Knowledge out of the box

moduli header

Perché “knowledge out of the box”.

Nel corso della nostra lunga esperienza consulenziale abbiamo compreso che ci sono due tipi di attività quelle che meritano di essere pagate anche a caro prezzo e quelle che non dovrebbero essere oggetto di consulenza.
Alla prima categoria appartengono le idee, conoscenze e modalità innovative che possono essere portate in azienda da persone capaci e competenti, le esperienze, la possibilità di avere una visione dall’interno di come agiscono e si comportano altre imprese. L’insieme di questi due aspetti è ad “alto valore aggiunto”.
In un modello Data-Information-Knowledge-Wisdom si trovano all’ultimo livello.

Nella seconda categoria rientrano tutte le attività di formalizzazione (per esempio la gestione dei cartigli sui documenti e il flusso approvativo), quelle di analisi e studio degli standard internazionali e delle normative applicabili (per esempio e regolamentazioni in materia di protezione dei dati), la redazione di appropriata documentazione a supporto dell’organizzazione.
Nel modello di cui sopra tutto ciò si colloca appena sotto la Wisdom.

Poiché riteniamo che il cliente debba disporre di questo tipo di conoscenza, ma senza pagarla continuamente (Non ti faccio comprare il pesce, ma la canna da pesca), nello sviluppo del nostro prodotto abbiamo utilizzato, ovunque fosse possibile un approccio “knowledge out of the box”.
Questo significa che molti dei moduli di USP non sono “scatole vuote”.

reporting

Modulo Core.

In questa componente sono concentrate le feature tecnologiche, diventando così il pilastro portante dell’intero portale
  • Gestione elenchi dei controlli e delle norme. Permette il caricamento e l’aggiornamento delle contromisure di sicurezza in essere. Possono essere raccolte sulla base di standard internazionali oppure secondo i criteri propri dell’organizzazione.
  • Non conformità. Sulla base del modello ISO consente di gestirne l’intero ciclo di vita e le relazioni, secondo una logica di “molti a molti” rispetto alle azioni correttive.
  • Azione correttive. Come per le non conformità è possibile una gestione completa. I workflow configurabili permettono l’assegnazione di task per lo svolgimento delle attività di correzione delle non conformità.
  • Progetti. Declinati secondo la logica delle azioni di miglioramento definite negli standard ISO, rende possibile la gestione e monitoraggio delle attività relative a progetti con impatto sulla sicurezza. Come per le azioni correttive è possibile la configurazione di workflow.
  • Reminder. Funzionalità che permette di creare avvisi personalizzati a scadenza per se stessi e per altri. La funzionalità si propaga a tutti gli altri moduli

Knowledge out of the box.

Il modulo è popolato con i controlli dell’Annex A della ISO 27001 e con quelli ricavati dalle principali normative nazionali (196/03, 231/01, etc.) e standard internazionali (PCI-DSS, Cobit, etc.).

Modulo Document Management.

Gestore di politiche, procedure e istruzioni operative in modalità ISO-Like, caratteristica che gli permette di estendere il suo utilizzo a qualsiasi certificazione (9001, 14000, etc.), il modulo rappresenta un buon punto di partenza per la creazione del sistema di gestione della sicurezza.
E’ possibile configurare flussi approvativi multilivello.

  • Aggiornamento documenti.Oltre a mantenere un completo versioning, grazie alla possibilità di arricchire di metadati ogni oggetto, il sistema permette di gestire automaticamente i cartigli (revisione, storia dei cambiamenti, controlli associati, approvazioni, versioning, etc.) sul documento vero e proprio.
  • Documenti non residenti.Qualora una politica o procedura sia gestite in un sistema diverso (altro documentale, file server, etc.), è possibile comunque referenziarla tramite link e gestirla come se fosse situata all’interno del modulo stesso.
  • SOA (Statement of Applicability). Il documento, specifico e obbligatorio in caso di certificazione ISO 27001, viene generato automaticamente, una volta che il modulo è stato popolato.

Knowledge out of the box.

Il modulo viene fornito popolato con i draft delle politiche e delle procedure richieste per “coprire” i 114 controlli dell’Annex A della ISO 27001.
document management

memory

Modulo Memori – Risk Management .

Tool per l’analisi e la gestione dei rischi adeguato per le principali metodologie riconosciute. La valutazione dei rischi viene espressa attraverso la relazione tra le variabili rappresentate da minaccia, vulnerabilità, controllo e asset valutabile su più dimensioni (riservatezza, integrità, disponibilità, etc.).
  • Modalità gestione rischio. Sulla base dei risultati dell’analisi, all’interno della dashboard è possibile effettuare simulazioni di tipo “what if” modificando il perimetro, accorpando gli asset, selezionando specifiche minacce. Attraverso la funzionalità di “ranking” il tool evidenzia quali sono gli asset più critici e suggerisce su quali controlli intervenire, secondo criteri di efficacia ed efficienza, al fine di ottenere la massima riduzione del rischio sulla base dello scenario costruito. Il cambiamento dello stato viene rappresentato in tempo reale sulla matrice e sugli istogrammi.
  • Questionari. Il modulo è dotato di un potente motore per la gestione di questionari per la raccolta delle informazioni relative ad asset, minacce, controlli e vulnerabilità.
  • GDPR. Consente la gestione del registro delle attività di trattamento in modo integrato con la le esecuzione delle relative analisi dei rischi che costituiscono la base per la realizzazione delle DPIA (Data Protection Impact Assessment)

Knowledge out of the box.

Il modulo viene fornito con la matrice delle relazioni tra minacce e controlli già compilata in termini di riduzione dell’effetto dell’evento sulla base del livello di implementazione del controllo applicabile.

Modulo Audit .

Strutturato per raccogliere e organizzare evidenze e documenti necessari per sostenere gli audit, il modulo consente di rendere efficiente il processo di raccolta e utilizzo del materiale.
  • Repository.Permette la raccolta centralizzata del materiale e la storicizzazione automatica degli audit. In particolare attraverso la configurazione dei flussi informativi e la funzionalità di reminder consente di gestire le attività di preparazione degli audit. Fornisce una vista specifica in sola lettura per l’auditor con la possibilità di accedere direttamente al modulo core per l’apertura della non conformità.
  • Cross compliance. Sistema di “recupero e riutilizzo” delle evidenze in funzione dell’obiettivo dell’audit. Il meccanismo permette di gestire il ciclo di vita delle evidenze, automatizzando la loro disponibilità per diversi standard e normative alle quali risultano applicabili.

Knowledge out of the box.

Il modulo viene fornito con precaricata la cross compliance tra diverse normative e standard ISO 27001, PCI-DSS, Cobit, GDPR, etc.).

audit

security

Modulo Security Incident Management .

Aggregatore per la gestione degli eventi di sicurezza che scalano a incidenti. Il modulo ha l’obiettivo di centralizzare la gestione degli incidenti di sicurezza e consentire lo sviluppo di un’adeguata knowledge base.
  • Integrazione fonti. Attraverso adeguate personalizzazione permette l’importazione automatica da fonti diverse (SOC, Sistemi di ticketing) dei dati relativi agli eventi, sulla base di criteri scelti dall’organizzazione.
  • Knowledge base. Il modulo mantiene la correlazione tra le non conformità e le azioni correttive come Lessons Learned, inoltre si interfaccia con Memori per fornire indicazioni “storiche” utili a definire i livelli di probabilità dei livelli di accadimento delle minacce.

Knowledge out of the box.

Al modulo può essere associato un servizio di “intelligence” per la rilevazione in Rete di eventi attinenti l’attività del cliente che verranno caricati direttamente sul modulo secondo un aperiodicità concordata.

Il tempo è prezioso,
noi ci prendiamo cura del tuo tempo.

I accept the Terms and Conditions.

un sistema di DI. GI. Academy Srl
V.le P. A. Pirelli 6, 20126 Milano P.IVA 06249920965
C.C.I.A.A. REA: MI - 1880014 Cap. Soc. € 12.000,00

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

+39 02.694.382.64

Chi siamo

Offriamo servizi di consulenza e training, in aula ed e-learning, per aziende di medie e grandi dimensioni. Da oltre 10 anni ci dedichiamo a progetti di ricerca e sviluppo nel campo del cyber risk management, con l'obiettivo di creare nuove metodologie e strumenti a supporto delle aziende.

© Copyright 2020 Di. Gi. Academy Srl