ROSI Return on Security Investments: un approccio pratico

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ROSI Return on Security Investments: un approccio pratico"

Transcript

1 ROSI Return on Security Investments: un approccio pratico Come ottenere Commitment sulla Security versione 2.0 AIEA CLUSIT Deloitte Ernst & Young KPMG Oracle PricewaterhouseCoopers

2 LICENZA D USO Il testo completo della Licenza d uso è disponibile sul sito di Creative Commons, al link Preghiamo inoltre chi volesse utilizzare questo testo all interno di propri lavori (non semplicemente con una citazione) di segnalarlo con un messaggio all indirizzo

3 Sommario 1. Introduzione L iniziativa Gruppo di Lavoro ROSI e motivazioni del lavoro Perché fare un ROSI? Management Summary Cos è il ROSI? A chi si rivolge? A cosa serve il ROSI? Quali benefici porta la costruzione di un ROSI? Guida alla lettura Metodo Documenti di riferimento Identificazione esigenze Identificazione scenari di intervento Gestione del rischio Output del processo di gestione del rischio Identificazione Pattern Predisposizione Pattern Pattern Area di intervento Criteri di sicurezza Risorse impattate Driver di business Contesto di riferimento Descrizione Driver/motivazioni Punti di attenzione Elementi di valutazione Benefici/vantaggi Identificazione Business Drivers e Metriche di sicurezza Individuazione delle motivazioni operative (business drivers) Identificazione degli stakeholder Identificazione dei benefici e degli obiettivi Identificazione delle metriche L esempio dell IAM Valutazione del ROSI in un dato scenario Approccio per il calcolo dei KCI e dei KRI Costi...29 Diretti/Indiretti...30 Fissi/Variabili...30 Capital/Operational

4 3.7.3 I costi per il ROSI Ritorni I ritorni per il ROSI Un esempio di valutazione del ROSI Step 1: Individuazione dei costi e dei ritorni Step 2: Definizione degli indicatori per il ROSI Step 3: Identificazione delle metriche disponibili Step 4: Predisposizione di nuove metriche Step 5: Misurazione delle metriche Step 6: Valutazione degli indicatori Documento ROSI Struttura del documento Executive summary Stato dell arte Obiettivo desiderato Proposta operativa Esempi di pattern Pattern Amministratori di Sistema Pattern Identity and Access Management Pattern Single Sign On Pattern IDS Pattern Application Security Pattern Sicurezza Fisica Pattern IRM Pattern Security Assessment Industriale Pattern PCI-DSS Pattern DLP Pattern DAM Pattern Role Management Pattern VDI Company Profiles AIEA Clusit Oracle Deloitte Ernst & Young KPMG PricewaterhouseCoopers Appendici e Revisioni Appendice A Appendice B Storia delle versioni Versione Versione

5 1. Introduzione - L iniziativa 1.1 Gruppo di Lavoro ROSI e motivazioni del lavoro Questa iniziativa è stata avviata da AIEA, Clusit e Oracle, nel settembre 2009, e vede la partecipazione all interno del Gruppo di Lavoro (GdL) di Deloitte, Ernst & Young, KPMG e PriceWaterhouseCoopers. L esperienza delle aziende e delle associazioni componenti del Gruppo di Lavoro mostra chiaramente come esista una necessità, nel mercato della sicurezza informatica, di fare un passo avanti e di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti nei differenti capitoli di spesa. Mentre altri tipi di spesa in migliorie organizzative o tecnologiche vengono riconosciuti, correttamente, non solo come esborsi ma anche come investimenti, volti a rendere in assoluto possibili certe azioni imprenditoriali, oppure a migliorare l efficienza e/o l efficacia di taluni processi, la spesa in sicurezza è percepita quasi dovunque solo come costo puro, un vincolo, una tassa da pagare per conformarsi alle pratiche correnti piuttosto che alle pretese di un regolatore o di un legislatore. Si aggiunga che anche l industria del software e dell hardware di sicurezza ha spesso adottato, come propria strategia di vendita, quella di seguire questa linea di minima resistenza. Intere campagne marketing hanno cercato di indurre alla spesa sventolando lo spauracchio di non ben identificati cattivi (spesso definiti, impropriamente, hacker ) in agguato al fine di introdursi, controllare e danneggiare i nostri sistemi informatici. O ancora, la minaccia, tanto più difficile da razionalizzare perché impersonale ed eterea, del virus o del chissà cosa ti potrebbe succedere. La situazione è quindi, spesso (troppo spesso, a nostro parere) quella di spese in sicurezza spiegate e decise in base alla paura, all incertezza, al dubbio. La situazione, per chi invece lavora nel settore, è palesemente assai diversa da questa: all hacker non ben identificato si sostituiscono criminali ben vivi e presenti, e determinati ad approfittare indebitamente di sistemi ed informazioni altrui per un preciso e personale tornaconto economico. Al chissà cosa ti potrebbe succedere si sostituisce una puntuale analisi del rischio realmente gravante sulla specifica organizzazione, dove le minacce, le vulnerabilità, le aree d impatto e le probabilità d accadimento vengono valutate in modo oggettivo, per quanto a volte, per forza di cose, in via qualitativa e non quantitativa. Alla spesa a fondo perduto si sostituisce l investimento, deciso in base a motivazioni razionali e sostenibili, e dal quale ci si attendono precisi ritorni, magari non a livello economico ma comunque vantaggiosi per l organizzazione. L esperienza dimostra che questi passaggi sono possibili e vantaggiosi, e si vuole, con questo documento, esporre le necessarie condizioni a priori, le possibili metodologie di approccio ed i cambiamenti d atteggiamento che è possibile ottenere. Obiettivo del lavoro è stato pertanto quello di consolidare una riflessione che da più parti stava emergendo, senza peraltro avere grande eco, in merito al ROSI, per dare agli operatori economici pubblici e privati uno strumento che sia di valore per tutto il mercato, e ne stimoli la crescita e la maturazione su tutti i fronti. 1 Attualmente non risulta ci siano altri documenti in italiano sul ROSI, ma esiste dell ottimo materiale in inglese e in francese, in particolare il documento Clusif Rétour sur investissement en sécurité des systèmes d information: quelques clès pour argumenter disponibile al link https://www.clusif.asso. fr/fr/production/ouvrages/ pdf/rosi.pdf e il documento ROSI di ISF richiamato anche nel seguito. 5

6 ROSI Return on Security Investments: un approccio pratico versione 2.0 Crediamo quindi che questo lavoro sia vantaggioso per tutto il settore, e contribuisca in modo sostanziale alla sua maturazione, dando un vantaggio a tutti gli operatori (clienti, fornitori, consulenti, ecc.) e giustificando una collaborazione come questa che vede coinvolte anche aziende normalmente concorrenti sul mercato. Si intende quindi consentire ad aziende private, enti pubblici, vendor tecnologici, società di consulenza, e così via, di approcciare la sicurezza delle informazioni tema obbiettivamente complesso e tendenzialmente multidisciplinare in un modo organico e strutturato, dando a ciascuno gli strumenti per giudicare con cura quali investimenti adottare e su quali strade spingere la propria evoluzione tecnologica ed organizzativa. 1.2 Perché fare un ROSI? Figura 1 Principali problematiche di sicurezza che le imprese stanno affrontando (fonte: Ernst & Young 13th Global Information Security Survey ) In generale i security manager e/o i responsabili dell Information Technology trovano grosse difficoltà a giustificare in azienda gli investimenti in soluzioni per la sicurezza delle informazioni, vuoi per il proprio background culturale, che in genere è più tecnico e quindi meno avvezzo a considerare gli aspetti economico-finanziari, vuoi per la natura stessa delle soluzioni che nella maggior parte dei casi sono destinate a prevenire potenziali rischi non completamente quantificabili piuttosto che finalizzate a fornire un beneficio diretto e misurabile. Tuttavia, proprio gli stessi responsabili della sicurezza e dell Information Technology lamentano che ottenere dei budget adeguati per far fronte agli investimenti in sicurezza sia una delle principali sfide che quotidianamente si trovano ad affrontare in azienda, come è emerso dall annuale ricerca di Ernst & Young Global Information Security Survey. A maggior ragione, in un periodo attraversato da una difficile crisi economica, le aziende dovrebbero adottare una strategia di sicurezza risk-based, al fine di definire le iniziative di sicurezza prioritarie e giustificare al meglio i nuovi investimenti dimostrandone il ritorno in termini di benefici al business, riduzione dei costi operativi, miglioramento dell immagine, ecc. Pertanto l utilizzo di un approccio strutturato per definire il ritorno degli investimenti in sicurezza ( ROSI Return On Security Investment) può aiutare i manager che in azienda si occupano di sicurezza a giustificare al meglio le spese ed ottenerne l approvazione e lo stanziamento di budget superiori. 6

7 2. Management Summary 2.1 Cos è il ROSI? ROSI sta per Return On Security Investment, e s intende con questa sigla il lavoro di valutazione dei vantaggi potenziali di un investimento in sicurezza, in particolare in sicurezza delle informazioni. È un supporto decisionale rivolto in primis a quanti sono in posizioni di responsabilità sul settore di Information e Communication Technology delle organizzazioni, e devono allocare in modo prudente delle risorse scarse. Può essere anche, a posteriori, un supporto per la valutazione di efficacia di processi e/o impianti già in produzione. Non è, come si può intuire, un oggetto paragonabile al ROI che si calcola in ambito finanziario, in quanto non stiamo trattando un investimento nel senso tecnico del termine ovvero di una spesa per un bene che di per sé produrrà ricavi, a meno che il business principale dell investitore sia proprio la sicurezza (e quindi investire, ad esempio, nell acquisto di un sistema di sicurezza, consente di sfruttare questo sistema per fornire servizi a valore aggiunto). In prima istanza, che è spesso l unica analizzata, le spese in sicurezza possono ripagare con la minore probabilità di subire dei danni e quindi, salvo i casi (si spera infrequenti) di effettivo manifestarsi della minaccia, richiedono una spesa certa a fronte di un danno incerto. È sempre vero, inoltre, che nel momento in cui la minaccia si manifesta, il valore delle contromisure diventa almeno pari a quello del bene protetto, se non superiore considerando tutti i mancati danni indiretti (riduzione di business, danno d immagine, sanzioni, ecc.). La spesa in sicurezza, tuttavia, non genera soltanto protezione, ma in svariati casi risulta produttiva anche in modo diretto. La sicurezza abilita alcuni servizi altrimenti impossibili, tanto più quanto sono legati alla protezione della persona o della proprietà (ed in particolare del denaro). Ad esempio, l incremento di affidabilità nel riconoscimento dell utente da parte del sistema informatico permette di automatizzare una serie di servizi (si pensi all introduzione dell home banking). La spesa in sicurezza può generare dei risparmi in altre parti dell organizzazione: nell esempio precedente, per l istituto bancario nasce anche un abbattimento dei costi precedentemente legati al personale operativo. Una spesa in sicurezza, se adeguatamente resa nota alla clientela, produce dei benefici reali in termini di immagine di solidità dell organizzazione andando ad alimentare la fiducia che la clientela ha nell organizzazione stessa. Si intuisce che questa maggiore fiducia si trasferisce immediatamente in un miglioramento dei risultati operativi. il panorama normativo oggi esistente fa sì che, in molti casi, le spese in sicurezza siano obbligatorie per il rispetto delle normative medesime e che quindi abbiano un ritorno effettivo anche se difficilmente misurabile numericamente in termini di compliance. Non è quindi completamente fuori luogo l idea di misurare, in qualche modo, i benefici derivanti dall investimento in sicurezza i quali saranno derivanti dall unione dei vari insiemi di benefici: quelli operativi (in termini di diminuzione del rischio e, al limite, ai minori oneri assicurativi), quelli d immagine e quelli di compliance. 7

8 ROSI Return on Security Investments: un approccio pratico versione 2.0 Si può già intuire che nella maggior parte dei casi, la misura di questi benefici sarà qualitativa, e nuovamente si capisce quanto il ROSI non sia una misura esatta e numerica come il ROI; ma è altrettanto indiscutibile, se ben supportato da dati oggettivi, anche se qualitativi, la sua validità e la sua utilità. 2 La sicurezza delle informazioni copre naturalmente un insieme più grande di oggetti rispetto alla sola sicurezza informatica, dal momento che abbraccia - almeno concettualmente - tutte le informazioni di un organizzazione. Il concetto di informazione, a sua volta, è distinto da quello di dato, perché è con un operazione logica che dai dati si traggono le informazioni. Ad esempio, i dati potrebbero essere le serie storiche delle vendite. L informazione che si può trarre da questi dati è le vendite sono cresciute del 6% rispetto al corrispondente periodo dell anno scorso. La grande maggioranza dei dati e delle informazioni, oggi, risiede sui sistemi informatici, che comunque non coprono la totalità poiché ve n è una consistente parte ancora in archivi cartacei, ma soprattutto (ed è spesso la parte preponderante delle informazioni preziose) si trovano nella testa delle persone. Anche per questo motivo la sicurezza delle informazioni in senso lato deve preoccuparsi anche della safety del personale, oltre che dei sistemi tecnologici e degli archivi tradizionali. Si potrebbe addirittura inferire che il fornire un ambiente di lavoro gradevole e tranquillizzante sia un problema di sicurezza delle informazioni, concetto che è molto meno provocatorio di quanto non si possa immaginare a priori. 2.2 A chi si rivolge? Questo documento è pensato per tutti coloro i quali all interno di un organizzazione hanno ricevuto la responsabilità, in modo più o meno formale, di gestire la sicurezza delle informazioni di cui l organizzazione medesima si serve, a qualsivoglia titolo. Si tratta spesso di specialisti del settore dell informatica e delle telecomunicazioni, generalmente all interno della funzione IT o ICT, ma che non sempre hanno esperienze specifiche in ambito di sicurezza informatica, né, a maggior ragione, di sicurezza delle informazioni. 2 Si tratta a volte di persone di estrazione diversa, e che magari provengono da esperienze in ambito organizzativo o della gestione qualità. Si trovano a riportare a responsabili IT o ICT, ma anche a responsabili dell organizzazione, delle risorse umane o dell amministrazione, o magari addirittura in staff alla direzione generale; ma questo è ininfluente ai fini di questa trattazione. 2.3 A cosa serve il ROSI? Il problema condiviso da molte di queste persone è la necessità di giustificare ad un superiore la proposta di spesa in questo ambito, la sicurezza delle informazioni, che si continua a dimostrare assai sfuggente, perché trattando di spese certe a fronte di eventi per definizione incerti, anzi che si cerca di prevenire o mitigare non si presta ad una trattazione numerica tout court che richiede che i benefici di una spesa possano essere misurati in modo preciso a priori. Tuttavia, come esseri umani, siamo abituati in realtà a trattare con situazioni dove il beneficio è solo ipotetico, e nella nostra vita privata non abbiamo difficoltà ad accettare una spesa il cui ritorno non sia immediatamente tangibile. La difficoltà è in parte generata dall organizzazione stessa che, dovendo contenere per forza le sensibilità di molte persone, richiede di essere convinta di questa necessità con argomentazioni il più possibile oggettive e quindi facili da accettare per chiunque. Il lavoro di stesura di un ROSI guida quindi nella raccolta di una serie di dati significativi, anche se non sempre quantitativi, e nella costruzione di un documento di sintesi dove proporre delle deduzioni ragionevoli e sostenibili rispetto alle possibili spese, con l ottica di trasformare queste spese in investimenti. 2.4 Quali benefici porta la costruzione di un ROSI? Diventa possibile motivare in modo oggettivo le proposte di investimento sulla sicurezza delle informazioni. Diventa possibile fare una graduatoria tra varie proposte di investimento in modo meno arbitrario che nel passato. Diventa possibile valutare in modo oggettivo, a posteriori, la bontà delle scelte di investimento sulla sicurezza delle informazioni. 8

9 2 Management Summary Costringe ad uscire dall ambito puramente tecnologico per valutare l impatto complessivo di ciascun investimento sui risultati operativi finali. 2.5 Guida alla lettura Il tema è, come si diceva, obbiettivamente complesso, e, come spesso accade, lo si può approcciare almeno in due modi: uno più analitico (detto nel seguito Top-Down ), che parte da alcune ipotesi per arrivare a delle conclusioni, ed uno più pragmatico (detto nel seguito Verify ), che si basa su una serie di soluzioni note a problemi comuni e cerca di capirne l applicabilità alla situazione in esame. Il metodo per l identificazione del ROSI è illustrato alla sezione 3, insieme ad alcuni elementi che riteniamo possano tornare utili al lettore per l applicazione dello stesso. La stessa sezione contiene un esempio di applicazione dell approccio Top-Down, mentre numerosi esempi per l approccio Verify sono riportati alla sezione 5. Nella sezione 4 si può invece trovare una guida alla stesura del documento di presentazione al management dei risultati dello studio. Numerosi altri documenti sono citati ed in larga misura disponibili su Internet; alcuni, frutto del lavoro del GdL, sono presenti nel sito ROSI con la stessa licenza del presente documento. Casi reali di incidenti di sicurezza * Caso 1 In un azienda a proprietà pubblica, a causa di un malfunzionamento del Back-up, una parte dei dati contabili e di fatturazione a utenti del servizio pubblico è andata persa (2 giorni di registrazioni). Non essendo possibile, per varie ragioni (non ultima quella di ordine politico-industriale) emettere il rendiconto mensile a 45 milioni di utenti, viene deciso di emettere dei rendiconti per ciascuna operazione registrata (in tal modo è possibile recuperare quasi tutti i dati), e di inviare in più a ciascuno degli utenti una lettera di spiegazione e scuse per il disservizio. I costi dell operazione (e quindi delle perdite) sono pari a 3 milioni di (quasi totalmente indennizzati) a tali costi si sono aggiunti quelli delle lettere di scuse e spiegazione (1 milione); questa ultima parte dei costi non era assicurata ed è rimasta a carico dell amministrazione (1 milione). * Estratto dal documento di Riccardo Scalici Il panorama dei rischi 9

10 ROSI Return on Security Investments: un approccio pratico versione Metodo Se da un lato sono richiesti maggiori investimenti in sicurezza per rispondere ai nuovi dettami legislativi, ai nuovi modelli verso cui tendono le tecnologie a supporto del business (cloud computing, Service Oriented Architecture, Software as a Service, ecc.), all aumento delle minacce che incombono sul business e alla maggiore attenzione al rischio da parte degli organi di controllo aziendali, dall altro gli amministratori di un azienda, spinti dalla necessità di ottenere risultati dimostrabili, richiedono valide giustificazioni prima di autorizzare un qualsiasi tipo d investimento. Ecco quindi che il responsabile della sicurezza del sistema informativo aziendale è chiamato come non mai a superare l ardua sfida di riuscire a dimostrare compiutamente al management il ritorno su un investimento, così da ottenere le risorse necessarie per far fronte alle iniziative necessarie a tutelare la sicurezza del patrimonio informativo aziendale. Il metodo per l identificazione del ROSI che illustreremo in questo capitolo vuole costituire una linea guida in grado di supportare il responsabile della sicurezza in questa sfida rendendo disponibili le indicazioni e gli strumenti che consentano di identificare: dove intervenire; perchè intervenire; come intervenire; i benefici; chi trae beneficio dall intervento; come misurare l efficacia dell intervento; come valutare il ROSI. Il metodo, così come elaborato dal GdL, vuole quindi rendere disponibile al lettore degli spunti di riflessione, concreti e pragmatici, per: identificare gli ambiti in cui la sicurezza contribuisce al perseguimento degli obiettivi aziendali; identificare gli interventi; identificare e coinvolgere nel processo di approvazione dell investimento i componenti del Management, in qualità di Sponsor; definire un sistema di indicatori in grado di evidenziare i benefici che l investimento in sicurezza è e sarà in grado di apportare all azienda nel tempo; valutare il ROSI. Figura 2 Rappresentazione schematica del processo di valutazione del ROSI Approccio Top-Down Approccio Verify Identificazione esigenza Identificazione Pattern Identificazione scenari di intervento Predisposizione Pattern Identificazione Drivers e Indicatori Valutazione ROSI Il metodo è esposto secondo un formato narrativo. Il testo principale rappresenta la linea guida che consentirà di raccogliere tutti gli elementi funzionali al calcolo del ROSI. 10

11 3. Metodo 3.1 Documenti di riferimento Nel corso dell illustrazione del metodo talune affermazioni del testo principale saranno spiegate da note a corredo o espliciti riferimenti a standard e framework internazionali. Per le nostre finalità si fa riferimento a: CoBit 4.1; framework funzionale alla definizione di un sistema di IT Governance perché fornisce un modello per assicurare che: l IT sia allineato con le strategie dell azienda, l IT consenta la gestione delle funzioni aziendali e ne massimizzi i benefici, le risorse dell IT siano usate responsabilmente, i rischi IT siano opportunamente gestiti; ISO/IEC 27001:2005; standard internazionale che definisce i requisiti indispensabili di un sistema per la gestione della sicurezza delle informazioni ed identifica, per ciascuno degli 11 ambiti di sicurezza indicati, gli obiettivi di controllo ed i relativi controlli di sicurezza da porre in essere; ISO/IEC 27002:2005; è il Code of Practice dell ISO 27001, riporta le best practices di sicurezza per l implementazione dei controlli di sicurezza previsti dall ISO 27001; Figura 3 - Posizionamento ROSI ISO/IEC 27005:2008; standard internazionale che definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica; ITIL: insieme di documenti che descrivono le Best Practice nella gestione dei servizi IT e sui processi ed i mezzi necessari a supportarli, nell ottica di erogare servizi di alta qualità. 3.2 Approccio Top-Down Identificazione esigenze I rischi fondamentali di inefficacia della sicurezza sono la copertura a macchia di leopardo, la mancanza di riscontro delle iniziative di sicurezza e l attribuzione di responsabilità e attività di sicurezza a innumerevoli funzioni aziendali. Rischi che, tra l altro, comportano una frammentazione degli investimenti e una perdita di opportunità di sinergia. Queste considerazioni, sulla base anche di standard e best practice consolidate, suggeriscono alle aziende, e in particolar modo al responsabile della sicurezza, di prevedere un approccio alla sicurezza basato sui processi 3 (di sicurezza). 3 Fonti professionali che possono fornire approfondimenti sul significato e sui contenuti dei processi di sicurezza sono: Common Criteria; ITIL (IT Infrastructure Library); CobiT (Control Objective for IT Organizations); SANS Institute; National Institute of Standards and Technology; ISO (con riferimento allo standard ISO/IEC 27001). 11

12 ROSI Return on Security Investments: un approccio pratico versione 2.0 Per processi di sicurezza s intende l insieme delle attività che il sistema di governo della sicurezza richiede siano svolte nel periodo da coloro che, a vario titolo, sono deputati a gestire la sicurezza informatica. La scomposizione delle categorie di processi di sicurezza in attività di sicurezza trova in letteratura una certa variabilità di contenuti. Per le finalità espositive del metodo di cui alla presente Linea Guida, un processo di sicurezza è il comportamento di uno o più soggetti avente lo scopo: di definire le misure di sicurezza congruenti con gli obiettivi generali di sicurezza; e/o di applicare le misure di sicurezza; e distintamente, nel rispetto di rigorose regole di separazione dei compiti, di controllarne l applicazione. I processi di sicurezza vanno collocati nell ambito dei quattro momenti tipici del ciclo Deming (P-Plan, D-Do, C-Check, A-Act) definito dallo standard ISO 9001 da parte dello standard di riferimento ISO/IEC 27001:2005 per la certificazione di un sistema di gestione della sicurezza delle informazioni. Questa impostazione presuppone che l insieme dei processi per il governo della sicurezza sia concepito come un macro-processo di qualità con i suoi momenti tipici (PDCA) che ne consentono il miglioramento e l allineamento continuo agli obiettivi di sicurezza aziendali. Un interessante framework di riferimento per la gestione della sicurezza con un approccio a processi è quello predisposto per conto dell ABI dal gruppo di lavoro dell ABI Lab con la partecipazione di 12 banche italiane ed il coordinamento di Deloitte. Il framework descrive l approccio alla gestione integrata della sicurezza in ambito bancario definito dal gruppo di lavoro ABI Lab. In tale framework i processi sono stati raggruppati in Processi direzionali e Processi operativi e questi ultimi in Processi inerenti la gestione della sicurezza in fase di esercizio e Processi inerenti la gestione della sicurezza in fase di sviluppo (sviluppo di applicativi, disegno di reti e configurazioni di sistemi). La figura che segue illustra i processi di sicurezza previsti dalla linea guida metodologica per l approccio integrato al governo della sicurezza in ambiente bancario. Figura 4 - Framework Processi Sicurezza ABILab Per ciascun processo di sicurezza il framework richiama l obiettivo o scopo del processo; le macroattività che lo caratterizzano e la relativa descrizione; le strutture organizzative a presidio, gli obiettivi di sicurezza presidiati. Seppur nato per rispondere alle stringenti esigenze di sicurezza e di efficienza del mondo bancario 12

13 3. Metodo e, nello specifico, per proporre un approccio integrato al governo della sicurezza in ambito bancario, il framework può costituire un valido modello di riferimento anche per ambiti non bancari. Un buon sistema di governo della sicurezza è in grado di ridurre le inefficienze tipiche di un approccio non strutturato tramite una corretta e puntuale individuazione e indirizzamento delle reali esigenze di sicurezza di un azienda. Una visione per processi, inoltre, facilita il compito di individuare eventuali economie di scala. Possiamo quindi dire che il primo ambito di sicurezza su cui l azienda deve investire è proprio quello afferente al sistema di governo della sicurezza affinchè sia in grado di operare efficacemente ed efficientemente nel tempo, consentendo da un lato di garantire un adeguato e costante livello di sicurezza, evitando false percezioni di sicurezza, e dall altro di ottimizzare gli investimenti concentrandoli ove effettivamente necessario. Nella ricerca dell investimento ottimale in sicurezza è particolarmente importante considerare oltre che le risorse IT anche i processi che le gestiscono. Molto spesso il problema non è nella risorsa in se, ma in come viene gestita o utilizzata. Ad esempio, il più delle volte non mancano i corsi di formazione, ma manca il meccanismo (processo) che provveda ad inviare le persone giuste al corso giusto al momento giusto e che ne valuti i risultati. Un altro aspetto non trascurabile da tenere in considerazione, visto che riguarda i ritorni in investimenti in sicurezza, consiste nel fatto che intervenire sul processo invece che sulla risorsa fornisce, in genere, ritorni molto più elevati. Ad esempio, integrare il processo di sviluppo delle applicazioni con gli aspetti di sicurezza comporta, a parità di risultati, costi nettamente inferiori rispetto alla successiva aggiunta di sicurezza tanto che se soltanto il 50% delle vulnerabilità del software fossero rimosse prima del rilascio in produzione, i costi di mitigazione di tali vulnerabilità sarebbero ridotti del 75% 4. Come noto la sicurezza informatica è chiamata a tutelare la riservatezza, l integrità e la disponibilità (RID) del patrimonio informativo aziendale fornendo un contributo fondamentale nella gestione dei rischi operativi 5 a cui un azienda è esposta. A titolo di esempio si considerino le seguenti categorie di rischio aziendale: Perdita economica; Perdita della proprietà intellettuale; Perdita o danno d immagine; Compromissione dei dati dei clienti e/o dei business partner; Non conformità a norme nazionali e internazionali (Privacy, 231, SOX, ecc.); Indisponibilità dei processi di business; Riservatezza dei dati di business. Non si può non convenire sul fatto che il livello d esposizione dell azienda a queste tipologie di rischio è, tra le altre cose, inversamente proporzionale al livello di sicurezza del sistema informatico a supporto dell operatività quotidiana delle funzioni di business. Si consideri infatti che: una perdita economica può essere dovuta al mancato introito a causa della indisponibilità di una applicazione di business (virus, attacco Denial Of Service, ecc.); una perdita della proprietà intellettuale può essere causata dalla mancanza o carenza di presidi di sicurezza volti a proteggere, a titolo d esempio, la documentazione di progettazione meccanica per la costruzione di un macchinario innovativo; 4 Security at the Application Level Gartner 5 Per una definizione di rischio operativo, si veda ad esempio Rischio_operativo 13

14 ROSI Return on Security Investments: un approccio pratico versione 2.0 una perdita o danno d immagine il più delle volte è conseguenza di una non corretta protezione delle informazioni sensibili di un azienda (dati personali dei clienti, dati finanziari, numero di carte di credito, ecc.) che si traduce in una diffusione incontrollata di informazioni personali o finanziarie; causa di non conformità a norme nazionali e internazionali è il mancato rispetto di requisiti di protezione delle informazioni o di gestione e controllo degli accessi alle stesse per via di una gestione non strutturata della sicurezza. L obiettivo che ci si deve porre, quindi, consiste nell identificare i processi IT che giocano un ruolo importante nella mitigazione dei rischi di Riservatezza, Integrità, Disponibilità delle informazioni e di Conformità alle normative interne ed esterne (in sintesi RIDC). Se si partisse da un foglio bianco l identificazione di tali ambiti potrebbe rivelarsi un impresa ardua, quasi impossibile, ma fortunatamente la sempre maggiore attenzione da parte delle aziende agli aspetti di efficienza ed efficacia dei propri processi interni ha fatto sì che gruppi di ricerca, centri universitari e società di consulenza abbiano investito su queste tematiche rendendo disponibili tecniche e metodi relativamente semplici, fruibili e ben strutturati, utilizzabili anche autonomamente. Un approccio all identificazione delle aree d intervento può prendere spunto dal CobiT e dall ISO/IEC Il primo consentirà di individuare i processi IT che contribuiscono a determinare quello che sarà il livello di sicurezza del sistema informativo (SI), mentre il secondo guiderà nell individuazione dei domini di sicurezza e dei relativi obiettivi di controllo e attività di controllo da porre in essere. Come è noto lo schema CobiT copre anche gli aspetti di efficienza, efficacia ed affidabilità dei dati. Nel presente studio si sono considerati solo quelli relative a Riservatezza, Integrità, Disponibilità e Conformità proprie della Sicurezza informatica. L elenco sottostante, liberamente ricavato dal framework CobiT 4.1 conservando esclusivamente le parti relative alla sicurezza 7, viene, alla data, ritenuto completo ed esaustivo e quindi un suo utilizzo offre buone garanzie di sistematicità in quanto vengono esaminate tutte le aree dove sono possibili interventi migliorativi. Tabella 1 - Processi CobiT per la sicurezza e loro rilevanza 6 Liberamente scaricabile nella sua traduzione italiana dal sito AIEA: 7 Il Framework CobiT valuta anche gli aspetti relativi ad efficienza,efficacia ed affidabilità dell IT. Processo CobiT Importanza relativa rispetto alla sicurezza IT PO2 - Definire l architettura informatica 4 PO6 - Comunicare gli obiettivi e gli orientamenti della direzione 1 PO8 - Gestire la Qualità 1 PO9 - Valutare e Gestire i Rischi Informatici 10 AI2 - Acquisire e mantenere il software applicativo 1 AI3 - Acquisire e mantenere l infrastruttura tecnologica 2 AI4 - Permettere il funzionamento e l uso dei sistemi IT 3 AI5 - Approvvigionamento delle risorse IT 1 AI6 - Gestire le modifiche 6 AI7 - Installare e certificare le soluzioni e le modifiche 2 DS1 - Definire e gestire i livelli di servizio 4 DS2 - Gestire i servizi di terze parti 4 DS3 - Gestire le prestazioni e la capacità produttiva 1 DS4 - Assicurare la continuità del servizio 3 14

15 3. Metodo Processo CobiT Importanza relativa rispetto alla sicurezza IT DS5 - Garantire la sicurezza dei sistemi 8 DS9 - Gestione della configurazione 1 DS10 - Gestione dei problemi 1 DS11 - Gestione dei dati 3 DS12 - Gestione dell ambiente fisico 6 DS13 - Gestione delle operazioni 2 ME1 - Monitorare e valutare le prestazioni dell IT 4 ME2 - Monitorare e valutare i controlli interni 4 ME3 - Assicurare la conformità a leggi e normative esterne 3 ME4 - Istituzione dell IT Governance 4 Sul sito ROSI è disponibile la versione completa di questo medesimo elenco, contenente le descrizioni precise di ogni processo, tutte le attività ed i criteri di controllo e lo spazio da compilare per la raccolta dei dati. La tabella viene proposta: come aiuto per una rapida, efficiente e sistematica ricerca delle aree di maggior criticità nelle quali è auspicabile / necessario intervenire 8 ; per introdurre alcuni criteri che consentano di individuare la priorità dei singoli interventi; per introdurre alcuni criteri utili alla vendita interna degli interventi stessi. Si suggerisce di utilizzarla nel seguente modo: 1. Scorrere la tabella (si consiglia di utilizzare la versione completa disponibile sul sito clusit.it/) identificando le aree dove si ritiene necessario un intervento migliorativo; 2. Valutare in modo qualitativo (alto, medio, basso) l entità (costi, impegni di risorse, impatti) dell intervento ipotizzato; 3. Valutare i tempi entro i quali l intervento diviene efficace; 4. Valutare il grado di autonomia dell azienda nell area o se si debba ricorrere a risorse / competenze esterne; 5. Indicare se nell area sono in corso altri progetti: i costi del progetto in questione potrebbero essere significativamente ridotti; 6. Quale aspetto del business viene positivamente impattato: Economico, Clientela, Ambiente interno, Competitività aziendale? Questa considerazione potrà aiutare ad individuare, all interno dell azienda, i responsabili potenzialmente più interessati al progetto, e quindi favorevoli e disposti a supportarlo. Questo punto viene descritto in maggior dettaglio alla sezione 3.6.2; 7. L intervento è associabile ad altri interventi consentendo economie di scala?; 8. Si inseriscano altre considerazioni / parametri che si ritengano utili ad un confronto tra i vari interventi (ad esempio: intervento strutturale o intervento tampone?). 8 Per chi volesse approfondire la conoscenza e l utilizzo del framework CobiT, ricordiamo che propone metodi di autovalutazione per verificare quanto i vari processi siano erogati in modo adeguato alle specifiche esigenze, mettendo in risalto le aree di miglioramento. Il framework medesimo propone inoltre un ulteriore livello di dettaglio delle attività/controlli con le cosiddette Pratiche di Controllo 15

16 ROSI Return on Security Investments: un approccio pratico versione Approccio Top-Down Identificazione scenari di intervento Definiti i processi per la gestione della sicurezza e identificati i processi IT che contribuiscono alla sicurezza del SI dobbiamo, a questo punto, valutare se e come intervenire per mantenere un livello di sicurezza adeguato al contesto in continua evoluzione (business, minacce, tecnologie, ecc) in cui opera l azienda. Come è noto, gli interventi di sicurezza possono essere di tipo organizzativo, tecnologico o misto in funzione della problematica che vanno ad indirizzare. In tutti i casi è fondamentale che gli interventi siano individuati attraverso un processo solido e comprensibile per il management. Una delle principali cause di difficoltà nel giustificare una soluzione di sicurezza è da ricercarsi proprio nella non sostenibilità del metodo che ha condotto alla scelta della stessa, e non tanto nella soluzione in sè o nell entità dell investimento richiesto. Il responsabile della sicurezza deve quindi far proprio un approccio in grado di porlo nelle condizioni di illustrare con chiare argomentazioni quantitative e qualitative l adeguatezza degli interventi di sicurezza da porre in essere. Anche in questo caso le Best Practice e gli standard in materia ci vengono in aiuto. Relativamente al miglioramento dei processi di sicurezza, gli aspetti disponibili in letteratura per la sua loro valutazione sono i seguenti: 1 Sensibilizzazione e capacità di comunicare. 2 Policy, piani e procedure. 3 Strumenti ed automazione. 4 Competenza ed esperienza. 5 Definizione delle responsabilità. 6 Definizione e misura degli obiettivi. 9 Si veda per riferimento il sito ufficiale sei.cmu.edu/cmmi/start/. Può essere utile anche la trattazione generale disponibile su Wikipedia: wiki/capability_maturity_ Model. Esistono in merito tecniche molto evolute e sofisticate che, tramite un autovalutazione, consentono di individuare quale sia, in una certa area / processo, la carenza più critica. Pur mantenendosi nei limiti del presente documento, è opportuna una riflessione: i risultati ottimali in genere si ottengono se i sei elementi sono ragionevolmente tra loro bilanciati. Un contributo interessante all identificazione di eventuali punti di miglioramento nei processi di sicurezza in essere può arrivare da una attività di analisi del loro grado di maturità secondo i criteri di valutazione tipici del Capability Maturity Model elaborato dall IT Governance Institute 9. Il modello, infatti, consente un immediato confronto tra la situazione attuale e la situazione a tendere, potenzialmente rappresentata dal livello di maturità successivo a quello nel quale il singolo processo risulta posizionato. I livelli di maturità individuati dal Capability Maturity Model sono: Non existent: il processo descritto non esiste; Initial: il processo descritto è stato svolto. Lo svolgimento è dipeso dalla competenza specifica di chi lo ha curato. La replica del processo richiede la disponibilità della stessa risorsa; Repeatable: il processo descritto è stato svolto e sono state documentate le risultanze di tale lavoro. Sulla base di tale documentazione un soggetto diverso può ripetere il processo rispettandone gli stessi passi logici e di documentazione; Defined: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Del processo sono pertanto disponibili il metodo da seguire e l evidenza dei risultati; 16

17 3. Metodo Managed: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le istruzioni prescrivono che del processo siano effettuate misure quantitative del progresso e dei risultati ottenuti in un periodo definito di tempo; Optimized: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le misurazioni effettuate del processo nei vari momenti di esecuzione danno luogo a una valutazione comparativa e di bilanciamento tra costi del processo e benefici ottenuti, in ottica di miglioramento continuo. Si precisa che la condizione minima affinché un processo di sicurezza possa definirsi tale è che di esso si possano indicare con chiarezza l owner, l obiettivo di protezione assegnato e gli obiettivi di controllo da rispettare. Si osserva che, seppure fattibile (in modo intuitivo nel caso Defined o in modo sistematico nei casi Managed e/o Optimized), l evoluzione della qualità dei processi di sicurezza è tanto più realisticamente ottenibile quanto più i processi di sicurezza medesimi sono valutati ai livelli di maturità Managed o Optimized e non semplicemente al livello Defined. Ciò è implicito nel fatto che la sicurezza è pianificata e governata da un approccio basato sulla gestione del rischio, il quale presuppone che di ogni processo di sicurezza sia disponibile un feedback. Al contrario, la predominanza di processi valutati allo stadio Non existent, Initial e Repeatable indica una copertura parziale e poco strutturata degli aspetti di sicurezza, dipendente dall abilità professionale dei soggetti dedicati, poco allineata con gli obiettivi di business ed esposta a una progressiva perdita di efficacia Gestione del rischio Riguardo l individuazione degli interventi da porre in essere per tutelare RIDC lo standard ISO/IEC 27001:2005 raccomanda di ricorrere ad un approccio basato sulla gestione del rischio. In particolare, lo standard ISO/IEC 27005:2008 definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica. Il processo di Risk Management proposto dall ISO/IEC prevede un approccio iterativo basato, fondamentalmente, su 6 macro-attività: Context Establishment; Risk Identification; Risk Estimation; Risk Evaluation; Risk Treatment; Risk Acceptance. Un processo di Risk Management consente di valutare l esposizione al rischio degli asset aziendali; fornisce i criteri per l identificazione della modalità di gestione del rischio rilevato; fornisce gli elementi per l individuazione puntuale degli interventi di sicurezza da porre in essere per ridurre il rischio; consente di attribuire la giusta priorità agli interventi individuati. Tale processo assume ancora più rilevanza prendendo in considerazione i risultati di alcuni studi (nel box un estratto dalla IT Business Balance Survey 2011 di Deloitte) che indicano come la reale consapevolezza di quali incidenti realmente accadano nelle organizzazioni sia ancora assai carente, e di conseguenza come sia fuorviata la percezione del reale rischio da parte del management. 17

18 ROSI Return on Security Investments: un approccio pratico versione 2.0! " Figura 5 - Estratto dalla IT Survey Deloitte 2011 Inoltre, richiedendo il coinvolgimento dei referenti di business in specifici passi d analisi per la valutazione dell esposizione al rischio di un processo di business, contribuisce in maniera sensibile alla diffusione in azienda della cultura sulla sicurezza. Molto spesso, infatti, la piena consapevolezza in azienda circa l importanza di proteggere la RIDC di un asset prende corpo solo al termine della Business Impact Analysis, ovvero dopo che l azienda è stata chiamata a valutare i possibili impatti (economico, legislativo, d immagine, ecc.) che la compromissione di uno o più criteri di sicurezza (RIDC) per un determinato asset causerebbe all azienda. A questo proposito, sempre per favorire la consapevolezza di quanti e quali siano gli incidenti possibili, e quali le loro (anche gravi) conseguenze proprio perché a volte si fa fatica ad immaginare quanto la realtà possa superare le nostre anche più ardite supposizioni rimandiamo all interessante documento di Riccardo Scalici Il Panorama dei rischi, disponibile sul sito del Clusit alla sezione Assicurazioni 10. Questo documento, frutto dell esperienza dell autore nel settore assicurativo, riporta numerosi casi realmente accaduti, nei quali, con un minimo sforzo, ci si può riconoscere, facilitando di molto il lavoro di chi deve presentare un ROSI su casi che altrimenti potrebbero sembrare assai lontani Output del processo di gestione del rischio Al termine del processo di Risk Management il responsabile della sicurezza ha a disposizione l insieme delle informazioni che gli consentono di identificare: la strategia di gestione dei rischi da attuare, tra quelle riportate in Tabella 2; gli obiettivi di controllo che consentono di ridurre o mitigare il rischio rilevato, con il supporto dello standard ISO/IEC 27001; i controlli da porre in essere per soddisfare gli obiettivi di controllo definiti, con il supporto dello standard ISO/IEC Code of Practice; le contromisure organizzative e/o tecnologiche che consentono di attuare i controlli identificati. Tali contromisure potranno fornire protezione su diversi fronti: - ridurre le minacce; - ridurre le vulnerabilità; - ridurre l impatto; - rilevare una minaccia (contromisura applicabile solo in ambito preventivo). Tabella 2 - Strategie di gestione del rischio (fonte Gartner) 10 Il documento è scaricabile dal link rscalici_ pdf. Action Accept the Risk Avoid the Risk Description When the risk is so unlikely or its impact so low that it warrants no further action, the company can decide to simply bear the cost of recovery if the need arises. When the cost and likelihood of the risk are large, it may no longer be feasible to continue operation in the area of activity that incurs the risk. 18

19 3. Metodo Action Transfer or Share the Risk Reduce or Mitigate the Risk Ignore the Risk Description When the risk is part of the business but the cost is predictable the company may share or transfer risk through insurance, contracts and warranties, and joint-venture agreements. The cost of those penalties belong entirely to the delivery service. Often, risk must be borne for a core function of the business; however, systems and controls will be needed to mitigate or reduce either the likelihood or the impact of the risk It is very dangerous for executives to do nothing neither consciously accepting the risk nor mitigating it. A questo punto, dopo aver individuato un certo numero di aree di miglioramento, ed identificato per ciascuna di esse gli interventi da porre in essere, poiché generalmente le aree di miglioramento sono numerose mentre le risorse disponibili (economiche, persone, ecc.) sono limitate, è necessario definire delle priorità. Purtroppo non è possibile qui entrare nel dettaglio delle modalità con cui assegnare le priorità in modo oggettivo e basato unicamente sui fatti. Ai fini pratici, tuttavia, importa soltanto che una priorità sia assegnata, anche arbitrariamente, in modo che sia possibile ordinare gli interventi nel tempo, assegnare le risorse, e così via. 3.4 Approccio Verify Identificazione Pattern Nel caso in cui sia già stata definita una soluzione di sicurezza per la risoluzione di una determinata problematica e si debba dimostrare al management il ritorno dell investimento che si propone, è possibile adottare un approccio bottom-up, che chiamiamo Verify, il quale si basa su un modello di riferimento finalizzato alla valutazione dei potenziali benefici ottenibili dall adozione della soluzione. Questo modello è naturalmente arbitrario, e nulla vieta che faccia riferimento a specifiche tecnologie che già si ritengono promettenti, soprattutto laddove (come nell impresa privata) non vi è il prerequisito necessario di neutralità rispetto ai potenziali fornitori. Di seguito si riporta un possibile approccio di riferimento che può essere utilizzato per descrivere la necessità di un investimento in sicurezza considerato già noto e definito per diverse motivazioni (es. imposizione normativa, risoluzione di una vulnerabilità significativa, ecc.) e giustificarne, in modo strutturato, l adozione nei confronti del management, individuando anche i potenziali ritorni, qualitativi e quantitativi, ottenibili. Si riportano pertanto le modalità di definizione di un pattern e alcune schede esemplificative, che possono essere utilizzate come riferimento per la rappresentazione delle soluzioni di sicurezza da sottoporre al management per autorizzazione all investimento. 3.5 Approccio Verify Predisposizione Pattern Per presentare un pattern in maniera coerente e riproducibile, è indispensabile seguire uno schema, che può naturalmente essere arbitrario, ma che è a priori di difficile costruzione. Si riporta quindi nel seguito una possibile modalità di rappresentazione schematica per la stesura di un pattern, che potrà essere successivamente utilizzata a supporto del documento di presenta- 19

20 ROSI Return on Security Investments: un approccio pratico versione 2.0 zione al management per ottenere l approvazione dell investimento (vedi sezione 4 - Documento ROSI ). Al capitolo 5 Esempi di pattern si riportano degli esempi costruiti dal GdL e da altri contributori. Tabella 3 - Schema di Pattern PATTERN Indicazione del nome del pattern AREA DI INTERVENTO Riferimento agli obiettivi di controllo dello standard ISO27001 SINTESI Criteri di Sicurezza Conformità Riservatezza Integrita` Disponibilita` Risorse Impattate Infrastruttura Risorse Umane Applicazioni Informazioni Driver di Business Rischi operativi Compliance Immagine aziendale Efficienza processi CONTESTO DI RIFERIMENTO Descrizione dell ambito di applicazione del pattern DESCRIZIONE Descrizione della soluzione di sicurezza per la quale si propone l investimento DRIVER / MOTIVAZIONI Indicazione dei driver e delle motivazioni che inducono ad effettuare l investimento PUNTI DI ATTENZIONE Indicazione di criticità/punti di attenzione correlati all investimento ELEMENTI DI VALUTAZIONE Descrizione degli elementi quantitativi e qualitativi da considerare per la stima del ritorno dell investimento BENEFICI / VANTAGGI Descrizione dei benefici quantitativi e dei vantaggi qualitativi ottenibili dall investimento Di seguito si descrivono analiticamente gli elementi riportati nella scheda, per un suo utilizzo più agevole e coerente con gli obiettivi prefissati Pattern Identifica la soluzione di sicurezza oggetto dell investimento da valutare, che può essere di tipo puramente tecnologico, organizzativa o un mix di entrambe. Può pertanto far riferimento sia a progetti complessi e trasversali a più funzioni aziendali (es. Identity & Access Management), come a soluzioni tecniche specifiche per la risoluzione di un determinato problema (es. cifratura dei dati dei PC del management) Area di intervento Al fine di uniformare le soluzioni di sicurezza individuate alle best practice nell ambito dell information security, si propone di ricondurre l analisi ad aree di intervento già delineate dagli standard internazionali quali lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per costituire un sistema di gestione della sicurezza delle informazioni. Lo standard ISO27001 definisce gli obiettivi di controllo ed i controlli di sicurezza, raggruppandoli secondo undici categorie: Security Policy Organizing Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control 20

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Security Summit Roma Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Sponsor dell iniziativa Ogni azienda / associazione ha investito

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Agenda Il gruppo di lavoro Il metodo

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Modena NetConsulting 2012 1

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Fase di offerta. Realizzazione del progetto

Fase di offerta. Realizzazione del progetto Linee guida per un buon progetto Commissione dell informazione e dei Sistemi di Automazione Civili e Industriali CONTENUTI A) Studio di fattibilità B) Progetto di massima della soluzione C) Definizione

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Corso semestrale di Analisi e Contabilità dei Costi

Corso semestrale di Analisi e Contabilità dei Costi Corso semestrale di Analisi e Contabilità dei Costi Il target costing Che cosa è il target costing. In prima analisi. E un metodo di calcolo dei costi, utilizzato in fase di progettazione di nuovi prodotti,

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

Premessa... 1. Indagine sul processo di pianificazione del business plan... 3. Verifica dell accuratezza storica di budget e piani di sviluppo...

Premessa... 1. Indagine sul processo di pianificazione del business plan... 3. Verifica dell accuratezza storica di budget e piani di sviluppo... Esame e analisi critica di un business plan Premessa... 1 Indagine sul processo di pianificazione del business plan... 3 Verifica dell accuratezza storica di budget e piani di sviluppo... 3 Analisi di

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Perugia NetConsulting 2012 1

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 Modulo 1 Parte 1 Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 1.1.1.1 pag. 21 Quale, tra le affermazioni che seguono relative al concetto di qualità, è la più corretta? A. Il termine qualità

Dettagli

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE Non vi è dubbio che nello scenario economico attuale per incrementare il proprio vantaggio competitivo sia importante focalizzare l attenzione sugli aspetti

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Il controllo di gestione nelle aziende che operano su commessa e l informativa di bilancio sui lavori in corso

Il controllo di gestione nelle aziende che operano su commessa e l informativa di bilancio sui lavori in corso Dipartimento Impresa Ambiente & Management Mirella Zito Il controllo di gestione nelle aziende che operano su commessa e l informativa di bilancio sui lavori in corso Copyright MMIX ARACNE editrice S.r.l.

Dettagli

6 IL RUOLO DEL FINANZIAMENTO PUBBLICO

6 IL RUOLO DEL FINANZIAMENTO PUBBLICO 6 IL RUOLO DEL FINANZIAMENTO PUBBLICO Nel comprendere le strategie formative adottate dalle grandi imprese assume una particolare rilevanza esaminare come si distribuiscano le spese complessivamente sostenute

Dettagli

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE Sintesi dei risultati della seconda edizione dell Osservatorio Realizzato da: In collaborazione con: RISKGOVERNANCE 1 INDICE DEI CONTENUTI Copyright

Dettagli

Servizi Integrati. Per realizzare una ef cace AAI devono essere svolti i seguenti passi:

Servizi Integrati. Per realizzare una ef cace AAI devono essere svolti i seguenti passi: Analisi di Prodotto Scheda 1/10 Analisi i inizialei i dei processi Aziendali ambientale secondo operativa 15033 Introduzione: L Analisi (AAI) è una dettagliata e metodica indagine dello stato dell Organizzazione

Dettagli

PROGETTO CONTROLLO GESTIONE. Per la P.M.I. Per l Artigianato

PROGETTO CONTROLLO GESTIONE. Per la P.M.I. Per l Artigianato PROGETTO CONTROLLO GESTIONE Per la P.M.I. Per l Artigianato Valutare costantemente l'andamento economico della attività dell'azienda per stabilire se la sua struttura dei costi è adeguata per confrontarsi

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

Operations Management GIA-L03

Operations Management GIA-L03 UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione Aziendale prof. Paolo Aymon Operations Management Operations Management UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione

Dettagli

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione COMUNE DI TRENTO Servizio Programmazione e Controllo via Belenzani 22 38100 Trento Telefono: 0461-884162; Fax: 0461-884168 e_mail: servizio_programmazione@comune.trento.it Sito internet dell amministrazione:

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

GUIDA DI APPROFONDIMENTO LA GESTIONE DEI CLIENTI A CURA DEL BIC SARDEGNA SPA

GUIDA DI APPROFONDIMENTO LA GESTIONE DEI CLIENTI A CURA DEL BIC SARDEGNA SPA GUIDA DI APPROFONDIMENTO LA GESTIONE DEI CLIENTI A CURA DEL BIC SARDEGNA SPA 1 SOMMARIO PREMESSA... 3 ORIENTAMENTO ALLA SODDISFAZIONE DEL CLIENTE... 3 ASPETTATIVE E SODDISFAZIONE DEL CLIENTE... 3 MISURARE

Dettagli

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Osservatorio Cloud & ICT as a Service Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Mariano Corso Stefano Mainetti 17 Dicembre 2013 Collaborative Business

Dettagli

Scheda di partecipazione Quarta edizione

Scheda di partecipazione Quarta edizione Scheda di partecipazione Quarta edizione Per ogni progetto candidato occorre compilare la scheda di partecipazione, composta da tre sezioni: - sezione 1: descrizione sintetica del programma - sezione 2:

Dettagli

un rapporto di collaborazione con gli utenti

un rapporto di collaborazione con gli utenti LA CARTA DEI SERVIZI INFORMATICI un rapporto di collaborazione con gli utenti La prima edizione della Carta dei Servizi Informatici vuole affermare l impegno di Informatica Trentina e del Servizio Sistemi

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE Non vi è dubbio che nello scenario economico attuale per incrementare il proprio vantaggio competitivo sia importante focalizzare l attenzione sugli aspetti

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

IL BUDGET IN UNA SOCIETA DI SERVIZI. SINTESI S.r.l. Potenza, 17.06.2015 - Università degli Studi della Basilicata

IL BUDGET IN UNA SOCIETA DI SERVIZI. SINTESI S.r.l. Potenza, 17.06.2015 - Università degli Studi della Basilicata IL BUDGET IN UNA SOCIETA DI SERVIZI SINTESI S.r.l. Potenza, 17.06.2015 - Università degli Studi della Basilicata SINTESI S.r.l 1 SINTESI S.r.l. è una società di servizi che opera nel settore della formazione

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile ESSERE O APPARIRE Le assicurazioni nell immaginario giovanile Agenda_ INTRODUZIONE AL SETTORE ASSICURATIVO La Compagnia di Assicurazioni Il ciclo produttivo Chi gestisce tutto questo Le opportunità di

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE

SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE SINTESI DEL CASO AZIENDALE SOLUZIONE ICT: SOFTWARE GESTIONALE INTRODUZIONE Non vi è dubbio che nello scenario economico attuale per incrementare il proprio vantaggio competitivo sia importante focalizzare l attenzione sugli aspetti

Dettagli

Ciclo di Vita Evolutivo

Ciclo di Vita Evolutivo Ciclo di Vita Evolutivo Prof.ssa Enrica Gentile a.a. 2011-2012 Modello del ciclo di vita Stabiliti gli obiettivi ed i requisiti Si procede: All analisi del sistema nella sua interezza Alla progettazione

Dettagli

ALLEGATO 2 MODELLO DI OFFERTA TECNICA

ALLEGATO 2 MODELLO DI OFFERTA TECNICA ALLEGATO 2 MODELLO DI OFFERTA TECNICA Allegato 2 Modello di offerta tecnica Pagina 1 di 23 Premessa Nella redazione dell Offerta tecnica il concorrente deve seguire lo schema del modello proposto in questo

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Organizzazione dello studio professionale

Organizzazione dello studio professionale Organizzazione dello studio professionale Roberto Spaggiari Attolini Spaggiari & Associati Studio Legale e Tributario Partner 2014 Pagina 1 Roberto Spaggiari Attolini Spaggiari & Associati Studio Legale

Dettagli

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione Introduzione Perché il controllo di gestione? L azienda, come tutte le altre organizzazioni, è un sistema che è rivolto alla trasformazione di input (risorse tecniche, finanziarie e umane) in output (risultati

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

Premessa... 1. Vantaggi di un sistema ERP... 2. Fasi del processo... 3. Zone di rischio... 4

Premessa... 1. Vantaggi di un sistema ERP... 2. Fasi del processo... 3. Zone di rischio... 4 Sommario Premessa... 1 Vantaggi di un sistema ERP... 2 Fasi del processo... 3 Zone di rischio... 4 Premessa Le tecnologie informatiche hanno rivoluzionato da tempo il modo in cui lavorano le aziende e

Dettagli

Metrika La formazione linguistica, una scelta di politica aziendale

Metrika La formazione linguistica, una scelta di politica aziendale Metrika La formazione linguistica, una scelta di politica aziendale Un importante tema dello sviluppo organizzativo è la valutazione della redditività degli investimenti. Quando si tratta, come per la

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

L ARREDO UFFICIO INTELLIGENTE

L ARREDO UFFICIO INTELLIGENTE L ARREDO UFFICIO INTELLIGENTE 8 minuti per fare un buon acquisto INTRODUZIONE Questo e-book è stato ideato dagli specialisti nella progettazione, produzione ed ambientazione di mobili per ufficio. Perché

Dettagli