Un virtual chief information security officer (vCISO) è un consulente di livello C che fornisce supporto alla sicurezza informatica come un dirigente interno. Il vCISO agisce come forza esterna per la valutazione dei sistemi di sicurezza di un'azienda: non si risparmia nella sua valutazione e offre un grande valore sia alle PMI che alle grandi organizzazioni.
Fase 1 - Ricognizione e definizione del campo di applicazione
Durata: fino a 3 mesi
Consegna: Questionario della fase di ricognizione (oltre 500 domande a cui si risponde con un punteggio di maturità COBIT 5 da 1 a 5)
Vantaggi: La fase di ricognizione consente al cliente di comprendere la propria posizione di sicurezza rispetto agli standard delle best practice. Comprendere quali requisiti di conformità si applicano (GDPR, PCI, ecc.) e aumentare la trasparenza organizzativa.
Requisiti - Prima settimana in loco per incontrare i seguenti soggetti chiave:
Tutte le domande pertinenti saranno poste agli stakeholder specifici, che potranno rispondere da soli o indicarci la direzione giusta per un incontro successivo con lo stakeholder in questione. Le domande possono essere presentate in anticipo, per accelerare la fase di ricognizione.
Fase 2 - Analisi
Durata: fino a 1 mese
Consegna: Rapporto di valutazione della maturità con le principali minacce per il vostro settore. Punteggi basati su COBIT 5 (modello di maturità delle best practice) e benchmark con altre organizzazioni simili.
Vantaggi: Conoscere l'aspetto della vostra posizione di sicurezza rispetto alle minacce specifiche del vostro settore, nonché di altre organizzazioni del vostro settore. Sapere dove siete più e meno maturi. Questo ci permette di sviluppare una roadmap di miglioramento della sicurezza basata sul rischio.
Fase 3 - Tabella di marcia per il miglioramento della sicurezza
Durata: fino a 2 mesi
Risultati: Una strategia di sicurezza delle informazioni completamente prescrittiva, sotto forma di una tabella di marcia basata sui rischi, con stime dei costi e delle tempistiche. Per la fase successiva sarà necessario un budget aggiuntivo per il progetto.
Un extra facoltativo: Non riuscite a ottenere l'attenzione del consiglio di amministrazione? Possiamo aiutarvi a ottenere il budget redigendo un business case con chiari ROI per ogni voce della roadmap. Il tutto sarà preceduto da un'opera di sensibilizzazione sui motivi per cui la sicurezza è importante, al fine di influenzare l'interesse del consiglio di amministrazione. Includeremo una serie di KPI organizzativi da tenere sotto controllo e su cui riferire, dopo l'implementazione del progetto. Questi KPI forniranno al consiglio di amministrazione la certezza che gli investimenti in sicurezza sono stati utili.
Vantaggi: Questa tabella di marcia vi aiuterà ad affrontare per primi i rischi organizzativi più critici e le lacune di controllo.
Ogni soluzione proposta dovrà contenere una chiara descrizione dei benefici e del ROI atteso, utilizzando l'analisi quantitativa del rischio per dimostrare l'aspettativa di perdita annuale prima e dopo l'implementazione e la verifica/convalida delle soluzioni.
Fase 4 - Lavori di bonifica
Durata: In base al budget e alle tempistiche del cliente
I progetti di miglioramento della sicurezza sono generalmente implementati localmente dal cliente, utilizzando le proprie risorse. Forniamo un supporto di consulenza continuo durante il progetto, per garantire che i risultati siano allineati con i requisiti originali.
Fase aggiuntiva di controllo qualità opzionale: Se necessario, possiamo partecipare alla valutazione delle soluzioni proposte da diversi fornitori. Offriamo una consulenza neutrale rispetto ai fornitori.
Vantaggi: La riparazione dei rischi dell'organizzazione è la ragione principale per investire nella sicurezza informatica.
Il perfezionamento della postura di sicurezza vi aiuterà a prevenire, rilevare, rispondere e garantire la protezione delle vostre risorse informative. Il security-by-design riduce drasticamente i costi complessivi delle operazioni. Digitalizzate la vostra organizzazione e portatela nell'era dell'informazione con fiducia.
Fase 5 - Post implementazione
Questa fase è la più semplice, perché i nostri consulenti sono già coinvolti dal primo giorno. Si tratta sostanzialmente di un "check in the box", una volta che i progetti e i processi necessari sono stati avviati, a dimostrazione del continuo miglioramento della sicurezza.
Vantaggi: Aumenta la reputazione dell'azienda, il valore delle azioni e fornisce un punto di vendita/vantaggio unico in un mercato competitivo. Dimostrate ai vostri clienti che avete a cuore i loro diritti e la sicurezza dei dati!
L'accreditamento alla norma ISO27001 dimostrerà la prova della dovuta diligenza e dell'attenzione, contribuendo così a ridurre le ingenti multe GDPR, le multe PCI e tutte le altre che la vostra organizzazione potrebbe dover affrontare.
Offriamo un supporto vCISO per il programma di sicurezza informatica della vostra azienda, con in mente l'implementazione di una strategia di sicurezza a lungo termine e il miglioramento continuo, sia sfruttando ciò che avete già in atto, sia stabilendo la sicurezza dalle fondamenta (e dall'alto verso il basso tramite politiche e strategie).
Il nostro servizio vCISO consente alle organizzazioni di effettuare una valutazione completa della propria postura di sicurezza, individuando così i punti deboli e ottimizzando la spesa per la sicurezza e il ROI a lungo termine.
Offriamo un supporto vCISO per il programma di sicurezza informatica della vostra azienda, con in mente l'implementazione di una strategia di sicurezza a lungo termine e il miglioramento continuo, sia sfruttando ciò che avete già in atto, sia stabilendo la sicurezza dalle fondamenta (e dall'alto verso il basso tramite politiche e strategie).
Il nostro servizio vCISO consente alle organizzazioni di effettuare una valutazione completa della propria postura di sicurezza, individuando così i punti deboli e ottimizzando la spesa per la sicurezza e il ROI a lungo termine.
Sia come consulente di lunga data per la vostra organizzazione, sia come CISO ad interim, un vCISO interverrà per stabilire politiche, standard e procedure di sicurezza, implementare quadri di controllo e stabilire processi che rilevino e rispondano rapidamente agli incidenti, consentendovi di perfezionare continuamente il vostro approccio e di affrontare il panorama dinamico delle minacce in linea con le best practice del settore e i requisiti normativi.
Questo servizio è un modello economicamente vantaggioso che può essere scalato - sia in termini di durata che di portata - per soddisfare le esigenze di sicurezza specifiche e uniche e la propensione al rischio del cliente. Grazie a questo pacchetto, i nostri clienti possono concentrarsi sulle loro attività principali, avendo la certezza che le loro risorse informative siano disponibili, efficaci e sicure.
