Addestramento Advisoring Audit CISO Comunicazione DevSecOps Incident Response Security Assessment Security Test

vKATA

Addestramento

La formazione classica permette alle persone di acquisire competenze, ma non necessariamente insegna alle persone ad usare tali competenze nei momenti di necessità. L’addestramento è orientato a:

  • dipendenti generici, per elevare il grado di consapevolezza nell’uso delle tecnologie evitando così comportamenti a rischio (esempio apertura di email di phishing ed esecuzione del contenuto);
  • personale tecnico, per rafforzare competenze e metodologie nel reagire ad incident, identificare anomalie, migliorare le procedure (mediante Cyber Range, Attack & Incident simulation, test di procedure);
  • C-Level / Top Management, in modo simile a quanto fatto per i dipendenti generici, ma con un focus specifico su minacce tipiche del Top Management.

La proposizione di VERSIVO prevede che il personale venga addestrato per svolgere il proprio compito attraverso metodologie che sono alla base delle arti marziali tradizionali orientali. Basandosi su scenari realistici, le persone sperimentano situazioni a livello di stress crescente, consolidando procedure, competenze e imparando a reagire in modo lucido ed efficace.

vADV

Advisoring

L’Advisor offre una informazione continua ai clienti sui temi rilevanti per la sicurezza, tramite:

  • monitoraggio di prodotti e CSIRT nazionali per rilevare opportunità, tendenze, vulnerabilità e minacce che possano avere alto impatto;
  • analisi degli impatti (Risk Assessment) contestualizzata, basata sulle specificità dei clienti, sulle tendenze e sugli scenari di attacco globali;
  • comunicazione dei risultati al cliente in modo che possano mettere rapidamente in atto azioni di mitigazione.

VERSIVO crede fortemente nella condivisione delle informazioni come metodo per incrementare la cultura e la consapevolezza. Conoscere come cambia il contesto globale significa avere elementi preziosi per correggere la strategia.

vAUDIT

Audit

La conformità a standard riconosciuti (GDPR, ISO27001, PCI-DSS, IEC62443) richiede di trasformare processi aziendali, spesso in modo radicale. Affinché questi percorsi portino un valore effettivo all’organizzazione, e non risultino solo un appesantimento inutile, è necessario adeguare gli strumenti e i supporti tecnologici.

VERSIVO mette a disposizione il proprio personale per affiancare i clienti in un percorso di standardizzazione che porti valore alle organizzazioni, e che sia declinato in modo efficiente ed efficace mediante strumenti tecnologici utili al business.

vCISO

CISO

Il responsabile della Sicurezza delle Informazioni (CISO) è l’autorità, in azienda, che governa il processo Cybersecurity. Il CISO riporta alla direzione ed è responsabile di:

  • definire le politiche (alto livello) di sicurezza all’interno dell’azienda;
  • verificare la loro implementazione (audit);
  • misurare (KPI) e migliorare la “postura” dell’azienda in termini di sicurezza.

Il CISO valuta inoltre il rischio associato (Risk Assessment) a cambi architetturali (introduzione di nuovi sistemi, modifiche applicative…), conosce le normative di riferimento e presenzia ad audit di terza parte.

VERSIVO mette a disposizione professionalità qualificate di Virtual CISO, che fungono da unica interfaccia in sinergia con il cliente, garantendogli:

  • garanzia di continuità nel tempo e costante aggiornamento delle competenze;
  • effort misurato alle reali necessità;
  • indipendenza da figure mission critical.

vCOM

Comunicazione

Quando diciamo che il mercato sta cominciando a misurare e premiare la consapevolezza con la quale le aziende gestiscono il Cyber rischio, intendiamo dire che questo aspetto comincia a divenire una leva competitiva da sfruttare. Un’azienda produttiva che gestisce in maniera efficace tutti gli aspetti legati alla Cyber security, scongiurando il rischio di blocchi produttivi, diventa più affidabile nei confronti dei propri fornitori e clienti.

La Cybersecurity diventa quindi una leva strategica per abilitare il business ad entrare nel Cyberspazio; in questo contesto diverrà fondamentale saper comunicare questo valore aggiunto in maniera efficace, per rimanere nel mercato e trarne vantaggio.

L’approccio VERSIVO volto alla costruzione di valore generato dagli investimenti in Cybersecurity è strettamente collegato alla più corretta comunicazione del valore stesso, quindi affianchiamo le aziende anche in questa fase finale, ma importante, del processo.

vAUTO

DevSecOps

DevSecOps significa spostarsi da una logica reattiva, tipica del classico controllo di qualità, ad una logica preventiva. Il cosiddetto “shift left model” prevede di aumentare l’attenzione alla qualità maggiormente nelle fasi iniziali del progetto, riducendone i costi operativi mediante:

  • analisi dei processi;
  • integrazione delle basi dati;
  • automazione di task e controlli operativi.

Il team VERSIVO affianca i propri clienti analizzando i processi organizzativi, sviluppando integrazioni e automazioni abbassando il costo operativo dell’infrastruttura IT.

vIRT

Incident Response

La risposta ad un Cyber attacco richiede la presenza di procedure e persone qualificate per agire in modo efficace ed efficiente. Se lo scopo principale è quello di ripristinare l’operatività nel minor tempo possibile, occorre considerare tutte le attività collaterali di analisi che serviranno per:

  • valutare le cause (dolose o accidentali), il tipo di violazione e l’eventuale notifica al Garante Privacy
  • intraprendere azioni legali;
  • effettuare l’analisi post-mortem inserita in un processo di miglioramento continuo.

Il team VERSIVO dispone di figure professionali in grado di fornire un supporto completo nelle situazioni di crisi, includendo procedure, strumenti e persone. VERSIVO affianca inoltre i clienti per istituire un team interno di Incident Response, preparando procedure, adeguando strumenti e addestrando il personale su simulazioni realistiche.

vSA

Security Assessment

Il Security Assessment è il punto di partenza per misurare l’esposizione dell’azienda ai Cyber rischi. L’analisi può concentrarsi su uno o più aspetti:

  • Analisi della superficie di attacco: mediante tecniche di OSInt, si verificano e catalogano le informazioni pubbliche che possono mettere un potenziale attacker in condizione di trarre vantaggio e pianificare attacchi mirati;
  • Security Awareness Audit e Report: l’attività mira a raccogliere informazioni sul modello comportamentale delle figure che animano le principali aree di business dell’organizzazione;
  • VA/WAPT/PT: mediante processi automatizzati e non, si rilevano e analizzano le vulnerabilità dei dispositivi presenti in azienda, verificando la capacità dell’organizzazione di rilevare e bloccare minacce in corso;
  • Network Assessment: si analizza l’infrastruttura a livello di design e funzionale per individuare eventuali punto deboli, valutando azioni correttive funzionali;
  • Social Engineering: tramite specifiche tecniche di inganno, si verifica il livello di resilienza del personale non tecnico ad attività di Information Gathering;
  • Threat Hunting: l’attività è mirata a verificare la presenza di minacce in corso attive all’interno delle organizzazioni.

Nell’analisi della postura di sicurezza del cliente, VERSIVO tiene conto delle effettive tipologie di attacco a cui il cliente potrebbe essere soggetto, mettendo le basi per una strategia di sicurezza efficace, proporzionata, e soprattutto legata alle esigenze di business.

vTeSt

Security Test

Proprio perché persone ed organizzazioni sono sempre più legate al Cyber spazio, la sicurezza e la privacy dei dispositivi interconnessi stanno diventando aspetti importanti per gli utilizzatori. Entrare in un circolo virtuoso nel quale la protezione del dato, e della continuità, è un valore fondante del processo produttivo, diventa un elemento differenziante per l’azienda e per la sua affidabilità.

VERSIVO si occupa di effettuare test di sicurezza di dispositivi IT, ICS/OT, IoT, secondo i framework riconosciuti in ambito internazionale (come IEC62443), rilasciando una valutazione indipendente e accompagnando eventualmente le organizzazioni ad ottenere la certificazione ufficiale.