Capacità di reazione alle violazioni PANORAMICA
|
|
- Rossana Romani
- 8 anni fa
- Visualizzazioni
Transcript
1 E U C A L E L E R COLMA I D À IT C A P A ELLA C I IO Z A L IO V E REAZIOE ALL ITY R U C E S L A D I T APPROFODIME UCIL O C IO T A V O I FOR BUSIESS
2 PAORAMICA Questo e-book contiene informazioni dettagliate sulla resilienza, sulla risposta e sulla capacità di reazione alle violazioni ottenute da una serie di interviste approfondite con il Security for Business Innovation Council (SBIC) 1. Il SBIC è costituito da un gruppo di dirigenti della sicurezza orientati al futuro provenienti da imprese globali, impegnati a migliorare lo stato della sicurezza delle informazioni a livello mondiale attraverso la condivisione di informazioni approfondite tratte dalla propria esperienza personale nel mondo reale. I benchmark sulla capacità di reazione per il settore a livello generale derivano da un survey globale effettuato su 170 professionisti della sicurezza in 30 paesi. Vengono fornite misure nell'ambito delle quattro aree principali di capacità di reazione alle violazioni e risposta agli incidenti: intelligence dei contenuti, indagine e analisi, threat intelligence e risposta agli incidenti. Grazie al confronto e all'analisi delle differenze tra le risposte dei leader di settore e il panorama generale, possiamo fornire suggerimenti su cui basare azioni concrete per realizzare un programma preventivo di risposta e capacità di reazione alle violazioni. 1 Vedere l'appendice per un elenco completo dei responsabili e delle organizzazioni di SBIC 2
3 RISPOSTA AGLI ICIDETI La risposta agli incidenti è un approccio organizzato per il trattamento degli eventi avversi sospetti o accertati che riguarda la sicurezza delle reti o dei sistemi di computer. I processi efficaci di risposta agli incidenti consentono di gestire gli eventi in modo da limitare i danni e ridurre il costo e il tempo di ripristino. La pianificazione della risposta agli incidenti deve costituire un processo dinamico. Le organizzazioni che non riescono a valutare e migliorare i piani di risposta agli incidenti espongono il proprio business a rischi maggiori. 100% 67% of SBIC members formally use intelligence and key learnings gleaned from security incidents to improve response processes. SBIC 70% 57% of the non-sbic group infrequently or never review or update those plans. At Large Have formal Incident Response plans in place. "Le persone e il processo rivestono un ruolo più cruciale della tecnologia, poiché quest'ultima fa riferimento alla risposta agli incidenti. Innanzitutto, un team che si occupa di sicurezza deve aver definito chiaramente i ruoli e le responsabilità per evitare confusione nei momenti critici. Ma è altrettanto importante disporre della visibilità e di workflow omogenei durante una qualsiasi crisi rilevante per la sicurezza, così da assicurare responsabilità e coerenza e permettere alle organizzazioni di migliorare nel tempo le procedure di risposta." Ben Doyle, Chief Information Security Officer, Thales Australia e uova Zelanda 3
4 ITELLIGECE DEI COTEUTI L'intelligence dei contenuti è uno stato di situational awareness acquisito attraverso strumenti, tecnologie e processi adottati dalle organizzazioni per identificare e monitorare gli asset critici e diffondere actionable intelligence per l'analisi e la risposta. I membri del SBIC dispongono di team esperti in sicurezza informatica il cui compito è identificare e implementare tecnologie volte ad ampliare l'intelligence dei contenuti. La condivisione delle informazioni è un processo continuo e istituzionalizzato. 100% 45% 92% 60% 90% SBIC At Large 50% "Le organizzazioni devono continuamente affinare il loro approccio alla raccolta delle informazioni. Quanto è opportuno e fattibile tale approccio? È prezioso per il business? Se non venisse attuato, saremmo sommersi da informazioni e perdite virtuali" Tim McKnight, Global Chief Information Security Officer, General Electric Have a security focused log aggregation and correlation solution in place to provide centralized alerting of suspicious activity Utilize asset criticality and/or vulnerability data during daily operations and incident management Identify and reduce false positives 4
5 IDAGII E AALISI Le indagini riguardano l'acquisizione, la registrazione e l'analisi della rete e dei dati host per rivelare l'origine degli attacchi o di altri incidenti. Le indagini rappresentano una funzionalità chiave per l'identificazione di campagne di attacco e attacchi avanzati e sofisticati. 83% 42% 83% 72% SBIC At Large "È importante utilizzare sia le risorse interne che esterne per il rilevamento e l'analisi del malware. Con l'ausilio di terze parti, le organizzazioni possono capire meglio cosa accade al loro interno e sfruttare queste informazioni per prepararsi contro gli attacchi futuri." Dave Martin, Chief Trust Officer, RSA Have in place a live network forensics capability such as a tool(s) with full packet capture and analysis Have a live host forensics capability 5
6 THREAT ITELLIGECE La threat intelligence è il processo che mira a raccogliere e sintetizzare i dati sulle minacce esterne e interne per implementare procedure di rilevamento, indagine e risposta a eventi di sicurezza. 100% 60% 100% 83% use this data in daily cyber security operations. 43% SBIC At Large "Le operazioni di sicurezza devono mantenere un determinato livello di flessibilità. A fronte degli eventi zero-day e di altri tipi di attacchi più complessi da capire, i team dedicati alla sicurezza devono essere agili e adattivi. I servizi di sottoscrizione sono una buona soluzione per ampliare il team se le risorse in questo ambito sono limitate." Jerry Geisler, Senior Director, Information Systems Security Operations, Office of the Chief Information Security Officer, Walmart Have an active vulnerability management program to identify, investigate, assess and remediate potential points of breaches. Augment internal Threat Intelligence with data from external sources. 6
7 ALTRI I T E IM D APPROFO 7
8 ALTRI APPROFODIMETI GESTIOE E RISPOSTA AGLI ICIDETI Le modalità con cui vengono assegnate la priorità agli incidenti e tracciati gli eventi possono influire notevolmente sull'efficacia della risposta a una violazione. Molte organizzazioni si affidano tuttora a un sistema manuale e decentralizzato per tenere traccia degli incidenti nella sicurezza. In alcuni casi, si tratta per lo più di un foglio di calcolo aggiornato al momento dall'analista della sicurezza. Tale approccio rende difficile assicurare la governance, tenere traccia dei sistemi di risoluzione degli incidenti e offrire informazioni approfondite nel miglioramento del processo nel tempo. Le organizzazioni devono adottare un sistema dedicato basato su workflow che assicuri visibilità completa, dalla raccolta degli alert all'escalation e alla creazione degli incidenti attraverso la mitigazione, il contenimento, l'analisi e la correzione. Tra gli intervistati del SBIC, solo il 58% adotta un sistema di gestione dei rischi e del workflow dedicato per le operazioni di sicurezza volto a monitorare e gestire gli incidenti. Da ultimo, l'esecuzione di test su base periodica aumenta le possibilità che le procedure di risposta agli incidenti siano implementate secondo i programmi quando necessario. Tra i membri del SBIC, solo il 92% dispone di un processo formale in atto per testare il proprio programma di risposta agli incidenti almeno una volta l'anno. Le strategie nella lotta informatica consentono di identificare le aree di miglioramento e assicurare che livelli adeguati di attenzione, staff e budget siano destinati a queste applicazioni di elevato valore e all'infrastruttura di dati vulnerabile. ITELLIGECE DI COTEUTI Istituire un'intelligence di contenuti rappresenta un primo passo cruciale per la creazione di un programma di risposta e capacità di reazione alle violazioni. Le organizzazioni devono utilizzare al meglio le tecnologie di data collection per acquisire una visibilità ampia e approfondita nell'attività in tutto l'ambiente. Deve sussistere la capacità di fornire un rilevamento automatizzato delle anomalie con un team o una risorsa dedicati per analizzare gli incidenti potenziali individuati attraverso la tecnologia. Lo sviluppo dell'intelligence di contenuti è un processo continuo. I membri del SBIC, che attuano protocolli avanzati di risposta e capacità di reazione alle violazioni, esortano al miglioramento continuo. Il 58% dei membri intervistati ha dichiarato che sebbene disponga di un sistema di aggregazione centrale per i dati di sicurezza e l'automazione degli avvisi, risulta comunque difficile assicurare la copertura di tutti gli asset critici. I falsi positivi costituiscono un altro problema. L'analisi degli incidenti di falsi positivi consente l'adattamento dei sistemi di intelligence dei contenuti. Tra i membri del SBIC, il 50% non dispone di un processo formale. Molte aziende non tengono in considerazione l'aspetto dei falsi positivi. Le organizzazioni dovrebbero cercare costantemente di aumentare le fonti di intelligence dei contenuti. Secondo i membri del SBIC, la condivisione dei dati tra i team interni è cruciale sia attraverso comunicazioni out-of-band regolari sia attraverso strumenti di governance, rischi e conformità centralizzati. L'obiettivo è abbattere i silos esistenti. 8
9 ALTRI APPROFODIMETI IDAGII E AALISI Le indagini e l'analisi delle reti sono essenziali per migliorare le capacità di reazione alle violazioni. Le organizzazioni che si basano sulla sola analisi dei registri presentano molti punti ciechi potenziali. Attraverso la correlazione di pacchetti di rete e altri dati di sicurezza, le organizzazioni possono scoprire l'esistenza di attacchi non rilevati dagli strumenti basati su firma e SIEM incentrati su registri. L'analisi del malware è una tecnica di indagine standard che fa parte della maggior parte delle strategie di risposta e reazione alle violazioni. Grazie alla comprensione delle modalità operative e degli obiettivi del malware, le organizzazioni possono far fronte alle vulnerabilità degli endpoint e della rete per migliorare il rilevamento degli attacchi e i sistemi di difesa. Tuttavia, gli attacker continuano ad affinare le proprie tecniche a fronte di questi strumenti, avanzando molti attacchi che non possono essere rilevati con gli engine di analisi. Gli strumenti di indagine per l'analisi dinamica e statica dell'utilizzo della memoria, delle connessioni di reti aperte, dei processi in esecuzione dei log degli eventi possono dimostrare l'esistenza di intrusioni e attacchi mirati nascosti. L'83% dei membri SIBC intervistati dispone di funzionalità di indagine host in tempo reale, malgrado tali strumenti siano implementati su vari livelli funzionali e non utilizzati da tutti nel processo di indagine. THREAT ITELLIGECE Secondo l'sbic, è necessario estrarre i dati sulle minacce riportati di seguito per migliorare la risposta e capacità di reazione alle violazioni: Dati di vulnerabilità Dati sulle minacce open source Feed di threat intelligence esterni da terze parti Le organizzazioni non dovrebbero tuttavia affidarsi completamente alla threat intelligence. Anche gli attacker sottoscrivono i feed delle minacce, creando attacchi per evitare l'utilizzo di indicatori chiave che possono ridurre l'efficacia contro le campagne sofisticate. I dati di vulnerabilità associati alla determinazione dell'importanza delle risorse di informazioni (ad esempio mission-critical, business-critical) offrono il contesto aziendale che consente alle organizzazioni di assegnare priorità nell'allocazione delle risorse. 9
10 L'AZIEDA È PROTA A REAGIRE ALLE VIOLAZIOI? Domande fondamentali nel quattro categorie principali di risposta e capacità di reazione alle violazioni Risposta agli incidenti L'organizzazione dispone di un processo di risposta agli incidenti definito formalmente e basato su documenti? Esistono criteri di assunzione definiti e programmi di formazione per sviluppare risorse umane IR efficienti? È disponibile un sistema che consente allo staff di assegnare priorità alle risposte agli incidenti? Se l'organizzazione venisse informata da terze parti, ad esempio dalle autorità giudiziarie, dell'esistenza di una violazione alla sicurezza all'interno della rete aziendale, saprebbe chiaramente quali sono i passaggi di risposta richiesti? Qual è la frequenza con cui vengono testate le funzionalità di risposta agli incidenti? Intelligence dei contenuti L'organizzazione dispone in questo momento di una soluzione di data collection incentrata sulla sicurezza per fornire avvisi centralizzati e avviare indagini su attività sospette? L'organizzazione prevede una funzione/un team dedicato per lo sviluppo e il test di nuovi contenuti per le tecnologie di sicurezza? Esistono misure in atto volte a identificare e ridurre i falsi positivi? L'organizzazione integra i dati di criticità degli asset o altre misurazioni dei rischi per creare un'intelligence di contenuti su cui basare azioni più concrete? Indagini e analisi L'organizzazione ha adottato sistemi di indagine della rete in tempo reale, come strumenti per l'acquisizione e l'analisi completa dei pacchetti? Attualmente l'organizzazione di sicurezza ha una funzione di analisi del malware? Esiste una funzionalità di indagine host "in tempo reale"? Threat intelligence L'organizzazione ha attuato un programma di gestione delle vulnerabilità? Il team addetto alla sicurezza si occupa di esaminare i dati sulle minacce per classificare e assegnare priorità ai dati per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza utilizza dati di threat intelligence open source per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza acquista dati di threat intelligence esterni per l'utilizzo nelle operazioni di routine? L'organizzazione analizza su base periodica le "lezioni" apprese a seguito degli incidenti di sicurezza per generare informazioni che confluiscono nuovamente nelle operazioni di sicurezza per un perfezionamento continuo? 10
11 SECURITY FOR BUSIESS IOVATIO COUCIL Marene Alison* - World Wide VP of Information Security, Johnson & Johnson Anish Bhimani* - Chief Information Officer, Commercial Banking, JP Morgan Chase William Boni - Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security, T-Mobile USA Roland Cloutier* - Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker* - Senior Vice President, Chief Information Security Officer, AB Amro Ben Doyle* - Chief Information Security Officer, Thales Australia e uova Zelanda Jerry R. Geisler III* - Office of the Chief Information Security Officer, Walmart Stores, Inc. Malcolm Harkins - Vice President, Chief Security e Privacy Officer, Intel Kenneth Haertling* - Vice President e Chief Security Officer, TELUS Dave Martin*- Former Vice President e Chief Security Officer, EMC Corporation, Chief Trust Officer, RSA Timothy McKnight* - Global Chief Information Security Officer, General Electric Kevin Meehan* - Vice President e Chief Information Security Officer, The Boeing Company Philip Hong Sun, Kim - Executive Vice President e Chief Security Information Officer, Standard Chartered Bank of Korea David Powell - Head of IT Security, ational Australian Bank Robert Rodger - Group Head of Infrastructure Security, HSBC Holdings plc. Ralph Salomon - Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery Vishal Salvi* - Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Denise D. Wood* - Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation *Membri del SBIC che hanno partecipato a questo survey 11
12 Capacità di reazione alle violazioni EMC2, EMC, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Copyright 2015 EMC Corporation. Tutti i diritti riservati. Pubblicato in Italia. 04/15 ebook H14105
Un'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliResponsabilità e piano di azione per un nuovo approccio alla Cyber Security
Responsabilità e piano di azione per un nuovo approccio alla Cyber Security @RSAEMEA @VulpianiM #RSAEMEASummit Massimo Vulpiani, Regional Director Europe South RSA Lo stato dell arte Ieri, in attesa del
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliSymantec Insight e SONAR
Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
Dettagli25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo
ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliTitolo: La Sicurezza dei Cittadini nelle Aree Metropolitane
Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane L esperienza di ATM Il Sistema di Sicurezza nell ambito del Trasporto Pubblico Locale Claudio Pantaleo Direttore Sistemi e Tecnologie Protezione
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliCAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo
CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliSysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.
Scheda Il CRM per la Gestione delle Vendite Le organizzazioni di vendita sono costantemente alla ricerca delle modalità migliori per aumentare i ricavi aziendali e ridurre i costi operativi. Oggi il personale
DettagliXXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliCOME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING
Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliAllegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI
Allegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI In base alla delibera della Giunta Regionale N 225 del 3/4/2006, la direzione sanitaria
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliProtezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS
Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS La sicurezza IT è un dovere! La sicurezza IT è fondamentale per qualsiasi azienda. Le conseguenze di un attacco malware o di una
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliInformation Systems Audit and Control Association
Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone
DettagliCentoCinquanta Change Management
. Workforce Performance. Strategic Services debbasi considerare come non è cosa più difficile a trattare, né più dubia a riuscire, né più pericolosa a maneggiare, che farsi a capo ad introdurre nuovi ordini.
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliLEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE
LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE 1 Chiarezza e qualità nel servizio sono alla base di tutti i rapporti con i Clienti all insegna della massima professionalità. Tutti i dipendenti hanno seguito
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliEffettuare gli audit interni
Scopo Definire le modalità per la gestione delle verifiche ispettive interne Fornitore del Processo Input Cliente del Processo Qualità (centrale) e Referenti Qualità delle sedi territoriali Direzione Qualità
DettagliSymantec Protection Suite Small Business Edition Una soluzione semplice, efficace e conveniente progettata per le piccole aziende
Una soluzione semplice, efficace e conveniente progettata per le piccole aziende Panoramica Symantec Protection Suite Small Business Edition è una soluzione per la sicurezza e il backup semplice e conveniente.
DettagliLe difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004
Modelli organizzativi e procedurali della funzione di Internal Audit in Deutsche Bank Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliApprofondimento. Controllo Interno
Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliSito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.
Nome soluzione Ruven S.r.l. Settore: Cosmetica Descrizione Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET. MediaFile
DettagliProposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione
Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliPolicy. L Information Management
Policy L Information Management Approvato dal Consiglio di Amministrazione di eni spa il 15 dicembre 2010 1. Le informazioni 3 2. I sistemi informativi 4 3. La comunicazione 5 2 Le informazioni 1 Le informazioni,
DettagliSCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento
SCELTA DELL APPROCCIO A corredo delle linee guida per l autovalutazione e il miglioramento 1 SCELTA DELL APPROCCIO l approccio all autovalutazione diffusa può essere normale o semplificato, a seconda delle
DettagliOSINT, acronimo di Open Source INTelligence, uno dei modi per acquisire dati utili per l intelligence:
OSINT, acronimo di Open Source INTelligence, uno dei modi per acquisire dati utili per l intelligence: riguarda il monitoraggio e l analisi di contenuti reperibili da fonti pubbliche, non riservate. L
DettagliLe effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi
Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi Indagine ottenuta grazie alla somministrazione di questionario ad oltre 260
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliGUIDA DI APPROFONDIMENTO IL CONTROLLO DI GESTIONE: IL SISTEMA DI REPORTING
WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO IL CONTROLLO DI GESTIONE: IL SISTEMA DI REPORTING A CURA DEL BIC SARDEGNA SPA 1 S OMMAR IO LA FUNZIONE DEI REPORT... 3 TIPOLOGIA DEI REPORT... 3 CRITERI
DettagliDirezione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliIL REPORTING DIREZIONALE
IL REPORTING DIREZIONALE Il Reporting Direzionale è uno degli strumenti chiave necessari al management per governare l azienda e rappresenta il momento di sintesi delle rilevazioni contabili che permettono
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
DettagliALLINEARSI: IL DRIVER PER UNA INNOVAZIONE DI SUCCESSO!
ALLINEARSI: IL DRIVER PER UNA INNOVAZIONE DI SUCCESSO! L allineamento del team esecutivo è definibile come l accordo dei membri del team in merito a: 1. Allineamento personale -consapevolezza dell impatto
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliComune di San Martino Buon Albergo
Comune di San Martino Buon Albergo Provincia di Verona - C.A.P. 37036 SISTEMA DI VALUTAZIONE DELLE POSIZIONI DIRIGENZIALI Approvato dalla Giunta Comunale il 31.07.2012 INDICE PREMESSA A) LA VALUTAZIONE
DettagliILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE
ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE L approccio al processo di manutenzione Per Sistema Integrato di Produzione e Manutenzione si intende un approccio operativo finalizzato al cambiamento
DettagliPO 01 Rev. 0. Azienda S.p.A.
INDICE 1 GENERALITA... 2 2 RESPONSABILITA... 2 3 MODALITA DI GESTIONE DELLA... 2 3.1 DEI NEOASSUNTI... 3 3.2 MANSIONI SPECIFICHE... 4 3.3 PREPOSTI... 4 3.4 ALTRI INTERVENTI FORMATIVI... 4 3.5 DOCUMENTAZIONE
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliProvincia- Revisione della disciplina delle funzioni
Provincia- Revisione della disciplina delle funzioni L art. 1, comma 86, della l. n. 56/2014 ha elencato le funzioni fondamentali delle Province non comprendendo tra queste il servizio idrico integrato;
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliMonitoraggio dell attuazione della legge 440/97 Analisi di contesto e Gantt delle operazioni
Monitoraggio dell attuazione della legge 440/97 Analisi di contesto e Gantt delle operazioni A cura del referente dell USR per la Campania 1 1.0) Contesto di riferimento Il ruolo centrale della valutazione
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliViolazione dei dati aziendali
Competenze e Soluzioni Violazione dei dati aziendali Questionario per le aziende ISTRUZIONI PER L UTILIZZO Il presente questionario è parte dei servizi che la Project++ dedica ai propri clienti relativamente
DettagliSURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI
ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia
DettagliCapitolo 4 - Teoria della manutenzione: la gestione del personale
Capitolo 4 - Teoria della manutenzione: la gestione del personale Con il presente capitolo si chiude la presentazione delle basi teoriche della manutenzione. Si vogliono qui evidenziare alcune problematiche
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliIl mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation
Il mestiere del security manager Giorgio Ledda Senior Director Security Oracle Corporation Argomenti della discussione Il mestiere del security manager. Perché la security? Una definizione di security.
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliIl CRM per la Gestione del Servizio Clienti
Scheda Il CRM per la Gestione del Servizio Clienti Le Soluzioni CRM aiutano le aziende a gestire i processi di Servizio e Supporto ai Clienti. Le aziende di Servizio stanno cercando nuove modalità che
DettagliSTANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008
DECRETO LEGISLATIVO n. 81 del 9 aprile 2008 UNICO TESTO NORMATIVO in materia di salute e sicurezza delle lavoratrici e dei lavoratori STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO
DettagliAppendice III. Competenza e definizione della competenza
Appendice III. Competenza e definizione della competenza Competenze degli psicologi Lo scopo complessivo dell esercizio della professione di psicologo è di sviluppare e applicare i principi, le conoscenze,
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliINDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA
INDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA Con il presente documento si precisano le modalità di intervento da adottare da parte degli Spisal per valutare
DettagliAgenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.
Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri. Roma, 25 ottobre 2010 Ing. Antonio Salomè Ing. Luca Lezzerini
DettagliPOLITICA DI COESIONE 2014-2020
INVESTIMENTO TERRITORIALE INTEGRATO POLITICA DI COESIONE 2014-2020 A dicembre 2013, il Consiglio dell Unione europea ha formalmente adottato le nuove normative e le leggi che regolano il ciclo successivo
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliLa tecnologia cloud computing a supporto della gestione delle risorse umane
La tecnologia cloud computing a supporto della gestione delle risorse umane L importanza delle risorse umane per il successo delle strategie aziendali Il mondo delle imprese in questi ultimi anni sta rivolgendo
Dettagli2 Giornata sul G Cloud Introduzione
Roberto Masiero Presidente THINK! The Innovation Knowledge Foundation 2 Giornata sul G Cloud Introduzione Forum PA Roma, 18 Maggio 2012 THINK! The Innovation Knowledge Foundation Agenda Cloud: I benefici
DettagliDescrizione dettagliata delle attività
LA PIANIFICAZIONE DETTAGLIATA DOPO LA SELEZIONE Poiché ciascun progetto è un processo complesso ed esclusivo, una pianificazione organica ed accurata è indispensabile al fine di perseguire con efficacia
Dettaglivisto il trattato sul funzionamento dell Unione europea,
17.11.2012 IT Gazzetta ufficiale dell Unione europea L 320/3 REGOLAMENTO (UE) N. 1077/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per la supervisione da parte delle
DettagliIl modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
DettagliL esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT
L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
Dettagli4. GESTIONE DELLE RISORSE
Pagina 1 di 6 Manuale Qualità Gestione delle Risorse INDICE DELLE EDIZIONI.REVISIONI N DATA DESCRIZIONE Paragraf i variati Pagine variate 1.0 Prima emissione Tutti Tutte ELABORAZIONE VERIFICA E APPROVAZIONE
DettagliIl Partner di riferimento per i progetti informatici
Il Partner di riferimento per i progetti informatici ISAB INFORMATICA nasce nel 1995 formata da un gruppo di persone di comprovata esperienza ognuna nel proprio settore; la storia di ISAB INFORMATICA è
DettagliIl Partner di riferimento per i progetti informatici
Il Partner di riferimento per i progetti informatici ISAB INFORMATICA nasce nel 1995 formata da un gruppo di persone di comprovata esperienza ognuna nel proprio settore; la storia di ISAB INFORMATICA è
DettagliEsigenze di stampa del settore delle costruzioni. Collaborazione e tracciatura delle modifiche. Completamento dei lavori secondo le specifiche
Aumentate la collaborazione tra il team e accelerate la pianificazione delle costruzioni Soluzioni di stampa e scansione HP DesignJet per il settore delle costruzioni Consegna nei limiti di tempo e budget
Dettagli4.5 CONTROLLO DEI DOCUMENTI E DEI DATI
Unione Industriale 35 di 94 4.5 CONTROLLO DEI DOCUMENTI E DEI DATI 4.5.1 Generalità La documentazione, per una filatura conto terzi che opera nell ambito di un Sistema qualità, rappresenta l evidenza oggettiva
DettagliALLEGATO 1 (SCHEDA DI ASSEGNAZIONE OBIETTIVI)
ALLEGATO 1 (SCHEDA DI ASSEGNAZIONE OBIETTIVI) me Cognome Categoria Area AP PO, di tipo Anno di riferimento per la valutazione Punteggio conseguito nelle di schede di valutazione della prestazione degli
DettagliAnalisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it
Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi
DettagliCORSO WET 462 Amministrazione di database SQL Server 2012
CORSO WET 462 Amministrazione di database SQL Server 2012 Struttura e durata del corso Scheda informativa Il corso ha la durata di 24 ore ed è distribuito nell arco di un mese: 6 incontri da 4 ore ciascuno.
DettagliCOMUNICAZIONE PER IL MANAGEMENT D IMPRESA
COMUNICAZIONE PER IL MANAGEMENT D IMPRESA Roma, aprile 2015 Project Management (Prof. A. Rocchi) A cosa si riferisce Diverse sono le problematiche relative alla gestione dei progetti all interno di ogni
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliInternet Security Systems Stefano Volpi
Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
DettagliTHE BENCHMARKING CLUB. Benchmarking Study. La Sicurezza Informatica
THE BENCHMARKING CLUB Benchmarking Study La Sicurezza Informatica La Sicurezza Informatica Business International Via Isonzo, 42 C 00198 Roma Tel. 06.84.54.11 Fax 06.85.30.10.46 Indice PREMESSA Key finding
Dettagli