Home/Servizi/Cyber Security
09 · SECURE

Sicurezza by design, da specialisti.

Audit, penetration testing, hardening, DevSecOps, incident response. Aiutiamo i clienti a raggiungere la conformità a standard come ISO 27001, GDPR, NIS2, DORA. Lavoriamo per proteggere prodotti e dati con la stessa attenzione che dedicheremmo ai nostri.

Avvia un progettoCome lavoriamo
Hanno utilizzato i nostri servizi

Tutti i nostri progetti sono coperti da £10 milioni di sterline di assicurazione professionale (verifica qui)
+ £1 milione di sterline ulteriore solo per la sicurezza dei dati (verifica qui).

Benetton
Beretta
Colgate
Dolce & Gabbana
Diesel
Enel
Eni
FCA
Golden Lady
Kraft
Loro Piana
Peroni
AUDIT & VULNERABILITY ASSESSMENT

Sapere cosa proteggi, e da cosa.

Non si può proteggere ciò che non si sa di avere. Asset discovery, mappatura della superficie d'attacco esterna e interna, classificazione dati, identificazione delle vulnerabilità. Vulnerability assessment automatizzato + verifica manuale per ridurre i falsi positivi.

Risk-based prioritization: non tutte le vulnerabilità hanno lo stesso impatto. Una CVE critica su un server esposto pesa più di una CVE critica su un sistema isolato senza dati. Roadmap di remediation realistica e azionabile, non un report di centinaia di pagine difficile da seguire.

External attack surface — Cosa vede un attaccante da Internet? Mappatura completa: domini, IP, porte, servizi esposti, leak su deep/dark web.
Internal asset inventory — Server, endpoint, IoT, cloud workload, SaaS in shadow IT. Visibilità completa, niente "non lo sapevamo che esistesse".
Risk-based remediation — Top 20 rischi reali con owner, effort, deadline. Non 5000 voci che intasano Jira e non si chiudono mai.
ESEMPIO AUDIT
OSCP+
Certificazioni team
5-15
Vuln per webapp media
OWASP
Metodologie standard
Re-test
Sempre incluso
PENETRATION TESTING

Approccio orientato all'attaccante.

Penetration test condotti manualmente, non semplici scan automatici. Web application, API, mobile, network interno/esterno, cloud, social engineering. Eseguiti da ethical hacker certificati (OSCP, CRTE, OSEP), seguendo metodologie OWASP, OSSTMM, PTES.

Output: report actionable con PoC riproducibili, screenshot, impact rating, remediation step-by-step. Re-test incluso. Adversary simulation(red team) per organizzazioni mature: attacchi mirati per validare l'efficacia reale dei controlli, oltre quelli teorici.

Web app pentest — OWASP Top 10 + business logic + API. Tipicamente 5-15 vulnerabilità rilevate, 1-3 critiche per app non testata prima.
Cloud pentest — AWS/GCP/Azure: IAM misconfig, S3 esposti, lateral movement, escalation privilegi. La superficie cloud è enorme.
Red team & social — Simulazione full-scope: phishing, physical, network. Validi controlli reali, training sul campo per il team SOC.
HARDENING & DEVSECOPS

Difese a strati.

Affidarsi a una singola difesa è rischioso. Defense in depth: WAF in front, identity layer (OAuth + MFA), secret management (Vault), encryption at-rest e in-transit, runtime protection, EDR sugli endpoint, network segmentation. Più strati significa più probabilità di intercettare un attacco prima che produca danni.

DevSecOps: security dentro la pipeline. SAST (Semgrep, SonarQube), DAST (ZAP, Burp), SCA (Snyk), IaC scanning (Checkov, tfsec), container scanning (Trivy). Le vulnerabilità vengono intercettate al merge, non scoperte mesi dopo il deploy.

Zero-trust networking — Nessun trust implicito. Ogni richiesta autenticata, autorizzata, criptata. Lateral movement bloccato di default.
Pipeline security — Stage di scan obbligatori: SAST + DAST + dependency check + secret scan. Merge bloccato su vulnerabilità critiche.
EDR + SIEM — Endpoint monitoring (CrowdStrike, SentinelOne) + SIEM (Sentinel, Splunk) + SOAR. Detection in minuti, non giorni.
ESEMPIO HARDENING
< 1h
Risposta SLA retainer
72h
GDPR breach notify
24/7
SOC monitoring
Forensics
Post-incident
INCIDENT RESPONSE

Quando un incidente accade.

Prima o poi ogni organizzazione affronta un incidente. La differenza la fa quanto rapidamente lo si identifica, lo si contiene e lo si recupera. Playbook di incident response pre-definiti, table-top exercise periodici, SOC 24/7 dove serve.

Forensics post-incident per ricostruire cosa è successo. Lesson learned strutturate e implementate. Comunicazione verso autorità (Garante Privacy entro 72h per data breach GDPR), clienti, stampa: gestita con processo, non in emergenza.

IR retainer — Disponibilità 24/7 con SLA di risposta entro 1h. Onboarding playbook + table-top exercise. Pagamento solo se l'incidente avviene.
Forensics & malware analysis — Reverse engineering, indicator of compromise, timeline ricostruita. Sappiamo dire "cosa" è successo, "come", "da quando".
Breach notification — GDPR Art. 33-34, NIS2, DORA: notifiche a regulator e interessati entro deadline. Gestione PR e legale coordinata.
COMPLIANCE

Ti aiutiamo a essere conforme.

Adam Key Group non è un ente certificatore e non si presenta come azienda certificata su questi standard: aiutiamo i nostri clienti a portare i propri prodotti, processi e organizzazione in conformità con ISO 27001, ISO 27017/27018, SOC 2, GDPR, NIS2, DORA, AI Act, HIPAA, PCI-DSS. Lavoriamo con voi per costruire un ISMS (Information Security Management System) operativo, integrato nei processi reali, non un semplice corpo di policy formali.

Continuous compliance: controlli verificati automaticamente, evidence raccolta in tempo reale, audit interni pre-certificazione. L'obiettivo è arrivare all'audit dell'ente certificatore con il minor numero possibile di sorprese, perché lo scenario è stato simulato e validato prima.

ISO 27001 readiness — ISMS impostato da zero o gap analysis su uno esistente. Roadmap a 6-12 mesi verso certificazione. Audit interno pre-cert.
NIS2 & DORA — Per entità essenziali/importanti e settore finanziario: gap analysis, registro fornitori critici, supply chain risk, BCP/DRP.
Privacy by design — GDPR + AI Act integrati nel ciclo di sviluppo. DPIA, ROPA, gestione DSR automatizzata, training team.
ESEMPIO COMPLIANCE
VALORE PER LE PERSONE

La sicurezza è fiducia, costruita nel tempo.

I tuoi clienti ti affidano dati, denaro, identità. Quella fiducia si costruisce nel tempo e può essere compromessa molto rapidamente. Un breach mediatico può avere conseguenze ben più costose di anni di security curata.

Il nostro approccio non si basa sul generare paura, ma sul supportare scelte informate. In molti casi non serve una piattaforma da centinaia di migliaia di euro al mese — serve sapere cosa proteggere, come farlo e con quale priorità. Siamo trasparenti sul livello di intervento effettivamente necessario.

DOMANDE FREQUENTI

Quello che ci chiedono spesso.

Trasparenza prima di tutto. Se la tua domanda non è qui, scrivici: rispondiamo entro 24h, da una persona reale.

Qual è la differenza tra audit e penetration test?
Audit/vulnerability assessment: scansione sistematica e identificazione di vulnerabilità note, prioritizzazione, remediation roadmap. Più ampio, meno profondo. Pentest: simulazione di attacco reale per provare a entrare nei sistemi, dimostrare l'impatto. Più profondo, su scope definito. I due si completano: l'audit dice "cosa potrebbe rompersi", il pentest "cosa si rompe davvero".
Quanto costa un penetration test?
Dipende da scope, profondità, metodologia. Web app singola: 5-15k euro. API complete: 8-25k. Mobile app: 6-18k. Network esterno: 5-12k. Red team full-scope: 30-100k+. Cloud assessment: 10-30k. Sempre con re-test incluso post-remediation. Sconti per assessment continui.
Quanto tempo per certificarsi ISO 27001?
6-12 mesi dal kickoff alla certificazione, dipende da maturità di partenza. Fase 1: gap analysis (1 mese). Fase 2: implementazione controlli, policy, procedure (3-6 mesi). Fase 3: audit interno + management review (1-2 mesi). Fase 4: audit di certificazione (1-2 mesi).
Cosa è NIS2 e devo essere conforme?
Direttiva UE sulla cybersecurity, recepita in IT a ottobre 2024. Si applica a entità essenziali (energia, sanità, finanza, trasporti, P.A. critica) e importanti (manifatturiero medio-grande, food, postali, digital infrastructure). Obblighi: risk management, incident reporting (24h initial, 72h notification), supply chain security, training. Sanzioni fino a 10M€ o 2% fatturato.
Che differenza c'è tra un EDR e un antivirus?
Antivirus tradizionale: signature-based, ferma malware noto. EDR (Endpoint Detection and Response): behavioral analysis, ferma anche minacce sconosciute (zero-day, fileless, living-off-the-land), risposta automatica, forensics. Per ambienti enterprise oggi EDR è il minimo, non antivirus. Lavoriamo con CrowdStrike, SentinelOne, Microsoft Defender XDR.
Avete un SOC 24/7?
Sì, con partner di SOC managed (SOCaaS) che operano 24/7 con analisti certificati. Tier 1 (monitoring + triage), Tier 2 (investigation), Tier 3 (advanced hunting). Integriamo con la tua infrastruttura, customizziamo playbook, escaliamo con SLA stretto. In alternativa, costruiamo SOC interno con consulenza/staffing dedicato.

Vuoi capire il tuo livello di rischio?

Una chiamata di 30 minuti per capire dove sei esposto oggi. Senza FUD: condividiamo una valutazione realistica del rischio e di cosa è gestibile internamente.

Parliamo del tuo progetto