Integrated Risk Management. Platform. Tutti i diritti riservati ESC 2 srl

Documenti analoghi
Cybersecurity per la PA: approccio multicompliance Sogei

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Advanced Security Operations

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Da una protezione perimetrale ad una user centric Security Summit Treviso

15 Aprile 2016, Trento

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

I trend emergenti e lo scenario di riferimento

Privacy e requisiti per la Cybersecurity nella PA

Le iniziative Consip a supporto

Cybersecurity, come difendersi dal furto dati

Abbiamo investito tanto nel GDPR: e la sicurezza? Luca Bechelli

Digital Transformation e Cloud. Stefano Inelli 22 Novembre 2017

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

IBM - IT Service Management 1

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

LE SFIDE GOVERNANCE INTEGRAZIONE SICUREZZA

ALIMENTARE NUOVI MODELLI AD ALTA PERFOMANCE PER LE IMPRESE come sostenere la competitività favorendo la convergenza tra business e tecnologia

Enterprise Risk Management: la via del futuro consapevole. Ravenna, 10 Novembre 2017

Information & Cyber Security Strategy: cosa fare. Alessio L.R. Pennasilico

Operations Management Team

Operations Management Team

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Trasformazione digitale Efficienza e innovazione: esperienze del GSE Gennaro Niglio Direttore Sistemi Informativi GSE SpA

Novembre 2014 Maurizio Pedraglio moviri.com

Presentazione offerta ManageEngine. Chiara Di Giovanni Sales Account Manager

Swascan Security Service MSSP

Digital Business & IT Transition La roadmap verso l Hybrid Cloud: criticità ed elementi cardine

Una visione estesa ed evoluta dei processi di Pianificazione e Controllo in azienda 16 Marzo 2016

SERVICE MANAGEMENT E ITIL

Presentazione Corporate Enway Corporate Presentation

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

WEB COMPLIANCE AND RISK ANALYSIS

Trasformazione digitale, Cyber Risk Management: spunti da survey su aziende italiane

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

KPMG Advisory: per vincere la sfida della complessità. Genova, Dottor Nello Giuntoli. Corporate Profile

Privacy by Design: evoluzione e implicazioni

Forcepoint AVANTI SENZA PAURA

Gruppo ACEA: standardizzazione dei processi. Alessia Delle Site Raffaele D Auria Pietro Marta

L evoluzione della cyber security per la pubblica amministrazione: GDPR, risk analysis e cloud

ENTERPRISE RISK MANAGEMENT: LA VIA DEL FUTURO CONSAPEVOLE

Copyright IKS srl

La sicurezza nel mondo bancario

Roma, 28/11/2018. «6 SICURO?» L esperienza INAIL

La Società è governata da un Consiglio di Amministrazione composto dal Presidente, dall Amministratore Delegato e da un Consigliere.

I PROCESSI DELL AREA SISTEMI INFORMATIVI

La roadmap IBM per ridurre i costi IT e migliorare la qualità del servizio. Leonello Galloni IT Management Consultant, IBM Italia

NSR. Company Profile Business & Values

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Smart Cities and Communities and Social Innovation Bando MIUR. D.D. 391/Ric. del 5 luglio Application Store

Il governo della complessità dell'it nel contesto attuale. A.I.E.A. 20 luglio 2011

ITIL e PMBOK Service management and project management a confronto

PROGETTO RETINA. Piattaforma Unificata di Gestione, Monitoraggio e Governo del Sistema Informatico

La Trasformazione Digitale e il Cloud. Stefano Inelli 12 Dicembre 2016

Il ridisegno dei sistemi informativi in logica Hybrid Cloud a supporto della Digital Trasformation. Vittorio Arighi, Practice Leader 24 Febbraio 2015

La sicurezza nel retail

Un'efficace gestione del rischio per ottenere vantaggi competitivi

LA DATA SCIENCE OGGI E LA DATA SCIENTIST DIGITAL RESEARCH

Il disegno e la valutazione del Sistema di controllo interno

Un modello di Cloud Ibrido per la PA alla luce del Piano Triennale

ISA Presentazione dei servizi. isaitalia.it

Whitebox Security BI e Sicurezza attiva per dati e applicazioni mission critical

Syllabus. Versione 1.0 novembre 2017 (Rev.2, gennaio 2018) Copyright AICA Associazione Italiana per l Informatica ed il Calcolo Automatico

CTP&C Programma attività Gustavo Troisi

COBIT 5 for Information Security

Differenze di approccio tra tecnologie Open Source e tecnologie commerciali nella Cyber Threat Intelligence

Direzione centrale per l organizzazione digitale Si articola in n. 6 uffici di livello dirigenziale non generale e n. 6 uffici non dirigenziali.

Offerta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

La valutazione del rischio informatico e gli impatti sul business

SERVIZI A SUPPORTO DELLA GOVERNANCE PER MIGLIORARE LE PERFORMANCE AZIENDALI

Rischi dell informatica e scelte di trasferimento

Architettura del sistema di controllo interno: interazioni tra Internal Audit e Chief Risk Officer

Il modello Cloud della PA: come acquisire servizi cloud qualificati. Il Catalogo dei servizi Cloud qualificati per la PA Guida alla consultazione

Dall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione.

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Direzione Centrale Pianificazione e Comunicazione

DATA CENTER Tutti i passsi verso la trasformazione software defined e cloud

Servizi di Sicurezza Gestiti

ISA Presentazione della società. isaitalia.it

SWASCAN. Company Profile

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

EPICK la tua piattaforma GRC PRINCIPALI REFERENZE. EPICK REFERENZE_IT Pag. 1/6

Security by design Massimiliano D Amore

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

ITIL cos'è e di cosa tratta

Un'efficace gestione del rischio per ottenere vantaggi competitivi

S f r u t t a r e l e p o t e n z i a l i t à d e i B i g D a t a i n a m b i t o S i c u r e z z a. M i l a n o, 9 a p r i l e

Stefano Patarnello Strategic Outsourcing Business Line Executive, IBM Italia

Transcript:

Integrated Risk Management Platform Tutti i diritti riservati ESC 2 srl

ESC 2 Srl Roma Via C. Colombo,112-00147 Milano Via Fabio Filzi, 5-20124 info@esc2.it T +39 06 5107931 F +39 06 510793506 www.esc2.it twitter.com/ ESC2_Security linkedin.com/esc2 Security 02

Infosync - Integrated Risk Management IL CONTESTO La protezione dei dati da minacce che ne pregiudicano l autenticità, l integrità, la riservatezza e la disponibilità è obiettivo fondamentale di ogni organizzazione che gestisca asset ed informazioni, oltre che parte integrante del Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica, in quanto le informazioni costituiscono un valore intrinseco all organizzazione, pubblica o privata. Obiettivo strategico di ogni organizzazione è quello di evolvere i processi di Governo della Sicurezza attraverso un approccio basato sull analisi e sulla gestione dei principali scenari di rischio che interessano la riservatezza, la disponibilità e l integrità delle informazioni, oltre che scenari di rischio tipici delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema Paese. L adozione di un processo integrato di Information Security e Privacy Governance basato sul rischio, oltre ad essere un principio alla base dei più recenti provvedimenti, norme e standard nazionali ed internazionali in materia di privacy e sicurezza informatica. Con la rapida evoluzione delle tecnologie dell informazione e della comunicazione, i sistemi informatici hanno assunto una importanza centrale nell assetto organizzativo e funzionale di tutte le realtà aziendali. INDICE In questo contesto operativo, caratterizzato da continui cambiamenti delle tecnologie e dalla diffusione di processi di business a sempre più elevato contenuto digitale, il mancato presidio della sicurezza delle risorse, informatiche e non, si traduce in impatti diretti ed indiretti potenzialmente rilevanti sugli obiettivi strategici di ogni organizzazione, oltre che sui valori economico patrimoniali. Il Contesto Gartner Mentions Infosync I Moduli Infosync 04 05 07 13 03

La diffusione delle tecnologie digitali fondate sul paradigma Internet, quali il Cloud Computing, nonché l impiego di modelli di servizi in Outsourcing, hanno favorito il ridisegno dei confini organizzativi delle aziende, più aperte e connesse con altri soggetti e con i propri clienti, creando da un lato nuove opportunità di business, ma concretizzando dall altro nuove tipologie di scenari di rischio da gestire. Un approccio integrato basato sui rischi consente di supportare i processi di pianificazione economico - finanziaria degli interventi di implementazione delle misure tecniche ed organizzative necessarie per la mitigazione degli stessi, sia per le componenti informative che per quelle materiali e strumentali, oltre che per la tutela della sicurezza del personale (dell organizzazione e del parco dipendenti/ clienti/fornitori), anche attraverso la definizione di metriche adeguate per la valutazione del potenziale impatto, diretto ed indiretto, di eventi accaduti o potenziali (attività di detect, remediation, danno di immagine, perdita di credibilità/ affidabilità/competitività, costi dei disservizi, eventuali perdite umane, ecc.). Con questa consapevolezza e con l obiettivo di supportare la governance integrata dei rischi, ESC 2 ha progettato e realizzato la piattaforma Infosync, una soluzione di Integrated Risk Management, basata su linee guide, standard e best-practice riconosciuti, quali: ITIL, COBIT 5, ISO27000 Family, NIST Cybersecurity Framework. 04

Infosync - Integrated Risk Management GARTNER MENTION Infosync è l unica soluzione a livello europeo ad essere stata menzionata nel report Gartner Critical Capabilities for IT Risk Management Solutions August 2018 tra i principali vendor di IT Risk Management solutions. 05

L inclusione di INFOSYNC nel report 2018 di Gartner sulle Critical Capabilities ITRM, in continuità con la Notable Mention ricevuta nel Magic Quadrant for IT RM del 2017, è un importante riconoscimento del percorso di crescita della soluzione Infosync per l IT Risk Management in questi anni, e premia la costante attenzione alle evoluzioni di mercato e normative, ed alle esigenze funzionali dei clienti da parte del team ESC 2. In particolare, come descritto nel report di Gartner, abbiamo reso disponibile la versione Cloud con canone in SaaS per i clienti che preferiscono l agilità di attivazione e un modello con costi OPEX inclusivo della maintenance all acquisto di una licenza perpetua e della maintenance annua, e che non hanno necessità della soluzione On Premises. Inoltre abbiamo rilasciato il modulo di reporting avanzato basato su Tableau con molti template immediatamente disponibili e personalizzabili, rendendo molto più veloce e più aderente alle esigenze dei nostri clienti l intero ciclo di reporting strategico. Credo che ci sia un grande spazio di mercato per la soluzione INFOSYNC sia in Italia, paese in cui siamo l unico vendor che ha la sede principale, che in Europa. Il commento dell Ing. Claudio Ragno, dopo la pubblicazione del report in data 20 Agosto 2018. 06

Infosync - Integrated Risk Management Descrizione della soluzione Infosync Infosync è la piattaforma di Integrated Risk Management (IRM) a supporto del governo della gestione delle diverse attività di Information Security e Privacy Risk Management, incluse le attività di analisi delle minacce e delle vulnerabilità, tecnologiche e non, l analisi del rischio delle risorse informatiche (a livello applicativo, infrastrutturale e network) e dei rischi collegati alle terze parti coinvolte nel processo (esempio vendor, fornitori di servizi, etc.). Obiettivi e benefici La piattaforma Infosync ha l obiettivo di definire un modello di governance dei rischi operativi collegati alla gestione delle risorse ICT (Information and Communication Technology) nel ciclo di produzione del valore di una organizzazione. La piattaforma Infosync è stata sviluppata secondo i seguenti principi: Visione olistica ed integrata del rischio, costruita attraverso la coesione e la misura di tipologie diverse di scenari, riguardanti il cambiamento, l evoluzione, l operation dell infrastruttura e dei servizi ICT, nonché concernenti le modalità di incident, problem e security management; Reporting unificato agli organismi di supervisione e dal top management, circa lo stato di rischio IT in rapporto allo stato delle risorse informatiche nonché alla modalità e pratiche adottate per erogare i servizi offerti; Centralità del rischio nei processi decisionali, volti a far evolvere in maniera sostenibile e coerente con gli obiettivi degli stakeholder, l infrastruttura tecnologica e di servizio; Monitoraggio e ottimizzazione dei rischi assunti per il raggiungimento sostenibile degli obiettivi definiti; Aderenza agli standard e best practice internazionali. Nello specifico il workflow Infosync integra gli scenari di rischio IT (gestione ed il ciclo di vita dell infrastruttura tecnologica - Service Portfolio Management, Design, Development, Test e Rollout, Operations) con quelli di Information e Operational Security, oltre che con gli scenari di rischio inerenti il trattamento dei dati personali. Le valutazioni del rischio tecnologico sono inoltre subordinate al modello di controllo e monitoraggio interno, realizzato attraverso piani di controllo, i processi di Business Impact Analysis e Business Continuity oltre che all analisi e gestione degli incidenti storici e potenziali. 07

I benefici della piattaforma Infosync si possono così sintetizzare: SINTESI E RAPPRESENTAZIONE DELLE PERFORMANCE E DEL RISCHIO IT E DI SICUREZZA - Raccolta ed elaborazione automatica delle informazioni, secondo schemi e modelli di integrazione definiti. - Processi di IT Risk Management integrati, flessibili e configurabili - Evidenza delle aree più critiche al fine di identificare le migliori opzioni di gestione e trattamento. CENTRALIZZAZIONE DEL PROCESSO DECISIONALE E DEI PIANI DI REMEDIATION Supporto all indirizzo della strategia ed alla pianificazione, riducendo gli sforzi, il tempo e le risorse utilizzate per migliorare i livelli di performance e di sicurezza IT. MONITORAGGIO DELL EFFICACIA DELLE SOLUZIONI IMPLEMENTATE - Monitoraggio dello stato della sicurezza IT attraverso Security Key Performance Indicator e Key Risk Indicator. - Metriche personalizzabili e gestibili in autonomia attraverso interfaccia utente. - Processi di alerting e comunicazioni automatiche e schedulabili. CONDIVISIONE DELLE INFORMAZIONI - Condivisione profilata delle informazioni, all interno ed all esterno dell organizzazione. - Gestione e controllo degli accessi ai dashboard e della visibilità delle informazioni all interno dei dashboard, attraverso funzioni di profilazione della visibilità e di integrazione ai sistemi di access management. 08

Infosync - Integrated Risk Management Features e Capabilities Infosync si basa sui seguenti paradigmi: Organizzazione funzionale modulare che consente un piano di attivazione delle funzionalità progressiva nel medio termine, in grado di seguire la roadmap evolutiva del framework di Integrated Risk Management; architettura flessibile in grado di supportare i processi di integrazione con i sistemi e le soluzioni (attuali e future) di Cybersecurity, IT e Network Operation, oltre che con altre fonti dati quali l amministrazione o di entità terze interessate nel processo; modello dati solido e flessibile, in grado di normalizzare le informazioni prodotte o raccolte dai diversi processi di Cybersecurity e IT Operation; workflow di IT e Cyber Risk Management che consente di gestire le diverse attività di security assessment (interne ed esterne) e risk management, secondo un modello basato sulla identificazione e controllo delle attività; motore di data-analytics in grado di consentire un analisi visuale delle informazioni in modelli di reporting definiti (eg. Key Performance Indicator, Key Risk Indicator) e fornisce funzioni che aiutano a definire strutture facilmente personalizzabili in base al mutare delle esigenze strategiche ed operative. 09

Infosync è in grado di supportare le integrazioni con i sistemi di Cyber-Risk Management più comuni, quali: CMDB (Application Security Testing, Secure Configuration Management), TVM (Threat and Vulnerability Management), TIP (Threat Intelligence Platforms), IAM (Identity and Access Management) attraverso Active Directory (AD), LDAP, o altri servizi. Inoltre l applicazione supporta processi RBAC (roles-based access controls) alle funzioni ed ai contenuti. La soluzione garantisce l integrazione con sistemi SIEM (Security Information Event Management), SOAR (Security Orchestration, Automation and Response), UEBA (User and Entity Behavior Analytics), DLP (Data Loss Prevention). 10

Infosync - Integrated Risk Management La soluzione, attraverso le integrazioni descritte, abilita i processi di analisi ed identificazione dei rischi in modalità automatica e near real time, secondo un approccio di valutazione continua dell efficacia dei controlli, della compliance, e del rischio residuo per ciascun asset o processo. Tali processi sono supportati da un modello di rappresentazione dell Enterprise Architecture (rappresentazione della struttura di un organizzazione, dei suoi processi operativi, dei sistemi informativi a supporto, dei flussi informativi, delle tecnologie utilizzate, delle localizzazioni geografiche) che consente, ove possibile, di gestire le relazioni tra gli asset IT, a differenti livelli, con i processi di gestione e trattamento delle informazioni, ovvero risorse organizzative e processi dell organizzazione. 11

Infosync dispone di template di workflow pre-configurati per facilitare i processi di risk assessment, control assessment ed audit (interni ed esterni), oltre che la comunicazione tra i diversi referenti IT, Security e Privacy compliance. La soluzione consente di mappare i controlli o le policy interne rispetto a librerie di requisiti specifici riferibili a framework, standard e best-practice relativi contesti IT, cyber, privacy e di business continuity, disponibili out-of-the-box o facilmente configurabili a sistema. Infosync abilita i processi qualitativi e quantitativi di risk assessment. I rischi sono collegabili ai processi ed alle funzioni di alto livello dell organizzazione, attraverso un processo di modellazione della minacce e vulnerabilità rispetto a processi di risk assessment per contesti specifici e differenti. La soluzione dispone di processi di mitigazione del rischio supportati da processi di definizione di azioni (owner, scadenza, responsabile, budget necessario, priorità) e attraverso modelli automatici di definizione delle priorità di implementazione delle azioni (eg. Compliance, Livelli di mitigazione, capacità delle soluzioni di sicurezza di mitigare il rischio, etc.), ovvero attraverso 12 integrazione di strumenti di project management in uso o utilizzabili dall amministrazione.

I Moduli Infosync AM RM DP GA CE SA Asset Management - Modulo base della piattaforma, che consente la catalogazione e la gestione delle informazioni (inventory) relative agli Assets, Asset Container e ai Processi Processi Strategici (Competitivi o di innovazione e trasformazione), Processi Operativi e di Supporto. Consente l integrazione con sistemi di Asset Management di terze parti finalizzata alla valorizzazione delle dimensioni di impatto di sicurezza e di business. Abilitazione dei processi di Asset Experience (Visione Asset-centrica dei processi di risk ed Event Analysis) e di gestione dell Enterprise Architecture, che garantisce anche una mappatura dei flussi informativi tra i diversi asset (mapping delle relazioni tra gli oggetti catalogati nel modulo AM). Risk Management - Modulo di gestione dei precessi di Risk Management, attraverso un processo basato su attività di assessment (contesto o dominio) periodiche (stage), caratterizzate da: definizione della libreria di assessment (eg. 27001, PSD2, NIST, etc.) e dei perimetri di compliance specifica per ogni contesto; definizione del perimetro (insieme di Asset); definizione dei ruoli che partecipano all assessment; gestione delle fasi operative e cicliche di Risk Management (risk identification, risk analysis e risk evaluation), What-If Analysis, Action Plan e Monitoring. Data Protection (GDPR) - Modulo di gestione dei processi di Data Protection finalizzato al supporto della compliance alla nuova norrmativa Europea GDPR - General Data Protection Regulation e di integrazione con i processi di Risk Management della piattaforma. Gap Analysis e Audit - Modulo per la gestione processi di Gap-Analysis e Compliance Assessment oltre che dei programmi di Audit (Internal Audit e Audit di Terze Parti e Fornitori), anche attraverso web-portale per esecuzione di self-assessment da parte delle terze parti interessate. Collector Engine - Modulo di gestione dei processi di integrazione con le fonti dati esterne. Il modulo permette di definire e schedulare i processi di Collection e di effettuare i processi di trasformazione e normalizzazione necessari all integrazione. Security Analytics - Modulo di Data Analytics, per processi di Dashboarding, Monitoring, Insight e Discovery dei dati integrati nel modello dati proprietario (Risk Hub), a supporto del top Management ed Operational Reporting. Early Warning - Funzioni a supporto del processo di gestione proattiva delle vulnerabilità e delle minacce della sicurezza, attraverso processi di correlazione automatizzata delle informazioni riferite agli asset impattati con i feed pubblicati dal NIST (National Insititute for Standard and Technologies) e degli indicatori di compromissione, studiata per offrire una soluzione basata su soluzioni open-source ed in grado di integrare soluzioni di Vulnerability Assessment di mercato (eg. Tenable, Qualys, etc). 13

Tutti i diritti riservati ESC 2 s.r.l.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back