SCM - Security Compliance Management

Speciale attenzione č dedicata da ITQL agli aspetti di Conformitā alla Normativa di Legge ed alle Best Practices e Standard Internazionali; i servizi in tale area consistono in processi approfonditi di valutazione ambiente, analisi del rischio, test di intrusione e di vulnerabilitā, e sono destinati ad accertare il livello di sicurezza del sistema e verificare che questo  rispetti gli standard richiesti.

Il risultato principale consiste nella costruzione di un Piano della Sicurezza che, avendo disponibile da una parte la Diagnosi puntuale dello stato di salute attuale dell sistema di Security dell'Azienda, e dall'altra parte il riferimento rappresentato dagli standard o dalle norme applicabili, fornisca il percorso ottimale per colmare il gap, sulla base delle risorse umane ed economiche disponibili .

la ITQL ha messo a punto tre moduli di Intervento a coprire i tre momenti canonici di un SCM

 

 

Security Assessment

  • Analisi Piano Aziendale di Sicurezza e Piano dei Sistemi Esistenti
  • Analisi Adempimenti di Legge (D.Lgs. 196/2003)
  • Analisi conformitā Standard (ISO/IEC 27001, ISO/IEC 17799, COBIT, etc.), e supporto al Cliente verso le rispettive certificazioni
  • Verifiche sul Modello Organizzativo in essere
  • Analisi Infrastruttura di Sicurezza in essere
    • Sistema delle Politiche e delle Procedure
    • Prassi interne e Linee Guida
    • Tecnologie di Sicurezza in essere
    • Analisi delle Vulnerabilitā Tecniche (passive e/o con Penetration Test)
    • Analisi delle Vulnerabilitā Organizzative (Procedure, Social Engineering, etc.)
  • Lista delle Azioni immediate (Necessarie, Opportune, Desiderate)
  • Stesura del Security Outlook per il Management Aziendale

Risk Analisys

CeTRA č un approccio di Risk Analysis censito da ISCOM che permette la Condivisione del Perimetro e degli Obiettivi di analisi e la Costruzione degli Inventari di Beni, Minacce, Danni, Agenti e Vulnerabilitā

  • Macro-Analisi dei rischi
  • Individuazione classi di contromisure: Organizzative, Fisiche e Logiche
  • Determinazione delle Contromisure in Dettaglio
  • What-If Risk assessment post-contromisure e analisi del Rischio Residuo
  • Azioni di Gestione dei Rischi Residui

Security Planning

  • Architettura dell’infrastruttura di Sicurezza
    • Policy & Procedure,
    • Organizzazione e Risorse Umane,
    • infrastruttura tecnica,
    • Sistema dei Controlli
  • Blueprint dei Progetti di Miglioramento (da ASAP e da CeTRA)
    • Premesse e Obiettivi di ogni singolo Progetto a Piano
    • Identificazione delle Risorse (umane, materiali, finaziarie, …)
    • Schedulazione Risorse (tempi, modi, partnership, …)
    • Costing (modello di pricing per componente, cost justification, opportunity window, …)
    • Tecnologie necessarie (candidati, vincoli, opportunitā, ...)