Vulnerability assessment
Il Piano Triennale AgID richiede lo sviluppo di specifiche attività relative alla Cyber-security.
Nell’ambito del più ampio portafoglio di servizi proposti da SETI relativi agli adempimenti previsti dal Piano Triennale AgID 2020-2022, proponiamo una serie di servizi mirati ad elevato valore tecnico inerenti la materia della “Cyber Security”.
Le scadenze
- Entro dicembre 2021: le PA valutano l’utilizzo del tool di Cyber Risk Assessment per l’analisi del rischio e la redazione del Piano dei trattamenti.
- Entro marzo 2022: le PA definiscono, sulla base di quanto proposto dal RTD, all’interno dei piani di formazione del personale, interventi sulle tematiche di Cyber Security Awareness.
- Entro giugno 2022: le PA si adeguano alle Misure Minime di Sicurezza ICT per le pubbliche amministrazioni aggiornate.
Tali adempimenti, in capo al Responsabile per la Transizione Digitale, non sono un mero un mero adempimento amministrativo formale, bensì un opportunità per una seria ed approfondita valutazione del reale stato della sicurezza dei propri sistemi, elemento essenziale per Enti che basano i propri asset informativi quasi completamente su sistemi informatizzati.
SETI infatti integrerà le attività previste con più approfondite analisi effettuate con strumenti automatizzati e con l’impiego di specialisti altamente qualificati.
SETI infatti integrerà le attività previste con più approfondite analisi effettuate con strumenti automatizzati e con l’impiego di specialisti altamente qualificati.
Lo sviluppo del progetto
SETI, in fase avanzata di ottenimento di certificazione ISO27001 – 27017 – 27018, applicherà le strategie previste dai principi di tali normative.
Il Progetto di seguito proposto è stato pensato in 2 fasi, per venire incontro alle esigenze tecniche e di budget di qualsiasi cliente.
Fase 1 include tutti i servizi per adempiere agli obblighi previsti dal Piano Triennale AgID, ma non garantisce il mantenimento delle attività di verifica della security nel tempo. A tal proposito si evidenzia che una corretta applicazione dei principi di Cyber-security impone una costante applicazione di attività e verifica, secondo il principio del ciclo PDCA (Plan Do Check Act), che di fatto non avrà mai termine nel tempo.
Per tale motivo viene proposta anche una Fase 2, ovvero la pianificazione e ripetizione nel tempo di tutte le attività necessarie per il mantenimento di uno stato eccellente della sicurezza. E’ inoltre prevista per il cliente la possibilità di avvalersi di servizi sistemistici avanzati opzionali, per poter implementare operativamente nei propri sistemi tutte le necessarie configurazioni ed aggiornamenti per rendere effettivamente operative le misure di sicurezza; dato che non è possibile valutare a priori l’impatto di tale attività ed una loro stima, potrà essere proposta un’attività a giornate di lavoro con una buona approssimazione di dettaglio solo dopo lo svolgimento completo della Fase.
Il Progetto di seguito proposto è stato pensato in 2 fasi, per venire incontro alle esigenze tecniche e di budget di qualsiasi cliente.
Fase 1 include tutti i servizi per adempiere agli obblighi previsti dal Piano Triennale AgID, ma non garantisce il mantenimento delle attività di verifica della security nel tempo. A tal proposito si evidenzia che una corretta applicazione dei principi di Cyber-security impone una costante applicazione di attività e verifica, secondo il principio del ciclo PDCA (Plan Do Check Act), che di fatto non avrà mai termine nel tempo.
Per tale motivo viene proposta anche una Fase 2, ovvero la pianificazione e ripetizione nel tempo di tutte le attività necessarie per il mantenimento di uno stato eccellente della sicurezza. E’ inoltre prevista per il cliente la possibilità di avvalersi di servizi sistemistici avanzati opzionali, per poter implementare operativamente nei propri sistemi tutte le necessarie configurazioni ed aggiornamenti per rendere effettivamente operative le misure di sicurezza; dato che non è possibile valutare a priori l’impatto di tale attività ed una loro stima, potrà essere proposta un’attività a giornate di lavoro con una buona approssimazione di dettaglio solo dopo lo svolgimento completo della Fase.
Fase 1
Esecuzione dei test di Security
-
Esecuzione di test di vulnerability assessment interniProcederemo all’esecuzione di test interni alla rete LAN dell’Ente, finalizzati ad individuare le vulnerabilità di: PC, apparati di rete, server, host. Procederemo con l’utilizzo di tool di analisi specifici che saranno gestiti dal nostro personale da apposita appliance o VM installata all’interno della rete in accordo con il reparto ICT dell’Ente
-
Esecuzione di test di vulnerability assessment da esternoProcederemo all’esecuzione di test dall’esterno sugli indirizzi IP pubblici con servizi esposti
-
Esecuzione di penetration testProcederemo all’esecuzione di penetration test dall’esterno per la valutazione dello stato di protezione della rete
-
Applicazione del tool di Cyber Risk Assessment AgID
Presentazione risultati
Tramite un’approfondita relazione tecnica, saranno presentati i risultati dei test, evidenziate tutte le “remediation” necessarie, sviluppate le considerazioni tecniche necessarie a supporto del reparto ICT per una valutazione critica complessiva dello stato dei sistemi. L’attività standard di SETI non prevede lo sviluppo diretto di attività tecniche per l’applicazione di remediation.
Predisposizione del piano di formazione del personale
Messa a disposizione di un completo piano di e-learning tramite piattaforma dedicata per la formazione a tutti i livelli. Test on-line di verifica di avvenuta comprensione.
Adeguamento alla Misure Minime
-
Aggiornamento del questionario di valutazione
-
Presentazione del piano di adeguamentoSuccessivamente alla verifica dello stato di implementazione delle Misure Minime, sarà predisposta una relazione contenente il dettaglio delle azioni per l’adeguamento dei sistemi e delle misure.
Fase 2
Le attività previste dalla Fase 2 sono la ripetizione periodica, con cadenza quadrimestrale (3 volte l’anno) delle attività previste ai precedenti punti 1.1 – 1.2 – 1.3 – 2 – 4.1 – 4.2.
Verranno costantemente eseguite tutte le attività per il mantenimento a regime della security
Verranno costantemente eseguite tutte le attività per il mantenimento a regime della security
Il team tecnico specializzato
Da sempre SETI ha puntato all’elevata qualità delle proprie risorse umane. Negli ultimi anni abbiamo investito fortemente sulla formazione del personale, per garantire risultati di alto livello ai nostri clienti.
Vi metteremo a disposizione personale altamente qualificato ed in grado di produrre risultati ad elevato valore aggiunto, che si differenziano da quelli proposti da altri competitors che eseguono attività standardizzate e di inferiore livello di accuratezza e personalizzazione.
Uno degli elementi che rende l’attività di vulnerability assessment effettivamente di valore concreto e tangibile per il cliente, è proprio la capacità di personalizzare a livello “sartoriale” le attività tecniche da svolgere: con il progetto proposto da SETI il cliente sarà in possesso di uno strumento operativo e di riferimento per gli sviluppi delle attività di remediation.
Vi metteremo a disposizione personale altamente qualificato ed in grado di produrre risultati ad elevato valore aggiunto, che si differenziano da quelli proposti da altri competitors che eseguono attività standardizzate e di inferiore livello di accuratezza e personalizzazione.
Uno degli elementi che rende l’attività di vulnerability assessment effettivamente di valore concreto e tangibile per il cliente, è proprio la capacità di personalizzare a livello “sartoriale” le attività tecniche da svolgere: con il progetto proposto da SETI il cliente sarà in possesso di uno strumento operativo e di riferimento per gli sviluppi delle attività di remediation.
- Laurea in Ingegneria Informatica
- Certificazione ITIL v.4 Foundation (per tutti gli addetti del team)
- Corsi di formazione ISO 9001 (per tutti gli addetti del team)
- Corsi di formazione ISO27011 (per tutti gli addetti del team)
- Corsi di formazione in ambito GDPR (per tutti gli addetti del team)
- Corsi di formazione COMPTIA+ (in fase di acquisizione certificazione COMPTIA Security + e Comptia Network +) Corsi di formazione e certificazioni su tecnologie a massima diffusione (Veeam, VMWare, Watchguard, PFSense, Cisco, Ubiquiti, Mikrotik)
Se questo servizio non era quello che cercavi, forse potrebbero interessarti questi servizi correlati.
Scoprine di più.
Misure minime
Il servizio Misure Minime è finalizzato alla revisione, mantenimento e gestione delle “Misure Minime di sicurezza ICT per le pubbliche amministrazioni”.
Cyber awareness
Il processo di “consapevolezza informatica” è fondamentale per poter creare una cultura digitale e dell’innovazione a tutti i livelli dell’organizzazione.
Infrastrutturali FaaS
Servizi chiavi-in-mani efficienti ed efficaci per il mantenimento, la gestione e la sorveglianza del firewall, il dispositivo più importante e sensibile per la protezione della rete dell’organizzazione.