Servizi di analisi del rischio
L’analisi del rischio è un’attività vitale per ogni organizzazione e va effettuata periodicamente. L’obiettivo è valutare la probabilità e l’impatto con cui determinate minacce possono ripercuotersi negativamente sulla business continuity dell’organizzazione e, talvolta, sugli interessati (clienti, fornitori, utenti, ecc.). Le valutazioni tengono conto delle misure adottate per contrastare l’impatto delle minacce.
In funzione delle esigenze del cliente, possiamo utilizzare modelli diversi per condurre l’analisi dei rischi. Ad esempio, dipende se l’analisi dei rischi è parte di una valutazione di impatto privacy oppure se è un’analisi finalizzata a tutelare la business continuity.
Security assessment mediante ethical hacking
Misurare la postura di sicurezza mediante un Security Assessment è indispensabile per qualsiasi organizzazione; equivale a fare l’analisi del sangue per fare prevenzione. I nostri esperti, attraverso attività di Ethical hacking, in particolare con Vulnerability Assessment (VA) e Penetration Test (PT), verificheranno se nella vostra infrastruttura sono presenti delle criticità che possono esporre l’organizzazione a pericoli quali, ad esempio, interruzioni della produzione, fermo di servizi, perdita di dati, compromissione della reputazione.
Esaudiamo anche le richieste del Piano triennale per l’informatica di AgID, nelle quali si impone alle pubbliche amministrazioni di attuare piani di risk assessment e di ricerca delle vulnerabilità.
Come interveniamo?
I nostri professionisti vestono i panni degli hacker testando le misure di sicurezza utilizzate dai clienti con gli stessi strumenti degli attaccanti. I risultati di questi security assessment si sviluppano in una documentazione scritta in italiano che riporta i risultati dei test (epurati da falsi positivi) nella quale si spiega come si possono sfruttare le vulnerabilità e suggerimenti su come risolverle. Questi executive summary vengono sempre spiegati al committente e resi comprensibili anche al management.
Diffidate dai report criptici prodotti da soluzioni commerciali che non dicono nulla sull’infrastruttura e soprattutto non fanno capire come agire a chi compete l’applicazione delle remediation.
Inoltre, se i VA e PT non sono sufficienti, possiamo anche attivare servizi di Cyber Threat Intelligence per trasformare la postura dell’organizzazione da difensiva a proattiva, rilevando eventuali attacchi sin dalla loro preparazione e consentendo quindi una reazione tempestiva.
Per saperne di più contattaci.
Servizi di supporto al Responsabile della transazione digitale (RTD)
Nelle pubbliche amministrazioni la figura del Responsabile per la Transazione Digitale (RTD) si occupa di gestire l’ammodernamento dei servizi digitali erogati e il loro consolidamento nel lungo periodo. Nello specifico i compiti che l’RTD dovrà svolgere sono indicati all’art. 17 del CAD (Codice dell’Amministrazione Digitale). Per poter raggiungere tali obiettivi l’RTD deve poter disporre di risorse specializzate che lo possano supportare nei diversi ambiti di competenza.
Per aiutare le pubbliche amministrazioni in tal senso, mettiamo a disposizione un team multidisciplinare di professionisti altamente qualificati nello specifico dominio degli Enti Locali, della Sanità e della Scuola per costituire il team di supporto all’RTD.
Consulenza per la compliance allo Standard ISO/IEC 27001:2022 ISO/IEC 27701:2019
Accompagniamo i clienti durante tutte le fasi di predisposizione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Che si tratti di ISO/IEC 27001, o ISO/IEC 27701, selezioniamo i necessari controlli progettiamo la soluzione organizzativa che meglio risponde alle caratteristiche specifiche di ciascun cliente, mantenendo il focus sulle sue esigenze, le priorità e le risorse. Il risultato sarà un Sistema di Gestione che avrà la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi. Dopo aver implementato tutti i controlli richiesti, possiamo anche accompagnare l’organizzazione nelle fasi di certificazione alla norma ISO/IEC 27001. Si tratta di un processo complesso ma verrà reso meno difficoltoso grazie all’esperienza pluriennale dei nostri professionisti
Per saperne di più contattaci.
Servizi per la predisposizione e attuazione di piani di Business-Continuity
I piani di Business Continuity e Disaster Recovery (BC/DR) sono di fondamentale importanza in ogni organizzazione. Lo sanno bene tutte quelle che hanno già raggiunto la certificazione ISO/IEC 27001.
Polimatica Progetti garantisce un qualificato supporto per la pianificazione, l’organizzazione e la verifica dei piani di contingency al fine di renderli attuabili, efficaci ed economicamente convenienti.
Vale anche per le amministrazioni pubbliche?
Certo che sì! Il decreto legislativo 82 del 2005 (CAD) prevede che le amministrazioni pubbliche si dotino di un piano di continuità operativa dei servizi erogati mediante strumenti informatici e di un piano di Disaster Recovery per stabilire le misure tecniche ed organizzative atte a riattivare i servizi in siti alternativi a quelli di produzione.
Importante: i piani di Business Continuity e Disaster Recovery devono essere periodicamente verificati, sia per quanto riguarda i contenuti sia per quanto riguarda la realizzazione pratica, senza che vi sia alcun significativo impatto sulle normali attività aziendali.
Per saperne di più contattaci.
Check-Up sulle Policy di sicurezza (generali o specifiche per singoli servizi)
Le Policy e le procedure devono tenere conto della Governance aziendale e della Compliance alle leggi e ai diversi sistemi di gestione (se presenti), come pure di eventuali Policy dettate dall’headquarter nazionale o internazionale. Tuttavia, non sempre nelle aziende sono presenti competenze trasversali che permettano di predisporre procedure efficaci ed efficienti. Anche per tale motivo, talvolta, le Security Policy e le procedure predisposte dalle aziende sono il risultato di progetti diversi e non coordinati che nel tempo non aderiscono più alle politiche aziendali o agli standard di sicurezza.
I nostri professionisti sono in grado di esaminare tali documenti verificandone, ad esempio, la coerenza e copertura rispetto ai controlli degli ICT Standards, l’applicabilità rispetto al Business Aziendale, la coerenza ed omogeneità tra le diverse Policies/Procedure presenti, nonché predisponendo un piano affinché i medesimi documenti e procedure siano conosciuti e resi operativi da tutto il personale interessato.
Consulenza per la definizione e verifica delle norme contrattuali in relazione alla sicurezza
Il titolare del trattamento è un’impresa, ente o organizzazione che decide spesso di esternalizzare alcune delle sue attività correnti, affidando uno o più trattamenti di dati personali a soggetti terzi.
Il processo di esternalizzazione prevede la stipula di un contratto di servizio con le terze parti (partner commerciali, fornitori di servizi in outsourcing, …). Tale contratto deve necessariamente contenere specifiche clausole contrattuali o addendum, tra le quali la designazione dell’outsourcer come Responsabile del Trattamento ai sensi dell’art.28 del GDPR. Risulta quindi indispensabile un riesame dei contratti esistenti, analizzando e ridefinendo, se necessario, le reciproche responsabilità e gli obblighi. In particolare, all’interno dei contratti vecchi e nuovi, dovrà essere riposta la dovuta attenzione nello stabilire in maniera precisa il livello di servizio richiesto e nel definire le misure di sicurezza adeguate alla politica del Titolare per garantire l’integrità, la disponibilità, la riservatezza e la resilienza dei dati il cui trattamento viene affidato alla società terza.
Per saperne di più contattaci.