Cyber Security: soluzioni IMQ per proteggere prodotti, software e infrastrutture dai cyber risk

Industria 4.0, impiantistica smart, Internet of Things e Internet of Everythings, hanno aumentato considerevolmente l’esposizione dei sistemi informatici verso il mondo esterno. La 'superficie di attacco’ si è estesa fino a raggiungere la quotidianità di tutti noi, e  alla dimensione fisica degli attacchi si è sovrapposta una dimensione “cyber” il cui ruolo sta diventando quasi prevalente. 

Ogni dispositivo connesso al cloud o a Internet è un potenziale punto di attacco per i criminali informatici e le precauzioni di sicurezza sono fondamentali sia per i consumatori che per le aziende.

I servizi IMQ per la cyber security continuano ad evolversi ed innovarsi per fornire un supporto di nuova generazione in grado di proteggere end-to-end il business delle organizzazioni:

  • Valutazioni formali
  •  Audit di security ICT con attestazioni di conformità
  • Vulnerability Assessment & Penetration Test (VA-PT)

Valutazioni formali di security ICT

  • valutazione formale secondo i Common Criteria (ISO/IEC 15408) della sicurezza (security) di sistemi/prodotti ICT e di profili di protezione, finalizzata all’ottenimento della certificazione da parte di OCSI e riconosciuta a livello internazionale
  •  supporto alle aziende nella definizione di Traguardi di Sicurezza (Security Target) o di Profili di Protezione (Protection Profile) conformi ai requisiti Common Criteria.

Audit di security ICT con attestazioni di conformità

Quando non è possibile approcciare un percorso di valutazione formale per ottenere una certificazione di terza parte secondo i Common Criteria o, più in generale, rispetto ad uno standard, IMQ può supportare i clienti offrendo un audit con attestazione di conformità. Il percorso di audit viene in questo caso personalizzato in base a: insieme di requisiti di security ICT, definiti tenendo conto di tutti gli eventuali obblighi contrattuali e legislativi applicabili all’organizzazione richiedente e da essa condivisi e validati; a fronte di un’attività di verifica secondo una metodologia predisposta “ad hoc” e definita nel rispetto di logiche di efficienza ed efficacia e tenendo conto di tutti gli standard di riferimento applicabili. In caso di esito positivo dell’audit, può essere rilasciato da IMQ un attestato di conformità ai requisiti di security ICT definiti.

Vulnerability Assessment & Penetration Test (VA-PT)

Attività eseguite fornendo una valutazione appropriata dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro,  secondo i principali standard e best practice (elenco esemplificativo e non esaustivo):

  • OWASP v4 per le analisi su applicativi web
  • OWASP Mobile Security Testing Guide
  • ISECOM OSSTMM 3.0 per alcune verifiche di sicurezza
  • NIST CSRC indicante best practice relative alla sicurezza IT

Il servizio di VA-PT viene offerto per numerosi ambiti, tra i quali:

  • Automazione industriale: sistemi SCADA e IoT
  • Automotive: analisi della sicurezza delle interfacce di comunicazione esposte dal computer di bordo
  • Mobile Application, con reverse engineering del codice
  • Web application
  •  Servizi fiduciari: eIDAS/SPID/Conservazione documentale digitale a norma 
  • Security audit di prodotti HW/SW con analisi del del codice sorgente (code review).

Tra le attività di security audit si segnala anche la possibilità di condurre attività di Phishing Assessment basato su social engineering e social profiling, cercando di sfruttare errori umani per portare a termine un attacco informatico volto ad esempio a compromettere le credenziali di accesso e rubare dati privati/sensibili che non dovrebbero essere accessibili a soggetti non autorizzati.

Perché scegliere i servizi IMQ

Nell'ambito delle valutazioni IT, IMQ è l’unica azienda italiana a essere:

  • dotata di un laboratorio dedicato alla cybersecurity, accreditato in ambito “civile” da OCSI come Laboratorio di Valutazione formale della Sicurezza Informatica (LVS) e accreditato in ambito “militare/governativo” da DIS/UCSe come Centro di Valutazione  della Sicurezza informatica (CE.VA.) secondo i Common Criteria (ISO/IEC 15408), standard alla base del rilascio da parte di OCSI e DIS/UCSe di certificazioni riconosciute a livello internazionale;
  • laboratorio accreditato ISO 17025 per l’effettuazione delle prove di vulnerability assessment sulle infrastrutture utilizzate per l’erogazione di servizi fiduciari in ambito eIDAS e nazionale;
  •  accreditata da ACCREDIA come Organismo di Certificazione di Sistemi di gestione secondo le norme ISO 9001 (qualità), ISO/IEC 27001 (sicurezza delle informazioni), ISO/IEC 20000-1 (gestione dei servizi IT), ISO/IEC 22301 (continuità operativa);
  •  accreditata da ACCREDIA per la certificazione delle aziende che offrono servizi fiduciari ai sensi del Regolamento EIDAS, servizi di conservazione documentale a norma e servizi di gestione delle identità digitali SPID.

 

 È il riconoscimento delle organizzazioni che hanno saputo dotarsi di gestione efficiente e competenze/strutture adeguate, volte al continuo miglioramento. Una garanzia tanto più valida tanto più è prestigioso l'organismo che ha rilasciato la certificazione. Nei nostri laboratori, attrezzati con tecnologie all'avanguardia, siamo in grado di sottoporre i prodotti a tutte le verifiche richieste dalle principali direttive europee e normative internazionali. Le certificazioni rilasciate da IMQ sono sinonimo di fiducia. Garantiscono standard di sicurezza, prestazione, efficienza e qualità. Più di 10.000 aziende si sono rivolte a IMQ per certificare i loro prodotti e distinguersi sul mercato. I corsi offerti dal Gruppo IMQ rappresentano da anni un punto di riferimento per la formazione e l'aggiornamento di liberi professionisti e personale aziendale. Per convalidare la conformità alle specifiche tecniche e legislative di impianti elettrici, apparecchi, forniture, servizi. I servizi IMQ aggiungono valore e creano l'immagine del brand distinguendo sul mercato le realtà che hanno investito in sicurezza e qualità. Sono riconosciuti internazionalmente, sono gestiti da personale esperto e costantemente aggiornato, membro dei principali gruppi di lavoro normativi internazionali. Testimoniano al mercato la trasparenza e l'affidabilità dell'organizzazione che li ha richiesti. Consentono di ridurre i tempi di ingresso nel mercato.