null

Domande frequenti (FAQ)

Vendite

Abbiamo deciso di utilizzare Foundstone. Quali sono i primi passi da compiere?
Apprezziamo il vostro interesse e desideriamo vivamente cominciare ma vi sono alcuni passi chiave preliminari da compiere prima di avviare i test. Il primo e più importante passo è di completare tutta la documentazione legale preliminarmente alla determinazione della fase di svolgimento dei test. Di solito, la documentazione comprende un accordo di servizi (termini e condizioni), una descrizione del servizio e, possibilmente, un ordine d'acquisto, se richiesto dal vostro ufficio acquisti.

Qual è la maniera migliore per contattare Foundstone?
Potete contattare Foundstone nella maniera che vi è più congeniale. Il nostro personale addetto alle vendite è reperibile telefonicamente al numero 949-297-5600, per email all'indirizzo consulting@foundstone.com, o attraverso il nostro sito web.

È possibile aggiornare l'ambito di svolgimento dell'attività? Se possibile, come farlo?
Sì. L'ambito di svolgimento può essere agevolmente aggiornato contattando il proprio account manager. Di solito la determinazione dell'ambito di svolgimento del progetto avviene prima della descrizione del servizio, ma può anche essere creato un addendum alla dichiarazione esistente.

Inizio

Quando è opportuno iniziare?
Foundstone effettua una chiamata d'inizio almeno una settimana prima della data di avvio dell'impegno. Ciò vi permette di disporre di tempo a sufficienza per organizzare ogni dettaglio logistico e tecnico necessario ad assicurare un favorevole avvio della valutazione.

Chi deve partecipare alla chiamata d'inizio e chi deve essere informato di tale attività?
Chi deve partecipare alla chiamata d'inizio e chi deve essere informato del progetto esattamente dipenderà dagli obiettivi generali della valutazione e dal modo in verrà svolto il test vero e proprio. Alcuni clienti possono chiederci di verificare che la loro squadra operativa sia avvisata mentre certifichiamo la loro rete, altri vogliono assicurarsi che i sistemi di pre-produzione siano messi in sicurezza prima della distribuzione, e altri ancora richiedono un test del proprio ambiente produttivo. In generale, raccomandiamo di avvisare del progetto i colleghi il più presto possibile e di offrire una spiegazione approfondita e dettagliata dell'attività. Assicurarsi il consenso anticipatamente permetterà di evitare obiezioni inaspettate e conseguenti possibili ritardi in prossimità delle date di test. Vi consigliamo inoltrare una notifica alle seguenti persone:

  • Il punto primario di contatto per il progetto o il project manager
  • Un responsabile delle operazioni di rete
  • Un responsabile dello sviluppo applicativi, se questa valutazione dovesse comprendere dei test sugli applicativi aziendali
  • Un responsabile della sicurezza dei dati
  • Un responsabile della parte proprietaria del sistema
  • Un membro del gruppo di audit, se questo progetto rappresenta un requisito investigativo
  • L'organizzazione ospitante, qualora la rete e/o l'applicazione di riferimento siano ospitate da una parte terza

Chi svolge di fatto il lavoro e come gestisce i suoi progetti Foundstone?
Tutti i test tecnici sono condotti da consulenti di sicurezza di Foundstone. Tutti i dipendenti sono impiegati a tempo pieno, sono assicurati e sono stati sottoposti a verifiche personali. Non ricorriamo a personale esterno.

Ogni contratto ha un proprio gruppo di progetto. Non potete interagire con tutti i membri del gruppo di progetto, ma ognuno di loro svolge un ruolo essenziale per la riuscita del vostro impegno. Esempi tipici di tali gruppi tipici comprendono:

  • Consulenti tecnici responsabili del lavoro di verifica giornaliero. Queste persone fanno il "lavoro pesante", per così dire.
  • Un project manager rappresenta il vostro punto di contatto primario ed è il responsabile della gestione del progetto. Ogni progetto ha il suo project manager, responsabile della chiamata di avvio, degli aggiornamenti giornalieri e dei risultati finali. Il vostro project manager collaborerà con voi per risolvere ogni questione.
  • Un direttore regionale responsabile del controllo di qualità e dell'approvazione di tutti i progetti finali.  I project manager dipendono dai direttori regionali. I direttori riferiscono a funzioni superiori di Foundstone qualora i problemi non potessero essere risolti dal project manager.

In che modo posso contattare Foundstone per problemi o domande?
Il gruppo Foundstone fornirà informazioni di contatto dettagliate a tutti i membri del gruppo interessato a questa valutazione. Nella maggior parte dei casi, il project manager saprà risolvere tutte le vostre problematiche, ma riceverete comunque adeguate informazioni su come prendere contatti con il direttore regionale e con l'account manager nell'eventualità che tali problematiche debbano essere affrontate a un livello di responsabilità superiore. Tali informazioni di contatto sono fornite nella lista di controllo pre-contrattuale.

Posso richiedere consulenti specifici per questa attività?
Se vi sono consulenti specifici con i quali desiderereste lavorare, vi preghiamo di informarci al più presto a tale riguardo. Se lo specifico consulente non è stato già adibito ad altre attività, cercheremo di esaudire la vostra richiesta. Siate certi che siamo impegnati quanto voi stessi al successo del vostro progetto e, conseguentemente, provvederemo sempre a fornire i consulenti più idonei all'impegno di perseguire con successo gli obiettivi del progetto stesso. In aggiunta, una parte essenziale del successo di Foundstone deriva dall'uso di metodologie certificate che ci permettono di fornire risultati tangibili da parte di ognuno dei nostri consulenti.

Di quali informazioni necessita Foundstone per avviare la fase di test?
Ci occorrono in genere due tipi di informazioni da parte vostra: logistica e tecnica.

  • Logistica: compileremo una lista di controllo pre-contrattuale nel corso dell'incontro iniziale. Essa comprenderà i dettagli sui contatti, sull'organizzazione delle trasferte, sulle procedure di coinvolgimento delle funzioni aziendali superiori e altre informazioni.
  • Tecnica: le specifiche necessità variano in relazione al tipo di valutazione ma normalmente comprendono gli indirizzi IP di destinazione e delle applicazioni, regolamentazioni formulate per iscritto e altre necessità. Il project manager Foundstone fornirà una lista dettagliata circa i requisiti necessari prima dell'incontro iniziale.

Saprà Foundstone gestire ogni nostra particolare esigenza?
Assolutamente sì. Se vi sono punti che, nella valutazione, rivestono un particolare interesse da parte vostra, per favore parlatene con il project manager; faremo del nostro meglio per gestire al meglio tali punti. Questa è proprio la prima domanda che il project manager Foundstone porrà in sede di incontro iniziale.

Esecuzione

Quanta visibilità abbiamo nel processo di valutazione?
Nel meeting iniziale, il project manager fornirà i dettagli circa i diversi adempimenti del processo di valutazione. Inoltre, gli aggiornamenti giornalieri includeranno notizie dettagliate sulle attività svolte nella particolare giornata e i programmi del giorno seguente. Al termine del progetto, il rapporto tecnico fornisce dettagli sulla metodologia adoperata per raggiungere gli obiettivi di progetto nonché note di dettaglio sui test condotti. Se necessitaste di maggiori dettagli o se desideraste "seguire passo passo" l'avanzamento del progetto, informatene il project manager prima del o durante il meeting iniziale. Siamo lieti di lavorare a stretto gomito con voi per aderire alle vostre richieste: le vostre domande sono sempre le benvenute.

Che cosa accadrebbe se la mia infrastruttura non fosse pronta oppure non funzionasse nel giorno dell'avvio del test?
Quando programmiamo un impegno, lavoriamo con voi per aiutarvi a comprendere i requisiti per pervenire al successo. Ciò include l'aspetto tecnico e quello logistico sopra menzionati. Se tali aspetti non sono disponibili oppure qualora il sistema non sia in funzione nel giorno in cui debbano avviarsi i test, generalmente non siano in grado di procedere. Dovreste verificare i vostri specifici termini e condizioni. Normalmente, ciò comporterà una penale e il vostro impegno sarà riprogrammato, con la possibile ritardata esecuzione. È a vostro carico l'assicurare che le attività della lista di controllo pre-contrattuale siano state svolte; in caso contrario Foundstone non programmerà l'avvio del vostro progetto.

A quale ora del giorno sarà effettuato il test?
Normalmente, eseguiamo la maggior parte dei test durante gli abituali orari d'ufficio della vostra sede. Ciò ci permette di contattarvi immediatamente nell'ipotesi in cui dovessero emergere situazioni ad alto rischio. Alcune delle verifiche strumentali automatizzate che eseguiamo richiedono del tempo, e queste vengono spesso svolte nottetempo. Abbiamo la capacità di accedere da remoto a tutti i nostri server di valutazione, in modo da potere immediatamente bloccare qualsiasi verifica. Abbiamo anche la capacità di programmare molti dei nostri strumenti di verifica in maniera tale da impiegarli a intervalli di tempo prestabiliti, laddove necessario. Possiamo modificare la tempistica, ma tenete presente che intervalli di tempo eccessivamente ristretti limiteranno l'efficacia dei nostri strumenti e dei risultati che possiamo fornire nell'ambito del periodo di di valutazione. Se il vostro test dovesse richiedere un'attività al di fuori delle normali ore di lavoro, dovreste avvisare il project manager al più presto e, comunque, prima della chiamata di avvio.

Se Foundstone riceve l'accesso, verranno effettuati dei tentativi tali da utilizzare tale accesso al punto da compromettere altri sistemi?
Se otteniamo l'accesso a un sistema, fermiamo tale linea di test e forniamo documentalmente con una schermata l'illustrazione del livello di accesso ottenuto. Vi forniamo detta informazione e lavoriamo con voi per verificare se desiderate proseguire con ulteriori accertamenti atti a chiarire il rischio in cui può incorrere la vostra organizzazione.

Fino a quanto tempo dopo la valutazione sarò in grado di vederne i risultati?
Forniamo aggiornamenti giornalieri lungo l'intero processo di valutazione mediante un documentazione preliminare delle risultanze in cui sono dettagliate le questioni identificate alla data corrente. Tali conclusioni sono in formato uguale a quello fornito nella sezione tecnica del nostro rapporto, cosicché vedrete i risultati quasi esattamente nel modo in cui saranno consegnati nel rapporto finale. Inoltre, se dovesse emergere una qualsiasi traccia della presenza di un rischio elevato, tale da potere consentire a un aggressore di ricevere un accesso non autorizzato a un sistema o a dati sensibili, tale situazione verrebbe segnalata immediatamente, senza attendere il successivo aggiornamento giornaliero di rito. Al termine del test, forniamo normalmente una bozza di resoconto entro cinque giorni lavorativi.

Di cosa si compone il prodotto finale?
Il prodotto finale standard è rappresentato dal rapporto tecnico, che comprende un riepilogo del progetto e qualunque dato primario raccolto durante il progetto. Verificate la descrizione del servizio per l'eventuale presenza di ulteriori resoconti quali una presentazione tecnica, una presentazione per la dirigenza aziendale o una dichiarazione con valore di certificazione. Inoltre, possiamo fornire rapporti personalizzati, quale, ad esempio, un file con valori separati da virgole (file CSV) contenente i risultati.

Che cosa posso aspettarmi di vedere nel rapporto?
Il rapporto tecnico fornisce dettagli circa il progetto, inclusi l'obiettivo della valutazione, gli aspetti positivi identificati, le vulnerabilità emerse, raccomandazioni tattiche e strategiche per porre rimedio alle vulnerabilità, note dettagliate raccolte nel periodo di impegno e la metodologia adottata per eseguire la valutazione.

Il riepilogo di progetto contiene una vista di alto profilo del progetto, comprendente una breve dichiarazione circa gli obiettivi del progetto, una panoramica dei risultati, una serie di raccomandazioni strategiche e un rapporto di sicurezza relativo alle aree valutate, nel quale è tracciato un confronto tra i dati della vostra organizzazione e le medie del settore.

Se aveste ulteriori esigenze in termini di reportistica, informatene per favore il vostro project manager prima o nel corso dell'incontro di avvio. Possiamo soddisfare la maggior parte delle richieste se avanzate prima dell'inizio della valutazione.

Avrò la possibilità di esaminare il rapporto prima della sua definizione?
Sì. Forniamo tutti i rapporti in bozza (in formato Microsoft Word) e chiediamo un cortese vostro riscontro entro cinque giorni lavorativi. Provvediamo quindi ad apportare le modifiche richieste prima di rendere definitivo il rapporto. Se non riceviamo commenti da parte vostra al termine dei suddetti cinque giorni, vi confermeremo l'assenza di vostre segnalazioni al riguardo e provvederemo a definire il rapporto. Normalmente, siamo in grado di effettuare un'unica serie di modifiche al rapporto; pertanto, risulta essenziale che ci forniate tutti i vostri riscontri e i vostri commenti dettagliati per iscritto e in unica soluzione, per consentirci di risolvere tutte le vostre problematiche.

Foundstone eseguirà un nuovo test delle problematiche accertate nella fase di valutazione e portate a soluzione?
Se desideraste una ripetizione del test, contattate il vostro account manager per aggiungere tale attività nella descrizione del servizio onde assicurare la disponibilità di adeguate risorse.

Quali misure adotta Foundstone per garantire la sicurezza delle nostre informazioni?
Tutte le informazioni del cliente sono crittografate con un programma PGP e conservate in computer portatili nel corso dell'impegno. Ciò avviene in aggiunta alla crittografia dell'intero disco sul supporto fisso contenuto nel computer portatile di ciascun consulente. Inoltre, sono crittografate tutte le comunicazioni di posta elettronica a voi inoltrate nelle quali siano contenute conclusioni o altre informazioni sensibili. Le vulnerabilità vengono discusse soltanto con i membri del vostro personale da voi debitamente designati. Dopo il completamento di un impegno, i portatili sono ripuliti da ogni informazione riguardante il cliente utilizzando strumenti certificati di cancellazione, mentre i rapporti finali vengono archiviati centralmente.

Sono ipotizzabili tempi di inattività durante la fase di test?
Foundstone adotta misure esaurienti allo scopo di assicurare che la valutazione non produca alcun tempo di inattività. Tempi di inattività legati a una valutazione Foundstone sono avvenuti molto raramente, ma tale evenienza non è completamente da scartare. Vi preghiamo di comunicate al project manager qualunque attività che possa richiedere ampie disponibilità; i consulenti Foundstone la terranno nel dovuto conto. Tali attività dovrebbero essere evidenziate nella lista di controllo pre-contrattuale.

È possibile che vengano condotti dei test di infrazione?
Non ci serviamo di alcun tool automatico, exploit o script che sia riconosciuto come capace di determinare un denial of service (DoS), sia quale obiettivo principale che quale effetto collaterale di tale exploit. La maggior parte delle nostre valutazioni dell'applicazione sono svolte mediante processi manuali, e tutte le nostre analisi automatizzate sono effettuate in un modo non intrusivo. Il rischio che analisi non intrusive possano determinare problematiche nei confronti di dispositivi presenti in rete è ridotto al minimo.

Dobbiamo interrompere gli aggiornamenti dell'applicazione mentre Foundstone sta eseguendo il test?
Per eseguire un test approfondito e completo è importante che a Foundstone sia assicurato un ambiente di test stabile. Ciò incrementerà la produttività ed eviterà ogni ritardo imprevisto. Vi sconsigliamo dall'eseguire qualunque modifica all'applicazione mentre è in corso il test. Nota: ciò vale solo per i nostri servizi di sicurezza delle applicazioni e software.

Chiusura

Che cosa ufficializzerà la chiusura del progetto?
Una volta che siano stati approvati il rapporto tecnico e il riepilogo di progetto, ciò segna la fine della valutazione del progetto. Foundstone conduce un incontro di chiusura allo scopo di fornire dettagli circa i risultati e suggerire raccomandazioni, esaminando nel contempo qualunque problematica ancora pendente. Foundstone richiede quindi un rapporto firmato sulle attività svolte nell'impegno (“engagement activity report” o EAR) e un modulo di riscontro, anch'esso sottoscritto.

Se avessi domande da porre dopo l'incontro di chiusura?
Invitiamo i nostri clienti a contattarci per qualunque domanda successiva. Un membro del team Foundstone vi contatterà non appena possibile.

Chi devo contattare per attività successive?
Per ogni richiesta o proposta successiva, contattate l'account manager o il project manager. Tali informazioni di contatto sono fornite nella lista di controllo pre-contrattuale.