Il cliente è un’azienda ICT in ambito sanitario che crea e gestisce progetti complessi per i settori HealthCare e Corporate fornendo ai propri clienti soluzioni di marketing medico e formazione medica. L’azienda offre servizi all'avanguardia in ambienti multimediali, integrando i servizi di comunicazione più efficaci per l'area clinica e opera con tecnologie all'avanguardia che si integrano con sistemi mobili iOS e Android, tecnologie touch e immersive.
L’obiettivo primario del nostro servizio di cybersecurity per aziende sanitarie è stato anche in questo caso quello di raggiungere l’adeguamento alle normative di sicurezza informatica, al fine di garantire il rispetto degli stringenti requisiti di sicurezza a protezione dei dati trattati.
In seguito ai servizi di cyber security svolti dal nostro team, il cliente ha potuto raggiungere i seguenti risultati:
✓ Ottenimento della certificazione ISO 27001.
✓ Verifica della qualità del software venduto in termini di sicurezza e rafforzamento dello stesso.
✓ Completamento del processo di qualifica fornitori da parte di importanti clienti.
✓ Capacità di partecipare a gare di appalto di clienti importanti.
✓ Possibilità di vendere software per le pubbliche amministrazioni.
Prenota una call per richiedere una consulenza personalizzata.
Prenota una callCo-Founder e Co-CEO
I servizi erogati per far fronte alle esigenze del cliente sono stati quelli di Security Assessment e di Security Governance.
Il servizio di Security Assessment, declinato in questo caso come Vulnerability Assessment, è nato proprio dall’esigenza del cliente di qualificare i propri fornitori.
Come spesso accade, viene chiesto alle aziende sanitarie di ingaggiare fornitori digitali in grado di rispettare determinati requisiti di sicurezza. Si noti che, se prima del 2023 queste richieste venivano considerate come un plus nel processo di qualifica del fornitore, oggi tale obbligo viene formalizzato all’interno della normativa NIS 2. Tra questi obblighi, specialmente quando si tratta di vendita di piattaforme o software, c’è quello di garantire un’adeguata gestione della sicurezza, anche mediante lo svolgimento di attività di Vulnerability Assessment periodici.
Abbiamo quindi assistito il cliente nell’erogazione del servizio di verifica delle vulnerabilità sulla piattaforma in oggetto che si occupava, tra le altre cose, anche della gestione dei dati associati alle cartelle sanitarie.
A seguito del servizio erogato dal team Soter, l’azienda cliente ha ricevuto un report che gli ha concesso da una parte di migliorare la sicurezza dell’applicazione, dall’altro di fornire un’evidenza per il cliente e completare con successo e senza pensieri il processo di qualifica relativa alla parte di sicurezza.
Una volta identificate le vulnerabilità dei sistemi, abbiamo poi attivato il servizio di Security Governance. Il cliente aveva già iniziato il percorso di certificazione ISO 27001 legato al sistema di gestione della cyber security. Il percorso richiede la messa a terra di differenti processi per garantire la sicurezza delle informazioni gestite in azienda ed è altamente customizzata.
L’obiettivo primario del nostro intervento è stato quello di creare un processo di sviluppo sicuro, in modo da garantire la sicurezza digitale per tutte le applicazioni prodotte dal cliente. Questo avrebbe da una parte coperto le richieste della 27001 e dell’altra avrebbe creato un processo in grado di soddisfare le richieste di qualifica di eventuali altri fornitori.
Un secondo obiettivo era inoltre quello di costruire un processo di sviluppo sicuro in grado di recepire i requisiti di sicurezza posti dall’agenzia AgID. L’agenzia per l’Italia digitale ha infatti definito delle linee guida di sviluppo sicuro che devono essere rispettate per vendere software alle pubbliche amministrazioni, Il mancato rispetto delle linee guida implica l’impossibilità di vendere i propri software.
Abbiamo quindi creato due processi principali: da una parte il processo di sviluppo sicuro con il rispetto di tutti i requisiti sopra elencati, dall’altra un processo di gestione delle vulnerabilità, complementare a quello di sviluppo, in grado di rilevare correggere e mitigare eventuali criticità riscontrate fase di sviluppo o di produzione della soluzione venduta.
Vuoi prevenire attacchi informatici nella tua azienda e garantire un'infrastruttura protetta ai tuoi clienti? Contattaci per valutare la sicurezza dei sistemi informatici del tuo business.