Crociani Marco


Perchè le cose accadono


MISSION

Fornire alle organizzazioni clienti valore aggiunto e controllo su Sistemi e Processi attraverso:

  • Supporto alla compliance alla normativa GDPR, Standard ISO27001, altri standard/normative con rilevanza Security (es. NIST, Cobit )

  • Proteggere ed aumentare il valore d'immagine dell'Azienda in contesti dove i dati rappresentano il valore dell'Azienda stessa (dati con rilevanza privacy o di vantaggio competitivo)

  • Sensibilizzare l'organizzazione aziendale sulle tematiche di Security rendendole accessibili a tutti I livelli

  • Introdurre approccio risk based di analisi per identificare i rischi e ridurli

  • Definire le Responsabilita' dei vari attori , esterni ed interni, che trattano le informazioni

ATTIVITA'

1 - Assessment dello stato di sicurezza delle informazioni rilevazione della postura di sicurezza e valutazione del rischio IT

  • Censimento dei processi aziendali.

  • Individuazione delle informazioni elaborate nei singoli processi considerando:

      • le infrastrutture logiche e fisiche che sono utilizzate per il loro trattamento;

      • la loro importanza nella catena di produzione del valore.

  • Analisi delle minacce e delle vulnerabilità e del valore assegnato, si associa il rischio corrispondente, che insiste sulla informazione,.

  • Mappa dei processi, delle informazioni trattate e dell'eventuale rischio a cui sono esposte.

  • Pianificazione degli interventi di rafforzamento della sicurezza operando sulle attività più esposte.

  • Attività di DPIA per le parti di assessment IT.


2- Implementazione di un ISMS (information Security Management System)

  • Sviluppo di un modello di governo della gestione della sicurezza delle informazioni (ISMS) a seconda delle necessità che possono coprire esigenze particolari fino a predisporre un sistema completo certificabile o certificato di gestione della sicurezza delle informazioni.

  • Redazione di Politiche, Procedure e Processi operativi

      • Lo sviluppo si evolve per passi discreti, a fronte di una identificazione di priorità. Ed una attività strutturata tenendo conto delle esigenze e le risorse disponibili in modo da ottenere risultati in linea con gli obiettivi della azienda.


3- Assistenza all'esercizio di un ISMS esistente con attività di Audit e Visite Ispettive a supporto della funzione di sicurezza della organizzazione


4- Selezione di soluzioni di sicurezza adeguate, pianificazione e controllo della loro adozione in azienda e verifica della loro efficacia, seguendo le fasi di implementazione ed avviamento in esercizio, coordinando le attività di pianificazione, addestramento, e formazione.


Tempo fa avevo rielaborato uno schema che che illustra il percorso necessario per poter raggiungere la certificazione di un ISMS .

Il punto principale che sta alla base del percorso è la esplicitazione e la definizioni di ciò che si vuole ottenere che si raggiunge con avere rese esplicite alcuni fondamentali : lo "scope" (il contesto), l' inventario degli asset e la definizione dei rschi , da questi è possibile dichiarare:

SOA (Statement of Applicability , a cosa si applica il ISMS )

e RTP (Risk Treatment Plan- piano di trattamento dei rischi)

Queste due dichiarazioni servono sia per poter implementare ISMS e fare il corrispondente piano di progetto e pianificazione di controllo che essere di input al certificatore.