Gruppo di Ricerca: coordinato da Stefano Silvestri (PRICEWATERHOUSECOOPERS G.M.S. S.R.L.) .

Partecipanti:
Roberto Apollonio (H3G Italia)
Fabrizia Bilancini (PricewaterhouseCoopers)
 Piero Brunati (Nest)
Francesco Faenzi (LUTECH SPA)
Enrico Recanatesi (SAN PAOLO IMI)
 

Obiettivi

L'enorme evoluzione tecnologica delle telecomunicazioni, e la conseguente crescita di collegamenti in rete registrati nel recente passato, ha creato notevoli opportunità  di sviluppo per i diversi attori, determinando (come accade di solito in contesti molto dinamici) anche le condizioni per un uso non sempre corretto dei nuovi strumenti a disposizione.
Ciò  ha  comportato, di riflesso, l'elevamento del livello di attenzione ai problemi di sicurezza nelle trasmissioni da parte delle strutture aziendali deputate alla loro gestione.

I  rischi  associati all'accesso  non autorizzato  alle  reti comprendono infatti  perdite economiche,  furto di informazioni sensibili (personali o industriali), perdita  di  immagine  aziendale o perdita di controllo dei sistemi informativi.

Nell'ambito delle attività di ricerca e formazione su problemi di attualità svolte dall'Associazione  Italiana  Information  Systems Auditors, è stato pertanto costituito un Gruppo di Lavoro con l´obiettivo di analizzare alcune  tematiche relative  ai presidi di sicurezza perimetrale delle reti
aziendali.

L'indagine riguarda,  in particolare, la modalità correntemente utilizzata per vagliare in modo sperimentale, la tenuta dei citati presidi, denominata "Penetration Test".

L'auspicio è  anche di fornire  un contributo al mantenimento di un alto livello di guardia sul tema della sicurezza delle connessioni, un punto che appare particolarmente importante se si considera l'eccezionale espansione del fenomeno delle  intrusioni indesiderate, frutto talvolta del semplice
sfruttamento di tecniche di social engineering (e quindi di fenomeni non controllabili dal solo punto di vista esclusivamente tecnologico).
 

Attività e deliverable

Dopo aver  raccolti i singoli contributi dei componenti del gruppo, averli normalizzati ed organizzati, è stato redatto il documento "Il valore del Penetration Test dal punto di vista dell'auditor" - Linee guida per l'esecuzione di un Penetration Test ed utilità in un contesto di IT audit.
 
Il documento è stato inviato a tutti i soci nel dicembre 2005.