I segreti industriali oggigiorno sono conservati quasi interamente all’interno di sistemi informatici e la protezione di tali sistemi non è doverosamente accompagnata dai necessari controlli, anche periodici, legati non solo agli aspetti di sicurezza informatica in senso stretto ma, soprattutto, alle esigenze del diritto.
L’audit IT proposto da BIT4LAW consiste in una serie di procedure di verifica documentate e certificate realizzate da professionisti competenti e qualificati con esperienza nel settore atte a confermare la sicurezza e la conformità dell’intera infrastruttura informatica di un’azienda.
In caso di non conformità vengono indicate tutte le criticità e vengono proposte alcune possibili soluzioni che possono essere prese in considerazione dall’azienda.
L’obiettivo è chiaro: in caso di incidente informatico occorre aver già predisposto tutte le procedure necessarie al soddisfacimento del requisito di integrità dei dati e certificazione della prova.
Con l’audit IT BIT4LAW accompagna il cliente nella definizione del processo di preparazione e risposta all’incidente informatico, dove per incidente si intende una violazione dall’esterno, dall’interno oppure una “violazione legale” come può essere l’intervento dell’autorità giudiziaria.
Un investimento, non un costo
A fronte di una consulenza che comporta un costo per l’azienda che ne fa richiesta, l’audit IT proposto da BIT4LAW è senza dubbio classificabile come un investimento vero e proprio da parte dell’azienda: tale piano (cosiddetto “forensic readiness plan”) consente di ottimizzare i processi, massimizzare il valore probatorio e ridurre i costi di successiva investigazione.
Tale servizio può anche essere condotto con l’obiettivo di verificare la rispondenza dell’infrastruttura informatica rispetto ad esigenze di protezione dei dati e privacy, ad esempio su richiesta di potenziali clienti rispetto ai propri fornitori, esigenza particolarmente sentita nei settori in cui vengono trattati dati sensibili (es. sanità).
BIT4LAW propone una valutazione iniziale, formazione del personale e controllo periodico al fine di:
- Analizzare le esigenze del cliente e le caratteristiche dell’infrastruttura informatica
- Definire e realizzare le policy di uso dei sistemi
- Istruire il personale, mediante formazione teorica e simulazioni reali
- Verificare con cadenza periodica la rispondenza alle policy
Questi i quattro passi fondamentali di una strategia di audit IT produttiva sia per chi la esegue, che soprattutto per l’azienda che richiede un piano in risposta agli incidenti informatici.
A conclusione dell’analisi periodica prevista e concordata, sarà stilato un report dettagliato che andrà a definire e sottolineare tutte le eventuali lacune riscontrate; come nella fase iniziale, si propongono possibili soluzioni e metodologie da seguire per porre rimedio nel migliore dei modi che tengono conto delle esigenze del cliente.
Non ci sono limitazioni ai settori che beneficiano di questa tipologia di servizio: dalla piccola realtà che sviluppa software per concorsi a premi all’azienda farmaceutica di grandi dimensioni, dal mondo bancario e assicurativo alla grande distribuzione, dai grossi marchi internazionali della moda al settore metalmeccanico.
Un’infrastruttura informatica sicura e soprattutto organizzazione del personale e procedure chiare mitigano al minimo il rischio di incidente, in particolar modo legato a sottrazione di proprietà intellettuale, know-how, liste clienti e fornitori, spesso commessi da dipendenti infedeli, collaboratori infedeli o soci infedeli.
E solo quando il danno è ormai fatto si palesa la rilevanza di tali informazioni e la gravità del danno economico.
La proposta di BIT4LAW per audit IT e definizione di forensic readiness plan
Grazie anche ai numerosi casi affrontati in dibattimento, BIT4LAW ha sviluppato una significativa esperienza su audit IT e forensic readiness plan, cui sono seguiti diversi casi risolti con successo e a basso costo per i clienti.
In BIT4LAW sono presenti diversi professionisti qualificati Lead Auditor ISO 27001.
Questi i punti principali:
- Definire gli scenari di business e le possibili fonti e tipologie di prove digitali
- Definire le modalità di raccolta delle prove digitali che soddisfino i requisiti dell’integrità e non ripudiabilità in dibattimento
- Definire politiche di monitoraggio a scopo di prevenzione e di individuazione di incidenti informatici, con definizione dei casi di richiesta di approfondimento di analisi
- Formazione del personale in modo che tutti siano a conoscenza del loro ruolo post-incidente
- Definire le modalità di gestione del caso per preparazione le opportune azioni legali
BIT4LAW si attesta attualmente come una delle principali realtà per la definizione di piani di forensic readiness e di audit IT.