L’obiettivo del servizio di Structured CyberRisk Evaluation & Assurance è quello di identificare e analizzare i rischi di un’organizzazione nella sua complessità, in ambito cybersecurity, in un dato periodo temporale, attraverso strumenti di analisi e attività di valutazione on-site dei punti di forza e debolezza del sistema dei controlli messi in atto per prevenire i rischi, con successivo follow-up degli stessi in accesso remoto.
Nello specifico, il servizio fornisce un riscontro credibile sull’effettivo grado di rischio di attacco cyber sui dati dell’organizzazione, attraverso una attività di verifica ed analisi dei dati, per identificare i gap rispetto alle best practices e normative di settore. Il servizio inoltre permette di individuare il grado di controllo dei rischi identificati, attraverso strumenti di analisi degli asset di proprietà dell’azienda e di fornire alert sui rischi cyber interni ed esterni.
Il servizio consiste in una attività di ispezione in accordo alla norma UNI CEI EN ISO/IEC 17020, tramite l’utilizzo di check list che comprendono sia gli aspetti generali che quelli specifici del settore di riferimento, e delle best practices di settore.
Il servizio si struttura in due fasi specifiche:
Fase 1 – CyberRisk Evaluation & Monitoring
- Attività di assessment on-site dei controlli messi in atto da una azienda per prevenire i rischi cyber, attraverso l’utilizzo di check list di settore;
- Attività di analisi dei reali rischi cyber dell’azienda, svolta parallelamente alla precedente, in accesso remoto sui sistemi del cliente, tramite un applicativo software ad hoc.
Sulla base dei risultati elaborati nelle due attività precedenti viene prodotto un Assessment Report utile ad evidenziare il livello di rischio cyber dell’organizzazione ed i punti di forza sui controlli messi in atto. Verrà inoltre rilasciato un attestato, di durata annuale, che per il campione ed il periodo analizzato, riporterà i risultati della verifica, previo monitoraggio da remoto nei mesi successivi, fino alla scadenza dell’attestato.
Fase 2 – CyberRisk Continuous Monitoring
Attività di follow-up dei rischi, effettuata in accesso remoto tramite applicativo software ad hoc, per la durata di validità dell’attestato.