Cosa facciamoGDPRSicurezza informaticaWe do

CorsoDPO – PIA e ethical hacking

Con questo fine settimana si chiude il ciclo di lezioni “ingegneristiche” con le lezioni su PIA e ethical hacking tenute rispettivamente dai colleghi Cenni e Golinelli.

PIA

L’argomento era già stato trattato dal punto di vista giuridico da Montuori.

Cenni chiarisce da subito che la PIA deve essere svolta e approcciata sia dal punto di vista giuridico che da quello tecnico.
L’unione dei due aspetti permette di realizzare la valutazione di impatto (PIA) in modo corretto.
L’esempio lampante è dato dai pronunciamenti del Garante che analizzano il trattamento sottoposto prima dal punto di vista giuridico poi da quello tecnico dando indicazioni precise in entrambi gli ambiti.

La PIA permette anche di definire il contesto e la superficie di attacco per azioni di vulnerabiliy assessment e penetration test.

Una considerazione importante riguarda il momento di svolgimento della valutazione d’impatto: va fatta su trattamenti nuovi.
Sui trattamenti già in essere si procede con l’iterazione dell’analisi dei rischi a fronte di mutazioni del contesto.

Il processo di valutazione di impatto non può essere svolto da software automatici perché “bisogna metterci il cervello”.

Ethical hacking

Il collega Golinelli porta forse la parte più tecnica dell’intero corso parlando di ethical hacking al servizio del GDPR.

Si parte descrivendo la fondamentale differenza fra:

  • vulnerability assessment: si procede all’analisi delle vulnerabilità con appositi scanner che si limitano solamente a sondare la vulnerabilità senza sondarla;
  • penetration test (ethical hacking): oltre al rilevamento della vulnerabilità si provvedere a sfruttarla.

Svolgere questi test, soprattutto da esterni, comporta la necesità di un contratto studiato con attenzione soprattutto per quanto riguarda la manleva su eventuali danni e i confini dell’analisi.

Il pentration test solitamente elimina molti falsi positivi in quanto una vulnerabilità potrebbe, pur essendo presente, non essere attaccabile per l’effetto combinato di altre protezioni in essere.

Fasi di un pen test

  1. Footprinting della rete target. Questa attività non è regolata ed è fattibile di fatto da chiunque su chiunque.
  2. Scansionamento della rete del target. Da questo punto serve il mandato del titolare (se si vuole fare ethical hacking ;))
  3. Identificazione delle vulnerabilità.
  4. Hacking del sistema target identificato.
  5. Redazione della reportistica.

E’ seguita poi una dimostrazione pratica delle varie fasi attraverso vari sistemi.

Conclusioni

Il ciclo tecnico è stato sicuramente impegnativo anche se mi ha permesso di arricchire le mie conoscenze di argomenti che già fanno parte del mio bagaglio.