Security Audit

Il processo security audit è un sistematico e misurabile assessment tecnico di come la politica di sicurezza di un'organizzazione è impiegata in uno specifico contesto. I nostri auditors lavorano avendo una conoscenza del contesto in cui agiscono, avendo una considerevole mole di informazioni interne.

Gli audit sono parte del processo lavorativo aziendale e servono per definire e dare continuità a delle politiche di sicurezza efficienti. L'attivita coinvolge quasi tutte le persone che utilizzano un computer connesso alla rete all'interno dell'organizzazione.

Gli auditor compiono il loro operato attraverso domande al personale, scansione di vulnerabilità, ed esaminando le configurazioni dei sistemi operativi interconnessi al network aziendale. Il lavoro si basa primariamente su come le policies aziendali sono attualmente usate, analizzandone le debolezze, e studiando delle politiche di sicurezza più robuste e che si adattino meglio al processo produttivo del sito analizzato.
Nonostante l'incremento dell'intensità e dell'invasività degli attacchi informatici, la maggior parte delle organizzazioni oggi sono prive di sofisticati sistemi di protezione o efficaci politiche di sicurezza che garantiscano protezione, rilevazione e responso a tentativi di intrusione all'interno della rete.
L'obbiettivo di questo processo è:

• stabilire politiche flessibili per proteggere il business da abusi e usi inappropriati delle infrastrutture tecnologiche;
• stabilire un meccanismo che permetta l'identificazione di eventuali usi impropri delle tecnologie aziendali;
• fornire un servizio che risponda prontamente rilevi e prevenga l'accesso esterno ad utenti malintenzionati;
• ove presenti, stabilire un supporto alle altre policy esistenti nel processo aziendale.

Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni  organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. Per questo esistono, a carico delle imprese, precisi obblighi in materia di privacy, tra cui quello di redigere annualmente uno specifico documento  programmatico sulla sicurezza. E' stato anche approvato a livello internazionale il nuovo Standard ISO 27001:2005, finalizzato alla standardizzazione delle modalità adatte a proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità. Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (ISMS), finalizzato ad una corretta gestione dei dati dell'azienda. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio.