nova systems roma Company Profile Business & Values

Transcript

1 nova systems roma Company Profile Business & Values

2 Indice 1. CHI SIAMO I SERVIZI PARTNERS REFERENZE Pubblica Amministrazione Settore bancario Servizi (Trasporti, Telco e Energia) SINTESI DEI SERVIZI... 9 Pagina 2 di 11

3 1. CHI SIAMO La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici. In risposta alla veloce evoluzione delle tecnologie dell informatica e della comunicazione e alla richiesta da parte dei mercati di competenze sempre più specifiche, abbiamo scelto di focalizzare il nostro Core Business sulla salvaguardia del patrimonio informativo aziendale. Le nostre capacità, l esperienza della nostra struttura e i valori che da sempre ci contraddistinguono hanno permesso alla nostra azienda di diventare, negli anni, uno dei principali player nel mercato nazionale della Sicurezza ICT, con tre sedi dislocate a Roma, Milano e Cosenza e un organico di 80 professionisti. Attraverso la costituzione e l acquisizione di rami d azienda specifici, gli investimenti effettuati e la continua ricerca delle tecnologie all avanguardia, la nostra gamma di servizi offerti viene costantemente rafforzata e completata, in coerenza con le strategie di sviluppo e un trend sempre in crescita. 2. I SERVIZI NSR fornisce servizi di consulenza per la realizzazione di soluzioni nell ambito delle più moderne tecnologie informatiche. Con un organico di 100 collaboratori e sedi operative a Roma, Milano e Cosenza, NSR è specializzata nei Servizi di Sicurezza IT, focalizzati nelle seguenti aree: SCM: Security Compliance Management; ESM: Enterprise Security Management; IAM: Identity & Access Management; IIM: Information Integrity Management; PCI-DSS: Payment Card Industry Data Security Standard; FMS: Fraud Management System; ITMM: Infrastructure Management and Manteinance. Tecnologia, innovazione e sviluppo sono i tre concetti chiave cui l azienda s ispira per la realizzazione delle proprie iniziative e la soddisfazione dei clienti. La sicurezza delle informazioni, Core Business dell azienda, rappresenta una nuova frontiera grazie alla continua evoluzione dell informatica e di internet. L adozione di nuovi modelli evoluti di gestione e realizzazione diventa così il valore aggiunto di NSR. L approccio strategico parte dalla ricerca di soluzioni coerenti con le esigenze di business del cliente e si concretizza nella fornitura di servizi di consulenza specifici e nella selezione dei prodotti, propri o di terze parti, che meglio si prestano al raggiungimento degli obiettivi stabiliti. L azienda è certificata ISO 9001 e ISO ed è abilitata al trattamento di dati classificati. 3. PARTNERS NSR ha stabilito accordi di partnership nelle aree relative alle soluzioni proposte con leader mondiali quali: Pagina 3 di 11

4 - MEMENTO (Fraud Management); - NET FORENSICS (Incident Handling); - IBM ISS (Difesa Perimetrale); - HP (Security Management); - IBM (Security Management); - SYMANTEC (Difesa Perimetrale); - RSA (Security Management). - NetApp 4. REFERENZE 4.1. Pubblica Amministrazione HP/INPS: Classificazione dei dati e Watermarking - Mobile Workers Definizione della metodologia e del modello di classificazione dei dati aziendali. Inquadramento della classificazione degli assets secondo i criteri Privacy all interno del modello definito. Policy Compliance Definizione metodologica della policy compliance della normativa dell istituto. HP/INAIL: Classificazione dei dati e Watermarking - Mobile Workers Definizione della metodologia e del modello di classificazione dei dati aziendali. Inquadramento della classificazione degli assets secondo i criteri Privacy all interno del modello definito. POSTE ITALIANE SPA: Progetto di contrasto alle frodi Realizzazione ed implementazione di un sistema completo di Fraud Management System: Fraud Prevention, Fraud Detection, Case Management e Intelligence (reportistica e indicatori). Il servizio, basato sul prodotto MEMENTO, ha come obiettivo lo sviluppo della configurazione dell interfaccia utente del sistema frodi per Poste IT, tramite la produzione dei parametri di configurazione e delle regole di analisi per gli analisti dei casi di frode. Risk Management Disegno del processo di Gestione della Sicurezza Informatica. Valutazione degli impatti organizzativi e predisposizione di un piano di transizione. Preparazione dei piani di comunicazione per la campagna di sensibilizzazione sulle tematiche della sicurezza ed erogazione della formazione. Conduzione di attività per l adeguamento alla normativa sul trattamento dei dati personali (Legge 675/96 e DPR 318/99). Risk Assessment Pagina 4 di 11

5 Conduzione di attività di analisi dei rischi su metodologia ISO/IEC 17799: censimento assets aziendali; valutazione degli impatti, delle minacce e delle vulnerabilità; calcolo della misura del rischio. Corporate ICT Security Policy Redazione delle Corporate ICT Security Policy. (Standard di riferimento: ISO/IEC 17799, BS 7799 parte 2, ISO/IEC TR ,2,3,4 e ITSEC). Creazione del Comitato di Gestione della Sicurezza Informatica in Poste Italiane e coordinamento delle attività svolte da tale organo. POSTECOM SPA: Piattaforma Privacy Realizzazione della piattaforma organizzativa, stesura delle Linee Guida e disegno della struttura organizzativa privacy. Redazione della notificazione e delle informative relative alle attività del Gruppo. Progetto PKI Certification Authority Stesura dei requisiti legali, assicurativi, organizzativi e tecnologici della Public Key Infrastructure. Realizzazione e stesura delle Security Policy, del Manuale Operativo e delle Procedure inerenti le attività core di certificazione. Analisi dei Rischi e determinazione delle contromisure da adottate su metodologia BS Redazione del Piano per la Sicurezza. Adeguamento Privacy Realizzazione delle Linee Guida all applicazione della Legge 675/96 e del DPR 318/99. Disegno della struttura organizzativa privacy. Redazione della notificazione e delle informative relative alle attività ai sensi della Legge 675/96. Stesura delle condizioni generali di contratto dei servizi. POSTE MOBILE: Progetto di contrasto alle frodi Il servizio ha come obiettivo lo sviluppo della configurazione dell interfaccia utente del sistema FMS di Poste Mobile, basato sul prodotto HP FMS, tramite la produzione dei parametri di configurazione e delle regole di analisi per gli analisti dei casi di frode. Il servizio viene erogato in modalita ASP. POSTE ITALIANE SPA/S&S: Classificazione dei dati e definizione dei profili autorizzativi per l accesso ai medesimi Rilevazione del livello di criticità delle informazioni trattate dall azienda attraverso un attività di Business Impact Analisys (definizione macro famiglie e classificazione Assets). Elaborazione della mappa delle interdipendenze Assets informativi/rid/applicativi/contromisure attuate. Mappa delle interdipendenza tra Assets informativi/ruoli Utente/Autorizzazioni. Definizione della metodologia e del modello di classificazione dei dati aziendali Inquadramento della classificazione degli assets secondo i criteri Privacy all interno del modello definito. Definizione del modello delle classi di sicurezza RID e contromisure per macrofamiglie. Strutturazione del processo aziendale di assegnazione e gestione dei profili autorizzativi per gli utenti. Elaborazione delle politiche di gestione delle informazioni classificate. Elaborazione delle politiche e delle procedure di assegnazione profili autorizzativi. Pagina 5 di 11

6 Definizione delle politiche di sicurezza aziendali Aggiornamento/integrazione delle Corporate Information Security Policy già presenti in azienda. Elaborazione delle Corporate Physical and Environmental Security Policy. Definizione delle istruzioni al personale per il corretto utilizzo delle risorse informative. Strutturazione del framework di Specific Security Policy riguardante le seguenti tematiche: sicurezza fisica dei datacenter, identity management, restore e backup dei dati, sistemi Unix, sistemi Windows, SAP, apparati di rete, accessi a servizi extranet, firewall, IDS/IPS, antivirus, accessi in mobilità a servizi di Poste Italiane, accessi in mobilità a servizi extranet, DBMS, rete dati, elaborazione delle procedure di gestione account per i partner esterni/consulenti, gestione Firewall, gestione IDS/IPS, gestione antivirus. Aggiornamento delle Linee Guida relative allo sviluppo sicuro applicazioni ed alla sicurezza Wireless. POSTE ITALIANE SPA/DCTA: Supporto al mantenimento della conformità normativa di Poste Italiane SPA alle misure minime di sicurezza previste dal D.Lgs. 196/2003 Revisione, integrazione e consolidamento della documentazione aziendale in materia di misure minime di sicurezza (art. 33, 34 e 35 del D.Lgs. 196/2003 e disposizioni del Disciplinare Tecnico in tema di misure minime). MINISTERO DELLE INFRASTRUTTURE: Redazione del Documento Programmatico sulla Sicurezza, definizione delle istruzioni al personale, supporto all elaborazione dei provvedimenti di nomina Redazione del Documento Programmatico sulla Sicurezza ai sensi del D.Lgs. 196/2003 Codice in materia di trattamento dei dati personali (censimento basi dati, definizione delle funzioni privacy, analisi dei rischi, individuazione delle contromisure di sicurezza, definizione di politiche e procedure di sicurezza, definizione del piano di formazione). Predisposizione dei provvedimenti per l assolvimento degli adempimenti formali di nomina (responsabili, incaricati, responsabili esterni,) previsti dalla legge. Elaborazione delle istruzioni al personale sul corretto utilizzo delle risorse informatiche dell amministrazione e dei documenti cartacei. MINISTERO DELLO SVILUPPO ECONOMICO: Privacy amministratori di sistema Progetto per la gestione della privacy in risposta alle tematica dell ADS. Manutenzione di circa 400 server presso le sedi romane e assistenza sistemistica. CASELLARIO GIUDIZIALE: Manutenzione assistenza sistemistica su Server IBM e Bull. EDS CNIPA: Progetto per la definizione delle politiche di sicurezza inerente il progetto SPC/CNIPA. Progetto per la definizione delle politiche di connessione del CERT SPC, fase di preassessment. ARMA DEI CARABINIERI: Security assessment Progetto di identificazione delle vulnerabilità e messa in sicurezza della piattaforma di gestione controlli ambientali rete Italiana. Pagina 6 di 11

7 4.2. Settore bancario PRIMARIO ISTITUTO BANCARIO: Progetto di contrasto alle frodi Enterprise Realizzazione ed implementazione di un sistema completo di Fraud Management System: Fraud Prevention, Fraud Detection, Case Management e Intelligence (reportistica e indicatori). Il servizio, basato sul prodotto MEMENTO, ha come obiettivo lo sviluppo della configurazione dell interfaccia utente del sistema frodi per il gruppo bancario in 22 Paesi europei, tramite la produzione dei parametri di configurazione e delle regole di analisi per gli analisti dei casi di frode. UNICREDIT GROUP: Classificazione dei dati policy compliance Definizione della metodologia di classificazione dei dati aziendali ed integrazione delle policy compliance normative. BANCA INTESA SANPAOLO: Classificazione dei dati policy compliance Definizione della metodologia di classificazione dei dati aziendali ed integrazione delle policy compliance normative. PRIMARIO ISTITUTO BANCARIO: Progetto per la certificazione PCI VISA MASTERCARD dei circuiti di pagamento multipli. PRIMARIO ISTITUTO BANCARIO: Firma Digitale Supporto alla Banca per l implementazione di funzioni di Registration Authority. Creazione dei nuovi servizi bancari integrati con funzionalità di firma digitale a valore legale e redazione delle condizioni generali di contratto. Analisi legale ed organizzativa finalizzata alla scelta ed all implementazione di soluzioni tecnologiche e di processo per il passaggio dall archiviazione cartacea a quella elettronica dei documenti. Analisi legale ed organizzativa finalizzata alla raccolta ed alla conservazione delle evidenze informatiche, al fine di poterle produrre in giudizio come prova giuridica Servizi (Trasporti, Telco e Energia) CAI SPA ex Alitalia: Progetto antifrode emissione biglietti Progetto per il sistema antifrode di controllo delle anomalie sulla gestione integrata dei sistemi di pagamento. Progetto per la certificazione PCI VISA MASTERCARD dei circuiti di pagamento multipli. ALITALIA SPA: Progetto per la certificazione PCI VISA MASTERCARD dei circuiti di pagamento multipli. VOLARE SPA: Progetto per la certificazione PCI VISA MASTERCARD dei circuiti di pagamento multipli. TELECOM ITALIA: Pagina 7 di 11

8 Policy & Procedure di Sicurezza IT, Identity & Access Management, Security Management, etc. Classificazione dei dati e Watermarking - Mobile Workers Definizione della metodologia e del modello di classificazione dei dati aziendali. Inquadramento della classificazione degli assets secondo i criteri Privacy all interno del modello definito. TELECOM ITALIA AUDIT: Accordo quadro per le attività di vulnerabilità, penetration test e privacy del Gruppo. Progetto per l identificazione della vulnerabilità dell infrastruttura tecnologica ed applicativa per la gestione della sicurezza delle informazioni in base alla normativa ISO TIM: Identity & Access Management. BLU-WIND: Identity & Access Management. H3G SPA: Progetto per la Gap Analisys PCI VISA MASTERCARD dei circuiti di pagamento multipli. Information & Document Security Protection Watermarking. SNAM Gruppo ENI: Progetto per l identificazione della vulnerabilità dell infrastruttura per la gestione clienti e gestione della sicurezza delle informazioni in base alla normativa ISO Risk Assessment Conduzione di attività di analisi dei rischi su metodologia ISO/IEC ENI: Security Audit & Penetration Test Svolgimento di attività di Audit di sicurezza, volto ad accertare la conformità delle modalità operative per l accesso alla base dati clienti con penetration test dalla struttura deputata alla gestione delle informazioni. CHECKPOINT: Presidio per la gestione della Posta Elettronica, Politiche di Sicurezza MCAFEE: Presidio per la gestione della Posta Elettronica, Politiche di Sicurezza Pagina 8 di 11

9 5. SINTESI DEI SERVIZI SCM - Security Compliance Management: - Analisi ed implementazione adempimenti di legge (analisi del rischio, DPS, etc.); - Analisi conformità normativa e Standard Nazionali e Internazionali; - Supporto al Cliente verso certificazioni Nazionali e Internazionali; - Analisi ed implementazione del Piano di Sicurezza Aziendale; - Analisi infrastruttura di sicurezza (Policy, procedure, tecnologie, risorse umane, prodotti, etc.); - Analisi configurazione sistemi e rete; - Analisi procedure di gestione e manutenzione sistemi e reti; - Attivazione Intrusion Test ed analisi dei risultati; ESM - Enterprise Security Management: - Identificazione necessità di sicurezza specifiche dell Azienda; - Definizione dell infrastruttura di sicurezza basata sull Organizzazione Aziendale (ruoli degli utenti e loro diritti legati al ruolo aziendale ricoperto); - Analisi della situazione reale e definizione di politiche aziendali di sicurezza, procedure operative, piani di implementazione, etc.; - Attuazione di soluzioni integrate di Amministrazione Centralizzata della Sicurezza; - Soluzioni specifiche, sia organizzative che tecnologiche: autenticazione e SSO (Single Sign On), intrusion detection, monitoring, firewalls, IDS, etc. - Seminari di sensibilizzazione sui problemi di sicurezza. IIM - Information Integrity Management: Definizione ed attuazione di politiche e procedure atte a garantire integrità, sicurezza, riservatezza e disponibilità dei dati, attraverso soluzioni tecnologiche che garantiscono la qualità dei risultati dei processi applicativi. Security Assessment & Management: - Analisi infrastruttura di sicurezza (organizzativa, tecnica e gestionale); - Analisi del rischio; - Analisi di vulnerabilità; - Definizione Piano Aziendale di Sicurezza; - Definizione procedure operative di sicurezza. Security Infrastructure Management: - Implementazione policy & procedure; - Implementazione infrastruttura di sicurezza (organizzativa, tecnica e gestionale); - Installazione, implementazione ed integrazione prodotti di sicurezza; - Risk management. Security Monitoring: - Controllo programmato del Livello di Sicurezza Informatica Aziendale; - Gestione Infrastruttura di Sicurezza (Firewall, IDS, etc.). IAM - Identity & Access Management: Pagina 9 di 11

10 - Gestione completa di Utenti e Risorse (e relativi processi di autorizzazione, autenticazione e controllo accessi); - Revisione processi del Ciclo di Vita Utenti; - Implementazione EUA (Enterprise User Administration): user management, account management, authorization management; - Implementazione UAC (User Access Control): access management, single sign on. Certificazione PCI DSS: Verifica ed audit dei processi di pagamento PCI DSS Payment Card Industry Data Security Standard circuito VISA MASTERCARD. FMS - Fraud Management System: - Piattaforme antifrode; - Analisi dei comportamenti anomali fraud audit; - Analisi dei comportamenti temporali fraud detection; - Analisi dei comportamenti reali fraud real time. Product evaluation: - Osservatorio prodotti di sicurezza - Valutazione e benchmarking; - Assistenza scelta prodotti di sicurezza (specifici per le singole Aziende). Pagina 10 di 11

11 Nova Systems Roma Srl Via della Foce Micina, Fiumicino (RM) Tel.: Fax: Pagina 11 di 11