Un altro elemento che gli utenti finali valutano, sia che si tratti di un incarico esterno, sia che porti a una scelta di insourcing, è quello relativo agli strumenti da utilizzare. La tipizzazione è inerente al fatto che si tratti di str …
Un altro elemento che gli utenti finali valutano, sia che si tratti di un incarico
esterno, sia che porti a una scelta di insourcing, è quello relativo
agli strumenti da utilizzare. La tipizzazione è inerente al fatto che
si tratti di strumenti che automatizzino il processo o meno. Di solito gli strumenti
automatici sono indirizzati a un’utenza che richiede una security baseline
minima, magari con costi contenuti. Una scelta di questo genere si ripercuote
sul livello di efficacia del test, il cui output è sicuramente di valore
ma verosimilmente inferiore rispetto allo stesso percorso effettuato magari
con strumenti custom, finalizzati ad atti più verticali quali, per esempio,
gli audit sulle singole applicazioni di cui abbiamo parlato nei paragrafi precedenti.
Sembra strano, ma Nessus (www.nessus.org) continua a essere uno dei punti di
riferimento del settore, a prescindere dallo scenario operativo. Il motivo è
che il suo costo implementativo è minimo, anche se esistono delle opzioni
commerciali dello stesso strumento. Gli strumenti per questo tipo di operazioni
sono molteplici. Tuttavia si sta assistendo a una mutazione di tendenza verso
la fornitura di questo tipo di prodotti incapsulata in un servizio. Ecco che
si ritorna al punto di partenza.
Eviteremo, qui, di far nomi, concentrandoci insieme su quanto sia accaduto
sul mercato nell’ultimo biennio. Chi ha seguito il mercato avrà
notato un proliferare di acquisizioni nei confronti di Iss. Operazione sicuramente
bilanciata verso i servizi gestiti, ma ciò non deve fuorviare sull’enorme
potenziale pregresso nel settore del vulnerability management dell’azienda
acquisita. Ma non solo: sono molte le venture capital, specie negli Stati Uniti,
che hanno investito sull’acquisto di “vulnerability management companies”,
con un certo profitto, tra l’altro. Tentativi simili sono accaduti anche
nel nostro paese, ma non con lo stesso successo, a causa della scarsa consistenza
qualitativa dell’oggetto trattato. Tutto questo movimento ha generato
una nuova era della gestione del rischio architetturale, basata su un’offerta
di servizi professionali e di consulenza, con al loro interno una componente
tecnologica incapsulata.
