Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

In today’s digital era, organizations increasingly depend on complex ICT infrastructures, making robust cybersecurity practices essential. This thesis is based on the work done by me, first as a security intern and then as a consultant, at the Italian consulting firm Business Integration Partners (BIP) S.p.A., with the goal of evaluating and improving the vulnerability management process of a large Italian bank by adapting and integrating the SANS Vulnerability Management Maturity Model into its operational framework. Excluding from the calculation those vulnerabilities that turned out to be false positives, the implementation of the project resulted in the resolution of 66% of the total volume of real vulnerabilities and a resolution rate of almost 94% among those classified as High risk, proving that a mature and better-defined approach to vulnerability management can indeed improve the overall security posture of a company. In fact, positive outcomes were observed despite the limitations of the project in terms of: information accessibility, such as missing asset ownership information; integration between different platforms, such as incoherence of data between different internal platforms; and reliance on third-party cooperation, such as the lack of cooperation of some employees of the external supplier, slowing some remediation activities. The work underlying this thesis is an example on how the systematic application of a tailored vulnerability management approach not only strengthens the cybersecurity posture but also provides quantitatively measurable operational benefits.

Nell'odierna era digitale, le organizzazioni dipendono sempre più da complesse infrastrutture ICT, rendendo essenziali solide pratiche di sicurezza informatica. Questa tesi è basata sul lavoro svolto da me, inizialmente nel ruolo di stagista e successivamente come consulente di sicurezza informatica, nella società italiana di consulenza Business Integration Partners (BIP) S.p.A., con l'obiettivo di valutare e migliorare il processo di gestione delle vulnerabilità di una grande banca italiana adattando e integrando il SANS Vulnerability Management Maturity Model nel suo framework operativo. Escludendo dal calcolo le vulnerabilità che si sono rivelate essere dei falsi positivi, l'implementazione del progetto ha portato alla risoluzione del 66% del volume totale delle vulnerabilità realmente esistenti e ad un tasso di risoluzione di quasi il 94% di quelle classificate ad alto rischio, dimostrando che un approccio più definito e maturo alla gestione delle vulnerabilità può effettivamente migliorare la sicurezza complessiva di un'azienda. In effetti, i risultati positivi sono stati osservati nonostante le limitazioni del progetto in termini di: accessibilità alle informazioni, come l'iniziale mancanza di informazioni riguardanti l'ownership degli asset; integrazione tra piattaforme diverse, ad esempio dovute a problemi di incongruenza dei dati presenti nelle diverse piattaforme interne; e dipendenza dalla collaborazione di terzi, nel caso di alcuni eventi di mancanza di collaborazione da parte di alcuni dipendenti di un'azienda fornitrice, che ha portato ad un rallentamento delle attività di risoluzione. Il lavoro alla base di questa tesi è un esempio di come un approccio sistematico alla gestione delle vulnerabilità non solo rafforzi la sicurezza di un'azienda, ma fornisca anche benefici operativi quantitativamente misurabili.

Assessing and improving the vulnerability management process in a major italian bank

Folini, Alessandro
2023/2024

Abstract

In today’s digital era, organizations increasingly depend on complex ICT infrastructures, making robust cybersecurity practices essential. This thesis is based on the work done by me, first as a security intern and then as a consultant, at the Italian consulting firm Business Integration Partners (BIP) S.p.A., with the goal of evaluating and improving the vulnerability management process of a large Italian bank by adapting and integrating the SANS Vulnerability Management Maturity Model into its operational framework. Excluding from the calculation those vulnerabilities that turned out to be false positives, the implementation of the project resulted in the resolution of 66% of the total volume of real vulnerabilities and a resolution rate of almost 94% among those classified as High risk, proving that a mature and better-defined approach to vulnerability management can indeed improve the overall security posture of a company. In fact, positive outcomes were observed despite the limitations of the project in terms of: information accessibility, such as missing asset ownership information; integration between different platforms, such as incoherence of data between different internal platforms; and reliance on third-party cooperation, such as the lack of cooperation of some employees of the external supplier, slowing some remediation activities. The work underlying this thesis is an example on how the systematic application of a tailored vulnerability management approach not only strengthens the cybersecurity posture but also provides quantitatively measurable operational benefits.
ING - Scuola di Ingegneria Industriale e dell'Informazione
3-apr-2025
2023/2024
Nell'odierna era digitale, le organizzazioni dipendono sempre più da complesse infrastrutture ICT, rendendo essenziali solide pratiche di sicurezza informatica. Questa tesi è basata sul lavoro svolto da me, inizialmente nel ruolo di stagista e successivamente come consulente di sicurezza informatica, nella società italiana di consulenza Business Integration Partners (BIP) S.p.A., con l'obiettivo di valutare e migliorare il processo di gestione delle vulnerabilità di una grande banca italiana adattando e integrando il SANS Vulnerability Management Maturity Model nel suo framework operativo. Escludendo dal calcolo le vulnerabilità che si sono rivelate essere dei falsi positivi, l'implementazione del progetto ha portato alla risoluzione del 66% del volume totale delle vulnerabilità realmente esistenti e ad un tasso di risoluzione di quasi il 94% di quelle classificate ad alto rischio, dimostrando che un approccio più definito e maturo alla gestione delle vulnerabilità può effettivamente migliorare la sicurezza complessiva di un'azienda. In effetti, i risultati positivi sono stati osservati nonostante le limitazioni del progetto in termini di: accessibilità alle informazioni, come l'iniziale mancanza di informazioni riguardanti l'ownership degli asset; integrazione tra piattaforme diverse, ad esempio dovute a problemi di incongruenza dei dati presenti nelle diverse piattaforme interne; e dipendenza dalla collaborazione di terzi, nel caso di alcuni eventi di mancanza di collaborazione da parte di alcuni dipendenti di un'azienda fornitrice, che ha portato ad un rallentamento delle attività di risoluzione. Il lavoro alla base di questa tesi è un esempio di come un approccio sistematico alla gestione delle vulnerabilità non solo rafforzi la sicurezza di un'azienda, ma fornisca anche benefici operativi quantitativamente misurabili.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2025_04_Folini.pdf

accessibile in internet per tutti

Descrizione: Thesis
Dimensione 1.75 MB
Formato Adobe PDF
Visualizza/Apri
1.75 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/234595