some image

services

 
 
 

 
 
 

– IL TEMA

I mercati globali, l’utilizzo delle nuove tecnologie e della rete sono elementi vitali per le aziende, ma soprattutto sono agenti di trasformazione del modo di fare business che hanno indotto anche significativi cambiamenti al concetto di sicurezza. In particolare, per la centralità del ruolo assunto dalle informazioni e dalle tecnologie che sono diventate (insieme alle persone, alle infrastrutture e ai servizi primari) elementi fondamentali per la realizzazione della missione aziendale e vanno valutati, nella salvaguardia del business stesso, come fattispecie singole e nelle loro relazioni e correlazioni

 
 

– L’APPROCCIO

L’approccio di Enigma Defense alla valutazione si concretizza in un modello in cui l’individuazione e l’analisi della singola vulnerabilità (e misura correttiva), se pur importante, deve essere affiancata ad una valutazione globale del livello di sicurezza in cui le tecnologie di sicurezza IT (quali l’antivirus, il firewall, …), concorrono solo in parte alla soluzione in quanto componenti discreti di un sistema complesso disegnato per supportare l’affidabilità e l’integrità dei processi di business. Questo significa in primo luogo identificare quali siano gli asset realmente critici per il business, dai beni immobili alle persone, dalle infrastrutture ai servizi e ai dati, considerando anche i beni immateriali quindi il patrimonio intellettuale, l’immagine e i processi. L’individuazione precisa delle minacce a cui essi sono sottoposti, nello scenario di business in cui l’azienda opera, è il successivo passo attraverso il quale è possibile identificare i requisiti di sicurezza specifici per i vari processi di business e conseguentemente disegnare l’infrastruttura di sicurezza e le soluzioni tecnologiche e organizzative più adeguate per assicurare la protezione degli asset sensibili

 
 

– I BENEFICI

  • Una valutazione globale del livello di sicurezza attuale e la definizione di una “baseline” a cui tendere per elevarlo

  • Una indicazione del grado di obsolescenza dei sistemi di sicurezza, dei rischi legati alla tecnologia e la relativa definizione delle eventuali misure correttive

  • Lo sviluppo di un piano basato su priorità di intervento e strategie da adottare

  • Una chiara indicazione delle responsabilità, sanzioni, rischi, associati a infrazioni di normative e linee guida

  • La definizione di report mirati, di supporto nell’allocazione delle spese, e nelle fasi di presentazione e approvazione di budget

 
 

aree operative

  • Global Security Assessment


    Valutazione globale, attraverso analisi dei processi, dei servizi, e del grado di obsolescenza dei sistemi, del livello di sicurezza raggiunto dall’azienda

    Inventario e classificazione degli asset (sistemi, informazioni, risorse umane, …) e degli obiettivi sensibili

    Vulnerability assessment tecnologico

    Verifica di conformità rispetto a normative di legge (D.Lgs.196/2003, D.Lgs. 231), di settore (Basilea, Banca d’Italia, PCI, …), requisiti di corporate governance (SOX), Standard e/o Best Practice Internazionali (ISO 27001, ISO 22301,OWASP, COBIT …)

    Analisi e revisione dei processi di Incident Management e Fraud Management (prevenzione, rilevazione, contenimento, gestione, analisi ex-post)

    Verifica del livello di sicurezza delle applicazioni core e valutazione dei modelli di sviluppo software utilizzati

    Valutazione del potenziale

  • Enterprise Risk Management


    Analisi dei rischi su scala enterprise basata sia su modelli riconosciuti a livello internazionale che algoritmi di interpolazione proprietari:

    Analisi dei rischi operativi, infrastrutturali e applicativi, economici e reputazionali e calcolo del livello di esposizione

    Analisi di impatto sugli asset aziendali classificati come critici

    Calcolo del rischio per le strategie di Business

    Miglioramento della risposta al rischio individuato attraverso definizione di piani di rientro e selezione di contromisure organizzative, di processo e tecnologiche

  • Analisi dei path di attacco


    Analisi dei possibili percorsi di attacco all’azienda, attraverso:

    Penetration test e analisi dei path di attacco sugli obiettivi sensibili

    Analisi della struttura e dell’interdipendenza delle informazioni attraverso modelli di intelligence basati su fonti aperte (OSINT)

    Analisi dell’esposizione a rischi di sicurezza legati all’utilizzo di dispositivi mobili aziendali

    Analisi del capitale umano: Social Engineering, Human Network, Cognitive hacking

  • Security Program


    Definizione di un programma di sicurezza atto a garantire:

    La convergenza delle soluzioni organizzative e tecnologiche di sicurezza già adottate creando efficaci sinergie delle operation

    L’adozione dei modelli architetturali e degli standard più adeguati a supportare le esigenze di business del Cliente

    Una chiara pianificazione (annuale, pluriennale) delle necessarie iniziative progettuali atte al raggiungimento del livello di sicurezza adeguato e necessario al contesto di business – ogni iniziativa pur inserita in una programmazione strutturata, è mirata ad obiettivi concreti e garantisce risultati autoconsistenti