Physical Security Assessment

La sicurezza non riguarda solo i sistemi digitali. Anche le sedi fisiche possono diventare un punto di ingresso per un attacco: accessi non controllati, badge duplicabili, postazioni lasciate incustodite, comportamenti del personale.

Con ilPhysical Security Assessment valutiamo sul campo la resilienza degli ambienti aziendali, simulando scenari realistici di intrusione e bypass dei controlli. È un’attività che va svolta di persona, direttamente nei vostri spazi, per ottenere un quadro chiaro e oggettivo del livello di protezione fisica e organizzativa.

Richiedi informazioni

Modalità Operative

Selezioniamo la modalità più adatta al profilo di rischio e alla maturità dell’organizzazione. Entrambe le modalità sono svolte on‑site, con team specializzato, pianificazione delle finestre operative e piani di sicurezza per evitare impatti sull’attività.

Standard - Security Assessment Operativo

Attività pianificata e visibile, svolta assieme ai referenti interni. Prevede sopralluoghi tecnici, walkthrough delle aree, interviste a personale chiave e verifica delle policy esistenti. L’obiettivo è individuare vulnerabilità fisiche, carenze procedurali e punti di miglioramento immediati.

Perimetro, accessi, reception e controllo visitatori
Badge, serrature, tornelli, casseforti e key management
Data room, armadi rack, UPS, aree critiche e vie di fuga
Videosorveglianza, allarmi, sensoristica e procedure di escalation
Verifica della conformità a policy e normative applicabili (es. privacy sugli impianti)

Advanced - Simulazione Covert Access

Simulazione realistica e senza preavviso al personale operativo, con tentativo di accesso ad aree sensibili o private dell'azienda, per misurare detection e response. In base alle regole d’ingaggio, possono essere inclusi tentativi di accesso non autorizzato, impersonificazione (tecnico, fornitore, corriere), drop test di dispositivi compromessi, osservazioni comportamentali e rilevazione di routine vulnerabili.

Obiettivi della simulazione

Misurare sensibilità e consapevolezza del personale, identificare comportamenti a rischio, verificare l’efficacia delle policy e delle misure fisiche/organizzative, e promuovere una cultura di vigilanza attiva e corretta segnalazione delle anomalie.

Cosa Verifichiamo e Output

Aree di verifica

Perimetro & accessi: varchi, barriere, illuminazione, aree di carico/scarico, parcheggi.
Gestione identità fisiche: badge/visitatori, escorting, consegna/ritiro dispositivi e chiavi.
Aree critiche: data center, sale CED, archivi, uffici executive e postazioni sensibili.
Impianti di sicurezza: CCTV, allarmi, anti‑intrusione, monitoraggio e tempi di risposta.
Procedure & awareness: policy applicate, drill, piani d’emergenza e comportamento del personale.
Scenari di attacco contestualizzati: percorsi plausibili rispetto alla postura di sicurezza aziendale (es. tailgating, dumpster diving, accesso a materiale riservato, manipolazione di asset).

Output

Report con mappa dei punti deboli, evidenze fotografiche, percorsi d’intrusione ricostruiti (standard/covert), matrice rischio/impatto e roadmap di remediation (quick wins e interventi strutturali). Debrief finale con Q&A e raccomandazioni su policy, procedure e formazione.

Note etiche e di conformità

Tutte le attività sono autorizzate, pianificate e documentate. Rispettiamo privacy e normative locali (es. cartellonistica, gestione immagini, trattamento dati) e limitiamo l’impatto sulle operations grazie a finestre concordate e piani di sicurezza dedicati.

Come Lavoriamo

Scoping & Regole d’Ingaggio

Allineamento con il management su obiettivi, sedi e aree critiche. Definizione delle ROE (permessi, limiti, escalation), rispetto di policy e normativa, finestre operative per attività on‑site senza impatti non previsti.

Intelligence & Document Review

Raccolta planimetrie, procedure, piani di sicurezza, mappe dei varchi e dei flussi. Identificazione dei single points of failure fisici e delle dipendenze operative (reception, contractor, logistica, orari, turni).

Sopralluogo & Walkthrough

Standard: walkthrough con i referenti, verifica varchi, badge/tornelli/biometria, CCTV, allarmi, gestione visitatori e separazione aree critiche.
Covert: osservazione discreta di routine e percorsi, individuazione di pattern e opportunità d’ingresso.

Policy vs Pratica

Confronto tra regole formali e comportamento reale: accoglienza, gestione badge/ospiti, accompagnamento, clean desk, custodia asset e prototipi. Evidenza di pratiche rischiose (tailgating, propping, condivisione credenziali).

Esercizi Controllati

Standard: test pianificati e visibili (verifica procedure, controlli, risposte a incidenti simulati).
Covert: tentativi di accesso non autorizzato, impersonificazione, drop test di dispositivi, percorso fino all’obiettivo concordato, nel pieno rispetto delle ROE.

Rilevazione & Reazione

Misuriamo la capacità di detection (CCTV, allarmi, vigilanza, personale) e i tempi/qualità della response: escalation, verifica identità, contenimento, registrazione evidenze. Individuazione dei colli di bottiglia.

Consolidamento Evidenze & Valutazione del Rischio

Raccolta fotografica e documentale (ove consentito), mappa dei varchi e dei percorsi, correlazione con la postura di sicurezza e con gli scenari di minaccia plausibili per il tuo contesto.

Report, Roadmap & Debrief

Consegna del report executive + tecnico con gap tra policy e pratica, risultati degli esercizi (Standard/Covert), scenari d’attacco contestualizzati e roadmap di remediation (quick wins, interventi strutturali, awareness). Debrief con Q&A e definizione dei prossimi passi.