• Easy Compliance Panel

    Il livello di sicurezza di un ambiente complesso è pari a quello del suo anello più debole.

    Easy Compliance Panel - Sigemi

Easy Compliance Panel vuole soddisfare l’esigenza di avere un’unica dashboard dove poter verificare il livello di rischio/compliance di applicazioni in PaaS/SaaS che contengono informazioni provenienti da tutte le componenti:

CLOUD PROVIDER

(bilanciatore, waf, cloud operation)

SISTEMA OPERATIVO DI RETE (NOS)

(windows, linux e altri) e altri componenti del servizio PaaS/IaaS gestito da Sigemi (Backups)

APPLICAZIONE COME ZUCCHETTI HR INFINITY

(sviluppo modulo specifico)

Le caratteristiche di Easy Compliance Panel

  • Livello di maturità e obiettivo nell’adeguamento alle normative più rilevanti per il cliente
  • Framework per la compliance e gestione del rischio declinato per le componenti infrastrutturali e applicative
  • Scansione delle vulnerabilità (CVE) interne ed esterne (Black-Box & Grey Box) di tutti i componenti (Cloud, Nos, Application)
  • Controllo e evidenze settimanali dell’infrastruttura e del proprio impianto anonimizzato (Es. numero di utenti dell’applicativo con password senza scadenza, numero di login fallite)
  • Valutazione del rischio e remediation plan a supporto del partner applicativo per raggiungere il livello desiderato dal cliente
  • Statistiche di performance del proprio impianto rispetto alla media dell’infrastruttura
  • Strumento per integrare le informazioni di compliance interne al cliente, allo studio o al Partner

L’approccio di Easy Compliance Panel

  • Identificare una contestualizzazione del Framework

    Se l’organizzazione appartiene ad un settore regolato dovrebbe utilizzare una delle contestualizzazioni fornite dal proprio regolatore di settore, o definirne una propria implementando eventuali prototipi che colgono i regolamenti applicabili. Se l’organizzazione non appartiene ad un settore regolato può identificare tra le contestualizzazioni disponibili quella da utilizzare nel processo di implementazione del Framework, piuttosto che definirne una specifica.

  • Definire priorità e ambito

    Identificare periodicamente gli obiettivi strategici e le priorità di business dell’organizzazione in modo da selezionare aree e funzioni chiave che necessitino specifica focalizzazione.

  • Identificare sistemi e asset

    Individuazione delle informazioni e dei sistemi (sia dell’ambito IT che di quello industriale) che l’organizzazione ritiene vitali e critici per garantire Framework Nazionale per la Cybersecurity e la Data Protection 17.

  • Determinare il profilo corrente

    È previsto che sia valutato lo stato di implementazione e il livello di maturità per ciascuna subcategory del Framework. Questo permette di definire uno o più profili correnti in relazione alle aree/funzioni previste per l’implementazione del programma.

  • Analizzare il rischio

    Determinare e valutare i rischi mediante l’adozione di una metodologia considerata appropriata, in relazione alle specifiche caratteristiche organizzative e di mercato nel quale opera l’organizzazione.

  • Determinare il profilo target

    Attraverso il processo di trattamento del rischio, l’organizzazione deve poter definire un profilo target che, differentemente da quello corrente, rappresenta il livello di implementazione e di maturità che si ambisce a conseguire per ciascuna subcategory del Framework.

  • Determinare il gap rispetto al profilo target

    Completare una comparazione tra il profilo target e quello corrente per identificare i gap esistenti nella gestione della cybersecurity.

  • Definire e attuare una roadmap per raggiungere il profilo target

    Definire l’insieme di attività necessarie a raggiungere il profilo target determinato nella fase precedente. Ciò significa elaborare un piano specifico per realizzare i singoli controlli del Framework, secondo un piano temporale che varierà in relazione agli effettivi rischi individuati e in funzione delle condizioni specifiche in cui opera la singola organizzazione.

  • Misurare le performance

    L’efficienza del profilo target deve essere oggetto di revisioni periodiche e miglioramento continuo. Per questo devono essere definite delle metriche di monitoraggio
    in grado di evidenziarne anche i costi operativi. Le valutazioni sull’efficienza del profilo corrente devono essere utilizzate per definire il nuovo profilo target.
    È previsto che il Framework possa essere impiegato per la valutazione del livello di maturità delle attività e processi di cybersecurity. Questa applicazione, complementare alla precedente,
    prevede un processo più snello che permetta di valutare rapidamente i gap esistenti e di definire un piano di azione per il loro miglioramento.

Framework di valutazione

Identificare

  • Asset Management
  • Business Environment
  • Governance
  • Risk Assessment
  • Risk Management Strategy

Proteggere

  • Awareness Control
  • Awareness and Training
  • Data Security
  • Info Protection and Procedures
  • Maintenance
  • Protective Technology

Rilevare

  • Anomalies and Events
  • Security Continuous Monitoring
  • Detection Process

Rispondere

  • Responde Planning
  • Communications
  • Analysis
  • Mitigation
  • Improvements

Recuperare

  • Recovery Planning
  • Improvements
  • Communications

Scrivici per avere tutte le informazioni sul Easy Compliance Panel

Approfondimenti

Ci occupiamo noi di tutti gli aggiornamenti

Backup in Cloud o Backup in Locale?

Anthos

Anthos: la soluzione multi-cloud di Google

IaaS PaaS SaaS

IaaS, PaaS, SaaS: significati, esempi, destinatari, metodi di fatturazione

Storage su nastro

Perché abbandonare lo storage su nastro una volta per tutte?

Cloud i dubbi che frenano le aziende

Cloud: i 5 dubbi che frenano CEO e Manager

I vantaggi del Cloud sono tanti e ormai riconosciuti

La tua azienda ha davvero bisogno del Cloud?