cyber security studio consulenza gdpr Rabaioli

Consulenza Cyber Security: misure minime di sicurezza ICT, OWASP e il NIST framework


Il nostro Studio offre una consulenza in termini di Cyber Security Risk Assessment, supportando le aziende nel determinare le strategie per la valutazione dei potenziali rischi attraverso scansioni e analisi. Grazie all’esperienza maturata nel settore, il nostro Studio è in grado di supportare le aziende private e le pubbliche amministrazioni, nella implementazione delle misure progettate nel rispetto delle normative del Regolamento Generale sulla protezione dei Dati Personali (GDPR) e dell’AGID.

La sicurezza delle informazioni e la cyber security diventano infatti non solo una necessità ma un vero e proprio requisito fondamentale, al fine di garantire la certezza che le azioni svolte siano orientate alla salvaguardia dei diritti e delle libertà degli utenti.

Le misure minime di sicurezza ICT richieste sono senz’altro un punto di riferimento per valutare e migliorare il livello di sicurezza informatica delle infrastrutture, consentendo di effettuare controlli tecnologici, organizzativi e procedurali. Il fine ultimo è quello di contrastare le minacce informatiche più frequenti.

L’approccio che il nostro Studio di Consulenza attua per le Aziende “critiche” è quello offerto dal Framework per la Cybersecurity del NIST, uno strumento molto utile nelle mani degli esperti di sicurezza informatica per impostare e implementare un’infrastruttura informatica che presenti delle ragionevoli e adeguate misure di sicurezza.

In cosa consistono le misure di sicurezza ICT

Esistono tre livelli di attuazione delle misure tecniche informatiche minime che variano in funzione della complessità del sistema informativo di ogni azienda:

  • Livello Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme;
  • Livello Standard: è il livello, superiore al livello minimo, che ogni amministrazione deve considerare come base di riferimento in termini di sicurezza e rappresenta la maggior parte delle realtà della PA italiana;
  • Livello Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni;

Obiettivi delle misure minime di sicurezza ICT

Le misure minime di sicurezza ICT sono un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e che hanno meno possibilità di avvalersi di professionalità specifiche, possono verificare autonomamente la propria situazione e avviare un percorso di monitoraggio e miglioramento.

Le misure minime:

  • forniscono un riferimento operativo direttamente utilizzabile (checklist);
  • stabiliscono una base comune di misure tecniche ed organizzative irrinunciabili;
  • forniscono uno strumento utile a verificare lo stato di protezione contro le minacce informatiche e poter tracciare un percorso di miglioramento;
  • responsabilizzano le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di cyber security.

OWASP Top 10

OWASP (Open Web Application Security Project) è un’organizzazione no profit che ha come scopo quello di fornire soluzioni per quanto riguarda l’application security.

L’organizzazione pubblica periodicamente la OWASP Top Ten, nota anche come Web Application security risks, oltre a fornire consigli e tool gratuiti per aiutare sviluppatori e Team IT nello sviluppo di strategie di cyber security.

Lo sviluppo esponenziale del mercato delle applicazioni web impone infatti misure stringenti dal punto di vista dell’assessment e della mitigazione del rischio. Molto spesso le aziende, per mancanza di budget o poca sensibilità verso il tema della cyber security, non adottano un approccio di prevenzione al rischio cyber, favorendo la violazione dei dati e delle infrastrutture aziendali.

L’ultima lista OWASP aggiornata identifica le 10 principali minacce alle web application:

    1. Broken Access Control
    1. Cryptographic Failures
    1. Injection
    1. Insecure Design
    1. Security Misconfiguration
    1. Vulnerabile and Outdated Components
    1. Identification and Authentication Failures
    1. Software and Data Integrity Failures
    1. Security Logging and Monitoring Failures
    1. Server-Side Request Forgery (SSRF)

Le vulnerabilità di un servizio web sono particolarmente pericolose perché possono essere un vettore di infezioni malware, aumentando l’esposizione al furto dati e offrendo agli hacker punti di accesso a pc e server aziendali.

Grazie alla documentazione a supporto, il reparto IT potrà affrontare le minacce riportate con un approccio di vulnerability management più completo e organico, oltre che rafforzare la cultura della sicurezza informatica all’interno dell’azienda.

In cosa consiste il NIST Cybersecurity Framework

L’acronimo NIST sta ad indicare “National Institute of Standard and Technology” e nell’anno 2014 ha pubblicato il documento “Framework for Improving Critical Infrastructure Cybersecurity” nel quale vengono delineate delle linee guida con il fine di proteggere i sistemi e le risorse più importanti per la sicurezza del paese e che i settori critici siano adeguatamente protetti.

Quello che offre questo strumento è una sintesi di processi e di best practices da attuare per la valutazione dei rischi cibernetici.

Il framework è suddiviso in tre parti:

  1. Core,
    a sua volta suddiviso in:

    • Funzioni,
    • Categorie,
    • Sottocategorie
  2. Implementation Tier,
  3. Profile.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Formazione e Aggiornamento del Personale
  • Attività di Consulenza Privacy e assistenza annuale
  • Consulenza per Casi Particolari (ricorsi, segnalazioni...)
  • Modello Organizzativo della Privacy
  • Nomine di Responsabile del Trattamento dei Dati
  • Redazione delle Informative sul Trattamento dei Dati
  • Redazione dei Registri delle Attività dei Trattamenti
  • Regolamento per l'utilizzo dei Dispositivi Informatici
  • Ricopriamo il ruolo di Responsabile della Protezione Dati
  • Valutazione d'Impatto sulla Protezione dei Dati
  • Verifica della Conformità del Sito Web e Cookies Policy
  • Consulenza su Videosorveglianza e Geolocalizzazione
 
© 2020 - 2025 | All rights reserved | Privacy Policy | Cookies Policy

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli