Capitolo VI — Sicurezza

Sicurezza come disciplina, non come prodotto.

Proteggere un'azienda significa fare scelte di processo prima che di tecnologia. Affianchiamo audit, hardening, compliance NIS2/GDPR e incident response — con la stessa cura con cui costruiamo software.

Approccio

Difesa stratificata, scelte motivate.

Non esiste sicurezza assoluta: esistono livelli di rischio negoziati e controlli proporzionati. Il nostro lavoro è rendere queste scelte esplicite e governabili.

Cosa facciamo

Iniziamo da un assessment realistico: superficie d'attacco, controlli esistenti, gap rispetto a baseline (ISO 27001, CIS Controls, NIS2). Restituiamo una mappa di rischio prioritizzata, non una lista di compiti generica.

Costruiamo il sistema di controllo a livelli: identità e accessi, perimetro, endpoint, dati, monitoraggio. Ogni livello ha una responsabilità chiara e un indicatore di efficacia.

La compliance — GDPR, NIS2 — non è uno scopo: è una conseguenza di un sistema progettato bene. Affrontarla come scopo produce documenti che non difendono nulla. Per questo iniziamo dalla postura, non dal modulo.

Pratica

Strumenti e framework.

Tecnologie e standard di riferimento. La cassetta degli attrezzi è ampia perché i contesti sono diversi.

ISO 27001:2022 NIS2 GDPR CIS Controls MITRE ATT&CK OWASP Penetration testing Vulnerability assessment SIEM / SOC EDR / XDR Zero Trust IAM / PAM Backup & DR BCP Phishing simulation

Ambiti

Dove interveniamo.

Tre famiglie di intervento. Spesso si combinano in un percorso annuale.

— Linea A

Assessment & roadmap

Diagnosi della postura attuale, mappatura rischi, piano di rientro pluriennale con priorità e budget.

— Linea B

Hardening & operations

Implementazione controlli: IAM, segmentazione, monitoraggio, backup. Operatività e runbook per il team interno.

— Linea C

Compliance & governance

GDPR, NIS2, sistemi qualità. Procedure, ruoli, registri trattamenti. Documentazione utile, non solo dovuta.

Domande ricorrenti

FAQ.

Le risposte che daremmo anche al telefono, ma scritte.

Siete certificati ISO 27001?

Sì, MAST opera secondo ISO 27001:2022. Ne conosciamo l'applicazione perché la viviamo internamente, non solo da consulenti.

Quanto è urgente NIS2 per la nostra azienda?

Dipende dal settore e dalla taglia. Un assessment di 2–3 settimane chiarisce ambito di applicazione, gap e priorità.

Fate anche penetration testing?

Sì, su perimetro web, infrastruttura e applicazioni custom. Con report leggibili dal management, non solo dal SOC.

Cosa succede in caso di incidente?

Attiviamo il processo di incident response concordato: triage, contenimento, eradicazione, ripristino, analisi post-mortem. Con notifica alle autorità quando dovuta.

Avete una postura di sicurezza, o solo un antivirus?

Se è un ostacolo, trasformiamolo in innovazione. Trenta minuti, nessun impegno.

Parliamone→ Altre competenze↗