Case study: Cyber Risk Quick Assessment

L'azienda cliente
L’azienda cliente, parte di un gruppo italiano attivo nel settore ICT, sviluppa piattaforme software a supporto di attività di ingegneria di progetto, anche in contesti internazionali. La protezione dei dati e delle informazioni rappresenta un obiettivo aziendale importante e una garanzia della correttezza e dell’affidabilità del modus operandi nei confronti dei clienti e dei partner commerciali.
L’azienda in questione è inoltre quotata al mercato telematico.

L'esigenza
Durante l’implementazione del sistema di gestione della sicurezza a fini ISO27001 l’azienda cliente, pur non avendo rilevato in passato incidenti di significativa rilevanza, ha sentito l’esigenza di effettuare un approfondimento focalizzato principalmente sul cyber risk. A tale fine, l’azienda si è rivolta ad Adfor per effettuare un’analisi diagnostica, attraverso lo strumento di quick assessment, basato sui principi del NIST.

Metodologia e tool utilizzati
L’assessment si è svolto tramite interviste e workshop al personale chiave, in modo da identificare, approfondire e valutare la presenza e la maturità dei presidi di controllo già presenti all’interno dell’organizzazione e in modo da concentrare l’attenzione (e le risorse) sulle aree ritenute prioritarie; in particolare, all’interno del framework di riferimento sono state identificate 7 macrocategorie rilevanti per l’azienda cliente:
  • Asset management
  • Access control
  • Awareness and training
  • Information protection processes&procedures
  • Protective technology
  • Security continuous monitoring
  • Mitigation

I risultati
L’assessment ha permesso di identificare i gap di sicurezza presenti all’interno dell’organizzazione e di definire un piano di rimedio concreto, con responsabilità chiare e tempistiche formalmente concordate. La matrice delle priorità è stata rappresentata (e condivisa con il management) tenendo in considerazione la valutazione di rischio cyber, oltre all’impegno e alla complessità della risoluzione prevista dal piano di azione.
Tra le azioni da portare avanti, le seguenti hanno avuto massima priorità:
  • La gestione degli accessi a documenti e informazioni;
  • La definizione di un solido sistema di autenticazione per gli utenti che si collegano da remoto;
  • La ridefinizione di un processo di incident management adeguato alle esigenze dell’organizzazione;
  • E, non da ultimo, una revisione sostanziale del piano di Business Continuity.
Il piano d’azione è stato portato a termine nei tempi previsti e, a valle dell’assessment, è stato messo in piedi un sistema di monitoraggio con l’obiettivo di misurare periodicamente l’efficacia dei presidi in essere, considerando anche le minacce, gli incidenti, i cambiamenti regolamentari e di business, sia interni al gruppo che esterni.







 

PMP®, CAPM®, and PMBOK® are registered trademarks of the Project Management Institute, Inc.;
ITIL®,PRINCE2®,PRINCE2 Agile®,MSP®,M_o_R®,P3O®,MoP®,MoV®/RESILIA™ are registered trademarks of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.
IT Infrastructure Library® is a registered trademark of AXELOS Limited.
The Swirl logo™ is a trademark of AXELOS Limited.
AgilePM® is a registered trademark of Agile Business Consortium Limited. All rights reserved.
The APMG International ISO/IEC 27001 and Swirl Device logo is a trademark of The APM Group Limited, used under permission of The APM Group Limited. All rights reserved.
DSDM® and Atern®, are registered trademarks of Agile Business Consortium Limited. All rights reserved
COBIT® and COBIT®5 logo are registered trademarks of Information Systems Audit and Control Association® (ISACA®)
BRMP® is a registered trademark of Business Relationship Management Institute. All rights reserved.