Salvaguardiare il proprio patrimonio informativo e conseguire un accettabile livello di copertura dei rischi a cui le informazioni aziendali sono soggette, è una attività complessa che richiede diversi profili professionali dotati di competenze trasversali per coprire tutti gli aspetti organizzativi, tecnologici, normativi e legali correlati con la sicurezza delle informazioni.

I nostri servizi di consulenza per la sicurezza informatica fanno riferimento agli standard ISO-IEC 27001 e ISO-IEC 17799, calati nella specifica realtà del cliente, e sono basati sull’incontro delle competenze necessarie:

• la competenza tecnologica
• la competenza organizzativa
• la competenza legale

Per implementare un ISMS (Information Security Management System) in conformità agli standard ISO-IEC 27001 e ISO-IEC 17799-2005, sono necessarie le seguenti attività:

• Individuazione dei processi erogati e degli asset  informativi (dati, hardware e software) utilizzati.
• Classificazione delle informazioni in funzione dell’importanza che assumono per l’azienda.
• Analisi del Rischio ed individuazione delle misure di sicurezza da adottare.
• Revisione dei processi per ottimizzare gli interventi di Information Security da realizzare.
• Individuazione contromisure e selezione dei controlli per la riduzione dei rischi.
• Sviluppo ed implementazione di strumenti norme e procedure di sicurezza organizzativa.
• Gestione dei documenti che riguardanti la sicurezza informatica in conformità agli standard ISO-IEC 27001 e ISO-IEC 17799.

La realizzazione di un ISMS consente un approccio adeguato al processo di gestione e controllo della  sicurezza dei dati.

La nostra offerta di servizi  di consulenza per la sicurezza informatica  comprende:

• Adeguamento alla Normativa Privacy (D. Lgs. N.196/2003): predisposizione degli adempimenti, identificazione delle misure minime da attuare, stesura del DPS.
• Analisi dei Rischi: individuazione della esposizione ai rischi nei principali processi operativi e definizione delle misure di sicurezza, di tipo fisico, logico, organizzativo, procedurale da adottare.
• Definizione delle Security Policy: per governare le problematiche relative alla sicurezza informatica, dai livelli più alti dell’organizzazione aziendale (livello strategico)  fino all’operatività quotidiana.
• Formulazione del Piano di Sicurezza: per il soddisfacimento dei security requirements individuati nelle Security Policy aziendali, in termini di natura degli interventi, priorità, tempi e costi di implementazione.
• Redazione delle Procedure Operative: per la regolamentazione di tutte le fasi necessarie per la corretta implementazione e gestione delle contromisure del Piano di Sicurezza
• Vulnerability Assessment: verifica e rilevamento di vulnerabilità della rete e dei sistemi aziendali  mediante l’utilizzo di tools automatizzati specifici, integrate da verifiche “manuali” delle segnalazioni di vulnerabilità.
• Penetration Testing: verifica del grado di efficacia, efficienza e robustezza dei sistemi critici  basate su piani di test e strategie di attacco per verificarne le reali possibilità di abuso e/o utilizzo improprio da parte di eventuali agenti di minaccia intenzionali.
• Risk Assessment: per ottenere un quadro esaustivo ed attendibile circa i rischi effettivamente presenti su un determinato sistema target, in base ai parametri dei piani di sicurezza esistenti.
• Security audit:  verifiche sull'adeguatezza ed applicabilità delle politiche di sicurezza esistenti, sulla conformità dei processi gestionali alle politiche di sicurezza e sulla efficacia, efficienza e robustezza delle contromisure tecnologiche ed organizzative adottate per la copertura del rischi.