GDPR vulnerability assessment

Per capire compiutamente cosa sia un vulnerability assessment occorre introdurre il concetto di vulnerabilità, che nel caso di specie si riferisce all’information tecnology.

Una vulnerabilità è una condizione imprevista nella quale si può venire a trovare un sistema, generalmente determinata da un errore di programmazione, una misconfigurazione o un bug presente nei sottosistemi hardware, software e/o nei protocolli di trasmissione.

Questo determina un “punto debole” dell’intero sistema, che può essere sfruttato per compromettere la sicurezza della intera infrastruttura della quale il dispositivo o software fa parte.

Al fine di innalzare il livello di sicurezza, occorre mettere in atto procedure ricorrenti che verifichino gli strumenti, specialmente quelli esposti al pubblico oppure collegati ed InterNet, non abbiano vulnerabilità; queste procedure vengono definite Vulnerability Assessment (che qualcuno indica anche Vulnerability Scan) e sono di norma effettuate tramite strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software sottoposto ad analisi.

Utilizziamo gli strumenti professionali di riferimento, nell’ambito internazionale, per il riscontro delle vulnerabilita dei sistemi informativi; le nostre attività di Vulnerability Assessment vengono correlate da apposita documentazione che certifica che, alla data, non sono / sono presenti servizi/strumenti/software affetti/non affetti da specifiche vulnerabilità.

Si tratta quindi di uno strumento che certifica lo stato attuale e dimostra l’accountability del titolare del trattamento.

GDPR security assessment

Security Assessment, Vulnerability Assessment e Penetration Test, cosa sono?
Si tratta della stessa attività o di attività diverse?

Qeste tre definizioni, che spesso vengono confuso e/o scambiate, si riferiscono a tre attività diverse che afferiscono però ad una sola finalità: migliorare notevolmente la sicurezza dei sistemi informativi.

Per attività di Vulnerability Assessment (che qualcuno indica anche come Vulnerability Scan) si intendono quelle attività tecniche (molto specifiche), effettuate di norma con strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software.

Le attività di Penetration Test sono le attività di soggetti dotati di particolari competenze che, “indossato il cappello dell’hacker”, operano per superare le misure di sicurezza e le difese messe in atto per proteggere i sistemi. Dato che di norma le attività di penetration test, per avere successo, sfruttano le vulnerabilità di strumenti, software, sistemi e loro configurazioni, tali attività vengono effettuate dopo aver eseguito il Vulnerability Assessment ed averne risolto le vulnerabilità emerse.

Per Security Assessment (o valutazione della sicurezza) intendiamo la somma di tutte le specifiche attività di valutazione della sicurezza; spesso dimentichiamo che la sicurezza di un sistema informativo è funzione anche della relativa sicurezza fisica degli ambiti nel quale esso si trova.

Il Regolamento Europeo ha aumentato esponenzialmente il livello di sicurezza necessario per tutte le tipologie di trattamenti, mettendo in capo al titolare del trattamento la definizione delle misure necessarie da adottare e l’obbligo di testarle, verificarle e valutarne regolarmente l’efficacia (art. 32 comma d GDPR).

Regolarmente, non una tantum, perchè un sistema sicuro oggi potrebbe non esserlo in futuro.