Questo sito utilizza cookie anche di terze parti tecnici, di profilazione e di marketing, per inviarti pubblicità e servizi in linea con le tue preferenze. Per saperne di più Cookie Policy. Per visionare l'informativa completa relativa al trattamento dei dati CLICCA QUI Per Continuare la navigazione devi acconsentire all'utilizzo dei cookie.
Il Penetration Testing
foto
Il Penetration Testing o Pen Test è una procedura informatica volta a identificare possibili vulnerabilità dell´infrastruttura informatica su cui si sta eseguendo il processo di verifica. La finalità di quest´articolo è prettamente a carattere informativo-divulgativo percui non entreremo nel dettaglio dei tecnicismi sulle diverse procedure di realizzazione del pen test. Ci concentreremo sull´utilità di questa procedura in relazione al Regolamento Europeo 2016/679 in materia di privacy.
Prima del 25 maggio 2018 data di entrata in vigore del Regolamento Europeo 2016/679 il concetto del penetration testing era diffuso quasi esclusivamente negli ambienti frequentati dagli ADS (amministratori di Sistema) o da esperti di sicurezza informatica; attualmente invece questo concetto diventa di notevole rilevanza in tutti i luoghi in cui si utilizzino dei dispositivi elettronici per trattare dati personali particolari e non particolari. La motivazione è semplice, considerato il fatto che non esiste un sistema informatico collegato alla rete internet che sia sicuro al 100% diventa fondamentale identificare e eliminare possibili criticità presenti nei propri sistemi in modo da minimizzare la probabilità di Data Breach (violazione dei dati), situazione che porterebbe a diverse sanzioni anche economiche per la vostra azienda. La domanda che vi stareste ponendo è: "se non si riesce a realizzare un sistema informatico sicuro al 100% perchè dovrei spendere dei soldi per effettuare un pen test". Ci sono due motivazioni principali che giustificano l´investimento economico:
il primo è di carattere tecnico perchè si andrebbero a eliminare le diverse criticità che si evidenzierebbero a seguito di tale procedura e gia questa motivazione sarebbe sufficiente a giustificare l´investimento.
La seconda motivazione è a carattere di prevenzione per il titolare del trattamento dei dati infatti a seguito della procedura di pen test l´esecutore della procedura rilascerà una relazione in cui verranno evidenziate le diverse criticità che il titolare dovrà risolvere.
E´ necessario che l´ADS o l´esperto informatico che provvederà a effettuare le diverse configurazioni volte a eliminare le diverse criticità a sua volta produca una relazione attestante il lavoro da lui svolto con firma e data. Entrambi i documenti consentono al titolare del trattamento dei dati di avere una difesa solida in relazione a successivi possibili Data Breach.
Per quanto detto in precedenza risulta importante effettuare dei pen test periodici e soprattutto a seguito di modifiche dell´infrastruttura informatica.
Si ricorda che il collegamento di un nuovo dispositivo alla rete aziendale potrebbe generare, se non configurato opportunamente, delle criticità alla sicurezza dell´infrastruttura informatica.
Colui che effettuerà il pen test dovrà essere autorizzato dal titolare con opportuno documento (manleva) in cui si dovranno evidenziare i diversi dispositivi su cui si effettuerà il pen test, il tipo di pen test, etc. Senza opportuna autorizzazione tale procedura è identificata come un intrusione abusiva su un sistema informatico contro la volontà del proprietario ed è perseguibile con una pena che può arrivare a 3 anni di carcere.
 

 

Nota Bene: Le notizie presenti nel sito hanno carattere e finalità puramente informative. La Sardiniaportal Srl, o chi per lei, non fornisce alcuna garanzia o assicurazione in merito e non è pertanto da considerarsi responsabile per situazioni particolari legate alle indicazioni progettuali e alle offerte proposte dalle attività promotrici.