Security Compliance Advisoring (Service)

Il servizio di Security Compliace Advisoring è stato studiato per fornire al Cliente una valutazione delle difformità presenti su processi e piattaforme rispetto ad una o più normative di riferimento che diventano oggetto specifico del servizio stesso. La valutazione si basa sulla definizione dello stato attuale di conformità rispetto ai dettami specifici (definiti in seguito come controlli), la caratterizzazione delle difformità rispetto a piani di rientro già attivi o suggeriti in relazione al contesto aziendale, ed infine la formalizzazione della Gap Analysis sui piani di rientro così strutturati.

La Gap Analysis viene normalmente costruita sulla base dei risultati dell’assessment comparati con una situazione verosimile a cui si potrebbe giungere una volta implementate eventuali contromisure e controlli in grado di mitigare la difformità riscontrata. In base ai requisiti di legge espressi dalle normative di riferimento per il servizio viene quindi costruito un processo di assessment contestualizzato, strutturato su una serie di controlli (verifiche) raccolti all’interno di una o più checklist. Lo schema seguente illustra il processo messo in opera da Retis per l’ottenimento del risultato finale:

img 1

img 1

.

Completata la raccolta delle informazioni, per ciascuna componente di processo/piattaforma si procede con l’elaborazione di un risultato integrato mediante attribuzione di un punteggio per ciascun controllo, secondo una metodologia ispirata al CMM (Capability Maturity Model), utile al fine di trasformare i giudizi qualitativi in una valutazione quantitativa complessiva. A partire dall’AS-IS è possibile quindi definire degli specifici piani di rientro (organizzativi, normativi o tecnologici) in grado di definire il possibile scenario TO-BE, anche in collaborazione con eventuali altre attività in corso d’opera o previste all’interno di strategie aziendali esistenti.

Segue un breve elenco non esaustivo delle normative di riferimento su cui è possibile indirizzare la valutazione di compliance:

  • Codice Privacy - Dlgs. 196/2003, Codice in materia di protezione dei dati personali, Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”
  • Provvedimento del 15 Dicembre 2005 – “Nuove misure di sicurezza presso i gestori per le intercettazioni”
  • Provvedimento del 17 Gennaio 2008 – “Sicurezza dei dati di traffico telefonico e telematico” (G.U. n. 30 del 5 febbraio 2008)
  • Provvedimento del 27 Novembre 2008 – “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.
  • PCI-DSS – Payment Card Industry Data Security Standard, normativa di riferimento per tutti gli esercenti che gestiscono pagamenti mediante Carte di pagamento