Servizi

Tre servizi. È quello che facciamo bene. Se ha bisogno di altro, glielo diciamo e La orientiamo verso un fornitore adatto.

---

vCISO · Direzione della sicurezza come servizio

Per chi. Organizzazioni da 30 a 500 dipendenti che non hanno ancora bisogno di un CISO a tempo pieno, ma necessitano di qualcuno che prenda decisioni di sicurezza con giudizio, non di un tecnico che reagisce agli incidenti.

Cosa include. Un professionista senior assegnato al Suo account per un numero di ore mensili concordato. Definisce la strategia di sicurezza, prioritizza gli investimenti, partecipa al comitato direttivo quando ha senso, dirige il Suo team tecnico interno o i fornitori esterni, e La rappresenta davanti ad auditor, assicuratori e clienti.

Come lavoriamo. Dopo l'analisi iniziale, fissiamo un piano trimestrale con tre o cinque obiettivi misurabili. Revisione mensile con la direzione, revisione tecnica settimanale con il Suo team, report trimestrale con metriche. Senza presenza obbligatoria in ufficio se non aggiunge valore.

Impegno. Trimestrale minimo, senza penali di uscita dopo il primo trimestre. Non fatturiamo ore non consumate.

Deliverable mensile. Verbale delle priorità, registro delle decisioni prese, report dei rischi vivi e piano del mese successivo.

Chi lo eroga. Ingegnere senior con più di dieci anni in sicurezza operativa ed esperienza precedente come CISO interno o consulente di direzione.

---

ISO/IEC 42001 · Certificazione di gestione responsabile dell'IA

Per chi. Organizzazioni che implementano sistemi di IA propri o di terzi e necessitano di dimostrare una gestione responsabile: i clienti corporate lo chiedono, le autorità lo chiederanno, e il Regolamento Europeo sull'IA lo rafforza.

Cos'è ISO/IEC 42001. Standard internazionale pubblicato nel 2023 che definisce i requisiti per un sistema di gestione dell'IA. Copre governance, gestione dei rischi, ciclo di vita del modello, supervisione umana, bias, tracciabilità e miglioramento continuo.

Cosa include il nostro accompagnamento.

1. Analisi del divario rispetto allo standard · una o due settimane a seconda della dimensione.

2. Progettazione del sistema documentale di gestione adattato alla Sua organizzazione.

3. Implementazione di controlli, procedure e registrazioni.

4. Formazione del team responsabile e del comitato IA.

5. Pre-audit interno e accompagnamento durante l'audit esterno di certificazione.

Cosa non facciamo. Non emettiamo il certificato. La certificazione è rilasciata da un organismo accreditato indipendente. Noi La prepariamo per superarlo al primo tentativo.

Tempistica tipica. Da quattro a nove mesi a seconda del punto di partenza e della maturità della governance dei dati esistente.

---

Audit OSINT · Valutazione dell'esposizione pubblica

Per chi. Qualsiasi organizzazione con presenza digitale significativa, team direttivo visibile o esposizione a ingegneria sociale. Particolarmente utile dopo una fusione, prima di un annuncio pubblico importante o dopo un incidente che suggerisca una fuga di dati.

Cosa facciamo. Raccogliamo, esclusivamente da fonti aperte e lecite, tutte le informazioni che un attaccante con motivazione moderata potrebbe ottenere sulla Sua organizzazione in una settimana di lavoro: domini e sottodomini, infrastruttura esposta, credenziali trapelate in violazioni pubbliche, informazioni personali del team direttivo, presenza in forum e reti, e impronte dei fornitori.

Cosa non facciamo. Non accediamo a sistemi, non testiamo vulnerabilità senza autorizzazione, non contattiamo dipendenti con pretesti. L'OSINT è strettamente passivo e lecito.

Deliverable.

• Report executive di 12-20 pagine.
• Elenco prioritizzato dei rilievi per livello di criticità.
• Piano di mitigazione con azioni concrete, responsabili suggeriti e ordine consigliato.
• Sessione di presentazione alla direzione e al team tecnico.

Tempistica. Dieci giorni lavorativi dalla firma del contratto e dall'autorizzazione all'avvio.

Ripetibilità. Raccomandiamo di ripetere l'audit OSINT ogni dodici mesi, o dopo cambiamenti organizzativi significativi.

---

Come iniziare?

Il primo passo è sempre l'analisi iniziale. Una settimana. Senza costo se decidiamo insieme di non procedere. Le rispondiamo con nome e cognome dell'ingegnere che la seguirebbe prima di qualsiasi impegno.

Scriva a [email protected].