ZZZ OLD STYLE -Adaptive Security Roadmap – old

ZZZ OLD STYLE -Adaptive Security Roadmap – old

Tutte le aziende oggi dispongono di strumenti Hardware e Software più o meno evoluti che hanno lo scopo di proteggere e custodire i dati, le applicazioni, le comunicazioni e tutto ciò che permette loro una continuità operativa.
#CYBERSECURITY #SOLUZIONI DI PROTEZIONE #RIDUZIONE SPESE OPERATIVE #BUDGET #FRAMEWORK E BEST PRACTICE #GOVERNANCE #PROGETTAZIONE INFRASTRUTTURA #GESTIONE IDENTITA’ E ACCESSI #FORMAZIONE UTENTI
arrow-icon-size3 PARLANE CON NOI
arrow-icon-size3 DOWNLOAD PDF
Questo però non è sufficiente se, a causa di un attacco informatico o di un malfunzionamento imprevisto, si dovesse perdere il controllo della situazione senza avere un quadro e una visione d’insieme. In particolare, l’area della sicurezza delle informazioni potrebbe ormai essere considerata come un mondo a sé: infatti le soluzioni proposte dal mercato sono numerose e variegate e chi si occupa di Cybersecurity deve oggi anche avere competenze di tipo organizzativo, ispettivo e addirittura legali.
La Soluzione che Surftech ha pensato e realizzato si chiama Adaptive Security Roadmap ed è disponibile per tutte le aziende, indipendentemente dalle loro dimensioni e dal settore di industria. Adaptive: perché è un metodo flessibile che si adatta perfettamente alle necessità e richieste aziendali. Security: perché va ad analizzare il livello di sicurezza dell’azienda non solo dal punto di vista strettamente Informatico ma anche dal punto di vista organizzativo a 360° Roadmap: perché lo scopo finale è quello di costruire e condividere un percorso di miglioramento che innalzi il livello complessivo della sicurezza aziendale in un loop virtuoso.
Questa soluzione raccoglie e classifica le misure di sicurezza adottate in base a delle regole di buona condotta basate sullo standard internazionale CIS Controls®, elabora i risultati utilizzando una applicazione appositamente realizzata da Surftech e crea un piano di miglioramento della Sicurezza che tiene conto delle richieste aziendali, degli investimenti già fatti, delle risorse tecniche e del budget disponibile. Inoltre, Surftech ha realizzato una piattaforma esclusiva dove il cliente può monitorare lo stato di sicurezza e le attività di miglioramento che sta attuando.
Ma cosa vorrebbero in più le aziende? Innanzitutto, avere una visione della sicurezza aziendale a 360° costruita su un framework basato su direttive e standard internazionali. Ogni azienda ha le sue peculiarità e quindi, anche se appartiene allo stesso settore di industria, è diversa da qualsiasi altra; lo strumento che gli permette di ottenere un miglioramento continuo non deve essere un prodotto di serie ma realizzato su misura e che massimizzi il ritorno degli investimenti già effettuati e quelli futuri. Infine, deve essere sempre aggiornato all’evoluzione delle possibili minacce per poter mantenere nel tempo la sua efficacia.
Questo però non è sufficiente se, a causa di un attacco informatico o di un malfunzionamento imprevisto, si dovesse perdere il controllo della situazione senza avere un quadro e una visione d’insieme. In particolare, l’area della sicurezza delle informazioni potrebbe ormai essere considerata come un mondo a sé: infatti le soluzioni proposte dal mercato sono numerose e variegate e chi si occupa di Cybersecurity deve oggi anche avere competenze di tipo organizzativo, ispettivo e addirittura legali.
La Soluzione che Surftech ha pensato e realizzato si chiama Adaptive Security Roadmap ed è disponibile per tutte le aziende, indipendentemente dalle loro dimensioni e dal settore di industria. Adaptive: perché è un metodo flessibile che si adatta perfettamente alle necessità e richieste aziendali. Security: perché va ad analizzare il livello di sicurezza dell’azienda non solo dal punto di vista strettamente Informatico ma anche dal punto di vista organizzativo a 360° Roadmap: perché lo scopo finale è quello di costruire e condividere un percorso di miglioramento che innalzi il livello complessivo della sicurezza aziendale in un loop virtuoso.
Ma cosa vorrebbero in più le aziende?
Innanzitutto, avere una visione della sicurezza aziendale a 360° costruita su un framework basato su direttive e standard internazionali. Ogni azienda ha le sue peculiarità e quindi, anche se appartiene allo stesso settore di industria, è diversa da qualsiasi altra; lo strumento che gli permette di ottenere un miglioramento continuo non deve essere un prodotto di serie ma realizzato su misura e che massimizzi il ritorno degli investimenti già effettuati e quelli futuri. Infine, deve essere sempre aggiornato all’evoluzione delle possibili minacce per poter mantenere nel tempo la sua efficacia.
Questa soluzione raccoglie e classifica le misure di sicurezza adottate in base a delle regole di buona condotta basate sullo standard internazionale CIS Controls®, elabora i risultati utilizzando una applicazione appositamente realizzata da Surftech e crea un piano di miglioramento della Sicurezza che tiene conto delle richieste aziendali, degli investimenti già fatti, delle risorse tecniche e del budget disponibile. Inoltre, Surftech ha realizzato una piattaforma esclusiva dove il cliente può monitorare lo stato di sicurezza e le attività di miglioramento che sta attuando.
I CIS Security Controls V.8 prevede una lista di 18 controlli, suddivisi in altri sotto controlli che consentono di:
  • Avere una visione della sicurezza a 360°, con indicazioni pratiche e realizzabili, non esclusivamente tecnologiche e soprattutto “vendor” agnostiche.
  • Identificare i punti deboli e i punti forti della cosiddetta “security posture” ed indirizzare in maniera corretta gli investimenti.
  • Introdurre una cultura aziendale che responsabilizza i vertici aziendali perché sono gli unici a comprendere davvero quali possono essere i rischi del business legati ai sistemi informativi.
  • Identificare degli obiettivi e dei requisiti seguendo le indicazioni di una comunità internazionale di specialisti.
Ecco di seguito l’elenco dei Controlli previsti dal CIS:
  1. Inventario e Controllo delle Risorse Aziendali
  2. Inventario e Controllo delle Risorse Software
  3. Protezione dei Dati
  4. Configurazione Sicura delle Risorse Aziendali e del Software
  5. Gestione degli Account
  6. Gestione del Controllo degli Accessi
  7. Gestione Continua delle Vulnerabilità
  8. Gestione dei Log di Controllo
  9. Protezione della Posta Elettronica e del Browser Web
  10. Difesa dal Malware
  11. Recupero dei Dati
  12. Gestione dell’Infrastruttura di Rete
  13. Monitoraggio e Difesa della Rete
  14. Sensibilizzazione e Formazione sulle Competenze di Sicurezza
  15. Gestione dei Service Provider
  16. Sicurezza degli Applicativi
  17. Gestione e Risposta agli Incidenti
  18. Penetration Test
Questi controlli sono maturati nell’ambito di una comunità internazionale di persone ed istituzioni e riflettono l’esperienza combinata di esperti informatici provenienti da molteplici settori dell’industria e della ricerca privata e pubblica.
In dettaglio verranno affrontati in dettaglio i seguenti punti:
  1. lo stato attuale di sicurezza dell’Azienda dal punto di vista Informatico tenendo conto degli aspetti organizzativi e tecnologici;
  2. la priorità delle aree dove è necessario intervenire con urgenza per mitigare eventuali punti critici e abbassare il livello di rischio;
  3. definito un piano di miglioramento sostenibile, commisurato alla dimensione e alla possibile crescita futura dell’azienda, fondato sulle vostre reali necessità di sicurezza e in conformità a normative o direttive di settore.

Operativamente, l’Adaptive Security Roadmap inizia con la raccolta delle informazioni che è svolta dai nostri Consulenti di Sicurezza Informatica nella modalità di intervista che verranno poi elaborate per redigere del piano di miglioramento avvalendosi di specifici strumenti e tools. Si possono sintetizzare le modalità di erogazione del servizio in questi punti fondamentali:

  1. Coinvolgimento di tutte le figure aziendali di riferimento per la raccolta delle informazioni necessarie a ricostruire la situazione attuale dell’azienda.
  2. Analisi da parte dei Consulenti Surftech delle informazioni raccolte, sviluppo e presentazione dei risultati con un piano di miglioramento a breve, medio e lungo termine
  3. Reporting e monitoraggio del piano di avanzamento con revisione periodica dei miglioramenti ottenuti attraverso una piattaforma Surftech dedicata
Al fine di rendere il servizio a misura dell’azienda, sono previsti tre livelli di analisi e applicazione delle regole, chiamati Implementation Group:
  • IG 1: Misure di sicurezza basilari, necessarie e inderogabili per tutte le aziende. I sub controlli previsti in IG 1 possono essere implementati con limitate esperienze di sicurezza informatica e consentono anche alle aziende medio piccole (e con budget limitati) di contrastare gli attacchi generici e non mirati.
  • IG 2: Misure necessarie per una infrastruttura IT di media complessità gestita On Premise. I sub controlli previsti in IG 2 richiedono delle competenze in grado di poter configurare correttamente le tecnologie hardware e software con degli investimenti economici di media entità; permettono però al Team di Sicurezza di fronteggiare situazioni di pericolo più elevate e attacchi più complessi.
  • IG 3: Misure indispensabili per le Aziende con obblighi normativi di settore o che devono erogare servizi complessi in alta affidabilità. I sub controlli previsti in IG 3, a fronte di un impegno tecnico ed economico decisamente superiore, sono in grado di ridurre drasticamente gli attacchi mirati di un avversario sofisticato e di contenere l’impatto degli attacchi zero-day.
Ovviamente i tempi di realizzazione variano in funzione della dimensione, della tipologia aziendale e del livello di approfondimento prescelto e vanno da un minimo di qualche settimana (IG 1) fino ad alcuni mesi (IG 3) per ottenere il Piano di miglioramento.

Learn about good design

More Articles