Giacomo Lanzi
Standard ISO 27001 richiede un Pentest?
Tempo di lettura: 4 min
Una domanda legittima che spesso ci si pone e’ se il Penetration Test sia necessario per la conformita’ allo standard ISO 27001. Per comprendere appieno la risposta, bisogna chiarire cosa si intende con questi termini e capire la relazione tra tutte le componenti del meccanismo di certificazione.
Standard ISO 27001
Una norma tecnica, impropriamente chiamata anche standard, e’ un documento che descrive le specifiche che un certo oggetto / ente / entita’ deve rispettare per poter essere certificato. In generale, una norma descrive i requisiti di materiali, prodotti, servizi, attivita’, processi, terminologia, metodologie e altri aspetti che riguardano l’oggetto della norma stessa. In parole molto semplici, le norme sono regole che regolamentano quasi ogni cosa offrendo degli standard costruttivi e metodologici.
Lo standard ISO 27001 (ISO/IEC 27001:2013) e’ la norma internazionale che descrive le best practice per un ISMS, Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni, SGSI, in italiano). Seppur seguire la norma non sia obbligatorio, e’ necessario per ottenere una certificazione a garanzia della sicurezza logica, fisica e organizzativa.
Ottenere una certificazione ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato. La sicurezza e’ garantita essere in linea con lo standard internazionale e gli obiettivi aziendali.
Di grande importanza per lo standard ISO 27001 e’ l’allegato A “Control objective and controls”, che contiene i 133 controlli a cui l’azienda interessata deve attenersi.
Vulnerability Assessment e Penetration Test
Quando si esegue un’analisi delle vulnerabilita’ (o Vulnerability Assessment) sulla rete e sui sistemi informatici, si mira a identificare tutte le vulnerabilita’ tecniche presenti nei sistemi operativi e nei software. Alcuni esempi di vulnerabilita’ possono essere SQL Injection, XSS, CSRF, password deboli, ecc. L’individuazione delle vulnerabilita’ indica che esiste un rischio riconosciuto per la sicurezza a causa di un problema di un qualche tipo. Non dice se e’ possibile o meno sfruttare la vulnerabilita’. Per scoprirlo, e’ necessario effettuare un Penetration Test (o pentest).
Per spiegare quanto detto sopra, immaginate di avere un’applicazione web vulnerabile all’SQL Injection che potrebbe consentire ad un malintenzionato di eseguire operazioni nel database. Una VA identifica tale vulnerabilita’, vale a dire che potrebbe essere possibile accedere al database. In seguito alla valutazione della vulnerabilita’, se viene effettuato un pentest e la vulnerabilita’ puo’ essere sfruttata, si dimostrerebbe l’esistenza del rischio.
Per rispettare il controllo A.12.6.1 dell’allegato A della norma ISO 27001, e’ necessario impedire lo sfruttamento delle vulnerabilita’ tecniche. Tuttavia, la decisione su come procedere spetta a voi. E’, quindi, necessario eseguire un Pentest? Non necessariamente.
Dopo l’analisi delle vulnerabilita’, potremmo riparare e sistemare le debolezze ed eliminare il rischio prima di eseguire un pentest. Quindi, ai fini della conformita’ allo standard ISO 27001 si puo’ ottenere il risultato richiesto semplicemente eseguendo la valutazione della vulnerabilita’ e risolvendo i potenziali problemi che si sono riscontrati.
Detto questo, raccomandiamo vivamente di effettuare un Penetration Test completo per esser davvero sicuri del rispetto della norma. Puo’ aiutarvi a dare priorita’ ai problemi e vi dira’ quanto sono vulnerabili i vostri sistemi.
Rivolgersi a professionisti
Esistono sul mercato diverse soluzioni per svolgere pentest. Sono software che possono agevolare il lavoro e facilitare il test, ma se azionati da personale inesperto, possono anche creare dei problemi. e’ possibile che la rete ne risulti rallentata e i computer sensibilmente meno reattivi, fino anche a possibili crash di uno o piu’ dei sistemi coinvolti.
Puntando alla certificazione per lo standard ISO 27001, e’ meglio non fare gli eroi e assicurarsi davvero che i controlli siano rispettati. Richiedere l’intervento di professionisti del settore, serve proprio a minimizzare i rischi e assicurarsi che il processo sia svolto in modo impeccabile.
SOD offre un servizio di verifica delle vulnerabilita’ e pentest affidandosi ad hacker etici professionisti. Dopo un primo colloquio, le varie fasi del processo sono eseguite per verificare e testare le potenziali minacce. E’ possibile anche richiedere che la verifica delle vulnerabilita’ sia svolta con regolarita’ per verificare la sicurezza dei sistemi.
Richiedi informazioni specifiche, oppure visita la pagina dedicata. Per ulteriori informazioni sulle nostre certificazioni, e’ possibile visitare l’apposita pagina.
[btnsx id=”2929″]
Link utili:
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Standard e best practice per il penetration testing: tutto quello che devi sapere per proteggere la tua azienda
- Script Kiddies: I pericoli dei cybercriminali improvvisati
- MDR, EDR o NGS: Scegli la soluzione di sicurezza informatica perfetta per la tua azienda!
- La sicurezza informatica a più livelli: come proteggere la tua azienda da tutte le minacce
- Initial Access Broker: La minaccia invisibile che mette a rischio la sicurezza informatica
- Differenza tra un SOC con NGS (Next Generation SIEM) e un SOC con EDR (Endpoint Detection and Response): Quale soluzione è la migliore per proteggere la tua azienda dalle minacce informatiche?
- Differenza tra SAST e DAST: Una Guida Completa per la Sicurezza del tuo Software
- Security Operation Center as a Service (SOCaaS): Cos’è, Come Funziona e Perché è Importante per la Tua Azienda
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (181)
- Cyber Threat Intelligence (CTI) (8)
- Ethical Phishing (8)
- Penetration Test (11)
- SOCaaS (56)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- Aggiornamenti per Joomla!
(AL03/230217/CSIRT-ITA) Maggio 31, 2023Aggiornamenti di sicurezza risolvono 2 vulnerabilità, di cui una con gravità “alta”, nel noto CMS Joomla! Tale vulnerabilità, qualora sfruttata, potrebbe permettere attacchi di tipo brute-force sui metodi di autenticazione MFA.
- Aggiornamenti per prodotti Zyxel
(AL02/230531/CSIRT-ITA) Maggio 31, 2023Zyxel rilascia aggiornamenti di sicurezza per sanare una vulnerabilità presente in alcuni modelli di NAS. Tale vulnerabilità potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui dispositivi interessati.
- Risolte vulnerabilità in Google Chrome
(AL01/230531/CSIRT-ITA) Maggio 31, 2023Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 16 vulnerabilità di sicurezza, di cui 8 con gravità “alta”.
- Risolte vulnerabilità su Zimbra Collaboration
(AL01/230530/CSIRT-ITA) Maggio 30, 2023Rilasciati aggiornamenti per sanare alcune vulnerabilità riscontrate nel software Zimbra Collaboration.
- Rilevato sfruttamento in rete della CVE-2023-28771 in firewall Zyxel
(AL01/230529/CSIRT-ITA) Maggio 29, 2023Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-28771 – già sanata dal vendor il 25 aprile 2023 – presente in alcuni firewall di Zyxel.
- La Settimana Cibernetica del 28 maggio 2023 Maggio 29, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 22 al 28 maggio 2023.
- Aggiornamenti per prodotti Netgear
(AL03/230525/CSIRT-ITA) Maggio 25, 2023Netgear rilascia aggiornamenti di sicurezza per risolvere alcune vulnerabilità, di cui 2 con gravità “alta”, presenti nei propri prodotti.
- Aggiornamenti per firewall Zyxel
(AL02/230525/CSIRT-ITA) Maggio 25, 2023Zyxel rilascia aggiornamenti di sicurezza per sanare due vulnerabilità, con gravità "critica", presenti in alcuni modelli di firewall. Tali vulnerabilità potrebbero consentire a un utente malintenzionato remoto non autenticato, la compromissione della disponibilità del servizio e/o l’esecuzione di codice arbitrario sui dispositivi interessati.
- BlackCat: rilevati nuovi metodi per la defense evasion
(AL01/230525/CSIRT-ITA) Maggio 25, 2023Ricercatori di sicurezza hanno recentemente rilevato una campagna di distribuzione ransomware che sfrutta nuove tecniche di elusione dei meccanismi di sicurezza tramite l’utilizzo di driver opportunamente predisposti.
- Sanata vulnerabilità su GitLab CE/EE
(AL01/230524/CSIRT-ITA) - Aggiornamento Maggio 24, 2023Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità, con gravità “critica”, presente in GitLab Community Edition (CE) e Enterprise Edition (EE). Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato remoto non autenticato, la lettura di file arbitrari sul server interessato.
Dark Reading
- Yet Another Toyota Cloud Data Breach Jeopardizes Thousands of Customers Maggio 31, 2023The newly found misconfigured cloud services are discovered just two weeks after an initial data breach affecting millions came to light.
- Can Cloud Services Encourage Better Login Security? Netflix's Accidental Model Maggio 31, 2023Netflix's unpopular password-sharing policy change had a positive cybersecurity silver lining. Can more B2C service providers nudge their users toward secure authentication?
- MacOS 'Migraine' Bug: Big Headache for Device System Integrity Maggio 31, 2023Microsoft says the vulnerability could allow cyberattackers with root access to bypass security protections and install malware.
- Ways to Help Cybersecurity's Essential Workers Avoid Burnout Maggio 31, 2023To support and retain the people who protect assets against bad actors, organizations should create a more defensible environment.
- What Apple's RSRs Reveal About Mac Patch Management Maggio 31, 2023Apple's Rapid Security Response updates are designed to patch critical security vulnerabilities, but how much good can they do when patching is a weeks-long process?
- Investment May Be Down, but Cybersecurity Remains a Hot Sector Maggio 31, 2023There's still a great deal of capital available for innovative companies helping businesses secure their IT environments.
- Checkmarx Announces GenAI-powered AppSec Platform, Empowering Developers and AppSec Teams to Find and Fix Vulnerabilities Faster Maggio 31, 2023Powered by GPT-4, innovative new AI-driven capabilities lower application security (AppSec) risk and help security teams "shift everywhere" with speed and accuracy.
- New eID Scheme Gives EU Citizens Easy Access to Public Services Online Maggio 31, 2023The European Commission voted a new electronic identification scheme that creates new opportunities for EU citizens and businesses.
- Mirai Variant Opens Tenda, Zyxel Gear to RCE, DDoS Maggio 31, 2023Researchers have observed several cyberattacks leveraging a botnet called IZ1H9, which exploits vulnerabilities in exposed devices and servers running on Linux.
- Focus Security Efforts on Choke Points, Not Visibility Maggio 31, 2023By finding the places where attack paths converge, you can slash multiple exposures in one fix for more efficient remediation.
Full Disclosure
- CVE-2022-48336 - Buffer Overflow in Widevine Trustlet (PRDiagParseAndStoreData @ 0x5cc8) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48336 [+] Title : Buffer Overflow in Widevine Trustlet (PRDiagParseAndStoreData @ 0x5cc8) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48335 - Buffer Overflow in Widevine Trustlet (PRDiagVerifyProvisioning @ 0x5f90) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48335 [+] Title : Buffer Overflow in Widevine Trustlet (PRDiagVerifyProvisioning @ 0x5f90) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48334 - Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x7370) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48334 [+] Title : Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x7370) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48333 - Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x730c) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48333 [+] Title : Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x730c) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48332 - Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x6a18) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48332 [+] Title : Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x6a18) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48331 - Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x69b0) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48331 [+] Title : Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x69b0) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- SCHUTZWERK-SA-2022-001: Cross-Site-Scripting in Papaya Medical Viewer Maggio 30, 2023Posted by Lennert Preuth via Fulldisclosure on May 30Title ===== SCHUTZWERK-SA-2022-001: Cross-Site-Scripting in Papaya Medical Viewer Status ====== PUBLISHED Version ======= 1.0 CVE reference ============= CVE-2023-33255 Link ==== https://www.schutzwerk.com/advisories/SCHUTZWERK-SA-2022-001/ Text-only version: https://www.schutzwerk.com/advisories/SCHUTZWERK-SA-2022-001.txt Further SCHUTZWERK advisories: https://www.schutzwerk.com/blog/tags/advisories/ Affected products/vendor...
- [RT-SA-2023-005] Pydio Cells: Server-Side Request Forgery Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30For longer running processes, Pydio Cells allows for the creation of jobs, which are run in the background. The job "remote-download" can be used to cause the backend to send a HTTP GET request to a specified URL and save the response to a new file. The response […]
- [RT-SA-2023-004] Pydio Cells: Cross-Site Scripting via File Download Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30Advisory: Pydio Cells: Cross-Site Scripting via File Download Pydio Cells implements the download of files using presigned URLs which are generated using the Amazon AWS SDK for JavaScript [1]. The secrets used to sign these URLs are hardcoded and exposed through the JavaScript files of the web application. […]
- [RT-SA-2023-003] Pydio Cells: Unauthorised Role Assignments Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30Advisory: Pydio Cells: Unauthorised Role Assignments Pydio Cells allows users by default to create so-called external users in order to share files with them. By modifying the HTTP request sent when creating such an external user, it is possible to assign the new user arbitrary roles. By assigning […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Standard e best practice per il penetration testing: tutto quello che devi sapere per proteggere la tua azienda Maggio 31, 2023
- Script Kiddies: I pericoli dei cybercriminali improvvisati Maggio 29, 2023
- MDR, EDR o NGS: Scegli la soluzione di sicurezza informatica perfetta per la tua azienda! Maggio 24, 2023
- La sicurezza informatica a più livelli: come proteggere la tua azienda da tutte le minacce Maggio 22, 2023
- Initial Access Broker: La minaccia invisibile che mette a rischio la sicurezza informatica Maggio 17, 2023
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications