Identity Governance legal Consulting Services
Servizi di consulenza sviluppati da Soluzioni in ambito IGA/PAM.
Riteniamo che un progetto IGA (Identity Governance Administration) e un progetto PAM (Privileged Access Management) debbano necessariamente tenere conto delle norme e delle best practices che servono a garantire l’immagine e la stabilità dell’organizzazione, oltre che il corretto e lecito funzionamento dei singoli processi produttivi al suo interno. I progetti IGA/PAM, che offrono soluzioni concernenti la compliance, sono preziosi per il cliente, perché:
- Permettono di verificare il livello di rischio a cui si è esposti, tracciando tutti gli aspetti organizzativi interni dove possono verificarsi degli incidenti di sicurezza
- Consentono di verificare l’adozione di una soluzione ERM
- Definiscono la compliance ai modelli organizzativi prescelti
- Generano un modello organizzativo integrato
Per questo motivo abbiamo progettato una serie di servizi in ambito IGA/PAM a supporto del processo di definizione per il successivo sviluppo del progetto.
Assessment di valutazione circa la maturità dei processi relativi allo IGA/PAM
Assessment esteso dei processi IGA/PAM
Remediation plan a fronte dell’Assessment esteso sui processi IGA/PAM
Piano per l’inclusione delle applicazioni in ambito IGA basato sui rischi
Definizione del modello organizzativo di un progetto IGA/PAM
Adeguamento del sistema di gestione ISO27001 in seguito alla implementazione di un progetto IGA/PAM
Assessment base di valutazione circa la maturità dei processi IGA/PAM
Obiettivo dell’attività
L’obiettivo di questa attività è indicare al cliente, nella fase decisionale di avvio di un progetto IGA/PAM, quali sono i principali rischi che l’organizzazione sta correndo per via di un inadeguato governo dei temi per la gestione dell’identità e degli accessi digitali.
Le attività individuate mostreranno al committente i motivi per intraprendere un percorso/progetto in ambito IGA/PAM al fine di ridurre i rischi individuati. L’attività viene svolta in pochissime giornate sia per ridurre l’impatto economico sia l’intervento di risorse del cliente.
Le attività individuate mostreranno al committente i motivi per intraprendere un percorso/progetto in ambito IGA/PAM al fine di ridurre i rischi individuati. L’attività viene svolta in pochissime giornate sia per ridurre l’impatto economico sia l’intervento di risorse del cliente.
A chi si rivolge
Questa attività si rivolge alle organizzazioni che stanno valutando di implementare un sistema per il governo delle identità e degli accessi o che hanno già un sistema per il quale comunque si ritengono insoddisfatti.
Descrizione delle attività previste
Saranno valutate l’esposizione al rischio, la compliance verso leggi e regolamenti e verso policies e regolamenti aziendali attraverso una elaborazione di macro gap analysis rispetto anche alle principali best practice e standard di mercato:
- Macro assessment sui principali processi IGA/PAM
- Macro mappatura processi IGA/PAM sui principali standard e riferimenti (Cobit, ISO27001, ISO27701, ecc.)
- Macro mappatura processi IGA/PAM rispetto a norme e regolamenti esterni (GDPR, D.Lgs.231
- Gap Analysis di alto livello e macro valutazione di maturità dei principali processi rilevati rispetto alle buone prassi
- Gap Analysis di alto livello e macro valutazione di maturità dei principali processi rilevati rispetto alle norme e regolamenti esterni
- Sintesi di un macro livello di esposizione al rischio compliance verso i principali processi/adempimenti IGA/PAM
- Produzione della documentazione finale e workshop di presentazione.
Risultati attesi
Il processo punta a fornire una valutazione di massima della maturità dei principali processi IGA/PAM ed esposizione dei principali rischi di compliance individuati.
Rilasci previsti
- Documento di “Abstract delle attività di assessment” (Documento)
- Documento di “mappatura dei processi e delle attività rispetto a best practice e normative” (Spreadsheet)
- Documento di “Gap Analysis di alto livello e macro valutazione di maturità dei processi” (Spreadsheet)
- Documento di Sintesi di “macro livello di esposizione al rischio compliance” (Spreadsheet)
- Presentazione per il workshop finale (PowerPoint)
Assessment esteso dei processi IGA/PAM
Obiettivo dell’attività
L’obiettivo dell’attività è fornire un assessment esteso e completo su tutti i processi IGA/PAM di una organizzazione, per conoscere lo stato di maturità dei processi e dei principali rischi che la società sta correndo per via di un inadeguato governo dei temi per la gestione dell’identità e degli accessi digitali.
I risultati di tale attività possono poi essere presi in carico con un’attività di Remediation plan a fronte dell’Assessment esteso sui processi IGA/PAM, per sviluppare un conseguente piano di rimedio dei rischi individuati.
I risultati di tale attività possono poi essere presi in carico con un’attività di Remediation plan a fronte dell’Assessment esteso sui processi IGA/PAM, per sviluppare un conseguente piano di rimedio dei rischi individuati.
A chi si rivolge
L’attività si rivolge a diversi attori. Parliamo, ad esempio, delle organizzazioni che stanno valutando di implementare un sistema per il governo delle identità e degli accessi e che vogliono, fin da subito, effettuare un’analisi estesa e dettagliata della propria situazione. Possono essere coinvolte anche le aziende che hanno già un sistema IGA/PAM e che vogliono verificare nel tempo l’efficacia del proprio sistema e l’eventuale miglioramento nel tempo.
Descrizione delle attività previste
Saranno valutate l’esposizione al rischio, la compliance verso leggi, policies e regolamenti aziendali attraverso una elaborazione di gap analysis di dettaglio rispetto anche a best practice e standard di mercato.
Ecco la roadmap Net Studio:
Ecco la roadmap Net Studio:
- Assessment su tutti i processi IGA/PAM
- Mappatura dei processi IGA/PAM sui principali standard e riferimenti (Cobit, ISO27001, ISO27701)
- Mappatura processi IGA/PAM rispetto a norme e regolamenti esterni (GDPR, D.Lgs.231)
- Gap Analysis di dettaglio e valutazione di maturità di tutti i processi rilevati rispetto alle buone prassi
- Sintesi del livello di esposizione al rischio compliance verso tutti i processi/adempimenti IGA/PAM
- Produzione della documentazione finale e workshop di presentazione.
Rilasci previsti
- Documento di “Abstract delle attività di assessment” (Documento)
- Documento di “mappatura dei processi e delle attività rispetto a best practice e normative” (Spreadsheet)
- Documento di “Gap Analysis di dettaglio e valutazione di maturità dei processi” (Spreadsheet)
- Documento di Sintesi di “livello di esposizione al rischio compliance” (Spreadsheet)
- Presentazione per il workshop finale (PowerPoint)
Remediation plan a fronte dell’Assessment esteso sui processi IGA/PAM
Obiettivo dell’attività
Il fine di questa attività è produrre un piano di azione (remediation plan) a fronte delle criticità emerse durante la fase di assessment in ambito dei processi/attività IGA/PAM dell’azienda.
Il piano è strutturato in base al livello di rischi individuati ed in base alle esigenze, vincoli e criticità espressi dall’azienda.
Il piano è strutturato in base al livello di rischi individuati ed in base alle esigenze, vincoli e criticità espressi dall’azienda.
A chi si rivolge
Si rivolge a tutte le aziende che hanno effettuato o vogliono effettuare un’attività di assessment in ambito IGA/PAM e che intendono affrontare in maniera strutturata le azioni conseguenti al fine di mitigare i rischi che sono emersi.
Descrizione delle attività previste
Saranno analizzati i risultati della fase di assessment al fine di produrre un piano degli interventi strutturato su concetti di rischio.
Ecco la roadmap Net Studio:
Ecco la roadmap Net Studio:
- Analisi dei risultati dell’assessment
- Definizione dei criteri di rischio e urgenza da valutare per la prioritizzazione del piano
- Condivisione e approvazione con il cliente del dominio del piano e dei criteri di prioritizzazione
- Prima individuazione delle attività da includere all’interno del piano
- Condivisione con il cliente del piano in bozza e verifica della fattibilità (economica/temporale)
- Finalizzazione del piano
- Produzione della documentazione finale e workshop di presentazione
Risultati attesi
L’attività consente di produrre un piano operativo per la mitigazione dei rischi in ambito dei processi/attività di IGA/PAM.
Rilasci previsti
- Remediation plan per la mitigazione dei rischi IGA/PAM (word)
- Presentazione per il workshop finale (PowerPoint)
Piano per l’inclusione delle applicazioni in ambito IGA basato sui rischi
Obiettivo dell’attività
L’attività serve per identificare le applicazioni inserire all’interno di una soluzione progettuale di Identity & Access Governance e quali priorità dare nella loro integrazione nel rispetto dei vincoli cogenti, nel rispetto delle necessità aziendali e delle eventuali opportunità tecniche offerte dal progetto.
La definizione di un piano di integrazione delle applicazioni basato su principi di compliance e rischio può inoltre mitigare gli impatti da possibili controlli esterni che si dovessero verificare quando ancora non è completato il percorso di integrazione potendo dimostrare che comunque esiste una strategia e una pianificazione delle applicazioni che ancora non sono state incluse sotto “Governance”.
La definizione di un piano di integrazione delle applicazioni basato su principi di compliance e rischio può inoltre mitigare gli impatti da possibili controlli esterni che si dovessero verificare quando ancora non è completato il percorso di integrazione potendo dimostrare che comunque esiste una strategia e una pianificazione delle applicazioni che ancora non sono state incluse sotto “Governance”.
A chi si rivolge
Si rivolge a tutte le aziende che stanno intraprendendo un percorso progettuale di Identity & Access Governance e vogliono individuare le applicazioni da inserire sotto il domino della Governance in una logica risk based.
Descrizione delle attività previste
Saranno analizzati i risultati della fase di assessment al fine di produrre un piano degli interventi strutturato su concetti di rischio.
Ecco la roadmap Net Studio:
Ecco la roadmap Net Studio:
- Definizione del modello di raccolta dei dati per l’elaborazione del modello di scoring (risk based) sulle applicazioni da inserire in ambito IGA
- Supporto alla integrazione delle informazioni all’interno del “application portfolio” aziendale (qualora presente)
- Estrazione dell’elenco delle applicazioni dall’application portfolio” e relativi attributi in excel per le elaborazioni successive (attività a carico del cliente)
- Definizione del modello di valutazione del rischio per la selezione delle applicazioni in dominio IGA
- Creazione di un primo piano operativo in bozza della inclusione delle applicazioni in ambito IGA (priorità)
- Ipotesi di pianificazione delle attività per l’inclusione delle applicazioni sotto IGA (tempi)
- Condivisione con il cliente e Finalizzazione del piano di inclusione delle applicazioni sotto IGA
- Produzione della documentazione finale e workshop di presentazione.
Risultati attesi
L’attività produce un piano operativo per l’integrazione delle applicazioni aziendali all’interno di un progetto IGA.
Rilasci previsti
- Modello di valutazione del rischio e scoring per la produzione del piano (word)
- Piano operativo per l’integrazione delle applicazioni aziendali sotto IGA (excel)
- Presentazione per il workshop finale (PowerPoint)
Definizione del modello organizzativo di un progetto IGA/PAM
Obiettivo dell’attività
L’attività serve per definire il modello organizzativo, i processi e le attività a supporto dell’implementazione di una soluzione progettuale di Identity & Access Governance all’interno del cliente.
Le attività saranno finalizzate quindi alla definizione e/o revisione dell’organizzazione e dei sui ruoli a supporto dei processi IGA/PAM, gli stessi processi e le attività in ambito IGA/PAM, le policy e le procedure per il governo degli accessi logici, la struttura tecnica e le competenze.
Le attività saranno finalizzate quindi alla definizione e/o revisione dell’organizzazione e dei sui ruoli a supporto dei processi IGA/PAM, gli stessi processi e le attività in ambito IGA/PAM, le policy e le procedure per il governo degli accessi logici, la struttura tecnica e le competenze.
A chi si rivolge
Si rivolge a tutte le aziende che stanno intraprendendo un percorso progettuale di Identity & Access Governance e vogliono definire in maniera corretta il modello organizzativo a supporto dei nuovi processi per il governo delle identità e degli accessi logici.
Descrizione delle attività previste
Viene realizzata un’attività di assessment presso l’azienda per analizzare l’organizzazione ed i processi alla base del sistema di Identity & ccess Governance. Dopodiché verrà proposto un nuovo modello organizzativo, processi ed attività in linea a quando si intende sviluppare all’interno della nuova soluzione IGA/PAM in fase di implementazione.
Ecco la roadmap Net Studio:
Ecco la roadmap Net Studio:
- Interviste di assessment su processi e competenze in ambito IGA/PAM
- Revisione e condivisione dei risultati dell'assessment
- Valutazione Maturità processi e delle competenze vs best practice e conformità
- Formalizzazione risultati di assessment
- Proposta nuovo modello organizzativo: Processi e attività
- Redazione/revisione delle Policy e procedure organizzative in ambito IGA/PAM
- Definizione nuovi ruoli e responsabilità
- Gap Analysis sulle competenze del personale incaricato
- Proposta di formazione del personale incaricato
- Workshop di condivisione dei risultati
Risultati attesi
L’attività conduce ad una progettazione/revisione di un modello organizzativo a supporto dei processi e delle attività in ambito IGA/PAM.
Rilasci previsti
- Documento di “Abstract delle attività di assessment” (Documento)
- Documento di “mappatura dei processi e delle attività rispetto a best practice e normative” (Spreadsheet)
- Documento di “Gap Analysis di alto livello e macro valutazione di maturità dei processi” (Spreadsheet)
- Documento di proposta del nuovo modello organizzativo (Documento)
- Redazione/revisione delle Policy e procedure organizzative in ambito IGA/PAM (Documento)
- Documento di piano di formazione in base alla Gap Analysis sulle competenze (Documento)
- Presentazione per il workshop finale (PowerPoint)
Adeguamento del sistema di gestione ISO27001 in seguito alla implementazione di un progetto IGA/PAM
Obiettivo dell’attività
L’attività ha come obiettivo quello di adeguare il sistema di gestione della sicurezza delle informazioni ISO27001 (ISMS) presente in azienda a fronte dello sviluppo di una soluzione di Identity & Access Governance, rivedendo la formalizzazione dei processi e di tutti i documenti a supporto dello stesso sistema di gestione.
A chi si rivolge
Si rivolge a tutte le organizzazioni che hanno implementato o stanno implementando un sistema di gestione della sicurezza delle informazioni basato sulla ISO27001 (certificate o meno) e che stanno intraprendendo un percorso progettuale di Identity & Access Governance con la volontà di includere i processi IGA all’interno dello stesso ISMS.
Descrizione delle attività previste
Partendo dalla revisione e/o implementazione dei processi e attività IGA verrà rivisto il sistema di gestione della sicurezza delle informazioni attraverso questa roadmap:
- Revisione del modello organizzativo del ISMS afferente ai temi IGA
- Revisione delle politiche di sicurezza delle informazioni
- Revisione delle politiche dei sistemi informativi (se presenti)
- Revisione delle politiche utenti (o disciplinare)
- Revisione della procedura per gli accessi logici
- Revisione dei controlli afferenti i temi di Identity&Access Governance
- Audit finale sui processi IGA
Risultati attesi
L’attività consente un adeguamento del ISMS ISO27001 rispetto ai processi/attività revisionati e/o implementati dal progetto di Identity & Access Governance.
Rilasci previsti
- Revisione dei documenti ISO27001 del cliente (es. politiche, procedure, ecc.)
- Revisione dei controlli afferenti i temi di Identity&Access Governance del cliente
- Audit Report sui processi IGA (Documento)