Per capire compiutamente cosa sia un vulnerability assessment occorre introdurre il concetto di vulnerabilità, che nel caso di specie si riferisce all’information tecnology.
Una vulnerabilità è una condizione imprevista nella quale si può venire a trovare un sistema, generalmente determinata da un errore di programmazione, una misconfigurazione o un bug presente nei sottosistemi hardware, software e/o nei protocolli di trasmissione.
Questo determina un “punto debole” dell’intero sistema, che può essere sfruttato per compromettere la sicurezza della intera infrastruttura della quale il dispositivo o software fa parte.
Al fine di innalzare il livello di sicurezza, occorre mettere in atto procedure ricorrenti che verifichino gli strumenti, specialmente quelli esposti al pubblico oppure collegati ed InterNet, non abbiano vulnerabilità; queste procedure vengono definite Vulnerability Assessment (che qualcuno indica anche Vulnerability Scan) e sono di norma effettuate tramite strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software sottoposto ad analisi.
Utilizziamo gli strumenti professionali di riferimento, nell’ambito internazionale, per il riscontro delle vulnerabilita dei sistemi informativi; le nostre attività di Vulnerability Assessment vengono correlate da apposita documentazione che certifica che, alla data, non sono / sono presenti servizi/strumenti/software affetti/non affetti da specifiche vulnerabilità.
Si tratta quindi di uno strumento che certifica lo stato attuale e dimostra l’accountability del titolare del trattamento.