ICT Standards & Security Governance
ovvero
Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei dati
Consulenza per la compliance allo Standard BS ISO/IEC 27001:2013
Accompagniamo i nostri Clienti durante tutte le fasi di predisposizione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Quest’ultimo potrà essere integrato con il Sistema di Gestione della Protezione dei Dati Personali e, come richiesto dal GDPR, avrà “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
Avendo come standard di riferimento le direttive della normativa ISO/IEC 27001 e ISO/IEC 27701, selezioniamo i necessari controlli e progettiamo la soluzione organizzativa che meglio risponde alle caratteristiche specifiche di ciascun cliente, tenendo sempre in mente le sue esigenze, le priorità e le risorse.
Consulenza per ottenere la certificazione ISO/IEC 27001:2013
Polimatica Progetti assiste i propri clienti durante tutte le fasi di certificazione del Sistema di Gestione di Sicurezza delle Informazioni grazie all’esperienza e alla competenza comprovata anche dalle diverse certificazioni in ambito Sicurezza e Governance acquisite dai professionisti del nostro team. Individuiamo gli standard richiesti dal processo di certificazione in qualità di consulenti autorizzati ISO 27001:2013 e supportiamo il cliente nelle fasi di mantenimento.
Consulenza per la definizione e verifica delle norme contrattuali in relazione alla sicurezza
Il titolare del trattamento è un’impresa, ente o organizzazione che decide spesso di esternalizzare alcune delle sue attività correnti, affidando uno o più trattamenti di dati personali a soggetti terzi.
Il processo di esternalizzazione prevede la stipula di un contratto di servizio con le terze parti (partner commerciali, fornitori di servizi in outsourcing, …). Tale contratto deve necessariamente contenere specifiche clausole contrattuali o addendum, tra le quali la designazione dell’outsourcer come Responsabile del Trattamento ai sensi dell’art.28 del GDPR.
Risulta quindi indispensabile un riesame dei contratti esistenti, analizzando e ridefinendo, se necessario, le reciproche responsabilità e gli obblighi. In particolare, all’interno dei contratti vecchi e nuovi, particolare attenzione dovrà essere riposta nello stabilire in maniera precisa il livello di servizio richiesto e nel definire le misure di sicurezza adeguate a garantire l’integrità, la disponibilità, la riservatezza e la resilienza dei dati il cui trattamento viene affidato alla società terza.
Consulenza organizzativa per la predisposizione e attuazione del piano di Business-Continuity
I piani di Business Continuity e Disaster Recovery sono di fondamentale importanza in ogni organizzazione pubblica o privata; Polimatica Progetti garantisce un qualificato supporto per la pianificazione, l’organizzazione e la verifica dei piani di contingency al fine di renderli attuabili, efficaci ed economicamente convenienti.
Check-Up sulle Policy di sicurezza (generali o specifiche per singoli servizi) e relativo grado di diffusione ed applicazione
Le Policy e le procedure devono tenere conto della Governance aziendale e della Compliance alle leggi e ai diversi sistemi di gestione certificati (se presenti) come pure – nelle organizzazioni più complesse – di Policy dettate dall’headquarter nazionale o internazionale. Non sempre nelle aziende sono presenti competenze trasversali che permettano di predisporre procedure efficaci ed efficienti. Anche per tale motivo, talvolta, le Policy, le Procedure e la documentazione predisposte dalle aziende per regolamentare sia le attività di Security governance che quelle operative all’interno dei vari settori e livelli aziendali, sono il risultato di diversi progetti portati avanti nel tempo senza un approccio centralizzato e senza una visione tesa a rendere tali documenti conformi ad uno o più Standard di sicurezza.
Polimatica Progetti è in grado di esaminare tali documenti verificandone (a titolo esemplificativo e non esaustivo) la coerenza e copertura rispetto ai controlli degli ICT Standards, l’applicabilità rispetto al Business Aziendale, la coerenza ed omogeneità tra le diverse Policies/Procedure presenti, nonché predisponendo un piano affinché i medesimi documenti e procedure siano conosciuti e resi operativi da tutto il personale interessato, siano create nuove Policies e/o Procedure laddove mancanti e siano aggiornate quelle esistenti.
Check-Up organizzativo per verifica efficacia del Business-Continuity Plan
Al fine di essere realmente fruibili all’azienda, i piani di Business Continuity e Disaster Recovery, devono essere periodicamente verificati, sia per quanto riguarda i contenuti sia per quanto riguarda la realizzazione pratica, senza che vi sia alcun significativo impatto sulle normali attività aziendali.
Polimatica Progetti accompagna il cliente nella stesura di una check list di verifica al fine di determinare il livello di preparazione ed aggiornamento dell’azienda per poter far fronte ad un determinato evento, non solo prendendo in considerazione i sistemi informativi e le facilities, ma anche la logistica e l’organizzazione del personale con particolare attenzione ai settori critici aziendali.
Check-Up sulla Software License Compliance
La gestione delle licenze software è un’attività che deve essere gestita in modo preciso al fine di dimostrare, in caso di necessità, il rispetto della legge sulla tutela del diritto d’autore. Un approccio ordinato a questo problema può risultare difficile, specialmente in quelle aziende dove l’hardware è numeroso o cambia destinazione con tempi tali che non è possibile tenere sotto controllo. Polimatica Progetti è in grado di impostare una metodologia che tenga in dovuta considerazione le esigenze dell’azienda e gli obblighi di legge.
Il Security Assessment
Il Servizio di Security Assessment è uno dei componenti essenziali di audit della sicurezza informatica aziendale per rispettare gli ICT Standards e la Security governance. Si compone di attività utili ad individuare il grado di vulnerabilità dell’ambito informatico analizzato, a verificare la correttezza tecnico/architetturale della rete informatica e a stabilire se fattori esterni o interni possano compromettere la sicurezza delle informazioni aziendali.
Vulnerability Assessment
La prima fase comprende il rilevamento dei servizi erogati, il fingerprinting dei sistemi operativi adottati e l’analisi di tutte le vulnerabilità note (applicative, sistemistiche, di apparati, di configurazione, ecc..). In questa fase vengono utilizzati:
- uno strumento di vulnerability assessment di mercato, al fine di verificare e controllare la presenza di eventuali vulnerabilità presenti nel database dello strumento, che è continuatamente aggiornato;
- strumenti open-source per una verifica manuale al fine di simulare attacchi in modo dinamico come farebbe un attaccante, evitando allo stesso tempo i falsi positivi e fornendo risultati più precisi.
La fase immediatamente successiva prevede la predisposizione di una relazione in cui verranno riportate le risultanze del lavoro effettuato e per illustrare al Cliente il reale grado di sicurezza dei target.
Tali risultati saranno, inoltre, discussi e presentati in un incontro finale affinché ogni informazione sia ben compresa dal Cliente.