-
CyberSeal -marchio di qualità
Il CyberSeal conferma che un fornitore di servizi IT implementa misure tecniche e organizzative adeguate per garantire ai propri clienti una protezione adeguata contro i rischi cibernetici. Il CyberSeal contribuisce ad aumentare la resilienza informatica delle PMI svizzere.
Per chi è adatto il marchio di qualità svizzero CyberSeal?
I fornitori di servizi IT con sede legale e base clienti in Svizzera possono ottenere il CyberSeal se si assumono la responsabilità totale o parziale della configurazione e del funzionamento dell'IT e/o configurano e forniscono soluzioni cloud (ad esempio Microsoft 365) per conto di clienti PMI.
CyberSeal
Valore aggiunto per il fornitore di servizi IT

- Riduzione dei rischi di implementazione, operativi e di sicurezza

Sensibilizzazione alla criminalità cibernetica e creazione di un linguaggio comunee

L'adempimento dei requisiti minimi di sicurezza informatica crea fiducia

Migliore posizione di mercato e vantaggi nei contratti assicurativi
Valore aggiunto per il cliente finale

Riduzione dei rischi legati ai cyberattacchi

Meno incidenti, risoluzione più rapida e costi più bassi in caso di incidente

Il marchio di qualità indipendente semplifica la scelta del fornitore di servizi IT

Maggiore attenzione al core business
Il processo di audit CyberSeal
La procedura prevede un ciclo di tre anni. Nel primo anno, viene effettuato un audit CyberSeal completo. Nel secondo e terzo anno, un audit di manutenzione funge da controllo di qualità. Nel quarto anno, il processo viene ripetuto con un audit completo.
(1) Interesse
In caso di interesse, il fornitore di servizi IT si registra tramite un modulo. Riceve l'attuale lista di controllo CyberSeal. Viene fissato un appuntamento per la revisione.
(2) Autodichiarazione
Il fornitore di servizi IT è tenuto a compilare e presentare un'autodichiarazione di tutti i punti della lista di controllo in base alle circostanze.
(3) Audit
L'auditor verifica i punti di controllo durante l'intervista e presso la console. Si occupa delle domande contrassegnate con l'autodichiarazione solo in caso di necessità di chiarimento.
(4) Feedback
Se non si verificano deviazioni di rilievo, il certificato di approvazione viene consegnato insieme al rapporto di audit.
(5) Attuazione
Le misure per correggere le divergenze ed elaborare le osservazioni devono essere attuate entro un anno. Questo viene verificato nell'audit di manutenzione.
(6) Manutenzione
Nel secondo e terzo anno dopo l'audit, viene effettuato un audit di mantenimento tramite autodichiarazione. La lista di controllo deve essere presentata aggiornata. L'auditor controlla le informazioni e discute telefonicamente eventuali modifiche agli standard.
CyberSeal - Contenuto dello standard
I fornitori di servizi IT hanno un impatto diretto sulla resilienza cibernetica delle PMI. È quindi indispensabile che i fornitori di servizi IT dimostrino di possedere competenze di base nelle seguenti aree:
-
Organizzazione: ad esempio, documentazione, suddivisione dei compiti, formazione
-
Tecnologia: ad esempio, protezione dei dati, autorizzazioni, backup
-
Processo: ad esempio, gestione delle modifiche e degli incidenti, monitoraggio
I punti di controllo e i processi di audit dettagliati si basano sul valido manuale di audit CyberSeal di Alleanza Sicurezza Digitale Svizzera.

Documenti importanti in sintesi
I requisiti di audit di CyberSeal vengono rivisti annualmente e confrontati con le nuove situazioni di minaccia. I seguenti documenti fanno parte dello standard CyberSeal e devono essere consegnati al momento della registrazione per l'audit

Rapporto di audit CyberSeal
Il rapporto descrive i risultati dell'audit superato o meno. Il rapporto identifica le non conformità maggiori e minori, nonché note e raccomandazioni per il miglioramento della cibersicurezza.

Lista di controllo Cyberseal
Questa è la lista di controllo completa con le domande specifiche per condurre l'audit CyberSeal. Dopo l'audit, il rapporto di audit viene rilasciato insieme alla lista di controllo compilata.
Gestione di divergenze, indicazioni e raccomandazioni
Non conformità importante, che impedisce l'attribuzione del marchio CyberSeal
Se un requisito del manuale di audit non è soddisfatto per una voce della lista di controllo contrassegnata con priorità uno, ciò comporta una non conformità maggiore.
Gestione delle non conformità maggiori
Il fornitore di servizi IT ha 3 mesi di tempo per correggere la non conformità maggiore. Dopo la scadenza del termine, il revisore valuta la rettifica. Per questa revisione sono previsti costi aggiuntivi di 500 franchi svizzeri. Se la non conformità maggiore non è sufficientemente risolta, non viene rilasciato alcun CyberSeal e il processo deve essere riavviato.
Differenza minore
Se un requisito è soddisfatto solo parzialmente per un elemento della lista di controllo contrassegnato con priorità uno, ciò comporta una divergenza minore.
Gestire le differenze minori
La differenza minore deve essere gestita dal fornitore di servizi IT fino al successivo audit di manutenzione. Poi la divergenza sarà sottoposta a un audit. Deve essere stato apportato un miglioramento chiaramente identificabile. L'incompleto soddisfacimento del requisito può essere dichiarato nuovamente come divergenza minore per il successivo audit/controllo di manutenzione.
Note e raccomandazioni
Le note sono risultati dell'auditor che possono contribuire a migliorare la sicurezza informatica del fornitore di servizi IT e dei suoi clienti.
Il fornitore di servizi IT decide autonomamente se e come implementare le note. Il revisore discuterà l'implementazione nel prossimo audit di manutenzione.
Cosa viene testato
La lista di controllo CyberSeal definisce i requisiti per il fornitore di servizi IT e costituisce lo standard definito per il marchio di approvazione. Le specifiche precise mirano a promuovere l'uniformità dell'audit. Il revisore ottiene un quadro iniziale sulla base di una dichiarazione del fornitore di servizi IT che utilizza la lista di controllo attuale. La lista di controllo è suddivisa nei seguenti capitoli (le domande non sono tassative):
01 Divisione dei compiti tra cliente e fornitore di servizi IT
È stato definito con precisione quali compiti sono di responsabilità del fornitore di servizi e quali compiti vengono assunti internamente dalla PMI?
02 Gestione dell'accesso all'infrastruttura del cliente
Chi ha accesso ai sistemi del cliente e quando? Viene comunicato in modo trasparente al cliente come viene gestito l'accesso? In che misura i sistemi del cliente sono protetti dall'accesso esterno?
03 Documentazione
Viene mantenuta una documentazione generale dei componenti gestiti e può essere inviata al cliente su richiesta?
04 Dati di accesso e autorizzazioni
Sono stati istituiti processi e strumenti per registrare e gestire in modo tracciabile le modifiche ai dati di accesso e renderle accessibili in caso di emergenza?
05 Progettazione della rete
Le reti per le diverse aree di lavoro presso i clienti e il fornitore di servizi IT sono separate in modo sensato (ad esempio, rete dell'ufficio, produzione, area per gli ospiti)?
06 Firewall
Le regole del firewall sono comprensibili e chiare? Le regole del firewall sono sufficientemente restrittive?
07 WLAN
La WLAN del cliente e del fornitore di servizi IT è protetta da password sicure? Esistono punti di accesso WLAN separati per i dipendenti e per gli ospiti?
08 Progettazione della Directory Active
Tutti i permessi sono gestiti in modo sicuro e trasparente? Le autorizzazioni amministrative sono limitate?
09 Rafforzamento dei componenti IT
È stato definito un processo più sicuro per il rafforzamento dei sistemi?
10 Sistema di posta elettronica
L'infrastruttura di posta del cliente e del fornitore di servizi IT è adeguatamente protetta da malware e spam?
11 Gestione delle interconnessioni
Esiste un processo sicuro per l'applicazione tempestiva delle interconessioni a tutti i sistemi gestiti?
12 Dispositivi mobili
Esistono linee guida per la gestione dei dispositivi mobili, l'accesso ai dati aziendali è sufficientemente limitato e i dati sono sufficientemente protetti?
13 Homeoffice
Come viene garantito l'accesso sicuro ai dati e ai sistemi aziendali dal proprio domicilio?
14 Protezione contro il malware
Tutti i sistemi IT rilevanti per la sicurezza sono dotati di una protezione contro il malware aggiornata o, se ciò non è possibile, sono isolati dalla rete?
15 Backup
Esiste un processo sicuro per la creazione dei backup? Questo processo viene eseguito regolarmente? I backup sono conservati in modo sicuro e controllati regolarmente?
16 Gestione delle modifiche / Gestione degli incidenti
Le modifiche e i guasti ai sistemi sono registrati in modo tracciabile?
17 Registrazione
I protocolli di accesso ai sistemi del cliente con le registrazioni degli accessi del fornitore di servizi IT e dei guasti all'hardware sono creati e conservati in modo appropriato?
18 Monitoraggio
I principali sistemi del cliente sono monitorati dal fornitore di servizi IT?
19 Smaltimento del supporto dei dati
Esiste un processo sicuro per lo smaltimento del supporto dei dati che viene seguito?
20 Servizi di parti terze
Il fornitore di servizi IT può garantire la sicurezza dei servizi di terzi?
21 Vulnerabilità del cliente
Le vulnerabilità dell'infrastruttura IT del cliente sono comunicate in modo trasparente?
22 Formazione e aggiornamento professionale
Il fornitore di servizi IT offre ai suoi dipendenti e a quelli dei suoi clienti una formazione regolare sul tema della sicurezza?
23 Concetto di emergenza
Esiste un concetto di emergenza aggiornato e testato? Il fornitore di servizi IT offre ai propri clienti assistenza nella stesura di un piano di emergenza?
24 Date di scadenza
Le date di scadenza dei componenti IT (licenze, certificati, componenti hardware, ecc.) sono monitorate e il cliente ne è informato?
25 Sicurezza fisica
L'accesso ai locali del fornitore di servizi informatici e alle sale computer è ragionevolmente protetto e monitorato? I dispositivi sono sufficientemente protetti da fattori esterni (ad es. interruzione di corrente)?
26 Gestione del rischio informatico
I rischi sono stati identificati, concordati con i clienti e mitigati con misure appropriate ( prevenzione, contenimento, trasferimento) fino a renderli inammissibili?
I costi
Audit Cyber-seal
Fornitore di servizi IT certificato
- Audit completo nel primo anno presso la sede del cliente
- Lista di controllo CyberSeal compatta
- Documentazione dettagliata dei risultati
- Elenco dei punti deboli e delle raccomandazioni
- Audit di manutenzione incluso nei primi due anni
Rilascio del marchio di approvazione CyberSeal da parte di Alleanza Sicurezza Digitale Svizzera
Audit sulla manutenzione
- Richiesta di audit di manutenzione nel secondo e terzo anno
- Revisione di un'ora (online o per telefono) dei progressi compiuti rispetto all'autodichiarazione e alle minacce attuali.
- Aggiornamento sui rischi informatici attuali
- Revisione dell'autodichiarazione
Mantenimento del marchio di approvazione CyberSeal