Cybersecurity Project Manager

Il ruolo di Cybersecurity Project Manager è una funzione strategica per ogni organizzazione. Per questa ragione, Polimatica Progetti propone questa figura per supportare i Clienti nelle seguenti attività:

• supportare la Direzione nella definizione delle politiche e delle strategie di sicurezza (security governance);
• sovrintendere alla corretta attuazione delle politiche e delle strategie di sicurezza approvate dalla Direzione, verificandone l’efficacia;
• supportare la Direzione nella scelta di nuovi servizi e soluzioni per quanto attiene alla cybersecurity;
• valutare l’operato dei fornitori per gli aspetti attinenti alla cybersecurity;
• consigliare gli Amministratori di Sistema nella gestione sicura degli strumenti informatici;
• fungere, ove applicabile, da intermediario tra Direzione e Amministratori di sistema, tra Direzione e Responsabile della Protezione dei Dati (DPO), tra Responsabile della Transizione Digitale (RTD) e Responsabile delle Protezione dei Dati (DPO) per le questioni afferenti alla cybersecurity.

Più in generale, il Cybersecurity Project Manager può essere di aiuto per tutte le organizzazioni dove non è disponibile personale esperto nella cyber security.

Alcuni punti di forza per le organizzazioni che effettuano questa scelta:

• il Cybersecurity Project Manager di Polimatica Progetti opera con il supporto di un team plurispecializzato, con esperienze diversificate;
• il personale a disposizione è altamente qualificato e dotato di certificazioni autorevoli (quali ad es., CEH, CISA, CISM, CISSP, CRISC), che garantiscono un miglioramento costante delle competenze e una formazione continua;
• i costi per un professionista esterno sono, di norma, inferiori rispetto a quelli sostenuti per l’inserimento in organico di personale specializzato.

Se sei interessato a questo servizio contattaci.

Servizi di Risk Assessment

L’attività di Risk Assessment (o analisi dei rischi) è il punto di partenza per tutte le organizzazioni che vogliono verificare il grado di adeguatezza delle proprie misure di sicurezza. I requisiti da valutare possono essere di tipo normativo, come nel caso del GDPR o della Direttiva NIS2, oppure vincolati all’ottenimento o mantenimento di una certificazione. In tutti i casi, i nostri professionisti della cybersecurity valutano le modalità, le probabilità e l’impatto con cui determinate minacce possono ripercuotersi negativamente sull’organizzazione, con uno sguardo alla Business Continuity e ai diritti e alle libertà degli interessati (clienti, fornitori, utenti, dipendenti, cittadini, ecc.).

In funzione delle esigenze del cliente, per condurre l’analisi dei rischi possiamo utilizzare modelli diversi, a seconda se quest’ultima è parte di una valutazione di impatto privacy o se è finalizzata a tutelare la business continuity.

Security assessment mediante ethical hacking

Le statistiche ci dicono che circa un terzo delle violazioni informatiche si verifica perché gli attaccanti sfruttano le vulnerabilità dei sistemi adottati dalle vittime (organizzazioni di ogni tipo e dimensione). Ne consegue che per qualsiasi organizzazione è indispensabile misurare la qualità della postura di sicurezza mediante un Security Assessment.

I nostri Ethical Hacker, attraverso attività di Vulnerability Assessment (VA) e Penetration Test (PT), verificano se nella vostra infrastruttura informatica sono presenti delle vulnerabilità (ad es., falle dei sistemi informatici o configurazioni errate). Le vulnerabilità possono esporre l’organizzazione a pericoli quali, ad esempio, interruzioni della produzione, fermo di servizi, perdita di dati, compromissione della reputazione.

Come interveniamo?

I nostri Ethical Hacker vestono i panni degli attaccanti e ne utilizzano gli stessi strumenti per testare le misure di sicurezza dei clienti; maggiori dettagli sono reperibili alla pagina di approfondimento. I risultati di questi security assessment vengono documentati in una relazione scritta in italiano; la relazione, oltre ai risultati dei test (epurati da falsi positivi), elenca le vulnerabilità in ordine di gravità e le modalità con le quali queste possano essere sfruttate, nonché suggerimenti su come rimuoverle. La gravità tiene conto non soltanto dell’impatto ma anche della facilità con cui una vulnerabilità può essere sfruttata. La relazione (executive summary) viene sempre spiegata al committente e resa comprensibile anche al management. Diffidate, pertanto, dei report criptici prodotti da soluzioni commerciali che non dicono nulla sull’infrastruttura e non fanno capire le azioni da intraprendere per adottare le opportune remediation.

Infine, se i VA e i PT non sono ritenuti sufficienti, grazie a delle partnership consolidate possiamo anche attivare servizi di Cyber Threat Intelligence o SOC (Security Operation Center) per trasformare la postura dell’organizzazione da difensiva a proattiva, rilevando eventuali attacchi sin dalla loro preparazione e consentendo quindi una reazione tempestiva.

Per saperne di più contattaci.

Supporto nello sviluppo della prontezza nella gestione degli incidenti

Sapere come gestire gli eventi negativi è determinante per assicurare al business la continuità operativa. Per riuscire in questa sfida, i nostri professionisti supportano le organizzazioni predisponendo dei piani e delle procedure volti a gestire efficacemente determinate criticità.

Tra le procedure essenziali rientrano, ad esempio:

• Business Impact Analysis;
• Incident Response plan;
• Business Continuity plan;
• procedure di Disaster Recovery.

Predisposte le procedure, i nostri professionisti aiuteranno le persone direttamente coinvolte nell’attuazione a testarne l’efficacia e migliorarle nel tempo.
Per saperne di più contattaci.

Consulenza per la compliance agli Standard ISO/IEC 27001:2022 ISO/IEC 27701:2019

Accompagniamo i clienti durante tutte le fasi di predisposizione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Che si tratti di ISO/IEC 27001 o ISO/IEC 27701, selezioniamo i necessari controlli per progettare la soluzione organizzativa che meglio risponde alle caratteristiche specifiche di ciascun cliente, mantenendo il focus sulle esigenze, sulle priorità e sulle risorse. Il risultato sarà un Sistema di Gestione che avrà la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi. Dopo aver implementato tutti i controlli richiesti, possiamo anche accompagnare l’organizzazione nelle fasi di certificazione. Si tratta di un processo complesso che verrà reso meno difficoltoso grazie all’esperienza pluriennale dei nostri professionisti

Per saperne di più contattaci.

Check-Up sulle Policy di sicurezza (generali o specifiche per singoli servizi)

Le Policy e le procedure devono tenere conto della Governance aziendale e della Compliance alle leggi e ai diversi sistemi di gestione (se presenti), come pure di eventuali Policy dettate dall’headquarter nazionale o internazionale. Tuttavia, non sempre nelle aziende sono presenti competenze trasversali che permettano di predisporre procedure efficaci ed efficienti. Anche per tale motivo, talvolta, le Security Policy e le procedure predisposte dalle aziende sono il risultato di progetti diversi e non coordinati che nel tempo non aderiscono più alle politiche aziendali o agli standard di sicurezza.

I nostri professionisti sono in grado di esaminare tali documenti verificandone, ad esempio, la coerenza e copertura rispetto ai controlli degli ICT Standards, l’applicabilità rispetto al Business Aziendale, la coerenza ed omogeneità tra le diverse policy e procedure presenti, nonché predisponendo un piano affinché i medesimi documenti e procedure siano conosciuti e resi operativi da tutto il personale interessato.

Supporto nella definizione e verifica dei requisiti contrattuali in relazione alla sicurezza

Le imprese, gli enti e più in generale le organizzazioni decidono spesso di esternalizzare alcune delle loro attività correnti, affidandole a soggetti terzi i quali, nella maggior parte dei casi, trattano dati personali o comunque critici per il business.

Il processo di esternalizzazione prevede la stipula di un contratto di servizio con le terze parti (partner commerciali, fornitori di servizi in outsourcing, …). Tale contratto deve necessariamente contenere specifiche clausole contrattuali o addendum. Risulta quindi indispensabile un riesame dei contratti esistenti, analizzando e ridefinendo, se necessario, le reciproche responsabilità e gli obblighi. In particolare, all’interno dei contratti vecchi e nuovi, dovrà essere riposta la dovuta attenzione nello stabilire in maniera precisa il livello di servizio richiesto e nel definire le misure di sicurezza adeguate alla politica del committente al fine di garantire l’integrità, la disponibilità, la riservatezza e la resilienza dei dati il cui trattamento viene affidato alla società terza.

Per saperne di più contattaci.

Supporto nell’adeguamento alla Direttiva NIS2

La Direttiva NIS2 rappresenta un’evoluzione della precedente Direttiva NIS e il suo obiettivo è quello di migliorare il livello della cyber security degli Stati membri dell’UE. Per raggiungere questo fine, il Parlamento Europeo ha aumentato la platea di soggetti obbligati a rispettare la Direttiva e incrementato le misure di sicurezza ritenute adeguate.

Le tempistiche per rispettare la Direttiva sono chiare: ciascun Stato membro dovrà recepirla entro il 17 ottobre 2024, e dal giorno successivo i destinatari dovranno rispettarne le prescrizioni. Gli ambiti di intervento della Direttiva sono i seguenti:

• Risk and Vulnerability Management (gestione del rischio e delle vulnerabilità);
• Incident Response (gestione degli incidenti);
• Business Continuity (gestione della continuità operativa);
• Supply Chain (gestione della sicurezza nelle catene di fornitura);
• Security Governance (strategia e gestione della sicurezza dei sistemi);
• Formazione cybersecurity (definizione di piani di formazione in materia di sicurezza per il personale non informatico);
• Crittografia (protezione delle informazioni);
• Strong Authentication (autenticazione sicura e protezione delle identità);
• Segnalazione degli incidenti (gestione degli incidenti informatici).

Per ognuno di questi ambiti di intervento, possiamo fornire ai nostri clienti competenza, esperienza, soluzioni e servizi professionali.