Vulnerability assessment e penetration test: Case study ICAR-CNR e Sicur Control System

Nel presente elaborato si vogliono presentare i risultati ottenuti dall'esecuzione dei test per la valutazione della sicurezza della rete dell'ICAR-CNR effettuati dalla Sicur Control System, società afferente al polo di innovazione ICT-SUD, di cui fa parte anche l'istituto. La vulnerabilità nel settore dell'information security è definita come elemento di un particolare settore che possa compromettere la sicurezza informatica dell'intero sistema. Per sicurezza informatica si intende la tutela delle seguenti caratteristiche: confidenzialità, integrità, disponibilità ed autenticazione. Qualora una debolezza del sistema informativo comprometta una delle sopradette caratteristiche si riscontra una vulnerabilità. L'analisi di vulnerabilità è il passo successivo alla visione dell'architettura, definizione degli obiettivi e valutazione dei beni aziendali. L'obiettivo di un test è quello di verificare il comportamento a fronte di una sollecitazione in una particolare condizione e verificare lo scostamento rispetto alle attese. Le vulnerabilità sono individuabili principalmente in tre categorie, che rappresentano tre diversi livelli da analizzare per la sicurezza: la rete, i sistemi e gli applicativi. L'adozione di specifiche misure di sicurezza logica costituisce in sempre più numerosi settori un obbligo normativo previsto dalla legge o dai regolamenti di settore. Per il settore dell'informatica e telecomunicazioni dal primo giugno 2012 è in vigore il Decreto legislativo 28 maggio 2012, n. 69 che recepisce, tra l'altro, la direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche.