Immagine GDPR su vari sfondi trasparenti

 

GDPR, General Data Protection Regulation, è ilregolamento europeo sulla privacy (EU Regulation 2016/679) in vigore in tutta Europa, e quindi anche in Italia, dal 25 maggio 2018: sostituisce la precedente norma europea sulla privacy, la Direttiva 95/46/EC.

L’elemento di maggior impatto rispetto alla precedente normativa italiana, il Codice Unico sulla privacy (D.Lgs. 196/2003) è dato dalle nuove pesanti sanzioni economiche, che possono arrivare fino a 20 milioni di euro o fino al 4% dell'intero volume d'affari.

La privacy deve pertanto essere correttamente gestita, e questo deve essere dimostrabile, pena ... le sanzioni di cui sopra

Malabo, con la pluriennale esperienza conseguita nel supportare vari Clienti nell'adempimento del precedente  Codice Unico sulla Privacy, ha predisposto una propria metodica flessibile e facilmente contestualizzabile alla specifica realtà del Clinete, con un insieme di documenti e di strumenti pre impostati per  aiutare un'Azienda ed un Ente Pubblico ad adeguarsi correttamente e velocemente a questo "nuovo" regolamento.

Un esempio dei tali documenti e strumenti "pre-impostati) sono riportati nella scheda scaricabile gratuitamente, dopo aver fatto il login a qesto sito web (NB: per registrasi cliccare qui)

 

Per scaricare  la scheda  KIT GDPR cliccare (utenti registrati) sul bottone "dowload" qui sotto

{jd_file file==53}

 

fig frece stradali cost benefit

 

Il servizio “Analisi del valore ICT” consente una valutazione qualitativa e quantitativa del contributo del sistema informatico, in essere o previsto, al business dell’azienda. La metodologia di analisi, fortemente personalizzabile sulla realtà di ogni singola azienda, fa riferimento alle più consolidate “best practice”, quali COBIT, e agli standard contabili internazionali IAS/IFRS, in particolare lo IAS 38 sulla valorizzazione dei beni intangibili.

La metrica messa a punto, e sofisticabile qunato opportuno, si può applicare al valore dell'intero Sistema Informatico (SI)  per la creazione di valore per l'intera azienda/ente, o solo su alcune parti del SI inneriti specifici processi/attività (ad esempio la vendita on line, l'automazione industriale, etc.) e/o adeterminate Divisoni / Business Unit.

La metrica utilizzata per l’analisi qualitativa è sintetizzata nella sottostante figura ed è articolata in 5 fasi principali:

  • Individuazione dei Fattori Critici di Successo (FCS) della organizzazione
  • Valutazione del contributo dei processi aziendali ai FCS
  • Valutazione del contributo della ICT ai processi aziendali
  • Valutazione del contributo della ICT ai FCS
  • Misura del valore della ICT per la organizzazione.

Malabo ha realizzato dei fogli elettronici che consentono una più facile ed omogenea raccolta dei dati e delle valutazioni, responsabile per responsabile e/o per ogni linea di business.Questi fogli agiscono contemporaneamente da questionari e da strumenti di elaborazione, ed hanno un numero limitato di domande (30-40), la maggior parte delle quali con un insieme di risposte predefinite tra le quali scegliere. L’imprenditore ed i responsabili dell’azienda, rispondendo al questionario, effettuano una analisi “guidata” dei punti deboli e dei punti di forza nell’uso dell’ICT in azienda. Nella maggior parte dei casi viene effettuato da Malabo un incontro con tutti gli interlocutori per illustrare obiettivi, metriche, modalità di compilazione.

L’analisi quantitativa aggiunge all’analisi qualitativa di cui sopra l’analisi dei costi ICT, diretti ed indiretti, e la stima economica del loro contributo al business aziendale, sia diretti che indiretti che intangibili: tipici esempi l’incremento vendite via commercio elettronico e portale web, la riduzione delle scorte magazzini, l’automazione di alcuni processi, l’aumento di efficacia e di produttività della forza lavoro, la riduzione dei costi generali e d’ufficio. Gli indicatori economici sono concordati con il Direttore Amministrativo/CFO: dal TCO, Total Cost of Ownership, per i costi a vari indicatori per i ritorni, dal ROI, Return on Investment, al DCF, Discounted Cash Flow.

I risultati dell’analisi non solo contribuiscono ad una realistica valutazione del contributo dell’ICT al business, come evidenziato da alcuni dei grafici sottostanti, ma anche a sensibilizzare il management aziendale al miglioramento continuo e ad un effettivo governo dell’ICT allineato con l’evoluzione ed il governo dell’azienda.

 

 

image risk analysis

 L'analisi dei rischi di un Sistema Informatico, con la parallela analisi dei loro possibili impatti soprattutto sulla continuità opeartiva dell'aziende/ente,  oltre che della gestione dei rischi, costitusice un complesso processo che dovrebbe essere periodicamente attivato.

Malabo, con i suoi specialisti, effettua questo tipo di intervento nell'ambito del complessivo suo approccio alla sicurezza digitale (si veda l'area relativa e la sottostante figura di sintesi), partendo dalle rilevazione ed analisi dei sistemi ICT, degli utenti interni ed esterni, dallo storico di passti attacchi e problemi, contestualizzando standard e best practices di riferimento alla specifica realtà ed obiettivi del Clienti (per questo il primo punto nella rilevazione della situazione è l'individuazione dei Fattori Critici di Successo (FCS).

L'analisi dei rischi ICT parte dall'uso del servizio AVULlCT per l'analisi delle vulnerabilità ICT, focalizzato sulle vulnerabilità tecniche del Sistema Informatico (SI) del Cliente, considerando ed analizzando anche le sue parti terziarizzate. L'utilizzo di AVULICT è propedeutico, ed obbligatorio, all'analisi dei rischi.

Nell'analisi dei rischi, dopo aver acquisito i risultati ottenuti con AVULICT:

  •  viene analizzata la vulnerabilità dell'organizzazione, per quanto riguarda l'ICT ed il SI del Cliente
  •  viene analizzata la vulnerabilità degli utenti del SI, sia quelli finali che quelli privilegiati, ed in particolare gli utenti interni alla struttura organizzativa del Cliente
  • vengono analizzate le vulnerabilità ed i rischi dei fornitori ICT del Cliente, verificando anche i contratti in essere e le relative clausole sui livelli di servizio, sulla privacy e sulla sicurezza digitale
  • vengono analizzati i malfunzionamenti del e gli eventuali attacchi occorsi nel passato al SI
  • vengono analizzati i risultati di precedenti analisi dei rischi ICT o per l'intera azienda/ente, ed eventuali rapporti  ed articoli sui rischi del settero merceologico cui appartine il Cliente
  • vengono individuati, con opportuni incontri con il vertice e con alcuni utenti di riferimento, i problemi ed i rischi più temuti inerenti il SI, e le motovazioni per tali
  • opzionalemente può essere effettuata l'analisi degli impatti sul business (BIA), tipicamente per i rischi più gravi individuati

Per l'analisi dei rischi, Malabo fa riferimento ed utilizza, in maniera efficace  in funzione della specica realtà del Cliente,  i seguenti standard e buone pratiche internazionali (elenco non esaustivo):

  • ISO 31000:2009 - Risk management -- Principles and guidelines;
  • Risk Management Standard della FERMA, Federation of European Risk Management Associations;
  • Criteri dell’ IRM, Institute of Risk Management.
  • Per la privacy: Regolamento EU 2016/679, precedente D.Lgs 196 ed i vari aggiornamenti e regolamenti del Garante Privacy italiano
  • Per l’analisi e la gestione dei rischi ICT: ISO 27005, NIST SP 800-30, Octave Allegro
  • Per l’architettura dei sistemi informatici e della loro sicurezza: Togaf , OSA, NIST, Direttiva NIS
  • Per le misure di sicurezza informatica e la loro gestione: ISO 27001-2, ITIL: 2013, COBIT v5
  • Per la protezione dei dati personali (privacy) anche terziarizzati e/o in cloud: ISO 27018
  • Per la sicurezza dei servizi in cloud: ISO 27017, ISO 27018 e CSA Star
  • Per l’identificazione e l’autenticazione: PKI, X509, ISO, grafometria, NIST, eIDAS (SPID)

 

Il risultato dell'analisi dei rischi è un Rapporto che dettaglia, in ordine di gravità, i rischi individuati, le loro motivazioni e possibili cause, gli interventi da effettuare per eliminarli e per ridurli. Tale Rapporto viene illustrato e spiegato ai vertici decisori del Cliente nel corso di una riunione.

A seguito di una consulenza sull'analisi dei rischi (AR) e/o sulla BIA, Business Impact Analysis, sovente effettuata nell'ambito di un intervento per la Business Continuity (BC)  e/o per il miglioramento dellle misure di sicurezza digitale per un sistema informatico, Malabo può fornire al Cliente il servizio di aggioranmento periodico di AR, BIA e BC e/o fonire al Cliente come SaaS (in cloud) i propri strumenti informatici per le analisi ed i piani su queste tematiche, ovviamente personalizzati sulla specifica realtà del Cliente (derivata dalla consulenza iniziale) e con un supporto formativo e di addestramento per il loro diretto e corretto uso da parte del Cliente.

 

icona scrittura docPer richiedere un'offerta di AVULICT inviare una e-mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

Il servizio di Assessment Competenze&Ruoli ICT e di analisi della struttura organizzativa a supporto del Sistema Informatico  (per brevità nel seguito ACROICT), è un consolidato intervento  consulenziale a cavallo tra ICT e la gestione del personale fruibile da aziende ICT e dalle Direzioni/Unita Organizzative Sistemi Informativi (per brevità nel seguito UOSI) che consente contemporaneamente:

  • il posizionamento delle competenze ICT della persona rispetto agli standard europei EUCIP/eCF
  • l'analisi delle caratteristiche psico attitudinali della persona
  • l'analisi dell'attuale ruolo della persona nella struttura organizzativa
  • il riposizionamento, concordato, della persona in altro ruolo o il mantenimento dello stesso ruolo, in entrambi i casi con un piano formativo di aggiornamento e completamento delle competenze necessarie, eventualmente con un supporto a livello coach/tutor per un predeterminato arco temporale.

 

Fig aspetti competenze

 

 

L'intervento ACR ICT tipicamente si articola, per ogni persona, in:

a) uno o più incontri con la committenza ed il/i responsabile/i della persona per acquisizione informazioni sulla sua carriera e sul suo ruolo attuale (job description dell'attuale ruolo, curriculum vitae, certificazioni, pubblicazioni, ecc.), oltre che per conoscere loro giudizi sulla persona sia a livello professionale che comportamentale;

b) autovalutazione "guidata" della persona tramite "sistema esperto" via web, chiamato RADAR, che consente di identificare, a seguito delle risposte fornite, i profili di maggior prossimità rispetto a quelli EUCIP/eCF;

c) colloquio tecnico di verifica delle competenze rispetto all'autovalutazione; il colloquio è svolto con un consulente senior certificato eCF;

d) colloquio psico attitudinale; questo colloquio normalmente è svolto insieme al colloquio tecnico, in casi critici e/o in quelli concordati con la committenza è svolto da un consulente senior esperto in gestione del personale;

e) redazione di un rapporto sulla persona che contiene tipicamente:

  • Principali profili di prossimità emersi dall'autovalutazione guidata (anche attraverso sistema esperto AICA per eCF)
  • Individuazione profilo più attinente all'attuale posizione e a quello desiderato in prospettiva, il profilo obiettivo
  • Valutazione dell’assessment con attendibilità della valutazione e condivisione (o non) del risultato
  • Punti di forza e di debolezza sia a livello tecnico che attitudinale
  • Individuazione e condivisione del ruolo, attuale o obiettivo
  • Individuazione principali passi, formativi e non, per consolidare e migliorare il ruolo attuale o raggiungere quello obiettivo
  • piano formazione e/o supporto coaching

f) eventuale intervento personalizzato di supporto (coaching) e di formazione.

 

image persona con pollice alzato

 

 

Fig vulnerabilita ICT lente su tastiera

 

Le vulnerabilità ICT sono le cause principali dei mulfunzionamenti e degli attacchi digitali, intenzionali e non, ad un Sistema Informatico.

Le vulnerabilità per un Sistema Informatico possono suddivirsi in tre grandi categorie: vulnerabilità tecniche, vulnerabilità del personale (utenti finali e privilegiati del SI), vulnerabilità dell'organizzazione.

Il servizio AVULICT riguarda solo le vulnerabilità tecniche del software installato sul Sistema Informatico del Cliente. Le vulnerabilità del personale e dell'organizzazione sono analizzate nell'ambito dell'Analisi dei rischi ICT (ARICT).

 AVULICT offre due livelli di servizio:

  • analisi delle vulnerabilità del software in automatico tramite specifici strumenti software. In funzione del tipo e della complessità del SI del Cliente, oltre che del suo budget disponibile, per tali analisi possono essere usati sia strumenti opensource, quali ad esempio, sia commerciali a pagamento, quali ad esempio Nessus. Il risultato di tale analisi, che viene consegnato ed illustrato-spiegato al Cleinte, è un Rapporto che dettaglia, in ordine di gravità, le vulnerabilità riscontrate e le modalità per eliminarle o ridurne la gravità.
  • penetration test (pentest): gli specilisti di Malabo, dopo aver effettuato l'analisi in automatico di cui sopra, effettuano dei tentativi di attacco non distruttivi al SI del Cliente, tipicamente alle sue infrastrutture ed ai suoi applicativi più significativi e più critici per il business/attività dell'azienda/ente. Il risultato di tale analisi, che viene consegnato ed illustrato-spiegato al Cleinte, è un Rapporto che dettaglia, in ordine di gravità, i data breach e le criticità riscontrate e le modalità per eliminarle o ridurne la gravità.

 ll risultato dell'analisi delle vulnerabilità tecniche del SI è un Rapporto che dettaglia, in ordine di gravità, le vulnerabilità tecniche individuate, le loro possibili cause, gli interventi da effettuare per eliminarle e per ridurle, qualore non ci fossero ancora specifiche patch/fix per quel software. Tale Rapporto viene illustrato e spiegato ai vertici decisori del Cliente nel corso di una riunione.

 

icona scrittura doc Per richiedere un'offerta di AVULICT inviare una e-mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

 

Malabo Srl Sede Legale: via del Caravaggio 14 Milano 20144 Sede Operativa: via Savona 26 Milano 20144 C. F. e P. IVA n. 13343460153 Registro imprese Milano n. 68922/2001 Data iscrizione 27/02/01 REA 1642646 © 2008-2019 Malabo Srl All Rights Reserved.

Questo sito web utilizza dei cookie sia del proprio ambiente Joomla 3.x sia dei software di Terzi per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso