Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
Il tragico conflitto tra Russia e Ucraina è anche un conflitto cyber che ha fatto aumentare il cyber rischio rispetto al quale il CSIRT ha dato indicazioni riassunte in questa infografica in stile legal design.
E' delle ultime ore la notizia che Anonymous, il movimento decentralizzato di hacktivismo, ha preso di mira i siti governativi e le TV russe quale parte del devastante conflitto tra Russia ed Ucraina che è attualmente in corso. Tuttavia, esiste un cyber rischio anche per enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative).
Per agevolare le aziende in questa situazione di difficoltà le esperte di legal design dello studio legale DLA Piper, Deborah Paracchini ed Enila Elezi, hanno riassunto in questa infografica le indicazioni fornite dal CSRIT, il Computer Security Incident Response Team - Italia.
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile.
https://www.vincenzocalabro.it
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Giulio Coraggio
Il tragico conflitto tra Russia e Ucraina è anche un conflitto cyber che ha fatto aumentare il cyber rischio rispetto al quale il CSIRT ha dato indicazioni riassunte in questa infografica in stile legal design.
E' delle ultime ore la notizia che Anonymous, il movimento decentralizzato di hacktivismo, ha preso di mira i siti governativi e le TV russe quale parte del devastante conflitto tra Russia ed Ucraina che è attualmente in corso. Tuttavia, esiste un cyber rischio anche per enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative).
Per agevolare le aziende in questa situazione di difficoltà le esperte di legal design dello studio legale DLA Piper, Deborah Paracchini ed Enila Elezi, hanno riassunto in questa infografica le indicazioni fornite dal CSRIT, il Computer Security Incident Response Team - Italia.
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile.
https://www.vincenzocalabro.it
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Valutazione del rischio GDPR (r01 gen 19)William Zisa
Modello in formato Word .doc disponibile su www.riskhub.it/modelli
Valutazione del rischio GDPR - Normativa sulla protezione dei dati personali - effettuata con RiskHub
Similar to Go2Tec - Security assessment e normative - Riccardo Barghini (20)
Silverpop per aiutare gli operatori di marketing a interagire con i clienti in modo sempre più personalizzato.
Se sei interessato a questa presentazione: info@afbnetgroup.it
Un sito eCommerce per incrementare le vendite: il caso SCAIAFB Net
Secondo posto PREMIO INNOVAZIONE ICT LAZIO, Smau Roma 2012
Area Tematica:A11 Marketing Digitale & e-Commerce
Se vuoi ricevere la presentazione, invia un e-mail a info@afbnetgroup.it
Web, da necessità ad opportunità: un incontro dedicatao a tutte le realtà commerciali impegnate sul web che desiderano conoscere strategie, nuove tendenze e sviluppi futuri del web marketing e della comunicazione online a fini commerciali. Se vuoi ricevere la presentazione, invia un e-mail a info@afbnetgroup.it
2. Agenda
Valutazione livello di sicurezza
Leggi e Normative attuali
Documento di Security Assessment
Benefici Aziendali
Che cosa propone il gruppo AFBNet
Sicurezza e protezione dei dati aziendali
3. Complessità e problematiche di valutazione
Una valutazione complessiva delle stato di sicurezza
aziendale è complesso.
Necessita di strumenti validi di valutazione dei
risultati ottenuti
I risultati dovranno essere poi aggregati e produrre
un report leggibile che restituisca una precisa visione
e valutazione dello stato della sicurezza
dell’infrastruttura attualeT
5. Leggi e Normative
A differenza degli anni passati la tutela dei dati adesso
ha normative specifiche e legislazione. Non più Best
Practices ….
La legge italiana prevede la realizzazione di specifici
documenti di valutazione della sicurezza IT aziendale
che spazia dal trattamento e tutela dei dati, al backup
, all’accesso e alle possibili metodologie di ripristino.
Inoltre, esistono specifiche normative internazionali da
rispettare in particolari ambiti. In questo caso di parla
di compliance esempio : PCI, HIPAA, SANs CAG, FDCC
…
6. Leggi e Normative
Elemento comune di ogni Compliance e/o Normativa
Industriale ( esempio settori farmaceutici ) consiste
nella realizzazione di un documento di analisi, riepilogo
e valutazione.
Documento di valutazione Risk
Documento di Valutazione
di Risk Assessment
7. Definizione del Valore di Rischi
In base a questa visione si può definire un fattore di rischio
nell’ambito di ogni sezione e sottosezione dell’assessment; il fattore
di rischio può avere una valutazione qualitativa o
quantitativa, tenendo presente che in ogni caso è costituito dalla
formula:
Rischio = Vulnerabilità X Impatto X
Probabilità
dove “vulnerabilità” è un coefficiente che misura quanto il
sistema sia sensibile ad un determinato evento, “impatto” misura
le conseguenze sul business del verificarsi di un determinato
evento e “probabilità” è la misura, appunto, della probabilità che
un tale evento si verifichi.
8. Risk Assessment
Un piano di Risk Assessment passa dalla valutazione di
10 sezioni.
La redazione di un documento in normativa ISO 27001
che specifica una serie di attività, controlli, fattori di
rischio e indicazioni
9. Ambiti di un documento di Risk Assessment
Politiche di sicurezza
Organizzazione della sicurezza
Classificazione e controllo degli Assett
Sicurezza del Personale
Sicurezza Fisica e Ambientale
Gestione delle comunicazioni e delle operazioni
Controllo degli accessi
Installazione dei sistemi e manutenzione
Gestione della Business Continuity
Adeguatezza
10. Ambiti di un documento di Risk Assessment
Politiche di sicurezza
Organizzazione della sicurezza
Classificazione e controllo degli Assett
Sicurezza del Personale
Sicurezza Fisica e Ambientale
Gestione delle comunicazioni e delle operazioni
Controllo degli accessi
Installazione dei sistemi e manutenzione
Gestione della Business Continuity
Adeguatezza
11. Come viene effettuata l’analisi
L’analisi viene eseguita mediante l’utilizzo di Tools
specifici alla scansione, cattura e analisi dell’intera
infrastruttura IT.
Come scansione interna con e senza credenziali
Come Penetration Test da Internet
Interviste specifiche a personale aziendale IT e non
Sono utilizzati strumenti specifici come
Nessus, LanGuard, Microsoft Security Analyzer.
14. Redazione del documento di Risk Assessment
Una volta catturati tutti i log sono aggregati per :
Secondo le discipline individuate dal documento ISO
di Risk Assessment
Per tipologia
Per valore di rischio
Possono essere successivamente realizzati allegati
tecnici specifici a tipologie di Compliance (
PCI,SOX, HIPAA ……
17. Benefici Aziendali
Che cosa permette di ottenere questo documento .
1. Colmare il Gap di comunicazione IT e Direzione
2. Parlare di problematiche che influenzano il business
senza scendere in aspetti solo tecnici.
3. Focalizzarsi su problematiche specifiche che
comportano un rischio aziendale.
4. Stabilire obiettivi aziendali a prescindere dagli
strumenti IT da utilizzare.
18. Che cosa propone il Gruppo AFBNet Group
AFBNet Group propone una serie di soluzioni sia tecniche
che consulenziali :
Realizzazione del piano di scansione dell’infrastruttura
IT tramite strumenti sia Commerciali che Open Source.
Consulenza tecnica e legale (opzionale tramite
consulente esterno ).
Utilizzo degli strumenti evoluti per la mitigazione ed
eliminazione delle vulnerabilità.
Sfruttare al meglio l’infrastruttura esistente per renderla
più sicura e adeguata alle normative.