Crociani Marco
Perchè le cose accadono
MISSION
Fornire alle organizzazioni clienti valore aggiunto e controllo su Sistemi e Processi attraverso:
Supporto alla compliance alla normativa GDPR, Standard ISO27001, altri standard/normative con rilevanza Security (es. NIST, Cobit )
Proteggere ed aumentare il valore d'immagine dell'Azienda in contesti dove i dati rappresentano il valore dell'Azienda stessa (dati con rilevanza privacy o di vantaggio competitivo)
Sensibilizzare l'organizzazione aziendale sulle tematiche di Security rendendole accessibili a tutti I livelli
Introdurre approccio risk based di analisi per identificare i rischi e ridurli
Definire le Responsabilita' dei vari attori , esterni ed interni, che trattano le informazioni
ATTIVITA'
1 - Assessment dello stato di sicurezza delle informazioni rilevazione della postura di sicurezza e valutazione del rischio IT
Censimento dei processi aziendali.
Individuazione delle informazioni elaborate nei singoli processi considerando:
le infrastrutture logiche e fisiche che sono utilizzate per il loro trattamento;
la loro importanza nella catena di produzione del valore.
Analisi delle minacce e delle vulnerabilità e del valore assegnato, si associa il rischio corrispondente, che insiste sulla informazione,.
Mappa dei processi, delle informazioni trattate e dell'eventuale rischio a cui sono esposte.
Pianificazione degli interventi di rafforzamento della sicurezza operando sulle attività più esposte.
Attività di DPIA per le parti di assessment IT.
2- Implementazione di un ISMS (information Security Management System)
Sviluppo di un modello di governo della gestione della sicurezza delle informazioni (ISMS) a seconda delle necessità che possono coprire esigenze particolari fino a predisporre un sistema completo certificabile o certificato di gestione della sicurezza delle informazioni.
Redazione di Politiche, Procedure e Processi operativi
Lo sviluppo si evolve per passi discreti, a fronte di una identificazione di priorità. Ed una attività strutturata tenendo conto delle esigenze e le risorse disponibili in modo da ottenere risultati in linea con gli obiettivi della azienda.
3- Assistenza all'esercizio di un ISMS esistente con attività di Audit e Visite Ispettive a supporto della funzione di sicurezza della organizzazione
4- Selezione di soluzioni di sicurezza adeguate, pianificazione e controllo della loro adozione in azienda e verifica della loro efficacia, seguendo le fasi di implementazione ed avviamento in esercizio, coordinando le attività di pianificazione, addestramento, e formazione.
Tempo fa avevo rielaborato uno schema che che illustra il percorso necessario per poter raggiungere la certificazione di un ISMS .
Il punto principale che sta alla base del percorso è la esplicitazione e la definizioni di ciò che si vuole ottenere che si raggiunge con avere rese esplicite alcuni fondamentali : lo "scope" (il contesto), l' inventario degli asset e la definizione dei rschi , da questi è possibile dichiarare:
SOA (Statement of Applicability , a cosa si applica il ISMS )
e RTP (Risk Treatment Plan- piano di trattamento dei rischi)
Queste due dichiarazioni servono sia per poter implementare ISMS e fare il corrispondente piano di progetto e pianificazione di controllo che essere di input al certificatore.