Tratto dallo speciale:

OSSTMM, approccio strutturato alla sicurezza informatica

di Giovanni De Vidi

Pubblicato 14 Marzo 2008
Aggiornato 12 Febbraio 2018 20:49

Si chiama OSSTMM (acronimo di Open Source Security Testing Methodology Manual) ed è
uno dei più completi, affidabili ed efficaci approcci metodologici nell’ambito dei sistemi
di sicurezza informatica
.

A detta di molti, oltretutto, forse è il migliore del suo campo. Eppure in Italia è per molti un illustre sconosciuto.

In realtà , si tratta di un progetto ambizioso, intrapreso fin dal 2001 dall’ISECOM, comunità  internazionale “non-partisan” e “vendor-neutral” che si propone di creare una serie di direttive metodologiche percorribili ed aperte, indipendenti dall’ambiente applicativo, il cui grado di affidabilità  sia consistente, misurabile e ripetibile.

Un sistema articolato, che procede per moduli consecutivi, e che mira ad una garanzia di sicurezza a 360° per quanto concerne informazioni, comunicazioni, processi e navigazione, sia in termini fisici che su reti wireless.

Quel che va sottolineato, però, è che si tratta anche e soprattutto di una ghiotta opportunità  di riflessione su quella che è l’adeguatezza o meno delle proprie strategie di sicurezza in azienda.


Purtroppo questo metodo (come dal resto molti altri) nel nostro Paese non è molto conosciuto: la mancanza di una versione italiana della voce “OSSTMM” su Wikipedia è un dato sintomatico.

Quando parliamo di sicurezza normalmente l’attenzione e gli sforzi si focalizzano quasi esclusivamente sugli strumenti (leggasi antivirus,antispam, antispyware, firewall, web filtering,
proxy ecc…) trascurando le metodologie concettuali.

Questa è una debolezza.
Un corretto approccio ai mille risvolti del cybercrime impone l’adozione di un sistema strutturato di analisi, implementazione e test indipendente dall’infrastruttura
adottata e dalle prassi dei fornitori.
Non credete?