iShared Security Service (S3)La nostra filosofia, il nostro

approccio,le nostre soluzioni… al VOSTRO

servizio

Modello organizzativo

Modello normativo

Modello tecnologico=++

Cultura della sicurezza

“La sicurezza è un processo, non un prodotto” (Bruce Schneier)

Il principio

InformationSecurity

Governance InformationSecurity

Operations

StrategiaAS-IS/TO-BE

SecurityAwareness

Compliance &Certification

SecurityPlanning

Risk Management

StrategiaAS-IS/TO-BE

SecurityAssessment

Security ServiceManagement

Implementazionee configurazione

Scouting &Engineering

Full Security Service LifeCycle

Problema: l’esposizione dei dati

4

L’attuale modello di Sicurezza Perimetrale è:

Inefficiente e Insufficiente

Trend: > Dematerializzazione crescente> Cooperazione Applicativa> Incremento vettori gestione dati> Incremento attori coinvolti

Effetto: > Aumento valore dato singolo e aggregato> Maggiore remunerazione abusi informatici> Aumento esposizione dato> Esigenza nuove regolamentazioni > Introduzione sanzioni Penali/Amministrative

Valo

re

Dati

Interazione tra Sistemi

Data Exposure

RISK

>> One Security Package

5

Surface Attack

Analysis

Web Security

Email Security

Fraud Detection

Policy Enforcement

LogManagement

EventCollection &

Pattern Analysis

Web Application

Firewall

Database Activity

Monitoring

Verticalizzazione dei Servizi

6

Security Operation Consulting

Penetration Test &

Vulnerability Assessment

Application/Database Security

Mail & Web Security

Log Management & SIEM integration

Fraud Detection & Management

Compliance

Consulting

Policy & GuideLine Developm

ent

OperareVerificareIntegrareIngegnerizzareGovernare

Compliance Consulting: valutazione dei differenziali organizzativi e tecnologici rispetto ad una o più normative di riferimento (Privacy, delibere del Garante, PCI-DSS, ecc.) e organizzazione dei piani organizzativi ed implementativi di rientro

Policy e Linee Guida: realizzazione del modello normativo di riferimento per la regolamentazione dei processi e dei principi di sicurezza interni in tema di governo della sicurezza e classificazione delle informazioni.

Business Impact Analysis: analisi degli impatti legati alle singole componenti di uno o più processi critici, definizione dei piani di Business Continuity e Disaster Recovery.

Legal Advisoring: supporto legale specializzato sugli aspetti regolatori e sugli impatti delle nuove normative sul contesto organizzativo esistente

Governare

Security Governance

Application Security: integrazione piattaforme adattive per la protezione applicativa (Banche dati, SAP, Architetture SOA, Portali, Framework applicativi) in grado di fornire livelli di protezione “esterni” all’implementazione software specifica

Email & Web Security: progettazione piattaforme per la sicurezza dei servizi di posta elettronica e navigazione Internet (Antispam, Antivirus, URL filtering, WAN optimization, ecc.) integrate con servizi e infrastrutture di Data Loss Prevention.

Log Management and SIEM Integration: supporto specialistico sulle piattaforme di Security Information & Event Management, per la raccolta, la normalizzazione e la correlazione di fonti dati eterogenee finalizzato alla visibilità del contesto e alla gestione delle eventuali problematiche operative o di sicurezza

Fraud Detection & Management: supporto specialistico per la realizzaione di sistemi di rilevazione e gestione frodi, identificazione e descrizione degli scenari di frode, ideazione e tuning delle regole, supporto alla rilevazione o all’analisi post-mortem delle frodi

MSSP Engineering: progettazione servizi di sicurezza MSSP (Managed Security Service Provider) per l’esternalizzazione perimetrale di specifiche funzionalità di prevenzione e controllo

Ingegnerizzare

Security Engineering

Security & Network Review: ricostruzione architetturale della piattaforma di rete e di sicurezza attualmente in esercizio e valutazione delle eventuali criticità infrastrutturali

Penetration Test: verifica integrale di vulnerabilità o problematiche sulle applicazioni e sui servizi esposti dal perimetro di analisi. Certificazione e analisi estendibile anche a protocolli/applicazioni custom o di tipo legacy

Source Code Auditing: verifica integrale dei sorgenti applicativi mediante test di regressione su funzionalità e pattern critici utilizzati all’interno dei framework applicativi o delle realizzazioni custom

Configuration Audit: verifica massiva delle configurazioni di apparati, sistemi e piattaforme critiche in modalità non invasiva

Surface Attack Analysis: verifica hacker’s style orientata alle informazioni critiche. Integra alle attività tipiche di un Penetration Test attacchi di tipo social engineering, trashing, accesso fisico, ecc.

Unconventional Testing: servizi di laboratorio per la valutazione della sicurezza di prodotti o sistemi terze parti mediante analisi dei binari, dei sorgenti o dei protocolli di comunicazione

Verificare

Security Assessment

SOC Implementation: supporto per la definizione del modello operativo idoneo per il controllo e la gestione della sicurezza ICT, e per la realizzazione di infrastrutture di monitoraggio adeguate ai processi operativi interni

Security Monitoring: consulting specializzato per il monitoraggio e l’analisi in tempo reale degli allarmi di sicurezza generati da sistemi e applicazioni oggetto del perimetro di controllo

Security Platform Management: consulting specializzato di primo e secondo livello per la gestione operativa di soluzioni o piattaforme di mercato per la sicurezza ICT

Incident Handling: supporto specialistico on-call per l’analisi post-mortem di potenziali frodi o attacchi informatici. Supporto alla forensic analysis per la valutazione di eventuali illeciti informatici

Early Warning: servizio di intelligence e alerting gestito mediante bollettini di sicurezza relativamente a nuove vulnerabilità, rumors e nuove metodologie di attacco, malware in corcolazione, ecc.

Operare

Security Operation

Security EngineeringTechnology Partnership Portfolio

Engineering Product Knowledge

Security Engineering