Security Consulting

Processi, Policy, e Strumenti che consentono alle funzioni di Security di definire, concretizzare, monitorare e rappresentare al Management la strategia aziendale di controllo dei Rischi e Compliance.

Focus dell’area di Security Consulting è rappresentato da un approccio all’Information Security Governance come fattore decisivo finalizzato a preservare gli obiettivi, la missione ed il business dell’organizzazione, rispondere alle normative vigenti e consentire un corretto e sicuro svolgimento di tutte le attività produttive. 

Siamo convinti che una corretta, efficace ed efficiente gestione della sicurezza del patrimonio informativo, infatti,  offra un contributo rilevante ai fini del successo dell’organizzazione e che il livello di maturità dei relativi processi possa accrescere la capacità dell’organizzazione di raggiungere i propri obiettivi. 

La consolidata esperienza maturata negli anni dai professionisti ESC2 ci consente di affiancare qualunque tipo di organizzazione pubblica o privata nella definizione del proprio Sistema di gestione della sicurezza, focalizzato sulle specifiche esigenze  di conformità, di allineamento agli obiettivi di business o di perseguimento della propria mission, di contrasto dei rischi di information security.

Attraverso servizi o attività di consulenza modulari proponiamo l’approccio più adatto al contesto organizzativo per:

  • Conoscere  e valutare il livello di conformità rispetto al quadro normativo di riferimento
  • Analizzare e gestire i rischi di sicurezza fisica, logica, organizzativa e di continuità del business
  • Diffondere consapevolezza e competenza all’interno ed all’esterno dell’organizzazione
  • Costruire, far evolvere ed integrare i processi di information security dell’organizzazione
  • Misurare e rappresentare il valore aggiunto delle azioni intraprese.

Il nostro riferimento cardine nelle attività di consulting è rappresentato dagli standard internazionali di riferimento sia in materia di Information Security, Business Continuity, Disaster Recovery sia in tema di allineamento con le strategie IT in base ai quali definiamo processi e metodologie specifiche.

In particolare, strutturiamo i nostri interventi sui seguenti ambiti:

Security Assessment about  technological and organizational issues, according to business constraints, management strategies and security standards

Compliance evaluation with a own methodology and tool enabling the outcomes understanding and comparison in order to define a more effective remediation plan (main standards and Laws used: ISO27001, PCI DSS, CC, ISO20000, ISO22301, Cobit, ITIL, SoX, Privacy Law, Bank Regulations, …)

Risk as a Strategic Framework for enabling Security: Our approach is to assess Cyber Risks and provide for each one an effective answer for supporting corporate vision and security strategy implementation

Business Impact Analysis and Risk Assessment are added up to unify the business vision with the technologic one, with the aim to identify what are critical processes and then the risk levels about potential incident scenarios. Our consultants are able to built a Business Continuity Management framework (made by policy, objectives, procedures, plans and solutions) able to guarantee the continuity levels  in compliance with business needs

Security Strategy and Policy development integrated with Risk Approach

Security Governance Framework: Decision Support System and KRIs, Certifications

Le attività di consulting vengono realizzate da un team di professionisti dotati di competenze approfondite e da esperienze specifiche consolidate in realtà organizzative di grandi dimensioni sia nel settore pubblico che privato, suffragate anche da specifiche certificazioni professionali quali ad esempio:

  • CISM - Certified Information Security Manager
  • CISA - Certified Information Security Auditor
  • CRISC - Certified in Risk and Information Systems Control
  • CISSP - Security Consultant
  • ISO27001 Lead Auditor

La nostra esperienza nelle attività di consulting ci consente inoltre di disporre di un approccio metodologico ormai consolidato e di indirizzare le scelte relative agli strumenti da utilizzare, individuando le attività e le aree in cui è utile/vantaggioso l’ausilio di sistemi automatici quali:

  • Sistemi GRC & Risk Management: soluzioni custom o commerciali per automatizzare il calcolo del rischio, le analisi di compliance e la gestione integrata della governance della sicurezza.
  • Sistemi di Compliance Verification & Automated Auditing: soluzioni commerciali per la verifica sui sistemi del livello di implementazione delle contromisure  tecniche.
  • Vulnerability Assessment: sistemi per l’esecuzione automatizzata di Vulnerability Scanning.
  • Security Information Event Management: sistemi per la raccolta, la normalizzazione, la correlazione e la gestione degli eventi provenienti dai sistemi di sicurezza.
  • Security e-learning: sistemi per la gestione e l’erogazione dei contenuti delle iniziative di comunicazione, sensibilizzazione e formazione sulla sicurezza.