Il Framework di sicurezza universalmente riconosciuto come il più efficace nell’indirizzare i rischi relativi alla Cybersecurity è quello descritto nella normativa ISO 27001/2013.
La normativa ISO 27001 rappresenta lo stato dell’arte nel campo della sicurezza informatica ed il framework di riferimento tecnico per tutta un’altra serie di normative e adempimenti (ad esempio il GDPR), per cui l’analisi dello stato del sistema informativo in ottica ISO 27001 è un passaggio fondamentale anche per le aziende che non sono interessate alla certificazione ISO 27001.
Qualsiasi tipologia di governance della Cybersecurity prevede una prima fase di valutazione dell’AS-IS relativo, valutazione che costituisce le fondamenta dell’implementazione efficace di un piano di Cybersecurity Management che possa determinare un rating alto. Data la diffusione e la accettazione generale del framework ISO 27001, la valutazione dell’AS-IS in questa ottica è determinata dall’esecuzione di un’attività di pre-audit ISO 27001: questa attività non certifica l’azienda in ottica ISO 27001 e non costituisce un audit ufficiale, ma è efficace nel valutare la distanza dell’azienda dall’implementazione del framework di sicurezza ISO 27001 e nel valutare l’effort organizzativo ed economico richiesto per l’adeguamento (e quindi per l’ottenimento di un alto rating di Cybersecurity).

Attività previste:
  • interviste con i responsabili dei sistemi informativi e dell’operation
  • analisi on site dell’infrastruttura hardware e software
  • Redazione deliverables
Deliverables:
  • documento di gap-analysis nei confronti della normativa
  • documento ad alto livello di remediation con prioritizzazione degli interventi