Questionario OAD 2024

Il servizio di Assessment Competenze&Ruoli ICT e di analisi della struttura organizzativa a supporto del Sistema Informativo dell'Azienda/Ente cliente (per brevità nel seguito ACROICT), è un consolidato intervento  consulenziale a cavallo tra ICT e la gestione del personale fruibile da aziende ICT e dalle Direzioni/Unità Organizzative Sistemi Informativi (per brevità nel seguito UOSI) che consente contemporaneamente:

  • il posizionamento delle competenze ICT della persona rispetto agli standard europei EUCIP/eCF
  • l'analisi delle caratteristiche psico attitudinali della persona
  • l'analisi dell'attuale ruolo della persona nella struttura organizzativa
  • il riposizionamento, concordato, della persona in altro ruolo o il mantenimento dello stesso ruolo, in entrambi i casi con un piano formativo di aggiornamento e completamento delle competenze necessarie, eventualmente con un supporto a livello coach/tutor per un predeterminato arco temporale.

 

Fig aspetti competenze

 

 

L'intervento ACR ICT tipicamente si articola, per ogni persona, in:

a) uno o più incontri con la committenza ed il/i responsabile/i della persona per acquisizione informazioni sulla sua carriera e sul suo ruolo attuale (job description dell'attuale ruolo, curriculum vitae, certificazioni, pubblicazioni, ecc.), oltre che per conoscere loro giudizi sulla persona sia a livello professionale che comportamentale;

b) autovalutazione "guidata" della persona tramite "sistema esperto" via web, chiamato e-Assessment (o Radar), che consente di identificare, a seguito delle risposte fornite, i profili di maggior prossimità rispetto a quelli EUCIP/eCF;

c) colloquio tecnico di verifica delle competenze rispetto all'autovalutazione; il colloquio è svolto con un consulente senior certificato eCF;

d) colloquio psico attitudinale; questo colloquio normalmente è svolto insieme al colloquio tecnico, in casi critici e/o in quelli concordati con la committenza è svolto da un consulente senior esperto in gestione del personale;

e) redazione di un rapporto sulla persona che contiene tipicamente:

  • Principali profili di prossimità emersi dall'autovalutazione guidata (anche attraverso sistema esperto AICA per eCF)
  • Individuazione profilo più attinente all'attuale posizione e a quello desiderato in prospettiva, il profilo obiettivo
  • Valutazione dell’assessment con attendibilità della valutazione e condivisione (o non) del risultato
  • Punti di forza e di debolezza sia a livello tecnico che attitudinale
  • Individuazione e condivisione del ruolo, attuale o obiettivo
  • Individuazione principali passi, formativi e non, per consolidare e migliorare il ruolo attuale o raggiungere quello obiettivo
  • piano formazione e/o supporto coaching

f) eventuale intervento personalizzato di supporto/indirizzamento (mentorship)  e di formazione (coaching).

 

image persona con pollice alzato

 

 

image risk analysis

 L'analisi dei rischi di un Sistema Informatico, con la parallela analisi dei loro possibili impatti soprattutto sulla continuità opeartiva dell'aziende/ente,  oltre che della gestione dei rischi, costitusice un complesso processo che dovrebbe essere periodicamente attivato.

Malabo, con i suoi specialisti, effettua questo tipo di intervento nell'ambito del complessivo suo approccio alla sicurezza digitale (si veda l'area relativa e la sottostante figura di sintesi), partendo dalle rilevazione ed analisi dei sistemi ICT, degli utenti interni ed esterni, dallo storico di passti attacchi e problemi, contestualizzando standard e best practices di riferimento alla specifica realtà ed obiettivi del Clienti (per questo il primo punto nella rilevazione della situazione è l'individuazione dei Fattori Critici di Successo (FCS).

L'analisi dei rischi ICT parte dall'uso del servizio AVULlCT per l'analisi delle vulnerabilità ICT, focalizzato sulle vulnerabilità tecniche del Sistema Informatico (SI) del Cliente, considerando ed analizzando anche le sue parti terziarizzate. L'utilizzo di AVULICT è propedeutico, ed obbligatorio, all'analisi dei rischi.

Nell'analisi dei rischi, dopo aver acquisito i risultati ottenuti con AVULICT:

  •  viene analizzata la vulnerabilità dell'organizzazione, per quanto riguarda l'ICT ed il SI del Cliente
  •  viene analizzata la vulnerabilità degli utenti del SI, sia quelli finali che quelli privilegiati, ed in particolare gli utenti interni alla struttura organizzativa del Cliente
  • vengono analizzate le vulnerabilità ed i rischi dei fornitori ICT del Cliente, verificando anche i contratti in essere e le relative clausole sui livelli di servizio, sulla privacy e sulla sicurezza digitale
  • vengono analizzati i malfunzionamenti del e gli eventuali attacchi occorsi nel passato al SI
  • vengono analizzati i risultati di precedenti analisi dei rischi ICT o per l'intera azienda/ente, ed eventuali rapporti  ed articoli sui rischi del settero merceologico cui appartine il Cliente
  • vengono individuati, con opportuni incontri con il vertice e con alcuni utenti di riferimento, i problemi ed i rischi più temuti inerenti il SI, e le motovazioni per tali
  • opzionalemente può essere effettuata l'analisi degli impatti sul business (BIA), tipicamente per i rischi più gravi individuati

Per l'analisi dei rischi, Malabo fa riferimento ed utilizza, in maniera efficace  in funzione della specica realtà del Cliente,  i seguenti standard e buone pratiche internazionali (elenco non esaustivo):

  • ISO 31000:2009 - Risk management -- Principles and guidelines;
  • Risk Management Standard della FERMA, Federation of European Risk Management Associations;
  • Criteri dell’ IRM, Institute of Risk Management.
  • Per la privacy: Regolamento EU 2016/679, precedente D.Lgs 196 ed i vari aggiornamenti e regolamenti del Garante Privacy italiano
  • Per l’analisi e la gestione dei rischi ICT: ISO 27005, NIST SP 800-30, Octave Allegro
  • Per l’architettura dei sistemi informatici e della loro sicurezza: Togaf , OSA, NIST, Direttiva NIS
  • Per le misure di sicurezza informatica e la loro gestione: ISO 27001-2, ITIL: 2013, COBIT v5
  • Per la protezione dei dati personali (privacy) anche terziarizzati e/o in cloud: ISO 27018
  • Per la sicurezza dei servizi in cloud: ISO 27017, ISO 27018 e CSA Star
  • Per l’identificazione e l’autenticazione: PKI, X509, ISO, grafometria, NIST, eIDAS (SPID)

 

Il risultato dell'analisi dei rischi è un Rapporto che dettaglia, in ordine di gravità, i rischi individuati, le loro motivazioni e possibili cause, gli interventi da effettuare per eliminarli e per ridurli. Tale Rapporto viene illustrato e spiegato ai vertici decisori del Cliente nel corso di una riunione.

A seguito di una consulenza sull'analisi dei rischi (AR) e/o sulla BIA, Business Impact Analysis, sovente effettuata nell'ambito di un intervento per la Business Continuity (BC)  e/o per il miglioramento dellle misure di sicurezza digitale per un sistema informatico, Malabo può fornire al Cliente il servizio di aggioranmento periodico di AR, BIA e BC e/o fonire al Cliente come SaaS (in cloud) i propri strumenti informatici per le analisi ed i piani su queste tematiche, ovviamente personalizzati sulla specifica realtà del Cliente (derivata dalla consulenza iniziale) e con un supporto formativo e di addestramento per il loro diretto e corretto uso da parte del Cliente.

 

icona scrittura docPer richiedere un'offerta di AVULICT inviare una e-mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

Fig vulnerabilita ICT lente su tastiera

 

Le vulnerabilità ICT sono le cause principali dei mulfunzionamenti e degli attacchi digitali, intenzionali e non, ad un Sistema Informatico.

Le vulnerabilità per un Sistema Informatico possono suddivirsi in tre grandi categorie: vulnerabilità tecniche, vulnerabilità del personale (utenti finali e privilegiati del SI), vulnerabilità dell'organizzazione.

Il servizio AVULICT riguarda solo le vulnerabilità tecniche del software installato sul Sistema Informatico del Cliente. Le vulnerabilità del personale e dell'organizzazione sono analizzate nell'ambito dell'Analisi dei rischi ICT (ARICT).

 AVULICT offre due livelli di servizio:

  • analisi delle vulnerabilità del software in automatico tramite specifici strumenti software. In funzione del tipo e della complessità del SI del Cliente, oltre che del suo budget disponibile, per tali analisi possono essere usati sia strumenti opensource, quali ad esempio OpenVas, sia commerciali a pagamento, quali ad esempio Nessus. Il risultato di tale analisi, che viene consegnato ed illustrato-spiegato al Cleinte, è un Rapporto che dettaglia in ordine di gravità le vulnerabilità riscontrate e le modalità per eliminarle o ridurne la gravità.
  • penetration test (pentest): gli specilisti di Malabo, dopo aver effettuato l'analisi in automatico di cui sopra, effettuano dei tentativi di attacco non distruttivi al SI del Cliente, tipicamente alle sue infrastrutture ed ai suoi applicativi più significativi e più critici per il business/attività dell'azienda/ente. Il risultato di tale analisi, che viene consegnato ed illustrato-spiegato al Cliente, è un Rapporto che dettaglia, in ordine di gravità, i data breach e le criticità riscontrate e le modalità per eliminarle o ridurne la gravità.

 ll risultato dell'analisi delle vulnerabilità tecniche del SI è un Rapporto che dettaglia, in ordine di gravità, le vulnerabilità tecniche individuate, le loro possibili cause, gli interventi da effettuare per eliminarle e per ridurle, qualore non ci fossero ancora specifiche patch/fix per quel software. Tale Rapporto viene illustrato e spiegato ai vertici decisori del Cliente nel corso di una riunione.

 

icona scrittura doc Per richiedere un'offerta di AVULICT inviare una e-mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

 

 Tasto Help Desk

 

TT-HD è il servizio Malabo di trouble ticketing per help/service desk basato su software open source,

Il servizio è totalmente online basato sullo scambio di ticket e non prevede supporto telefonico per il 1° livello di intervento.

Questo servizio è incluso in GOSI e in SOC.

Se il Cliente già ha in uso un proprio sistema di trouble ticketing, Malabo è in grado di integrare quest'ultimo in GOSI e SOC.

 

icona scrittura docPer richiedere un'offerta di TT-HD inviare una e-mail a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

  1. ICTAssetM, ICT Asset Management
  2. GOSI
  3. SLA Watch

Login Form

Registrati

Questo sito web utilizza dei cookie sia del proprio ambiente Joomla 3.x sia dei software di Terzi per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso

Policy privacy Accept