Consulenza sicurezza informativa, Consulenza Cyber Security, Consulenza sicurezza informatica

Cyber Security

Business
Law & Security

Cyber Security

Il cyber crime è stato considerato “...senza ombra di dubbio il fenomeno criminale più pericoloso del nostro tempo, in grado di rovinare la vita alle persone, ma allo stesso tempo è il più sottovalutato”. 

La consapevolezza del rischio e le relative misure di sicurezza sono, infatti, “quasi completamente inesistenti persino a livello dei manager aziendali”.

Solamente i grandi gruppi aziendali e bancari hanno una coscienza sul punto.

Per il resto, il nulla. Il dato si desume, tra le altre fonti, dal documento pubblicato dal Cyber Security National Lab nell’ottobre del 2015 e intitolato “Un libro bianco per raccontare le principali sfide che il nostro Paese dovrà affrontare nei prossimi cinque anni”.

La mitigazione del rischio

È necessario “mettere in atto vere e proprie strategie difensive in mancanza delle quali, secondo il Report Global risks 2014 del World Economic Forum, nel 2020 le perdite economiche causate da attacchi cyber potrebbero arrivare fino a tremila miliardi di dollari”.

La mitigazione del rischio, all’interno delle singole realtà imprenditoriali, si sviluppa attraverso dei possibili passi da compiere, anch’essi suggeriti dalla best practice che sul tema si sta sviluppando, e così individuabili:

  • Politiche e standard condivisi per il rilascio di informazioni sensibili;
  • Addestramento delle risorse interne;
  • Identificazione delle contromisure nei processi organizzativi; 
  • Soluzioni software per impedire comportamenti rischiosi dell’utente;
  • Strategie di monitoraggio e di verifica della vulnerabilità nei processi aziendali;
  • Simulated cyber attack.

Sicurezza proattiva

Vulnerability Assessment

La verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo livello dei servizi di Sicurezza Proattiva.

Essa prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive, condotte avvalendosi di strumenti software open source e proprietari accuratamente selezionati, al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi.

Tali scansioni sono successivamente integrate da verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi e negativi eventualmente introdotti dagli strumenti di analisi automatica.


Isolando tempestivamente le reali vulnerabilità presenti sul perimetro della rete pubblica o all’interno della rete privata, il servizio di Vulnerability Assessment consente al Cliente di mantenere una visione aggiornata del grado di robustezza dei propri sistemi informatici, ottimizzando gli sforzi di gestione della sicurezza.

Penetration Test

Il servizio di verifica di sicurezza di tipo Penetration Test prevede l’esecuzione di test approfonditi in modalità Ethical Hacking.

Esso si basa su tecniche di attacco inferenziali finalizzate all’identificazione delle vulnerabilità non note o comunque non rilevabili tramite i soli strumenti di scansione ed analisi automatica.

L’attività di verifica si avvale delle competenze e dell’esperienza di personale altamente qualificato, allo scopo di simulare nel modo più esaustivo possibile le operazioni comunemente eseguite da un agente di minaccia esterno o interno, facendo uso degli strumenti e delle tecniche proprie di uno scenario reale.


Il servizio di Penetration Test consente il rilevamento sul campo delle eventuali vulnerabilità tecnologiche presenti all’interno dell’infrastruttura informatica oggetto di analisi.

Esso permette, inoltre, di verificare l’adeguatezza delle politiche di sicurezza adottate ed il livello di rispetto delle stesse da parte del personale.

Vulnerability Assessment e Penetration Test: Strumenti per evolvere

Scarica PDF

La Metrica di Sicurezza della metodologia OSSTMM

Scarica PDF

Security Evaluation

Il servizio di Security Evaluation prevede la verifica in ambiente di laboratorio del livello di sicurezza associato a particolari processi, applicazioni, piattaforme hardware e software dalle caratteristiche eterogenee.

Al fine di garantire la massima profondità ed esaustività dell’analisi di sicurezza, la valutazione è eseguita sistematicamente sia a livello progettuale che implementativo, avvalendosi delle competenze e dell’esperienza di personale altamente qualificato.

Il servizio comprende attività quali: reverse engineering, analisi dei protocolli di comunicazione, verifica dei meccanismi di cifratura, revisione del codice sorgente e delle configurazioni adottate. 
Il servizio di Security Evaluation consente il rilevamento sul campo delle eventuali vulnerabilità progettuali o implementative presenti sulle piattaforme hardware e software oggetto di analisi.

Permette, inoltre, di verificare l’adeguatezza delle procedure di sviluppo e deployment adottate ed il livello di rispetto delle stesse da parte del personale.

IT Risk Management

Il Risk Management è il processo che permette di essere consapevoli, prima, e di gestire, poi, i rischi a cui sono sottoposti gli asset aziendali. In ambito IT, tale processo consente di definire le linee guida per la pianificazione degli investimenti e delle attività, al fine di ridurre i rischi ed aumentare il livello di sicurezza associato ad un'infrastruttura informatica.

Componenti importanti di questo servizio sono il Risk Assessment e il Risk Treatment:

  • Risk Assessment: identificazione del contesto di attività e valorizzazione dei parametri di contorno fondamentali (asset, vulnerabilità, minacce, impatti, contromisure), al fine di valutare il livello di rischio residuo.
  • Risk Treatment: qualora il rischio rilevato superi il livello di rischio definito come accettabile, vengono progettate, valutate e messe in opera opportune attività correttive di rientro.

I risultati possono essere espressi sia su scala qualitativa, sia su scala quantitativa (in euro).

Security Audit

Il servizio di Security Audit costituisce un’innovazione in materia di valutazione del rischio IT, combinando in un’unica attività le discipline del Penetration Test e del Risk Assessment.


Il risultato di questa sinergia è un’analisi estremamente approfondita, finalizzata a determinare con precisione (anche quantitativa) il livello di sicurezza dell’infrastruttura informatica del Cliente, tramite l’impiego di metodologie formali di assessment tecnologico ed organizzativo.

La forte interazione tra queste due differenti tipologie di verifica consente di:

  • Ottimizzare l'esecuzione delle verifiche tecnologiche, razionalizzando gli effort e pesando al meglio le vulnerabilità e le esposizione rilevate;
  • Migliorare la precisione della valutazione del rischio e della successiva mitigazione, includendo un livello di dettaglio tecnico.

High Level Security Consulting

L’High Level Security Consulting è il servizio di consulenza di più ampio respiro, che comprende qualsiasi argomento inerente la sicurezza informatica (intesa sia da un punto di vista procedurale sia tecnologico).

Alcuni esempi delle tipologie di offerte più richieste:

  • Revisione dei processi
  • Progettazione sicura
  • Stesura della documentazione
  • Competitive Intelligence (CI)

Protezione degli utenti VIP

Scarica PDF

Sicurezza delle informazioni

Gap Analisys & IT Audit

La Gap Analysis è un’attività volta a individuare la distanza (il Gap) tra una situazione reale e una norma, una legge o un qualsiasi insieme di requisiti, esaminandola in modo esaustivo.

L’output di questa attività è una descrizione puntuale degli elementi mancanti per colmare tale distanza.



L’IT Audit è invece un processo formale per valutare la conformità rispetto a una norma, legge o policy aziendale individuata come requisito.

Questa analisi viene effettuata a campione, seguendo l’impostazione definita dalla ISO 19011:2011 e i criteri di ISACA, producendo quindi una serie di evidenze a supporto delle conclusioni di conformità o di non conformità.

Gli audit possono essere di prima parte (interni), di seconda (commissionati da un fornitore/cliente) o di terza parte (esterni).

I criteri utilizzabili per entrambi i servizi sono: ISO/IEC 27001:2013 o altre della famiglia 27000, D.Lgs. 196/2003, ISO/IEC 20000-1:2011 e ITIL 3, COBIT 5, PCI DSS 2.0, ISO/IEC 38500:2008, ISO 22301:2012 e altre.

Tendenze e legislazione dell'Information Security

Scarica PDF

ISO/IEC 27001:2013

La norma internazionale ISO/IEC 27001:2013 è finalizzata all’impostazione e applicazione di un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) allineandola con i requisiti di business aziendali.

In estrema sintesi il SGSI è basato sul concetto di valutazione iniziale del rischio e di successiva implementazione delle contromisure necessarie a ridurlo ad un livello accettabile.

@ Mediaservice.net ha sviluppato un’offerta per supportare ogni tipologia di Cliente per l’impostazione strutturata della gestione della sicurezza delle informazioni, incentrata sulla crescita e sul successo del Cliente.

L’offerta è completa, in grado di coprire e di centralizzare tutti i requisiti di sicurezza, legali o di business, e permette di affrontare in modo strutturato ogni problematica legata alla sicurezza delle informazioni.

Questo approccio è personalizzabile secondo le necessità e la disponibilità di ogni realtà aziendale, è rivolto al miglioramento continuo e può essere certificato in modo formale in conformità alla ISO/IEC 27001:2013.

Business Continuity Management

Per Business Continuity Management (BCM) si intende la capacità dell’azienda di continuare a svolgere la propria operatività e quindi il proprio business in seguito al manifestarsi di incidenti o di eventi catastrofici.

La gestione della continuità operativa e di servizio (o BCM) è un processo che:

  • Identifica i potenziali incidenti in grado di minacciare la continuità del business aziendale;
  • Fornisce una struttura in grado di organizzare una risposta a fronte del verificarsi di interruzioni dei processi di core business;
  • Riduce i rischi correlati alla continuità aziendale e ne gestisce le conseguenze sul piano gestionale, amministrativo e legale.

Rientrano in questo ambito la stesura e la revisione dei piani di gestione degli incidenti (Incident Management Plan - IMP), della continuità operativa (Business Continuity Plan - BCP) e di disaster recovery (Disaster Recovery Plan -DRP), in conformità a quanto previsto dagli standard di riferimento serie ISO/IEC 22301:2012 e ISO/IEC 24762:2008.

Conformità a PCI DSS

PCI DSS è l’acronimo di Payment Card Industry Data Security Standard.

È, a tutti gli effetti, una norma internazionale di sicurezza creata da un consorzio formato dai principali operatori del settore carte di pagamento per ridurre i rischi di sicurezza per esercenti e fornitori di servizi che utilizzano carte di pagamento.


La norma si articola in una serie di requisiti di sicurezza afferenti agli ambienti in cui i dati delle carte sono memorizzati, elaborati o trasmessi, requisiti finalizzati a minimizzare le probabilità che si verifichino eventi dannosi e a contenerne le conseguenze.

La sua impostazione è allineata con le best practice di settore.

High Level Security Consulting

L’High Level Security Consulting è il servizio di consulenza di più ampio respiro, che comprende qualsiasi argomento inerente la sicurezza informatica (intesa sia da un punto di vista procedurale, sia tecnologico) e che soddisfa esigenze puntuali non altrimenti comprese nell’offerta di @ Mediaservice.net.

Il servizio di High Level Security Consulting si avvale dell’esperienza del personale altamente specializzato di @ Mediaservice.net, il quale possiede competenze e capacità che gli consentono di soddisfare qualsiasi necessità di sicurezza, in un’ampia gamma di scenari tecnologici.

Tra le tipologie di offerte più richieste si incontrano la revisione dei processi, la progettazione sicura, la stesura della documentazione e la competitive intelligence (CI).

 

Chiedi a BLS Compliance

BLS Compliance è in grado di supportare e guidare i propri Clienti nella difficile materia della Cyber Security. Le molteplici attività saranno calibrate sulle specificità della singola realtà per il solo fine di garantire la sicurezza delle reti informatiche da attacchi esterni ed interni. BLS Compliance fornirà, altresì, percorsi formativi utili a sensibilizzare i discenti circa le criticità di errate prassi aziendali.   

Contatta BLS Compliance