×
CORSI ISACA
CORSI COBIT
CORSI ITIL
CORSI ISO
CORSI PRIVACY
CORSI EC-COUNCIL
CORSI PRATICI
E-PRODUCTS

RISORSE GRATUITE:

FORMAZIONE AWARENESS
CONSULENZA PER LA COMPLIANCE

COMPLIANCE AL FRAMEWORK DEL NIST

Assistenza per la Compliance Aziendale al Cybersecurity Framework del NIST

La sicurezza dei dati e delle informazioni è diventata una priorità strategica delle aziende anche a seguito del continuo aumento delle minacce e degli attacchi che queste subiscono. Tale consapevolezza e l’implementazione di un sistema di gestione, in particolare il modello NIST, permettono un approccio olistico al problema che prende in considerazione tutti gli aspetti.
Gli attacchi informatici sono sempre più frequenti in tutti i settori di business: servizi, sanità, industria manifatturiera, banche e assicurazioni, retail e GDO, PA, etc. e con diverse modalità di attuazione
Gli attacchi rappresentano un grave danno per le organizzazioni sia dal punto di vista di un eventuale ricatto, sia dal punto divista del business (blocco produttivo) che di immagine. La metodologia NIST (National Institute of Standard and Technology) aiuta ad implementare un sistema di gestione e controllo sulla sicurezza dei dati, attraverso una framework gestionale.
Il servizio consiste nell'analisi del contesto aziendale e, attraverso un tool dedicato, la verifica dei livelli di implementazione della sicurezza dei dati (mediante una check list guidata e colloqui con il personale) e dei relativi rischi associati supportando l’organizzazione nell'implementazione dei piani di miglioramento, guidando l’organizzazione attraverso un percorso virtuoso e dedicato
SCOPI:
La verifica dello stato dell’arte in ambito di sicurezza, attraverso standard riconosciuti internazionalmente, permette all'organizzazione di capire come i processi e i dati siano trattati e come sia il livello di sicurezza implementato, individuando i gap e i piani di miglioramento; inoltre fissando gli obiettivi da raggiungere permette all'organizzazione di avere una chiara road-map da percorrere, rendendo consapevole tutta l’organizzazione dell’importanza della sicurezza dei dati integrandoli nel business aziendale.
A CHI E' RIVOLTO:
Tutte le Aziende, che vogliono garantire la sicurezza dei dati e delle informazioni, sia che trattino dati propri o per conto terzi, per ridurre la superficie di attacco, aumentare la consapevolezza e per ridurre i costi di eventuali attacchi informatici, garantendo gli obiettivi attesi di sicurezza.
CONTENUTI:
Il Framework è un approccio basato sulla gestione del rischio di cybersecurity ed è composto da tre parti:
- Framework Core;
- Framework Implementation Tiers;
- Framework Profile.
Ogni componente del Framework rafforza la connessione tra i fattori di business/mission e le attività di cybersecurity.
Il Framework Core comprende cinque funzioni simultanee e continue: identificazione, protezione, rilevamento, risposta e recupero. Se considerate insieme, queste funzioni forniscono una visione strategica di alto livello del ciclo di vita della gestione del rischio di cybersecurity da parte di un'organizzazione.
- Identifica: Sviluppa una comprensione organizzativa per gestire il rischio di sicurezza informatica per sistemi, persone, risorse, dati e capacità.
- Proteggi: Sviluppa e implementa misure di salvaguardia appropriate per assicurare la fornitura di servizi critici.
- Rileva:Sviluppa e implementa attività appropriate per identificare il verificarsi di un evento di sicurezza informatica.
- Rispondi: Sviluppare e attuare attività appropriate per intraprendere azioni per quanto riguarda un incidente rilevato di sicurezza informatica.
- Recupera: Sviluppa e implementa attività appropriate per mantenere i piani di resilienza e ripristinare eventuali capacità o servizi che sono stati compromessi a causa di un incidente di sicurezza informatica.
I livelli di implementazione del framework ("tiers") forniscono un contesto su come un'organizzazione considera il rischio di sicurezza informatica ed i processi in atto per gestire tale rischio. Il Profilo rappresenta i risultati in base alle esigenze aziendali che un'organizzazione ha selezionato dalle Categorie e Sottocategorie della struttura. La verifica delle misure di sicurezza implementate attraverso un modello riconosciuto, formato da più di 100 controlli permette all'organizzazione di avere una visione completa, trasversale e olistica dei suoi sistemi.
La metodologia indica di eseguire sette passi per creare o migliorare l’esistente programma di cybersecurity:
- 1: Definire lo scopo e le priorità: l'organizzazione identifica i suoi obiettivi di business/mission e le priorità organizzative di alto livello.
- 2: Orientare: una volta definito lo scopo del programma di cybersicurezza per la linea di business o per il processo, l'organizzazione identifica i sistemi e le risorse correlate, i requisiti normativi e l'approccio complessivo al rischio.
- 3: Creare un profilo: l'organizzazione sviluppa un profilo indicando quali risultati di categoria e sottocategoria dal framework core vengono attualmente raggiunti.
- 4: Condurre una valutazione del rischio: questa valutazione potrebbe essere guidata dal processo generale di gestione del rischio dell'organizzazione o da precedenti attività di valutazione del rischio.
- 5: Creare un profilo obiettivo: l'organizzazione crea un profilo target che si concentra sulla valutazione delle categorie e sottocategorie quadro che descrivono i risultati desiderati della sicurezza informatica dell'organizzazione.
- 6: Determinare, analizzare e prioritizzare gli interventi: l'organizzazione confronta il profilo attuale e il profilo di obiettivo per determinare le lacune. - 7: Implementare un piano d'azione: l'organizzazione determina le azioni da intraprendere per risolvere le eventuali lacune identificate nel passaggio precedente e quindi modifica le sue attuali prassi di sicurezza informatica al fine di raggiungere il Profilo obiettivo.
Queste attività, i piani di miglioramento e i risultati attesi e raggiunti vanno comunicati sia alla Direzione che agli stakeholder, infatti il CSF NIST è un modello di sicurezza informatica a supporto del business. Come tutti i modelli, anche questo deve essere adattato alla realtà e alla complessità aziendale e diventa uno strumento potente in mano all'organizzazione.

RICHIESTA INFORMAZIONI

Richiedi maggiori informazioni su questo servizio di consulenza scrivici.