Security Assessment

Che cos’è

Il security assessment è la valutazione trasversale della postura di sicurezza dell’organizzazione — non solo delle tecnologie, ma anche dei processi e delle persone. A differenza di un vulnerability assessment (che cerca falle tecniche) o di un penetration test (che le sfrutta attivamente), l’assessment è un esame di maturità che guarda a governance, gestione del rischio, controllo degli accessi, gestione dei fornitori, business continuity, risposta agli incidenti, classificazione delle informazioni, awareness del personale. È il primo passo sensato prima di scegliere dove investire.

Cosa ottieni

Al termine del lavoro consegno un report in doppio taglio:

• Executive summary (per board/CdA): rischi principali tradotti in linguaggio di business, priorità, stime di effort e investimento.
• Report tecnico (per IT/CISO): mappatura degli asset critici, classificazione dei rischi con matrice likelihood × impact, gap analysis dettagliata rispetto allo standard scelto, heatmap di maturità per dominio di controllo, roadmap di remediation prioritizzata a 12–24 mesi.

Il report resta tuo — nessun lock-in sul consulente, nessun tool proprietario obbligatorio.

A chi si rivolge

• PMI che devono rispondere a richieste di due diligence da clienti enterprise o bandi pubblici.
• Aziende in preparazione a una certificazione (ISO 27001, 27017, 27018, SOC 2) e vogliono sapere quanto manca.
• Organizzazioni colpite da un incidente che cercano una lettura oggettiva di ciò che non ha funzionato.
• Soggetti in perimetro NIS2 o DORA che devono dimostrare un livello di governance adeguato.
• Imprese in M&A o dovute diligenze pre-investimento.

Metodologia

Il lavoro si articola in cinque fasi:

1. Kick-off e scoping — perimetro, asset critici, stakeholder, vincoli. Raccolta della documentazione esistente (policy, procedure, registri, evidenze di audit).
2. Interviste strutturate — con IT, HR, Legal, Operations, eventuali fornitori critici. Obiettivo: capire come le cose funzionano davvero, non solo come sono descritte.
3. Osservazione e verifica tecnica — campionamento diretto dei controlli in produzione: configurazioni, patching, hardening, logging, gestione identità, backup, DR.
4. Analisi, scoring, reporting — gap analysis, assegnazione livello di maturità (0–5) per ciascun dominio, identificazione dei quick wins e degli interventi strutturali.
5. Workshop di restituzione — sessione live con il team per discutere evidenze, priorità, obiezioni. Il report nasce dal confronto, non è un documento calato dall’alto.

Perché con me

Sono Lead Auditor ISO 27001 certificato, ethical hacker, con quasi trent’anni di consulenza IT e uno sguardo che mette insieme il lato offensive (come si rompono le cose) e il lato compliance (come si dimostra che funzionano). Ho lavorato con PMI, multinazionali, istituti bancari, PA e forze dell’ordine. Non vendo prodotti: vendo giudizio.