Sicurezza delle informazioni

Sicurezza delle informazioni

StudioAG fornisce i suoi servizi di consulenza con un approccio mirante esclusivamente al miglioramento dei livelli di sicurezza dei suoi clienti, operando indipendentemente da ogni interesse commerciale nella rivendita di prodotti (approccio vendor-neutral). I punti di riferimento sono le linee guida e gli standard riconosciuti a livello internazionale in questo settore. In molti casi partecipiamo attivamente allo sviluppo degli standard e alla ricerca indipendente nel campo della sicurezza informativa e della cyber security.

Gestione della sicurezza (GRC – Governance, Risk, Compliance)

La gestione dei rischi è ormai un approccio consolidato alla gestione aziendale, a tutti i livelli. Anche la sicurezza del patrimonio informativo aziendale va affrontata in quest’ottica: sarebbe miope pensare che misure tecniche o peggio il mero acquisto di una serie di prodotti possa garantire un livello di sicurezza adeguato nel tempo e l’adeguamento ai numerosi standard di mercato e alle leggi rilevanti. La gestione del rischio è un processo complesso che parte dalla valutazione dei rischi presenti per arrivare a modellare la loro mitigazione e il controllo nel tempo.

Possiamo affiancare aziende, P.A. e organizzazioni nelle progettazione e gestione di un sistema di Security Governance in grado di affrontare i rischi e le minacce interne ed esterne, in conformità alle migliori pratiche, agli standard internazionali e ovviamente alle norme vigenti (compliance), in particolare privacy, antiriciclaggio e responsabilità amministrativa degli enti (D. 231).

Auditing e certificazione ISO 27001

Effettuiamo analisi della conformità agli standard internazionali ISO in materia di sicurezza informatica, valutazione dei passi da intraprendere per allinearsi agli standard, progettazione di un nuovo Sistema di Gestione della Sicurezza delle Informazioni ed eventualmente ottenere la certificazione ISO (gap analysis), inoltre audit su sistemi ISO27001 già attivi.

Security Assessment

La valutazione globale dello stato della sicurezza informativa all’interno dell’organizzazione fornisce ai responsabili un quadro completo del livello di sicurezza attuale, sia dal punto di vista strettamente tecnico che organizzativo. E’ un processo relativamente complesso che, se realizzato nella sua completezza, si compone delle fasi seguenti:

1. Raccolta delle informazioni. Effettuata sia per mezzo di interviste con i referenti aziendali che con strumenti informatici, mira a mappare in dettaglio il sistema informativo da valutare, la struttura organizzativa che lo controlla e lo utilizza. Per un assessment aziendale normalmente si procede con una metodologia di tipo “white box”, in cui l’analista ha a disposizione tutte le informazioni sul sistema.

2. Valutazione delle vulnerabilità (vulnerability assessment). Questa fase del processo ha lo scopo di identificare le vulnerabilità tecniche (punti deboli che possono essere sfruttati da un attaccante) delle risorse censite precedentemente. Vengono usati diversi tool per verificare la presenza di vulnerabilità note, ma il risultato viene comunque in seguito valutato manualmente dal consulente, in modo da valutare e priorizzare i punti deboli dei sistemi in modo coerente con la loro architettura.

3. Audit dell’organizzazione e della compliance. Con questo processo si mappano i ruoli e le funzioni dell’organizzazione, con particolare riguardo alla gestione e al flusso delle informazioni. Inoltre si confrontano le procedure in essere con le normative cogenti (Privacy, D.Lgs. 231, Antiriciclaggio…) e i modelli di gestione.

4. Test di penetrazione. I punti deboli dei sistemi rilevati precedentemente – o un loro sottoinsieme significativo – vengono sfruttati (in modo non invasivo) al fine di rilevarne la rischiosità. Il penetration test può essere effettuato a vari livelli di dettaglio e adattato alle esigenze di ogni singolo cliente.

5. Documentazione dei risultati. Tutta l’attività viene documentata e presentata ai referenti aziendali.

Test di penetrazione e valutazione delle vulnerabilità

Sono attività specifiche che mirano a valutare tecnicamente il livello di sicurezza dell’infrastruttura ICT. Possono essere attivate da sole o nel contesto di una valutazione complessiva della sicurezza. Il risultato sono dei rapporti dettagliati sui risultati ottenuti.

 
StudioAG fornisce consulenza in materia di sicurezza delle informazioni, servizi di penetration test e analisi delle vulnerabilità nelle seguenti aree geografiche in Italia:
– Veneto: Vicenza,Verona, Padova, Belluno, Treviso, Venezia, Rovigo
– Trentino-Alto Adige: Trento, Bolzano
– Friuli-Venezia Giulia: Pordenone, Udine, Gorizia, Trieste
– Lombardia: Brescia, Bergamo, Lodi, Mantova, Cremona, Milano, Varese, Como, Lecco, Monza, Pavia, Sondrio
– Liguria: Genova, La Spezia, Savona, Imperia
– Emilia-Romagna: Bologna, Ferrara, Ravenna, Forlì-Cesena, Rimini, Modena, Reggio Emilia, Piacenza, Parma
– Toscana: Firenze, Grosseto, Siena, Arezzo, Prato, Pistoia, Livorno, Pisa
– Marche: Pesaro, Urbino, Macerata, Ancona
– Lazio: Roma, Viterbo, Latina, Rieti
– Campania: Napoli, Avellino, Salerno, Caserta
– Puglia: Bari, Foggia
– Sicilia: Palermo, Catania, Messina, Ragusa

Commenti chiusi