Security
Tre attività: penetration testing esterno continuo con la cadenza che giustifica il ritmo del tuo rilascio, un retainer di virtual CISO per il lavoro strategico che richiede il giudizio di un executive, e preparazione completa end-to-end per le certificazioni ISO 27001 o SOC 2, incluso il dialogo con l'auditor.
Continuo per default
Il tradizionale engagement di sicurezza è un penetration test una volta l'anno più un ciclo di certificazione che si svolge nei mesi prima del prossimo rinnovo. Quella cadenza mantiene la documentazione aggiornata. Per un sistema che rilascia codice ogni settimana, il lavoro di sicurezza deve operare con lo stesso orologio dei rilasci.
Il nostro servizio di pentest funziona in modo continuo: mensile, settimanale o giornaliero a seconda del tuo ritmo di rilascio. Il retainer vCISO è continuativo, così una lacuna nei controlli può essere sollevata la settimana in cui appare e tracciata fino alla chiusura nello stesso trimestre. Il lavoro ISO/SOC 2 è strutturato in modo che la certificazione emerga dalla pratica quotidiana che il team già esegue, con le prove raccolte man mano che accadono.
I tre engagement che gestiamo
La maggior parte dei clienti ci ingaggia per almeno due di essi insieme. Clicca su qualsiasi scheda per vedere scope, cadenza e prezzo di partenza.
Dalla review della postura al programma continuativo
Review della postura di sicurezza
Una review strutturata di una o due settimane sullo stato attuale del programma di sicurezza: controlli esistenti, copertura attuale del pentest, stato delle certificazioni, flussi di dati, obblighi di conformità, incidenti precedenti. L'output è un'analisi delle lacune prioritizzata con una sequenza di lavoro raccomandata e un preventivo a prezzo fisso per l'engagement che segue.
Operazione continuativa
Le scansioni di pentest vengono eseguite con la cadenza scelta (mensile, settimanale, giornaliera); i rilievi vengono classificati, ordinati per gravità e tracciati fino alla remediation. Il vCISO gestisce il registro dei rischi, partecipa alle conversazioni di conformità e rappresenta la funzione di sicurezza nei report al board. La preparazione alla conformità procede in parallelo dove applicabile.
Audit e rinnovo
Quando arriva l'audit di certificazione, abbiamo raccolto prove per tutto il periodo, così l'auditor vede un programma che ha operato per tutto l'anno. Partecipiamo alle chiamate di audit. Rispondiamo ai rilievi. Portiamo avanti gli artefatti nel ciclo di sorveglianza successivo.
Da dove parte ogni servizio
Penetration Testing
Mensile: €99 / month · Settimanale: €250 / month · Giornaliero: €500 / month. Ogni scansione è una scansione approfondita completa — la cadenza è l'unica variabile.
Virtual CISO
Retainer da €5,000 / month. Leadership strategica sulla sicurezza senza l'assunzione a tempo pieno. Si abbina bene con il servizio di pentest: il vCISO gestisce il programma, il pentest produce gli artefatti.
ISO 27001 & SOC 2
Ciclo per singolo framework da €25,000. ISO 27001 standalone da €12,000; readiness SOC 2 da €4,500. Le tariffe dell'ente di certificazione sono separate.
Engagement di sicurezza — domande che riceviamo
Lavorate insieme al nostro team di sicurezza interno?
Sì — la maggior parte degli engagement funziona così. Il team interno gestisce le operazioni e la risposta agli incidenti; noi gestiamo il testing esterno, la preparazione alle certificazioni e il lavoro strategico vCISO che beneficia di una prospettiva esterna. La divisione varia per engagement; la documentiamo esplicitamente nel documento di scoping così non ci sono ambiguità su chi risponde a cosa.
Cosa copre concretamente il “penetration testing continuo”?
Scansioni complete della superficie di attacco esterna con la cadenza scelta — applicazioni web, API, infrastruttura esposta, flussi di autenticazione, debolezze di configurazione, dipendenze vulnerabili note. Ogni scansione produce un report scritto con i rilievi ordinati per gravità, prove e indicazioni per la remediation. Lo scope è la tua superficie esterna; il pentest delle reti interne e le valutazioni della sicurezza fisica sono engagement separati.
In cosa differisce il retainer vCISO dall'assunzione di un CISO?
Un vCISO lavora con te part-time su un retainer, gestendo le responsabilità strategiche e di governance del ruolo CISO senza essere nell'organigramma a tempo pieno. Utile quando l'azienda ha bisogno di un giudizio senior sulla sicurezza — per le review dei vendor, i report al board, le roadmap di conformità, la leadership nella risposta agli incidenti — ma non ha la dimensione per giustificare un CISO a tempo pieno. Spesso si abbina con il team interno che gestisce le operazioni di sicurezza quotidiane.
ISO 27001 o SOC 2 — da dove iniziamo?
Dipende da chi richiede la certificazione. Il procurement enterprise negli USA chiede SOC 2 per default; l'enterprise europeo e le organizzazioni nel perimetro NIS2 chiedono ISO 27001. Se entrambe sono nel tuo futuro, eseguiamo un engagement combinato perché il lavoro sui controlli sottostanti si sovrappone in modo significativo — farli in sequenza costa di più che farli in parallelo.
Cosa succede se un rilievo diventa un vero incidente?
Se sei il nostro retainer vCISO, la leadership nella risposta agli incidenti fa parte dello scope — siamo in chiamata, aiutiamo a coordinare la risposta. Se siamo solo il tuo provider di pentest, i rilievi vengono comunque tracciati fino alla remediation, con la leadership della risposta gestita internamente dal tuo team. Il documento di scoping definisce quale arrangiamento si applica; molti clienti ci ingaggiano per entrambi esattamente per questo motivo.
Descrivici la tua postura di sicurezza
Descrivici dove si trova oggi il programma di sicurezza e cosa ti viene chiesto per il futuro. Torneremo con una sequenza raccomandata e uno scoping a prezzo fisso per l'engagement che segue.
Contattaci → Vedi i prezzi →