Security Advisory
L’attività di consulenza è divenuta essenziale in qualsivoglia ramo della gestione aziendale, al fine di garantire la compliance con le normative nazionali ed europee, in continuo cambiamento, per mantenere il passo con l’evoluzione nei settori imprenditoriale e tecnologico. Ne deriva che la consulenza non poteva non fare riferimento anche al campo della cyber security, fondamentale nel settore IT e parte integrante del funzionamento dell’impresa, qualunque dimensione essa assuma.
In una società che, ormai, basa ogni suo sviluppo sulla corretta strutturazione dei processi, il concetto di sicurezza informatica non può più identificarsi, solo ed esclusivamente con l’implementazione di tecnologie e soluzioni atte a proteggere le infrastrutture IT delle aziende. Il cambio di mentalità che dobbiamo operare, vede la sua realizzazione nell’identificare la necessaria volontà di lavorare sull’organizzazione nel suo complesso, sui processi, e sulla creazione di policy aziendali che possano dirsi veramente integrate in ogni elemento che afferisca al concetto di sicurezza delle informazioni.
A tal fine, è necessaria una metodologia specifica che, sulla falsa riga delle più attuali normative e ISO tecniche, di recente emissione, proceda all’identificazione del problema, sino alla valutazione della migliore soluzione e dei validi rimedi per prevenire il futuro verificarsi di simili issues.
A tal riguardo, è possibile identificare OSSTMM – Open Source Security Testing Methodology Manual come metodologia di riferimento per lo svolgimento di attività di security assessment, utilizzando una serie di best practices, sviluppate da volontari in tutto il mondo, per valutare in modo consistente e ripetibile il livello di sicurezza intrinseco di un sistema, una rete, un’architettura o un contesto specifico, posto sotto attacco.
All’interno del concetto di Security Advisory possiamo quindi identificare, tra le altre, tre specifiche macro aree di intervento: