Modelli di Security e Governance
La sicurezza informatica è un tema articolato che coinvolge aspetti diversi di natura tecnologica, operativa e di processo, organizzativa, ecc. Inoltre, essa, al pari del paradigma della qualità, non può essere percepita come risultato statico, ma bensì come sistema virtuoso in costante perfezionamento, al fine di poter rispondere alle sfide poste dall’evoluzione IT/ICT e dei mutamenti del mercato.
In questo senso, Cyber4 si propone come Partner di elezione, in grado con la propria Struttura, di accompagnare nel tempo l’Azienda Cliente a rispondere al meglio alle sfide poste dalla rivoluzione digitale, ed a valutare adeguatamente, minimizzare e gestire il rischio sicurezza, le relative implicazioni, e la rispondenza ai requisiti normativi e di certificazione previsti.
Servizi disponibili
In particolare, sono disponibili servizi di consulenza e supporto per la definizione del “piano di sicurezza” Aziendale, valutazione del rischio di Impresa, ed in merito alla “compliancy” rispetto alle seguenti direttive:
- GDPR L’art. 35, comma 7 del GDPR definisce e richiede il Data Protection Impact Assessment (DPIA). Il DPIA è un processo finalizzato alla “valutazione dei rischi per i diritti e le libertà degli interessati”. Pertanto, risulta di particolare importanza la determinazione di profili di minaccia: attori, intenti, motivazioni, tecniche, ecc.;
- Direttiva Europea NIS La direttiva NIS, con la sua recente attuazione nazionale, è destinata “sia agli operatori di servizi essenziali che ai fornitori di servizi digitali in modo da coprire tutti i relativi rischi e incidenti”, e si traduce in uno sforzo comune degli stati membri dell’Unione Europea, al fine di garantire un alto e comune livello di sicurezza dei sistemi informativi e delle reti. Essa definisce la necessità di misure di sicurezza adeguate e di una cooperazione sempre più stretta per lo scambio di informazioni tra cui: caratterizzazione di minacce e incidenti, e pratiche di gestione degli stessi;
- ISO/IEC 27001 È ormai lo standard più diffuso per la gestione della sicurezza delle informazioni all’interno di un’azienda pubblica o privata. Richiede l’implementazione di contromisure organizzative e tecniche che devono essere riviste e migliorate ciclicamente considerando gli aspetti dinamici che caratterizzano la vita di un’azienda e le sempre maggiori minacce che insistono sui suoi sistemi informativi. La clausola 6.1.2 richiede espressamente la valutazione del rischio di sicurezza;
- Common Criteria – ISO/IEC 15408 Lo standard è diffuso in numerosi schemi di certificazione di prodotti/sistemi IT e offre gli strumenti per specificare, per un determinato contesto operativo, le possibili minacce, le funzioni di sicurezza che le contrastano e le garanzie che queste siano correttamente implementate. Lo standard richiede che si definisca il Problema della Sicurezza descrivendo le minacce in termini di agenti di minaccia, azioni degli agenti beni soggetti a tali azioni;
- COBIT È un framework finalizzato alla governance dell’Information Technology per supportare i processi di business aziendali. Nella sua applicazione Cyber Security diventa fondamentale l’analisi del rischio di sicurezza, la definizione e categorizzazione delle fonti di informazione e la raccolta delle stesse: attacchi, brecce, incidenti e statistiche sugli stessi.