duepuntozero
 



Information Security  
Information Management  
Formazione  
Prodotti  
Partners  
Azienda  
Contatti
Lavora con noi
Intranet


Soluzioni e Servizi per la Sicurezza ICT

L’approccio generale prevede la ricerca di soluzioni coerenti con le esigenze di business del cliente, mediante servizi di consulenza specifici e selezione dei prodotti, propri o di terze parti, che meglio si prestano al raggiungimento degli obiettivi stabiliti.

Le aree di intervento su cui si focalizza l'azione ITQL sono le seguenti: 

   SCM   -   ESM   -   DIAC   -   ILP   -   ICM  

SCM: Security Compliance Management

Conformità alla Normativa di Legge, alle Best Practices ed agli Standard Internazionali. Valutazione compliance, analisi del rischio, test di intrusione e di vulnerabilità per accertare il livello di sicurezza del sistema e verificare che questo  rispetti gli standard richiesti.

Costruzione di un Piano della Sicurezza che partendo dalla Diagnosi puntuale dello stato di salute attuale del sistema di Security dell'Azienda e dagli standard o dalle norme applicabili, rappresenta il percorso ottimale, sulla base delle risorse umane ed economiche disponibili, per colmare il gap.

  • Analisi Infrastruttura di Sicurezza (Policy, Standard, Procedure, Guideline, Tecnologie, Risorse Umane) e supporto al Cliente nella sua definizione ed implementazione
  • Analisi Piano Aziendale di Sicurezza e supporto al Cliente nella sua definizione ed implementazione
  • Analisi Adempimenti di Legge (D.Lgs. 196/2003: Analisi del Rischio, DPsS, etc.) e supporto al Cliente per il suo adeguamento
  • Analisi conformità Standard (ISO/IEC 27001, ISO/IEC 17799, COBIT, etc.), e supporto al Cliente verso le rispettive certificazioni
ESM: Enterprise Security Management

Organizzazione e gestione completa della Sicurezza IT (ISMS: Information Security Management System):

  • … partendo dalla definizione di un’Infrastruttura di Sicurezza basata sull’Organizzazione Aziendale (ruoli degli utenti e loro diritti legati al ruolo aziendale ricoperto)
  • … attraverso l’analisi della situazione reale (risk assessment, security assessment, etc.)
  • … per giungere alla definizione delle politiche, delle lineeguida, procedure e piani
  • …. e all’attuazione di soluzioni integrate di Amministrazione Centralizzata della Sicurezza,
  • ….. senza trascurare soluzioni specifiche, sia organizzative che tecnologiche

Nello specifico, ITQL offre servizi nelle seguenti aree:

  • Identificazione necessità di sicurezza specifiche dell’Azienda
  • Definizione politiche di sicurezza
  • Definizione infrastruttura organizzativa di sicurezza
  • Definizione ruoli e responsabilità
  • Analisi infrastruttura di sicurezza (organizzativa tecnica e gestionale)
  • Risk analysis (secondo gli standard internazionali: CRAMM, etc.)
  • Analisi vulnerabilità (configurazione sistemi e rete)
  • Intrusion test ed analisi dei risultati
  • Definizione Piano Aziendale di Sicurezza (ISMS)
  • Definizione procedure operative di sicurezza
  • Implementazione policy & procedure
  • Implementazione infrastruttura di sicurezza (organizzativa tecnica e gestionale)
  • Installazione implementazione ed integrazione prodotti di sicurezza
  • Risk management
  • Controllo programmato del Livello di Sicurezza Informatica Aziendale
  • Gestione Infrastruttura di Sicurezza (MSSP: managed security service provisioning è gestione Firewall, IDS, etc.)
  • Product evaluation: osservatorio prodotti di sicurezza, valutazione e benchmarking
DIAC: Digital Identity & Access Certification

Gestione completa del Ciclo di Vita di Utenti e Risorse (e relativi processi di autorizzazione, autenticazione e controllo accessi) attraverso attività di:

  • Revisione processi del Ciclo di Vita Utenti
  • Implementazione EUA (Enterprise User Administration):
    • User management & Account management
    • Authorization management

Implementazione UAC (User Access Control):

  • Access management
  • WEB Single Sign On
  • Enterprise Single Sign On

Implementazione soluzioni di FEDERATION
ILP:  Information Leakage Prevention

Protezione diretta dei dati contro utilizzi illeciti o comunque non autorizzati attraverso strumenti che garantiscano l'inaccessibilità all'Informazione se non a chi ne detenga il reale diritto. La protezione viene attuata attraverso:

  • protezione degli end-point, e cioè dei dispositivi finali in cui le informazioni vengono depositati e mantenuti, per assicurare che non se ne possa violare l'integrità. Si possono, ad esempio usare:
    • Crittografia dei Dischi e dei File, connessa con il Pre-Boot Authentication sui PC
    • Schermatura e controllo dell'utilizzo delle porte esterne dei PC
    • Controllo delle applicazioni installate
  • protezione centrale, con norme e tecnologie che permettano di assicurare un uso appropriato delle Informazioni e dei dati stessi
  • Classificazione delle informazioni connessa con un Identity-based Rights management
  • Monitoraggio dell'integrità referenziale tra diverse istanze dell'Informazione
  • Rigorose procedure di Backup e piani di continuità
ICM:  Information Continuity Management 

Definizione ed implementazione del Piano di Continuità e di Recovery atto a garantire le disponibilità dei dati e dei servizi IT attraverso le varie fasi previste dagli standard di settore (COBIT, ISO, NIST, etc.):

  • BIA (Business Impact Analysis): classificazione processi aziendali, analisi di impatto (valutazione costo della mancanza dei Servizi IT), definizione attività e priorità
  • BCP/DRP (Business Continuity & Recovery Plan): definizione Piano di Continuità e Disaster Recovery in tutti i suoi aspetti: organizzativi (ruoli, responsabilità), processuali (dichiarazione, contenimento, rilocazione, ripristino), gestionali (test, revisioni, follow up)
  • ED/RM (Event Detection & Response Management): definizione ed attivazione di servizi di Intercettazione ed Analisi Eventi, e integrazione con i  processi di Response Management