Facebook-square

Compliance Services

SCOPRI IL SERVIZIO

Compliance Services

La nostra proposta prevede due tipologie di compliance service, la prima orientata al rafforzamento delle misure di cybersecurity aziendale e la seconda orientata alla data protection dei dati personali nell’ottica del GDPR.
I Compliance Services prevedono sempre delle attività preliminari di assessment, tali attività possono essere condotte utilizzando diverse tecniche ognuna delle quali è caratterizzata da differenti livelli di affidabilità dei risultati e di impegno dei team di consulenza.

Nello specifico sono previste tre differenti tecniche: Inquiry, Observation, Inspection.

Inquiry Observation Inspection
Descrizione Raccolta di informazioni direttamente da un individuo che abbia familiarità con l'argomento o il controllo oggetto del test. La richiesta può essere scritta (ovvero e-mail) o orale (ovvero colloquio). Osservazione diretta dei processi oggetto di indagine. Non prevede l’acquisizione fisica delle evidenze osservate. Esame della documentazione che attesta l'esistenza di un controllo. L'ispezione spesso comporta la raccolta di popolazioni e la creazione di campioni per i test, ma può anche sovrapporsi con le osservazioni dirette.
Quando usarla? È utile per acquisire una comprensione di base di processi complessi. E’ sempre utilizzata nel contesto delle tecniche di Observation e Inspection. È preferibile per i controlli relativi alla sicurezza fisica, i controlli automatici di sicurezza logica, l'hardware del data center e per molti controlli di processo. È appropriata quando si devono verificare controlli relativi a intere popolazioni, come quelli relativi all'accesso logico e ai sistemi di gestione delle modifiche. L'ispezione è applicabile anche alla revisione delle politiche aziendali e alla verifica della corretta separazione delle funzioni.
Punti deboli La persona intervistata potrebbe non avere le competenze, il titolo professionale e l'autorità adeguati per parlare dell’oggetto della verifica. Richiede sempre l'assistenza del referente, con vincoli di rilevazione degli eventi sia in termini di location (dove è possibile osservare l’evento) che di tempistiche (quando è possibile osservare l’evento). La creazione della popolazione di riferimento per i test è time consuming. La raccolta documentale richiede un effort organizzativo elevato qualora la documentazione di riferimento non sia stata archiviata in modo sistematico in precedenza.
Livello di assurance Basso Medio Alto
Effort richiesto Basso Medio Medio/Alto

Security Assessment & Enforcement

Il servizio di security enforcement prevede una attività preliminare di analisi e contestualizzazione dell’assetto organizzativo e tecnologico seguita da una rilevazione delle misure di cybersecurity in essere che saranno messe a confronto, mediante l’utilizzo di un apposito modello (maturity model), con le misure indicate in uno dei più diffusi e completi framework di cybersecurity sviluppato dal CIS2. L’analisi dei gap tra le misure in essere e quelle indicate dal framework come ottimali costituiranno il driver per la definizione delle azioni correttive da porre in essere ai fini di garantire un adeguato livello di sicurezza IT in coerenza con quanto richiesto dal business, dal budget e dalla normativa cogente.
Metodologia
L’analisi del rischio sarà mappata secondo una opportuna gerarchizzazione e tassonomia degli asset, l’analisi delle minacce, vulnerabilità e contromisure e relativo calcolo del rischio saranno basati sui “CIS Controls®”. Queste misure, sviluppate e regolarmente aggiornate dal CIS, consentono di definire differenti ambiti di mitigazione dei rischi, consistenti in controlli di natura tecnologica, organizzativa e procedurale, con tre livelli crescenti di complessità di attuazione. Il primo livello di attuazione è da considerarsi basico, i due livelli successivi richiedono misure tecniche ed organizzative via via più complete e sofisticate che risultano necessarie per le organizzazioni più complesse o maggiormente esposte a rischi per via della criticità dei servizi erogati.

Obiettivi:

  • Misurare l’attuale «Security Posture» dell’organizzazione, ovvero il livello di efficacia delle misure tecniche ed organizzative di cybersecurity poste in essere da un’organizzazione.
  • Adottare una metodologia che consenta di ottenere degli score comparabili e monitorabili nel tempo relativamente alla “Security Posture”.
  • Definire un Piano di Remediation la cui attuazione consentirà di migliorare il livello di maturità delle misure di cybersecurity dell’organizzazione.
Il servizio di Security Assessment & Enforcement prevede:

Assessment misure di cybersecurity

Analisi e contestualizzazione dell’infrastrutture tecnologiche e dei processi di gestione. Verifica e revisione delle modalità di gestione degli incidenti.

Analisi del rischio
Cyber

Analisi sistematica dei rischi dei trattamenti di dati personali. Valutazione della propensione al rischio (risk appetite) della Documentazione delle misure di mitigazione, aggiornamento e sviluppo delle DPIA.

Analisi contratti
di servizi IT

Analisi e revisione delle criticità contrattuali sottese agli accordi relativi ai responsabili esterni del trattamento (Data Processing Agreement – DPA) finalizzata ad una governance corretta ed efficace dei rapporti con le controparti.

Cybersecurity
Framework

Analisi della maturità dei processi di data protection mediante l’utilizzo di maturity model basato sullo schema di certificazione ISDP©10003 e sulle best practice ENISA

Remediation
Plan

Il Framework consiste in un pacchetto di strumenti (Toolkit) sviluppati in Excel e VBA per l’analisi e valutazione dei rischi, sviluppo e gestione dei registri dei trattamenti e sviluppo e gestione delle DPIA. Questi stessi Toolkit sono utilizzati nel corso dell’attività di audit e di analisi del rischio GDPR e vengono rilasciati compilati e corredati da documentazione tecnica e d’uso.

Data Protection Audit
I sistemi usati per creare, archiviare, analizzare e gestire i dati personali possono essere sia cartacei che digitali, in quest’ultimo caso possono estendersi in un’ampia gamma di ambienti IT, dispositivi personali, server locali, servizi cloud e anche nell’Internet of Things. Questo significa che la maggior parte delle tecnologie utilizzate dalle aziende necessita di un processo di valutazione ed adeguamento ai requisiti del Regolamento (UE) 2016/679 (GDPR). Qualsiasi organizzazione affronti questa problematica solo dal punto di vista giuridico rischia di non essere in grado di gestire adeguatamente le minacce del mondo digitale e di esporsi pericolosamente alle sanzioni previste dal GDPR.
Seppure la maggior parte delle organizzazioni hanno già da tempo affrontato il problema della conformità al GDPR tuttavia tale adeguamento richiede un percorso sistematico di aggiornamento e audit delle misure tecniche ed organizzative messe in atto.
Metodologia

La metodologia utilizzata si basa su quanto riportato sul documento” Handbook on Security of Personal Data Processing pubblicato da ENISA e sullo schema di certificazione ISDP©10003 accreditato da Accredia ed espressamente concepito per valutare la conformità al GDPR.

Obiettivi:

  • Effettuare un audit puntuale delle misure tecniche ed organizzative in ambito GDPR
  • Definire un piano di remediation per migliorare il livello di maturità della data protection aziendale
  • Ridurre il rischio di sanzioni.
  • Predisporre l’organizzazione alla certificazione ISDP©10003

Il servizio Data Protection Assessment prevede:

Audit di conformità
GDPR

Revisione dell’impianto delle evidenze documentali. Revisione e aggiornamento dei registri dei trattamenti. Verifica della corretta gestione dei diritti degli interessati. Verifica e revisione delle procedure di data breach.

Analisi del
rischio GDPR

Analisi sistematica dei rischi dei trattamenti di dati personali. Valutazione della propensione al rischio (risk appetite) della Documentazione delle misure di mitigazione, aggiornamento e sviluppo delle DPIA.

Analisi
dei DPA

Analisi e revisione delle criticità contrattuali sottese agli accordi relativi ai responsabili esterni del trattamento (Data Processing Agreement – DPA) finalizzata ad una governance corretta ed efficace dei rapporti con le controparti.

Maturity
Model

Analisi della maturità dei processi di data protection mediante l’utilizzo di maturity model basato sullo schema di certificazione ISDP©10003 e sulle best practice ENISA

GDPR
Framework

Il Framework consiste in un pacchetto di strumenti (Toolkit) sviluppati in Excel e VBA per l’analisi e valutazione dei rischi, sviluppo e gestione dei registri dei trattamenti e sviluppo e gestione delle DPIA. Questi stessi Toolkit sono utilizzati nel corso dell’attività di audit e di analisi del rischio GDPR e vengono rilasciati compilati e corredati da documentazione tecnica e d’uso.

Remediation
Plan

Stesura di un “Remediation Plan” contenente le misure tecniche ed organizzative di mitigazione dei rischi GDPR e proporzionate alla propensione al rischio dell’organizzazione.

Modalità di erogazione dei servizi di Compliance Services

L’impegno necessario per erogazione del primo pacchetto di servizi, i Compliance Services, e di conseguenza i costi del servizio non sono valutabili a priori. Il numero di giornate di attività dei consulenti necessarie ad erogare questa tipologia di servizi è funzione di molti parametri, i più elementari sono il settore di business e la dimensione dell’azienda ma, incidono in modo significativo anche altri parametri come la specifica articolazione dei processi aziendali, le tecnologie utilizzate, il risk appetite ecc.
Pertanto il team dei consulenti effettuerà gratuitamente e senza impegno un pre-assessment dell’organizzazione al fine di raccogliere tutte le informazioni necessarie alla definizione degli obiettivi, alla formulazione di un piano di assessement e di un’offerta economica.

Framework e linee guida di riferimento

Framework CIS

Center for Internet Security (CIS) è un ente indipendente e no-profit che opera con l’obiettivo di migliorare la sicurezza dei sistemi interconnessi. CIS Controls, CIS Benchmarke e Cis Hardened Images sono solamente alcuni dei progetti CIS divenuti punti di riferimento per la sicurezza dei sistemi IT.

NIST

Il National Institute of Standard and Technology (NIST) è un ente del Governo Statunitense fortemente attivo nel campo della sicurezza informatica. Nel 2013 NIST ha sviluppato un framework, basato su standard internazionali e linee guida, per ridurre il rischio cyber delle infrastrutture critiche.

ISO 27000

La serie ISO 27000 è una famiglia di standard relativi a Sistemi di Gestione per la Sicurezza delle informazioni, tramite i quali le organizzazioni possono attivare sistemi e processi per la gestione sicura delle proprie informazioni riservate.

“Nella vita ci sono rischi che non possiamo permetterci di correre
e ci sono rischi che non possiamo permetterci di non correre.”

(Peter F. Drucker)

Contattaci

Facebook-square
CONTATTI

Via Ancona, 13 bis 60035 Jesi (AN)
blueteam.srl@pec.it 
info@blueteamsicurezzainformatica.it
0731 696134

COMPANY

Chi Siamo
L’approccio in Blue Team
Partner
Contattaci

SERVIZI

IT Security
Compilance Services


SCOPRI

News
Lavora con noi


Copyright © BLUE TEAM S.R.L. | P.iva 02890910421

Preferenze Cookie  Privacy Policy