Ho letto e accetto l’Informativa sulla Privacy.
Autorizzo il trattamento dei miei dati per fini informativi e promozionali.
Auditing
Verifiche mirate per controllo, conformità e miglioramento
Audit
OT, ICS, SCADA
e Data Center
I sistemi Operational Technology, i data center e le infrastrutture critiche sono gli asset più esposti e meno presidiati. La maggior parte dei consulenti ISO non ha mai visto un PLC, non sa cosa sia un rack PDU ridondato o un cooling system N+1. I nostri auditor operano quotidianamente in questi ambienti.
Cosa ci distingue
La maggior parte degli auditor conosce le norme ma non conosce la vostra organizzazione, i vostri sistemi IT e tanto meno i vostri impianti OT, la vostra infrastruttura cloud o i vostri data center. Il risultato è un report che soddisfa il requisito documentale ma non misura il rischio reale. Noi facciamo diversamente: partiamo dal vostro contesto.
Esperienze
ISO/IEC 27001 – SGSI
Framework centrale per la sicurezza delle informazioni: copre l’intero ciclo SGSI (contesto, risk assessment, controlli Annex A, audit e riesame direzionale) garantendo governance e miglioramento continuo.
ISO/IEC 27002 – Controlli di sicurezza
Catalogo operativo dei 93 controlli: analizziamo l’effettiva implementazione tecnica e organizzativa, andando oltre la semplice conformità documentale.
ISO/IEC 27017 – Sicurezza cloud
Estensione della 27001 per ambienti cloud: definisce controlli specifici per provider e clienti (AWS, Azure, GCP), essenziale per infrastrutture e servizi SaaS critici.
ISO/IEC 27018 – Protezione PII nel cloud
Standard per la tutela dei dati personali nei servizi cloud: supporta la compliance GDPR verificando responsabilità di provider e titolari del trattamento.
ISO/IEC 27019 – Settore energetico
Estensione della 27001 per infrastrutture energetiche: integra requisiti specifici per sistemi di controllo industriale e ambienti critici del settore energy.
IEC 62443 – Sicurezza OT/ICS/SCADA
Framework di riferimento per la cybersecurity industriale: copre PLC, DCS, HMI e protocolli OT, con focus su segmentazione, zone e architetture sicure.
ISO 22301 – Business Continuity (BCMS)
Sistema per garantire continuità operativa: valutiamo BIA, RTO/RPO e piani di recovery, assicurando resilienza reale integrata con la sicurezza informatica.
ISO/IEC 22237 – Data Center
Norma per progettazione e gestione dei data center: analizza disponibilità, ridondanza, alimentazione, raffreddamento e sicurezza fisica dell’infrastruttura.
ANSI/TIA-942 – Tier Data Center
Standard che definisce i livelli Tier I–IV: verifichiamo la conformità di ridondanza, connettività e resilienza rispetto al livello dichiarato o target.
ISO/IEC 25000 – Qualità software (SQuaRE)
Framework per la qualità del software: valuta requisiti, metriche e prestazioni su 8 caratteristiche chiave, dalla sicurezza alla manutenibilità.
SOC 2 Type 2 – Controlli operativi
Attestazione sull’efficacia dei controlli nel tempo: verifica su almeno 6 mesi i Trust Service Criteria (security, availability, integrity, confidentiality, privacy).
ISO 9001 – Sistema Qualità (SGQ)
Framework per la gestione della qualità: garantisce processi strutturati e integrati con il SGSI, riducendo inefficienze e incoerenze operative.
ISO/IEC 42001 – AI Management (AIMS)
Standard per la governance dell’AI: copre rischio algoritmico, trasparenza, accountability e impatti GDPR, integrandosi con 27001 e SOC 2 per controllo end-to-end.
eIDAS - Trust Service Provider
Standar per le organizzazioni operanti nei servizi fiduciari digitali
Competenze
e
Qualifiche
Audit personalizzati
4 Fasi, Zero sorprese
1- Kick-off e mappatura del contesto
Comprendiamo il vostro business, i processi critici, la topologia IT/OT, le infrastrutture cloud e data center prima di aprire qualsiasi norma.
2- Gap Analysis strutturata
Valutiamo lo scarto tra la situazione attuale e i requisiti normativi con evidenze concrete. Ogni gap è documentato con priorità e impatto reale sul business.
3- Report tecnico + executive
Due livelli di lettura: report tecnico per chi implementa ed executive summary per il board. Nessun documento da 200 pagine incomprensibile.
4- Piano di rimedio prioritizzato
Non ci fermiamo al gap: vi diciamo cosa correggere prima, in quanto tempo e con quale investimento stimato. Il report è un piano d’azione.