R: Inutilita' Penetration Test

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -- Penetration Test come verifica della qualita' dell'Outsourcing
della security ?

Non ho mai sentito di societa' che fanno curare in outsourcing gli
aspetti di
sicurezza alla societa' X, e che chiamano la societa' Y per
verificare che X
abbia lavorato bene.
[>]  L'outsourcing della sicureza non è stato mai ben visto, nemmeno
in Italia...
Già quello dei sistemi informativi può creare molti problemi, da un
punto di vista di 
sicurezza meramente aziendale.

- -- Penetration Test + veloce di una analisi interna?


[>]  Spesso nessuno controlla parametri vicini alla Social
Engineering (ma si scriveva così???? boh!!)
come tentare di carpire informazioni da dipendenti che prima ti
dicono tutto ciò che vuoi sapere...
e poi ti cihedono chi sei.

Ho notato, ad esempio, che ai diversi corsi che uno frequesta
(CheckPoint, ISS, Microzozz etc) si tende a parlare
della realtà in cui si opera... in maniera forse troppo approfondita.
Posso dirvi com'è strutturata l'Enel senza esserci mai stato... ad
esempio. Uno che ci lavora ha persso mezz'ora a 
raccontarci quanti firewall aveva, che versione, quali patches...
Pensate che in Schlumberger, quando fanno l'auditing nelle sedi degli
U.S.A., vanno in giro per le scrivanie a cercare
eventuali password lasciate dai dipendenti!!!

Esistono dei limiti, ovvio, alla psicosi.
Ma quando ci sono di mezzo i dati aziendali... e soprattuto il culo
di chi li deve proteggereee!!!!

Ciao,
jOBe


-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4

iQA/AwUBO2ExMzlk3CEbHwATEQLqTACgqa+hzbtgnUPV6CYSjblh/CC5NasAoPTu
uTfeQEYhFsDGhvbOGcc9ybkm
=ZQ1u
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List