Nel corso della nostra lunga esperienza consulenziale abbiamo compreso che ci sono due tipi di attività quelle che meritano di essere pagate anche a caro prezzo e quelle che non dovrebbero essere oggetto di consulenza.Alla prima categoria appartengono le idee, conoscenze e modalità innovative che possono essere portate in azienda da persone capaci e competenti, le esperienze, la possibilità di avere una visione dall’interno di come agiscono e si comportano altre imprese. L’insieme di questi due aspetti è ad “alto valore aggiunto”.In un modello Data-Information-Knowledge-Wisdom si trovano all’ultimo livello.
Nella seconda categoria rientrano tutte le attività di formalizzazione (per esempio la gestione dei cartigli sui documenti e il flusso approvativo), quelle di analisi e studio degli standard internazionali e delle normative applicabili (per esempio e regolamentazioni in materia di protezione dei dati), la redazione di appropriata documentazione a supporto dell’organizzazione.Nel modello di cui sopra tutto ciò si colloca appena sotto la Wisdom.
Poiché riteniamo che il cliente debba disporre di questo tipo di conoscenza, ma senza pagarla continuamente (Non ti faccio comprare il pesce, ma la canna da pesca), nello sviluppo del nostro prodotto abbiamo utilizzato, ovunque fosse possibile un approccio “knowledge out of the box”.Questo significa che molti dei moduli di USP non sono “scatole vuote”.
Memori: Strumento per l’Analisi e la Gestione dei Rischi
Memori è un potente strumento per l’analisi e la gestione dei rischi, basato sui best framework internazionali (ISO 27001 e 27005). Con Memori, puoi valutare e affrontare in modo efficace le sfide legate alla sicurezza.
Calcolo del Rischio
Il rischio viene calcolato come una combinazione tra la minaccia (evento dannoso), la vulnerabilità (carenza di controlli) e, opzionalmente, il valore degli asset espressi in termini di danno potenziale (valutazione delle componenti riservatezza, integrità, disponibilità, ecc.).
Tipologie di Analisi
Memori consente analisi qualitative o quantitative, entrambe con o senza valutazione degli asset. La visualizzazione del rischio avviene su diverse dashboard a seconda della tipologia di analisi:
- Per l’analisi quantitativa, utilizziamo un grafico a istogrammi.
- Per l’analisi qualitativa, disponiamo di una matrice di rischio completamente personalizzabile.
Gestione del Rischio
All’interno della dashboard, sulla base dei risultati ottenuti, puoi effettuare simulazioni di tipo “what-if”, modificando il perimetro di analisi (selezionando specifici asset o minacce). Attraverso la funzionalità di ranking, Memori suggerisce su quali controlli intervenire, secondo criteri di efficacia ed efficienza, al fine di ottenere la massima riduzione del rischio basata sullo scenario costruito. La variazione del rischio viene rappresentata visivamente sulla dashboard.
Conoscenza Integrata
Memori è fornito con l’elenco di minacce e controlli definiti nelle norme ISO 27005 e ISO 27001. Inoltre, disponiamo di una matrice di impatto delle minacce sulle componenti dell’informazione, una matrice di relazione tra minacce e controlli e i relativi livelli di mitigazione. La matrice di rischio predefinita per l’analisi qualitativa è inclusa nel modulo.
Compliance: Valutazione e Gestione della Conformità Normativa
Il nostro modulo Compliance è progettato per valutare il livello di implementazione dei controlli di una o più norme, dal punto di vista della conformità.
Questionari di Conformità
Con Compliance puoi creare questionari di conformità rivolti a terze parti esterne, come fornitori di servizi, infrastrutture, hardware o cloud. Inoltre, puoi utilizzare questi questionari per valutare la compliance di processi aziendali interni.
Valutazione Basata sui Controlli
Ogni tipo di valutazione si basa sui controlli. Attraverso le domande relative a questi controlli, puoi definire una serie di domande specifiche. I risultati di queste domande verranno raccolti in sessioni apposite, create a cadenza programmata oppure on-demand, rivolte a uno o più intervistati.
Domande di Contesto per Maggiore Accuratezza
Le singole domande possono includere “domande di contesto”, che consentono una maggiore accuratezza delle risposte da parte degli intervistati all’interno del questionario ed una profilazione accurata del servizio offerto dalla terza parte. Questo approccio aiuta a ottenere informazioni più dettagliate e specifiche.
Metriche di Performance KPI
Puoi definire le tue metriche di performance KPI (Key Performance Indicators) e visualizzarle in apposite rappresentazioni grafiche. Questo ti aiuta a monitorare la conformità nel tempo e a prendere decisioni informate.
- Per l’analisi quantitativa, utilizziamo un grafico a istogrammi.
- Per l’analisi qualitativa, disponiamo di una matrice di rischio completamente personalizzabile.
Gestione del Rischio
All’interno della dashboard, sulla base dei risultati ottenuti, puoi effettuare simulazioni di tipo “what-if”, modificando il perimetro di analisi (selezionando specifici asset o minacce). Attraverso la funzionalità di ranking, Memori suggerisce su quali controlli intervenire, secondo criteri di efficacia ed efficienza, al fine di ottenere la massima riduzione del rischio basata sullo scenario costruito. La variazione del rischio viene rappresentata visivamente sulla dashboard.
Conoscenza Integrata
Memori è fornito con l’elenco di minacce e controlli definiti nelle norme ISO 27005 e ISO 27001. Inoltre, disponiamo di una matrice di impatto delle minacce sulle componenti dell’informazione, una matrice di relazione tra minacce e controlli e i relativi livelli di mitigazione. La matrice di rischio predefinita per l’analisi qualitativa è inclusa nel modulo.
Audit: Strumento per la Gestione Efficace delle Evidenze
Audit è un potente strumento per la raccolta centralizzata, l’organizzazione e la gestione efficiente delle evidenze documentali e registrazioni necessarie per superare gli audit con successo.
Archivio delle Evidenze
Con Audit, puoi centralizzare la gestione di tutto il materiale prodotto nel tempo per affrontare gli audit. Utilizzando la funzionalità di reminder e i workflow configurabili, puoi monitorare la scadenza delle evidenze e assegnare task di raccolta, anche ricorrenti, a soggetti interni o esterni all’azienda.
Gestione degli Audit
Audit consente la gestione e la storicizzazione degli audit e dei relativi perimetri normativi. Individua e suggerisce le evidenze applicabili tra quelle in archivio, semplificando l’individuazione dei punti di controllo scoperti. Inoltre, fornisce una vista specifica in sola lettura per l’auditor, con la gestione di osservazioni e raccomandazioni, e la possibilità di aprire non conformità direttamente sul modulo Core.
Cross-Compliance
Il sistema di cross-compliance di Audit permette un riutilizzo intelligente delle evidenze, a seconda dell’applicabilità normativa. Puoi stabilire relazioni tra i punti di controllo delle varie normative, sulla base delle quali evidenze già prodotte per un audit di una specifica norma possono essere “riciclate” in audit su una norma differente, in cross-compliance con la prima.+
Conoscenza Integrata
Audit è fornito con la configurazione di cross-compliance per i principali standard e normative in ambito di sicurezza (GDPR, ISDP 10003, ISO 27001, PCI-DSS, Cobit, 231/01, SA8000 etc.).
- Strutturato per raccogliere e organizzare evidenze e documenti necessari per sostenere gli audit, il modulo consente di rendere efficiente il processo di raccolta e utilizzo del materiale.
- Cross compliance. Sistema di “recupero e riutilizzo” delle evidenze in funzione dell’obiettivo dell’audit. Il meccanismo permette di gestire il ciclo di vita delle evidenze, automatizzando la loro disponibilità per diversi standard e normative alle quali risultano applicabili.
Security Incident Management
Si tratta di uno strumento per la raccolta centralizzata e la gestione di eventi e incidenti di sicurezza: attraverso connettori appositamente predisposti, possono essere acquisiti dati relativi agli eventi catturati da fonti esterne (QRadar, Splunk, sistemi di ticketing, ecc.).
Gli obiettivi del modulo sono due:
- costruire una “knowledge base” aziendale in grado di aiutare le attività di analisi e risoluzione delle segnalazioni. Tra queste attività risulta estremamente importante la definizione di correlazioni tra le cyber minacce e le violazioni della sicurezza informatica giacché tale informazione risulta indispensabile al fine di definire correttamente i livelli di probabilità di accadimento degli incidenti.
- consentire la creazione di “pattern” configurabili che aiutino la pianificazione, l’assegnazione e la gestione di azioni. Ogni qualvolta si verifichino degli incidenti, ovvero delle non conformità, può essere innescato il relativo processo di trattamento e di monitoraggio della specifica mitigazione.
Security Incident Management, inoltre, si integra perfettamente con GULP®, la nuova soluzione di DI.GI. Academy nata per facilitare l’Incident Response e il Threat Hunting in termini di:
- efficienza nell’analisi e ricostruzione degli eventi,
- detection delle risorse impattate,
- definizione di azioni contenitive e relativi correttivi.
La dashboard di GULP® è costituita da un sofisticato sistema, destinato agli specialisti del Security Operation Center, che comprende una componente client (visualizzazione eventi ed analisi collaborative) e una server, opzionale nel caso servano agenti per collezione di specifici dati (per i dati nativamente supportati dai SIEM non viene quindi utilizzata tale componente server).
La soluzione consente analisi semi-automatiche (utilizzo di “sigma rules” ovvero rilevamento di attacchi cyber basati su specifiche sequenze di eventi) e analisi manuali (visualizzazione di eventi da log attraverso un’interfaccia velocissima e assolutamente innovativa).