Risk Analysis & Management
Servizi propedeutici alla realizzazione di un piano di sicurezza integrato, e alla determinazione delle soluzioni più adatte al contesto organizzativo ed operativo Aziendale.
Comprende un’analisi e relativa documentazione del sistema informativo e del trattamento dati con particolare riferimento all’ambito della sicurezza, con copertura dei seguenti aspetti principali:
- Organizzativo: presenza di un Responsabile della sicurezza in Azienda, esistenza di procedure di sicurezza codificate, audit periodici, ecc.
- Formativo: i Dipendenti sono stati adeguatamente formati in materia di sicurezza informatica, hanno sottoscritto un documento di impegno/assunzione responsabilità
- Infrastrutturale: esiste un antivirus centralizzato, c’è un firewall per ogni sede, la struttura della rete è adeguata (sub-net differenti), le VPN sono correttamente configurate, vi è un sistema di monitoraggio intrusioni, ecc.
- Dominio: è implementato in Azienda il concetto di “dominio”, esiste una differenziazione dei privilegi di accesso alle informazioni Aziendali, ciascun Utente è dotato di login e password univoci, tutte le password rispettano i criteri minimi di sicurezza (lunghezza >8, presenza di lettere simboli maiusc/min, ecc.) sono modificate almeno una volta ogni 6 mesi, ecc.
- Software e O.S.: tutti i dispositivi sono aggiornati alle ultime patch di sicurezza, esistono dispositivi su cui è installato software non più in manutenzione/aggiornamento, ecc.
- Mail: è installato un sistema antispam/pishing, esiste una procedura condivisa per la gestione di mail sospette, ecc.
- Web/Internet: il sito web Aziendale è opportunamente protetto, sono previste funzionalità e-commerce, è collegato alla intranet Aziendale, ecc.
- Accessi esterni: ci sono sistemi Aziendali potenzialmente accessibili esternamente all’Azienda, come sono monitorati/protetti, esiste una rete WiFi disponibile ai visitatori, se si è separata dalla rete Aziendale, ecc.
- Smart-Working: ci sono Dipendenti/collaboratori che accedono a uno o più sistemi Aziendali da Casa, se si con quali risorse (pc, linea, ecc.)
- Home Banking: tutte le transazioni bancarie sono realizzate tramite autenticazione sicura a due fattori, dopo aver effettuato una transazione bancaria si provvede a controllare esito e saldo attraverso diverso dispositivo, ecc.
- Dispositivi mobili: gli smartphone dati in assegnazione ai Dipendenti contengono informazioni sensibili, sono protetti, il contenuto può essere cancellato da remoto in caso di furto, le stesse considerazioni sono applicabili ad eventuali pc portatili
- Conclusioni: Valutazione complessiva del grado di sicurezza del sistema informativo Aziendale, rispondenza dello stesso alle principali best-practice tecniche e normative di riferimento (GDPR, ecc.), identificazione di eventuali aree di macro-criticità e relative raccomandazioni.
Sono disponibili attività di assesment personalizzate o di approfondimento riguardo a temi specifici, esempio e-commerce, sistemi IoT, sicurezza in ambito logistico, ecc., i quali potranno essere richiesti in qualità di servizi on-demand (vedi sezione di riferimento).