La Checklist di Sicurezza Gordon valuta i controlli di sicurezza attuali di un'organizzazione rispetto a un insieme strutturato di requisiti standard del settore e produce un elenco di azioni prioritizzate e in linguaggio semplice che identifica ciò che è in atto, ciò che manca e cosa affrontare per primo senza richiedere esperienza di conformità precedente o un team di sicurezza dedicato per operare.
La checklist copre i controlli attraverso la gestione delle identità e degli accessi, la sicurezza degli endpoint, la configurazione della rete, la gestione dei dati, la risposta agli incidenti, il backup e il recupero, la gestione dei fornitori e le pratiche di sicurezza dei dipendenti. Ogni controllo è valutato attraverso una combinazione di verifica tecnica automatizzata che si basa su dati live provenienti da sistemi connessi, inclusi Microsoft 365, Google Workspace e ambienti cloud, e domande di autovalutazione guidata per i controlli che non possono essere verificati in modo programmatico. Ciò significa che i risultati della checklist riflettono lo stato reale dell'ambiente, non solo ciò che un amministratore ha confermato manualmente.
Ogni lacuna identificata nella checklist è assegnata a una gravità del rischio, una spiegazione in linguaggio semplice del perché il controllo è importante, e istruzioni di rimedio passo-passo che possono essere eseguite da un generalista IT senza conoscenze specializzate di sicurezza. I controlli sono raggruppati in una sequenza di correzione raccomandata basata sull'impatto del rischio e lo sforzo di implementazione, in modo che i team sappiano da dove iniziare piuttosto che lavorare attraverso un elenco indifferenziato di risultati.
Le checklist completate sono salvate e rieseguite su un programma configurabile, tracciando quali lacune sono state chiuse e segnalando nuovi problemi introdotti dai cambiamenti ambientali. I rapporti di progresso sono formattati in due viste: un elenco di compiti operativi per i team IT e di sicurezza, che mostra gli elementi aperti e lo stato delle correzioni, e un riepilogo esecutivo che mostra il punteggio complessivo della postura di sicurezza, le tendenze nel tempo e le aree di rischio in sospeso per la segnalazione alla leadership e al consiglio di amministrazione.
I risultati della checklist si mappano ai requisiti di controllo SOC 2, ISO 27001, NIST CSF, Cyber Essentials, PCI DSS e HIPAA, generando un rapporto di lacune di conformità che può essere utilizzato come prova durante la preparazione alla certificazione o, su richiesta, fornito ad auditor, assicuratori e team di approvvigionamento aziendale.
