-
Transactional advisory services
Supportiamo i nostri clienti a completare processi di acquisizione, vendita ed in generale di trasformazione
-
Valuations
Il nostro team valutazioni fornisce un supporto essenziale in caso di strutturazione di operazioni straordinarie, transazioni e contenziosi.
-
Merger and acquisition
Lavoriamo con imprenditori e manager di aziende del mid market aiutando loro ad affrontare qualsiasi tipo di operazione straordinaria
-
Forensic and investigation
Le imprese devono sapersi adattare a gestire indagini, contenziosi e risoluzioni di conflitti a livello multigiurisdizionale e ad affrontare la minaccia di attacchi informatici, proteggendo nel contempo il valore dell’organizzazione
-
Recovery & reorganisation
Assistiamo le imprese nell’individuazione di performance insoddisfacenti ed elaborare soluzioni attuabili che massimizzino il valore e consentano una ristrutturazione sostenibile.
-
Business risk services
Supportiamo le imprese nella gestione del rischio, nella prevenzione e nella gestione delle situazioni di incertezza al fine di minimizzare gli effetti negativi
-
Business consulting
Aiutiamo le imprese a governare processi ed evoluzioni ed il conseguente impatto sul business e l’organizzazione aziendale
-
Capital Market
Accompagniamo le imprese nella creazione di un percorso di eccellenza, supportandone la crescita e lo sviluppo tramite l’apertura del capitale
-
Business tax services
Offriamo assistenza e consulenza fiscale ordinaria in materia di imposte dirette e indirette e può supportarvi nella gestione degli aspetti contabili
-
Direct international tax
Supportiamo i gruppi, italiani ed esteri, in tutte le fasi in cui si articola il processo di internazionalizzazione dell’impresa
-
Global mobility services
Il nostro approccio alla global mobility garantisce soluzioni all’avanguardia in conformità con i vari adempimenti
-
Indirect international tax
Forniamo un’assistenza completa, in tema di imposte indirette, per l’implementazione delle strategie commerciali internazionali
-
Transfer pricing
La gestione proattiva dei prezzi di trasferimento ha come obiettivo la gestione del rischio fiscale, secondo le diverse possibili gradazioni
-
Litigation
Supportiamo le aziende nella gestione del rapporto con l’Amministrazione Finanziaria e nel contenzioso
-
Family business
Offriamo una consulenza su tutti gli aspetti riguardanti la pianificazione successoria e nel processo del passaggio generazionale
-
Legal
Grazie alla nostra esperienza e professionalità possiamo assistervi in ogni fase, sia essa stragiudiziale o giudiziale
-
Back office outsourcing
Assistiamo le imprese nella tenuta della contabilità, negli adempimenti relativi al payroll e alle dichiarazioni fiscali
-
Business process outsourcing
I nostri professionisti condurranno un'analisi della vostra organizzazione, fornendo una valutazione approfondita dei punti di forza e delle criticità
-
Compilation of Financial Statements
Grazie al nostro approccio proattivo e attento vi aiuteremo a fornire documenti chiari e accurati ai vostri stakeholders, sia nazionali che stranieri
-
Tax compliance
Offriamo servizi specialistici ad elevato valore aggiunto, impossibili da gestire internamente con la medesima efficienza e convenienza
-
Fatturazione elettronica
Assistiamo le imprese nelle differenti fasi necessarie all’implementazione della Fatturazione Elettronica, identificando le soluzioni più aderenti alle specifiche realtà
-
Conservazione sostitutiva
La conservazione sostitutiva è una procedura di archiviazione che garantisce la validità legale di un documento informatico conservato digitalmente
-
Rivalutazione beni d'impresa
Offriamo assistenza preliminare per il calcolo del beneficio fiscale teorico
-
Human resources consulting
Possiamo gestire l’intero processo HR o alcuni singoli aspetti della vostra strategia
-
Payroll
Gestiamo gli adempimenti per vostro conto, consentendovi di concentrare la vostra attenzione sulla crescita della vostra impresa
-
Portale HR
Consulta i tuoi cedolini accedi al portale HR con le tue credenziali
-
Lavoro e Notizie
Le circolari informative mensili realizzate dai professionisti di Leoni & Partners, per restare aggiornato sulle ultime novità relative al mondo human resources
-
Cybersecurity
GT Digital aiuta i propri clienti a strutturare le funzioni interne di information security management, anche attraverso outsourcing parziali o totali
-
Agile and Programme Management
GT Digital fornisce il supporto nell'adozione e nell'implementazione di diverse metodologie di portfolio management
-
Robotic Process Automation
La nostra “BOT Farm” è dotata di digital workers in grado di aiutare i nostri clienti nelle attività ripetitive
-
Data strategy and management
GT Digital può supportare i propri clienti nello sfruttamento delle potenzialità dei Big Data, dalla definizione delle strategie all’implementazione dei sistemi
-
Enterprise Resource Planning
Supportiamo i nostri clienti nella selezione del Sistema ERP più adeguato alle loro esigenze, aiutando anche la comprensione dei modelli di licensing
-
IT strategy
GT Digital aiuta i propri clienti nelle scelte strategiche, li supporta ad individuare opportunità di innovazione, li aiuta a confrontarsi con i competitor
-
IT service management
Possiamo supportare la software selection, l’implementazione e l’adozione di strumenti dedicati alla gestione dei processi dell’ICT dedicati
-
DORA e NIS 2
L’entrata in vigore del DORA e di NIS2 rappresenta un passo significativo verso l’uniformità nella gestione della cybersecurity nel settore finanziario e non solo
I primati sono comparsi sulla Terra probabilmente 55 milioni di anni fa. I primi ominidi sono comparsi circa sei milioni di anni fa e l’uomo (homo abilis) 2 milioni di anni fa, anche se le forme umane più evolute sono più recenti: l’homo di Neanderthal, comparso 400.000 anni fa, e l’homo Sapiens, comparso 200.000 anni fa.
Quest’ultimo inizia a parlare e ad usare oggetti circa 150.000 anni fa e circa 140.000 anni fa inizia a fare del commercio, anche a distanza. 70.000 anni fa inizia ad uscire dall’Africa e a colonizzare l’Asia, l’Australia e l’Europa. 50.000 anni fa l’evoluzione dell’uomo inizia a prendere una connotazione moderna, si sviluppano tecniche di caccia, nasce l’abbigliamento, si sviluppa il culto dei morti, eccetera. Il primo scritto è di 5.000 anni fa.
L’uomo sviluppa utensili, si avvale dei metalli e segue una lenta evoluzione che lo porta nel corso degli anni fino alla prima rivoluzione industriale (intorno al 1.700 d.C.), di natura prevalentemente tessile-metallurgica, e quindi alla seconda rivoluzione industriale, datata 1870 d.C., ovvero (solo) 151 anni fa, con l’introduzione dell’elettricità, dei prodotti chimici e del petrolio.
Da questo momento l’evoluzione accelera. Il primo calcolatore elettromeccanico è stato, probabilmente, la cosiddetta “Bomba” polacca, progettato e realizzato dal matematico Marian Rejewski nel 1938. Vi furono diverse realizzazioni in quel periodo, ad esempio lo Z1 di Korrad Zuse, il primo basato su metodo binario, e le evoluzioni della Bomba realizzate da Alan Turing e Max Newman nel 1942. I più considerano proprio quest’ultimo il primo computer moderno, realizzato appunto 79 anni fa, altri invece lasciano questo primato all’ENIAC, che è sicuramente il progenitore del primo computer ad uso commerciale, l’UNIVAC.
Siamo nel 1951. Inizia la simbiosi uomo-macchina e nel 1960 circolano già 6.000 computers che saliranno a 20.000 nel 1964 e addirittura a 63.000 nel 1969, 52 anni fa. Oggi non siamo in grado di dire quanti computer sono in circolazione, se consideriamo la convergenza degli stessi con gli altri apparati, telefoni, televisori, aspirapolveri, auto, impianti industriali, eccetera.
Il primo personal computer viene messo in commercio da Olivetti nel 1975, anno in cui nasce Microsoft. Apple nasce l’anno successivo e porta il personal computer anche nelle case, nasce infatti l’home computer. L’evoluzione dell’informatica inizia a correre.
Tanto per sollevare qualche ricordo ai nostalgici, fino agli anni ’70 l’input ai computer era dato per mezzo di schede perforate. I dischi magnetici sono stati introdotti nel 1972, prima i floppy da 8 pollici, poi quelli da 5.25 pollici ed infine quelli più evoluti da 3.5 pollici. Oggi i floppy non esistono più (e non si usano più nemmeno i più recenti CDROM).
Parallelamente si evolve anche la storia delle reti di computer. Partendo da una rete con scopi militari, prima, e collegata anche alle università poi, nasce nel 1969 ARPANET, che diventa Internet nel 1980 e arriva in Italia nel 1986. Nel 1991, 30 anni fa, nasce il World Wide Web. Fino a questo momento la focalizzazione dei ricercatori è sul funzionamento dei sistemi. Il clima di collaborazione tra colleghi universitari non facilita lo sviluppo della sicurezza delle informazioni.
Spostandoci in ambito applicativo i primi sistemi ERP vengono fatti risalire agli anni ’90, Amazon nasce nel 1995, Facebook nel 2004 e Whatsapp nel 2009. La storia recente la conosciamo tutti. Il funzionamento delle aziende è supportato dai sistemi informatici e ne è dipendente. I sistemi aziendali sono collegati a quelli di clienti e fornitori, spesso sono anche esposti su Internet.
E la sicurezza informatica? Ripercorrendo la storia dell’umanità, la sicurezza in generale è sempre stato un fattore determinante nelle popolazioni che in base ai rischi provvedevano alle opportune misure di difesa, recinti e fuochi per gli animali, fortificazioni e armi contro i nemici, selezione del luogo in cui erigere i villaggi per gli eventi naturali, eccetera. Al manifestarsi dei rischi l’uomo è naturalmente predisposto a sviluppare sistemi di protezione.
Per quanto riguarda i sistemi informatici, invece, ci sono stati diversi fattori che non hanno favorito l’evoluzione della sicurezza informatica, un primo fattore è stata la celerità, come già ben evidenziato, dell’evoluzione dei sistemi, un secondo fattore è lo spirito di collaborazione tra tecnici per lo sviluppo dei sistemi ed infine il numero estremamente ridotto di attacchi individuati, almeno fino al 2000.
Infatti, fino ad allora gli interessi dei malviventi nei reati informatici, stante anche lo stato dell’evoluzione dei sistemi, non erano elevati. Gli hacker erano infatti esperti informatici che violavano e si introducevano nei sistemi spesso per sfida o per goliardia (lo stesso termine “hacker” significa esperto in informatica, non pirata informatico). L’assenza di attaccanti, o per lo meno la percezione dell’assenza di attaccanti, non ha favorito lo sviluppo di sistemi di protezione e nemmeno della cultura della protezione.
Negli ultimi due decenni, tuttavia, la malavita si è accorta della ricchezza potenziale della criminalità informatica. Sono nate reti criminali che hanno investito sui reati informatici, sono nate aste di compre-vendita di servizi di pirateria. Oggi vi è la possibilità, anche con relativamente poca esperienza, di noleggiare il software per fare un attacco e anche di usufruire di servizi di negoziazione e di incasso di criptovalute. Vi è una rete specializzata in ogni servizio malevolo. Sul dark web, area non indicizzata di Internet, è possibile acquistare tutto ciò che serve per un attacco.
Tanto per citare qualche statistica a livello mondiale gli attacchi di malware nel 2018 sono stati oltre 800 milioni contro i 12 milioni del 2009 (cfr. purplesec.us). Una delle minacce attuali più gravi è costituita dai ransomware. Questi sono malware che impediscono l’accesso ai propri file, utilizzando tecniche di cifratura. Tipicamente l’attaccante chiede un riscatto per rilasciare la chiave di decifratura. Alcuni attacchi sono generalizzati, ovvero diretti alla popolazione, ed i riscatti sono di bassa entità (business malevolo basato su bassi importi per alti volumi).
Questo genere di attacchi provoca normalmente pochi danni, o danni a realtà commerciali piccole. Altri attacchi sono mirati, ovvero indirizzati verso realtà individuate attraverso un vero e proprio processo di targeting (alti fatturati, buone posizioni economiche, buona disponibilità di cassa). Negli attacchi mirati i criminali si prendono il tempo di studiare il target, di minare le contromisure più efficaci (ad esempio i backup) e di sferrare attacchi contemporanei a tutti i sistemi nevralgici.
La vittima, che pensava di essere ben protetta, spesso dopo l’attacco scopre di aver avuto delle vulnerabilità. Del resto, basta un anello debole nella catena da rendere inutile quest’ultima, oltre al ben noto fatto che chi attacca a sorpresa è sempre in vantaggio su chi si deve difendere.
Così anche società ben strutturate si ritrovano costrette a pagare riscatti molto ingenti (business malevolo basato su bassi volumi di attacchi nei quali sono richiesti riscatti molto alti). Per dare un’idea del fenomeno, il costo per attacchi ransomware è stato stimato in 5 miliardi di dollari nel 2017, in circa 12 miliardi nel 2019 e si ritiene che possa raggiungere i 20 miliardi di dollari nel 2021 (cfr. cybersecurityventures.com).
E la vostra azienda? Qual è la sua maturità nella protezione da attacchi informatici? Saper rispondere a questa domanda è il primo passo per organizzare efficacemente la protezione.
Per una protezione efficace innanzitutto è necessario capire cosa proteggere e quali sono le priorità. Deve essere garantito un totale allineamento tra responsabili del business e il responsabile della sicurezza delle informazioni. Quali sono gli obiettivi di business? Come saranno perseguiti? Quali sono gli stakeholder da tenere in considerazione? Qual è la struttura organizzativa della sicurezza e quali sono i ruoli? Qual è il processo di mappatura e di valutazione degli asset? Come vengono definite le strategie di sicurezza? Quindi si deve comprendere lo status della propria protezione.
Qual è la preparazione del personale informatico in merito alla sicurezza? E quella degli utenti? Avete individuato tutti gli asset informatici e per ciascuno di essi definito le adeguate misure di protezione? Da un punto di vista tecnico le misure di protezione sono adeguatamente applicate? I sistemi vengono mantenuti aggiornati e quelli non più supportati dai fornitori dismessi? Quali sono i processi di gestione della sicurezza? Sono svolte prove tecniche di vulnerabilità? E simulazione di attacchi phishing agli utenti? È stato previsto un processo di risposta agli incidenti? E di gestione della continuità operativa?
Una volta identificato lo status è necessario definire un aspetto progettuale per la soluzione delle vulnerabilità. Tale approccio è usato anche per introdurre le misure di protezione aggiuntive rispetto a quelle esistenti. È necessario cercare di invertire il paradigma per cui chi attacca è favorito verso chi difende.
Ricordiamoci che i cyber criminali non sono più i nostalgici hacker che violano i sistemi per sfida. Sono invece soggetti molto pragmatici orientati a massimizzare i risultati. Se un target è ben difeso, anche se ritengono di poterlo violare dedicando un po’ di tempo, non esitano a cambiare target scegliendone unomeno difeso.
Qual è il vostro processo di gestione del portfolio dei progetti? Dedicate il budget adeguato alla sicurezza? Qual è il processo di gestione dei progetti? Sono presenti project manager in azienda? Qual è il processo di valutazione dell’andamento di un progetto? Nella gestione della sicurezza il commitment dell’Alta Direzione è fondamentale. Qual è il processo di coinvolgimento dell’Alta Direzione? Qual è il processo di comunicazione e di reporting verso la stessa per segnalare lo status dei progetti sulla sicurezza, lo status della sicurezza e dei rischi?
Resta infine la gestione del sistema di monitoraggio del processo e dei sistemi. Sono stati definiti dei Key Performance Indicators e dei Key Risk Indicators? Sono definiti dei sistemi automatici di acquisizione del valore di tali indicatori? Sono definite le soglie, i sistemi di allarme ed i sistemi di reporting?
Volete approfondire questi temi o volete un supporto nella valutazione della maturità della vostra azienda in materia di cybersecurity?
