CyBuzz

CASE STUDIES

Ogni azienda è un mondo a sé, con obiettivi, sfide e persone diverse.

Non esistono soluzioni standard, né approcci copia-e-incolla: serve ascolto, metodo e la capacità di tradurre le esigenze reali in processi concreti.

Qui trovi storie vere: progetti che hanno trasformato la sicurezza da formalità a valore condiviso.

ItAgile

Governance cloud e certificazioni, con concretezza.
Un provider SaaS con ambizioni chiare e la voglia di strutturarsi. Insieme abbiamo definito ruoli, introdotto test e creato un sistema che parla il linguaggio del business.

  • Strategia di sicurezza su misura
  • Penetration test e restore realmente operativi
  • Risposte puntuali a clienti e partner

Il contesto
ItAgile è un provider SaaS per servizi di firma remota. Un team brillante, aperto, collaborativo.
Obiettivo: certificazioni ISO 27001, 27017, 27018 e ISO 9001.
La volontà c’era tutta. Mancava la struttura.

I nodi da sciogliere:

  • Nessun penetration test o test di restore
  • Responsabilità poco chiare, soprattutto lato cloud
  • Pressione crescente da parte di clienti e partner
  • Gestione privacy poco strutturata

Cosa abbiamo fatto

Fase 1 – Strategia e linguaggio su misura


Siamo partiti dalle esigenze di business, non dai requisiti normativi.
Abbiamo costruito un programma integrato di sicurezza e qualità, scritto per loro — non per l’auditor.

Fase 2 – Attività chiave

  • Definizione di una strategia coerente con il modello SaaS
  • Chiarezza nei ruoli e responsabilità operative
  • Introduzione strutturata di VA e Penetration Test, con piani di rientro
  • Test reali di restore e continuità
  • Integrazione dei principi di sviluppo sicuro
  • Risposte puntuali a clienti, partner, stakeholder
  • Coinvolgimento attivo di tutto il team

Il risultato?
Un sistema progettato non per ottenere un bollino, ma per creare valore, rassicurare i clienti e sostenere la crescita.

Arithmos

Sicurezza come cultura aziendale, non solo certificazione
Una collaborazione decennale che ha trasformato il framework ISO in un mindset diffuso. La sicurezza è diventata parte del DNA aziendale.

  • Security by design nello sviluppo
  • Formazione 
  • Due diligence interna continua

Il contesto
La collaborazione con Arithmos è iniziata nel 2014, con l’obiettivo di ottenere la ISO 27001.
Da allora, è nato un rapporto solido e continuativo.
Oggi ricopro formalmente il ruolo di Information Security Manager nel loro organigramma.

In dieci anni l’azienda è cresciuta, si è ristrutturata, ha cambiato IT Manager (tra cui Mattia Bedoni, dal 2018).
Un altro punto di riferimento è Silvia Gabanti, Managing Director della BU Technology: insieme abbiamo guidato gli aspetti più strategici.

Cosa abbiamo fatto

Una trasformazione culturale, non solo tecnica

  • Introduzione di VA e PT ricorrenti, con gestione completa delle vulnerabilità
  • Potenziamento del processo di  sviluppo sicuro
  • Revisione dei contratti con l’area Legal, con clausole di sicurezza e diritto di audit.
  • Coinvolgimento di HR per:
    ▪️ formazione continua
    ▪️ security awareness
    ▪️ newsletter tematica
    ▪️ integrazione nei colloqui e onboarding
  • Estensione del modello di sicurezza a tutta l’organizzazione
    (oltre i limiti formali della ISO 27001) con un approccio di due diligence interna

Il risultato?
La sicurezza non è più un adempimento, ma parte del DNA operativo dell’azienda.
Un valore condiviso, praticato, sentito da chi lavora ogni giorno in Arithmos.

US Technologies

Dalle buone intenzioni, alla messa in opera: una trasformazione concreta

Quando sono arrivato in US , la situazione era interessante: una realtà snella, personale preparato e cinque schemi certificati— ISO 9001, ISO 27001 (con estensioni 27017 e 27018), e ISO 22301 per la continuità operativa.

Un impegno serio e strutturato, che rifletteva la volontà dell’azienda di lavorare con metodo e visione.
Come spesso accade in contesti in forte evoluzione, però, la documentazione sviluppata negli anni era diventata molto ampia e, in parte, difficile da applicare nella pratica quotidiana.
Il rischio era che il sistema non riuscisse a offrire un supporto operativo efficace e confacente alle loro necessità.

Anche il personale interno lo percepiva: pur riconoscendo il valore della certificazione, faticava a vedere il collegamento tra procedure e processi reali.

Il personale, nonostante l’impegno, aveva bisogno di un approccio armonizzato: mancava una strategia unificante e una visione condivisa su come gestire davvero la sicurezza, la qualità e la continuità operativa.

Un sistema di gestione a supporto del business era una necessità vera, non un bollino da mostrare ai clienti.

Cosa è stato fatto

l primo passo è stato fermarsi, ascoltare e capire.
Non ho portato modelli prefabbricati, ma ho iniziato ponendo domande vere. E il team, finalmente, ha avuto voglia di parlare.
In poco tempo è emerso un desiderio forte: rimettere ordine, ma con senso.

Abbiamo quindi:

  • Smantellato la burocrazia inutile: via tutte le procedure incoerenti, copiate, fuori contesto.
    Abbiamo mantenuto solo ciò che aveva valore reale e riscritto/modificato insieme ciò che serviva davvero, coinvolgendo il personale interno in ogni fase.
  • Costruito una strategia unificata di sicurezza e continuità operativa:
    niente più fogli separati per ogni standard, ma un sistema coerente e vivo, che integrasse protezione dei dati, resilienza e capacità di risposta.
  • Verificato e rivalutato i fornitori critici:
    alcuni erano diventati “invisibili” nel tempo, ma erano fondamentali per la sopravvivenza del business.
    Abbiamo riattivato il dialogo, definito criteri di controllo, richiesto garanzie chiare.
  • Rivisto termini e condizioni dei servizi cloud:
    troppe clausole lasciate lì per “comodità”, con impatti potenziali gravi. Abbiamo rivisitato gli accordi per allinearli ai requisiti di sicurezza e continuità.
  • Spinto per la migrazione dei sistemi critici verso un cloud provider affidabile:
    il rack fisico in ufficio è diventato un rischio, non una risorsa.
    Abbiamo pianificato lo spostamento dei dati e dei servizi critici in cloud, garantendo monitoraggio, backup e gestione continua.
  • Eseguito i primi test di continuità operativa:
    semplici ma efficaci, che hanno permesso al team di vedere con i propri occhi cosa significasse realmente essere pronti.