Una volta noto l’intero parco di applicazioni, è possibile procedere a una verifica. L’obiettivo di questa fase è di evidenziare le vulnerabilità delle applicazioni a livello aziendale, al fine di adottare le misure e i correttivi necessari e adeguati.
In genere, le verifiche seguono una procedura che si articola nelle quattro fasi descritte di seguito.
- Perimetro
In questa fase vengono definiti tutti i supporti applicativi (ovvero il perimetro informatico) da valutare in sede di verifica. Vengono presi in considerazione i processi e le linee di attività dell’organizzazione.
- Classificazione dei rischi
La seconda fase consiste nell’identificare i punti deboli del sistema e nerl classificarli in base al livello di rischio e alla priorità d’intervento.
- Valutazioni e test
Questa fase comprende una serie di operazioni di valutazione, test (ad es. test di intrusione) e controllo che evidenziano le vulnerabilità e i punti deboli o non conformi (ad es. applicazioni obsolete) del sistema informatico.
- Risultati e contromisure
Infine, viene fornita una sintesi dei risultati. Il rapporto include un elenco di provvedimenti da applicare per correggere le vulnerabilità e i malfunzionamenti rilevati.
È importante ricordare che la verifica non è fine a sé stessa, ma fornisce informazioni utili per definire un processo di messa in sicurezza e lavori correttivi da approntare.