Le competenze globali e il quadro delle competenze per un mondo digitale

Test di penetrazione PENT

Testare l'efficacia dei controlli di sicurezza emulando gli strumenti e le tecniche dei probabili aggressori.

Note di orientamento

I test di penetrazione possono essere un'attività autonoma o un aspetto dei test di accettazione prima di un'approvazione al funzionamento.

Le attività includono, in modo non limitativo:

  • hacking etico (utilizzare gli stessi strumenti e le stesse tecniche di un avversario per sfruttare in sicurezza le debolezze della sicurezza)
  • dimostrare come un avversario può sovvertire gli obiettivi di sicurezza o raggiungere specifici obiettivi di contraddittorio
  • valutare l'efficacia delle difese attuali/pianificate o dei controlli di mitigazione
  • assicurare la protezione di reti, sistemi e applicazioni
  • valutare la forza e l'efficacia delle implementazioni crittografiche
  • identificare informazioni sui rischi aziendali di varie vulnerabilità
  • test di rete, infrastruttura, applicazioni web e mobili per individuare i punti deboli
  • controllo dei livelli e delle configurazioni delle patch
  • ingegneria sociale.

Comprendere i livelli di responsabilità di questa abilità

Dove i livelli inferiori non sono definiti...
  • I compiti e le responsabilità specifiche non sono definiti perché l'abilità richiede un livello più elevato di autonomia, influenza e complessità nel processo decisionale rispetto a quanto generalmente previsto a questi livelli. È possibile utilizzare le istruzioni di essenza per comprendere le responsabilità generiche associate a questi livelli.
Dove i livelli più alti non sono definiti...
  • Le responsabilità e le responsabilità non sono definite perché questi livelli superiori implicano una leadership strategica e un'influenza organizzativa più ampia che va oltre l'ambito di questa specifica competenza. Vedi le dichiarazioni di essenza.

Sviluppare competenze e dimostrare le responsabilità relative a questa abilità

I livelli definiti mostrano la progressione incrementale delle competenze e delle responsabilità.

Dove i livelli inferiori non sono definiti...

Puoi sviluppare le tue conoscenze e sostenere gli altri che hanno responsabilità in questo settore:

  • Apprendimento dei concetti e dei principi chiave relativi a questa abilità e al suo impatto sul tuo ruolo
  • Esecuzione di abilità correlate (vedere le competenze SFIA correlate)
  • Supportare altri che svolgono compiti e attività di livello superiore
Dove i livelli più alti non sono definiti...
  • È possibile progredire sviluppando competenze correlate che sono più adatte ai livelli più elevati di leadership organizzativa.

Mostra/nascondi descrizioni e livelli extra.

Livelli di responsabilità per questa abilità

2 3 4 5 6

Test di penetrazione: Livello 2

Livello 2 - Assistere: Essenza del livello: fornisce assistenza agli altri, lavora sotto supervisione ordinaria e usa la sua discrezione per affrontare i problemi di routine. Apprende attivamente attraverso la formazione e le esperienze sul posto di lavoro.

Fornisce assistenza per le attività di test di penetrazione sotto supervisione di routine. Supporta l'esecuzione di test di penetrazione standard su sistemi, reti e applicazioni. Aiuta a documentare e segnalare i risultati dei test, le scoperte e i potenziali rischi per la sicurezza.

Test di penetrazione: Livello 3

Livello 3 - Applicare: Essenza del livello: esegue varie attività, a volte complesse e non di routine, utilizzando metodi e procedure standard. Lavora seguendo indicazioni generali, esercita la discrezione e gestisce il proprio lavoro entro le scadenze. Migliora in modo proattivo le abilità e l'impatto sul posto di lavoro.

Segue approcci standard per progettare ed eseguire attività di test di penetrazione. Ricerca e indaga sulle tecniche di attacco e consiglia modi per difendersi dalle stesse. Analizza e riferisce su attività di test di penetrazione, risultati, problemi e rischi.

Test di penetrazione: Livello 4

Livello 4 - Abilitare: Essenza del livello: svolge diverse attività complesse, supporta e guida gli altri, delega i compiti quando appropriato, lavora in modo autonomo sotto direzione generale e contribuisce con le competenze per raggiungere gli obiettivi del team.

Seleziona gli approcci di test appropriato utilizzando un'analisi tecnica approfondita dei rischi e delle vulnerabilità tipiche. Produce script di test, materiali e pacchetti di test e testa reti, sistemi o applicazioni nuovi ed esistenti. Fornisce consulenza sui test di penetrazione per supportare gli altri. Registra e analizza azioni e risultati e modifica i test se necessario. Fornisce rapporti su progresso, anomalie, rischi e problematiche associate al progetto complessivo.

Test di penetrazione: Livello 5

Livello 5 - Assicurare, consigliare: Essenza del livello: fornisce una guida autorevole nel suo campo e lavora in un'ampia direzione. Responsabile della fornitura di risultati di lavoro significativi, dall'analisi all'esecuzione fino alla valutazione.

Pianifica e guida i test di penetrazione all'interno di un'area definita di attività aziendale. Fornisce informazioni oggettive sull'esistenza di vulnerabilità, sull'efficacia delle difese e sulla mitigazione dei controlli. Si assume la responsabilità dell'integrità delle attività di test e coordina l'esecuzione di queste attività. Fornisce consigli e indicazioni autorevoli su tutti gli aspetti dei test di penetrazione. Identifica le esigenze e applica nuovi approcci per i test di penetrazione. Contribuisce agli standard di test di sicurezza.

Test di penetrazione: Livello 6

Livello 6 - Avviare, influenzare: Essenza del livello: ha un'influenza organizzativa significativa, prende decisioni di alto livello, modella le policy, dimostra leadership, promuove la collaborazione organizzativa e accetta la responsabilità in aree chiave.

Determina la policy di test di penetrazione e gestisce i processi di supporto. Gestisce tutte le attività di test di penetrazione all'interno dell'organizzazione. Valuta e consiglia sulla praticabilità dei test di alternative di processo. Stabilisce la capacità di miglioramento e invenzione continui nei test di penetrazione e guida l'applicazione di nuovi approcci. Valuta le capacità di sviluppo e test dei fornitori. Gestisce le relazioni con i clienti rispetto ai test di penetrazione.