Cyber Security and Digital Protection

La practice Cyber Security and Digital Protection conta circa 150 consulenti specializzati nel fornire servizi finalizzati ad incrementare la digital-trust delle aziende, abilitandone la trasformazione e l’adozione delle tecnologie digitali innovative a fronte dei rischi Cyber emergenti.

Il team Cyber Security and Digital Protection supporta i clienti dalla definizione della strategia di Cyber Security fino alla gestione delle Security Operations, attraverso l’implementazione del principio di Security By Design trasversalmente alle dimensioni People, Process e Technology.  

Le nostre competenze ci consentono di fornire ai clienti soluzioni avanzate end-to-end per la definizione delle roadmap evolutive, la gestione dei programmi di IT e Cyber compliance e di formazione delle risorse, la ricerca ed implementazione delle migliori soluzioni di Cyber Security facendo leva sulle nostre competenze e sulle partnership con i principali player tecnologici in ambito.

I servizi gestiti offerti ai nostri clienti sono integrati negli ambiti Security Operations Center, Vulnerability Management, Cyber Threat Intelligence ed Identity Access Management.

Leggi di più Leggi di meno

Service & Capabilities

  • Strategy & Risk Management

    Il team EY di Strategy, Risk, Compliance & Resilience è dotato di un mix professionisti composto da competenze multi-disciplinari per garantire un supporto puntuale alle realtà Clienti con l’obiettivo di comprendere e valutare nella propria interezza la cyber security posture aziendale ed supportare nella definizione di strategie ed azioni atte a mitigare i potenziali cyber risk a cui le stesse sono esposte.

    Il nostro Team SRC&R aiuta i Clienti a valutare l'efficacia e l'efficienza dei presidi di sicurezza informatica e resilienza adottati e ad individuare le possibile aree di miglioramento, in ottica di crescita aziendale e adeguata definizione della vision strategica ed operativa.

    Difatti, le soluzioni da noi offerte si applicano in modo coerente ed efficace indipendentemente dall’ambiente su cui queste vengono applicate (ad es. Information Technology, Internet of Things, Operational Technology, Cloud, ecc).

    Inoltre, i servizi in ambito SRC&R sono totalmente integrabili con il set di servizi forniti dalla restante divisione Cyber Security & Digital Protection, offrendo così un programma customizzato e coerente in base a tutti i needs espressi dalle realtà Clienti.

    Attraverso tali servizi, il Cliente potrà:

    o   Ottenere un quadro chiaro dell'attuale posizione e capacità dei rischi Cyber, comprendendo effettivamente come, dove e perché investire nella gestione dei rischi informatici;

    o   Implementare ed mantenere una strategia ed un programma informatico globale che consenta un processo decisionale rigoroso e strutturato e un'analisi finanziaria dei rischi informatici;

    o   Raggiungere e sostenere i requisiti di conformità normativa come risultanza di una funzione di Cybersecurity funzionannte ed organizzata;

    o   Costruire e mantenere una cultura consapevole del rischio attraverso l'educazione e la consapevolezza per ridurre l'impatto dei comportamenti umani;

    o   Gestire un Programma di resilienza di fronte alle minacce informatiche in continua evoluzione e alle strategie di business digitale.

    Services & Capabilities

    ·        Strategy & Risk Management:  attraverso tale sub-service si propongo una serie di attività finalizzate al design, al mantenimento ed alla crescita delle strategie adottate in ambito Cybersecurity e Risk Management. In particolare, possono essere fornite attività di Cybersecurity Assessment e definizione di  Roadmap evolutive/corretive, analisi e prioritizzazione dei progetti Cyber e supporto nell’allocazione dei costi rispetto alle iniziative, definizione delle metodologie e delle procedure di analisi dei rischi, Risk Assessment & Evaluation.

    ·        Business  Continuity & Resilience: si fornisce supporto nella definizione dei Business Continuity Model (BCM), attraverso l’analisi degli impatti sul business (BIA) e l’individuazione delle esigenze requisiti di recovery e ripristino (RTO/RPO), la valutazione dei processi e dell’infrastruttura IT e la definizione dei framework documentali di riferimento in linea con lo standard di riferimento ISO22301.

    ·        Cyber Due diligence: a fronte di operazioni societario condotte dai nostri Clienti, siamo in grado di supportarli nell’acquisizione, understanding e valutazione della posizione delle società-target in ambito cybersecurity, così da favorire la piena consapevolezza delle potenziali esposizioni, rischi e punti di forza correlati all’operazione societaria in corso e permettere l’adozione di scelte consapevoli e decisive.

    ·        CxO Reporting:  è un servizio estremamente customizzato tenuto conto delle esigenze rappresentate dai rank executive e C-levels di ottenere un numero di informazioni adeguato, sufficientemente dettagliato ma al contempo efficace per poter adottare le scelte migliori ed attuare le strategie aziendali nel rispetto delle iniziative e delle po0litiche adottate dalle proprie strutture e unità di riferimento.

    ·        Third Party Risk Management: aiutiamo le Organizzazioni a definire e monitorare rischio derivante da terze parti a bordo attraverso l’individuazione di specifici SLA e/o condizioni contrattuali all’interno della contrattualistica utilizzata, l’adozione di modelli di valutazione utilizzabili in tutte le fasi di gestione del contratto (dalla pre-contrattualizzazione ai fini di valutazione, agli audit di verifica sino al termine del rapporto contrattuale) e di definizione di processi e metodologie per una gestione consapevole dei Fornitori scelti.

    ·        Cyber Compliance: EY offre servizi di consulenza e di verifica sugli aspetti regolatori, normativi e per gli standard di settore che impattano direttamente i sistemi di elaborazione aziendale. I servizi offerti mirano a identificare e indirizzare tutte le azioni necessarie a garantire il rispetto di quanto richiesto dalle principali normative di settore nazionali e internazionali, inoltre, l’ampia gamma di servizi di cyber compliance di EY comprende anche il supporto per il raggiungimento della conformità ai principali standard di settore. Di seguito si riporta il dettaglio dei principali servizi offerti:

    ·        Compliance Normativa, i servizi hanno l’obiettivo di garantire il raggiungimento della conformità alle normative in ambito cyber a cui le aziende sono soggette, di seguito si riportano alcuni esempi dei principali servizi erogati:

    ·        Compliance in ambito Perimetro di Sicurezza Nazionale Cibernetica “PSNC”: attività di analisi del rischio e mappatura degli asset critici aziendali, assessment sulle misure di sicurezza in place, adeguamento dei processi aziendali sulla base di quanto richiesto dalla normativa (Procurement ICT, Gestione Incidenti, Vulnerability Assessment e Penetration Test);

    ·        Compliance GDPR: identificazione delle attività, adeguamento per la risoluzione delle criticità e prioritizzazione risk driven degli interventi necessari in una roadmap implementativa;

    ·        Compliance NIS: supporto alle organizzazioni nell’identificazione del perimetro tecnologico di applicabilità della Direttiva, identificazione, analisi e gestione dei rischi per la sicurezza IT;

    ·        Compliance agli standard di settore (ISO, NIST, ISAE, ISA, etc): EY eroga servizi di consulenza e supporto finalizzati al design e al implementing di processi aziendali conformi ai principali standard di settore, volti a migliorare la security posture aziendale e incrementare la security vision esterna della Società, necessari al conseguimento delle Certificazioni di compliance agli Standard;

    ·        Compliance Integrata: servizi volti alla definizione di un framework per una gestione integrata ed ottimizzata della compliance a normative e standard applicabili, in grado di razionalizzare le attività di assessment;

    ·        Multicompliance: servizi di supporto alla realizzazione di un cruscotto integrato di analisi e monitoraggio delle principali normative e dei principali standard adottati (Testo Unico 81/08, 262, d.lgs. 231/2001, PCI, Privacy, Corporate Information Security Policy, ISO 27001, OPDE Security Plan, ecc.).

    ·        ISO Certification: siamo in grado di supportare i nostri Clienti in quelle che sono le sfide legate all’adozione si Sistemi Normativi Integrati e programmi di certificazione rispetto a standard ISO selezionati. In particolare, teniamo il passo con le costanti evoluzioni del mondo ISO Certification, avendo sviluppato competenze in tutti i principali schemi di certificazione (ad es. 22301,27001 e famiglia 27000, 222371 etc.).

    ·        Altre certificazioni (Tisax, PCIDSS): in continuità con il punto 8, forniamo supporto nell’ottenimento di certificazioni mirate che impattano le singole realtà-clienti con l’obiettivo di aumentare il valore e la competitività dell’azienda sul mercato cercando di comprendere sempre di più le singole esigenze legate alle particolarità dei business seguiti.

    ·        Cyber Education & Awareness: molte delle iniziative core su cui siamo in grado di supportare sono legate alla diffusione e promozione di una cultura aziendale cyber. Per tale motivo, siamo in grado di promuovere iniziative di awareness & training customizzate sia in relazione ai contenuti sia in relazione alle modalità di erogazione dei corsi, fornendo quindi dei pacchetti estremamente customizzabili e che risultino poi efficaci rispetto alle esigenze ed ai livelli di maturità della popolazione target coinvolta.

     

  • Data Protection and Privacy

    Approccio multidisciplinare volto alla progettazione, al governo ed all’evoluzione dei sistemi di gestione della Privacy di Enti pubblici e privati in termini People, Process and Technology ed in funzione dell’evoluzione dello scenario normativo cogente (Beyond GDPR) nonché del landscape di minacce informatiche in continua evoluzione al fine di garantire l’efficacia tattica e strategica dei Sistemi di gestione dei clienti.

    Servizi & Capabilities

    Supporto operativo e metodologico al DPO ed alle strutture dedicate per la gestione ordinaria e straordinaria delle attività in ambito privacy (Es. censimento, monitoraggio ed aggiornamento del registro dei trattamenti, attività di supporto all’implementazione del principio di Privacy By Design, esecuzione di Data Protection Impact Analisys,  gestione delle richieste per l’esercizio dei diritti degli interessati, analisi delle misure organizzative e tecniche, reportistica e workshop per il TOP Management, ecc)

    o   Privacy Readiness, Stress Test e Simulazione ispezione: performiamo per i nostri clienti la revisione del sistema privacy a 360°, attività di «stress-test» (es. esercizio dei diritti da parte dell’interessato o simulando data breach) e simulazioni di ispezioni dell’Autorità con approcci demanding verso gli stakeholders

    o   Modello organizzativo/ruoli e responsabilità e relative designazioni finalizzato alla formalizzazione di ruoli e responsabilità nonché nella definizione di razionali per garantire l’accountability adeguata dell’intera organizzazione

    o   Policy e procedure: forniamo supporto per la redazione/revisione del corpo documentale ivi inclusa l’integrazione e l’allineamento con le funzioni aziendali coinvolte ed in linea con gli standard di cui l’Ente/organizzazione ha in dotazione (Standard di compliance Data Protection, Procedura operativa per la gestione dei diritti degli interessati, Metodologia di Analisi dei rischi Data Protection e di Valutazione degli Impatti, Privacy by design e Privacy by default, Standard di compliance Data Breach Management, Standard/Procedura/Matrice di Data Retention; Regolamento Videosorveglianza in conformità con la Linea Guida 3/2019 EDPB, Gestione e governo delle terze parti, Policy di utilizzo dei siti e delle app, finalizzata a definire i requisiti di compliance privacy applicabili ai siti istituzionali del gruppo e alle app, etc.);

    o   Training & Awareness: attraverso l’esperienza maturata in ambito GDPR e Privacy nonché grazie ad un gruppo dedicato di professionisti (People Advisory Service), definiamo i contenuti di un programma formativo e di sensibilizzazione strutturato, facendo leva su una cultura diffusa di formazione continua;

    o   Gestione Terze Parti: definiamo/revisioniamo il processo di gestione del ciclo di vita della catena di fornitura e sub-fornitura, dagli adempimenti formali derivanti dall’ingaggio, alla valutazione dei livelli di rischio derivanti dai servizi erogati dalle terze parti;

    o   Privacy by desing & DPIA: forniamo supporto in ambito tecnico nell’accertamento dell’impatto di servizi, processi e applicativi del cliente sui dati personali in essi coinvolti, oltre che supporto nelle attività di verifica e monitoraggio continuo dello stato di implementazione delle misure di Privacy by Design identificate e delle conseguenti azioni poste a piano dalla struttura aziendale, attraverso assessment customizzati in base alle esigenze del cliente

    o   Policy e procedure: forniamo supporto per la redazione/revisione del corpo documentale ivi inclusa l’integrazione e l’allineamento con le funzioni aziendali coinvolte ed in linea con gli standard di cui l’Ente/organizzazione ha in dotazione (Standard di compliance Data Protection, Procedura operativa per la gestione dei diritti degli interessati, Metodologia di Analisi dei rischi Data Protection e di Valutazione degli Impatti, Privacy by design e Privacy by default, Standard di compliance Data Breach Management, Standard/Procedura/Matrice di Data Retention; Regolamento Videosorveglianza in conformità con la Linea Guida 3/2019 EDPB, Gestione e governo delle terze parti, Policy di utilizzo dei siti e delle app, finalizzata a definire i requisiti di compliance privacy applicabili ai siti istituzionali del gruppo e alle app, etc.)

    o   Training & Awareness: attraverso l’esperienza maturata in ambito GDPR e Privacy nonché grazie ad un gruppo dedicato di professionisti (People Advisory Service), definiamo i contenuti di un programma formativo e di sensibilizzazione strutturato, facendo leva su una cultura diffusa di formazione continua

    o   Gestione Terze Parti: definiamo/revisioniamo il processo di gestione del ciclo di vita della catena di fornitura e sub-fornitura, dagli adempimenti formali derivanti dall’ingaggio, alla valutazione dei livelli di rischio derivanti dai servizi erogati dalle terze parti.

    o   Privacy by desing & DPIA: forniamo supporto in ambito tecnico nell’accertamento dell’impatto di servizi, processi e applicativi del cliente sui dati personali in essi coinvolti, oltre che supporto nelle attività di verifica e monitoraggio continuo dello stato di implementazione delle misure di Privacy by Design identificate e delle conseguenti azioni poste a piano dalla struttura aziendale, attraverso assessment customizzati in base alle esigenze del cliente.

  • Data Governance & Classification

    Gestiamo in modo efficiente l’ottimizzazione del valore aziendale dato dai processi di Data Governance, in base alle tre dimensioni di Revisione di politiche per verificare che forniscano il giusto compromesso tra riservatezza e sicurezza, e disponibilità dei dati per l'analisi delle policy in standard, su cui basare processi e procedure; Scelta del modello che meglio corrisponde alla realtà e alle ambizioni; Supporto ai processi di definizione dei dati e di gestione dei relativi metadati, attraverso l’esecuzione dell’analisi dei dati e dell'impatto.

    Strutturiamo la classificazione dei dati, che si concentra sulle tre dimensioni People, Process, Technology, come elemento chiave in grado di determinare direttamente come i nostri clienti comprendono e gestiscono i loro processi aziendali ad alto livello e – infine - consentire l'assegnazione di valore economico ai dati intangibili, fornendo un approccio strutturato alla gestione dei dati.

    Servizi & Capabilities

    ·        Data Discovery: EY fornisce un'ampia gamma di servizi di elaborazione dati per aiutare i clienti a gestire le esigenze di discovery su tutte le dimensioni, facilitati da molteplici opzioni di hosting, quali:

    §  Raccolta, elaborazione, normalizzazione, selezionare e hosting dei dati;

    §  Redazione dei dati per il trasferimento;

    §  Fornire un'efficiente capacità di revisione basata sul web;

    §  Formattazione di record elettronici selezionati per la produzione

    ·        Data Classification: EY suddivide Drivers relativi a legislazione e regolamenti:

    §  Protezione dei dati personali, normative specifiche del settore, monitoraggio di frodi, rendicontazione finanziaria e divulgazione di informazioni, sostenibilità e divulgazione non finanziaria, driver relativi alla fiducia digitale;

    §  Promozione della distribuzione globale dei dati, evoluzione dei dati e della tecnologia (per esempio AI e apprendimento automatico - ML)), i Big Data e il Cloud e il calcolo quantistico, monitoraggio delle ESG e tracciabilità, Driver legati al business;

    §  Supporto al cliente per il raggiungimento dei modelli di business basati sui dati, favorendo l'efficienza operativa, la riduzione dei costi e il miglioramento della Customer experience

    ·        Data Loss Prevention: I servizi di Data Loss Prevention sono supportati da EY Virtual Analytics Infrastructure (EY Virtual), una piattaforma di analisi dei dati forensi e AI basata su microservizi e progettata per supportare le esigenze dei team legali e di conformità. I team di EY adottano un approccio consultivo che si concentra su misure di prevenzione, rilevamento e mitigazione dal punto di vista aziendale, operativo e tecnologico. L'ampia gamma di servizi di prevenzione delle perdite di EY comprende: profilazione di schemi di frode e perdita; utilizzo dell'intelligenza artificiale (AI) e delle tecnologie di analisi per la valutazione dei processi e dei controlli; implementazione di flussi di lavoro e procedure di escalation; lo sviluppo di misure di controllo del monitoraggio del rischio nei confronti dell’asset di dati del cliente, calcoli delle perdite, monitoraggio del ritorno sull'investimento effettuato da parte del cliente e procedure di segnalazione e riparazione.

    ·        Data Retention: EY fornisce il servizio di Data Retention as a Service dove non è necessario installare sistemi, né acquistare hardware, software o agent, né disporre di risorse tecniche interne qualificate. I nostri sistemi sono in grado di identificare i dati personali sui hub locali o sistemi cloud, siano essi dati strutturali (applicazioni, data base, ecc.) o non strutturali (file server, mail, ecc.) utilizzando tecnologie all'avanguardia e senza la necessità di esportare i dati personali dai propri sistemi nei confronti dei nostri clienti. È possibile segnalare immediatamente la richiesta dei diritti dell'interessato e automatizzare le politiche di conservazione per l'eliminazione e l'anonimizzazione.

  • Identity & Access Management

    Forniamo ai Clienti un supporto mirato al fine di gestire il ciclo di vita delle identità digitali e i rischi ad esso connessi, aiutando a migliorare i processi IAM, critici nell’ottenere efficienza operativa, riduzione dei rischi e per il mantenimento della compliance normativa. Una soluzione IAM di successo deve basarsi su una comprensione dello stato corrente ma deve anche guardare alla vision e alla strategia futura per ottenere un Target Operating Model (TOM) che sia fatto su misura rispetto ai requirement del Cliente, ai suoi business driver e al rischio che è disposto a tollerare.

    In particolare, i servizi offerti in questo ambito sono integrabili con i servizi offerti dall’intera divisione Cybersecurity & Digital Protection per ottenere un programma customizzato in base ai need espressi dal singolo cliente.

    Principali punti di forza:

    o   Maggiore sicurezza nello svolgimento di operazioni a sistema, di attività day-to-day e negli accessi da remoto;

    o   Rapido ritorno sull’investimento;

    o   Maggiore efficienza nei processi di on-boarding e off-boarding delle utenze e nel processo di auditing;

    o   Semplificazione dell’accesso ai sistemi/applicazioni;

    o   Massimizzazione e ottimizzazione di strumenti, criteri e processi di identità già esistenti.

    Servizi & Capabilities

    I nostri servizi sono volti alla definizione della IAM Strategy & Governance, all’assessment degli attuali processi, alla selezione, disegno e implementazioni delle soluzioni tecnologiche e all’erogazione di managed services IAM/PAM.

    ·        IAM: la disciplina di Identity Access Management comprende i sistemi di Identity Management e di Access Management. I sistemi di IM consentono la gestione e l’automazione di tutti gli account aziendali attraverso il provisioning e de-provisioning automatico degli account sulle varie risorse aziendali mentre gli strumenti di AM si occupano dell’autenticazione centralizzata sui sistemi e le applicazioni aziendali e dell’autenticazione federata, agendo sia come Identity Provider che permette agli utenti di utilizzare le credenziali aziendali per accedere ad applicazioni fornite da terzi, sia come Service Provider che permette ad eventuali utenti esterni autorizzati di utilizzare le credenziali delle loro aziende per accedere ad applicazioni aziendali. Le soluzioni IAM vengono inoltre utilizzate per l’implementazione della Multi-Factor Authentication

    ·        PAM: le soluzioni di Privileged Access Management consentono la gestione degli utenti cosiddetti privilegiati che possiedono autorizzazioni per l’accesso a sistemi critici. Questa tipologia di utenti assume particolare rilevanza a causa della loro ampia possibilità di accedere ad informazioni sensibili

    ·        Compliance & Governance: le soluzioni di Governance, Risk & Compliance in ambito IAM e di Segregation of Duties includono tutti i servizi aventi l’obiettivo di minimizzare i rischi connessi alla segregazione dei compiti, ad automatizzare le user access review e ad assicurare la governance e la compliance degli accessi.

  • Architecture, Engineering & Emerging Technology

    La sicurezza degli ambienti va oltre la tecnologia. Per questo motivo EY supporta i propri clienti con un’offerta dedicata. Il nostro approccio è composto da servizi riguardanti le aree di intervento fondamentali: Assess, Advise, Implement, Operate, con l’obiettivo di aumentare la postura di sicurezza del cliente e la sua efficacia, al fine di ridurre significativamente ogni vettore di rischio.

    La perfetta trait d’union tra: una metodologia che fa leva sulle security best practices e moderni paradigmi come Zero Trust e Security by Design e un insieme di servizi misurati e mirati ad accompagnare il cliente verso una transizione tecnologica sicura e sostenibile.

    Servizi & Capabilities

    o   Cloud Security

    o   Secure architecture design and review

    o   Microsoft 365

    o   Network Security

    o   Data security

    o   Threat Prevention and mitigation

    o   Hardening prioritization and Automation

    o   Vulnerability Management

  • Next Generation Security Operations & Response

    Il team Next Generation Security Operations Response ha l’obiettivo di fornire alle Organizzazioni servizi e soluzioni in grado di identificare, monitorare e gestire i rischi/le minacce a cui sono esposte. Il fine ultimo dei servizi erogati è quello di limitare gli impatti e prevenire gli attacchi informatici. Tali soluzioni prevedono l’utilizzo di funzioni e tecnologie d’avanguardia volte ad identificare e rispondere con efficacia a diverse esigenze di sicurezza.

    o   Extreme Hacking Team: Servizi che mirano ad ottenere una valutazione tecnica, concreta sulla postura di sicurezza informatica dei sistemi e delle risorse IT presenti all’interno di un’azienda Cliente.

    §  Vulnerability Assessment

    §  Penetration Testing (Web Application PT, Infra PT, Thick Client PT -Sand Box Evasion- , Mobile PT)

    §  Wireless Security Assessment

    §  Code Review

    §  Social Engineering activities

    §  Physical penetration testing

    §  Red Teaming Operation/Adversarial Simulation

    o   C-shield: Servizi che supportano un’azienda Cliente nelle fasi di preparazione, gestione e risposta a potenziali incidenti di sicurezza informatica. Insieme a tutte le soluzioni sopra evidenziate si aggiungono i servizi che mirano all'identificazione dei rischi e delle minacce che potrebbero generare un futuro attacco informatico rivolto verso un’azienda Cliente attraverso l'analisi e il monitoraggio di fonti significative presenti all’interno del Clear, Deep e Dark Web.

    §  Digital Forensic

    §  Compromise Assessment

    §  Malware Analysis

    §  Incident Retainer

    §  Managed Detection and Response

    §  Early Warning

    §  Email Security Analysis

    §  Incident readiness and maturity assessments

    §  Incident response governance, playbooks, metrics, and reporting

    §  Awareness training and incident response tabletop exercises

    §  Threat intelligence

    §  Vulnerability Management

    §  Cyber security Expert

 

Scopri di più sulle nostre specializzazioni