Security Assessment, Vulnerability Assessment e Penetration Test, cosa sono?
Si tratta della stessa attività o di attività diverse?
Qeste tre definizioni, che spesso vengono confuso e/o scambiate, si riferiscono a tre attività diverse che afferiscono però ad una sola finalità: migliorare notevolmente la sicurezza dei sistemi informativi.
Per attività di Vulnerability Assessment (che qualcuno indica anche come Vulnerability Scan) si intendono quelle attività tecniche (molto specifiche), effettuate di norma con strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software.
Le attività di Penetration Test sono le attività di soggetti dotati di particolari competenze che, “indossato il cappello dell’hacker”, operano per superare le misure di sicurezza e le difese messe in atto per proteggere i sistemi. Dato che di norma le attività di penetration test, per avere successo, sfruttano le vulnerabilità di strumenti, software, sistemi e loro configurazioni, tali attività vengono effettuate dopo aver eseguito il Vulnerability Assessment ed averne risolto le vulnerabilità emerse.
Per Security Assessment (o valutazione della sicurezza) intendiamo la somma di tutte le specifiche attività di valutazione della sicurezza; spesso dimentichiamo che la sicurezza di un sistema informativo è funzione anche della relativa sicurezza fisica degli ambiti nel quale esso si trova.
Il Regolamento Europeo ha aumentato esponenzialmente il livello di sicurezza necessario per tutte le tipologie di trattamenti, mettendo in capo al titolare del trattamento la definizione delle misure necessarie da adottare e l’obbligo di testarle, verificarle e valutarne regolarmente l’efficacia (art. 32 comma d GDPR).
Regolarmente, non una tantum, perchè un sistema sicuro oggi potrebbe non esserlo in futuro.