MD SECURITY

SCOPRI IL SERVIZIO

Medical Device
security assessment
& enforcement

Il servizio di security enforcement prevede una attività preliminare di analisi e contestualizzazione dell’assetto organizzativo e tecnologico seguita da una rilevazione delle misure di cybersecurity in essere che saranno messe a confronto, mediante l’utilizzo di un apposito modello (maturity model), con le misure indicate in uno dei più diffusi e completi framework di cybersecurity sviluppato dal CIS.

L’analisi dei gap tra le misure in essere e quelle indicate dal framework come ottimali costituiranno il driver per la definizione delle azioni correttive da porre in essere ai fini di garantire un adeguato livello di sicurezza IT in coerenza con quanto richiesto dal business, dal budget e dalla normativa cogente.

METODOLOGIA

L’analisi del rischio sarà mappata secondo una opportuna gerarchizzazione e tassonomia degli asset, l’analisi delle minacce, vulnerabilità e contromisure e relativo calcolo del rischio saranno basati sui “CIS Controls®”.

Queste misure, sviluppate e regolarmente aggiornate dal CIS, consentono di definire differenti ambiti di mitigazione dei rischi, consistenti in controlli di natura tecnologica, organizzativa e procedurale, con tre livelli crescenti di complessità di attuazione.

Il primo livello di attuazione è da considerarsi basico, i due livelli successivi richiedono misure tecniche ed organizzative via via più complete e sofisticate che risultano necessarie per le organizzazioni più complesse o maggiormente esposte a rischi per via della criticità dei servizi erogati.

L’analisi dei gap tra le misure in essere e quelle indicate dal framework come ottimali costituiranno il driver per la definizione delle azioni correttive da porre in essere ai fini di garantire un adeguato livello di sicurezza IT in coerenza con quanto richiesto dal business, dal budget e dalla normativa cogente.

 

Obiettivi

Misurare il livello delle misure tecniche
Misurare l’attuale «Security Posture» dell’organizzazione, ovvero il livello di efficacia delle misure tecniche ed organizzative di cybersecurity poste in essere da un’organizzazione.
Adottare una metodologia

Adottare una metodologia che consenta di ottenere degli score comparabili e monitorabili nel tempo relativamente alla “Security Posture”.

Migliorare la cybersecurity
Definire un Piano di Remediation la cui attuazione consentirà di migliorare il livello di maturità delle misure di cybersecurity dell’organizzazione.
Il servizio di Security Assessment & Enforcement prevede:

Assessment misure di cybersecurity

Analisi e contestualizzazione dell’infrastrutture tecnologiche e dei processi di gestione. Verifica e revisione delle modalità di gestione degli incidenti.

Analisi del
rischio Cyber

Analisi rischi delle misure tecniche ed organizzative mediante un maturity model basato su CIS Controls®. Valutazione della propensione al rischio cyber (risk appetite).

Analisi contratti
di servizi IT

Analisi e mitigazione delle criticità contrattuali sottese agli accordi relativi ai servizi digitali al fine di una governance corretta ed efficace dei rapporti con le controparti.

Cybersecurity
Framework

Il Framework consiste in un pacchetto di strumenti (Toolkit) sviluppati in excel e VBA per l’analisi e valutazione dei rischi, sviluppo e gestione di un Maturity Model. Questi stessi Toolkit sono utilizzati nel corso dell’attività di assessment e di analisi del rischio cyber e vengono rilasciati compilati e corredati da documentazione tecnica e d’uso.

Remediation
Plan

Analisi delle maturità dei processi di data protection mediate un maturity model basato sulle best practice CIS. Stesura di un “Remediation Plan” con l’aggiornamento delle misure tecniche ed organizzative proporzionate alle risultanze dell’analisi del rischio cyber e alla propensione al rischio dell’organizzazione.
Armis

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.”