Smart ASSESSMENT
Il progetto di Assessment mira ad analizzare la postura di sicurezza informatica dell’azienda, sia dal punto di vista organizzativo che infrastrutturale, mettendo in evidenza le principali vulnerabilità tecnologiche, gestionali e di processo. L’obiettivo è sensibilizzare l’azienda sui rischi a breve, medio e lungo termine, accompagnandolo in un percorso verso una gestione matura della cybersecurity, anche tramite la formazione del personale.
Il progetto di Cybersecurity SMART Assessment comprende diverse attività che possono essere realizzate anche singolarmente:
- verifiche per la ricerca di vulnerabilità tecniche o umane
- analisi dello stato attuale (AS-IS)
- analisi della Governance
Ciascuno di questi ambiti prevede la realizzazione di diversi micro-assessment, seguiti da una relazione dettagliata sui risultati, completa di suggerimenti per ridurre il più possibile l’indice di rischio.
Queste prime tre fasi sono spesso seguite da una attività di CISOaaS (CISO as a Service).
VERIFICHE PER LA RICERCA DI VULNERABILITÀ
VERIFICHE PER LA RICERCA DI VULNERABILITÀ
Vulnerabilità tecniche
- Analisi Applicazioni Web
- Vulnerability Assessment Software
- Verifica rete dati
- Verifica configurazione Antimalware
- Verifica Hardening Backup
- Verifica Hardening Active Directory
- Verifica possibilità di movimenti laterali
Vulnerabilità umane
- Campagna di Ethical Phishing
- Password Strenght Check
- Osint Threat Intelligence
ANALISI DEL AS-IS
ANALISI DEL AS-IS
Analisi di alto livello infrastruttura e servizi IT – OT – IoT – IoMT
Mappatura servizi e indipendenze
Mappatura dei servizi/processi aziendali, dei relativi responsabili, delle interdipendenze tra di essi. Identificazione dei servizi critici per l’organizzazione.
ANALISI GOVERNANCE
ANALISI GOVERNANCE
- Definizione del contesto aziendale Studio del business di riferimento e delle Norme a cui l’organizzazione è soggetta. Analisi dell’assetto societario e dell’organigramma. Definizione degli obiettivi.
- Analisi alto livello privacy e governance Compliance DPIA, GDPR, IAM, ecc… Verifica ed attuazione.
- Verifica controllo di sicurezza Cybersecurity compliance AGID, CIS 18, Framework nazionale, Framework NIST, ISO 27.000, IEC 62443: verifica ed attuazione
- Piano gestione degli incidenti
- Business continuity GAP analisi della fase di ripristino: tempo di ripristino, lista dei servizi critici, backup, alta affidabilità, ecc.
- Politiche di sicurezza Gestione delle identità, delle autenticazioni e dei permessi, sicurezza delle informazioni, gestione delle vulnerabilità, aggiornamento continuo dell’asset inventory, disciplina sull’utilizzo di strumenti informatici per i dipendenti, requisiti di sicurezza per le forniture, ecc…
CISO As A SERVICE
Le analisi sopra descritte offrono all’azienda un quadro completo e documentato dello stato di sicurezza e resilienza del Sistema Informativo, oltre a una valutazione del livello di Governance.
Per ogni vulnerabilità individuata, verranno forniti i rimedi consigliati.
Nel caso in cui tali rimedi dovessero essere implementati per garantire che il livello di sicurezza rimanga costantemente adeguato rispetto a un contesto in continua evoluzione, l’azienda dovrebbe dotarsi di una figura denominata CISO (Chief Information Security Officer).
Il CISO è una figura di consulenza altamente specializzata e qualificata. Mead offre la possibilità di fornire questa competenza sottoforma di servizio.
