ROSI Return on Security Investments: un approccio pratico

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ROSI Return on Security Investments: un approccio pratico"

Transcript

1 ROSI Return on Security Investments: un approccio pratico Come ottenere Commitment sulla Security versione 2.0 AIEA CLUSIT Deloitte Ernst & Young KPMG Oracle PricewaterhouseCoopers

2 LICENZA D USO Il testo completo della Licenza d uso è disponibile sul sito di Creative Commons, al link Preghiamo inoltre chi volesse utilizzare questo testo all interno di propri lavori (non semplicemente con una citazione) di segnalarlo con un messaggio all indirizzo

3 Sommario 1. Introduzione L iniziativa Gruppo di Lavoro ROSI e motivazioni del lavoro Perché fare un ROSI? Management Summary Cos è il ROSI? A chi si rivolge? A cosa serve il ROSI? Quali benefici porta la costruzione di un ROSI? Guida alla lettura Metodo Documenti di riferimento Identificazione esigenze Identificazione scenari di intervento Gestione del rischio Output del processo di gestione del rischio Identificazione Pattern Predisposizione Pattern Pattern Area di intervento Criteri di sicurezza Risorse impattate Driver di business Contesto di riferimento Descrizione Driver/motivazioni Punti di attenzione Elementi di valutazione Benefici/vantaggi Identificazione Business Drivers e Metriche di sicurezza Individuazione delle motivazioni operative (business drivers) Identificazione degli stakeholder Identificazione dei benefici e degli obiettivi Identificazione delle metriche L esempio dell IAM Valutazione del ROSI in un dato scenario Approccio per il calcolo dei KCI e dei KRI Costi...29 Diretti/Indiretti...30 Fissi/Variabili...30 Capital/Operational

4 3.7.3 I costi per il ROSI Ritorni I ritorni per il ROSI Un esempio di valutazione del ROSI Step 1: Individuazione dei costi e dei ritorni Step 2: Definizione degli indicatori per il ROSI Step 3: Identificazione delle metriche disponibili Step 4: Predisposizione di nuove metriche Step 5: Misurazione delle metriche Step 6: Valutazione degli indicatori Documento ROSI Struttura del documento Executive summary Stato dell arte Obiettivo desiderato Proposta operativa Esempi di pattern Pattern Amministratori di Sistema Pattern Identity and Access Management Pattern Single Sign On Pattern IDS Pattern Application Security Pattern Sicurezza Fisica Pattern IRM Pattern Security Assessment Industriale Pattern PCI-DSS Pattern DLP Pattern DAM Pattern Role Management Pattern VDI Company Profiles AIEA Clusit Oracle Deloitte Ernst & Young KPMG PricewaterhouseCoopers Appendici e Revisioni Appendice A Appendice B Storia delle versioni Versione Versione

5 1. Introduzione - L iniziativa 1.1 Gruppo di Lavoro ROSI e motivazioni del lavoro Questa iniziativa è stata avviata da AIEA, Clusit e Oracle, nel settembre 2009, e vede la partecipazione all interno del Gruppo di Lavoro (GdL) di Deloitte, Ernst & Young, KPMG e PriceWaterhouseCoopers. L esperienza delle aziende e delle associazioni componenti del Gruppo di Lavoro mostra chiaramente come esista una necessità, nel mercato della sicurezza informatica, di fare un passo avanti e di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti nei differenti capitoli di spesa. Mentre altri tipi di spesa in migliorie organizzative o tecnologiche vengono riconosciuti, correttamente, non solo come esborsi ma anche come investimenti, volti a rendere in assoluto possibili certe azioni imprenditoriali, oppure a migliorare l efficienza e/o l efficacia di taluni processi, la spesa in sicurezza è percepita quasi dovunque solo come costo puro, un vincolo, una tassa da pagare per conformarsi alle pratiche correnti piuttosto che alle pretese di un regolatore o di un legislatore. Si aggiunga che anche l industria del software e dell hardware di sicurezza ha spesso adottato, come propria strategia di vendita, quella di seguire questa linea di minima resistenza. Intere campagne marketing hanno cercato di indurre alla spesa sventolando lo spauracchio di non ben identificati cattivi (spesso definiti, impropriamente, hacker ) in agguato al fine di introdursi, controllare e danneggiare i nostri sistemi informatici. O ancora, la minaccia, tanto più difficile da razionalizzare perché impersonale ed eterea, del virus o del chissà cosa ti potrebbe succedere. La situazione è quindi, spesso (troppo spesso, a nostro parere) quella di spese in sicurezza spiegate e decise in base alla paura, all incertezza, al dubbio. La situazione, per chi invece lavora nel settore, è palesemente assai diversa da questa: all hacker non ben identificato si sostituiscono criminali ben vivi e presenti, e determinati ad approfittare indebitamente di sistemi ed informazioni altrui per un preciso e personale tornaconto economico. Al chissà cosa ti potrebbe succedere si sostituisce una puntuale analisi del rischio realmente gravante sulla specifica organizzazione, dove le minacce, le vulnerabilità, le aree d impatto e le probabilità d accadimento vengono valutate in modo oggettivo, per quanto a volte, per forza di cose, in via qualitativa e non quantitativa. Alla spesa a fondo perduto si sostituisce l investimento, deciso in base a motivazioni razionali e sostenibili, e dal quale ci si attendono precisi ritorni, magari non a livello economico ma comunque vantaggiosi per l organizzazione. L esperienza dimostra che questi passaggi sono possibili e vantaggiosi, e si vuole, con questo documento, esporre le necessarie condizioni a priori, le possibili metodologie di approccio ed i cambiamenti d atteggiamento che è possibile ottenere. Obiettivo del lavoro è stato pertanto quello di consolidare una riflessione che da più parti stava emergendo, senza peraltro avere grande eco, in merito al ROSI, per dare agli operatori economici pubblici e privati uno strumento che sia di valore per tutto il mercato, e ne stimoli la crescita e la maturazione su tutti i fronti. 1 Attualmente non risulta ci siano altri documenti in italiano sul ROSI, ma esiste dell ottimo materiale in inglese e in francese, in particolare il documento Clusif Rétour sur investissement en sécurité des systèmes d information: quelques clès pour argumenter disponibile al link https://www.clusif.asso. fr/fr/production/ouvrages/ pdf/rosi.pdf e il documento ROSI di ISF richiamato anche nel seguito. 5

6 ROSI Return on Security Investments: un approccio pratico versione 2.0 Crediamo quindi che questo lavoro sia vantaggioso per tutto il settore, e contribuisca in modo sostanziale alla sua maturazione, dando un vantaggio a tutti gli operatori (clienti, fornitori, consulenti, ecc.) e giustificando una collaborazione come questa che vede coinvolte anche aziende normalmente concorrenti sul mercato. Si intende quindi consentire ad aziende private, enti pubblici, vendor tecnologici, società di consulenza, e così via, di approcciare la sicurezza delle informazioni tema obbiettivamente complesso e tendenzialmente multidisciplinare in un modo organico e strutturato, dando a ciascuno gli strumenti per giudicare con cura quali investimenti adottare e su quali strade spingere la propria evoluzione tecnologica ed organizzativa. 1.2 Perché fare un ROSI? Figura 1 Principali problematiche di sicurezza che le imprese stanno affrontando (fonte: Ernst & Young 13th Global Information Security Survey ) In generale i security manager e/o i responsabili dell Information Technology trovano grosse difficoltà a giustificare in azienda gli investimenti in soluzioni per la sicurezza delle informazioni, vuoi per il proprio background culturale, che in genere è più tecnico e quindi meno avvezzo a considerare gli aspetti economico-finanziari, vuoi per la natura stessa delle soluzioni che nella maggior parte dei casi sono destinate a prevenire potenziali rischi non completamente quantificabili piuttosto che finalizzate a fornire un beneficio diretto e misurabile. Tuttavia, proprio gli stessi responsabili della sicurezza e dell Information Technology lamentano che ottenere dei budget adeguati per far fronte agli investimenti in sicurezza sia una delle principali sfide che quotidianamente si trovano ad affrontare in azienda, come è emerso dall annuale ricerca di Ernst & Young Global Information Security Survey. A maggior ragione, in un periodo attraversato da una difficile crisi economica, le aziende dovrebbero adottare una strategia di sicurezza risk-based, al fine di definire le iniziative di sicurezza prioritarie e giustificare al meglio i nuovi investimenti dimostrandone il ritorno in termini di benefici al business, riduzione dei costi operativi, miglioramento dell immagine, ecc. Pertanto l utilizzo di un approccio strutturato per definire il ritorno degli investimenti in sicurezza ( ROSI Return On Security Investment) può aiutare i manager che in azienda si occupano di sicurezza a giustificare al meglio le spese ed ottenerne l approvazione e lo stanziamento di budget superiori. 6

7 2. Management Summary 2.1 Cos è il ROSI? ROSI sta per Return On Security Investment, e s intende con questa sigla il lavoro di valutazione dei vantaggi potenziali di un investimento in sicurezza, in particolare in sicurezza delle informazioni. È un supporto decisionale rivolto in primis a quanti sono in posizioni di responsabilità sul settore di Information e Communication Technology delle organizzazioni, e devono allocare in modo prudente delle risorse scarse. Può essere anche, a posteriori, un supporto per la valutazione di efficacia di processi e/o impianti già in produzione. Non è, come si può intuire, un oggetto paragonabile al ROI che si calcola in ambito finanziario, in quanto non stiamo trattando un investimento nel senso tecnico del termine ovvero di una spesa per un bene che di per sé produrrà ricavi, a meno che il business principale dell investitore sia proprio la sicurezza (e quindi investire, ad esempio, nell acquisto di un sistema di sicurezza, consente di sfruttare questo sistema per fornire servizi a valore aggiunto). In prima istanza, che è spesso l unica analizzata, le spese in sicurezza possono ripagare con la minore probabilità di subire dei danni e quindi, salvo i casi (si spera infrequenti) di effettivo manifestarsi della minaccia, richiedono una spesa certa a fronte di un danno incerto. È sempre vero, inoltre, che nel momento in cui la minaccia si manifesta, il valore delle contromisure diventa almeno pari a quello del bene protetto, se non superiore considerando tutti i mancati danni indiretti (riduzione di business, danno d immagine, sanzioni, ecc.). La spesa in sicurezza, tuttavia, non genera soltanto protezione, ma in svariati casi risulta produttiva anche in modo diretto. La sicurezza abilita alcuni servizi altrimenti impossibili, tanto più quanto sono legati alla protezione della persona o della proprietà (ed in particolare del denaro). Ad esempio, l incremento di affidabilità nel riconoscimento dell utente da parte del sistema informatico permette di automatizzare una serie di servizi (si pensi all introduzione dell home banking). La spesa in sicurezza può generare dei risparmi in altre parti dell organizzazione: nell esempio precedente, per l istituto bancario nasce anche un abbattimento dei costi precedentemente legati al personale operativo. Una spesa in sicurezza, se adeguatamente resa nota alla clientela, produce dei benefici reali in termini di immagine di solidità dell organizzazione andando ad alimentare la fiducia che la clientela ha nell organizzazione stessa. Si intuisce che questa maggiore fiducia si trasferisce immediatamente in un miglioramento dei risultati operativi. il panorama normativo oggi esistente fa sì che, in molti casi, le spese in sicurezza siano obbligatorie per il rispetto delle normative medesime e che quindi abbiano un ritorno effettivo anche se difficilmente misurabile numericamente in termini di compliance. Non è quindi completamente fuori luogo l idea di misurare, in qualche modo, i benefici derivanti dall investimento in sicurezza i quali saranno derivanti dall unione dei vari insiemi di benefici: quelli operativi (in termini di diminuzione del rischio e, al limite, ai minori oneri assicurativi), quelli d immagine e quelli di compliance. 7

8 ROSI Return on Security Investments: un approccio pratico versione 2.0 Si può già intuire che nella maggior parte dei casi, la misura di questi benefici sarà qualitativa, e nuovamente si capisce quanto il ROSI non sia una misura esatta e numerica come il ROI; ma è altrettanto indiscutibile, se ben supportato da dati oggettivi, anche se qualitativi, la sua validità e la sua utilità. 2 La sicurezza delle informazioni copre naturalmente un insieme più grande di oggetti rispetto alla sola sicurezza informatica, dal momento che abbraccia - almeno concettualmente - tutte le informazioni di un organizzazione. Il concetto di informazione, a sua volta, è distinto da quello di dato, perché è con un operazione logica che dai dati si traggono le informazioni. Ad esempio, i dati potrebbero essere le serie storiche delle vendite. L informazione che si può trarre da questi dati è le vendite sono cresciute del 6% rispetto al corrispondente periodo dell anno scorso. La grande maggioranza dei dati e delle informazioni, oggi, risiede sui sistemi informatici, che comunque non coprono la totalità poiché ve n è una consistente parte ancora in archivi cartacei, ma soprattutto (ed è spesso la parte preponderante delle informazioni preziose) si trovano nella testa delle persone. Anche per questo motivo la sicurezza delle informazioni in senso lato deve preoccuparsi anche della safety del personale, oltre che dei sistemi tecnologici e degli archivi tradizionali. Si potrebbe addirittura inferire che il fornire un ambiente di lavoro gradevole e tranquillizzante sia un problema di sicurezza delle informazioni, concetto che è molto meno provocatorio di quanto non si possa immaginare a priori. 2.2 A chi si rivolge? Questo documento è pensato per tutti coloro i quali all interno di un organizzazione hanno ricevuto la responsabilità, in modo più o meno formale, di gestire la sicurezza delle informazioni di cui l organizzazione medesima si serve, a qualsivoglia titolo. Si tratta spesso di specialisti del settore dell informatica e delle telecomunicazioni, generalmente all interno della funzione IT o ICT, ma che non sempre hanno esperienze specifiche in ambito di sicurezza informatica, né, a maggior ragione, di sicurezza delle informazioni. 2 Si tratta a volte di persone di estrazione diversa, e che magari provengono da esperienze in ambito organizzativo o della gestione qualità. Si trovano a riportare a responsabili IT o ICT, ma anche a responsabili dell organizzazione, delle risorse umane o dell amministrazione, o magari addirittura in staff alla direzione generale; ma questo è ininfluente ai fini di questa trattazione. 2.3 A cosa serve il ROSI? Il problema condiviso da molte di queste persone è la necessità di giustificare ad un superiore la proposta di spesa in questo ambito, la sicurezza delle informazioni, che si continua a dimostrare assai sfuggente, perché trattando di spese certe a fronte di eventi per definizione incerti, anzi che si cerca di prevenire o mitigare non si presta ad una trattazione numerica tout court che richiede che i benefici di una spesa possano essere misurati in modo preciso a priori. Tuttavia, come esseri umani, siamo abituati in realtà a trattare con situazioni dove il beneficio è solo ipotetico, e nella nostra vita privata non abbiamo difficoltà ad accettare una spesa il cui ritorno non sia immediatamente tangibile. La difficoltà è in parte generata dall organizzazione stessa che, dovendo contenere per forza le sensibilità di molte persone, richiede di essere convinta di questa necessità con argomentazioni il più possibile oggettive e quindi facili da accettare per chiunque. Il lavoro di stesura di un ROSI guida quindi nella raccolta di una serie di dati significativi, anche se non sempre quantitativi, e nella costruzione di un documento di sintesi dove proporre delle deduzioni ragionevoli e sostenibili rispetto alle possibili spese, con l ottica di trasformare queste spese in investimenti. 2.4 Quali benefici porta la costruzione di un ROSI? Diventa possibile motivare in modo oggettivo le proposte di investimento sulla sicurezza delle informazioni. Diventa possibile fare una graduatoria tra varie proposte di investimento in modo meno arbitrario che nel passato. Diventa possibile valutare in modo oggettivo, a posteriori, la bontà delle scelte di investimento sulla sicurezza delle informazioni. 8

9 2 Management Summary Costringe ad uscire dall ambito puramente tecnologico per valutare l impatto complessivo di ciascun investimento sui risultati operativi finali. 2.5 Guida alla lettura Il tema è, come si diceva, obbiettivamente complesso, e, come spesso accade, lo si può approcciare almeno in due modi: uno più analitico (detto nel seguito Top-Down ), che parte da alcune ipotesi per arrivare a delle conclusioni, ed uno più pragmatico (detto nel seguito Verify ), che si basa su una serie di soluzioni note a problemi comuni e cerca di capirne l applicabilità alla situazione in esame. Il metodo per l identificazione del ROSI è illustrato alla sezione 3, insieme ad alcuni elementi che riteniamo possano tornare utili al lettore per l applicazione dello stesso. La stessa sezione contiene un esempio di applicazione dell approccio Top-Down, mentre numerosi esempi per l approccio Verify sono riportati alla sezione 5. Nella sezione 4 si può invece trovare una guida alla stesura del documento di presentazione al management dei risultati dello studio. Numerosi altri documenti sono citati ed in larga misura disponibili su Internet; alcuni, frutto del lavoro del GdL, sono presenti nel sito ROSI con la stessa licenza del presente documento. Casi reali di incidenti di sicurezza * Caso 1 In un azienda a proprietà pubblica, a causa di un malfunzionamento del Back-up, una parte dei dati contabili e di fatturazione a utenti del servizio pubblico è andata persa (2 giorni di registrazioni). Non essendo possibile, per varie ragioni (non ultima quella di ordine politico-industriale) emettere il rendiconto mensile a 45 milioni di utenti, viene deciso di emettere dei rendiconti per ciascuna operazione registrata (in tal modo è possibile recuperare quasi tutti i dati), e di inviare in più a ciascuno degli utenti una lettera di spiegazione e scuse per il disservizio. I costi dell operazione (e quindi delle perdite) sono pari a 3 milioni di (quasi totalmente indennizzati) a tali costi si sono aggiunti quelli delle lettere di scuse e spiegazione (1 milione); questa ultima parte dei costi non era assicurata ed è rimasta a carico dell amministrazione (1 milione). * Estratto dal documento di Riccardo Scalici Il panorama dei rischi 9

10 ROSI Return on Security Investments: un approccio pratico versione Metodo Se da un lato sono richiesti maggiori investimenti in sicurezza per rispondere ai nuovi dettami legislativi, ai nuovi modelli verso cui tendono le tecnologie a supporto del business (cloud computing, Service Oriented Architecture, Software as a Service, ecc.), all aumento delle minacce che incombono sul business e alla maggiore attenzione al rischio da parte degli organi di controllo aziendali, dall altro gli amministratori di un azienda, spinti dalla necessità di ottenere risultati dimostrabili, richiedono valide giustificazioni prima di autorizzare un qualsiasi tipo d investimento. Ecco quindi che il responsabile della sicurezza del sistema informativo aziendale è chiamato come non mai a superare l ardua sfida di riuscire a dimostrare compiutamente al management il ritorno su un investimento, così da ottenere le risorse necessarie per far fronte alle iniziative necessarie a tutelare la sicurezza del patrimonio informativo aziendale. Il metodo per l identificazione del ROSI che illustreremo in questo capitolo vuole costituire una linea guida in grado di supportare il responsabile della sicurezza in questa sfida rendendo disponibili le indicazioni e gli strumenti che consentano di identificare: dove intervenire; perchè intervenire; come intervenire; i benefici; chi trae beneficio dall intervento; come misurare l efficacia dell intervento; come valutare il ROSI. Il metodo, così come elaborato dal GdL, vuole quindi rendere disponibile al lettore degli spunti di riflessione, concreti e pragmatici, per: identificare gli ambiti in cui la sicurezza contribuisce al perseguimento degli obiettivi aziendali; identificare gli interventi; identificare e coinvolgere nel processo di approvazione dell investimento i componenti del Management, in qualità di Sponsor; definire un sistema di indicatori in grado di evidenziare i benefici che l investimento in sicurezza è e sarà in grado di apportare all azienda nel tempo; valutare il ROSI. Figura 2 Rappresentazione schematica del processo di valutazione del ROSI Approccio Top-Down Approccio Verify Identificazione esigenza Identificazione Pattern Identificazione scenari di intervento Predisposizione Pattern Identificazione Drivers e Indicatori Valutazione ROSI Il metodo è esposto secondo un formato narrativo. Il testo principale rappresenta la linea guida che consentirà di raccogliere tutti gli elementi funzionali al calcolo del ROSI. 10

11 3. Metodo 3.1 Documenti di riferimento Nel corso dell illustrazione del metodo talune affermazioni del testo principale saranno spiegate da note a corredo o espliciti riferimenti a standard e framework internazionali. Per le nostre finalità si fa riferimento a: CoBit 4.1; framework funzionale alla definizione di un sistema di IT Governance perché fornisce un modello per assicurare che: l IT sia allineato con le strategie dell azienda, l IT consenta la gestione delle funzioni aziendali e ne massimizzi i benefici, le risorse dell IT siano usate responsabilmente, i rischi IT siano opportunamente gestiti; ISO/IEC 27001:2005; standard internazionale che definisce i requisiti indispensabili di un sistema per la gestione della sicurezza delle informazioni ed identifica, per ciascuno degli 11 ambiti di sicurezza indicati, gli obiettivi di controllo ed i relativi controlli di sicurezza da porre in essere; ISO/IEC 27002:2005; è il Code of Practice dell ISO 27001, riporta le best practices di sicurezza per l implementazione dei controlli di sicurezza previsti dall ISO 27001; Figura 3 - Posizionamento ROSI ISO/IEC 27005:2008; standard internazionale che definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica; ITIL: insieme di documenti che descrivono le Best Practice nella gestione dei servizi IT e sui processi ed i mezzi necessari a supportarli, nell ottica di erogare servizi di alta qualità. 3.2 Approccio Top-Down Identificazione esigenze I rischi fondamentali di inefficacia della sicurezza sono la copertura a macchia di leopardo, la mancanza di riscontro delle iniziative di sicurezza e l attribuzione di responsabilità e attività di sicurezza a innumerevoli funzioni aziendali. Rischi che, tra l altro, comportano una frammentazione degli investimenti e una perdita di opportunità di sinergia. Queste considerazioni, sulla base anche di standard e best practice consolidate, suggeriscono alle aziende, e in particolar modo al responsabile della sicurezza, di prevedere un approccio alla sicurezza basato sui processi 3 (di sicurezza). 3 Fonti professionali che possono fornire approfondimenti sul significato e sui contenuti dei processi di sicurezza sono: Common Criteria; ITIL (IT Infrastructure Library); CobiT (Control Objective for IT Organizations); SANS Institute; National Institute of Standards and Technology; ISO (con riferimento allo standard ISO/IEC 27001). 11

12 ROSI Return on Security Investments: un approccio pratico versione 2.0 Per processi di sicurezza s intende l insieme delle attività che il sistema di governo della sicurezza richiede siano svolte nel periodo da coloro che, a vario titolo, sono deputati a gestire la sicurezza informatica. La scomposizione delle categorie di processi di sicurezza in attività di sicurezza trova in letteratura una certa variabilità di contenuti. Per le finalità espositive del metodo di cui alla presente Linea Guida, un processo di sicurezza è il comportamento di uno o più soggetti avente lo scopo: di definire le misure di sicurezza congruenti con gli obiettivi generali di sicurezza; e/o di applicare le misure di sicurezza; e distintamente, nel rispetto di rigorose regole di separazione dei compiti, di controllarne l applicazione. I processi di sicurezza vanno collocati nell ambito dei quattro momenti tipici del ciclo Deming (P-Plan, D-Do, C-Check, A-Act) definito dallo standard ISO 9001 da parte dello standard di riferimento ISO/IEC 27001:2005 per la certificazione di un sistema di gestione della sicurezza delle informazioni. Questa impostazione presuppone che l insieme dei processi per il governo della sicurezza sia concepito come un macro-processo di qualità con i suoi momenti tipici (PDCA) che ne consentono il miglioramento e l allineamento continuo agli obiettivi di sicurezza aziendali. Un interessante framework di riferimento per la gestione della sicurezza con un approccio a processi è quello predisposto per conto dell ABI dal gruppo di lavoro dell ABI Lab con la partecipazione di 12 banche italiane ed il coordinamento di Deloitte. Il framework descrive l approccio alla gestione integrata della sicurezza in ambito bancario definito dal gruppo di lavoro ABI Lab. In tale framework i processi sono stati raggruppati in Processi direzionali e Processi operativi e questi ultimi in Processi inerenti la gestione della sicurezza in fase di esercizio e Processi inerenti la gestione della sicurezza in fase di sviluppo (sviluppo di applicativi, disegno di reti e configurazioni di sistemi). La figura che segue illustra i processi di sicurezza previsti dalla linea guida metodologica per l approccio integrato al governo della sicurezza in ambiente bancario. Figura 4 - Framework Processi Sicurezza ABILab Per ciascun processo di sicurezza il framework richiama l obiettivo o scopo del processo; le macroattività che lo caratterizzano e la relativa descrizione; le strutture organizzative a presidio, gli obiettivi di sicurezza presidiati. Seppur nato per rispondere alle stringenti esigenze di sicurezza e di efficienza del mondo bancario 12

13 3. Metodo e, nello specifico, per proporre un approccio integrato al governo della sicurezza in ambito bancario, il framework può costituire un valido modello di riferimento anche per ambiti non bancari. Un buon sistema di governo della sicurezza è in grado di ridurre le inefficienze tipiche di un approccio non strutturato tramite una corretta e puntuale individuazione e indirizzamento delle reali esigenze di sicurezza di un azienda. Una visione per processi, inoltre, facilita il compito di individuare eventuali economie di scala. Possiamo quindi dire che il primo ambito di sicurezza su cui l azienda deve investire è proprio quello afferente al sistema di governo della sicurezza affinchè sia in grado di operare efficacemente ed efficientemente nel tempo, consentendo da un lato di garantire un adeguato e costante livello di sicurezza, evitando false percezioni di sicurezza, e dall altro di ottimizzare gli investimenti concentrandoli ove effettivamente necessario. Nella ricerca dell investimento ottimale in sicurezza è particolarmente importante considerare oltre che le risorse IT anche i processi che le gestiscono. Molto spesso il problema non è nella risorsa in se, ma in come viene gestita o utilizzata. Ad esempio, il più delle volte non mancano i corsi di formazione, ma manca il meccanismo (processo) che provveda ad inviare le persone giuste al corso giusto al momento giusto e che ne valuti i risultati. Un altro aspetto non trascurabile da tenere in considerazione, visto che riguarda i ritorni in investimenti in sicurezza, consiste nel fatto che intervenire sul processo invece che sulla risorsa fornisce, in genere, ritorni molto più elevati. Ad esempio, integrare il processo di sviluppo delle applicazioni con gli aspetti di sicurezza comporta, a parità di risultati, costi nettamente inferiori rispetto alla successiva aggiunta di sicurezza tanto che se soltanto il 50% delle vulnerabilità del software fossero rimosse prima del rilascio in produzione, i costi di mitigazione di tali vulnerabilità sarebbero ridotti del 75% 4. Come noto la sicurezza informatica è chiamata a tutelare la riservatezza, l integrità e la disponibilità (RID) del patrimonio informativo aziendale fornendo un contributo fondamentale nella gestione dei rischi operativi 5 a cui un azienda è esposta. A titolo di esempio si considerino le seguenti categorie di rischio aziendale: Perdita economica; Perdita della proprietà intellettuale; Perdita o danno d immagine; Compromissione dei dati dei clienti e/o dei business partner; Non conformità a norme nazionali e internazionali (Privacy, 231, SOX, ecc.); Indisponibilità dei processi di business; Riservatezza dei dati di business. Non si può non convenire sul fatto che il livello d esposizione dell azienda a queste tipologie di rischio è, tra le altre cose, inversamente proporzionale al livello di sicurezza del sistema informatico a supporto dell operatività quotidiana delle funzioni di business. Si consideri infatti che: una perdita economica può essere dovuta al mancato introito a causa della indisponibilità di una applicazione di business (virus, attacco Denial Of Service, ecc.); una perdita della proprietà intellettuale può essere causata dalla mancanza o carenza di presidi di sicurezza volti a proteggere, a titolo d esempio, la documentazione di progettazione meccanica per la costruzione di un macchinario innovativo; 4 Security at the Application Level Gartner 5 Per una definizione di rischio operativo, si veda ad esempio Rischio_operativo 13

14 ROSI Return on Security Investments: un approccio pratico versione 2.0 una perdita o danno d immagine il più delle volte è conseguenza di una non corretta protezione delle informazioni sensibili di un azienda (dati personali dei clienti, dati finanziari, numero di carte di credito, ecc.) che si traduce in una diffusione incontrollata di informazioni personali o finanziarie; causa di non conformità a norme nazionali e internazionali è il mancato rispetto di requisiti di protezione delle informazioni o di gestione e controllo degli accessi alle stesse per via di una gestione non strutturata della sicurezza. L obiettivo che ci si deve porre, quindi, consiste nell identificare i processi IT che giocano un ruolo importante nella mitigazione dei rischi di Riservatezza, Integrità, Disponibilità delle informazioni e di Conformità alle normative interne ed esterne (in sintesi RIDC). Se si partisse da un foglio bianco l identificazione di tali ambiti potrebbe rivelarsi un impresa ardua, quasi impossibile, ma fortunatamente la sempre maggiore attenzione da parte delle aziende agli aspetti di efficienza ed efficacia dei propri processi interni ha fatto sì che gruppi di ricerca, centri universitari e società di consulenza abbiano investito su queste tematiche rendendo disponibili tecniche e metodi relativamente semplici, fruibili e ben strutturati, utilizzabili anche autonomamente. Un approccio all identificazione delle aree d intervento può prendere spunto dal CobiT e dall ISO/IEC Il primo consentirà di individuare i processi IT che contribuiscono a determinare quello che sarà il livello di sicurezza del sistema informativo (SI), mentre il secondo guiderà nell individuazione dei domini di sicurezza e dei relativi obiettivi di controllo e attività di controllo da porre in essere. Come è noto lo schema CobiT copre anche gli aspetti di efficienza, efficacia ed affidabilità dei dati. Nel presente studio si sono considerati solo quelli relative a Riservatezza, Integrità, Disponibilità e Conformità proprie della Sicurezza informatica. L elenco sottostante, liberamente ricavato dal framework CobiT 4.1 conservando esclusivamente le parti relative alla sicurezza 7, viene, alla data, ritenuto completo ed esaustivo e quindi un suo utilizzo offre buone garanzie di sistematicità in quanto vengono esaminate tutte le aree dove sono possibili interventi migliorativi. Tabella 1 - Processi CobiT per la sicurezza e loro rilevanza 6 Liberamente scaricabile nella sua traduzione italiana dal sito AIEA: 7 Il Framework CobiT valuta anche gli aspetti relativi ad efficienza,efficacia ed affidabilità dell IT. Processo CobiT Importanza relativa rispetto alla sicurezza IT PO2 - Definire l architettura informatica 4 PO6 - Comunicare gli obiettivi e gli orientamenti della direzione 1 PO8 - Gestire la Qualità 1 PO9 - Valutare e Gestire i Rischi Informatici 10 AI2 - Acquisire e mantenere il software applicativo 1 AI3 - Acquisire e mantenere l infrastruttura tecnologica 2 AI4 - Permettere il funzionamento e l uso dei sistemi IT 3 AI5 - Approvvigionamento delle risorse IT 1 AI6 - Gestire le modifiche 6 AI7 - Installare e certificare le soluzioni e le modifiche 2 DS1 - Definire e gestire i livelli di servizio 4 DS2 - Gestire i servizi di terze parti 4 DS3 - Gestire le prestazioni e la capacità produttiva 1 DS4 - Assicurare la continuità del servizio 3 14

15 3. Metodo Processo CobiT Importanza relativa rispetto alla sicurezza IT DS5 - Garantire la sicurezza dei sistemi 8 DS9 - Gestione della configurazione 1 DS10 - Gestione dei problemi 1 DS11 - Gestione dei dati 3 DS12 - Gestione dell ambiente fisico 6 DS13 - Gestione delle operazioni 2 ME1 - Monitorare e valutare le prestazioni dell IT 4 ME2 - Monitorare e valutare i controlli interni 4 ME3 - Assicurare la conformità a leggi e normative esterne 3 ME4 - Istituzione dell IT Governance 4 Sul sito ROSI è disponibile la versione completa di questo medesimo elenco, contenente le descrizioni precise di ogni processo, tutte le attività ed i criteri di controllo e lo spazio da compilare per la raccolta dei dati. La tabella viene proposta: come aiuto per una rapida, efficiente e sistematica ricerca delle aree di maggior criticità nelle quali è auspicabile / necessario intervenire 8 ; per introdurre alcuni criteri che consentano di individuare la priorità dei singoli interventi; per introdurre alcuni criteri utili alla vendita interna degli interventi stessi. Si suggerisce di utilizzarla nel seguente modo: 1. Scorrere la tabella (si consiglia di utilizzare la versione completa disponibile sul sito clusit.it/) identificando le aree dove si ritiene necessario un intervento migliorativo; 2. Valutare in modo qualitativo (alto, medio, basso) l entità (costi, impegni di risorse, impatti) dell intervento ipotizzato; 3. Valutare i tempi entro i quali l intervento diviene efficace; 4. Valutare il grado di autonomia dell azienda nell area o se si debba ricorrere a risorse / competenze esterne; 5. Indicare se nell area sono in corso altri progetti: i costi del progetto in questione potrebbero essere significativamente ridotti; 6. Quale aspetto del business viene positivamente impattato: Economico, Clientela, Ambiente interno, Competitività aziendale? Questa considerazione potrà aiutare ad individuare, all interno dell azienda, i responsabili potenzialmente più interessati al progetto, e quindi favorevoli e disposti a supportarlo. Questo punto viene descritto in maggior dettaglio alla sezione 3.6.2; 7. L intervento è associabile ad altri interventi consentendo economie di scala?; 8. Si inseriscano altre considerazioni / parametri che si ritengano utili ad un confronto tra i vari interventi (ad esempio: intervento strutturale o intervento tampone?). 8 Per chi volesse approfondire la conoscenza e l utilizzo del framework CobiT, ricordiamo che propone metodi di autovalutazione per verificare quanto i vari processi siano erogati in modo adeguato alle specifiche esigenze, mettendo in risalto le aree di miglioramento. Il framework medesimo propone inoltre un ulteriore livello di dettaglio delle attività/controlli con le cosiddette Pratiche di Controllo 15

16 ROSI Return on Security Investments: un approccio pratico versione Approccio Top-Down Identificazione scenari di intervento Definiti i processi per la gestione della sicurezza e identificati i processi IT che contribuiscono alla sicurezza del SI dobbiamo, a questo punto, valutare se e come intervenire per mantenere un livello di sicurezza adeguato al contesto in continua evoluzione (business, minacce, tecnologie, ecc) in cui opera l azienda. Come è noto, gli interventi di sicurezza possono essere di tipo organizzativo, tecnologico o misto in funzione della problematica che vanno ad indirizzare. In tutti i casi è fondamentale che gli interventi siano individuati attraverso un processo solido e comprensibile per il management. Una delle principali cause di difficoltà nel giustificare una soluzione di sicurezza è da ricercarsi proprio nella non sostenibilità del metodo che ha condotto alla scelta della stessa, e non tanto nella soluzione in sè o nell entità dell investimento richiesto. Il responsabile della sicurezza deve quindi far proprio un approccio in grado di porlo nelle condizioni di illustrare con chiare argomentazioni quantitative e qualitative l adeguatezza degli interventi di sicurezza da porre in essere. Anche in questo caso le Best Practice e gli standard in materia ci vengono in aiuto. Relativamente al miglioramento dei processi di sicurezza, gli aspetti disponibili in letteratura per la sua loro valutazione sono i seguenti: 1 Sensibilizzazione e capacità di comunicare. 2 Policy, piani e procedure. 3 Strumenti ed automazione. 4 Competenza ed esperienza. 5 Definizione delle responsabilità. 6 Definizione e misura degli obiettivi. 9 Si veda per riferimento il sito ufficiale sei.cmu.edu/cmmi/start/. Può essere utile anche la trattazione generale disponibile su Wikipedia: wiki/capability_maturity_ Model. Esistono in merito tecniche molto evolute e sofisticate che, tramite un autovalutazione, consentono di individuare quale sia, in una certa area / processo, la carenza più critica. Pur mantenendosi nei limiti del presente documento, è opportuna una riflessione: i risultati ottimali in genere si ottengono se i sei elementi sono ragionevolmente tra loro bilanciati. Un contributo interessante all identificazione di eventuali punti di miglioramento nei processi di sicurezza in essere può arrivare da una attività di analisi del loro grado di maturità secondo i criteri di valutazione tipici del Capability Maturity Model elaborato dall IT Governance Institute 9. Il modello, infatti, consente un immediato confronto tra la situazione attuale e la situazione a tendere, potenzialmente rappresentata dal livello di maturità successivo a quello nel quale il singolo processo risulta posizionato. I livelli di maturità individuati dal Capability Maturity Model sono: Non existent: il processo descritto non esiste; Initial: il processo descritto è stato svolto. Lo svolgimento è dipeso dalla competenza specifica di chi lo ha curato. La replica del processo richiede la disponibilità della stessa risorsa; Repeatable: il processo descritto è stato svolto e sono state documentate le risultanze di tale lavoro. Sulla base di tale documentazione un soggetto diverso può ripetere il processo rispettandone gli stessi passi logici e di documentazione; Defined: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Del processo sono pertanto disponibili il metodo da seguire e l evidenza dei risultati; 16

17 3. Metodo Managed: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le istruzioni prescrivono che del processo siano effettuate misure quantitative del progresso e dei risultati ottenuti in un periodo definito di tempo; Optimized: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le misurazioni effettuate del processo nei vari momenti di esecuzione danno luogo a una valutazione comparativa e di bilanciamento tra costi del processo e benefici ottenuti, in ottica di miglioramento continuo. Si precisa che la condizione minima affinché un processo di sicurezza possa definirsi tale è che di esso si possano indicare con chiarezza l owner, l obiettivo di protezione assegnato e gli obiettivi di controllo da rispettare. Si osserva che, seppure fattibile (in modo intuitivo nel caso Defined o in modo sistematico nei casi Managed e/o Optimized), l evoluzione della qualità dei processi di sicurezza è tanto più realisticamente ottenibile quanto più i processi di sicurezza medesimi sono valutati ai livelli di maturità Managed o Optimized e non semplicemente al livello Defined. Ciò è implicito nel fatto che la sicurezza è pianificata e governata da un approccio basato sulla gestione del rischio, il quale presuppone che di ogni processo di sicurezza sia disponibile un feedback. Al contrario, la predominanza di processi valutati allo stadio Non existent, Initial e Repeatable indica una copertura parziale e poco strutturata degli aspetti di sicurezza, dipendente dall abilità professionale dei soggetti dedicati, poco allineata con gli obiettivi di business ed esposta a una progressiva perdita di efficacia Gestione del rischio Riguardo l individuazione degli interventi da porre in essere per tutelare RIDC lo standard ISO/IEC 27001:2005 raccomanda di ricorrere ad un approccio basato sulla gestione del rischio. In particolare, lo standard ISO/IEC 27005:2008 definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica. Il processo di Risk Management proposto dall ISO/IEC prevede un approccio iterativo basato, fondamentalmente, su 6 macro-attività: Context Establishment; Risk Identification; Risk Estimation; Risk Evaluation; Risk Treatment; Risk Acceptance. Un processo di Risk Management consente di valutare l esposizione al rischio degli asset aziendali; fornisce i criteri per l identificazione della modalità di gestione del rischio rilevato; fornisce gli elementi per l individuazione puntuale degli interventi di sicurezza da porre in essere per ridurre il rischio; consente di attribuire la giusta priorità agli interventi individuati. Tale processo assume ancora più rilevanza prendendo in considerazione i risultati di alcuni studi (nel box un estratto dalla IT Business Balance Survey 2011 di Deloitte) che indicano come la reale consapevolezza di quali incidenti realmente accadano nelle organizzazioni sia ancora assai carente, e di conseguenza come sia fuorviata la percezione del reale rischio da parte del management. 17

18 ROSI Return on Security Investments: un approccio pratico versione 2.0! " Figura 5 - Estratto dalla IT Survey Deloitte 2011 Inoltre, richiedendo il coinvolgimento dei referenti di business in specifici passi d analisi per la valutazione dell esposizione al rischio di un processo di business, contribuisce in maniera sensibile alla diffusione in azienda della cultura sulla sicurezza. Molto spesso, infatti, la piena consapevolezza in azienda circa l importanza di proteggere la RIDC di un asset prende corpo solo al termine della Business Impact Analysis, ovvero dopo che l azienda è stata chiamata a valutare i possibili impatti (economico, legislativo, d immagine, ecc.) che la compromissione di uno o più criteri di sicurezza (RIDC) per un determinato asset causerebbe all azienda. A questo proposito, sempre per favorire la consapevolezza di quanti e quali siano gli incidenti possibili, e quali le loro (anche gravi) conseguenze proprio perché a volte si fa fatica ad immaginare quanto la realtà possa superare le nostre anche più ardite supposizioni rimandiamo all interessante documento di Riccardo Scalici Il Panorama dei rischi, disponibile sul sito del Clusit alla sezione Assicurazioni 10. Questo documento, frutto dell esperienza dell autore nel settore assicurativo, riporta numerosi casi realmente accaduti, nei quali, con un minimo sforzo, ci si può riconoscere, facilitando di molto il lavoro di chi deve presentare un ROSI su casi che altrimenti potrebbero sembrare assai lontani Output del processo di gestione del rischio Al termine del processo di Risk Management il responsabile della sicurezza ha a disposizione l insieme delle informazioni che gli consentono di identificare: la strategia di gestione dei rischi da attuare, tra quelle riportate in Tabella 2; gli obiettivi di controllo che consentono di ridurre o mitigare il rischio rilevato, con il supporto dello standard ISO/IEC 27001; i controlli da porre in essere per soddisfare gli obiettivi di controllo definiti, con il supporto dello standard ISO/IEC Code of Practice; le contromisure organizzative e/o tecnologiche che consentono di attuare i controlli identificati. Tali contromisure potranno fornire protezione su diversi fronti: - ridurre le minacce; - ridurre le vulnerabilità; - ridurre l impatto; - rilevare una minaccia (contromisura applicabile solo in ambito preventivo). Tabella 2 - Strategie di gestione del rischio (fonte Gartner) 10 Il documento è scaricabile dal link rscalici_ pdf. Action Accept the Risk Avoid the Risk Description When the risk is so unlikely or its impact so low that it warrants no further action, the company can decide to simply bear the cost of recovery if the need arises. When the cost and likelihood of the risk are large, it may no longer be feasible to continue operation in the area of activity that incurs the risk. 18

19 3. Metodo Action Transfer or Share the Risk Reduce or Mitigate the Risk Ignore the Risk Description When the risk is part of the business but the cost is predictable the company may share or transfer risk through insurance, contracts and warranties, and joint-venture agreements. The cost of those penalties belong entirely to the delivery service. Often, risk must be borne for a core function of the business; however, systems and controls will be needed to mitigate or reduce either the likelihood or the impact of the risk It is very dangerous for executives to do nothing neither consciously accepting the risk nor mitigating it. A questo punto, dopo aver individuato un certo numero di aree di miglioramento, ed identificato per ciascuna di esse gli interventi da porre in essere, poiché generalmente le aree di miglioramento sono numerose mentre le risorse disponibili (economiche, persone, ecc.) sono limitate, è necessario definire delle priorità. Purtroppo non è possibile qui entrare nel dettaglio delle modalità con cui assegnare le priorità in modo oggettivo e basato unicamente sui fatti. Ai fini pratici, tuttavia, importa soltanto che una priorità sia assegnata, anche arbitrariamente, in modo che sia possibile ordinare gli interventi nel tempo, assegnare le risorse, e così via. 3.4 Approccio Verify Identificazione Pattern Nel caso in cui sia già stata definita una soluzione di sicurezza per la risoluzione di una determinata problematica e si debba dimostrare al management il ritorno dell investimento che si propone, è possibile adottare un approccio bottom-up, che chiamiamo Verify, il quale si basa su un modello di riferimento finalizzato alla valutazione dei potenziali benefici ottenibili dall adozione della soluzione. Questo modello è naturalmente arbitrario, e nulla vieta che faccia riferimento a specifiche tecnologie che già si ritengono promettenti, soprattutto laddove (come nell impresa privata) non vi è il prerequisito necessario di neutralità rispetto ai potenziali fornitori. Di seguito si riporta un possibile approccio di riferimento che può essere utilizzato per descrivere la necessità di un investimento in sicurezza considerato già noto e definito per diverse motivazioni (es. imposizione normativa, risoluzione di una vulnerabilità significativa, ecc.) e giustificarne, in modo strutturato, l adozione nei confronti del management, individuando anche i potenziali ritorni, qualitativi e quantitativi, ottenibili. Si riportano pertanto le modalità di definizione di un pattern e alcune schede esemplificative, che possono essere utilizzate come riferimento per la rappresentazione delle soluzioni di sicurezza da sottoporre al management per autorizzazione all investimento. 3.5 Approccio Verify Predisposizione Pattern Per presentare un pattern in maniera coerente e riproducibile, è indispensabile seguire uno schema, che può naturalmente essere arbitrario, ma che è a priori di difficile costruzione. Si riporta quindi nel seguito una possibile modalità di rappresentazione schematica per la stesura di un pattern, che potrà essere successivamente utilizzata a supporto del documento di presenta- 19

20 ROSI Return on Security Investments: un approccio pratico versione 2.0 zione al management per ottenere l approvazione dell investimento (vedi sezione 4 - Documento ROSI ). Al capitolo 5 Esempi di pattern si riportano degli esempi costruiti dal GdL e da altri contributori. Tabella 3 - Schema di Pattern PATTERN Indicazione del nome del pattern AREA DI INTERVENTO Riferimento agli obiettivi di controllo dello standard ISO27001 SINTESI Criteri di Sicurezza Conformità Riservatezza Integrita` Disponibilita` Risorse Impattate Infrastruttura Risorse Umane Applicazioni Informazioni Driver di Business Rischi operativi Compliance Immagine aziendale Efficienza processi CONTESTO DI RIFERIMENTO Descrizione dell ambito di applicazione del pattern DESCRIZIONE Descrizione della soluzione di sicurezza per la quale si propone l investimento DRIVER / MOTIVAZIONI Indicazione dei driver e delle motivazioni che inducono ad effettuare l investimento PUNTI DI ATTENZIONE Indicazione di criticità/punti di attenzione correlati all investimento ELEMENTI DI VALUTAZIONE Descrizione degli elementi quantitativi e qualitativi da considerare per la stima del ritorno dell investimento BENEFICI / VANTAGGI Descrizione dei benefici quantitativi e dei vantaggi qualitativi ottenibili dall investimento Di seguito si descrivono analiticamente gli elementi riportati nella scheda, per un suo utilizzo più agevole e coerente con gli obiettivi prefissati Pattern Identifica la soluzione di sicurezza oggetto dell investimento da valutare, che può essere di tipo puramente tecnologico, organizzativa o un mix di entrambe. Può pertanto far riferimento sia a progetti complessi e trasversali a più funzioni aziendali (es. Identity & Access Management), come a soluzioni tecniche specifiche per la risoluzione di un determinato problema (es. cifratura dei dati dei PC del management) Area di intervento Al fine di uniformare le soluzioni di sicurezza individuate alle best practice nell ambito dell information security, si propone di ricondurre l analisi ad aree di intervento già delineate dagli standard internazionali quali lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per costituire un sistema di gestione della sicurezza delle informazioni. Lo standard ISO27001 definisce gli obiettivi di controllo ed i controlli di sicurezza, raggruppandoli secondo undici categorie: Security Policy Organizing Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control 20

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Legame fra manutenzione e sicurezza. La PAS 55

Legame fra manutenzione e sicurezza. La PAS 55 Gestione della Manutenzione e compliance con gli standard di sicurezza: evoluzione verso l Asset Management secondo le linee guida della PAS 55, introduzione della normativa ISO 55000 Legame fra manutenzione

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

ITIL Versione 3: un contributo all importanza crescente del Business Service Management

ITIL Versione 3: un contributo all importanza crescente del Business Service Management BEST PRACTICES WHITE PAPER ITIL Versione 3: un contributo all importanza crescente del Business Service Management Sharon Taylor, Presidente di Aspect Group, Chief Architect e Chief Examiner per ITIL Ken

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

Progetto BPR: Business Process Reengineering

Progetto BPR: Business Process Reengineering Progetto BPR: Business Process Reengineering Riflessioni frutto di esperienze concrete PER LA CORRETTA INTERPRETAZIONE DELLE PAGINE SEGUENTI SI DEVE TENERE CONTO DI QUANTO ILLUSTRATO ORALMENTE Obiettivo

Dettagli

IT Service Management

IT Service Management IT Service Management L'importanza dell'analisi dei processi nelle grandi e medie realtà italiane Evento Business Strategy 2.0 Firenze 25 settembre 2012 Giovanni Sadun Agenda ITSM: Contesto di riferimento

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Evoluzione dei servizi di incasso e pagamento per il mercato italiano

Evoluzione dei servizi di incasso e pagamento per il mercato italiano www.pwc.com/it Evoluzione dei servizi di incasso e pagamento per il mercato italiano giugno 2013 Sommario Il contesto di riferimento 4 Un modello di evoluzione dei servizi di incasso e pagamento per il

Dettagli

ITIL. Introduzione. Mariosa Pietro

ITIL. Introduzione. Mariosa Pietro ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza Codice di Comportamento Genesi Uno Linee Guida e Normative di Integrità e Trasparenza Caro Collaboratore, vorrei sollecitare la tua attenzione sulle linee guida ed i valori di integrità e trasparenza che

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET LE ESIGENZE INFORMATICHE NELL ERA di INTERNET Internet una finestra sul mondo... Un azienda moderna non puo negarsi ad Internet, ma.. Per attivare un reale business con transazioni commerciali via Internet

Dettagli

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls Information Technology General Controls Indice degli argomenti Introduzione agli ITGC ITGC e altre componenti del COSO Framework Sviluppo e manutenzione degli applicativi Gestione operativa delle infrastrutture

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

R E A L E S T A T E G R U P P O R I G A M O N T I. C O M

R E A L E S T A T E G R U P P O R I G A M O N T I. C O M REAL ESTATE GRUPPORIGAMONTI.COM 2 Rigamonti Real Estate La scelta giusta è l inizio di un buon risultato Rigamonti Founders Rigamonti REAL ESTATE Società consolidata nel mercato immobiliare, con più di

Dettagli

La Valutazione degli Asset Intangibili

La Valutazione degli Asset Intangibili La Valutazione degli Asset Intangibili Chiara Fratini Gli asset intangibili rappresentano il patrimonio di conoscenza di un organizzazione. In un accezione ampia del concetto di conoscenza, questo patrimonio

Dettagli

Codice di Condotta Professionale per i Gestori Patrimoniali

Codice di Condotta Professionale per i Gestori Patrimoniali Codice di Condotta Professionale per i Gestori Patrimoniali Etica: valore e concretezza L Etica non è valore astratto ma un modo concreto per proteggere l integrità dei mercati finanziari e rafforzare

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

Completezza funzionale KEY FACTORS Qualità del dato Semplicità d'uso e controllo Tecnologie all avanguardia e stabilità Integrabilità

Completezza funzionale KEY FACTORS Qualità del dato Semplicità d'uso e controllo Tecnologie all avanguardia e stabilità Integrabilità Armundia Group è un azienda specializzata nella progettazione e fornitura di soluzioni software e consulenza specialistica per i settori dell ICT bancario, finanziario ed assicurativo. Presente in Italia

Dettagli

Business Process Modeling Caso di Studio

Business Process Modeling Caso di Studio Caso di Studio Stefano Angrisano, Consulting IT Specialist December 2007 2007 IBM Corporation Sommario Perché l architettura SOA? Le aspettative del Cliente. Ambito applicativo oggetto dell introduzione

Dettagli

1 BI Business Intelligence

1 BI Business Intelligence K Venture Corporate Finance Srl Via Papa Giovanni XXIII, 40F - 56025 Pontedera (PI) Tel/Fax 0587 482164 - Mail: info@kventure.it www.kventure.it 1 BI Business Intelligence Il futuro che vuoi. Sotto controllo!

Dettagli

L ultima versione di ITIL: V3 Elementi salienti

L ultima versione di ITIL: V3 Elementi salienti L ultima versione di ITIL: V3 Elementi salienti Federico Corradi Workshop SIAM Cogitek Milano, 17/2/2009 COGITEK s.r.l. Via Montecuccoli 9 10121 TORINO Tel. 0115660912 Fax. 0115132623Cod. Fisc.. E Part.

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni A cura di Bernardo Puccetti Il Business Process Management nella PA Presentazione SOFTLAB

Dettagli

Come evitare i rischi di una due diligence tradizionale

Come evitare i rischi di una due diligence tradizionale Mergers & Acquisitions Come evitare i rischi di una due diligence tradizionale Di Michael May, Patricia Anslinger e Justin Jenk Un controllo troppo affrettato e una focalizzazione troppo rigida sono la

Dettagli

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI COMMISSIONE PARITETICA PER I PRINCIPI DI REVISIONE LA COMPRENSIONE DELL IMPRESA E DEL SUO CONTESTO E LA VALUTAZIONE DEI

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

Governance e performance nei servizi pubblici locali

Governance e performance nei servizi pubblici locali Governance e performance nei servizi pubblici locali Anna Menozzi Lecce, 26 aprile 2007 Università degli studi del Salento Master PIT 9.4 in Analisi dei mercati e sviluppo locale Modulo M7 Economia dei

Dettagli

Corso di Specializzazione IT SERVICE MANAGEMENT

Corso di Specializzazione IT SERVICE MANAGEMENT Corso di Specializzazione IT SERVICE MANAGEMENT Con esame ufficiale di certificazione ITIL V3 Foundation INTRODUZIONE Un numero crescente di organizzazioni appartenenti ai più diversi settori produttivi

Dettagli

Linee guida per il reporting di sostenibilità

Linee guida per il reporting di sostenibilità RG Linee guida per il reporting di sostenibilità 2000-2011 GRI Versione 3.1 2000-2011 GRI Versione 3.1 Linee guida per il reporting di sostenibilità RG Indice Prefazione Lo sviluppo sostenibile e l imperativo

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

VERSO UN SISTEMA NAZIONALE INFEA COME INTEGRAZIONE DEI SISTEMI A SCALA REGIONALE

VERSO UN SISTEMA NAZIONALE INFEA COME INTEGRAZIONE DEI SISTEMI A SCALA REGIONALE LINEE DI INDIRIZZO PER UNA NUOVA PROGRAMMAZIONE CONCERTATA TRA LO STATO, LE REGIONI E LE PROVINCE AUTONOME DI TRENTO E BOLZANO IN MATERIA IN.F.E.A. (INFORMAZIONE-FORMAZIONE-EDUCAZIONE AMBIENTALE) VERSO

Dettagli

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it

Profilo Aziendale ISO 9001: 2008. METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it ISO 9001: 2008 Profilo Aziendale METISOFT spa - p.iva 00702470675 - www.metisoft.it - info@metisoft.it Sede legale: * Viale Brodolini, 117-60044 - Fabriano (AN) - Tel. 0732.251856 Sede amministrativa:

Dettagli

Principi di stewardship degli investitori istituzionali

Principi di stewardship degli investitori istituzionali Corso di diritto commerciale avanzato a/ a/a2014 20152015 Fabio Bonomo (fabio.bonomo@enel.com fabio.bonomo@enel.com) 1 Indice Principi di stewardship degli investitori istituzionali La disciplina dei proxy

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

La best practice ITILv3 nell IT Sourcing

La best practice ITILv3 nell IT Sourcing La best practice ITILv3 nell IT Sourcing Novembre 2009 Indice 1. Introduzione... 4 1.1. Il contesto dell outsourcing... 4 1.2. Le fasi di processo e le strutture di sourcing... 7 1.3. L esigenza di governance...

Dettagli

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI Prefazione Autori XIII XVII Capitolo 1 Sistemi informativi aziendali 1 1.1 Introduzione 1 1.2 Modello organizzativo 3 1.2.1 Sistemi informativi

Dettagli

General Motors: la storia della nascita e della crescita di una giant firm 1

General Motors: la storia della nascita e della crescita di una giant firm 1 General Motors: la storia della nascita e della crescita di una giant firm 1 Centralized control with decentralized responsibility (Johnson and Kaplan, 1987) 1. Dalla nascita fino al 1920 La General Motors,

Dettagli

la gestione dei processi comunicazione. i marketing manager si incontrano in Officina- Strategia

la gestione dei processi comunicazione. i marketing manager si incontrano in Officina- Strategia i marketing manager si incontrano in Officina- Strategia la gestione dei processi di comunicazione in quale scenario deve identificarsi un progetto di miglioramento, nella gestione dei beni digitali per

Dettagli

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI CSC ritiene che la Business Intelligence sia un elemento strategico e fondamentale che, seguendo

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc Scuola universitaria professionale della Svizzera italiana Dipartimento tecnologie innovative Istituto sistemi informativi e networking Specialista ITIL Certificate of Advanced Studies www.supsi.ch/fc

Dettagli

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano

Dettagli

CATALOGO FORMAZIONE 2015

CATALOGO FORMAZIONE 2015 CATALOGO FORMAZIONE 2015 www.cogitek.it Sommario Introduzione... 4 Area Tematica: Information & Communication Technology... 5 ITIL (ITIL is a registered trade mark of AXELOS Limited)... 6 Percorso Formativo

Dettagli

Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità

Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità Paola Garrone, Marco Melacini e Alessandro Perego Politecnico di Milano Indagine realizzata da Fondazione per la Sussidiarietà e

Dettagli

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e'

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il continuous improvement ed e' ITIL v3 ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e' giusto che lo applichi anche a se' stessa... Naturalmente una

Dettagli

Sussidio guida per la stesura della Relazione ex post

Sussidio guida per la stesura della Relazione ex post AGENZIA SANITARIA E SOCIALE REGIONALE ACCREDITAMENTO IL RESPONSABILE PIERLUIGI LA PORTA Sussidio guida per la stesura della Relazione ex post D.Lgs. 229/99 I principi introdotti dal DLgs 502/92 art. 8

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969 Curriculum Vitae INFORMAZIONI PERSONALI Nome FARHANG DAREHSHURI, NUSHIN Nazionalità Italiana Data di nascita 28 gennaio 1969 Titolo di studio Laurea in Ingegneria Elettronica conseguita presso il politecnico

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

NOTE METODOLOGICHE PRINCIPALI MARGINI ECONOMICI - SOCIETA INDUSTRIALI, COMMERCIALI E PLURIENNALI

NOTE METODOLOGICHE PRINCIPALI MARGINI ECONOMICI - SOCIETA INDUSTRIALI, COMMERCIALI E PLURIENNALI NOTE METODOLOGICHE PRINCIPALI MARGINI ECONOMICI - SOCIETA INDUSTRIALI, COMMERCIALI E PLURIENNALI Valore aggiunto Valore della produzione - Consumi di materie - Spese generali + Accantonamenti Mol (Valore

Dettagli

Risparmiatori italiani combattuti tra ricerca del rendimento e protezione del capitale.

Risparmiatori italiani combattuti tra ricerca del rendimento e protezione del capitale. Risparmiatori italiani combattuti tra ricerca del rendimento e protezione del capitale. Questo il risultato di una ricerca di Natixis Global Asset Management, secondo cui di fronte a questo dilemma si

Dettagli

BRM. Tutte le soluzioni. per la gestione delle informazioni aziendali. BusinessRelationshipManagement

BRM. Tutte le soluzioni. per la gestione delle informazioni aziendali. BusinessRelationshipManagement BRM BusinessRelationshipManagement Tutte le soluzioni per la gestione delle informazioni aziendali - Business Intelligence - Office Automation - Sistemi C.R.M. I benefici di BRM Garantisce la sicurezza

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

9 Forum Risk Management in Sanità. Progetto e Health. Arezzo, 27 novembre 2014

9 Forum Risk Management in Sanità. Progetto e Health. Arezzo, 27 novembre 2014 9 Forum Risk Management in Sanità Tavolo interassociativo Assinform Progetto e Health Arezzo, 27 novembre 2014 1 Megatrend di mercato per una Sanità digitale Cloud Social Mobile health Big data IoT Fonte:

Dettagli

Rischio impresa. Rischio di revisione

Rischio impresa. Rischio di revisione Guida alla revisione legale PIANIFICAZIONE del LAVORO di REVISIONE LEGALE dei CONTI Formalizzazione delle attività da svolgere nelle carte di lavoro: determinazione del rischio di revisione, calcolo della

Dettagli

di Sara Baroni Marketing e Vendite >> Marketing e Management

di Sara Baroni Marketing e Vendite >> Marketing e Management GESTIRE CON SUCCESSO UNA TRATTATIVA COMMERCIALE di Sara Baroni Marketing e Vendite >> Marketing e Management OTTENERE FIDUCIA: I SEI LIVELLI DI RESISTENZA Che cosa comprano i clienti? Un prodotto? Un servizio?

Dettagli

Indice. La Missione 3. La Storia 4. I Valori 5. I Clienti 7. I Numeri 8. I Servizi 10

Indice. La Missione 3. La Storia 4. I Valori 5. I Clienti 7. I Numeri 8. I Servizi 10 Indice La Missione 3 La Storia 4 I Valori 5 I Clienti 7 I Numeri 8 I Servizi 10 La Missione REVALO: un partner operativo insostituibile sul territorio. REVALO ha come scopo il mantenimento e l incremento

Dettagli

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni:

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni: Passepartout Mexal BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

Business Process Management

Business Process Management Corso di Certificazione in Business Process Management Progetto Didattico 2015 con la supervisione scientifica del Dipartimento di Informatica Università degli Studi di Torino Responsabile scientifico

Dettagli

La funzione di Compliance: profili organizzativi e costi

La funzione di Compliance: profili organizzativi e costi La funzione di Compliance: profili organizzativi e costi Survey Risultati INDICE Pagina 1 Prefazione... 4 2 Premessa... 6 3 Informazioni generali...7 3.1 3.2 3.3 3.4 4 7 8 11 12 Organizzazione della funzione

Dettagli

UNIVERSITÀ DEGLI STUDI DI GENOVA

UNIVERSITÀ DEGLI STUDI DI GENOVA UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI SCIENZE MATEMATICHE FISICHE E NATURALI CORSO DI LAUREA IN INFORMATICA Prova Finale GESTIONE DELLA TRANSIZIONE SECONDO LO STANDARD ITIL ITIL SERVICE TRANSITION

Dettagli

Enrico Fontana. L Health Technology Assessment applicato ai Sistemi informativi. Prefazione di Massimiliano Manzetti. Presentazione di Nicola Rosso

Enrico Fontana. L Health Technology Assessment applicato ai Sistemi informativi. Prefazione di Massimiliano Manzetti. Presentazione di Nicola Rosso A09 Enrico Fontana L Health Technology Assessment applicato ai Sistemi informativi Prefazione di Massimiliano Manzetti Presentazione di Nicola Rosso Copyright MMXV ARACNE editrice int.le S.r.l. www.aracneeditrice.it

Dettagli

CORPORATE OVERVIEW. www.akhela.com

CORPORATE OVERVIEW. www.akhela.com CORPORATE OVERVIEW www.akhela.com BRIDGE THE GAP CORPORATE OVERVIEW Bridge the gap Akhela è un azienda IT innovativa che offre al mercato servizi e soluzioni Cloud Based che aiutano le aziende a colmare

Dettagli

IL PROGETTO MINDSH@RE

IL PROGETTO MINDSH@RE IL PROGETTO MINDSH@RE Gruppo Finmeccanica Attilio Di Giovanni V.P.Technology Innovation & IP Mngt L'innovazione e la Ricerca sono due dei punti di eccellenza di Finmeccanica. Lo scorso anno il Gruppo ha

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli

Energy risk management

Energy risk management Il sistema di supporto alle tue decisioni Energy risk management Un approccio orientato agli attori M.B.I. Srl, Via Francesco Squartini 7-56121 Pisa, Italia - tel. 050 3870888 - fax. 050 3870808 www.powerschedo.it

Dettagli

La politica Nestlé per la Salute e la Sicurezza sul Lavoro

La politica Nestlé per la Salute e la Sicurezza sul Lavoro La politica Nestlé per la Salute e la Sicurezza sul Lavoro La sicurezza non è negoziabile Nestlé è convinta che il successo a lungo termine possa essere raggiunto soltanto grazie alle sue persone. Nessun

Dettagli

BOARD in Eisai: crescere con il Performance Management

BOARD in Eisai: crescere con il Performance Management BOARD in Eisai: crescere con il Performance Management Gli aspetti maggiormente apprezzabili nell utilizzo di BOARD sono la tempestività nel realizzare ambienti di analisi senza nessun tipo di programmazione

Dettagli

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI.

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. Come gruppo industriale tecnologico leader nel settore del vetro e dei materiali

Dettagli

Pronti per la Voluntary Disclosure?

Pronti per la Voluntary Disclosure? Best Vision GROUP The Swiss hub in the financial business network Pronti per la Voluntary Disclosure? Hotel de la Paix, 21 aprile 2015, ore 18:00 Hotel Lugano Dante, 22 aprile 2015, ore 17:00 Best Vision

Dettagli