ICT Security
La Business Unit “ICT Security” di SERNET S.p.A. offre servizi di consulenza sulle principali tematiche della sicurezza delle informazioni e supporto alle Aziende nel percorso di adeguamento a norme, regolamenti e Best Practices in ambito Information Security, Cyber-Security e Data Protection, anche in ottica di certificazione dei sistemi di gestione aziendali secondo i principali Standard Internazionali in tema.
La Business Unit “ICT Security” di SERNET S.p.A. offre, inoltre, servizi di consulenza alle Aziende per affrontare la problematica della Business Continuity al fine di:
- Migliorarne la resilienza e la capacità di risposta ad eventi disastrosi che potrebbero pregiudicare la continuità dei processi operativi di business o mettere a rischio la sopravvivenza dell’Azienda;
- Definire ruoli, responsabilità, processi e strumenti per la gestione di tali eventi al fine di minimizzarne l’impatto sui processi “Business Critical” e garantirne l’erogazione, limitando eventuali danni economici, normativi, operativi e reputazionali.
Metodo Sernet
Attraverso un processo che prevede l’analisi approfondita delle minacce a cui l’Azienda è esposta, la valutazione delle misure di sicurezza (tecniche ed organizzative) adottate, l’identificazione delle azioni correttive necessarie a mitigare eventuali rischi e lo svolgimento di Audit per verificare la sicurezza dei processi di Business, Sernet S.p.A. affianca le Aziende nel percorso di adeguamento alle norme, ai regolamenti e alle Best Practices nell’ambito della sicurezza delle informazioni e della protezione dei dati personali accompagnandole, passo dopo passo, fino all’ottenimento della certificazione.
Obbiettivo della Business Unit è assicurare l’implementazione in Azienda di processi ICT efficienti e sicuri, in linea con gli Standard Internazionali di maggiore rilevanza e con le esigenze del Business, coerenti con le valutazioni di rischio effettuate e conformi alle normative vigenti.
I servizi offerti da Sernet S.p.A. in ambito ICT Security riguardano:
• Risk Assessment: analisi dei rischi a cui l’Azienda è esposta utilizzando come riferimento i principali Standard in materia di sicurezza delle informazioni e protezione dei dati personali (es. ISO 27001, ISO 27701, ecc.), con focalizzazione sui principali aspetti di Cyber-Security;
• Security Advisory: supporto specialistico sulle diverse tematiche di sicurezza delle informazioni e degli Asset aziendali, in particolar modo in occasione di progetti di digitalizzazione dei processi di Business – che se non correttamente gestiti possono introdurre nuovi elementi di rischio per la sicurezza del Business – e per la realizzazione di sistemi di monitoraggio degli eventi di sicurezza (es. SOC);
• Cloud Security: la diffusione del Cloud Computing impone, per i soggetti che ne fanno uso, l’adozione di specifiche misure di sicurezza. SERNET S.p.A. aiuta le Aziende a garantire la conformità a norme specifiche (es. ISO 27017, ISO 27018, ecc.), preparandole alle visite periodiche di sorveglianza;
• Sistemi di gestione certificabili: implementazione di sistemi di gestione secondo gli Standard Internazionali citati precedentemente (es. ISO 27001, ISO 27701, ISO 22301, ecc.) e supporto all’Azienda nello svolgimento di tutte le attività necessarie per la certificazione degli stessi;
• Adeguamento al Cyber-Security Act: adeguamento del processo di Business a norme di recente introduzione (es. Regolamento UE n. 881/2019, meglio conosciuto come “Cyber-Security Act”) ed eventualmente alla certificazione, una volta disponibile il relativo schema.
Oltre ai servizi elencati, la Business Unit ICT Security di SERNET S.p.A. affronta il tema della Business Continuity attraverso un approccio strutturato, che consente di migliorare le performances dell’organizzazione limitando eventuali perdite, soddisfacendo i requisiti imposti da necessità di business e obblighi normativi e contrattuali, tutelare la solidità dell’Azienda e migliorarne sostanzialmente l’immagine verso i Clienti in termini di affidabilità.
Tale approccio, che si basa sullo Standard Internazionale ISO 22301 (norma internazionale relativa alla gestione della continuità operativa che definisce i requisiti necessari a pianificare ed attuare un sistema di gestione finalizzato a gestire eventi destabilizzanti per un’organizzazione) si compone delle seguenti attività principali:
• Analisi del contesto: individuazione dei soggetti che nutrono verso l’Azienda delle legittime aspettative di continuità ed individuare i vincoli normativi e contrattuali a cui l’Azienda è sottoposta;
• Individuazione Processi e servizi critici: identificazione, con il coinvolgimento dei membri dell’organizzazione e del management, dei processi e i servizi critici per il Business, che devono essere analizzati al fine di individuare opportune strategie per garantire la continuità operativa degli stessi, coerentemente con gli obiettivi di Business;
• Analisi d’impatto: definizione degli scenari di rischio da cui l’Azienda intende proteggersi, dei potenziali impatti sui processi e servizi critici individuati nel caso in cui tali scenari si realizzassero, degli obiettivi di ripristino (es. RTO, RPO, MTPD, MBCO, ecc.) e delle risorse necessarie per la ripartenza;
• Analisi del rischio: svolgimento di analisi del rischio mirate, al fine di individuare eventuali criticità connesse alle risorse necessarie per l’erogazione dei processi critici (sedi, risorse umane, sistemi informatici e servizi in Outsourcing), per valutare l’adeguatezza delle misure di Business Continuity adottate dall’Azienda;
• Strategie e soluzioni: definizione di strategie e soluzioni per il ripristino dei processi “Business Critical”, per ciascuno degli scenari di rischio considerati;
• Business Continuity Plan: formalizzazione del Business Continuity Plan (BCP), il cui obiettivo è fornire al personale le indicazioni necessarie per rispondere ad un eventuale disastro e ripristinare i processi o i servizi critici in tempi certi, minimizzando gli impatti a carico dell’Azienda.
• Disaster Recovery Plan: formalizzazione di un Disaster Recovery Plan (DRP) contenente le misure tecnologiche, logistiche ed organizzative atte a ripristinare sistemi, dati e infrastrutture;
• Formazione e test: addestramento dei membri dell’organizzazione (compresi Partner e Fornitori, se necessario), test e aggiornamento periodico dei piani aziendali.
L’offerta di Sernet S.p.A. si estende al supporto nel processo di certificazione secondo lo Standard Internazionale ISO 22301, che stabilisce i requisiti necessari affinché il sistema di gestione della business continuity aziendale aiuti a proteggere e ridurre la probabilità di incidenti e assicurare la ripresa ai processi e servizi critici, in condizioni avverse.
Metodo Sernet
Attraverso un processo che prevede l’analisi approfondita delle minacce a cui l’Azienda è esposta, la valutazione delle misure di sicurezza (tecniche ed organizzative) adottate, l’identificazione delle azioni correttive necessarie a mitigare eventuali rischi e lo svolgimento di Audit per verificare la sicurezza dei processi di Business, Sernet S.p.A. affianca le Aziende nel percorso di adeguamento alle norme, ai regolamenti e alle Best Practices nell’ambito della sicurezza delle informazioni e della protezione dei dati personali accompagnandole, passo dopo passo, fino all’ottenimento della certificazione.
Obbiettivo della Business Unit è assicurare l’implementazione in Azienda di processi ICT efficienti e sicuri, in linea con gli Standard Internazionali di maggiore rilevanza e con le esigenze del Business, coerenti con le valutazioni di rischio effettuate e conformi alle normative vigenti.
I servizi offerti da Sernet S.p.A. in ambito ICT Security riguardano:
• Risk Assessment: analisi dei rischi a cui l’Azienda è esposta utilizzando come riferimento i principali Standard in materia di sicurezza delle informazioni e protezione dei dati personali (es. ISO 27001, ISO 27701, ecc.), con focalizzazione sui principali aspetti di Cyber-Security;
• Security Advisory: supporto specialistico sulle diverse tematiche di sicurezza delle informazioni e degli Asset aziendali, in particolar modo in occasione di progetti di digitalizzazione dei processi di Business – che se non correttamente gestiti possono introdurre nuovi elementi di rischio per la sicurezza del Business – e per la realizzazione di sistemi di monitoraggio degli eventi di sicurezza (es. SOC);
• Cloud Security: la diffusione del Cloud Computing impone, per i soggetti che ne fanno uso, l’adozione di specifiche misure di sicurezza. SERNET S.p.A. aiuta le Aziende a garantire la conformità a norme specifiche (es. ISO 27017, ISO 27018, ecc.), preparandole alle visite periodiche di sorveglianza;
• Sistemi di gestione certificabili: implementazione di sistemi di gestione secondo gli Standard Internazionali citati precedentemente (es. ISO 27001, ISO 27701, ISO 22301, ecc.) e supporto all’Azienda nello svolgimento di tutte le attività necessarie per la certificazione degli stessi;
• Adeguamento al Cyber-Security Act: adeguamento del processo di Business a norme di recente introduzione (es. Regolamento UE n. 881/2019, meglio conosciuto come “Cyber-Security Act”) ed eventualmente alla certificazione, una volta disponibile il relativo schema.
Oltre ai servizi elencati, la Business Unit ICT Security di SERNET S.p.A. affronta il tema della Business Continuity attraverso un approccio strutturato, che consente di migliorare le performances dell’organizzazione limitando eventuali perdite, soddisfacendo i requisiti imposti da necessità di business e obblighi normativi e contrattuali, tutelare la solidità dell’Azienda e migliorarne sostanzialmente l’immagine verso i Clienti in termini di affidabilità.
Tale approccio, che si basa sullo Standard Internazionale ISO 22301 (norma internazionale relativa alla gestione della continuità operativa che definisce i requisiti necessari a pianificare ed attuare un sistema di gestione finalizzato a gestire eventi destabilizzanti per un’organizzazione) si compone delle seguenti attività principali:
• Analisi del contesto: individuazione dei soggetti che nutrono verso l’Azienda delle legittime aspettative di continuità ed individuare i vincoli normativi e contrattuali a cui l’Azienda è sottoposta;
• Individuazione Processi e servizi critici: identificazione, con il coinvolgimento dei membri dell’organizzazione e del management, dei processi e i servizi critici per il Business, che devono essere analizzati al fine di individuare opportune strategie per garantire la continuità operativa degli stessi, coerentemente con gli obiettivi di Business;
• Analisi d’impatto: definizione degli scenari di rischio da cui l’Azienda intende proteggersi, dei potenziali impatti sui processi e servizi critici individuati nel caso in cui tali scenari si realizzassero, degli obiettivi di ripristino (es. RTO, RPO, MTPD, MBCO, ecc.) e delle risorse necessarie per la ripartenza;
• Analisi del rischio: svolgimento di analisi del rischio mirate, al fine di individuare eventuali criticità connesse alle risorse necessarie per l’erogazione dei processi critici (sedi, risorse umane, sistemi informatici e servizi in Outsourcing), per valutare l’adeguatezza delle misure di Business Continuity adottate dall’Azienda;
• Strategie e soluzioni: definizione di strategie e soluzioni per il ripristino dei processi “Business Critical”, per ciascuno degli scenari di rischio considerati;
• Business Continuity Plan: formalizzazione del Business Continuity Plan (BCP), il cui obiettivo è fornire al personale le indicazioni necessarie per rispondere ad un eventuale disastro e ripristinare i processi o i servizi critici in tempi certi, minimizzando gli impatti a carico dell’Azienda.
• Disaster Recovery Plan: formalizzazione di un Disaster Recovery Plan (DRP) contenente le misure tecnologiche, logistiche ed organizzative atte a ripristinare sistemi, dati e infrastrutture;
• Formazione e test: addestramento dei membri dell’organizzazione (compresi Partner e Fornitori, se necessario), test e aggiornamento periodico dei piani aziendali.
L’offerta di Sernet S.p.A. si estende al supporto nel processo di certificazione secondo lo Standard Internazionale ISO 22301, che stabilisce i requisiti necessari affinché il sistema di gestione della business continuity aziendale aiuti a proteggere e ridurre la probabilità di incidenti e assicurare la ripresa ai processi e servizi critici, in condizioni avverse.
Competenze
Il Team di consulenti che opera nell’ambito della Business Unit “ICT Security” possiede una pluriennale, qualificata e profonda esperienza nelle aree Information Security, Cyber-Security, Data Protection e Business Continuity, maturata attraverso numerosi progetti realizzati per Aziende di varie dimensioni, in Italia e a livello internazionale.
Le competenze in possesso dei consulenti SERNET S.p.A. riguardano i principali Standard Internazionali e Framework normativi in tema, le principali metodologie per l’analisi dei rischi relativi alla sicurezza delle informazioni, la protezione dei dati personali e la continuità del processi di Business, l’implementazione di architetture di sicurezza, la rilevazione delle vulnerabilità connesse ai sistemi informativi attraverso lo svolgimento di Vulnerability Assessment e Penetration Test, l’implementazione Security Operations Center, le metodologie per lo sviluppo di software sicuro in ottica Application Security, ecc.
I consulenti SERNET S.p.A. sono qualificati Lead Auditor ISO 27001, Lead Auditor ISO 22301, CISA.