Cyber risk

Rientrano in questa categoria tutti i servizi di supporto al governo dei rischi di cyber security, inclusi l’identificazione, l’assessment e la gestione.

Cyber 4.0 può fornire supporto sia dal punto di vista metodologico di disegno delle procedure interne di cyber risk management, sia dal punto di vista tecnico-operativo mediante soluzioni di VA, PT e assessment di cyber security.

Di seguito una lista esemplificativa di possibili servizi erogabili da Cyber 4.0:

Valutazione dell’esposizione cyber basato sul Framework Nazionale di Cybersecurity e Data Protection. La metodologia prevede la definizione di un profilo di rischio corrente, un profilo target ed una gap analysis che indirizzi verso i correttivi da applicare per raggiungere il profilo target.

Consulenza a supporto della Cyber Security Governance, test di sicurezza, definizione di policy, processi e procedure. I servizi relativi a questo ambito comprendono attività di assessment tecnico nel campo della sicurezza delle informazioni e supporto all’implementazione di misure di sicurezza, progettazione SOC/ CERT, controlli e remediation anche attraverso analisi make or buy e benchmarking.

Verifica del livello di sicurezza in termini di processi, metodologie e tecnologie, rilevazione dei gap, e definizione di un piano di interventi per la gestione del rischio cyber fino ad una postura di sicurezza ritenuta accettabile dall’organizzazione in esame. Le attività di assessment sono svolte su base standard di riferimento.

Servizio di Attack Surface Analysis, Vulnerability Assessment e Penetration Testing

Rilevazione del perimetro basate su interviste, studio di documentazione, e valutazione basata su dati rilevati e strettamente aderenti allo stato dei sistemi in esame.

Attività di consulenza a supporto della Risk Governance volta al miglioramento del sistema interno di gestione del rischio di impresa e cyber. Le attività di ERM e CRM sono strutturate a partire da una metodologia proprietaria, basata sullo standard COSO e sulla ISO 31000.

Soluzione cloud offerta in modalità SaaS per analisi e valutazione dei rischi nell’ambito dei processi finalizzati a garantire la sicurezza delle informazioni per la compliance alle normative, ai regolamenti e alle best practice di settore al fine di indirizzare correttamente le azioni volte al rafforzamento della sicurezza IT del sistema informativo aziendale.

Tecnologie innovative per simulazione continuativa di attacchi informatici contro l’infrastruttura IT della propria organizzazione, finalizzata a rilevarne i punti di debolezza, quindi a identificare ed applicare i rimedi per innalzare il livello di sicurezza.

Team dedicato ad attività di Red Teaming per analisi degli applicativi al fine di rilevarne le vulnerabilità e, mediante sessione di exploiting, contestualizzazione delle vulnerabilità al fine di definirne un livello di rischio effettivo e reale.

Servizio per validare la resilienza di un’infrastruttura ICT rispetto a scenari di attacco mirati a comprometterne o degradarne il funzionamento, e identificare l’effettiva applicabilità di una catena di attacco in grado di ottenere un impatto.

Esecuzione di vulnerability assessment sulle subnet di rete finalizzate all’identificazione delle vulnerabilità e delle relative criticità. Tale processo è abilitante per concordare le remediation da attuare.

Cyber Range & Trainer permette agli operatori della cyber defense di generare scenari complessi di cyber warfare entro cui eseguire sessioni pratiche di addestramento in team e gestire il debriefing. Erogabile come soluzione o servizio e completo di una molteplicità di scenari esercitativi

Simulazione immersiva dei processi critici dell’organizzazione, per testare i processi core dell’organizzazione per verificarne completezza, applicabilità e capacità di esercirli

Framework basato sullo standard ISO/IEC 62443 che permette di analizzare e valutare il rischio in ambienti industriali o per soluzioni IOT e di definire i più opportuni piani di remediation.

Valutazione del rischio cyber in ambito ICS/SCADA secondo lo standard ISA/IEC 62443.
Gestione del rischio cyber in ambito ICS/SCADA. Gestione del rischio secondo lo standard ISA/IEC 62443. Supporto per la progettazione di un sistema sicuro (security by design).

Il servizio prevede lo sviluppo di applicazioni di Visual Analytics per la gestione e il monitoraggio di reti di calcolatori utilizzando soluzioni analitiche basate vulnerabilità note, topologia della rete, natura e rilevanza delle funzionalità erogate dalla rete. Le analitiche utilizzate si basano sul calcolo e l’analisi dell’attack graph.

Servizio di assessment, audit e valutazione dei fornitori attraverso l’uso di una piattaforma digitale proprietaria. Il servizio permette di effettuare assessment ed assegnare uno score ai vari fornitori per le categorie di sevizio per cui si candidano o sono presenti dal cliente. La piattaforma permette di effettuare assessment & audit ed ad oggi si basa su 7 standard/regolamenti di riferimento iso27001; Nist; Owasp; iso22301; NIS; GDPR; CS CCM.

Identificazione delle possibili radio-vulnerabilità di dispositivi medici e suggerimenti di possibili mitigazioni tramite analisi della letteratura scientifica e tecnica e simulazioni elettromagnetiche per quantificare data leakage e suscettibilità a segnali esterni malevoli.

Analisi delle vulnerabilità da parte di personale qualificato in offensive security (certificazioni OSCP ed in un caso anche OSCE); per contesti radiomobili analisi specifiche per interfaccia radio. Attivita’ di consulenza ed auditing per sicurezza in contesti radiomobili

Consulenza in materia di compliance rispetto alle normative standard di sistemi IoT con particolare riferimento a sistemi utilizzati in contesti sanitari. Supporto alla formazione con particolare riguardo alla security awareness e all’hardening del personale

Servizi di consulenza e supporto realizzativo per una gestione olistica della cybersecurity e degli impatti che essa introduce sia a livello infrastrutturale che a livello applicativo, considerando sia aspetti di assessment che di design