L’agire in conformità a protocolli, metodologie e linee guida basate su standard internazionali, quali la ISO/IEC 27001:2013, oltre alle normative nazionali ed internazionali, come la normativa in ambito privacy, garantisce un reale controllo ed una corretta gestione delle soluzioni di sicurezza, di tutta l’organizzazione e dei processi. Il modello operativo che ISC utilizza per l’attività di COMPLIANCE è basato innanzitutto sullo standard ISO/IEC 27001:2013, messo in pratica attraverso proprio personale con qualifica di Lead Auditor ISO/IEC 27001. La sicurezza delle informazioni è passo necessario e fondamentale per una corretta governance dei sistemi in ambito ICT. ISC impiega team che posseggono conoscenze e certificazioni sulle principali metodologie, best practices, standard ad essa correlati:
- ISO27001:2013
- ITIL
- ISO/IEC 20000:2011
- ISO 22301
- ISO 19011
- DSS-PCI
- CISSP
- CISM
- CISA
- CSA STAR
In uno scenario internazionale in cui prosegue il processo di sensibilizzazione nei confronti delle tematiche della trasparenza aziendale e delle pratiche di buon governo, il primo passo è assicurare il rispetto delle leggi vigenti. A tal proposito ISC garantisce adeguata preparazione per la compliance ai principali dettami legislativi quali:
- EU 679/2016 «GDPR»
- lgs 101/2018 che adegua il Codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196)alle disposizioni del Regolamento (UE) 2016/679.
- Lgs. 231/2001
- Direttiva NIS
- Regolamento UE n° 910/2014 – eIDAS
- lgs 82/2005 (codice dell’amministrazione digitale)
- Misure minime di sicurezza ICT emanate dall’AgID per la P.A.
Le verifiche, dettagliate, mirano a fornire al Cliente un overview generale sullo stato di sicurezza degli applicativi e delle infrastrutture, un focus tecnico e analitico su tutti i problemi di sicurezza, che un ICT Security Specialist esperto può individuare a seguito di un approfondito esame. Le attività, per garantire una valutazione di sicurezza indipendente, oggettiva e ripetibile, sono condotte seguendo le linee guida di analisi più accreditate (OSSTMM, OWASP, ISO/IEC 15408, ITSEC, TCSEC).
La sicurezza delle informazioni è un aspetto in continua evoluzione in quanto vengono individuate costantemente nuove vulnerabilità, nuove tipologie di attacco, vengono aggiornate le normative e gli standard di riferimento, e così via. Riveste quindi una particolare importanza un continuo aggiornamento del personale operante sui diversi aspetti di ogni organizzazione su temi quali:
- Security awareness
- Aggiornamenti normativi
- Sviluppo sicuro
- Ethical Hacking
E’ sempre fondamentale sottolineare che l’anello debole della catena sono sempre le persone e quindi sulla loro formazione e sensibilizzazione e fondamentale investire.
Security Standards Compliance
Law Compliance
Etichal Hacking
Formazione e awareness