Cyber Security

A proposito di questo progetto

Supportiamo i nostri Clienti nella protezione degli asset informativi e nella definizione delle strategie di continuità dei servizi.

 

Abbiamo maturato un ampio bagaglio di competenze nei diversi ambiti della cyber security, e siamo in grado di offrire un supporto strategico nella definizione, nel design e nell’implementazione di processi, strutture e sistemi necessari a migliorare il posizionamento di sicurezza dei nostri partner.

Accompagniamo i nostri clienti nella definizione e nell’applicazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), in linea con le specifiche dello standard ISO/IEC 27001, tramite la gestione continua dei processi e dei controlli necessari per garantire la sicurezza delle informazioni, assicurando al contempo la riservatezza, l’integrità e la disponibilità degli asset informativi. La metodologia proposta da ICTC persegue una strategia di lungo termine, in grado di adattarsi sia ai cambiamenti dell’organizzazione interna dell’azienda, che ai cambiamenti provenienti dall’ambiente circostante, secondo l’approccio del miglioramento continuo “Plan-Do-Check-Act”.

Affianchiamo i nostri clienti verso la predisposizione di un “Sistema Privacy” adeguato alle caratteristiche della realtà di riferimento e manutenibile nel tempo, applicando quanto previsto dal nuovo Regolamento europeo GDPR (General Data Protection Regulation, o Regolamento europeo sulla protezione dei dati – Regolamento UE 2016/679) e dal D.LGS. 196/2003. L’approccio seguito da ICTC implementa il paradigma della Privacy by Design, riconoscendo l’importanza dell’integrazione della protezione dei dati e delle considerazioni relative alla privacy all’interno delle operazioni stesse di un’organizzazione.

Siamo in grado di guidare i nostri clienti nella definizione e nel design delle soluzioni di Disaster Recovery e Business Continuity, grazie alla nostra esperienza nello sviluppo di processi e architetture in grado di massimizzare la resilienza dei servizi.

 

Attualmente affianchiamo i nostri partner, italiani e internazionali, con i seguenti servizi:

  • Assessment di sicurezza e dei relativi processi aziendali
  • Privacy impact assessment e Conformità al regolamento GDPR (General Data Protection Regulation)
  • Design dei processi di Business Continuity

 

Assessment di sicurezza e dei relativi processi aziendali

Principali attività svolte:

  • Analisi dell’ecosistema oggetto dell’assessment, attraverso l’identificazione degli asset informativi e dell’architettura di riferimento, e la definizione delle relazioni tra processi, ruoli e relative responsabilità.
  • Identificazione degli scenari di applicazione dell’analisi di rischio, e successiva formalizzazione dei requisiti e dei vincoli di sicurezza.
  • Design del Sistema di Gestione per la Sicurezza delle Informazioni, secondo quanto previsto dallo standard ISO/IEC 27001 e in accordo alle best practice del mercato di riferimento.
  • Conduzione di Penetration test & Vulnerability Assessment, mediante analisi delle vulnerabilità, delle minacce e dell’impatto del successo di un attacco, e conseguente valutazione dei rischi per la sicurezza degli asset informativi e dei processi correlati.
  • Definizione Remediation, tramite l’identificazione del portafoglio di interventi che consentono di conseguire il profilo di rischio ritenuto accettabile, considerando sia gli interventi tecnologici, sia quelli basati sull’impiego di risorse umane (per i processi a supporto), con il duplice obiettivo di minimizzare i rischi (in modalità preventiva e reattiva) e contenere i costi.
  • Verifica remediation, attraverso un’ulteriore esecuzione di Penetration Test, per la verifica della bontà delle contromisure intraprese e calcolo del rischio residuo.
  • Attività di Auditing, comprensiva della conduzione di audit interni e del supporto durante la visita dell’ente di certificazione.
  • Attività di Governance, mediante la definizione e la conduzione dei processi di governo dell’infrastruttura, la costruzione dell’apparato documentale di sistema e la pianificazione di verifiche periodiche sullo stato di adeguatezza, efficacia e aggiornamento (rispetto alla normativa o a eventuali cambiamenti nell’organizzazione) di policy, infrastrutture e processi.

 

Privacy impact assessment e Conformità al regolamento GDPR

Principali attività svolte:

  • Gap analysis, tramite l’analisi dello stato attuale di conformità al regolamento GDPR e la successiva identificazione e valutazione degli interventi (tecnologici e organizzativi) necessari per garantire la piena ottemperanza alla normativa.
  • Analisi dei rischi, costruita sulla base delle evidenze emerse nella fase di gap analysis e con l’obiettivo di definire un piano di interventi sostenibile che tenga in considerazione sia i costi necessari per l’adeguamento sia i benefici attesi. L’identificazione del livello di rischio è effettuata tramite l’esecuzione di attività di DPIA (Data Protection Impact Assessment), analizzando il livello di sicurezza degli asset ICT utilizzati per l’elaborazione dei dati critici, e valutando l’adeguatezza delle misure di sicurezza adottate, verificandone al contempo la corretta implementazione. Tali valutazioni aiutano a identificare le priorità di adeguamento e a diminuire il rischio di data breach.
  • Applicazione dei diritti previsti dalla normativa, con particolare focus sulla gestione dei consensi al trattamento dei dati personali da parte dell’azienda e sulla successiva definizione degli interventi necessari per garantire agli interessati il rispetto di tutti i diritti previsti dal nuovo regolamento GDPR (diritto all’oblio, diritto di accesso, diritto di rettifica e diritto di limitazione).
  • Analisi dei Trattamenti, ovvero l’identificazione dei dati personali gestiti e delle relative finalità di trattamento, nonché dei processi coinvolti e degli asset ICT con cui tali dati sono processati. Queste attività consentono l’aggiornamento del Registro dei trattamenti e dell’inventario delle risorse ICT.
  • Responsabilizzazione, provvedendo alla nomina di Responsabili, Sub-responsabili, e amministratori di Sistema, nonché alla redazione/revisione delle informative dei moduli di consenso; erogazione di corsi di formazione ai lavoratori.
  • Implementazione, attraverso la predisposizione del “Documento sulla Privacy” aziendale ai sensi del principio di Accountability, e la definizione del piano di implementazione delle misure tecnico-organizzative individuate in fase di gap analysis.
  • Attività di Auditing, tramite la conduzione periodica di audit dei processi gestiti dal Cliente o affidati all’esterno, l’assistenza durante la visita dell’ente di certificazione, e l’erogazione di corsi di formazione a responsabili e lavoratori.
  • Attività di Governance, mediante la definizione e la conduzione dei processi di governo dell’organizzazione, l’aggiornamento della documentazione e il supporto al mantenimento del sistema rispetto ad adeguamenti dovuti a modifiche della norma, dell’organizzazione o degli obiettivi aziendali.

 

 

Design dei processi di Business Continuity e Disaster Recovery

Principali attività svolte:

  • Supporto all’identificazione delle infrastrutture e degli asset critici per l’organizzazione, allo scopo di individuare gli elementi, i flussi e i dati da proteggere o ripristinare in caso di fault o momentanea indisponibilità.
  • Determinazione degli impatti finanziari, operativi e legali di un eventuale fault o a una momentanea indisponibilità delle infrastrutture e degli asset critici, e conseguente definizione di un piano di mitigazione del rischio.
  • Supporto alla definizione di una strategia di recupero appropriata, mediante la definizione di livelli di priorità da assegnare alle infrastrutture e agli asset critici, nonché valutando il trade-off costi/benefici relativo alla protezione degli asset.
  • Definizione delle dipendenze che esistono sia internamente che esternamente per la protezione degli asset e delle infrastrutture critiche, nonché dei dati, allo scopo di ingaggiare i corretti interlocutori durante le attività di fault management.
  • Definizione dei processi di fault management da innescare in caso di acclarata situazione di crisi.
  • Supporto al re-design dei modelli infrastrutturali allo scopo di supportare a livello architetturale i paradigmi di Business Continuity e Disaster Recovery.
Categoria
Esigenza di sicurezza