fbpx

audit

  • Auditing

    Consulenza e Auding ISO27001,COBIT, GDPR

    Full outsourcing Auditing

    Il nostro servizio di Audit Aziendale ha come obiettivo permette al cliente di ottenere un miglioramento dell’efficacia e dell’efficienza dell’organizzazione limitando i rischi aziendali (rischi operativi, finanziari, normativi, di credito, ecc.)
    L'internal auditing rappresenta l’evoluzione delle tradizionali funzioni “ispettive”, un tempo dedicate unicamente ad azioni di conformità a normative e procedure, incomincia ad assumere un ruolo sempre più rilevante all'interno delle società e si appresta a diventare l’interlocutore principale degli organi aziendali di vertice su tematiche di corporate governance, gestione dei rischi e consulenza organizzativa.

    Il nostro studio può farsi carico della gestione completa, in outsourcing, dell'Auditing Aziendale o affiancare le strutture interne nello sviluppo di un team e/o di un piano periodico di controlli.

    Compito della funzione di Audit è d'integrare metodologie e strumenti per una efficace/efficiente azione di controllo a presidio del sistema di controllo interno aziendale in particolare:

    - Misurazione e gestione del rischio operativo.
    - Analisi delle relazioni processi/rischi/controlli per l’individuazione delle priorità di auditing e miglioramento dello sistema di controllo interno;

    L’approccio per processi consente alla funzione Interna Auditing di valutare l’adeguatezza e funzionalità del sistema di controllo interno a presidiare i rischi che possono intaccare e compromettere la capacità di raggiungimento degli obiettivi definiti; pertanto l’ambito di operatività della funzione Internal Auditing  comprende tutti i diversi processi aziendali;

    Le nostre Soluzioni prevedono:


    - Avvio della funzione d'Internal Audit
    - Full Outsourcing Audit 
    - Co-sourcing e Audit specialistici
    - Implementazione di strumenti informatici di Audit
    - IT Audit
    - Compliance Audit (231, 262, Sarbanes Oxley Act)
    - Quality Assessment Review

    contattci      preventivio
  • Due Diligence, Auditing & Compliance

    Consulenza e servizi di auditing aziendale e compliance odv

    Lo Studio Fiorenzi dal 2003 da anni segue le aziende nell' Auditing dei sistemi IT ai fini ISO 27001,  TUB,  Privacy  e dlgs 231 ai fini della certificazione del rispetto della normativa e della due diligence aziendale. Lo studio opera in collaborazione con aziende ed enti affiancando l'ODV, Organismo di Vigilanza, la Governance Aziendale o il Collegio dei Revisori, nella gestione del rischio e della compliance aziendale

    Di seguito le tipologie di servizi di Audit e Compliance che normalmente trattiamo.

    • Privacy &  GDPR
    • Responsabilità Amministrativa Dlgs 231 ODV
    • Adempimenti e-commerce
    • Tutela Copyright e Marchi
    • Auditing aziendale
    • Programma Azienda sicura

    L'Analisi del rischio condotta con le metodologie dell'audit tradizionale non è più adeguata ai tempi, vulnerability assessment, penetration test risk management sono concetti comuni a tutta la compliance, dal dlgs 231 al regolamento europeo, alla ISO 27001. 

    Sottoporre le strutture di Audit e la Governance aziendale permette di verificare se le procedure sono vissute realmente in azienda e sono in grado di gestire correttamente situazioni critiche come un data breach, ovvero se sono forensics readiness

    contattci      preventivio
  • I nostri clienti

    I nostri servizi coprono ambiti fortemente specialistici e fra loro collegati: Sicurezza, Compliance e Digital Forensics. Lavoriamo a stretto contatto con il cliente per comprendere al meglio i suoi desiderata per rispondere alle sue aspettative.
    La nostra esperienza, le competenze , la professionalità, la ricerca e aggiornamento continuo, nonché la disponibilità di un laboratorio con le migliori tecnologie, ci garantisce di fornire un risultato di primaria eccellenza in termini qualitativi e quantitativi.

    • Tribunale Civile e Penale: CTU del Giudice, Perito del PM, Perito del GIP
      • Copia e acquisizione forense di computer, smartphone, video, etc..
      • Estrazione dati da copie forensi e report
      • Relazione Tecnica/Peritale su quesiti del Giudice/PM/GIP
    • Polizia Giudiziaria : Ausiliario di PG
      • Copia e acquisizione forense di computer, smartphone, video, etc..
      • Estrazione dati da copie forensi e report
      • Relazione Tecnica/Peritale su quesiti del Giudice/PM/GIP
    • Curatori Fallimentari
      • Copia forense del materiale informatico su cui sono presenti i dati contabili ed eventuale asseverazione delle attività svolte
      • Generazione di ambiente di lavoro virtuale per l’estrazione e l’analisi dei dati contabili
      • Fraud Audit sui dati informatici per ricerca di attività illecite
      • Recupero dati contabili
    • Studi legali:
      • Consulenze tecniche in ambito, di diritto civile, penale, del lavoro amministrativo e tributario
      • Perizie e accertamenti tecnici su sistemi informatici, cellulari e server
      • Perizie su materiale informatico in uso a dipendenti per verifica di eventuali utilizzi illeciti
      • Affiancamento e supporto alle indagini difensive preventive, supporto all'azione legale
      • Affiancamento in udienza.
    • Consulenti del Lavoro e commercialisti
      • Copia forense materiale informatico oggetto di contestazione a dipendenti, fornitori, clienti
      • Perizie informatiche su:
        • condotte illecite dipendenti
        • uso illecito strumenti aziendali
        • cyber spionaggio
        • pratiche commerciali scorrette
        • frode aziendale
    •  Aziende:
      • Gestione degli incidenti informatici
      • Sviluppo e supporto a indagini interne del settore HR, legale, Compliance e Auditing tipicamente in casi di uso illecito dei sistemi aziendali, furto di dati aziendali e di materiale riservato, valutazione asset Informaticimateriali e immateriali, valutazione danneggiamenti informatici.
      • Estimo su prodotti informatici, server farm aziende IT
      • Consulente Tecnico di Parte
      • Perizie e accertamenti tecnici su sistemi informatici, cellulari e server
      • Analisi e ricerca software spia/controllo remoto
      • Adeguamento normativo
      • Analisi sicurezza
      • Bonifiche computer, server smartphone
      • Cancellazione dati
      • Recupero dati
      • Audit, adeguamento e consulenza Privacy e GDPR
      • DPO GDPR
      • Audit forense d.lgs. 231
      • Audi e consulenza ISO 27001
      • Tutela Proprietà intellettuale
    • Investigatori privati:
      • supporto in investigazioni privati, sia aziendali che private
      • indagini difensive preventive in ambito informatico
      • bonifiche computer, cellulari, server
      • perizie e indagini web
      • perizie e indagini OSINT
      • cyber bullismo
      • stalking
      • Tradimenti digitali
    • Assicurazioni:
      • Cristallizzazione materiale informatico oggetto di contestazione o di data breach
      • Accertamenti tecnici su materiale informatico cristallizzato
      • Estimo dei danni da danneggiamenti informatici e valutazione asset informatici
      • Perizie su materiale informatico o su incidenti informatici
      • Recupero dati
    • ODV: Organismi di Vigilanza d.lgs. 231
      • Audit forense rispetto disposti di legge e ODV
      • Copia forense materiale informatico oggetto di accertamento tecnico
      • Perizia informatica su accertamenti richiesti da ODV
    • Privati
      • Analisi materiale informatico per verifica falle di sicurezza (virus, spyware, keylogger, software/hardware di monitoraggio)
      • Cancellazione dati
      • Recupero dati
      • Copia forense computer smartphone pagine web
      • Perizia su chat, web, mail, smartphone
      • Diffamazione sul web o in chat
      • Stalking 
      • cyber bullismo
    contattci      preventivio
  • Operazioni Peritali ex art 360 in videoconferenza

    OOPP ex 360 cpp.. in videoconferenza al tempo del covid-19

    Con il lock down, il distanziamento sociale, mascherine e presidi di protezione individuale abbiamo scoperto un nuovo modo di lavorare, digitale, al passo con i tempi: lo Smart working o lavoro agile.
    Le professioni informatiche si prestano a questo nuovo contesto lavorativo, ma in alcune di esse c'è una certa resistenza al cambiamento e abitudine ad un certo modo di lavorare, quello analogico tradizionale.
    E' il caso delle Operazioni Peritali a cui un consulente è chiamato in veste di CT del PM o di CTP. Di norma, prima del covid, il CT PM convocava l'inizio delle Operazioni Peritali presso il suo studio e i CTP si presentavano da lui per assistere alle Operazioni non ripetibili. 


    Nonostante il lock down in questo periodo si sono comunque svolte delle OOPP in ex 360, non potendosi muovere, o meglio dovendo mantenere il distanziamento sociale, spesso si è preferito condividere una soluzione di collegamento remoto dei CTP al CT PM per seguire le OOPP. Abbiamo trasformato un problema, quello del lock down in una opportunità per sperimentare una nuova modalità di lavoro.

    Con le tecnologie attuali infatti oggi si può fare da remoto ciò che si faceva in presenza, con innegabili vantaggi come il risparmio di tempo per recarsi presso lo studio del CT PM ma anche la riduzione di costi per viaggi e pernottamento che il cliente del CTP può altro che apprezzare.

    Le OOP non ripetibili, ex art. 36 se effettuato in deve essere svolto tutti i presidi per garantire alla controparte di poter monitorare e controllare completamente l'operato del CT PM, esattamente come avverrebbe se fosse presso il suo studio .
    Come è possibile farlo? Le tecnologie abilitanti ci sono, ma non tutte sono adeguate, soprattutto per garantire un completo monitoraggio delle attività del CT del PM .

    Chiaramente l'ingrediente principale per svolgere un ex art. 360 da remoto è un sistema di web meeting o web conference che permetta di riunire in uno spazio virtuale più persone e condividere audio, video e desktop o programmi.
    Queste che riportiamo di seguito le caratteristiche fondamentali che una piattaforma dovrebbe avere per OOPP da remoto

    o Deve premettere la condivisione dei programmi usati e/o della workstation usata per l'esecuzione delle OOPP.
    o Deve permettere di inquadrare costantemente i reperto oggetto di OOPP, che si tratti di un cellulare, di una chiavetta usb o di un disco di un computer
    o Deve prevedere la possibilità di registrare tutta la sessione. E' infatti opportuno che la sessione OOPP remote venga registrata per intero
    o Deve operare su canali cifrati per garantire la massima sicurezza nelle comunicazioni
    o Deve prevedere un accesso Guest per far accedere i CTP senza doversi obbligatoriamente dotare di uno strumento piuttosto che di un altro
    o Deve prevedere la possibilità di gestire fino a qualche decina di utenti. Si pensi a OOPP su numerosi indagati, la prima sessione di OOPP in cui fornire un piano di attività certamente coinvolge tutti ed è facile doversi confrontare con la necessità di poter collegare fino a 20-30 CTP o anche di più
    o Deve essere una piattaforma usabile da il maggior numero di client, Windows, Linux, Mac, senza limitazioni di funzionalità per il client
    o Deve prevedere la condivisione video e audio ma anche la possibilità di effettuare chat come di scambiarsi eventualmente file.
    o Risoluzione Video:
     Le postazioni del CT del PM devono trasmettere la componente video perlomeno in HD per garantire una corretta visione e identificazioni dei supporti nonché delle funzioni selezionate sui programmi
     La piattaforma deve permettere flussi perlomeno flussi fra i partecipanti in HD


    La scelta dello strumento commerciale o open, di un brand o di un altro non è significativa, lo sono invece le funzionalità che abbiamo indicato perché queste mettono il CT PM nella condizione di condurre le attività con assoluta trasparenza e correttezza e i CTP nella condizione di verificare la corretta gestione delle OOPP e dei reperti. La piattaforma scelta deve permettere di collegare più utenti in web meeting, collegare e condividere la stazione di lavoro con in software usati, ma anche sistemi di videocamere che inquadrano le operazioni manuali svolte sui reperti. Ma allo stesso tempo deve poter inquadrare e condividere le operazioni che si svolgono al computer su quel reperto. Per garantire un'esperienza analoga a quella di persona.

    Per garantire tutte le parti, lo strumento scelto dal CT del PM dovrebbe poter registrare tutta la sessione di OOPP, che si tratti di una sessione di 1 ora piuttosto che di 24 ore, come può succedere in alcuni casi.

    Gli strumenti che personalmente ho testato per queste attività sono Cisco WebEx, Microsfot Teams, e Webconferencing Polycom. Questi strumenti rispondono ai requisiti e sono alla portata di tutti gli utenti professionali.

    L'utilizzo invece di strumenti come terminal server, zoom, Whatsapp web, Skype, Messenger, Teamviewer, Letmein etc.. Permetto la condivisione della stazione di lavoro ma non permettono simultaneamente ai CTP di controllare cosa accade nel frattempo ai reperti. Alcuni di questi non permettono la registrazione delle sessioni e, dato ancor più grave, spesso lasciano il controllo del pc del CT PM all'ospite con cui si condivide la sessione, col rischio che questo possa intervenire nelle operazioni all'insaputa del CT PM.

    In uno scenario come quello appena descritto l'esperienza di OOPP remote è molto vicina all'esperienza frontale ma con paradigmi nuovi. La chiusura delle OOPP può avvenire come al solito con la scrittura e sottoscrizione, in questo caso con firma digitale, di un verbale OOPP a cui allegare l'hash della registrazione della sessione video.

     

     

    contattci      preventivio
  • PWC: crescono i crimini informatici +38%, Nel 34% dei casi gli autori sono impiegati delle aziende, nel 29% ex dipendenti.

    pwc security incident dipendenti infedeli

    Cresce del 38% il numero di attacchi informatici rilevati nell'ultimo anno; gli autori dei crimini informatici sono nel 34% dei casi gli impiegati interni alle aziende, nel 22% dei casi i business partner. In aumento anche i furti di proprietà intellettuale, +56% a livello mondiale e +108% in Italia, questi i dati del report PWC
    Lo scenario delineato dal  report Pwc " Global State of Information Security® Survey 2016" tratteggia una escaletion del cybercrime senza precedenti. Aumentano gli attacchi, sempre più mirati verso le aziende,  ma aumenta anche la sensibilità di queste che per la prima volta da molti anni, incrementano significativamente  i budget in sicurezza informatica: +24% nel mondo, +66% in Italia. Un cambio di passo importante, che se confermato dai dati reali rappresenterebbe una rottura con il passato e l'avvio di una fase nuova, un rinsacimento digitale delle aziende.  Spesso però queeste scelte sono dettate  dai costi degli attacchi, in media, ogni attacco può costare alle imprese circa 2,5 milioni di dollari di danni; inutile sottolinare che è necessario e più utile per le aziende prevenire piuttosto che curare.
    Nel 34% dei casi gli autori dei crimini informatici sono impiegati all’interno delle aziende, nel 29% si tratta di ex dipendenti, nel 22% di business partner su cui spesso sono esternalizzate specifiche attività. Questo a confemra che il cyber espionage sta prendendo sempre più campo anche nel nostro paese. Il problema è , che le aziende, nella maggior parte dei casi, non sono in grado di rilevare tempestivamente la sottrazione di progetti o informazioni riservate; la talpa rimane silente in azienda per molti mesi fino a quando dedice di uscire dall'azienda o commette errori macroscopici che lo fanno venire a galla.  Il JobAct Italiano conferisce alle aziende maggiori poteri di controllo sui dispositivi assegnti alle proprie risorse. Poteri che se usati correttamente mediante l'uso di strumenti di monitoring di specifici eventi e lo sviluppo sistematico di  forensics audit di sistemi e/o posti di lavoro, può rivelare tempestivamente un tentativo di spionaggio o di sottrazione di inforamazioni,  cristallizzandone i contenuti seondo pratiche forensi, per poter mettere l'azienda nelle condizioni di tutelarsi dall'infedeltà aziendale piuttosto che dallo spionaggio industriale.

    https://www.pwc.com/it/it/press-room/assets/docs/pressrls-gsiss-2016.pdf
    http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html
     
  • Security Management

    Consulenza in security-management

    La nostra consulenza in tema di Security Management permette di misurare il livello corrente di sicurezza informatica, valutare il livello di rischio e il modello target da raggiungere predisponendo tutte le soluzione tecniche e organizzative

    Il primo passo per implementare una gestione della sicurezza IT è il suo monitoraggio che passa necessariamente per un processo di periodico Security Assessment volto a identificare le problematiche più significative per potervi porre rimedio tempestivamente

    I  passi o successivi sono costituiti dall'implementazione delle Policy aziendali in ottica di sicurezza, dalla progettazione di soluzioni di sicurezza ove manchino, dalla gestione degli strumenti di sicurezza.

    Identificare, valutare, gestire sono le fasi chiave della gestione della sicurezza in azienda

    Normalmente lo studio aiuta a formare un Team interno che affianca nella gestione quotidiana o nella fase di anali e di progettazione


    Lo Studio svolge in outsourcing completo o in co-sourcing attività di Security Management finalizzata alla verifica del grado di sviluppo della sicurezza aziendale attraverso l'analisi delle tecniche e delle metodologie d'individuazione, misurazione, monitoraggio e gestione dei rischi stessi.

    contattci      preventivio
Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.