Download Slides


ethical-hacking-principi-etici

Il Codice Etico dell’Ethical Hacking

La caratteristica che distingue i “white hats” dai “black hats” sta proprio nelle diverse finalità perseguite dalle due tipologie di soggetti.

Nel caso dei white hats, essi sono interessati a prevenire possibili intrusioni e danneggiamenti ai sistemi da parte degli attaccanti.

Nell’attività di penetration testing, essi sono quindi chiamati a rispettare delle precise norme di comportamento, che costituiscono il codice etico professionale che li caratterizza.

Gli hacker etici hanno accesso alle informazioni sensibili del cliente, e nell’attività di penetration testing possono interfacciarsi con sistemi di rilevanza critica.

È pertanto necessario che mantengano un comportamento rispettoso delle regole e dei principi del codice etico per guadagnarsi la fiducia del cliente.

Necessità di un Codice Etico

Nell’attività di penetration testing, gli hacker etici sono chiamati a rispettare delle precise norme di comportamento, che ne costituiscono il codice etico.

Gli hacker etici hanno infatti accesso a:

  • informazioni sensibili del cliente;
  • sistemi di rilevanza critica;
Pertanto, gli hacker etici sono tenuti a mantenere un comportamento etico, rispettoso della fiducia accordata dal cliente, e finalizzato a scongiurare l’insorgenza di danni e comportamenti fraudolenti

Rispetto della riservatezza

Una delle principali regole etiche, anche a valenza legale, stabilisce l’obbligo di preservare la riservatezza delle informazioni sensibili e riservate acquisite nel corso delle attività di penetration testing.

Il mancato rispetto dell’obbligo di riservatezza può comportare responsabilità per i danni causati, oltre ad essere motivo di recesso dell’incarico conferito.

Tra le informazioni sensibili soggette ad obbligo di riservatezza possiamo includere:

  • informazioni relative ai dipendenti;
  • informazioni relative ai clienti e fornitori;
  • proprietà intellettuale e know how;
  • informazioni sulla configurazione dei sistemi;
  • credenziali di accesso riservate;
  • informazioni sulle configurazioni di rete;

L’elenco non puó considerarsi esaustivo, in quanto ogni settore specifico di operatività del cliente può prevedere diversi livelli di riservatezza.

In generale, tutte le informazioni la cui diffusione non autorizzata può recare danno al cliente e ai suoi partners, devono essere protette con il massimo impegno.

Trasparenza e responsabilità nelle comunicazioni

Gli hacker etici devono assumere un atteggiamento responsabile nella comunicazione delle informazioni di cui vengono a conoscenza nello svolgimento delle attività di pentesting.

Nel caso in cui gli hacker etici scoprissero delle vulnerabilità o falle di sicurezza, essi devono comunicarlo esclusivamente ai soggetti autorizzati dal cliente, senza renderle di dominio pubblico.

Eventuali conflitti di interesse devono essere comunicati in forma trasparente al cliente già in sede di assunzione dell’incarico.

Prevenire danni ad apparati e sistemi

Nell’espletamento dell’incarico di penetration testing, è necessario fare tutto il possibile per prevenire danni ad apparati e sistemi, oltre che ai dati da essi gestiti.

Nel caso di danni accidentali, è necessario comunicare tempestivamente l’evento a chi di dovere, al fine di consentirne il ripristino.