ADVISOR
ADVISOR
Sécurité sur le travail
Nous prenons soin de la sécurité de vos travailleurs sur le lieu de travail, nous nous adressons aux entreprises de services et aux entreprises manufacturières. Nous vous accompagnons en tant qu’ASPP ou RSPP avec une affectation temporaire ou continue, nous vous aidons dans la planification de la formation du personnel, dans la vérification périodique de la documentation et des réglementations, nous vous aidons à travailler de manière plus sûre.
Conseil Cyber ICT
Cyber Security Posture, plan de continuité des activités, plan de reprise après sinistre, accompagnement en cas d’audit international, segmentation et ségrégation, accompagnement technique GDPR au DPO de l’entreprise.
Formation Cyber Security
Plus la connaissance est grande, plus la compétence est grande, meilleur sera le résultat. Cet adage résume pourquoi se former et former ses collaborateurs est l’un des meilleurs investissements que votre entreprise doit se permettre.
La sécurité numérique passe par un apprentissage continu des techniques d’attention et de défense de ses propres informations, commerciales et personnelles de plus en plus souvent interconnectées. Nous organisons exclusivement des formations personnalisées, de l’Administrateur délégué à tous les collaborateurs de l’entreprise, internes et externes.
Sécurité sur le travail
Nous prenons soin de la sécurité de vos travailleurs sur le lieu de travail, nous nous adressons aux entreprises de services et aux entreprises manufacturières. Nous vous accompagnons en tant qu’ASPP ou RSPP avec une affectation temporaire ou continue, nous vous aidons dans la planification de la formation du personnel, dans la vérification périodique de la documentation et des réglementations, nous vous aidons à travailler de manière plus sûre.
Sûreté et sécurité
À l’ère des entreprises 4.0, de plus en plus de personnes travailleront dans des équipes virtuelles et l’Agility Work avec sa structure flexible est prêt à fasciner toutes les générations, en particulier les « natifs numériques ».
Ce nouveau monde du travail, non plus lié à des lieux et des horaires fixes, pourrait donner lieu à une augmentation des pathologies et du stress lié au travail: si le numérique permettra sans difficulté d’inventer de nouveaux espaces-Le temps de travail contre la technologie rendra le travailleur encore plus disponible et constamment connecté aux environnements numériques de l’entreprise.
Ces changements ne doivent pas et ne peuvent pas être sous-estimés; le rôle des entreprises dans cette transition délicate sera donc fondamental : les travailleurs ne pourront relever et surmonter ces nouveaux défis que par des solutions efficaces, l’adoption de protections personnelles plus modernes et surtout de conditions de travail moins stressantes. Plus les entreprises seront en mesure de changer structurellement avec de nouvelles formes d’organisation, plus les conditions de travail s’amélioreront.
La Business Unit dédiée aux domaines thématiques de la protection personnelle, de la sécurité de l’entreprise et de la santé au travail naît avec l’intention d’accompagner les entreprises qui veulent être des protagonistes actifs du changement.
Avez-vous besoin de traiter le DVR, de rédiger de la documentation sur la sécurité, de charger le RSPP externe? Contactez notre équipe de consultants
Safety@Work e la logica del fare con approccio responsabile
Chaque fois que l’on est confronté à une nouvelle réglementation, l’attitude typique qui se manifeste le plus est celle d’Aversion.
Le fait de considérer l’obligation d’accomplir des tâches comme un obstacle et non comme une opportunité entraîne une contamination négative dans les lieux de travail au point de rendre caduques les finalités pour lesquelles la législation a été introduite.
Comprendre qu’investir dans la sécurité est rentable et que l’individu est le plus important est l’approche responsable que chaque employeur doit savoir adopter pour un véritable développement de la prévention et de la protection des travailleurs.
Avez-vous besoin de traiter le DVR, de rédiger de la documentation sur la sécurité, de charger le RSPP externe? Contactez notre équipe de consultants
Information, formation et formation clés Safety
L’évolution technologique, tout en offrant de nouvelles solutions pour favoriser la sécurité sur le lieu de travail, ainsi que l’augmentation de la productivité et des performances des travailleurs eux-mêmes, ne suffit pas à elle seule. Afin d’assurer la prévention et la protection des personnes, il est nécessaire de pouvoir investir dans la promotion de la santé et de la sécurité.
C’est sur les comportements qu’il faut intervenir pour être efficace : la santé et la sécurité au travail doivent être poursuivies par une culture de prévention partagée par ceux qui vivent au quotidien dans l’entreprise. Tous les acteurs de la sécurité au travail doivent être informés et formés sur les risques présents et les mesures de prévention et de protection à prendre. En fonction des activités exercées, une formation peut également être nécessaire.
Le décret législatif 81/2008 envisage, définit et réglemente le transfert de compétences aux travailleurs par le biais de l’information (processus cognitif – savoir), de l’éducation (processus éducatif – savoir être) et de la formation (processus d’apprentissage – savoir faire).
Trois actions distinctes, dont chacune doit être accomplie de manière spécifique.
Avez-vous besoin d’informations, d’un enseignement ou d’une formation sur la sécurité ? Contactez notre équipe de consultants
Audit & Due Diligence
L’expérience est la base sur laquelle se construit le travail d’un consultant.
NSI Advisor a acquis une solide expérience dans certains secteurs spécifiques et peut donc fournir un service de conseillers, d’architectes de solutions et d’auditeurs. Due Diligence de partie
- Due Diligence de partie
- Appui à l’acquisition d’activités technologiques:
- Évaluation Entreprise basée sur la technologie
- Évaluation de l’entreprise basée sur les données
- Évaluation de la réputation basée sur le sentiment social
- Évaluation globale basée sur le TCO réel
- Audit ITC
- Support technique au personnel d’audit interne
- Vérification contractuelle et manuelle
- Vérification GAP Fonctionnelle (Attente Client / Produit et Garanties Offres Fournisseur)
- Vérifier le code source, la documentation, le mode de sécurité
- Privacy by Default Program
- GDPR
- Développement PIA (Privacy Impact Assessment)
- Troisième support pour la vérification de la compatibilité des applications GAP déclarée (fournisseur/existent)
- Appui à l’acquisition d’activités technologiques:
Special Project
Dans le monde des TIC, des besoins complexes ou tout simplement décalés se posent, une application WEB spécifique ainsi que la disposition d’une salle de CED et son adaptation électrique, l’amélioration de la couverture interne LTE et 5G ainsi que l’évaluation du réseau pour améliorer ou ….
- Développement d’applications Web Custom
- Intégration Applications avec API
- Développement Projets Datacenter (Convergents)
- Gestion de l’alimentation (UPS)
- Amplification de signal LTE/4G – 5G
- Site Survey WiFI
Tecnhology
Quando possibile preferiamo erogare soluzioni Cloud Based in modalità MSSP a canone mensile (OPEX) se richiesto dal cliente alcune di queste tecnologie possono essere fornite presso il cliente in modalità OPEX o CAPEX
Tecnologia Cloud Based che permette l’installazione presso le sedi del cliente di macchine firewall avanzate dotate della migliore tecnologia Cisco di sicurezza, semplificate nella gestione; è possibile incrementare il livello di sicurezza integrando le soluzione di Cisco Umbrella che securizzano la gestione dei DNS
Lo stato dell’arte nell’ambito della Cyber Security, un’offerta completa dal firewall fisico al vistual firewall, dalla securizzazione del cloud alla tecnologia SOAR, la migliore soluzione di Security oggi in commercio in ambito IT e OT
Il migliore EDR in commercio erogato in modalità MSSP da NSI Advisor e gestito dal nostro SOC
Tecnologia PAM di sviluppo Europeo in grado di gestire gli accessi privilegiati in ambito IT e in ambito OT in ambienti semplici o molto complessi, tecnologia utilizzato da alcune forze dell’ordine europee, NSI è stato il primo partner a portare questa tecnologia in Italia con la massima soddisfazione dei clienti finali.
Microsoft ha lanciato con Azure una suite integrata di soluzioni di sicurezza, dall’EDR al PIM al DLP, soluzioni semplici da attivare ma complesse da gestire e manutenere, il SIEM integrato Sentinel aiuta nell’aggregazione delle informazioni.
SIEM di ultima generazione con integrata la gestione comportamentale dell’utente, basato su servizi nativi AWS e tecnologia BigData Hadoop permette di erogare un servizio dalle risorse virtualmente illimitate. NSI Advisor eroga questa soluzione in modalità MSSP.
Piattaforma di Vulnerability Assessment erogata in modalità MSSP è la base per l’erogazione di servizi di analisi dello stato dell’arte per valutare un pieno di evoluzione mirato.
Threat Resiliancy Assessment
Lo scopo dell’attività di assessment promossa da NSI Advisor definita “Threat Resiliancy Assessment” è quello di comprendere la reazione, e gli eventuali tempi di ripristino della continuità aziendale a posteriori di un eventuale attacco Malware e in modo più specifico di tipo Ransomware.
Possiamo suddividere un attacco informatico in due tipologie distinte: “Attacco a Strascico” o “Attacco Mirato”; un eventuale “attacco a strascico” non necessariamente esclude un secondo “attacco mirato”
– Attacco a Strascico
Possiamo semplicemente definire un attacco a strascico una azione perpetrata a destinatari ignoti che ne subiscono le eventuali conseguenze senza che l’attaccante sia consapevoli di chi ha attaccato; queste azioni sono molto comuni, vengono sfruttate vulnerabilità note e soprattutto comportamenti “compulsivi” al click.
Click to … ( un sito web, un documento, una mail ) ogni click scatena un evento sul computer dell’attaccato, questa evento si traduce in una azione tipicamente malevola come ad esempio la crittografia dei documenti trovati nel computer o in rete con azioni semplici ma fulminee.
Un eventuale crittografia dei documenti aziendali può essere un danno importante nel caso in cui l’azienda non sia dotata di strumenti e politiche adeguate al ripristino dei documenti originali.
Un’altra tipologia di attacco a strascico può generare una semplice raccolta di informazioni senza nessun tipo di conseguenza diretta, l’attaccato clicca, l’evento non scatena apparentemente alcuna azione, in realtà in modo silente raccoglie informazioni chiave ai fini più svariati.
– Attacco Mirato
L’attacco mirato è molto più pericoloso dell’attacco a strascico, tipicamente viene perpetrato a fini estorsivi o di danneggiamento della vittima.
Di norma vengono utilizzate tecniche definite “Zero Day” cioè malware scritti ad-hoc per l’attacco in modo che i sistemi di sicurezza di media non siano in grado di riconoscerli.
AI fini di portare a termine un attacco mirato, di norma l’attaccante svolge in prima battuta un’azione di “ricognizione” per poi effettuare ulteriore azione per raggiungere lo scopo; maggiori dettagli in merito al modello tipico di una “Cyber Kill Chain” https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html.
L’obiettivo principale di questa attività è quindi basato sul definire i contorni relativi al danno apportato all’infrastruttura, in caso di un attacco a strascico o mirato, quale possa essere l’eventuale impatto sulla continuità aziendale e l’eventuale l’effort del reparto ICT e/o eventuali outsourcer per garantirne un ripristino in linea con i tempi e le aspettative del management e degli standard di riferimento.
– RPO
Il Recovery Point Objective (RPO) è uno dei parametri usati nell’ambito delle politiche di disaster recovery per descrivere la tolleranza ai guasti di un sistema informatico. Esso rappresenta la quantità di dati prodotti ma non ancora sincronizzati, in caso di incidente o disastro, su un archivio (storage o file) di sicurezza. Indica quindi il massimo tempo che deve intercorrere tra la generazione di un’informazione e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantità di dati che il sistema potrebbe perdere a causa di guasto improvviso.
In informatica, la quantità di informazioni archiviate, da sottoporre a copia di sicurezza o da recuperare, è tipicamente espressa in unità di tempo: secondi, minuti, ore o giorni di produzione di dati (indipendentemente dal volume di dati espresso in byte). In alcuni casi l’RPO si riferisce esplicitamente al dato contenuto nella RAM o nella cache temporanea: in pratica quello elaborato ma non ancora copiato su alcun archivio. Se non specificato, per archivio di sincronizzazione s’intende quello di backup rispetto a quello principale predefinito (pertanto l’RPO si riferisce all’incidente occorso al sistema di archiviazione principale, quello immediatamente connesso alla produzione delle informazioni).
Al diminuire dell’RPO desiderato/specificato si rendono necessarie politiche di sicurezza sempre più stringenti e dispendiose, che possono andare dal salvataggio dei dati su supporti ridondanti tolleranti ai guasti fino alla loro pressoché immediata replicazione su un sistema informatico secondario d’emergenza (soluzione in grado di garantire, in linea teorica, valori di RPO prossimi allo zero).
– RTO
Il Recovery Time Objective (RTO) è il tempo necessario per il pieno recupero dell’operatività di un sistema o di un processo organizzativo in un sistema di analisi Business Critical System (ad esempio implementazioni di politiche di Disaster recovery nei Sistemi Informativi).
È in pratica la massima durata, prevista o tollerata, del downtime occorso. Nel calcolo del RTO deve essere compreso anche il tempo, successivo all’esecuzione del recupero-mediante il job di backup prescelto-di verifica di idoneità del sistema/informazione ripristinati: in pratica, l’utente o il servizio devono accedere al recuperato prontamente e pienamente, senza altre attese o buchi.
Aspetto di primaria importanza riveste il fatto che il valore di RTO sia definito, conosciuto e verificato, tenendo presente che se un downtime lungo danneggia la possibilità di fruire del servizio più di uno breve, il danno maggiore deriva dall’inconsapevolezza di quanto possa essere il tempo previsto per il ripristino dei servizi danneggiati.
VULNERABILITY ASSESSMENT
Al fine di valutare il grado di resilienza ad un eventuale attacco malware (Malware Resiliency) come prima attività, tramite il tool di VA di Qualys abbiamo potuto definire il perimetro dell’azienda, la risultanza è di aiuto per avere un quadro completo.
A tal proposito è stato posto l’accento sui seguenti aspetti:
- Vulnerabilità qualificate come Severe
- Vulnerabilità relative a problematiche di misconfigurazione
- Vulnerabilità relative a protocolli deprecati
- Vulnerabilità legata a software in EOL
- Vulnerabilità legata a mancati aggiornamenti dei sistemi coinvolti
Il motivo della scelta deriva principalmente dalle possibilità di manovra che un eventuale attaccante ha in riferimento all’infrastruttura in oggetto. In particolare, si considerino i seguenti scenari:
- Remote Code Execution
- Local File Inclusion
- Brute Force
- Deployamento di payload malevolo, tra cui backdoor
- XSS (Cross-Site Scripting)
Accanto al presente documento, insieme alla reportistica completa risultato delle scansioni effettuate, alleghiamo ulteriori documenti costituiti da grafici dettagliati esplicativi che sintetizzano il quadro finale.
Le informazioni aggiuntive hanno lo scopo di facilitare le attività di remediation fornendo dettagli sostanziali sugli asset coinvolti; pertanto, raccomandiamo di prenderne visione prima di consultare il report tecnico finale.
SELF ASSESSMENT
Per ottenere un quadro complessivo rispetto all’obiettivo del progetto, viene inoltre richiesta la compilazione di un documento di “Self Assessment” che ha lo scopo di erogare un risultato ottenuto tramite la media ponderata delle risposte in grado di generare uno scoring utile a comprendere quali siano i maggiori rischi rispetto ad eventuali interventi di minore impatto.
Un breve estratto del documento
Un breve estratto del risultato del documento
Scoring