Il Cliente
Cartsan realizza software gestionali per la Medicina del Lavoro da oltre 15 anni.
Il suo gestionale è il più utilizzato in Italia, e agevola il processo di digitalizzazione per la Cartella Sanitaria e di Rischio dei lavoratori, oltre che facilitare la gestione della Sorveglianza Sanitaria prevista per legge.
E' sufficiente dire questo per capire che il loro prodotto tratta dati sensibili e particolari, soggetti a importanti normative nazionali e comunitarie, oltre che a controlli di sicurezza e compliance stringenti.
La Sfida
In un panorama digitale e dove le minacce cybernetiche sono in continuo aumento, ulteriormente alimentate dalle attuali crisi geopolitiche, è fondamentale assicurarsi che i propri dati siano al sicuro da attacchi mirati, e verificare che i propri sistemi siano sicuri e non presentino vulnerabilità.
Miriadi di attaccanti, mossi da diverse motivazioni, sono in costante ricerca di occasioni per causare danni, che possono comportare importanti ripercussioni legali, economiche, e reputazionali.
Cartsan ha scelto l'esperienza e la competenza di Claranet Cyber Security per testare il proprio applicativo e accertare la propria postura di sicurezza.
La Soluzione
Dopo un assessment iniziale condotto assieme, è stato proposto di condurre una attività di penetration testing sulle web application.
Il testing è stato condotto da uno dei nostri team di Claranet Cyber Security, che combina le migliori tecniche manuali ed automatiche con l'esperienza più che ventennale nell'ambito della sicurezza offensiva.
Le metodologie seguite dai nostri team permettono di indagare a fondo sugli applicativi, utilizzando le stesse tecniche che seguirebbe un attore malevolo, documentando passo passo ogni possibile falla, senza danneggiare applicazioni o dati.
Il cliente e il team sono in costante contatto per la durata dell'assessment, e ogni dubbio può essere chiarito all'istante.
Il test è stato condotto in modalità "greybox", ovvero fornendo un accesso non privilegiato al nostro team, per testare scenari di escalation dei privilegi e altri movimenti trasversali.
I Risultati
A seguito del test è stato redatto il report finale contenente tutte le operazioni svolte durante i test, assieme alle vulnerabilità riscontrate, classificate per criticità e con le dovute raccomandazioni per il rimedio oltre che le spiegazioni tecniche.
Cartsan segue delle ottime pratiche di sviluppo sicuro, pertanto non sono state rilevate criticità, ma il test è stato importante per certificare la bontà del lavoro svolto.
Il report, assieme a una presentazione delle attività svolte è stato discusso in un evento di debriefing.
Il Feedback del Cliente
Il cliente si è detto soddisfatto del test condotto dai nostri esperti; grazie ad esso è stato possibile dimostrare la compliance rispetto alle normative delle certificazioni, come quella ISO27001.
“Abbiamo trovato in Claranet, il partner ideale per gestire, mantenere e tenere aggiornata in termini di efficienza e sicurezza la nostra infrastruttura su AWS, son sempre pronti a fornirci supporto e ad offrirci varietà nelle soluzioni, sempre con un occhio di riguardo verso le best practice e la sicurezza.
Grazie al team di Cyber Security di Claranet riusciamo a tenere monitorate e risolvere le eventuali vulnerabilità delle nostre applicazioni, con penetration test annuali e di vario genere, in modo da garantire la giusta affidabilità ai nostri clienti.”
Lorenzo Lambertini – Team Leader e Responsabile di Sviluppo
Conclusioni
Oggi più che mai, sta diventando cruciale per le imprese avere a disposizione degli strumenti per misurare la propria postura di sicurezza.
Claranet Cyber Security offre il penetration testing e molti altri servizi di sicurezza per aiutare le imprese come Cartsan a rimanere sicuri nel tempo.