Caricamento

Security Assessment e Gestione Data Privacy per una multinazionale manifatturiera

label Architecture: 
  • Security
Vertical: 
  • Manufacturing
Brand: 
  • Lantech Longwave



Esigenza


  • Verificare l’allineamento dell’infrastruttura IT alle best practices in ambito cybersecurity.
  • Verificare l’allineamento dei processi aziendali e dell’infrastruttura alle best practices nella gestione dei dati privacy e delle normative esistenti (GDPR)


Soluzione


All’azienda sono state richieste preliminarmente diverse informazioni utili e a supporto delle attività vere e proprie. Tra queste i processi più rilevanti per l’organizzazione, inclusi quelli che riguardano il trattamento di dati personali, e le soluzioni di cybersecurity già implementate. Inoltre, viene richiesta una documentazione aggiornata dell’infrastruttura IT.

Si è partiti dall’analisi delle informazioni preliminari raccolte.
Abbiamo svolto l’assessment vero e proprio in tutte le cosiddette security zone adottando un approccio Top-down.

1° step
Siamo partiti da un High Level Design Assessment, effettuando un’intervista al reparto IT per raccogliere informazioni aggiornate e dettagliate sull’infrastruttura network security, sulle security policy definite ed i relativi componenti architetturali coinvolti ed analizzando i comportamenti standard degli utenti, oltre che ad un’intervista delle risorse aziendali coinvolte nei processi di gestione dei dati privacy.
L’elaborazione delle informazioni raccolte hanno permesso di effettuare una GAP Analysis di tipo qualitativo volta ad evidenziare le “distanze” dell’infrastruttura esistente rispetto alla best practice di riferimento, in relazione ai principali vettori di attacco ed ai rischi di perdita di confidenzialità dei dati. E’ stato inoltre elaborato un Remediation Plan contenente la misurazione dei vari livelli di rischio assoluti e relativi, in base ai quali sono state definite le conseguenti attività di remediation. Questa attività ci ha dato la possibilità di coinvolgere e sensibilizzare gli stakeholder ed allinearli e innescare un confronto propedeutico. 

2° step

In base a quanto precedentemente elaborato, si sono implementate delle attività sistemistiche volte a verificare puntualmente le configurazioni e le evidenze nei sistemi coinvolti nell’applicazione dei layer di sicurezza necessari nelle zone di rischio individuate (Low Design Security Assessment). Attraverso le attività di Penetration Test e Vulnerability Assessment, abbiamo contestualizzato il reale fattore di rischio testando  attraverso  pratiche di Ethical Hacking l’effettiva esposizione dell’infrastruttura anche nei contesti applicativi.


Benefici


L’output fornito è estremamente “pratico” in quanto trasmette una stima tangibile dei problemi-GAP-risoluzioni.
Si definisce, inoltre, un primo livello di attività di remediation e le diverse contromisure da mettere in campo tramite progetti dedicati. Le diverse remediation sono state presentate con un ordine di priorità, in funzione dei rischi individuati per la sicurezza delle informazioni, che contempla da una parte la criticità ad esse associate, dall’altra una roadmap di implementazione coerente con le logiche di design.

L’Executive Summary proposto fornisce una fotografia di insieme delle aree a maggiore rischio e permetto al management di stabilire (confermando o meno le ipotesi di intervento proposte) in quali aree prevedere interventi mediante l’assegnazione di budget e risorse. Seppur non sia esplicitamente previsto un metodo di analisi specifico dalle autorità, la volontà di svolgere periodici assessment dimostra l’attenzione dell’azienda ai temi e può rappresentare un elemento di aiuto in caso di criticità formali (garante privacy).

 

 



Con noi hanno collaborato:

Compila il form di contatto per richiedere ulteriori informazioni!

I campi contrassegnati con * sono obbligatori


    Ai sensi dell’Art. 13 del Regolamento EU 2016/679, le comunichiamo che i dati qui richiesti vengono raccolti
    e trattati per la finalità di iscrizione all’evento di cui sopra.
    Il conferimento dei dati è facoltativo, ma la compilazione dei campi obbligatori è necessaria per la richiesta che state effettuando.
    Informativa completa: Informativa Privacy

    I suoi dati saranno trattati inoltre, dietro suo esplicito consenso, per le seguenti finalità:

    A) Invio di comunicazioni promozionali e di marketing, incluso l’invio di newsletter e ricerche di
    mercato, attraverso strumenti automatizzati e non posta cartacea, telefono con operatore.
    Si accoglie un unico consenso per le finalità di marketing, ai sensi del Provv. Gen. del Garante –
    Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013

    Non Acconsento

    B) Comunicazione dei miei dati personali per finalità di marketing alle Società Partner dell’evento.

    Non Acconsento

    In qualsiasi momento, ai sensi dell’Art. 7 del Regolamento potrà revocare, in tutto o in parte, il consenso già
    prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del
    consenso. Le richieste vanno rivolte per iscritto al Titolare del Trattamento.

    Richiedi ulteriori informazioni!
    La tua richiesta è stata inviata correttamente.
    Torna alle referenze