I principali destinatari del servizio Structured CyberRisk Evaluation & Assurance sono tutte le aziende che considerano la corretta gestione degli asset informatici una questione di estrema importanza e che sono interessati a proteggere i propri asset da eventuali attacchi esterni attraverso l’utilizzo di strumenti di monitoraggio e analisi preventive basate su competenze specifiche. In particolare:
Aziende del settore Banking e Insurance con l’obiettivo di proteggere le transazioni finanziarie e l’integrità dei dati dei propri clienti e migliorare la credibilità e fiducia dei consumatori perché consapevoli che se il rischio cyber è monitorato si possono evitare perdite economiche per le banche, per i correntisti e le aziende corporate.
Aziende del settore Transportation con l’obiettivo di monitorare le vulnerabilità dei sistemi automatizzati di automezzi, velivoli e treni, in quanto il rischio di un eventuale cyber-attack può minare la sicurezza dei trasportati.
Aziende del settore Sanitario con l’obiettivo di monitorare le vulnerabilità dei sistemi automatizzati, principalmente per quanto riguarda i software medicali, al fine di garantire alti livelli di sicurezza dei pazienti.
Multinazionali o grossi gruppi di aziende con l’obiettivo di monitorare in modo accentrato le vulnerabilità dei propri sistemi informatici distribuiti sul territorio o ramificati in diversi paesi, al fine di tutelare e salvaguardare il patrimonio aziendale nella sua globalità.
L’obiettivo del servizio di Structured CyberRisk Evaluation & Assurance è quello di identificare e analizzare i rischi di un’organizzazione nella sua complessità, in ambito cybersecurity, in un dato periodo temporale, attraverso strumenti di analisi e attività di valutazione on-site dei punti di forza e debolezza del sistema dei controlli messi in atto per prevenire i rischi, con successivo follow-up degli stessi in accesso remoto.
Nello specifico, il servizio fornisce un riscontro credibile sull’effettivo grado di rischio di attacco cyber sui dati dell’organizzazione, attraverso una attività di verifica ed analisi dei dati, per identificare i gap rispetto alle best practices e normative di settore. Il servizio inoltre permette di individuare il grado di controllo dei rischi identificati, attraverso strumenti di analisi degli asset di proprietà dell’azienda e di fornire alert sui rischi cyber interni ed esterni.
Il servizio consiste in una attività di ispezione in accordo alla norma UNI CEI EN ISO/IEC 17020, tramite l’utilizzo di check list che comprendono sia gli aspetti generali che quelli specifici del settore di riferimento, e delle best practices di settore.
Il servizio si struttura in due fasi specifiche:
Fase 1 – CyberRisk Evaluation & Monitoring
- Attività di assessment on-site dei controlli messi in atto da una azienda per prevenire i rischi cyber, attraverso l’utilizzo di check list di settore;
- Attività di analisi dei reali rischi cyber dell’azienda, svolta parallelamente alla precedente, in accesso remoto sui sistemi del cliente, tramite un applicativo software ad hoc.
Sulla base dei risultati elaborati nelle due attività precedenti viene prodotto un Assessment Report utile ad evidenziare il livello di rischio cyber dell’organizzazione ed i punti di forza sui controlli messi in atto. Verrà inoltre rilasciato un attestato, di durata annuale, che per il campione ed il periodo analizzato, riporterà i risultati della verifica, previo monitoraggio da remoto nei mesi successivi, fino alla scadenza dell’attestato.
Fase 2 – CyberRisk Continuous Monitoring
Attività di follow-up dei rischi, effettuata in accesso remoto tramite applicativo software ad hoc, per la durata di validità dell’attestato.