Compila il questionario

Rispondi a tutte le domande e ottieni il tuo livello di rischio

Fattore di esposizione

  1. L'azienda gestisce dati sensibili (es. dati personali , cartelle cliniche, informazioni legate alla sicurezza nazionale, informazioni confidenziali)?
  2. I prodotti / servizi dell'azienda sono utilizzati in sistemi o applicazioni critiche (sistemi che in caso di malfunzionamento possono generare gravi rischi alle persone, interruzione di pubblico servizio, danneggiamento di mezzi e materiali, gravi danni ambientali, o altri danni economici rilevanti)?
  3. L'azienda ha subito nel corso di quest'anno attacchi informatici o tentativi di attacco (ransoware, DDoS attacchi al sito web, data breach, ecc)?
  4. L'azienda è inserita in una filiera potenzialmente oggetto di cyberattacchi (es . energia, sanità, finance, armamenti, servizi essenziali)?

Valutazione della sicurezza

  1. Nell'azienda é stato identificato / nominato un responsabile della sicurezza informatica ?
  2. E' stato fatto un inventario dei dati posseduti / trattati dall'azienda ?
  3. Esiste un inventario delle risorse informatiche aggiornato es. software , PC, server , router, etc ?
  4. L'azienda utilizza software di protezione (EDR, antivirus, antimalware, ecc.) regolarmente su tutti i dispositivi ?
  5. Vengono aggiornati periodicamente i SW di protezione (patch management) ?
  6. Si é in grado di gestire in modo appropriato incidenti di sicurezza (data breach) ?
  7. Nel caso in cui l'azienda sviluppa prodotti o package di SW ,sono adottate tecniche di sviluppo sicuro (che preveda la presa in conto delle specifiche di sicurezza informatica fin dalle prime fasi del ciclo di vita del SW) ?
  8. Nel caso in cui l'azienda utilizzi servizi in cloud , sono stati definiti col fornitore degli accordi di qaulità del servizio e degli standard di sicurezza ?
  9. Nello scorso anno sono stati effettuati corsi di formazione sulla cybersecurity al personale non tecnico? (es. riconoscere allegati e-mail maligni. Utilizzare solo software autorizzato, ecc.)?
  10. Esiste un piano di continuità dell'operatività , conseguentemente ad un incidente informatico o un piano di "disaster recovery" ?
  11. Tale piano, se esiste, é stato testato negli ultimi 12 mesi ?
  12. Le password sono soggette a vincoli di complessità e aggiornamento periodico ?
  13. E' implementato un controllo degli accessi (es identificazione a doppio fattore) ?
  14. Esistono direttive e tecnologie da adottare (es. VPN , cifratura) per il collegamento ai propri sistemi da altri siti e/o per lo smartworking ?
  15. Il personale tecnico partecipa a seminari e/ o formazioni sulle minacce alla sicurezza informatica
  16. E' realizzato con regolarità un test di sicurezza (penetration test o vulnerability assessment ) ?