Quick Security Evaluation
Rilevare rapidamente le debolezze della sicurezza IT aziendale è un fattore chiave
Abbiamo sviluppato un approccio metodologico rapido per soddisfare le necessità dei nostri clienti in materia di sicurezza e di valutazione del sistema di controllo interno. La metodologia combina gli standard internazionali con le più comuni tecniche di controllo sul grado di adeguatezza dei servizi e sistemi di sicurezza.
Il focus che abbiamo pensato per venire incontro alle contingenti necessità aziendali è di effettuare il QSE rivolgendo particolare attenzione alle tematiche di sicurezza relative allo smart working.
Il trend relativo agli attacchi informatici è in continua ascesa e riguarda ogni tipo di azienda. Di solito gli attacchi sfruttano le vulnerabilità tecnologiche e le carenze procedurali e culturali presenti all’interno delle aziende.
1 – Valutazione dei processi aziendali sulla sicurezza delle informazioni
Il servizio prevede la valutazione del livello di governance aziendale sulla sicurezza delle informazioni tramite un rapido screening guidato sugli obiettivi di controllo previsti dallo standard ISO 27001 – Sistema di gestione sulla Sicurezza delle Informazioni.
L’attività è personalizzabile rispetto alle esigenze ed agli obiettivi che il cliente vuole perseguire, secondo tre dimensioni: Aree di controllo, Obiettivi di controllo, Controlli.
2 – Valutazione del livello di affidabilità tecnica dei sistemi tramite Vulnerability Assessment
Il servizio di Vulnerability Assessment è strutturato per innalzare il livello di sicurezza del network aziendale mediante analisi mirate e con l’utilizzo di strumenti software specifici sviluppati da aziende leader di mercato.
L’attività inserita nel QSE prevede analisi automatiche volte ad identificare criticità di sicurezza (porte aperte nei sistemi, configurazioni software non coerenti mancato aggiornamento dei più importanti package dei sistemi operativi, adeguatezza dei servizi, etc.). Quest’attività comprende anche un Vulnerability Assessment del network aziendale, così come farebbe un eventuale individuo malintenzionato.
3 – Valutazione del livello di conformità alla normativa Privacy (GDPR e Codice Privacy)
Il servizio prevede la definizione e realizzazione di una valutazione del livello di conformità in ambito Privacy. In particolare si prevede di verificare i seguenti presidi:
- Verifica dei requisiti sanzionabili del Regolamento UE 2016/679;
- Atti di nomina dei responsabili del trattamento;
- Verifica Registro dei trattamenti;
- Istruzioni impartite alle persone autorizzate;
- Verifica informative e consensi;
- Analisi del portale aziendale per la conformita al dettato normativo;
- Provvedimenti di nomina dei c.d. Amministratori di Sistema (AdS) – Provvedimento del 27 Novembre 2008.
4 – Valutazione del livello di consapevolezza raggiunto dal personale dell’Azienda
Per questo servizio abbiamo sviluppato una survey in cui i dipendenti verranno invitati a compilare un questionario anonimo on-line, distribuito tramite le nostre infrastrutture. Il questionario permetterà di valutare la “vita digitale” dei dipendenti ed il livello di responsabilità nei confronti della sicurezza delle informazioni su supporti digitali. Il questionario potrà essere raggiungibile da ogni device del dipendente (smartphone, portatile, tablet, computer aziendale). L’accesso è anonimo.
I risultati saranno oggetto di apposito report e concorreranno alla valutazione complessiva del security assessment, riportando le valutazioni e la rilevazione degli aspetti critici emersi dal punto di vista della sicurezza delle informazioni.
Il questionario è composto da due macro aree: la prima permetterà di valutare la vita digitale dei dipendenti mentre la seconda permetterà di valutare il livello di responsabilità nei confronti della sicurezza delle informazioni.