ROSI Return on Security Investments: un approccio pratico

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ROSI Return on Security Investments: un approccio pratico"

Transcript

1 ROSI Return on Security Investments: un approccio pratico Come ottenere Commitment sulla Security versione 2.0 AIEA CLUSIT Deloitte Ernst & Young KPMG Oracle PricewaterhouseCoopers

2 LICENZA D USO Il testo completo della Licenza d uso è disponibile sul sito di Creative Commons, al link Preghiamo inoltre chi volesse utilizzare questo testo all interno di propri lavori (non semplicemente con una citazione) di segnalarlo con un messaggio all indirizzo

3 Sommario 1. Introduzione L iniziativa Gruppo di Lavoro ROSI e motivazioni del lavoro Perché fare un ROSI? Management Summary Cos è il ROSI? A chi si rivolge? A cosa serve il ROSI? Quali benefici porta la costruzione di un ROSI? Guida alla lettura Metodo Documenti di riferimento Identificazione esigenze Identificazione scenari di intervento Gestione del rischio Output del processo di gestione del rischio Identificazione Pattern Predisposizione Pattern Pattern Area di intervento Criteri di sicurezza Risorse impattate Driver di business Contesto di riferimento Descrizione Driver/motivazioni Punti di attenzione Elementi di valutazione Benefici/vantaggi Identificazione Business Drivers e Metriche di sicurezza Individuazione delle motivazioni operative (business drivers) Identificazione degli stakeholder Identificazione dei benefici e degli obiettivi Identificazione delle metriche L esempio dell IAM Valutazione del ROSI in un dato scenario Approccio per il calcolo dei KCI e dei KRI Costi...29 Diretti/Indiretti...30 Fissi/Variabili...30 Capital/Operational

4 3.7.3 I costi per il ROSI Ritorni I ritorni per il ROSI Un esempio di valutazione del ROSI Step 1: Individuazione dei costi e dei ritorni Step 2: Definizione degli indicatori per il ROSI Step 3: Identificazione delle metriche disponibili Step 4: Predisposizione di nuove metriche Step 5: Misurazione delle metriche Step 6: Valutazione degli indicatori Documento ROSI Struttura del documento Executive summary Stato dell arte Obiettivo desiderato Proposta operativa Esempi di pattern Pattern Amministratori di Sistema Pattern Identity and Access Management Pattern Single Sign On Pattern IDS Pattern Application Security Pattern Sicurezza Fisica Pattern IRM Pattern Security Assessment Industriale Pattern PCI-DSS Pattern DLP Pattern DAM Pattern Role Management Pattern VDI Company Profiles AIEA Clusit Oracle Deloitte Ernst & Young KPMG PricewaterhouseCoopers Appendici e Revisioni Appendice A Appendice B Storia delle versioni Versione Versione

5 1. Introduzione - L iniziativa 1.1 Gruppo di Lavoro ROSI e motivazioni del lavoro Questa iniziativa è stata avviata da AIEA, Clusit e Oracle, nel settembre 2009, e vede la partecipazione all interno del Gruppo di Lavoro (GdL) di Deloitte, Ernst & Young, KPMG e PriceWaterhouseCoopers. L esperienza delle aziende e delle associazioni componenti del Gruppo di Lavoro mostra chiaramente come esista una necessità, nel mercato della sicurezza informatica, di fare un passo avanti e di disporre di criteri e metodi oggettivi che permettano di ottimizzare gli investimenti nei differenti capitoli di spesa. Mentre altri tipi di spesa in migliorie organizzative o tecnologiche vengono riconosciuti, correttamente, non solo come esborsi ma anche come investimenti, volti a rendere in assoluto possibili certe azioni imprenditoriali, oppure a migliorare l efficienza e/o l efficacia di taluni processi, la spesa in sicurezza è percepita quasi dovunque solo come costo puro, un vincolo, una tassa da pagare per conformarsi alle pratiche correnti piuttosto che alle pretese di un regolatore o di un legislatore. Si aggiunga che anche l industria del software e dell hardware di sicurezza ha spesso adottato, come propria strategia di vendita, quella di seguire questa linea di minima resistenza. Intere campagne marketing hanno cercato di indurre alla spesa sventolando lo spauracchio di non ben identificati cattivi (spesso definiti, impropriamente, hacker ) in agguato al fine di introdursi, controllare e danneggiare i nostri sistemi informatici. O ancora, la minaccia, tanto più difficile da razionalizzare perché impersonale ed eterea, del virus o del chissà cosa ti potrebbe succedere. La situazione è quindi, spesso (troppo spesso, a nostro parere) quella di spese in sicurezza spiegate e decise in base alla paura, all incertezza, al dubbio. La situazione, per chi invece lavora nel settore, è palesemente assai diversa da questa: all hacker non ben identificato si sostituiscono criminali ben vivi e presenti, e determinati ad approfittare indebitamente di sistemi ed informazioni altrui per un preciso e personale tornaconto economico. Al chissà cosa ti potrebbe succedere si sostituisce una puntuale analisi del rischio realmente gravante sulla specifica organizzazione, dove le minacce, le vulnerabilità, le aree d impatto e le probabilità d accadimento vengono valutate in modo oggettivo, per quanto a volte, per forza di cose, in via qualitativa e non quantitativa. Alla spesa a fondo perduto si sostituisce l investimento, deciso in base a motivazioni razionali e sostenibili, e dal quale ci si attendono precisi ritorni, magari non a livello economico ma comunque vantaggiosi per l organizzazione. L esperienza dimostra che questi passaggi sono possibili e vantaggiosi, e si vuole, con questo documento, esporre le necessarie condizioni a priori, le possibili metodologie di approccio ed i cambiamenti d atteggiamento che è possibile ottenere. Obiettivo del lavoro è stato pertanto quello di consolidare una riflessione che da più parti stava emergendo, senza peraltro avere grande eco, in merito al ROSI, per dare agli operatori economici pubblici e privati uno strumento che sia di valore per tutto il mercato, e ne stimoli la crescita e la maturazione su tutti i fronti. 1 Attualmente non risulta ci siano altri documenti in italiano sul ROSI, ma esiste dell ottimo materiale in inglese e in francese, in particolare il documento Clusif Rétour sur investissement en sécurité des systèmes d information: quelques clès pour argumenter disponibile al link https://www.clusif.asso. fr/fr/production/ouvrages/ pdf/rosi.pdf e il documento ROSI di ISF richiamato anche nel seguito. 5

6 ROSI Return on Security Investments: un approccio pratico versione 2.0 Crediamo quindi che questo lavoro sia vantaggioso per tutto il settore, e contribuisca in modo sostanziale alla sua maturazione, dando un vantaggio a tutti gli operatori (clienti, fornitori, consulenti, ecc.) e giustificando una collaborazione come questa che vede coinvolte anche aziende normalmente concorrenti sul mercato. Si intende quindi consentire ad aziende private, enti pubblici, vendor tecnologici, società di consulenza, e così via, di approcciare la sicurezza delle informazioni tema obbiettivamente complesso e tendenzialmente multidisciplinare in un modo organico e strutturato, dando a ciascuno gli strumenti per giudicare con cura quali investimenti adottare e su quali strade spingere la propria evoluzione tecnologica ed organizzativa. 1.2 Perché fare un ROSI? Figura 1 Principali problematiche di sicurezza che le imprese stanno affrontando (fonte: Ernst & Young 13th Global Information Security Survey ) In generale i security manager e/o i responsabili dell Information Technology trovano grosse difficoltà a giustificare in azienda gli investimenti in soluzioni per la sicurezza delle informazioni, vuoi per il proprio background culturale, che in genere è più tecnico e quindi meno avvezzo a considerare gli aspetti economico-finanziari, vuoi per la natura stessa delle soluzioni che nella maggior parte dei casi sono destinate a prevenire potenziali rischi non completamente quantificabili piuttosto che finalizzate a fornire un beneficio diretto e misurabile. Tuttavia, proprio gli stessi responsabili della sicurezza e dell Information Technology lamentano che ottenere dei budget adeguati per far fronte agli investimenti in sicurezza sia una delle principali sfide che quotidianamente si trovano ad affrontare in azienda, come è emerso dall annuale ricerca di Ernst & Young Global Information Security Survey. A maggior ragione, in un periodo attraversato da una difficile crisi economica, le aziende dovrebbero adottare una strategia di sicurezza risk-based, al fine di definire le iniziative di sicurezza prioritarie e giustificare al meglio i nuovi investimenti dimostrandone il ritorno in termini di benefici al business, riduzione dei costi operativi, miglioramento dell immagine, ecc. Pertanto l utilizzo di un approccio strutturato per definire il ritorno degli investimenti in sicurezza ( ROSI Return On Security Investment) può aiutare i manager che in azienda si occupano di sicurezza a giustificare al meglio le spese ed ottenerne l approvazione e lo stanziamento di budget superiori. 6

7 2. Management Summary 2.1 Cos è il ROSI? ROSI sta per Return On Security Investment, e s intende con questa sigla il lavoro di valutazione dei vantaggi potenziali di un investimento in sicurezza, in particolare in sicurezza delle informazioni. È un supporto decisionale rivolto in primis a quanti sono in posizioni di responsabilità sul settore di Information e Communication Technology delle organizzazioni, e devono allocare in modo prudente delle risorse scarse. Può essere anche, a posteriori, un supporto per la valutazione di efficacia di processi e/o impianti già in produzione. Non è, come si può intuire, un oggetto paragonabile al ROI che si calcola in ambito finanziario, in quanto non stiamo trattando un investimento nel senso tecnico del termine ovvero di una spesa per un bene che di per sé produrrà ricavi, a meno che il business principale dell investitore sia proprio la sicurezza (e quindi investire, ad esempio, nell acquisto di un sistema di sicurezza, consente di sfruttare questo sistema per fornire servizi a valore aggiunto). In prima istanza, che è spesso l unica analizzata, le spese in sicurezza possono ripagare con la minore probabilità di subire dei danni e quindi, salvo i casi (si spera infrequenti) di effettivo manifestarsi della minaccia, richiedono una spesa certa a fronte di un danno incerto. È sempre vero, inoltre, che nel momento in cui la minaccia si manifesta, il valore delle contromisure diventa almeno pari a quello del bene protetto, se non superiore considerando tutti i mancati danni indiretti (riduzione di business, danno d immagine, sanzioni, ecc.). La spesa in sicurezza, tuttavia, non genera soltanto protezione, ma in svariati casi risulta produttiva anche in modo diretto. La sicurezza abilita alcuni servizi altrimenti impossibili, tanto più quanto sono legati alla protezione della persona o della proprietà (ed in particolare del denaro). Ad esempio, l incremento di affidabilità nel riconoscimento dell utente da parte del sistema informatico permette di automatizzare una serie di servizi (si pensi all introduzione dell home banking). La spesa in sicurezza può generare dei risparmi in altre parti dell organizzazione: nell esempio precedente, per l istituto bancario nasce anche un abbattimento dei costi precedentemente legati al personale operativo. Una spesa in sicurezza, se adeguatamente resa nota alla clientela, produce dei benefici reali in termini di immagine di solidità dell organizzazione andando ad alimentare la fiducia che la clientela ha nell organizzazione stessa. Si intuisce che questa maggiore fiducia si trasferisce immediatamente in un miglioramento dei risultati operativi. il panorama normativo oggi esistente fa sì che, in molti casi, le spese in sicurezza siano obbligatorie per il rispetto delle normative medesime e che quindi abbiano un ritorno effettivo anche se difficilmente misurabile numericamente in termini di compliance. Non è quindi completamente fuori luogo l idea di misurare, in qualche modo, i benefici derivanti dall investimento in sicurezza i quali saranno derivanti dall unione dei vari insiemi di benefici: quelli operativi (in termini di diminuzione del rischio e, al limite, ai minori oneri assicurativi), quelli d immagine e quelli di compliance. 7

8 ROSI Return on Security Investments: un approccio pratico versione 2.0 Si può già intuire che nella maggior parte dei casi, la misura di questi benefici sarà qualitativa, e nuovamente si capisce quanto il ROSI non sia una misura esatta e numerica come il ROI; ma è altrettanto indiscutibile, se ben supportato da dati oggettivi, anche se qualitativi, la sua validità e la sua utilità. 2 La sicurezza delle informazioni copre naturalmente un insieme più grande di oggetti rispetto alla sola sicurezza informatica, dal momento che abbraccia - almeno concettualmente - tutte le informazioni di un organizzazione. Il concetto di informazione, a sua volta, è distinto da quello di dato, perché è con un operazione logica che dai dati si traggono le informazioni. Ad esempio, i dati potrebbero essere le serie storiche delle vendite. L informazione che si può trarre da questi dati è le vendite sono cresciute del 6% rispetto al corrispondente periodo dell anno scorso. La grande maggioranza dei dati e delle informazioni, oggi, risiede sui sistemi informatici, che comunque non coprono la totalità poiché ve n è una consistente parte ancora in archivi cartacei, ma soprattutto (ed è spesso la parte preponderante delle informazioni preziose) si trovano nella testa delle persone. Anche per questo motivo la sicurezza delle informazioni in senso lato deve preoccuparsi anche della safety del personale, oltre che dei sistemi tecnologici e degli archivi tradizionali. Si potrebbe addirittura inferire che il fornire un ambiente di lavoro gradevole e tranquillizzante sia un problema di sicurezza delle informazioni, concetto che è molto meno provocatorio di quanto non si possa immaginare a priori. 2.2 A chi si rivolge? Questo documento è pensato per tutti coloro i quali all interno di un organizzazione hanno ricevuto la responsabilità, in modo più o meno formale, di gestire la sicurezza delle informazioni di cui l organizzazione medesima si serve, a qualsivoglia titolo. Si tratta spesso di specialisti del settore dell informatica e delle telecomunicazioni, generalmente all interno della funzione IT o ICT, ma che non sempre hanno esperienze specifiche in ambito di sicurezza informatica, né, a maggior ragione, di sicurezza delle informazioni. 2 Si tratta a volte di persone di estrazione diversa, e che magari provengono da esperienze in ambito organizzativo o della gestione qualità. Si trovano a riportare a responsabili IT o ICT, ma anche a responsabili dell organizzazione, delle risorse umane o dell amministrazione, o magari addirittura in staff alla direzione generale; ma questo è ininfluente ai fini di questa trattazione. 2.3 A cosa serve il ROSI? Il problema condiviso da molte di queste persone è la necessità di giustificare ad un superiore la proposta di spesa in questo ambito, la sicurezza delle informazioni, che si continua a dimostrare assai sfuggente, perché trattando di spese certe a fronte di eventi per definizione incerti, anzi che si cerca di prevenire o mitigare non si presta ad una trattazione numerica tout court che richiede che i benefici di una spesa possano essere misurati in modo preciso a priori. Tuttavia, come esseri umani, siamo abituati in realtà a trattare con situazioni dove il beneficio è solo ipotetico, e nella nostra vita privata non abbiamo difficoltà ad accettare una spesa il cui ritorno non sia immediatamente tangibile. La difficoltà è in parte generata dall organizzazione stessa che, dovendo contenere per forza le sensibilità di molte persone, richiede di essere convinta di questa necessità con argomentazioni il più possibile oggettive e quindi facili da accettare per chiunque. Il lavoro di stesura di un ROSI guida quindi nella raccolta di una serie di dati significativi, anche se non sempre quantitativi, e nella costruzione di un documento di sintesi dove proporre delle deduzioni ragionevoli e sostenibili rispetto alle possibili spese, con l ottica di trasformare queste spese in investimenti. 2.4 Quali benefici porta la costruzione di un ROSI? Diventa possibile motivare in modo oggettivo le proposte di investimento sulla sicurezza delle informazioni. Diventa possibile fare una graduatoria tra varie proposte di investimento in modo meno arbitrario che nel passato. Diventa possibile valutare in modo oggettivo, a posteriori, la bontà delle scelte di investimento sulla sicurezza delle informazioni. 8

9 2 Management Summary Costringe ad uscire dall ambito puramente tecnologico per valutare l impatto complessivo di ciascun investimento sui risultati operativi finali. 2.5 Guida alla lettura Il tema è, come si diceva, obbiettivamente complesso, e, come spesso accade, lo si può approcciare almeno in due modi: uno più analitico (detto nel seguito Top-Down ), che parte da alcune ipotesi per arrivare a delle conclusioni, ed uno più pragmatico (detto nel seguito Verify ), che si basa su una serie di soluzioni note a problemi comuni e cerca di capirne l applicabilità alla situazione in esame. Il metodo per l identificazione del ROSI è illustrato alla sezione 3, insieme ad alcuni elementi che riteniamo possano tornare utili al lettore per l applicazione dello stesso. La stessa sezione contiene un esempio di applicazione dell approccio Top-Down, mentre numerosi esempi per l approccio Verify sono riportati alla sezione 5. Nella sezione 4 si può invece trovare una guida alla stesura del documento di presentazione al management dei risultati dello studio. Numerosi altri documenti sono citati ed in larga misura disponibili su Internet; alcuni, frutto del lavoro del GdL, sono presenti nel sito ROSI con la stessa licenza del presente documento. Casi reali di incidenti di sicurezza * Caso 1 In un azienda a proprietà pubblica, a causa di un malfunzionamento del Back-up, una parte dei dati contabili e di fatturazione a utenti del servizio pubblico è andata persa (2 giorni di registrazioni). Non essendo possibile, per varie ragioni (non ultima quella di ordine politico-industriale) emettere il rendiconto mensile a 45 milioni di utenti, viene deciso di emettere dei rendiconti per ciascuna operazione registrata (in tal modo è possibile recuperare quasi tutti i dati), e di inviare in più a ciascuno degli utenti una lettera di spiegazione e scuse per il disservizio. I costi dell operazione (e quindi delle perdite) sono pari a 3 milioni di (quasi totalmente indennizzati) a tali costi si sono aggiunti quelli delle lettere di scuse e spiegazione (1 milione); questa ultima parte dei costi non era assicurata ed è rimasta a carico dell amministrazione (1 milione). * Estratto dal documento di Riccardo Scalici Il panorama dei rischi 9

10 ROSI Return on Security Investments: un approccio pratico versione Metodo Se da un lato sono richiesti maggiori investimenti in sicurezza per rispondere ai nuovi dettami legislativi, ai nuovi modelli verso cui tendono le tecnologie a supporto del business (cloud computing, Service Oriented Architecture, Software as a Service, ecc.), all aumento delle minacce che incombono sul business e alla maggiore attenzione al rischio da parte degli organi di controllo aziendali, dall altro gli amministratori di un azienda, spinti dalla necessità di ottenere risultati dimostrabili, richiedono valide giustificazioni prima di autorizzare un qualsiasi tipo d investimento. Ecco quindi che il responsabile della sicurezza del sistema informativo aziendale è chiamato come non mai a superare l ardua sfida di riuscire a dimostrare compiutamente al management il ritorno su un investimento, così da ottenere le risorse necessarie per far fronte alle iniziative necessarie a tutelare la sicurezza del patrimonio informativo aziendale. Il metodo per l identificazione del ROSI che illustreremo in questo capitolo vuole costituire una linea guida in grado di supportare il responsabile della sicurezza in questa sfida rendendo disponibili le indicazioni e gli strumenti che consentano di identificare: dove intervenire; perchè intervenire; come intervenire; i benefici; chi trae beneficio dall intervento; come misurare l efficacia dell intervento; come valutare il ROSI. Il metodo, così come elaborato dal GdL, vuole quindi rendere disponibile al lettore degli spunti di riflessione, concreti e pragmatici, per: identificare gli ambiti in cui la sicurezza contribuisce al perseguimento degli obiettivi aziendali; identificare gli interventi; identificare e coinvolgere nel processo di approvazione dell investimento i componenti del Management, in qualità di Sponsor; definire un sistema di indicatori in grado di evidenziare i benefici che l investimento in sicurezza è e sarà in grado di apportare all azienda nel tempo; valutare il ROSI. Figura 2 Rappresentazione schematica del processo di valutazione del ROSI Approccio Top-Down Approccio Verify Identificazione esigenza Identificazione Pattern Identificazione scenari di intervento Predisposizione Pattern Identificazione Drivers e Indicatori Valutazione ROSI Il metodo è esposto secondo un formato narrativo. Il testo principale rappresenta la linea guida che consentirà di raccogliere tutti gli elementi funzionali al calcolo del ROSI. 10

11 3. Metodo 3.1 Documenti di riferimento Nel corso dell illustrazione del metodo talune affermazioni del testo principale saranno spiegate da note a corredo o espliciti riferimenti a standard e framework internazionali. Per le nostre finalità si fa riferimento a: CoBit 4.1; framework funzionale alla definizione di un sistema di IT Governance perché fornisce un modello per assicurare che: l IT sia allineato con le strategie dell azienda, l IT consenta la gestione delle funzioni aziendali e ne massimizzi i benefici, le risorse dell IT siano usate responsabilmente, i rischi IT siano opportunamente gestiti; ISO/IEC 27001:2005; standard internazionale che definisce i requisiti indispensabili di un sistema per la gestione della sicurezza delle informazioni ed identifica, per ciascuno degli 11 ambiti di sicurezza indicati, gli obiettivi di controllo ed i relativi controlli di sicurezza da porre in essere; ISO/IEC 27002:2005; è il Code of Practice dell ISO 27001, riporta le best practices di sicurezza per l implementazione dei controlli di sicurezza previsti dall ISO 27001; Figura 3 - Posizionamento ROSI ISO/IEC 27005:2008; standard internazionale che definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica; ITIL: insieme di documenti che descrivono le Best Practice nella gestione dei servizi IT e sui processi ed i mezzi necessari a supportarli, nell ottica di erogare servizi di alta qualità. 3.2 Approccio Top-Down Identificazione esigenze I rischi fondamentali di inefficacia della sicurezza sono la copertura a macchia di leopardo, la mancanza di riscontro delle iniziative di sicurezza e l attribuzione di responsabilità e attività di sicurezza a innumerevoli funzioni aziendali. Rischi che, tra l altro, comportano una frammentazione degli investimenti e una perdita di opportunità di sinergia. Queste considerazioni, sulla base anche di standard e best practice consolidate, suggeriscono alle aziende, e in particolar modo al responsabile della sicurezza, di prevedere un approccio alla sicurezza basato sui processi 3 (di sicurezza). 3 Fonti professionali che possono fornire approfondimenti sul significato e sui contenuti dei processi di sicurezza sono: Common Criteria; ITIL (IT Infrastructure Library); CobiT (Control Objective for IT Organizations); SANS Institute; National Institute of Standards and Technology; ISO (con riferimento allo standard ISO/IEC 27001). 11

12 ROSI Return on Security Investments: un approccio pratico versione 2.0 Per processi di sicurezza s intende l insieme delle attività che il sistema di governo della sicurezza richiede siano svolte nel periodo da coloro che, a vario titolo, sono deputati a gestire la sicurezza informatica. La scomposizione delle categorie di processi di sicurezza in attività di sicurezza trova in letteratura una certa variabilità di contenuti. Per le finalità espositive del metodo di cui alla presente Linea Guida, un processo di sicurezza è il comportamento di uno o più soggetti avente lo scopo: di definire le misure di sicurezza congruenti con gli obiettivi generali di sicurezza; e/o di applicare le misure di sicurezza; e distintamente, nel rispetto di rigorose regole di separazione dei compiti, di controllarne l applicazione. I processi di sicurezza vanno collocati nell ambito dei quattro momenti tipici del ciclo Deming (P-Plan, D-Do, C-Check, A-Act) definito dallo standard ISO 9001 da parte dello standard di riferimento ISO/IEC 27001:2005 per la certificazione di un sistema di gestione della sicurezza delle informazioni. Questa impostazione presuppone che l insieme dei processi per il governo della sicurezza sia concepito come un macro-processo di qualità con i suoi momenti tipici (PDCA) che ne consentono il miglioramento e l allineamento continuo agli obiettivi di sicurezza aziendali. Un interessante framework di riferimento per la gestione della sicurezza con un approccio a processi è quello predisposto per conto dell ABI dal gruppo di lavoro dell ABI Lab con la partecipazione di 12 banche italiane ed il coordinamento di Deloitte. Il framework descrive l approccio alla gestione integrata della sicurezza in ambito bancario definito dal gruppo di lavoro ABI Lab. In tale framework i processi sono stati raggruppati in Processi direzionali e Processi operativi e questi ultimi in Processi inerenti la gestione della sicurezza in fase di esercizio e Processi inerenti la gestione della sicurezza in fase di sviluppo (sviluppo di applicativi, disegno di reti e configurazioni di sistemi). La figura che segue illustra i processi di sicurezza previsti dalla linea guida metodologica per l approccio integrato al governo della sicurezza in ambiente bancario. Figura 4 - Framework Processi Sicurezza ABILab Per ciascun processo di sicurezza il framework richiama l obiettivo o scopo del processo; le macroattività che lo caratterizzano e la relativa descrizione; le strutture organizzative a presidio, gli obiettivi di sicurezza presidiati. Seppur nato per rispondere alle stringenti esigenze di sicurezza e di efficienza del mondo bancario 12

13 3. Metodo e, nello specifico, per proporre un approccio integrato al governo della sicurezza in ambito bancario, il framework può costituire un valido modello di riferimento anche per ambiti non bancari. Un buon sistema di governo della sicurezza è in grado di ridurre le inefficienze tipiche di un approccio non strutturato tramite una corretta e puntuale individuazione e indirizzamento delle reali esigenze di sicurezza di un azienda. Una visione per processi, inoltre, facilita il compito di individuare eventuali economie di scala. Possiamo quindi dire che il primo ambito di sicurezza su cui l azienda deve investire è proprio quello afferente al sistema di governo della sicurezza affinchè sia in grado di operare efficacemente ed efficientemente nel tempo, consentendo da un lato di garantire un adeguato e costante livello di sicurezza, evitando false percezioni di sicurezza, e dall altro di ottimizzare gli investimenti concentrandoli ove effettivamente necessario. Nella ricerca dell investimento ottimale in sicurezza è particolarmente importante considerare oltre che le risorse IT anche i processi che le gestiscono. Molto spesso il problema non è nella risorsa in se, ma in come viene gestita o utilizzata. Ad esempio, il più delle volte non mancano i corsi di formazione, ma manca il meccanismo (processo) che provveda ad inviare le persone giuste al corso giusto al momento giusto e che ne valuti i risultati. Un altro aspetto non trascurabile da tenere in considerazione, visto che riguarda i ritorni in investimenti in sicurezza, consiste nel fatto che intervenire sul processo invece che sulla risorsa fornisce, in genere, ritorni molto più elevati. Ad esempio, integrare il processo di sviluppo delle applicazioni con gli aspetti di sicurezza comporta, a parità di risultati, costi nettamente inferiori rispetto alla successiva aggiunta di sicurezza tanto che se soltanto il 50% delle vulnerabilità del software fossero rimosse prima del rilascio in produzione, i costi di mitigazione di tali vulnerabilità sarebbero ridotti del 75% 4. Come noto la sicurezza informatica è chiamata a tutelare la riservatezza, l integrità e la disponibilità (RID) del patrimonio informativo aziendale fornendo un contributo fondamentale nella gestione dei rischi operativi 5 a cui un azienda è esposta. A titolo di esempio si considerino le seguenti categorie di rischio aziendale: Perdita economica; Perdita della proprietà intellettuale; Perdita o danno d immagine; Compromissione dei dati dei clienti e/o dei business partner; Non conformità a norme nazionali e internazionali (Privacy, 231, SOX, ecc.); Indisponibilità dei processi di business; Riservatezza dei dati di business. Non si può non convenire sul fatto che il livello d esposizione dell azienda a queste tipologie di rischio è, tra le altre cose, inversamente proporzionale al livello di sicurezza del sistema informatico a supporto dell operatività quotidiana delle funzioni di business. Si consideri infatti che: una perdita economica può essere dovuta al mancato introito a causa della indisponibilità di una applicazione di business (virus, attacco Denial Of Service, ecc.); una perdita della proprietà intellettuale può essere causata dalla mancanza o carenza di presidi di sicurezza volti a proteggere, a titolo d esempio, la documentazione di progettazione meccanica per la costruzione di un macchinario innovativo; 4 Security at the Application Level Gartner 5 Per una definizione di rischio operativo, si veda ad esempio Rischio_operativo 13

14 ROSI Return on Security Investments: un approccio pratico versione 2.0 una perdita o danno d immagine il più delle volte è conseguenza di una non corretta protezione delle informazioni sensibili di un azienda (dati personali dei clienti, dati finanziari, numero di carte di credito, ecc.) che si traduce in una diffusione incontrollata di informazioni personali o finanziarie; causa di non conformità a norme nazionali e internazionali è il mancato rispetto di requisiti di protezione delle informazioni o di gestione e controllo degli accessi alle stesse per via di una gestione non strutturata della sicurezza. L obiettivo che ci si deve porre, quindi, consiste nell identificare i processi IT che giocano un ruolo importante nella mitigazione dei rischi di Riservatezza, Integrità, Disponibilità delle informazioni e di Conformità alle normative interne ed esterne (in sintesi RIDC). Se si partisse da un foglio bianco l identificazione di tali ambiti potrebbe rivelarsi un impresa ardua, quasi impossibile, ma fortunatamente la sempre maggiore attenzione da parte delle aziende agli aspetti di efficienza ed efficacia dei propri processi interni ha fatto sì che gruppi di ricerca, centri universitari e società di consulenza abbiano investito su queste tematiche rendendo disponibili tecniche e metodi relativamente semplici, fruibili e ben strutturati, utilizzabili anche autonomamente. Un approccio all identificazione delle aree d intervento può prendere spunto dal CobiT e dall ISO/IEC Il primo consentirà di individuare i processi IT che contribuiscono a determinare quello che sarà il livello di sicurezza del sistema informativo (SI), mentre il secondo guiderà nell individuazione dei domini di sicurezza e dei relativi obiettivi di controllo e attività di controllo da porre in essere. Come è noto lo schema CobiT copre anche gli aspetti di efficienza, efficacia ed affidabilità dei dati. Nel presente studio si sono considerati solo quelli relative a Riservatezza, Integrità, Disponibilità e Conformità proprie della Sicurezza informatica. L elenco sottostante, liberamente ricavato dal framework CobiT 4.1 conservando esclusivamente le parti relative alla sicurezza 7, viene, alla data, ritenuto completo ed esaustivo e quindi un suo utilizzo offre buone garanzie di sistematicità in quanto vengono esaminate tutte le aree dove sono possibili interventi migliorativi. Tabella 1 - Processi CobiT per la sicurezza e loro rilevanza 6 Liberamente scaricabile nella sua traduzione italiana dal sito AIEA: 7 Il Framework CobiT valuta anche gli aspetti relativi ad efficienza,efficacia ed affidabilità dell IT. Processo CobiT Importanza relativa rispetto alla sicurezza IT PO2 - Definire l architettura informatica 4 PO6 - Comunicare gli obiettivi e gli orientamenti della direzione 1 PO8 - Gestire la Qualità 1 PO9 - Valutare e Gestire i Rischi Informatici 10 AI2 - Acquisire e mantenere il software applicativo 1 AI3 - Acquisire e mantenere l infrastruttura tecnologica 2 AI4 - Permettere il funzionamento e l uso dei sistemi IT 3 AI5 - Approvvigionamento delle risorse IT 1 AI6 - Gestire le modifiche 6 AI7 - Installare e certificare le soluzioni e le modifiche 2 DS1 - Definire e gestire i livelli di servizio 4 DS2 - Gestire i servizi di terze parti 4 DS3 - Gestire le prestazioni e la capacità produttiva 1 DS4 - Assicurare la continuità del servizio 3 14

15 3. Metodo Processo CobiT Importanza relativa rispetto alla sicurezza IT DS5 - Garantire la sicurezza dei sistemi 8 DS9 - Gestione della configurazione 1 DS10 - Gestione dei problemi 1 DS11 - Gestione dei dati 3 DS12 - Gestione dell ambiente fisico 6 DS13 - Gestione delle operazioni 2 ME1 - Monitorare e valutare le prestazioni dell IT 4 ME2 - Monitorare e valutare i controlli interni 4 ME3 - Assicurare la conformità a leggi e normative esterne 3 ME4 - Istituzione dell IT Governance 4 Sul sito ROSI è disponibile la versione completa di questo medesimo elenco, contenente le descrizioni precise di ogni processo, tutte le attività ed i criteri di controllo e lo spazio da compilare per la raccolta dei dati. La tabella viene proposta: come aiuto per una rapida, efficiente e sistematica ricerca delle aree di maggior criticità nelle quali è auspicabile / necessario intervenire 8 ; per introdurre alcuni criteri che consentano di individuare la priorità dei singoli interventi; per introdurre alcuni criteri utili alla vendita interna degli interventi stessi. Si suggerisce di utilizzarla nel seguente modo: 1. Scorrere la tabella (si consiglia di utilizzare la versione completa disponibile sul sito clusit.it/) identificando le aree dove si ritiene necessario un intervento migliorativo; 2. Valutare in modo qualitativo (alto, medio, basso) l entità (costi, impegni di risorse, impatti) dell intervento ipotizzato; 3. Valutare i tempi entro i quali l intervento diviene efficace; 4. Valutare il grado di autonomia dell azienda nell area o se si debba ricorrere a risorse / competenze esterne; 5. Indicare se nell area sono in corso altri progetti: i costi del progetto in questione potrebbero essere significativamente ridotti; 6. Quale aspetto del business viene positivamente impattato: Economico, Clientela, Ambiente interno, Competitività aziendale? Questa considerazione potrà aiutare ad individuare, all interno dell azienda, i responsabili potenzialmente più interessati al progetto, e quindi favorevoli e disposti a supportarlo. Questo punto viene descritto in maggior dettaglio alla sezione 3.6.2; 7. L intervento è associabile ad altri interventi consentendo economie di scala?; 8. Si inseriscano altre considerazioni / parametri che si ritengano utili ad un confronto tra i vari interventi (ad esempio: intervento strutturale o intervento tampone?). 8 Per chi volesse approfondire la conoscenza e l utilizzo del framework CobiT, ricordiamo che propone metodi di autovalutazione per verificare quanto i vari processi siano erogati in modo adeguato alle specifiche esigenze, mettendo in risalto le aree di miglioramento. Il framework medesimo propone inoltre un ulteriore livello di dettaglio delle attività/controlli con le cosiddette Pratiche di Controllo 15

16 ROSI Return on Security Investments: un approccio pratico versione Approccio Top-Down Identificazione scenari di intervento Definiti i processi per la gestione della sicurezza e identificati i processi IT che contribuiscono alla sicurezza del SI dobbiamo, a questo punto, valutare se e come intervenire per mantenere un livello di sicurezza adeguato al contesto in continua evoluzione (business, minacce, tecnologie, ecc) in cui opera l azienda. Come è noto, gli interventi di sicurezza possono essere di tipo organizzativo, tecnologico o misto in funzione della problematica che vanno ad indirizzare. In tutti i casi è fondamentale che gli interventi siano individuati attraverso un processo solido e comprensibile per il management. Una delle principali cause di difficoltà nel giustificare una soluzione di sicurezza è da ricercarsi proprio nella non sostenibilità del metodo che ha condotto alla scelta della stessa, e non tanto nella soluzione in sè o nell entità dell investimento richiesto. Il responsabile della sicurezza deve quindi far proprio un approccio in grado di porlo nelle condizioni di illustrare con chiare argomentazioni quantitative e qualitative l adeguatezza degli interventi di sicurezza da porre in essere. Anche in questo caso le Best Practice e gli standard in materia ci vengono in aiuto. Relativamente al miglioramento dei processi di sicurezza, gli aspetti disponibili in letteratura per la sua loro valutazione sono i seguenti: 1 Sensibilizzazione e capacità di comunicare. 2 Policy, piani e procedure. 3 Strumenti ed automazione. 4 Competenza ed esperienza. 5 Definizione delle responsabilità. 6 Definizione e misura degli obiettivi. 9 Si veda per riferimento il sito ufficiale sei.cmu.edu/cmmi/start/. Può essere utile anche la trattazione generale disponibile su Wikipedia: wiki/capability_maturity_ Model. Esistono in merito tecniche molto evolute e sofisticate che, tramite un autovalutazione, consentono di individuare quale sia, in una certa area / processo, la carenza più critica. Pur mantenendosi nei limiti del presente documento, è opportuna una riflessione: i risultati ottimali in genere si ottengono se i sei elementi sono ragionevolmente tra loro bilanciati. Un contributo interessante all identificazione di eventuali punti di miglioramento nei processi di sicurezza in essere può arrivare da una attività di analisi del loro grado di maturità secondo i criteri di valutazione tipici del Capability Maturity Model elaborato dall IT Governance Institute 9. Il modello, infatti, consente un immediato confronto tra la situazione attuale e la situazione a tendere, potenzialmente rappresentata dal livello di maturità successivo a quello nel quale il singolo processo risulta posizionato. I livelli di maturità individuati dal Capability Maturity Model sono: Non existent: il processo descritto non esiste; Initial: il processo descritto è stato svolto. Lo svolgimento è dipeso dalla competenza specifica di chi lo ha curato. La replica del processo richiede la disponibilità della stessa risorsa; Repeatable: il processo descritto è stato svolto e sono state documentate le risultanze di tale lavoro. Sulla base di tale documentazione un soggetto diverso può ripetere il processo rispettandone gli stessi passi logici e di documentazione; Defined: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Del processo sono pertanto disponibili il metodo da seguire e l evidenza dei risultati; 16

17 3. Metodo Managed: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le istruzioni prescrivono che del processo siano effettuate misure quantitative del progresso e dei risultati ottenuti in un periodo definito di tempo; Optimized: il processo descritto è stato svolto applicando le istruzioni scritte circa le modalità di esecuzione. Le misurazioni effettuate del processo nei vari momenti di esecuzione danno luogo a una valutazione comparativa e di bilanciamento tra costi del processo e benefici ottenuti, in ottica di miglioramento continuo. Si precisa che la condizione minima affinché un processo di sicurezza possa definirsi tale è che di esso si possano indicare con chiarezza l owner, l obiettivo di protezione assegnato e gli obiettivi di controllo da rispettare. Si osserva che, seppure fattibile (in modo intuitivo nel caso Defined o in modo sistematico nei casi Managed e/o Optimized), l evoluzione della qualità dei processi di sicurezza è tanto più realisticamente ottenibile quanto più i processi di sicurezza medesimi sono valutati ai livelli di maturità Managed o Optimized e non semplicemente al livello Defined. Ciò è implicito nel fatto che la sicurezza è pianificata e governata da un approccio basato sulla gestione del rischio, il quale presuppone che di ogni processo di sicurezza sia disponibile un feedback. Al contrario, la predominanza di processi valutati allo stadio Non existent, Initial e Repeatable indica una copertura parziale e poco strutturata degli aspetti di sicurezza, dipendente dall abilità professionale dei soggetti dedicati, poco allineata con gli obiettivi di business ed esposta a una progressiva perdita di efficacia Gestione del rischio Riguardo l individuazione degli interventi da porre in essere per tutelare RIDC lo standard ISO/IEC 27001:2005 raccomanda di ricorrere ad un approccio basato sulla gestione del rischio. In particolare, lo standard ISO/IEC 27005:2008 definisce le linee guida per la gestione dei rischi correlati alla sicurezza informatica. Il processo di Risk Management proposto dall ISO/IEC prevede un approccio iterativo basato, fondamentalmente, su 6 macro-attività: Context Establishment; Risk Identification; Risk Estimation; Risk Evaluation; Risk Treatment; Risk Acceptance. Un processo di Risk Management consente di valutare l esposizione al rischio degli asset aziendali; fornisce i criteri per l identificazione della modalità di gestione del rischio rilevato; fornisce gli elementi per l individuazione puntuale degli interventi di sicurezza da porre in essere per ridurre il rischio; consente di attribuire la giusta priorità agli interventi individuati. Tale processo assume ancora più rilevanza prendendo in considerazione i risultati di alcuni studi (nel box un estratto dalla IT Business Balance Survey 2011 di Deloitte) che indicano come la reale consapevolezza di quali incidenti realmente accadano nelle organizzazioni sia ancora assai carente, e di conseguenza come sia fuorviata la percezione del reale rischio da parte del management. 17

18 ROSI Return on Security Investments: un approccio pratico versione 2.0! " Figura 5 - Estratto dalla IT Survey Deloitte 2011 Inoltre, richiedendo il coinvolgimento dei referenti di business in specifici passi d analisi per la valutazione dell esposizione al rischio di un processo di business, contribuisce in maniera sensibile alla diffusione in azienda della cultura sulla sicurezza. Molto spesso, infatti, la piena consapevolezza in azienda circa l importanza di proteggere la RIDC di un asset prende corpo solo al termine della Business Impact Analysis, ovvero dopo che l azienda è stata chiamata a valutare i possibili impatti (economico, legislativo, d immagine, ecc.) che la compromissione di uno o più criteri di sicurezza (RIDC) per un determinato asset causerebbe all azienda. A questo proposito, sempre per favorire la consapevolezza di quanti e quali siano gli incidenti possibili, e quali le loro (anche gravi) conseguenze proprio perché a volte si fa fatica ad immaginare quanto la realtà possa superare le nostre anche più ardite supposizioni rimandiamo all interessante documento di Riccardo Scalici Il Panorama dei rischi, disponibile sul sito del Clusit alla sezione Assicurazioni 10. Questo documento, frutto dell esperienza dell autore nel settore assicurativo, riporta numerosi casi realmente accaduti, nei quali, con un minimo sforzo, ci si può riconoscere, facilitando di molto il lavoro di chi deve presentare un ROSI su casi che altrimenti potrebbero sembrare assai lontani Output del processo di gestione del rischio Al termine del processo di Risk Management il responsabile della sicurezza ha a disposizione l insieme delle informazioni che gli consentono di identificare: la strategia di gestione dei rischi da attuare, tra quelle riportate in Tabella 2; gli obiettivi di controllo che consentono di ridurre o mitigare il rischio rilevato, con il supporto dello standard ISO/IEC 27001; i controlli da porre in essere per soddisfare gli obiettivi di controllo definiti, con il supporto dello standard ISO/IEC Code of Practice; le contromisure organizzative e/o tecnologiche che consentono di attuare i controlli identificati. Tali contromisure potranno fornire protezione su diversi fronti: - ridurre le minacce; - ridurre le vulnerabilità; - ridurre l impatto; - rilevare una minaccia (contromisura applicabile solo in ambito preventivo). Tabella 2 - Strategie di gestione del rischio (fonte Gartner) 10 Il documento è scaricabile dal link rscalici_ pdf. Action Accept the Risk Avoid the Risk Description When the risk is so unlikely or its impact so low that it warrants no further action, the company can decide to simply bear the cost of recovery if the need arises. When the cost and likelihood of the risk are large, it may no longer be feasible to continue operation in the area of activity that incurs the risk. 18

19 3. Metodo Action Transfer or Share the Risk Reduce or Mitigate the Risk Ignore the Risk Description When the risk is part of the business but the cost is predictable the company may share or transfer risk through insurance, contracts and warranties, and joint-venture agreements. The cost of those penalties belong entirely to the delivery service. Often, risk must be borne for a core function of the business; however, systems and controls will be needed to mitigate or reduce either the likelihood or the impact of the risk It is very dangerous for executives to do nothing neither consciously accepting the risk nor mitigating it. A questo punto, dopo aver individuato un certo numero di aree di miglioramento, ed identificato per ciascuna di esse gli interventi da porre in essere, poiché generalmente le aree di miglioramento sono numerose mentre le risorse disponibili (economiche, persone, ecc.) sono limitate, è necessario definire delle priorità. Purtroppo non è possibile qui entrare nel dettaglio delle modalità con cui assegnare le priorità in modo oggettivo e basato unicamente sui fatti. Ai fini pratici, tuttavia, importa soltanto che una priorità sia assegnata, anche arbitrariamente, in modo che sia possibile ordinare gli interventi nel tempo, assegnare le risorse, e così via. 3.4 Approccio Verify Identificazione Pattern Nel caso in cui sia già stata definita una soluzione di sicurezza per la risoluzione di una determinata problematica e si debba dimostrare al management il ritorno dell investimento che si propone, è possibile adottare un approccio bottom-up, che chiamiamo Verify, il quale si basa su un modello di riferimento finalizzato alla valutazione dei potenziali benefici ottenibili dall adozione della soluzione. Questo modello è naturalmente arbitrario, e nulla vieta che faccia riferimento a specifiche tecnologie che già si ritengono promettenti, soprattutto laddove (come nell impresa privata) non vi è il prerequisito necessario di neutralità rispetto ai potenziali fornitori. Di seguito si riporta un possibile approccio di riferimento che può essere utilizzato per descrivere la necessità di un investimento in sicurezza considerato già noto e definito per diverse motivazioni (es. imposizione normativa, risoluzione di una vulnerabilità significativa, ecc.) e giustificarne, in modo strutturato, l adozione nei confronti del management, individuando anche i potenziali ritorni, qualitativi e quantitativi, ottenibili. Si riportano pertanto le modalità di definizione di un pattern e alcune schede esemplificative, che possono essere utilizzate come riferimento per la rappresentazione delle soluzioni di sicurezza da sottoporre al management per autorizzazione all investimento. 3.5 Approccio Verify Predisposizione Pattern Per presentare un pattern in maniera coerente e riproducibile, è indispensabile seguire uno schema, che può naturalmente essere arbitrario, ma che è a priori di difficile costruzione. Si riporta quindi nel seguito una possibile modalità di rappresentazione schematica per la stesura di un pattern, che potrà essere successivamente utilizzata a supporto del documento di presenta- 19

20 ROSI Return on Security Investments: un approccio pratico versione 2.0 zione al management per ottenere l approvazione dell investimento (vedi sezione 4 - Documento ROSI ). Al capitolo 5 Esempi di pattern si riportano degli esempi costruiti dal GdL e da altri contributori. Tabella 3 - Schema di Pattern PATTERN Indicazione del nome del pattern AREA DI INTERVENTO Riferimento agli obiettivi di controllo dello standard ISO27001 SINTESI Criteri di Sicurezza Conformità Riservatezza Integrita` Disponibilita` Risorse Impattate Infrastruttura Risorse Umane Applicazioni Informazioni Driver di Business Rischi operativi Compliance Immagine aziendale Efficienza processi CONTESTO DI RIFERIMENTO Descrizione dell ambito di applicazione del pattern DESCRIZIONE Descrizione della soluzione di sicurezza per la quale si propone l investimento DRIVER / MOTIVAZIONI Indicazione dei driver e delle motivazioni che inducono ad effettuare l investimento PUNTI DI ATTENZIONE Indicazione di criticità/punti di attenzione correlati all investimento ELEMENTI DI VALUTAZIONE Descrizione degli elementi quantitativi e qualitativi da considerare per la stima del ritorno dell investimento BENEFICI / VANTAGGI Descrizione dei benefici quantitativi e dei vantaggi qualitativi ottenibili dall investimento Di seguito si descrivono analiticamente gli elementi riportati nella scheda, per un suo utilizzo più agevole e coerente con gli obiettivi prefissati Pattern Identifica la soluzione di sicurezza oggetto dell investimento da valutare, che può essere di tipo puramente tecnologico, organizzativa o un mix di entrambe. Può pertanto far riferimento sia a progetti complessi e trasversali a più funzioni aziendali (es. Identity & Access Management), come a soluzioni tecniche specifiche per la risoluzione di un determinato problema (es. cifratura dei dati dei PC del management) Area di intervento Al fine di uniformare le soluzioni di sicurezza individuate alle best practice nell ambito dell information security, si propone di ricondurre l analisi ad aree di intervento già delineate dagli standard internazionali quali lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per costituire un sistema di gestione della sicurezza delle informazioni. Lo standard ISO27001 definisce gli obiettivi di controllo ed i controlli di sicurezza, raggruppandoli secondo undici categorie: Security Policy Organizing Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control 20

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Agenda Il gruppo di lavoro Il metodo

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Security Summit Roma Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Sponsor dell iniziativa Ogni azienda / associazione ha investito

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Modena NetConsulting 2012 1

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP.

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. INTERVISTA 13 settembre 2012 ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. Intervista ad Ermanno Pappalardo, Lead Solution Consultant HP Software

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Quando si opera in un mercato

Quando si opera in un mercato Controllo ALLA RICERCA DELL EFFICIENZA: UN SISTEMA INTEGRATO DI PIANIFICAZIONE E CONTROLLO Quando si opera in un mercato competitivo, attraverso un organizzazione complessa, è fondamentale disporre di

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Perugia NetConsulting 2012 1

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

La governance dei Sistemi Informativi nelle aziende italiane. Rossella Macinante Practice Leader

La governance dei Sistemi Informativi nelle aziende italiane. Rossella Macinante Practice Leader La governance dei Sistemi Informativi nelle aziende italiane Rossella Macinante Practice Leader Firenze, 30 Giugno 2010 Previsioni sull andamento del PIL nei principali Paesi nel 2010-2011 Variazioni %

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM. I.C. San Francesco di Paola Messina MEIC86500V

PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM. I.C. San Francesco di Paola Messina MEIC86500V PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM CODICE MECCANOGRAFICO SCUOLA AMBITO DI AV DELLA SCUOLA* MEIC86500V I.C. San Francesco di Paola Messina (X ) COMPLETO - ( ) PARZIALE MARZO 2015 1

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 20 gennaio 2009 INDICE Sezione Contenuto 1. Il programma Responsible Care: scopo e campo di applicazione

Dettagli

Come ottenere la flessibilità aziendale con un Agile Data Center

Come ottenere la flessibilità aziendale con un Agile Data Center Come ottenere la flessibilità aziendale con un Agile Data Center Panoramica: implementare un Agile Data Center L obiettivo principale è la flessibilità del business Nello scenario economico attuale i clienti

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

IT PURCHASING BUSINESS PRACTICES: un analisi delle prassi correnti, con un occhio al lungo periodo

IT PURCHASING BUSINESS PRACTICES: un analisi delle prassi correnti, con un occhio al lungo periodo IT PURCHASING BUSINESS PRACTICES: un analisi delle prassi correnti, con un occhio al lungo periodo 07/07/2011 Sommario Verbale... 3 Presentation: IT PURCHASING BUSINESS PRACTICES : un analisi delle prassi

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel

Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

L iniziativa Cloud DT

L iniziativa Cloud DT L iniziativa Cloud DT Francesco Castanò Dipartimento del Tesoro Ufficio per il Coordinamento Informatico Dipartimentale (UCID) Roma, Luglio 2011 Il Cloud Computing Alcune definizioni Il Cloud Computing

Dettagli

Premessa... 1. Indagine sul processo di pianificazione del business plan... 3. Verifica dell accuratezza storica di budget e piani di sviluppo...

Premessa... 1. Indagine sul processo di pianificazione del business plan... 3. Verifica dell accuratezza storica di budget e piani di sviluppo... Esame e analisi critica di un business plan Premessa... 1 Indagine sul processo di pianificazione del business plan... 3 Verifica dell accuratezza storica di budget e piani di sviluppo... 3 Analisi di

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Glossario Project Cycle Management

Glossario Project Cycle Management Glossario Project Cycle Management Albero degli obiettivi Diagramma, utilizzato nell ambito dell Approccio del Quadro Logico, che permette di rappresentare, in un quadro unitario, ciò che si potrebbe osservare

Dettagli

Bilancio Sociale per un imprenditorialità socialmente ed eticamente responsabile

Bilancio Sociale per un imprenditorialità socialmente ed eticamente responsabile ANA-ANAP, Associazione Nazionale Audioprotesisti e Associazione Nazionale Audioprotesisti Professionali Bilancio Sociale per un imprenditorialità socialmente ed eticamente responsabile Milano, 21/10/2014

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Osservatorio Cloud & ICT as a Service Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Mariano Corso Stefano Mainetti 17 Dicembre 2013 Collaborative Business

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione I sistemi gestionali e le Piccole Medie Imprese A cura di Fabrizio Amarilli Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione Articoli Sono noti

Dettagli

Operations Management GIA-L03

Operations Management GIA-L03 UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione Aziendale prof. Paolo Aymon Operations Management Operations Management UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Iniziativa Comunitaria Equal II Fase IT G2 CAM - 017 Futuro Remoto. Approfondimento

Iniziativa Comunitaria Equal II Fase IT G2 CAM - 017 Futuro Remoto. Approfondimento APPROFONDIMENTO ICT Iniziativa Comunitaria Equal II Fase IT G2 CAM - 017 Futuro Remoto Approfondimento OBIETTIVI, STRATEGIE E TATTICHE DI MARKETING ON-LINE: L INTERNET MARKETING PLAN ORGANISMO BILATERALE

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

measures to ensure a high common level of network and information security across the Union 3

measures to ensure a high common level of network and information security across the Union 3 Legislazione CYBER SECURITY: il nuovo ordine esecutivo del Presidente americano Obama e la recente proposta di direttiva UE Network and Information Security (NIS) Marcoccio Gloria Diritto.it La sicurezza

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Estratto dell'agenda dell'innovazione Smau Milano 2011. Speciale: I casi. Introduzione dell'area tematica. Il caso INCA CGIL

Estratto dell'agenda dell'innovazione Smau Milano 2011. Speciale: I casi. Introduzione dell'area tematica. Il caso INCA CGIL Estratto dell'agenda dell'innovazione Smau Milano 2011 Speciale: I casi Introduzione dell'area tematica Il caso INCA CGIL Innovare e competere con le ICT - PARTE I Cap.1 L innovazione nella gestione dei

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

Sicurezza totale. di Giancarlo Butti. Guida alla protezione dei beni aziendali ITER

Sicurezza totale. di Giancarlo Butti. Guida alla protezione dei beni aziendali ITER Sicurezza totale di Giancarlo Butti Guida alla protezione dei beni aziendali ITER Giancarlo Butti, LA BS7799, LA ISO IEC 27001, CRISC, ISM Security manager ed auditor presso gruppi bancari, consulente

Dettagli

ISACA VENICE MEETING 2014

ISACA VENICE MEETING 2014 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto

Dettagli

Corso semestrale di Analisi e Contabilità dei Costi

Corso semestrale di Analisi e Contabilità dei Costi Corso semestrale di Analisi e Contabilità dei Costi Il target costing Che cosa è il target costing. In prima analisi. E un metodo di calcolo dei costi, utilizzato in fase di progettazione di nuovi prodotti,

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

COMMISSIONE EUROPEA DG Concorrenza. Bruxelles, 01/03/2012 COMP/DG/2012/022543

COMMISSIONE EUROPEA DG Concorrenza. Bruxelles, 01/03/2012 COMP/DG/2012/022543 COMMISSIONE EUROPEA DG Concorrenza Il direttore generale Bruxelles, 01/03/2012 COMP/DG/2012/022543 Modernizzazione degli aiuti di Stato dell UE Documento di discussione Il presente documento espone a grandi

Dettagli