Le competenze di consulting Security per il supporto al cliente

Transcript

1 Le informazioni contenute in questo documento sono di proprietà di Value Team S.p.a. e del destinatario del documento. Tali informazioni sono strettamente legate ai commenti orali che le hanno accompagnate, e possono essere utilizzate solo dalle persone che hanno assistito alla presentazione. Copiare, pubblicare o distribuire il materiale contenuto in questo documento è proibito e può essere illegale. Le competenze di consulting Security per il supporto al cliente Paolo Carcano Client Manager Value Team Security Division Milano, 10 Maggio 2011

2 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 1

3 Evoluzione del concetto di sicurezza attraverso gli standard di riferimento ITSEC Information Technology Security Evaluation Criteria (ITSEC), an European standard developed by France, Germany, the Netherlands and the UK. TCSEC (Orange Book) Trusted Computer System Evaluation Criteria (TCSEC) is a United States Government Department of Defense (DoD) standard BS7799 ISO 27001:2005 ISO 27005:2008 Published by BSI Group, written by the United Kingdom Government's Department of Trade and Industry (DTI) Published by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) Information security risk management, designed to assist the satisfactory implementation of information security based on a risk management approach The Common Criteria for Information Technology Security Evaluation (abbreviated as Common Criteria or CC) is an international standard (ISO/IEC 15408) for computer security certification Information Security Management System Design is a set of policies concerned with information security management or IT related risks Security as a product Security as a process 2

4 Evoluzione delle minacce e delle soluzioni di sicurezza verso un approccio integrato ILLUSTRATIVO PHYSICAL THREATS Building/Infrastructure attacks Building/Infrastructure violations Continuity management scenarios Thefts PHYSICAL SECURITY Social engineering Robberies Data leackage User and client identity theft ICT Frauds TVCC DLP Access control Antifraud SOC Policy & Procedures SOC ICT SECURITY DRP BCP Awareness IAM Application management vulnerabilities System management vulnerabilities ICT infrastructure attacks Malwares Denial of service attacks ICT Infrastructure Disasters ICT THREATS 3

5 Assume rilevanza fondamentale la capacità di sviluppare una visione d insieme e di trovare soluzioni organizzative capaci d interpretare le varie esigenza di sicurezza Dalla gestione separata delle funzioni di security all integrazione entro una direzione Centrale a dipendenza dal CEO al fine di creare sinergie e integrazioni Sicurezza Fisica Direzione Sicurezza Sicurezza Logica Safety Privacy INTEGRAZIONE Sicurezza Fisica Sicurezza Logica Processi Strumenti Competenze Risorse Safety Integrazione a livello di una Direzione Centrale di processi/strumenti per - - Pianificazione e controllo della strategia di gestione del rischio e del piano integrato di Sicurezza Comunicazione di risultati e obiettivi di Sicurezza verso il top management e le altre direzioni aziendali Business continuity 4

6 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 5

7 Principali sponsor dei progetti di Security ILLUSTRATIVO CSO CIO CTO Human Resource Organization Legal Compliance & ORM Audit Governance Policies Procedures Risk analysis KPI Certifications Roles and responsibilities BCP Risk analysis Security Policy Document Controls Certifications Audit plans Engineering Security solutions design, selection and integration Process design Controls design GRC solutions design, selection and integration Operations Solutions management Monitoring Reporting Training courses Awareness programs Collection of evidences VA/PT 6

8 Il valore della Sicurezza per le Funzioni di Direzione: Organizzazione, Risk Management, Compliance, HR e Audit Organizzazione -Impostazione della sicurezza dei processi aziendali per evitare perdite determinate spesso da scarsa sicurezza Risk Management -Contromisure di sicurezza che diminuiscano il capitale allocato a copertura dei rischi operativi Compliance -Adeguamento a normative di sicurezza per mitigare il rischio di sanzioni e il rischio di perdita di immagine Human Resources -Formazione e sensibilizzazione del personale sulle problematiche di sicurezza Audit -Sinergie nella definizione di un modello uniforme per la pianificazione e definizione degli interventi di sicurezza e per la verifica degli stessi 7

9 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 8

10 I servizi di consulenza per la security Value proposition I Security Management Consulting Governance Normativa Organizzazione Awarness Tipologia di clienti Chief Security Officer Chief Information Officer Chief Operating Officer Board of Directors Compliance Officer II Technology Risk Consulting & Delivery Information Security Business Continuity ICT Technology Security Crisis Management Fraud Management Physical Security Chief Information Officer Chief Security Officer ICT Security Manager BC / Crisis Manager Fraud manager III Compliance Risk Consulting Conformità a leggi nazionali Conformità a regolamenti di settore Conformità a direttive della CE Conformità a schemi di Corporate Governance Chief Operating Officer Chief Information Officer Board of Directors Audit Compliance officer 9

11 Value Team Divisione Security ha sviluppato un approccio sistematico ed innovativo nei confronti dell information security Security Strategy Definizione della strategia di posizionamento della funzione sicurezza Struttura organizzativa, politiche e processi Analisi continuativa del rischio Security Operations Gestione centralizzata della sicurezza Advisory, alerting e monitoring Gestione degli incidenti e delle metodologie reattive KPO/KPI control and planning Sistema integrato per la pianificazione degli obiettivi di sicurezza e di ritorno degli investimenti (KPO, Key Performance Objectives) e valutazione dei risultati (KPI, Key Performance Indicators) Infrastructure Security Progettazione dell infrastruttura tecnologica di sicurezza Progettazione di soluzioni di business continuity e disaster recovery Application Security Definizione e realizzazione di piani di sicurezza per applicazioni (SAP, MS Exchange, etc.) Progettazione e realizzazione di soluzione di SSO e identity management 10

12 VT Security supporta i propri clienti intervenendo con efficacia a vari livelli del modello operativo per la gestione della sicurezza Security Knowledge Management e Governance (TOP Management / Security Management) Security Knowledge base management Sistema di gestione delle informazioni generate da sistemi e servizi di Information Security Security investment evaluation Modello finanziario di valutazione di CAPEX e OPEX per le spese in Information Security ILLUSTRATIVO Security Operations Center (Security Management) Security Infrastructure & mgt (Security Operations Staff) Security Monitoring Sistema di monitoraggio degli eventi di sicurezza generati dalle infrastrutture Sicurezza perimetrale e reti comunicazione Infrastruttura di protezione della rete e delle sue interconnessioni, dei sistemi e delle applicazioni Risk Assessment e Mgmt Sistema di analisi e gestione del processo di Information Risk Management Sicurezza applicativa e dati Tecnologie di gestione della identità digitale degli utenti dei servizi informatici (autenticazione, autorizzazione e controllo accessi) Incident Handling Struttura, strumenti e processi di gestione degli incidenti di natura informatica Business Continuity e Crisis Mgmt Sistema di crisis mgmt e disaster recovery a supporto del contingency plan per garantire la continuità del business aziendale Organizational model & operational procedures Allineamento assetto organizzativo e impianto normativo per le procedure da applicare in fase di esercizio e gestione dei sistemi informatici Enterprise Security Portal 11

13 Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e Banca x Banca y Banca z Banca a Banca b Banca c Banca d Banca e CODICE Security Knowledge base management Security investment evaluation Tableau de Bord per la misurazione delle performance nella gestione della sicurezza Security Monitoring Risk Assessment e Incident Handling Mgmt Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio/performance in relazione all attività svolta e all impianto normativo vigente Misurazione ed analisi di tali variabili per il costante confronto con gli obiettivi prestazionali stabiliti in sede di pianificazione (sostenibilità, coerenza, efficienza ed economicità rispetto agli obiettivi di business) Identificazione e segnalazione delle opportune contromisure e delle azioni da intraprendere per ricondursi agli obiettivi pianificati Definizione dell alberatura logica dei contenuti Configurazione della componente applicativa per la generazione degli indicatori In funzione delle esigenze e dei contenuti sviluppati ai punti precedenti viene sviluppata la logica di navigazione e di presentazione degli stessi al fine di: recepire le indicazioni della comunicazione interna integrarsi con eventuali portali esistenti garantire un elevato livello di fruizione dei contenuti Sviluppare la componente applicativa Core del Tableau de Bord dedicata alla generazione degli indicatori ed al reporting periodico dei rischi operativi, in funzione delle metriche di performance (KPI) e rischio (KRI) integrato con la soluzione di risk management Revisione dell efficacia delle contromisure e delle azioni decise attraverso un analisi a posteriori e e nuova taratura del sistema (se necessario) Integrazione, testing e rilascio in produzione Eseguire l integrazione tra la componente Core del Tableau de Bord e le fonti dati precedentemente identificate Eseguire i test funzionali e di integrazione nel rispetto delle procedure vigenti nel contesto operativo del cliente Supportare il rilascio in produzione dell applicazione Consegnare la documentazione tecnica ed il manuale operativo 12

14 Security Knowledge base management Security investment evaluation Analisi di progetti d investimento e strumenti di gestione progettuale (program management) Security Monitoring Risk Assessment e Incident Handling Mgmt Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Predisposizione di un framework per l analisi preventiva delle opportunità d investimento nell ambito della sicurezza (costi e benefici, tasso di ritorno atteso, tempo necessario per coprire almeno i costi, considerazioni di carattere strategico/qualitativo, etc.) Implementazione di strumenti di project e program management per il monitoraggio delle iniziative avviate in termini di costi, benefici, avanzamento delle attività, segnalazione di ritardi lungo il percorso critico o su specificità particolari Strumenti di reporting e comunicazione da/ verso l alta direzione Identificazione esigenze di sicurezza Sviluppo di un piano strategico pluriennale Supporto al processo di budgeting A partire dall identificazione delle normative interne ed esterne, delle esigenze del business e dell evoluzione delle minacce sono identificati i principali driver evolutivi per la strategia di sicurezza Gli obiettivi strategici sono declinati in un piano triennale di sviluppo della sicurezza atto ad indirizzare le principali scelte operative e tecnologiche nelle aree di interesse Il piano triennale viene tradotto in valutazioni economiche in termini di Capex/Opex, coerentemente ai modelli di controllo di gestione in essere Gestione e reporting degli investimenti di sicurezza Identificazione delle informazioni da presentare al fine di soddisfare i requisiti di informativa sull evoluzione delle iniziative di sicurezza 13

15 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Security Operation Center Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Insieme delle risorse tecniche specialistiche, delle norme e procedure comportamentali e delle piattaforme tecnologiche (hardware e software) dedicate alla gestione del sistema di sicurezza, al fine di verificare il mantenimento di adeguati livelli di sicurezza Struttura tramite cui effettuare il monitoring e il controllo dell infrastruttura di sicurezza e l analisi e la gestione di eventi anomali, fornendo servizi di: gestione centralizzata dei firewall Definizione del modello operativo del SOC Definizione del modello tecnologico Identificazione dei servizi del Security Operation Center Disegno dei processi operativi Definizione dei processi di escalation in caso di incidente Disegno dell architettura tecnologica per il monitoraggio e la gestione degli incidenti di sicurezza Selezione delle soluzioni di sicurezza adeguate all implementazione dei servizi del SOC Supporto all implementazione delle soluzioni di sicurezza monitoring degli apparati anti-intrusione Vulnerability/Security Assessment Service gestione centralizzata degli antivirus (server, laptop) Stima delle risorse interne/esterne in funzione del modello operativo definito Dimensionamento della struttura operativa del SOC in funzione del modello operativo prescelto (in-house, outsourcing, misto) 14

16 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Risk Analysis Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Identificazione ed analisi delle vulnerabilità di sistemi e processi interni potenzialmente in grado di causare incidenti connessi all operatività Attività Definizione del perimetro di analisi Descrizione Identificazione delle risorse Identificazione dei processi e delle risorse in scope Modellizzazione del perimetro di analisi Risultati Identificazione delle minacce correlate alla tipologia di attività svolta e misurazione della corrispondente probabilità di accadimento Valutazione degli impatti diretti ed indiretti provocati da un malfunzionamento casuale o doloso di sistemi e processi operativi Calcolo del rischio Valutazione della criticità dei dati Valutazione delle minacce Valutazione delle vulnerabilità Calcolo degli impatti e del livello di rischio (assoluto/relativo) Definizione della strategia di gestione del rischio (prevenzione, accettazione, trasferimento) Identificazione delle contromisure da mettere in campo Gestione del rischio Sulla base delle risultanze dell analisi condotta è possibile determinare le azioni da implementare per ridurre il livello di rischio residuo, verificando gli impatti delle diverse iniziative percorribili (what if analysis) Sviluppo di sintesi ad uso direzionale 15

17 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Incident Handling Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Definizione dei ruoli e delle responsabilità all interno di team adibiti al contrasto di incidenti Definizione delle politiche e procedure operative di gestione degli incidenti in funzione della business impact analysis Attività Definizione del modello operativo per la gestione degli incidenti Descrizione Identificazione dei ruoli e delle responsabilità per la gestione degli incidenti Sviluppo delle soglie di escalation Definizione dei tempi di intervento Identificazione delle modalità di escalation Risultati Strutturazione di un infrastruttura tecnologica ed organizzativa per il monitoraggio, la rilevazione e la risposta ad incidenti Definizione delle modalità e dei mezzi per la comunicazione interna/esterna e l eventuale coinvolgimento dei responsabili d azienda Disegno dei processi di gestione degli incidenti Sviluppo dei processi operativi a supporto del modello di gestione degli incidenti Inserimento degli stessi all interno delle soluzioni corporate di process design Definizione e implementazione di strumenti per la raccolta e l elaborazione di informazioni/indicatori relativi all incidente, per la comunicazione ai responsabili e la formazione del personale Reporting e miglioramento continuo Definizione dei template per il reporting degli incidenti di sicurezza Identificazione delle iniziative di miglioramento Pianificazione degli interventi correttivi Governo delle iniziative di miglioramento 16

18 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Sicurezza perimetrale Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Progettazione delle soluzioni architetturali più adeguate a protezione dell infrastruttura di comunicazione Analisi delle vulnerabilità connesse alla tecnologia adottata ed alla configurazione degli apparati scelti per l identificazione degli interventi da realizzare per la sicurezza perimetrale Definizione e gestione del processo di valutazione delle tecnologie e della selezione dei fornitori per la realizzazione dell infrastruttura Attività Sviluppo del modello architetturale di riferimento Analisi delle vulnerabilità e piano degli interventi Descrizione Censimento degli elementi architetturali Schematizzazione di alto livello degli elementi principali costitutivi l architettura tecnologica di riferimento Identificazione delle principali vulnerabilità a livello di reti e sistemi, con particolare attenzione al perimetro esterno/datacenter Mappa delle principali vulnerabilità identificate Sviluppo di un piano di interventi Risultati Gestione dei progetti di deployment infrastrutturali e test delle soluzioni messe in campo progettazione e realizzazione di reti private virtuali (VPN) per l interconnesione delle proprie reti locali Implementazione delle idonee misure di protezione Pianificazione degli interventi di sicurezza Monitoraggio dell evoluzione dei cantieri Supporto all Implementazione delle soluzioni di sicurezza 17

19 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Sicurezza applicativa Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Sistemi per il controllo dell accesso e verifica dell identità dell utente attraverso meccanismi di strong authentication Processi e sistemi per la gestione delle credenziali e delle autorizzazioni Firma digitale per il non ripudio e la mutua autenticazione Identificazione ed attuazione di best practices per lo sviluppo di applicazioni sicure Processi e requisiti di sviluppo sicuro Code vulnerability assessment Definizione di un processo per la verifica preventiva e in caso di major change della sicurezza delle applicazioni Definizione di un metodo per la valutazione dei rischi in funzione del quale pianificare gli interventi di assessment di sicurezza applicativa Assessment periodico delle vulnerabilità di sicurezza a livello applicativo Utilizzo di tool automatici per la verifica immediata del livello di sicurezza del codice sviluppato Identificazione e recepimento di linee guida per garantire la sicurezza delle applicazioni durante la fase di gestione ed esercizio Secure development framework Sviluppo di un set di componenti di sicurezza al servizio degli sviluppatori a garanzia del rispetto dei requisiti di sviluppo sicuro predefiniti Supporto consulenziale agli sviluppatori 18

20 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Crisis Management Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Identificazione delle minacce potenzialmente in grado di generare uno stato di crisi e valutazione del relativo impatto Definizione degli scenari di riferimento (BC/DR) Censimento degli scenari da gestire in funzione delle esigenze del business, delle normative di riferimento e dei regolamenti di settore Organizzazione dei team con il compito di coordinare le attività di gestione della crisi e realizzazione delle infrastrutture di controllo Stesura di un piano di controllo dell evento, degli effetti generati e di supporto al personale nella gestione della crisi Analisi degli impatti Definizione della Business Impact Analysis Analisi dei requisiti di recovery dei sistemi ICT Definizione delle soglie di escalation concordate con il business Definizione delle procedure e dei mezzi per la comunicazione interna/esterna e delle modalità di coinvolgimento dei responsabili d azienda Definizione ed organizzazione delle infrastrutture e delle procedure per il ripristino delle normali attività operative Sviluppo dei processi operativi (BC/DR) Sviluppo dei processi di Business Continuity Management Sviluppo dei processi di Disaster Recovery Management Sviluppo dei processi di Crisis Management (BC/DR) 19

21 Security Knowledge base management Security investment evaluation Security Monitoring Risk Assessment e Mgmt Incident Handling Modello Organizzativo Sicurezza perimetrale Sicurezza applicativa e Business Continuity e Operational procedures e reti comunicazione dati Crisis Mgmt Tema di discussione Attività Descrizione Risultati Definizione di una struttura organizzativa coerente con il modello operativo per la gestione della sicurezza più adatto alla realizzazione degli obiettivi prefissati Allocazione chiara e condivisa di ruoli e responsabilità nel processo di gestione della sicurezza Definizione delle politiche e delle procedure che forniscano le linee di corretta e sicura condotta dell attività svolta all interno dell azienda Censimento ruoli e responsabilità di sicurezza Sviluppo evolutivo di modelli organizzativi Mission e attività Censimento delle attività di sicurezza realizzate in azienda (anche al di fuori di eventuali strutture di sicurezza Definizione di modelli organizzativi in grado di rispondere alle esigenze di governo e controllo della sicurezza, in funzione delle dinamiche del business e della dimensione geografica dell azienda Sviluppo delle mission delle singole aree di sicurezza Identificazione delle responsabilità di dettaglio Allineamento della documentazione aziendale in termini di policy e procedure di sicurezza Analisi FTE/HC Analisi delle FTE-HC necessarie all esecuzione delle mansioni affidate a ciascuna struttura organizzativa Sviluppo di piani di adeguamento con l HR 20

22 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 21

23 Tipologia di competenze per la Security Soft skills Hard skills ILLUSTRATIVO Teamwork Problem solving Project Management Problem management Team building Leadership Culture Leadership Communication Time Management Self-confidence Flexibility Adaptability Coaching Organization review and development Process design and re-engineering Policy and procedure development Security Laws requirement (national/international) Security standards and certifications Project Management certifications Continuity Management (BC & DR) Security products System integration Secure application development Vulnerability Assessment Assessment & Penetration tests Identity Management Fraud and Incident management Consulting profiles Technical profiles Hard to observe, quantify and measure Easy to observe, quantify and measure 22

24 Principali trend del mercato per i servizi di Security Integrazione tecnologica tra physical e ICT security Valutazione pluriennale delle soluzioni di sicurezza Modelli organizzativi e processi operativi Benchmarking di prodotto/mercato Controlli, reporting di sicurezza e KPI Certificazioni di sicurezza - Standardizzazione dei processi di governo e di esercizio delle soluzioni tecnologiche per la sicurezza fisica ed ICT - Sviluppo di masterplan triennali per la valutazione di prodotti di sicurezza con particolare attenzione al TCO - Evoluzione del ruolo delle strutture di sicurezza e dei relativi processi al fine di rispondere alle esigenze del Business e all evoluzione della normativa di riferimento - Valutazione comparativa di prodotto e di mercato (nel rispetto della riservatezza dei singoli operatori) per la valutazione dei trend di riferimento e la valorizzazione delle esperienze pregresse - Monitoraggio periodico del livello di raggiungimento degli obiettivi di sicurezza attraverso lo sviluppo ed il monitoraggio di specifici KPI, reporting alla direzione e al Business - Sviluppo di iniziative di certificazione di sicurezza (ISO27001, PCI/DSS, ) volte a dimostrare nei confronti di terze parti (clienti, partners, strutture di governance, internal audit) la rispondenza alle best practice di riferimento Evoluzione del profilo del Security Consultant 23

25 Il profilo del Security Consultant Security Consultant - + Technical profiles Consulting profiles + - Esempio - Legale tradizionale - Legale ICT - Security consultant (Compliance IT) - Sistemista IT Caratteristiche - Completa conoscenza normativa - Scarsa conoscenza tecnologica - Conoscenza normativa - Adeguata conoscenza tecnologica - Scarsa conoscenza normativa - Completa conoscenza tecnologica Nice to have 24

26 Caratteristiche dei deliverable dei progetti di consulting ROI driven ROI misurabile Valorizzazione degli investimenti pregressi Short period results Risultato spendibile nel breve/medio periodo Sviluppo di soluzioni con delivery progressivi Operative outcomes Value creation Deliverable di progetto in grado di produrre un risultato di breve periodo, dalla pura documentazione a soluzioni integrate con prodotti e processi operativi Supporto al processo di vendita verso il Business/Management del cliente Law compliance Soluzioni in linea con le normative nazionali ed internazionali vigenti 25

27 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 26

28 VT Security: la customer centricity per i servizi di Security VT Security opera garantendo adeguante competenze al cliente con l obiettivo di sviluppare una relazione di lungo periodo in grado di rispondere a tutte le esigenze del cliente Caratteristiche individuali Flessibilità Rapidità Disponibilità Sviluppo di una relazione di partnership di lungo periodo con il cliente Conoscenza del contesto esterno Conoscenza del contesto del cliente Competenza tecnica Competenza dei trend evolutivi e delle soluzioni Conoscenza dell organizzazione del cliente Conoscenza dei processi del cliente Competenza tecnica Competenza dei trend evolutivi e delle soluzioni Conoscenza dell organizzazione del cliente Conoscenza dei processi del cliente - Condivisione degli obiettivi del cliente - Valorizzazione delle competenze interne - Crescita sinergica tra cliente e fornitore - Generazione di valore nel tempo - Sviluppo accordi quadro - 27

29 Contenuti del documento Evoluzione dello scenario di riferimento della Security Figure organizzative di riferimento dei servizi di consulenza I servizi di consulenza per la Security Le competenze richieste dal mercato e i profili professionali di riferimento Caratteristiche distintive del Security consultant ValueTeam Security Division 28

30 Value Team Mission Values Our mission is to contribute, through choices in advanced technologies, to the creation of value for business. We assist clients from IT architecture definition through to implementation, development and support to systems and services. We offer distinctive IT solutions with strong competences on specific vertical markets issues. Value Team covers the full IT value chain and supports clients in strategic decisions Today we have 2900 professionals worldwide with technical or consulting skills that work in multi-disciplinary work groups, We develop coherent solutions with the objectives and organisational model of companies and we take the responsibility for the suggestions and implementation. We believe that the best innovation is achieved through the dialogue between the business world and the world of research, this is the reason we have always worked closely with Universities and innovative association 29