DATA & NETWORK SECURITY

P & P INVESTIGAZIONI S.r.l. è un'agenzia investigativa legalmente autorizzata dalla Prefettura competente ai sensi dell'art. 134 del Titolo IV del Testo Unico delle Leggi di Pubblica Sicurezza (R.D. 18 Giugno 1931 n. 773) per l'attività di investigazioni, informazioni e ricerche per conto di persone fisiche e giuridiche su tutto il territorio nazionale ed estero.

La Divisione Digital Security di P & P INVESTIGAZIONI S.r.l. si propone di combattere il crimine informatico, e presta la propria assistenza non solo a supporto dell’attività delle forze dell'ordine, ma anche in ausilio delle aziende.

L'attenzione verso la Sicurezza Informatica è in forte espansione, dal momento che risulta ad oggi impossibile pensare di poter gestire le attività aziendali senza l'assistenza di sistemi informatici, ormai strumento imprescindibile all'interno dei processi produttivi delle aziende.

Per questa ragione è necessaria l'individuazione di una figura professionale che difenda dagli attacchi informatici che potrebbero seriamente mettere in pericolo il patrimonio più importante, il Vostro know how.

Attraverso la Divisione Data & Network Security di P & P INVESTIGAZIONI S.r.l. è possibile rilevare il grado di vulnerabilità dei Vostri sistemi e, a seguito di un’attenta analisi diagnostica, individuare gli interventi idonei alla messa in sicurezza della Vostra proprietà informatica.

I SERVIZI DI DATA & NETWORK SECURITY

VAPT - PENETRATION
TEST

Servizio di valutazione della sicurezza di un sistema o di una rete, mediante la simulazione di un attacco da parte di un agente di minaccia

WAPT - WEB APPLICATION
PENETRATION TEST

Scansione e monitoraggio di tutte le sezioni presenti sull'applicativo web, con una particolare attenzione a quelle protette da username e password

VAM - VULNERABILITY ASSESSMENT
AND MITIGATION

Attività non invasive volte a valutare l'efficacia e il grado di robustezza dei sistemi di sicurezza della Vostra azienda, individuandone le vulnerabilità

ALTRI SERVIZI DI
SICUREZZA INFORMATICA

Vari servizi di test e debugging delle vulnerabilità informatiche dei Vostri sistemi, come IT Risk Management, Threat Detection & Analysis, ...

STANDARD DI RIFERIMENTO E METODOLOGIE

Nell'erogazione dei servizi, la Divisione Digital Security di P & P INVESTIGAZIONI S.r.l. si attiene ai fondamentali standard di riferimento presenti sul mercato:

ISO/IEC 27001

ISO/IEC 27001

È l'unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni), progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.

Per salvaguardare la sicurezza delle Vostre aziende, è necessario porre in essere una serie di processi di tipo ciclico, che sono riassumibili in questo modo:

  • in prima battuta occorre individuare gli obiettivi da raggiungere e la strategia da seguire, avendo particolare attenzione alla valutazione dei rischi;
  • successivamente si analizzano i rischi e il corretto andamento del SGSI;
  • in seguito si passa alla valutazione dell’adeguatezza dei rimedi adottati e ad un secondo controllo del SGSI;
  • da ultimo, si applicano le operazioni di contrasto e di prevenzione.

Segnaliamo, infine, che affinchè il meccanismo appena descritto sia valido è indispensabile la sua ripetizione nel tempo; solo in tal modo si può garantire un grado di stabilità e robustezza al sistema di sicurezza della Vostra infrastruttura informatica.

OSSTMM1

OSSTMM

L'OSSTMM (Open Source Security Testing Methodology Manual) è una certificazione fornita da ISECOM (Institute for Security and Open Methodologies), Comunità internazionale di ricerca e collaborazione sulla Sicurezza, fondata nel Gennaio 2001. Trattasi di un approccio metodologico di peer-reviewed, utilizzato nell’ambito dei sistemi di sicurezza informatica, che prevede l’esecuzione dei test di sicurezza e di analisi verso infrastrutture ed asset informatici, che si traducono in fatti verificati; questi fatti forniscono informazioni utili che possono migliorare, in termini di misurabilità, la sicurezza operativa.

L'utilizzo dello standard OSSTMM, nel rispetto della normativa prevista in materia, consente di ottenere risultati consistenti e ripetibili, e di capire quali sono le contromisure da adottare, quanto il sistema oggetto di analisi à esposto a possibili aggressioni, e dunque in che modo conseguire il massimo della sicurezza.

OWASP

owasp

L'OWASP Testing Guide è un framework per il test della sicurezza di applicazioni e infrastrutture di rete, elaborato da OWASP (Open Web application Security Project), fondazione senza scopo di lucro, che incentra le sue attività sulla produzione di risorse, articoli e materiale relativo a problematiche collegate con la sicurezza informatica.

OWASP ha stilato una classifica delle minacce per la sicurezza ritenute maggiormente critiche:

  • SQL Injection
  • Broken Authentication and Session Management
  • Cross Site Scripting
  • Insicure Direct Object Reference
  • Security Misconfiguration
  • Sensitive Date Exposure
  • Missing Function Level access Control
  • Cross Site Request Forgery
  • Using Components with Known Vulnerabilities
  • Unvalidated Redirects and Forwards

MAGERIT

La metodologia MAGERIT (Metodologia di Analisi e Gestione dei Rischi per l’Information Technology), sviluppata dal Governo Spagnolo a partire dal ‘97 e oggi adottata su scala internazionale, si propone i seguenti obiettivi:

  • accertare l’esistenza dei rischi cui l’infrastruttura informatica è esposta;
  • offrire un metodo sistematico per analizzare tali rischi;
  • individuare le misure opportune per mantenere i rischi sotto controllo, impiegando un criterio in termini di costi-benefici

ALTRI RIFERIMENTI

La Divisione Digital Security di P & P INVESTIGAZIONI S.r.l. svolge la propria attività professionale nel più ossequioso rispetto dei seguenti riferimenti normativi:

  • ISO/IEC 19011:2003 – Guidelines for quality and/or environmental management
  • ISO/IEC 20000-1:2005 – Service management – Part 1: Specification
  • ISO/IEC 27002:2005 – Code of practice for information security management
  • ISO/IEC27004:2009 – Information security management – Measurement
  • ISO/IEC 27005:2008 – Information security risk management
  • BS25999-2:2007 – Business continuity management – Specification
  • COBIT v4.1 – Control Objectives for Information and related Technologies
  • OSSTMM v3 – Open Source Security Testing Methodology Manual
  • OWASP Testing Guide v3 – Open Web application Security Project Testing Guide
  • CC v3.1 – Common Criteria
  • CEM v3.1 – Common Methodology for Information Technology Security Evaluation
  • ITIL v3 – Information Technology Infrastructure Library
  • PCI-DSS v2.0 – Payment Card Industry Data Security Standard
  • Basilea2 – International Convergence of Capital Measurement and Capital Standards
  • SOX of 2002 – Public Company Accounting Reform and Investor Protection Act
  • D. Lgs. 231/2001 – Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica
  • D. Lgs. 196/2003 – Codice in materia di protezione dei dati personali
  • D. Lgs. 262/2005 – Tutela del risparmio e disciplina dei mercati finanziari
  • D. Lgs. 81/2008 – Tutela della salute e della sicurezza nei luoghi di lavoro

FORMAZIONE E FIGURE PROFESSIONALI

CORSI DI FORMAZIONE

La Divisione Digital Security di P & P INVESTIGAZIONI S.r.l. garantisce la formazione di esperti specializzati in tema di Sicurezza, attraverso l’organizzazione di corsi in materia.

Nello specifico, si prevedono dei corsi di Offesa, nell’ambito dei quali saranno descritte le tecniche idonee a violare e/o danneggiare i sistemi informatici, e corsi di Difesa, basati, invece, sui processi di messa in sicurezza degli stessi.

A conclusione di ogni corso, strutturato in parte teorica e parte pratica, a termine delle quali i partecipanti saranno sottoposti a delle prove, verrà rilasciato il relativo attestato di partecipazione.

FIGURE PROFESSIONALI

La Divisione Digital Security di P & P INVESTIGAZIONI S.r.l. dispone di esperti considerevolmente specializzati, in possesso di una serie di riconoscimenti e certificazioni in materia di verifica della sicurezza, attestanti requisiti di professionalità tecnica nonché il valore etico degli stessi:

  • CISSP (Certified Information System Security Professional)
  • CISA (Certified Information Security Auditor)
  • CISM (Certified Information Security Manager)
  • OPSA (OSSTMM Professional Security Analyst)
  • OPST (OSSTMM Professional Security Tester)
  • OWSE (OSSTMM Wireless Security Expert)
  • GCFA (GIAC Certified Forensics Analyst)
  • ITV3F (ITIL Foundation v3)
  • ISFS (Information Security based on ISO/IEC 27002)
  • ISO/IEC 27001:2005 Lead Auditor (diversi schemi)
  • PCI-QSA (Payment Card Industry Qualified Security Assessor)
  • PCI-ASV (Payment Card Industry approved Scanning Vendor)

SENIOR SECURITY ADVISOR

Questa figura vanta un’esperienza tecnico-organizzativa, nel settore della sicurezza, di 5 anni e pertanto dispone dei requisiti necessari per individuare l’attività di lavoro e pianificare le strategie di cui il Cliente necessita.

Conosce meticolosamente i servizi di sicurezza e le procedure da adottare per la risoluzione di ogni singolo problema in materia di sicurezza; in virtù di tali competenze e in forza del costante aggiornamento cui si sottopone, è in grado, quindi, di intervenire in maniera dinamica in attività formative e di ricerca.

SECURITY ADVISOR

La suddetta figura ha un'esperienza tecnico-organizzativa di 3 anni nel campo della sicurezza. È in grado di affiancare il Cliente nella scelta dei servizi da svolgere per la messa in sicurezza della sua azienda; dirige le attività dei Security Exports; partecipa attivamente a progetti formativi e di ricerca.

SECURITY EXPERT

Il Security Expert, grazie al biennio di esperienza tecnico-organizzativa maturata nell'ambito della sicurezza, ha sviluppato la capacità di offrire consulenza e assistenza in materia, a sostegno del lavoro del Security Advisor. È regolarmente coinvolto in attività di aggiornamento e di ricerca.