / Insecure Permissions Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/aff493ed1f98ed05c360b462192d2853.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hotkeychick.d Vulnerability: Insecure Permissions Description: creates an insecure dir named "Sniperscan" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can rename the...
Trojan-Downloader.Win32.Genome.qiw / Insecure Permissions Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/5cddc4647fb1c59f5dc7f414ada7fad4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.qiw Vulnerability: Insecure Permissions Description: Genome.qiw creates an insecure dir named "tmp" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
Trojan-Downloader.Win32.Genome.omht / Insecure Permissions Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/01055838361f534ab596b56a19c70fef.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Downloader.Win32.Genome.omht Vulnerability: Insecure Permissions Description: Genome.omht creates an insecure dir named "wjmd97" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
Trojan.Win32.Hosts2.yqf / Insecure Permissions Aprile 8, 2021
Posted by malvuln on Apr 08Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/274a6e846c5a4a2b3281198556e5568b.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Hosts2.yqf Vulnerability: Insecure Permissions Description: Hosts2.yqf creates an insecure dir named "mlekaocYUmaae" under c:\ drive and grants change (C) permissions to the authenticated user group. Standard users can...
usd20210005: Privileged File Write in Check Point Identity Agent < R81.018.0000 Aprile 8, 2021
Posted by Responsible Disclosure via Fulldisclosure on Apr 08### Advisory: Privileged File Write Description =========== The Check Point Identity Agent allows low privileged users to write files to protected locations of the file system. Details ======= Advisory ID: usd-2021-0005 Product: Check Point Identity Agent Affected Version: < R81.018.0000 Vulnerability Type: Symlink Vulnerability Security Risk: High […]

Customers

Twitter FEED

Recent activity

SecureOnlineDesktop

ICON_PLACEHOLDEREstimated reading time: 6 minutes Dal nulla, qualcuno risponde a una conversazione email datata m… https://t.co/NSU5rxuh4s
SecureOnlineDesktop

Estimated reading time: 7 minutes La minaccia di un attacco DDoS su larga scala è sufficiente per convincere le o… https://t.co/qxhGVKI7HQ
SecureOnlineDesktop

Estimated reading time: 6 minutes Is the threat of a large-scale DDoS attack enough to convince organizations to… https://t.co/sqrHurgPdr
SecureOnlineDesktop

ICON_PLACEHOLDEREstimated reading time: 6 minutes Out of nowhere, someone replies to an email conversation dated… https://t.co/kXIx3FPWfm
SecureOnlineDesktop

L'hacking etico e la salvaguardia del patrimonio aziendale https://t.co/SLncmaZ1ci

Prodotti e Soluzioni

Collaborazioni

Modelli Cloud

News

Prevenire il shoulder surfing e il furto di credenziali aziendali Aprile 12, 2021
HTTP/3, tutto quello che c’è da sapere del protocollo di ultima versione Aprile 5, 2021
Machine learning e cybersecurity: Applicazioni UEBA e sicurezza Marzo 31, 2021
Logic Bomb: cosa sono e come prevenirle Marzo 29, 2021
Pass the hash: come guadagnare accesso senza la password Marzo 24, 2021

Secure Online Desktop s.r.l. - Cloud Computing Solutions

4.9

Based on 37 reviews

Riccardo Crocilli

14:02 22 Mar 19

Ho collaborato con Secure Online... Desktop per importanti progetti IT. Si sono dimostrati negli anni partner seri, competenti e professionali , l' Azienda dimostra una grande esperienza maturata in tanti anni di consulenza e lavoro su contesti IT innovativi. Davvero consigliata !!!!! In particolare vorrei sottolineare la figura che piu’ racchiude e sintetizza le qualità della Secure Online Desktop , il suo AD Ing. Piergiorgio Venuti, professionista impagabile , sia dal punto di vista tecnico/organizzativo che soprattutto (e non dimeno) come persona , capace di gestire , risolvere e approcciare qualsivoglia attività/problematica, davvero un grande !!!!leggi di più

Filippo Scavone

13:39 22 Mar 19

Dopo anni di collaborazione confermo la... professionalità, competenza ed affidabilitàleggi di più

clickday at2016

13:36 22 Mar 19

Con lo studio di consulenza di cui sono... socio, ATS – CONSULENTI ASSOCIATI S.r.l., collaboriamo già da alcuni anni, in materia di Sicurezza informatica in ambito GDPR, con la Secure Online Desktop. Si sono dimostrati partner seri, competenti e professionali sia su clienti PMI sia su Grandi imprese.leggi di più

Paolo Ferrari

13:34 22 Mar 19

Professionali e competenti

Paolo Raimondi

11:08 21 Apr 18

La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR)leggi di più

Claudia Cavatorta

21:45 20 Apr 18

Ormai da anni lavoriamo con Secure... Online Desktop e ci siamo trovati sempre molto bene. L'Azienda ha dimostrato disponibilità costante nel risolvere problemi ed esigenze che nel nostro tipo di lavoro si presentano molto frequentemente. Sempre puntuali nell'implementare le modifiche richieste e propositivi riguardo a soluzioni che possano apportare migliorie ad un sistema già ottimale. Per quanto riguarda il prodotto: la piattaforma che abbiamo a disposizione funziona molto bene, la connessione è veloce e siamo sicuri di conservare i nostri dati in assoluta sicurezza.leggi di più

Omid Fazeli

06:59 20 Apr 18

They have a lot of solutions for any... kind of business. Lower prices than many others. The support service is always active and efficient.leggi di più

Miki A.

13:47 16 Apr 18

Prodotti eccellenti, a partire dai... classici hosting, sino a VPS e cloud strutturati. Tempi veloci e staff preparato!leggi di più

Altre recensioni

Secure Online Desktop s.r.l.

5.0

Basato su 14 recensioni

realizzato da Facebook

Paolo Raimondi

2018-04-21T11:06:26+0000

Ilaria Miglietta

2018-04-21T04:16:37+0000

Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi...

Maurizio Sclafani

2018-04-20T12:38:01+0000

Francesca Marastoni

2018-04-20T11:41:31+0000

Excellent service company with... wonderful stuff. Highly recommended. Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi...

Alessio Liga

2018-04-20T08:25:22+0000

Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business Ottimo supportoleggi...

Omid Fazeli

2018-04-20T07:03:54+0000

They have a lot of solutions for any... kind of business. Lower prices than many others. The support service is always active and efficient.leggi...

Matteo Revelli

2018-04-19T22:39:41+0000

Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi...

Lorenzo Munari

2018-04-19T16:25:10+0000

Azienda molto seria e affidabile. E'... un piacere poter collaborare con realtà di questo tipoleggi...

Francisco Amadi

2018-04-19T10:41:17+0000

Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi...

Davide Michelotto

2018-04-19T07:42:23+0000

Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi...

Gabriele Petralia

2018-04-18T12:28:00+0000

Luca Prati

2018-04-18T10:12:13+0000

Azienda eccellente, consulenza... customizzata e puntuale. Un ottimo fornitore. Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi...

Valerio Lezza

2018-04-17T21:35:41+0000

Daniela Cospito Di Leo

2018-04-17T21:20:46+0000

Andrea Rizzo

2018-04-17T20:45:51+0000

Altre recensioni

Contatti

Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of Service Privacy Policy ISO Certifications

Cloud Server

Web Hosting

Conferenza Cloud

Cloud CRM per Call Center

Consulenza ICT

ownCloud

BaaS | Cloud Backup | Backup as a Service

Log Management

Servizio di monitoraggio ICT

NextGeneration SIEM

Ethical Phishing

VPN Aziendali

Sviluppo siti web

SEO

Forum Web

Area interna Web

Business Continuity Audit

Vulnerability Assessment e Penetration test

GDPR e Privacy

Servizi gestiti

Backup as a Service

Cloud CRM

Cloud Server/VPS

Secure Online Desktop

Security

Web Hosting

Monitoraggio ICT

Log Management

ownCloud

Privacy

Eventi

Secure Online Desktop – L’azienda

Offerte di lavoro

Contatti

Standard ISO 27001 richiede un Pentest?

Standard ISO 27001 richiede un Pentest?

Standard ISO 27001

Vulnerability Assessment e Penetration Test

Rivolgersi a professionisti

Condividi

RSS

Piu’ articoli…

Categorie …

Tags

CSIRT

Dark Reading:

Full Disclosure

Customers

Twitter FEED

Recent activity

Newsletter

Prodotti e Soluzioni

Collaborazioni

Modelli Cloud

News

Recensioni Google

Facebook

Contatti