BUSINESS SECURITY AND IT GOVERNANCE · • Auditor certificati ... ISO27001, modelli organizzativi...

1.

BUSINESS SECURITY AND IT GOVERNANCE

www.dataconsec.com

Sicurezza del business e governo delle informazioni

4.

La consulenza strategica supporta la pianificazione delle politiche di sicurezza considerando la protezione dei dati come un processo. Concorrono al risultato oltre agli aspetti tecnologici afferenti alla sicurezza informatica, quelli legali, organizzativi e procedurali.

L’approccio sistemico ed integrato, permette di elaborare la soluzione migliore rapportata all’esigenza del Cliente. Il team di consulenti di DataConSec è composto da personale altamente qualificato, che può vantare una ventennale esperienza nel mondo della sicurezza delle informazioni.

Lo staff è costantemente impegnato in attività di ricerca scientifica in ambito universitario.

CHI SIAMO | ABOUT US

Our strategic consultancy supports the planning of security policies and considers data protection as a process. In addition to the technological aspects related to computer security,this process involves legal, organizational and procedural aspects.

A systemic, integrated approach makes it possible to design the best solution to suit our clients’needs. DataConSec’s team of consultants consists of highly qualified professionals with over twenty years of experience in the world of data security.

Our staff is constantly involved in scientific research activities with universities.

• Consulenti legali • Responsabili della protezione dei dati• Consulenti di direzione aziendale

• Auditor certificati• Esperti di informatica forense e investigazioni digitali• Esperti di sicurezza informatica

• Legal consultants• Data protection officers• Business management consultants

• Certified auditors• Computer forensics and digital investigation experts• Computer security experts

5.

MISSION

Il governo della ICT Compliance è la volontà di essere conformi alle normative e di salvaguardare la riservatezza, l’integrità e la disponibilità delle informazioni in presenza di minacce.

I nostri Clienti vogliono sapere cosa dice la legge; ciò che la legge significa per loro; cosa dovrebbero fare per implementare un sistema di conformità di protezione dei dati efficace e di conseguenza come costruire la privacy nelle loro strategie aziendali e di marketing.

In molti casi, vi è un problema specifico che giustifica un progetto di consulenza. Il team di DataConSec affronterà questo tema, ma altresì illustrerà al Cliente le altre aree di privacy che richiedono attenzione. La definizione e attuazione di un progetto generale di sicurezza e privacy, include sempre il suo governo come sistema integrato.Il governo della conformità in ambito ICT si può definire pertanto come il complesso di policy e procedure, attuato e mantenuto dall’organizzazione per garantire nel tempo il soddisfacimento dei requisiti che regolano la gestione corretta delle proprie informazioni e quindi del business.

Tale definizione è in linea con il concetto di ISMS (Information Security Management System) riportato nello standard ISO 27000.

Il valore della consulenza DataConSec è quella di disegnare una strategia personalizzata per aiutare una organizzazione a differenziarsi dai suoi concorrenti, mostrando la sua sensibilità ai requisiti legali di protezione dei dati e privacy.

The governance of ICT Compliance aims to ensure conformity with regulations, confidentiality, integrity and availability of information in the presence of threats.

Our Clients want to know that the law says; what the law means to them; what they should do to implement an effective data protection conformity system and, consequently, how to build privacy into their business and marketing strategies.

In many cases, there is a specific problem that justifies a consultancy project. The DataConSec team will tackle that specific area, but will also point out to the Client other privacy issues that require attention. The definition and implementation of a general security and privacy project always includes its governance as an integrated system.The governance of ICT compliance can therefore be defined as the set of policies and procedures implemented and maintained by an organisation to guarantee over time satisfaction of the requirements that regulate the correct management of their information and therefore of their business.

This definition is in line with the concept of ISMS (Information Security Management System) described in standard ISO 27000.

The value of a DataConSec consultancy lies in the design of a customised strategy that will help an organisation stand out above competitors, by showing special attention to legal requirements for data protection and privacy.

6.

DataConSec propone soluzioni complete, servizi dedicati e competenze specialistiche per supportare i Clienti nel percorso di adeguamento al GDPR.

La soluzione di adeguamento più completa riguardala copertura di tutte le aree chiave e i requisiti previsti dal GDPR che vengono declinate in:

• Politica per la protezione dei dati personali• Data Governance• Misure di accountability • Trasparenza e diritti per gli interessati • Trasferimento dati extra UE• Ruolo di DPO in outsourcing

La compliance al GDPR è pensata come un vero e proprio sistema di gestione e prevede step progressivi di integrazione con altri modelli organizzativi aziendali al fine di trarre reale valore aggiunto dalle attività svolte.I servizi dedicati riguardano aspetti specifici in grado di coprire a 360 gradi ambiti legali, organizzativi e tecnologici quali per esempio:

• Attività di formazione direzionale per amministratori delegati e prime linee inerente agli aspetti strategici del Regolamento, al risk management e agli impatti sul core business dell’organizzazione• Revisione delle informative, dei consensi e delle clausole contrattuali con dipendenti e terze parti• Supporto per la mappatura dei processi relativi altrattamento dei dati• Analisi dei rischi e selezione delle misure di sicurezza tecniche e organizzative adeguate• Valutazioni dell’impatto sul trattamento dei dati di attività particolarmente rischiose per gli interessati• Attività di security assessment, vulnerability management e penetration testing al fine di stimare sul campo lo stato di sicurezza dei dati personali trattati dall’organizzazione• Stesura di policy, linee guida e procedure ad hoc (es. gestione dei data breach, gestione delle politiche di accesso ai dati,istruzioni ai soggetti autorizzati al trattamento, business continuity, ecc.)• Attività di audit e attività di monitoraggio continuo anche attraverso soluzioni di log management• Moduli di formazione, erogati anche in modalità e-learning, sviluppati in convenzione con l’Università degli Studi di Milano•Affiancamento per la selezione indipendente di tecnologie volte alla protezione dei dati• Integrazione con altri sistemi di gestione aziendale (es. ISO27001, modelli organizzativi 231, ecc.)

Le modalità pensate da DataConSec si caratterizzanoper la praticità, la rapidità e la stretta collaborazione con i referenti interni dell’organizzazione frutto dell’esperienza decennale sul campo dei propri consulenti.


7.

DataConSec provides its Customers with complete solutions, dedicated services and specialist skills for full compliance with the General Data Protection Regulation (GDPR). The most complete solution for full compliance entails the coverage all key areas and the requirements laid down by the GDPR, which can be broken down as follows:

• Policy for personal data protection• Data Governance• Accountability measures • Transparency and rights of data subjects • Transfer of data to non-EU countries• Outsourced DPO function

Compliance with the GDPR has been designed as a proper management system and provides for progressive integration steps to other corporate organizational models, in order to obtain added value from the activities performed.The services dedicated to this matter concern specific aspects, with full-range coverage of legal, organizational and technological scopes, such as:

• Management training for Chief Executive Officers and their direct reports on the strategic aspects of the Regulation, risk management and the impacts on the organization’s core business• Revision of information to data subjects, consents to be acquired and clauses of contracts with employees and third parties• Support for the mapping of processes regarding data processing• Risk analysis and selection of adequate technical and organizational security measures• Assessment of the impacts on data processing of activities that are very risky for data subjects• Security assessment, vulnerability management and penetration testing in order to measure the security of the personal data processed by the organization directly on the field• Preparation of specific policies, guidelines and procedures (e.g. management of data breaches, management of policies for access to data, instructions to authorised data processors, business continuity, etc.)• Audits and continuous monitoring also with log management solutions• Training modules, provided also in e-learning mode and developed in cooperation with the University of Milan• Mentoring for independent selection of data protection technologies• Integration with other enterprise management systems (e.g. ISO27001, organizational models pursuant to Italian Legislative Decree 231 on corporate liability, etc.)

DataConSec approach stands out because it is user-friendly and fast, it entails close cooperation with the organization’s internal persons in charge and is the result of your consultants’ experience of many years.


8.

CONSULENZA DI DIREZIONE AZIENDALE | CONSULTING

Consulenza sistemi di gestione ISO 27001, Information Risk Management e 231/01 con focus sui reati informatici. DataConSec può vantare all’interno del suo staff professionisti che si occupano di consulenza di direzione aziendale relativamente alla governance e alla sicurezza delle informazioni. L’ambito di specializzazio-ne spazia dal Enterprise Risk Management alle attività di Compliance e Audit.

L’esperienza nella revisione dei processi e delle procedure interne ci ha permesso inoltre di accompagnare numerose organizzazioni nella redazione delle IT Policy e durante tutto l’iter di certificazione agli standard internazionali di riferimento (della famiglia ISO si segnalano ad esempio 9001, 20000, 22301, 27001, 38500, 27018, 31000, ecc.).

I nostri consulenti inoltre supportano le aziende nell’adozione dei modelli organizzativi esimenti richiesti dal D.Lgs. n. 231/2001 inerente alla responsabilità amministrativa degli enti e ricoprono un ruolo attivo coadiuvando gli Organismi di Vigilanza in qualità di esperti.

Consulting on ISO 27001 management system, Information Risk Management and 231/01 with focus on computer crime.DataConSec staff include professionals who offer corporate management consultancy on information security and governance. Their area of specialisation ranges from Enterprise Risk Management to Compliance and Auditing activities.

Our experience in process and internal procedure review has enabled us to assist numerous organisations in the drafting of IT Policies and in the process of certification to applicable international standards (for example ISO 9001, 20000, 22301, 27001, 38500, 27018, 31000, etc.).

Our consultants also support companies in the implementation of the organizational models providing exemption under Legislative Decree No.231/2001 relating to the administration responsibility of entities and have an active role in assisting Supervisory Agencies as experts.

9.

Proactive and reactive managed services with focus on:vulnerability assessment, log management, penetration testing, security assessment.

Risk assessment & preventionAnalysis and identification of risk areas and process that are critical for the business. Reporting and drafting of a plan for the adoption of adequate countermeasures (Remediation Plan).

Security Testing and Perimeter securityPenetration testing and Vulnerability Assessment, both manual and automated, using ad hoc probes with different modules according to the client’s needs. Subsequent support for the prevention of harmful events such as the loss and destruction of data, interruption or alteration of service.

Application security, Asset Inventory & IT ManagementConsultancy for management of Identity & Access Management processes and for the implementation of information governance tools.

Business Continuity, Incident & Log ManagementDefinition of procedures and operational plans for incident management. Implementation of architectures complying with the provisions of the Data Protection Authority for System Administrator and Security Information Event Management.

SICUREZZA INFORMATICA | IT SECURITY

Servizi proattivi gestiti e reattivi con focus su:vulnerability assessment, log management, penetration testing, security assessment.

Risk assessment & preventionAnalisi e identificazione delle aree di rischio e dei processi critici per il business. Reporting e redazione del piano per intraprendere le opportune contromisure (Remediation Plan).

Security Testing e Sicurezza perimetraleAttività di Penetration Testing e Vulnerability Assessment sia manuali che automatizzati utilizzando “sonde” preparate ad hoc con diversi moduli a seconda delle esigenze del cliente. Supporto successivo nella prevenzione di eventi dannosi quali la perdita e distruzione dei dati, interruzione o alterazione del servizio.

Sicurezza applicativa, Asset Inventory & IT ManagementConsulenza per la gestione dei processi di Identity & Access Management e per l’implementazione di strumenti di governo delle informazioni.

Business Continuity, Incident & Log ManagementDefinizione delle procedure e dei pini operativi per la gestione degli incidenti. Implementazione di architetture compliant al provvedimento del Garante Privacy relativo all’Amministratore di Si- stema e Security Information Event Managment

10.

ANALISI FORENSE

Raccolta prove digitali, analisi, perizie informatico-giuridiche su siti web, pc, smartphone e recupero dati da dispositivi. La Digital Forensics è una disciplina il cui scopo è quello di identificare, acquisire, preservare, analizzare, documentare e presentare le informazioni contenute nei computer, nei dispositivi mobili (cellulari, smartphone, tablet, ecc.) e nei sistemi informativi in generale.

L’obiettivo che ci si prefigge utilizzando le numerose tecniche di computer forensics è quello di recuperare, analizzare e conservare informazioni sui sistemi di computer per trovare potenziali prove per un processo. È pertanto essenziale il saper fissare il dato informatico, trovare tutti i file di possibile interesse, inclusi file criptati, nascosti o cancellati ma non ancora sovrascritti. Decifrare e accedere a file protetti.

Saper analizzare tutte le parti di un computer comprese lo spazio non allocato e saper documentare correttamente ogni fase della procedura. DataConSec è una azienda competente, riconosciuta a livello nazionale. DataConSec è un’azienda certificata e assicura un servizio di computer forensics della massima qualità.

Le metodologie tipiche della Computer Forensics si applicano al contesto aziendale. Lo scopo è individuare eventuali attacchi informatici provenienti dall’esterno, scoprire dipendenti infedeli, attività di spionaggio, furto o danneggiamento dei dati, violazione delle policy aziendali. La normativa sulla protezione dei dati personali è complessa ed articolata. Interpretare i provvedimenti del Garante della Privacy non è banale. Il sistema di “controllo tecnologico” può offrire al datore di lavoro la possibilità di verificare la fedeltà dei propri dipendenti. Ma ci sono dei limiti e individuare i confini è essenziale.

Il team di DataConSec è in grado di fornire rapidamente tutti gli elementi favorevoli per creare un’infrastruttura tecnologica di controllo nel pieno rispetto sia della normativa sulla privacy che dei principi cardine stabiliti dallo Statuto dei Lavoratori .Ci si può avvalere del servizio di Corporate Forensic sia in caso di attività di prevenzione, che di attività difensiva in caso di illecito aziendale

La Digital Forensics evidenzia prove utili per lo svolgimento di attivita’ investigative e che possano essere ritenute valide in un processo giuridico sia esso civile, penale o del lavoro. Nella Digital Forensics si combinano, integrandosi, competenze giuridiche e tecnico-informatiche. DataConSec dispone sia di risorse specializzate negli ambiti afferenti alla disciplina in oggetto che di un avanzato laboratorio informatico certificato.

CORPORATE FORENSICS

COMPUTER FORENSICS

11.

Gathering digital evidence, analysis, digital-legal investigations on websites, smartphones and recovery of data from devices. The purpose of digital forensics is to identify, acquire, preserve, analyse, document and present the information stored in computers, mobile devices (phones, smartphones, tablets, etc.) and in digital systems in general.

CORPORATE FORENSICS

The objective is to use the numerous computer forensics techniques to recover, analyse and store information on computer systems in order to find potential evidence for a trial.It is therefore essential to be able to freeze computer data, to find all the files that may be of interest, including crypted filed, hidden files or files that have been deleted but not overwritten. Decoding and accessing protected files.

Being able to analyse every part of a computer including unallocated space and to correctly document every stage of the procedure. DataConSec is a competent company, recognised at a national level. DataConSec is certified and can guarantee top-quality computer forensics services.

COMPUTER FORENSICS

DIGITAL FORENSICS

The methodologies typical of computer forensics are applied in the corporate context. The aim is to detect possible computer attacks from outside the company, identify unloyal employees, espionage activities, data theft or data damage and violation of corporate policies. The regulation on protection of personal data is complex and multifaceted. Interpreting the measures of the Data Protection Authority is not straightforward. The “technological control” system can offer employers the possibility of verifying their staff’s loyalty. However, there are limits and identifying boundaries is essential.

DataConSec’s team is able to quickly provide all the elements that can create a technological control infrastructure in full compliance with data protection regulations and with the key rules set out by the Workers’ Statute of Rights. Our Corporate Forensic service can be used both for prevention activities and as part of defensive activities in case of corporate crime.

Digital forensics provides evidence for use in investigation activities and such that will be considered valid in court in civil, criminal or labour proceedings. It encompasses and integrates legal and technical-digital competencies.DataConSec has resources specialised in all the areas linked to the subject and a certified advanced computer laboratory.

12.

OPERATORE ECONOMICO AUTORIZZATO DOGANE AEOC AEOS

La consulenza di DataConSec Srl prevede l’attivazione di un team di progetto interdisciplinare, del quale faranno parte professionisti di comprovata esperienza e di complementare specializzazione (doganale, organizzazione aziendale e analisi dei rischi , sicurezza fisica, legale, fiscale ed informatica).

Il tutto al fine di predisporre la documentazione idonea per la Autorizzazione di status di AEO (questionario di autovalutazione AEO).

L’intero progetto sarà supervisionato, diretto e coordinato dal responsabile di progetto, il quale opererà in accordo con un responsabile designato dall’Organizzazione Cliente.

Servizio di consulenza DataConSec:

•Esame procedure, pratiche gestionali e documentazione presenti in azienda• Analisi dei rischi:- Assessment organizzativo interno ed esterno - Valutazione analitica delle condizioni rilevanti - per la Status AEO.- Valutazione compliance doganale e scritture contabili ecc…- Stima delle aree di rischio e miglioramenti •PIANO DI SICUREZZA documentazione di supporto del Sistema di Gestione AEO (linee guida, procedure di gestione e operative, modulistica)•Assistenza durante la fase di Valutazione da parte dell’Agenzia delle dogane

Dal 1° gennaio 2008 nei 27 Stati membri dell’U.E. sono entrate in vigore le novità introdotte con i Regolamenti (CE) n° 648/2005 e n° 1875/2006 che modificano, rispettivamente, il Codice Doganale Comunitario (Reg (CE) n° 2913/1992) e le Disposizioni di Applicazione del Codice (Reg. (CE) n° 2454/1993), in merito al rilascio agli operatori economici che ne faranno richiesta di un certificato AEO/semplificazioni doganali, o AEO/Sicurezza, o AEO/semplificazioni doganali e Sicurezza, tutti con valenza comunitaria.

L’autorizzazione a “Status di AEO” bilancia l’esigenza di un maggiore controllo sulla sicurezza delle spedizioni internazionali con l’esigenza di facilitare il commercio andando a ridurre il numero di controlli per le spedizioni trattate da operatori affidabili certificati dall’Agenzie delle DoganeL’autorizzazione si rivolge alle imprese industriali e commerciali, agli intermediari, ai vettori che intervengono a vario titolo in attività connesse agli scambi internazionali delle merci extra UE.

Vantaggi “status AEO”

•Meno controlli fisici e documentali nelle spedizioni internazionali;•Trattamento prioritario delle spedizioni se selezionate per essere sottoposte a controlli;•Scelta del luogo dei controlli;•Numero ridotto di dati per le dichiarazioni sommarie;•Notifica preventiva;•Migliori relazioni con le autorità doganali;•Riconoscimento come partner commerciale sicuro;•Riconoscimento reciproco con partner internazionali.

13.

AUTHORISED ECONOMIC OPERATOR

DataConSec Srl sets up an inter-disciplinary project team, consisting of professionals with proven experience and complementary competencies: customs, business organisation and risk analysis, safety, security, legal issues, taxation and IT.

The aim is to prepare the documentation needed to achieve AEO status authorisation (AEO self-assessment questionnaire).

The entire project will be supervised, directed and coordinated by the project manager, who will cooperate with a person appointed by the client’s organisation.

DataConSec consultancy service:

•Examination of the company’s procedures, management practices and documentation• Risk analysis:- Internal and external organisational assessment - Analytical assessment of relevant conditions for AEO status- Assessment of customs and accounting compliance etc…- Identification of risk areas and improvement • SAFETY/SECURITY PLAN documentation supporting the AEO management system (guidelines, management and operational procedures, forms)•Assistance during the process of assessment by the Customs Agency

From 1st January 2008 new rules have been introduced in the 27 Member States of the EU with EC regulations no.648/2005 and no.1875/2006 which amend, respectively, the Community Customs Code (Reg (EC) no.2913/1992) and the Application Provisions of the Code (Reg. (EC) no. 2454/1993), regarding the granting to applying economic operators of a AEO/customs simplification, or AEO/Security and safety, or AEO/customs simplification plus security and safety certificate, all valid throughout the European community.

AEO status authorisation balances the need for greater control on the security of international shipments with the need to facilitate trading, by reducing the number of inspections for shipments handles by reliable operators certified by Customs AuthoritiesThe authorisation regards industrial and commercial firms, intermediaries, carriers who are involved in different capacities in activities connected with international trading of goods outside the EU.

Advantages of AEO status

•Fewer physical and document controls for international shipments;•Priority processing of shipments if selected to undergo inspection;•Choice of place for inspection;•Reduced number of data for summary declarations;•Prior notice;•Improved relationship with customs authorities;•Recognition as reliable commercial partner;•Mutual recognition with international partners.

14.

CERTIFICAZIONI | EXPERTISE

15.

Sede legale e amministrativa:V.le Fratti, 56 Parma - Italia

www.dataconsec.com

[email protected]@pec.dataconsec.com Tel. e Fax: +39 0521 77 12 98

Social

CONTATTI | CONTACTS

18.

DataConSec S.r.l.Business Security & IT Governance

V.le Fratti, 56 Parma - ItaliaTel. e Fax: +39 0521 77 12 98e-mail: [email protected]

[email protected] web: www.dataconsec.com

P.IVA/C.F./N.REGISTRO IMPRESE PR: 02470920345 N.REA: PR/241390AD

V. w

ww.m

arke

co.it

BUSINESS SECURITY AND IT GOVERNANCE · • Auditor certificati ... ISO27001, modelli organizzativi...

Documents

Transcript of BUSINESS SECURITY AND IT GOVERNANCE · • Auditor certificati ... ISO27001, modelli organizzativi...