Information & Cyber Security

Ispirata ai principi dettati dallo standard ISO/IEC 27001 e dalle Raccomandazioni NIST SP800-53, NIST SP800-171, l’attività di information e Cyber Security permette di creare un sistema di gestione per la sicurezza delle informazioni e avere una chiara visione dell’esposizione Cyber dell’azienda.

Forniamo supporto specialistico nei diversi momenti di gestione della Information e Cyber Security, prendendo in considerazione i diversi aspetti che incidono sulla sicurezza delle informazioni, ovvero:

  1. Gestione delle risorse umane e formazione
  2. Relazioni con i fornitori e le terze parti in generale
  3. Framework documentale a supporto della sicurezza e dei processi in ambito di analisi
  4. Sicurezza fisica
  5. Sicurezza delle informazioni in locale e quando condivise/trasmesse
  6. Sviluppo sicuro di sistemi e applicazioni
  7. Gestione delle vulnerabilità
  8. Gestione dei sistemi e delle reti
  9. Gestione degli incidenti Cyber e più in generale afferenti le informazioni
  10. Gestione della continuità operativa
  11. Conformità alle normative Privacy (GDPR)
In particolare, vi supportiamo su:

1. Assessment As – IS:

– Definizione del contesto e analisi dei documenti per identificare i processi che hanno influenza sulla cyber security e il loro grado di formalizzazione

– Conduzione di una Gap Analysis al fine di analizzare la situazione AS-IS relativa alle attività in essere di cyber security evidenziando eventuali criticità

 

2. Redazione remediation plan:

– Formalizzazione dei processi informativi e degli asset (persone, tecnologie e informazioni) coinvolti in ogni singolo processo al fine di evidenziare eventuali punti di criticità

– Redazione di un piano di miglioramento dei processi di cyber security in essere

 

3. Supporto all’attuazione del piano di miglioramento

– Attività puntuali di supporto al cliente nella valutazione e nell’applicazione delle azioni di miglioramento

 

4. Gap analysis su specifici perimetri o processi aziendali

– Valutazione della sicurezza delle informazioni in perimetro

– Definizione di un piano di adeguamento degli aspetti di information security

5. Valutazione dei servizi in cloud

– Valutazione della sicurezza del cloud provider

– Valutazione della sicurezza dell’implementazione in cloud di servizi a supporto della operatività aziendale e del business

 

6. Valutazione dei servizi basati su sistemi IoT distribuiti

– Analisi dei rischi e valutazione della sicurezza complessiva del servizio basato su IoT

– Valutazione della sicurezza del singolo o gruppi di componenti IoT

 

7. Information & Cyber Security ambienti SCADA e di controllo di processo

– Gap analysis basate sulla NIST 800-82 o su ISO27019

– Redazione del Remediation Plan

– Supporto all’attuazione del piano di miglioramento

 

8. Valutazione e definizione dei requisiti di sicurezza dei fornitori critici

– Supporto nella definizione degli aspetti contrattuali con i fornitori in materia di information security

– Definizione dei requisiti di sicurezza delle informazioni e cyber dei fornitori/partner

– Valutazione delle misure di sicurezza in essere dei fornitori critici per il business aziendale

La Cyber Security è un elemento fondamentale anche per la Protezione delle Infrastrutture Critiche, infatti la Direttiva NIS (UE 2016/1148) e il recepimento Italiano DLgs 65/2018 impongono una serie di obblighi in materia di Cyber Security alle aziende detentrici di Infrastrutture Critiche.

Anche negli Stati Uniti raggiungere un elevato livello di sicurezza delle reti, dei sistemi e delle informazioni relative ad una Infrastruttura Critica è oggi una priorità anche per chi opera, produce o fornisce tecnologie e servizi negli per l’amministrazione USA. Infatti, è obbligatorio per tutte le amministrazioni Federali dotarsi di un piano di Cyber Security (Presidential Executive Order n.13800) e questo viene attuato seguendo il Cyber Security framework definito dal NIST (CSF V.1.1).

La nostra esperienza in progetti a supporto della Protezione delle Infrastrutture Critiche, e nella gestione di informazioni critiche porta GeRiCO ad essere naturale partner di organizzazioni che vogliono affrontare questo impegno su solide basi.

 

Confromità a specifiche normative di settore,

–  Raccomandazioni della Banca d’Italia, della BCE o della FINMA in ambito bancario

– Conformità al GDPR in termini di DATA PROTECTION, ove necessario svolgendo la DPIA