Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza Informatica: Standard e Legislazione, Appunti di Informatica

SICUREZZA INFORMATICA ED ETHICAL HACKER

Tipologia: Appunti

2017/2018

Caricato il 12/08/2021

riccardo-poddighe
riccardo-poddighe 🇮🇹

1 documento

1 / 16

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Professioni
nella
Sicurezza
Informatica
STANDARD E LEGISLAZIONE
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff

Anteprima parziale del testo

Scarica Sicurezza Informatica: Standard e Legislazione e più Appunti in PDF di Informatica solo su Docsity!

Professioni

nella

Sicurezza

Informatica

STANDARD E LEGISLAZIONE

Gli standard nella

Cybersecurity

 ISO 27002: Ad oggi sostituita con la 27001, rimane tuttavia un valido ‘manuale pratico’ ( Security Code of Practice). Fondata nel 2007 caratterizza ^ la sicurezza dell’informazione da :integrità , riservatezza e disponibilità. È organizzata in 10 aree di controllo:

_1. Security Policy

  1. Security Organization
  2. Asset Classification and Control
  3. Personnel Security_

Gli standard nella

Cybersecurity

_5. Physical and Environmental Security

  1. Comunications and Operations Management
  2. Access Control
  3. System Development and Maintenance
  4. Business Continuity Management
  5. Compilance Nel caso delle ISO, parliamo di norme internazionali, che necessitano di certificazione e un continuo aggiornamento. Ogni azienda deve avere personale certificato ISO in determinati settori, uno di questi la sicurezza._

Gli standard nella

Cybersecurity

Fin qui abbiamo visto degli standard su cui lavora principalmente la figura professionale dell’Auditor. Ovvero, parliamo di tutta una serie di pratiche e di standard che abbracciano anche a livello burocratico l’approccio alla sicurezza informatica. Per quanto riguarda i test di sicurezza ( Penetration Testing, Vulnerability Assessment ) il discorso si fa più complesso. Bisogna partire dal presupposto che ogni hacker sperimenta una sua metodologia, un suo approccio. Solitamente prima si acquisiscono più informazioni possibili sul sistema, e poi si elabora la strategia di attacco in base alle informazioni ricavate.

Gli standard nella

Cybersecurity

Gli standard sulla sicurezza informatica sono molto recenti e parlando di Penetration Testing non c’è ancora nulla di veramente ufficiale come la ISO ( ricordatevi che la ISO, per esempio la 27001 o la 270 02 ) non danno metodologie su come fare un penetration test, quindi dobbiamo andare alla ricerca di una metodologia standard specifica per i penetration test. Oggi, sul mercato, ci sono standard e certificati, alcuni open source, altri vendor, quindi che bisogna necessariamente pagare, seguendo un apposito corso. Vediamo i più famosi, i più utilizzati e i più ricercati.

Gli standard nella

Cybersecurity

  • EC-Council: Altra società che eroga corsi e certificazioni a pagamento molto conosciute nell’ambito della cybersecurity ISECOM: OPST Professional Security Tester, altra certificazione molto conosciuta e richiesta

INFOSEC INSITUTE

GIAC

Ce ne sono ovviamente di altre, altrettanto famose, questa voleva essere una panoramica generale su quello che è il mondo degli standard nella sicurezza informatica.

Gli standard nella

Cybersecurity

È di buona norma ricordare sempre che ogni certificazione o standard può essere specifico o molto generico, e quindi abbracciare più categorie. Per esempio, nel sistema dei pagamenti online, la leader è la PCI DSS, che merita sicuramente un’occhiata più da vicino, visitando il sito: https://it.pcisecuritystandards.org/

Legalità

Come accennato nell’introduzione di questo corso, in molti paesi, i crimini informatici sono severamente puniti, c’è un ottima polizia informatica e sistemi molto avanzati di monitoring. Altri paesi invece non hanno ancora alcun approccio sull’argomento, e moltissimi black hat ne approfittano per far partire ( fisicamente o virtualmente ) gli attacchi informatici. Facendo un discorso generale, che abbraccia anche il nostro paese, attaccare un sistema informatico ( o anche solamente tentare di farlo) è considerato illegale e quindi punibile dal codice penale ( è prevista anche la reclusione). Non ha importanza il motivo per cui si vuole attaccare un determinato sistema, ( per esempio, se rubo una mela perché ho fame, verrò comunque punito, la fame non è una scusante )

Legalità

Ci sono due figure importanti nell’ambito dell’hacking. Chi si muove per fini di lucro ( come abbiamo visto prima con i black hat ) e chi si muove per fini sociali, di attivismo ( per esempio l’associazione Anonymous ). Tali figure vengono definiti Hacktivisti, e vantano di una grande comunità. I loro attacchi possono essere molto potenti ed efficienti proprio perché vengono la maggior parte delle volte, espletati in massa. Il loro obbiettivo potrebbe essere quello di mandare fuori servizio un sistema ( DOS denial of service – DDOS distributed denial of service ) oppure obiettivi più complessi come quello di raccogliere informazioni riservate ( intercettando email, entrando nei server, ecc. ) e pubblicarli poi online.

Legalità: L’Ethical Hacker

Proprio per questo motivo, chi effettua i test e il proprietario del sistema, devono sottoscrivere un accordo con delle regole ben precise che regolamentino per l’appunto ogni fase, sia tecnica che burocratica. Sono vere e proprie ‘regole di comportamento’ che chi effettua il test deve seguire alla lettera per non trasformarsi inconsciamente in un black hat. Questo documento sarà solo il primo di una serie, in quanto il report finale, dovrà elencare in un certo modo, le vulnerabilità trovate, l’approccio utilizzato e dei consigli su come risolvere le falle trovate.