Da anni collaboriamo con IBM, da sempre leader nel mercato della Security IT, fornendo ai responsabili della sicurezza gli strumenti per affrontare e gestire minacce interne ed esterne all’Azienda. IBM gestisce una delle maggiori organizzazioni al mondo di ricerca e sviluppo in ambito Security, con tutte le competenze per aiutarti a proteggere gli asset critici dell’Azienda, dalla protezione dell’infrastruttura, dei dati e delle applicazioni, ai servizi di sicurezza e cloud.

La maggior parte degli IT Manager concorda sul fatto che la definizione di sicurezza sia cambiata. Non è difficile capire perché. I confini dell’ IT si sono ampliati con il diffondersi di nuovi trend come il BYOD, il cloud, la social collaboration e altre innovazioni. Tutto ciò rende essenziale monitorare lo svolgimento delle attività di rete, garantire la protezione dei dati e avere una continuità di servizio. Obiettivo primario di un sistema di sicurezza in un’Azienda è garantire l’integrità, la confidenzialità e la disponibilità delle informazioni che costituiscono il patrimonio aziendale. Tale patrimonio deve essere protetto dalle minacce di accessi non autorizzati, intrusioni, o anche più semplicemente dal cattivo trattamento delle informazioni all’interno del sistema informativo aziendale, al fine di permettere un’ottimale operatività delle risorse e la continuità delle operazioni di business. Il raggiungimento delle esigenze di sicurezza richiede l’individuazione e la realizzazione di misure di tipo organizzativo, normativo e tecnologico, in una logica di prevenzione (risk management) piuttosto che in una logica di semplice vigilanza o gestione delle emergenze.

Metodologia di assessment
La metodologia di assessment di sicurezza delle informazioni proposta si sviluppa a partire da:

  • controlli di sicurezza previsti dallo standard di sicurezza ISO/IEC 27001 Information Security Management

– Code of practice for ISM e best practices di riferimento;

  • indicazioni provenienti da altri standard Internazionali rilevanti (es. CobiT, ITIL);
  • trend e best practices di settore avvalendosi degli studi di organismi di ricerca IBM come X-Force, Institute for Advanced Security, Institute for Business Value;
  • Informazioni rese disponibili giornalmente da X-Force sulle evoluzioni dell’information security nel mondo utili a rimodulare le priorità di gestione dei rischi.

In particolare la norma ISO/IEC 27002-1:2013 costituisce, quale standard internazionale di sicurezza, un vero modello di riferimento per la valutazione del livello di sicurezza delle informazioni in grado di analizzare sia le componenti tecnologiche che quelle organizzative che contribuiscono a definire un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Lo standard consente infatti di verificare lo status di sicurezza relativo a 14 differenti aree di controllo, come segue:

  1. Information security policies
  2. Organization of information security
  3. Human resource security
  4. Asset management
  5. Access control
  6. Cryptography
  7. Physical and environmental security
  8. Operations security
  9. Communications security
  10. System acquisition, development and maintenance
  11. Supplier relationships
  12. Information security incident management
  13. Information security aspects of business continuity management
  14. Compliance

L’assessment prevede una serie di rilevazioni tramite interviste e/o analisi documentale su aspetti di sicurezza riguardanti il sistema oggetto della valutazione.

Tutte le informazioni raccolte confluiranno in un tool IBM, organizzato sulla base dei 14 domini.

Per ogni dominio verrà formulata una valutazione del livello di conformità rispetto allo standard ISO, secondo una scala di valutazione.

Alla fine del lavoro verranno sintetizzati e razionalizzati i risultati dell’assessment e verrà prodotto un Report finale che includerà:

  • – la Gap Analysis rispetto alla ISO
  • – valutazione rispetto a best practices di settore
  • – identificazione aree di miglioramento
  • – definizione interventi suggeriti con indicazioni di criticità, priorità.

 

Metodologia per Vulnerability Assessment, Penetration Test e Web Application Testing
La metodologia utilizzata per la scansione delle vulnerabilità dei sistemi si basa sugli standard di mercato e sulle best practice di sicurezza. In particolare sono eseguiti di test sulle reti e sui server identificati dal cliente al fine di valutare il livello attuale di vulnerabilità, individuare le debolezze che consentirebbero l’accesso a informazioni critiche e sensibili e fornire raccomandazioni dettagliate sulle azioni correttive per limitare i rischi e aumentare la protezione.