Selex ES eroga servizi di consulenza sulla tutela dellasicurezza delle organizzazioni, che vogliono avere unamaggiore garanzia sull’ efficacia delle protezioni adottate atutela del proprio patrimonio informativo e voglionomigliorarle in linea con le esigenze di business.

I servizi assicurano il supporto necessario al rafforzamentodei sistemi di protezione, all’evoluzione dei processi digestione ed al cambiamento degli atteggiamenti e dellasensibilità del personale verso gli aspetti di sicurezza.I servizi di consulenza offerti da Selex ES conduconol’organizzazione cliente a definire e ad attuare soluzioni disicurezza personalizzate in linea con le caratteristiche delbusiness, l’organizzazione, i beni e la tecnologia adottata, leprescrizioni legali o regolamentari, gli obblighi contrattualinonché gli standard internazionali (per esempio ISO/IEC27001 per la sicurezza delle informazioni, ISO 22301 per labusiness continuity, ecc). Selex ES ha creato nell’ambito diun qualificato team di professionisti, in oltre dieci anni diesperienze sulla sicurezza, un insieme completo dellepetenze necessarie (tecniche, legali, di processo, ecc.). Le certificazioni professionali (ISO/IEC 27001 Lead Auditor,

Selex ES delivers professional services developedspecifically for organizations that want to have assuranceof the effectiveness of information protection measures and to improve them in line withbusiness needs.

The services provide the necessary support to strengthenthe protection systems, to develop managementprocesses and change the attitude and awareness ofpersonnel to security issues.Selex ES professional services lead the organizationsthrough the process of definition and implementation ofsecurity solutions that are customized according tobusiness features, organization, technological as-is,regulation and legislative measures, contractual conditions and international standards (e.g. ISO/IEC27001 for information security, ISO 22301 for businesscontinuity, etc)Selex ES has a qualified team, which, in over ten years of experience on security field, has developed a full set of skills (technical, legal, of process, etc.)Security professional (ISO/IEC 27001 Lead Auditor,

SECURITY CONSULTING

ITIL), normative interne e la Legislazione Nazionaleapplicabile (D.Lgs. 196/03 e provvedimenti dell’AutoritàGarante per la protezione dei dati personali, Legge 262/05e D.Lgs. 231/01 per la componente IT).

Infrastruttura Organizzativa per la Governance dellaSicurezzaIl servizio supporta la definizione di una infrastrutturaorganizzativa per la governance della sicurezza tramite unsistema documentale che, in linea con le politicheeventualmente già emanate dall’organizzazione, gli standarddi sicurezza e le normative applicabili, possa costituire laguida per l’operatività e supportare il personale nelconseguimento degli obiettivi assegnati.

Analisi e Gestione del rischioIl servizio di Analisi e Gestione del rischio è sviluppato inconformità agli standard della famiglia ISO/IEC 27000.L’impostazione di un ISMS (Information SecurityManagement System) permette di definire un quadro diriferimento per la sicurezza di un’organizzazione in termini diresponsabilità, di processi e di allineamento con il business,tenendo conto delle normative e delle politiche applicabili.Seguendo l’approccio ciclico del processo di gestione delrischio Plan Do Check Act (PDCA) è possibile monitorarlo e

National Legislation (Privacy Law - Legislative Decree no.196 dated 30 June 2003 "Personal Data Protection Code”and provisions issued by the Italian Data ProtectionAuthority, Law 262/05, Legislative Decree 231/01,Sarbanes Oxley Act for IT components)

Organizational Infrastructure for Security GovernanceThe service supports the definition of organizationalinfrastructure for security governance through thedevelopment of documental system which, according tothe existing organizational policies, security standards andapplicable regulations, can be the guide for the operationand support people in the achievement of objectives.

Risk Analysis and ManagementRisk Analysis and Management service is developed incompliance with ISO/IEC 27000 information securitystandards. The establishment of the ISMS (InformationSecurity Management System) allows defining a securityframework throughout the organization in terms ofaccountability, processes and business, according toapplicable legislation and policies. The ISMS can be

BS 25999/ISO 22301, CISA, CISM. CISSP, CRISC, CEPAS)e quelle aziendali (ISO/IEC 27001, BS 25999, 8000SA)contribuiscono a dimostrare le competenze professionali diSelex ES per la sicurezza.

I SERVIZI OFFERTI

Security Assessment e AuditUtilizzando le più avanzate tecniche di audit, in conformitàallo standard UNI EN ISO 19011, il servizio offre valutazionie gap analysis per l’esame dell’adeguatezza delle protezionilogiche e fisiche presenti in linea con gli obiettividell’organizzazione.Tali attività sono eseguite prendendo come riferimentostandard internazionali (ISO/IEC 27001, ISO 22301, Cobit,

BS 25999/ISO 22301, CISA, CISM. CISSP, CRISC,CEPAS) and company (ISO/IEC 27001, BS 25999,8000SA) certifications confirm the security expertise of Selex ES.

SERVICES PROVIDED

Security Assessment and AuditThis service, drawn on the most advanced audittechniques, in compliance with EN ISO 19011, offersassessment and gap analysis to test the adequacy oflogical and physical protections according to theorganization objectives.These activities are carried out in compliance withinternational standards (ISO / IEC 27001, ISO 22301,Cobit, ITIL), internal regulations and the applicable

rivederlo tramite indicatori specifici che valutano le misuredi protezione implementate.

Compliance normativaSi fornisce il supporto all’adeguamento dell’organizzazionealle normative applicabili in tema di sicurezza delleinformazioni, in modo da garantire un’ottimizzazione deiprocessi legati al recepimento degli obblighi prescritti dallesuddette normative, tra cui rientra il D.Lgs. 196/03provvedimenti dell’Autorità Garante per la protezione deidati personali, Legge 262/05 e D.Lgs. 231/01, SorbanesOxley Act per la componente IT).

monitored and reviewed by the cyclic approach of the PlanDo Check Act (PDCA) risk management process usingspecific indicators that assess the implemented protectionmeasures.

Regulatory ComplianceSelex ES provides support to the organization in order toassure the compliance with applicable legislation ininformation security field to ensure optimization of theprocesses related to the implementation of the obligationsprescribed by some regulations such as Privacy Law(Legislative Decree no. 196 dated 30 June 2003

Supporto alla certificazione ITLe certificazioni di processo di gestione della sicurezzadell’informazione (ISO/IEC 27001), di prodotto o sistemaIT (ITSEC o Common Criteria), di gestione dei servizi(ISO/IEC 20000), di gestione della continuità operativa(ISO 22301), rappresentano un mezzo per la diffusionedella fiducia nell’organizzazione alle parti interessate.Il supporto offerto da Selex ES riguarda tutte le fasi delprocesso di ottenimento della certificazione, dall’analisipreliminare fino alla visita di verifica da parte dell’EnteCertificatore prescelto.

Business Continuity and Disaster Recovery PlanQuesto servizio, che fa parte del cosiddetto “dominiodell’emergenza”, sono finalizzate a consentire lacontinuità del business aziendale anche nel caso in cui siverifichino incidenti o eventi disastrosi che colpiscano isistemi o le infrastrutture fisiche. A partire dalla Business Impact Analysis (BIA), siprogetta un sistema di sicurezza che attenui gli effettinegativi di eventi indesiderati e consenta all’aziendaun’agevole ripristino e riorganizzazione sia dei processi IT(DRP) che di quelli trasversali all’organizzazione (BCP). Per le Pubbliche Amministrazioni l’attività è svolta inconformità a quanto prescritto dalle “Linee guida per il

"Personal Data Protection Code”) and provisions issued bythe Italian Data Protection Authority, IT control systemlegislation (Law 262/05, Legislative Decree 231/01,Sarbanes Oxley Act).

Certification supportThe certifications of information security managementprocess (ISO/IEC 27001), of product or IT system (ITSEC orCommon Criteria), of service management (ISO/IEC 20000)and business continuity management (ISO 22301) contributeto give assurance to interested parties. The support providedby SELEX Elsag covers all stages in the certificationprocess, from preliminary analysis to the certificationachievement with the chosen Certification Body.

Business Continuity and Disaster Recovery PlanThese services, part of the so-called "emergency domain",are designed to analyze the effect that business disruptionmight have when disastrous accidents or events occur andaffect physical systems or infrastructures. From theBusiness Impact Analysis (BIA), designing a securitysystem that mitigates the negative effects of adverseevents and allows the company to recover and restore ITand organizational processes, providing support for thedefinition of a Business Continuity Plan (BCP) or Disaster

For more information please email infomarketing@selex-es.comSelex ES S.p.A - A Finmeccanica CompanyThis publication is issued to provide outline information only and is supplied without liability for errors or omissions. No part of it may be reproduced or used unless authorized in writing.We reserve the right to modify or revise all or part of this document without notice.

2013 © Copyright Selex ES S.p.A. www.selex-es.com CODE: ei-SEC-ED-093/V1/11/Z

Disaster Recovery“ emanate dalla DigitPA (art. 50 bisdel CAD).

Vulnerability Assessment e PenetrationTestI servizi proposti permettono l’individuazione dellevulnerabilità di sicurezza dei sistemi IT mediante lasimulazione di un attacco condotto secondo le tecniche dihacking (raccolta delle informazioni, pianificazione deitest, identificazione delle vulnerabilità ed esecuzione deiPenetration Test, elaborazione dei risultati).

Formazione sulla SicurezzaI servizi di formazione, articolati in singole giornate ditraining o interi corsi tematici rivolti a tutti i possibilidestinatari a seconda delle specifiche esigenzedell’organizzazione, riguardano i temi della sicurezza fisica,logica, organizzativa nonché approfondimenti su standard,leggi o specifiche normative.È anche a disposizione il tool “Mondo Privacy” diautoformazione accessibile via web (e-learning) in materiadi Privacy dedicato alla formazione e aggiornamento degliaddetti che in azienda ricoprono il ruolo di responsabili oincaricati del trattamento dei dati personali.

Metodologie e strumenti proprietariSelex ES utilizza la metodologia e il tool MIGRA pereseguire l’analisi del rischio, definire e attuare l’ISMS inorganizzazioni complesse, integrando gli aspetti disicurezza logica, fisica e organizzativa e tenendo contodella conformità a norme e standard (ISO/IEC 27001,D.Lgs. 196/2003 e provvedimenti dell’Autorità delGarante, ISO 22301, D.Lgs. 231/01-Controlli IT).È inoltre utilizzata la metodologia Defender per laprogettazione di DRP e BCP.

Information Security Education and TrainingTraining services can be provided as single day orcomplete specific courses about physical, logical,organizational security and widening about standard, lawsor line of business legal requirements according tocustomer needs. There is also a web e-learning tool aboutprivacy issues for people involved in personal datatreatment (“Mondo Privacy”).

Company Methodologies and ToolsSelex ES uses the methodology and tool MIGRA to supportISMS development and maintenance integrated with logical,physical and organizational issues in complex organizations,in compliance with legislation, rules and standard (ISO/IEC27001, Legislative Decree no. 196/03 "Personal DataProtection Code” and provisions issued by the Italian DataProtection Authority, ISO 22301, Legislative Decree no.231/01 - for IT Controls). It also uses the Defendermethodology for DRP and BCP design.

Recovery Plan (DRP). For Public Administrations activityis carried out in accordance with provisions of the"Guidelines for Disaster Recovery" issued by DigitPA(Article 50a of CAD).

Vulnerability Assessment and PenetrationTestThe service permits to map IT system securityvulnerabilities through simulation of attacks using hackingtechniques (information collection, test planning,vulnerability identification and penetration test execution,technical and managerial reporting).