la trasformazione dell'information security Processi a prova di futuro

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "la trasformazione dell'information security Processi a prova di futuro"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland, Global Head of Security Automatic Data Processing roland cloutier, Vice President, Chief Security Officer The Coca-Cola Company renee guttmann, Chief Information Security Officer ebay Leanne Toliver, Ufficio del Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments tim mcknight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. bob rodger, Group Head of Infrastructure Security Intel malcolm harkins, Vice President, Chief Security e Privacy Officer Johnson & Johnson Marene n. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG ralph salomon, Vice President IT Security e Risk Office t Report basato sulle discussioni con Security for Business Innovation Council la trasformazione dell'information security Processi a prova di futuro TELUS Kenneth Haertling, Vice President e Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry r. Geisler III, Ufficio del Chief Information Security Officer Dove concentrare il miglioramento dei processi Suggerimenti dei responsabili del gruppo Global 1000 Come ottimizzare i processi di sicurezza fondamentali In questo report: Linee guida sulla documentazione dei processi di business Tecniche aggiornate per la valutazione del rischio Accertamento dell'efficacia dei controlli basato su prove Suggerimenti per ottenere capacità di data analytics Un'iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione: prepararsi per il futuro 2 2. Aree chiave per il miglioramento 3 3. Suggerimenti 4 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 4 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 6 3. Stabilire un processo di valutazione del rischio incentrato sul business 6 4. Impostare un percorso per accertare l'efficacia dei controlli basata su prove 8 5. Sviluppare metodi di data collection informati 10 Conclusione 12 Informazioni sull'iniziativa SBIC 12 Autori del report 13 Dichiarazione di non responsabilità - Questo report del Security for Business Innovation Council ("Report") include informazioni e materiali (detti collettivamente il "Contenuto") soggetti a modifiche senza preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (detti collettivamente gli "Autori") escludono espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non riconoscono alcuna garanzia esplicita o implicita relativa all'utilizzo del Contenuto, ivi comprese quelle di commerciabilità, compatibilità, non violazione, precisione o idoneità per uno scopo specifico. Il Contenuto è destinato a fornire informazioni al pubblico e non costituisce un parere legale di RSA Security LLC, della sua casa madre, EMC Corporation, dei rispettivi avvocati o degli autori di questo report SBIC. L'utente non deve intraprendere azioni o astenersi dall'intraprendere azioni sulla base del Contenuto senza aver consultato un avvocato autorizzato a esercitare nella giurisdizione dell'utente. Gli Autori non saranno responsabili di eventuali errori contenuti nel presente documento o di eventuali danni di qualsivoglia tipo derivanti da o correlati all'uso di questo Report (incluso tutto il Contenuto), ivi compresi danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, che si verifichino in base a un contratto, in un illecito o in qualsiasi altra ipotesi di responsabilità, anche se gli Autori sono consapevoli della possibilità di tali errori o danni. Gli autori non si assumono alcuna responsabilità per gli errori o le omissioni del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. Stare al passo con le minacce informatiche e con le ultime tendenze di business e tecnologiche richiede una revisione dei processi di information security. Le aree chiave per il miglioramento in molte organizzazioni sono le seguenti: Misurazione dei rischi: se si descrivono i rischi in termini tecnici, ad esempio "numero di intrusioni o vulnerabilità", diventa difficile consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica. Business Engagement: i processi per tenere traccia dei rischi devono essere facili ed efficienti da utilizzare per il business, ma spesso sono ancora basati su complessi metodi manuali. Valutazioni dei controlli: le valutazioni point-in-time e frammentarie non sono più sufficienti. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Valutazioni del rischio di terze parti: l'attuale modello di valutazione del rischio è inefficiente e ripetitivo e non offre una visibilità continua sui controlli di sicurezza del service provider. Rilevamento delle minacce: sebbene sia richiesto un approccio alla sicurezza basato sull'intelligence, per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. Questo report contiene preziosi suggerimenti da parte di 19 addetti alla sicurezza, leader mondiali del settore, che possono aiutare le organizzazioni a sviluppare strategie di sicurezza per il panorama delle crescenti minacce attuali. Cinque suggerimenti Concentrarsi su come affrontare i problemi critici, aggiornare i programmi di information security e prepararsi al futuro: 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Abbandonare il punto di vista strettamente tecnico sulla protezione degli asset informativi, ad esempio server e applicazioni. Adottare una prospettiva più generale che consideri l'uso che viene fatto delle informazioni nella gestione del business. Pensare a come proteggere end-to-end i processi di business più critici endto-end. Collaborare con le business unit per documentare i processi di business critici. 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Sviluppare tecniche per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo consultivo relativo ai rischi. Definire scenari dettagliati che descrivano la probabilità di incidenti di sicurezza e la portata dell'impatto sul business. Se fattibile o richiesto, quantificare il rischio e passare gradualmente alle valutazioni finanziarie. 3. Stabilire un processo di valutazione del rischio incentrato sul business Passare a strumenti più automatizzati per tenere traccia dei rischi per le informazioni quando vengono identificati, valutati, accettati o risolti, per velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi. Fare affidamento sui service provider per le valutazioni ordinarie e ripetitive. Introdurre una certa flessibilità nel processo di accettazione dei rischi per consentire al business di sfruttare le opportunità urgenti. 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Sviluppare la capacità di raccogliere dati pertinenti per testare continuamente l'efficacia dei controlli. Iniziare con la documentazione e la revisione dei controlli, dando la precedenza ai controlli più importanti che proteggono i processi di business critici. Determinare da quale prova sarà sostenuto ogni controllo e impostare le procedure per raccogliere e segnalare sistematicamente la prova e apportare continuamente le modifiche necessarie. Automatizzare col tempo la raccolta di prove e la generazione di report per migliorare le valutazioni interne e di terze parti. 5. Sviluppare metodi di data collection informati Iniziare esaminando i tipi di domande a cui l'analisi dei dati è in grado di rispondere per identificare le origini di dati rilevanti. Creare un insieme di use case dell'analisi dei dati. Modificare il logging ove i dati originali siano insufficienti, negoziando, se necessario, con gli owner del sistema. Comprendere come applicare l'intelligence sulle minacce esterne per migliorare l'analisi. Sviluppare un piano completo per migliorare l'architettura complessiva della raccolta, generare log con un volume di dati più elevato e aumentare la capacità di storage dei dati. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: prepararsi per il futuro I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. I team della sicurezza orientati al futuro sono consapevoli che stare al passo con le minacce informatiche e con le ultime tendenze business e tecnologiche richiede una revisione dei processi di information security. Partendo dai punti di vista di alcuni responsabili dell'information security, leader mondiali del settore, questo report esamina le aree chiave dei programmi di sicurezza che ora richiedono attenzione. Fornisce consigli pratici su nuovi processi e tecniche aggiornate, consentendo ai team della sicurezza di affrontare i problemi attuali e di prepararsi per il futuro. 5 Leggi il primo report 2 BUSINESS ENGAGEMENT MISURAZIONE DEI RISCHI RILEVAMENTO DELLE MINACCE ASSESSMENT DEI CONTROLLI ASSESSMENT DEL RISCHIO DI TERZE PARTI Come deve essere un programma di information security efficace e orientato al futuro? Per rispondere a questa domanda, il Security for Business Innovation Council (SBIC) sta preparando una serie di tre report su "La trasformazione dell'information security". I report offrono consigli pratici nati dall'unione delle conoscenze e dei punti di vista dei principali leader del settore della sicurezza dell'information security. Il primo report era un playbook per la definizione di un team esteso all'avanguardia. Questo report illustra i fondamenti dei processi di information security. Nel terzo verranno identificate alcune tecnologie essenziali per l'evoluzione dei programmi di information security. Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 S Aree chiave per il miglioramento e ai programmi di sicurezza fossero date pagelle di valutazione dei processi, nella maggior parte delle organizzazioni, le aree seguenti sarebbero identificate con "non soddisfa le aspettative, servono miglioramenti". 1. Misurazione dei rischi I dirigenti e i consigli di amministrazione di tutto il mondo hanno capito che i rischi per la sicurezza informatica possono compromettere significativamente il bilancio di un'azienda. Eventi recenti hanno dimostrato la portata dell'impatto. Negli ultimi 12 mesi, molte banche hanno subito attacchi DDoS (Distributed Denial of Service) ai propri siti di online banking. Un report dell'ip Commission pubblicato all'inizio dell'anno ha stimato che i furti internazionali di proprietà intellettuale americana sono nell'ordine di centinaia di miliardi di dollari all'anno.1 Vedendo la possibilità di ulteriori perdite economiche, le business unit di molte organizzazioni sono sempre più interessate a una gestione proattiva dei rischi per la sicurezza informatica. Dal loro punto di vista, i rischi per la sicurezza informatica vengono considerati esattamente come gli altri rischi, ovvero in termini economici. Inoltre, la U.S. Securities and Exchange Commission (SEC) prevede che le aziende pubbliche degli Stati Uniti divulgheranno informazioni rilevanti relative ai rischi per la sicurezza informatica e agli incident.2 Nell'Unione Europea, la Markets in Financial Instruments Directive (MiFID) richiede agli istituti finanziari di adottare misure adeguate per la gestione dei rischi.3 Il team dell'information security deve consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica, generare report sulla "rilevanza" o dimostrare l'"adeguatezza". Ciò è difficile se il rischio viene descritto solo in termini tecnici, ad esempio con il numero di intrusioni o di vulnerabilità. 2. Progetto di business Man mano che le business unit diventano sempre più responsabili della gestione dei rischi per la sicurezza informatica, il team della sicurezza deve lavorare in collaborazione con esse per garantirne il successo. Il processo per identificare, valutare, eseguire il triage e tenere traccia dei rischi deve essere semplice ed efficiente e deve consentire al business di rispondere alle pressioni di un mercato competitivo. Eppure i processi di valutazione del rischio spesso sono ancora basati su complessi metodi manuali. 3. Valutazioni dei controlli Nella maggior parte delle organizzazioni, le valutazioni per verificare che i controlli di sicurezza stiano funzionando come previsto vengono in genere eseguite sporadicamente da diversi auditor interni ed esterni. Le valutazioni point-in-time e frammentarie non sono più sufficienti. Viste le crescenti minacce e l'aumento degli investimenti in sicurezza, i team della sicurezza sono tenuti ad assicurarsi che i controlli siano sempre efficienti ed efficaci. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Tuttavia, la maggior parte dei team della sicurezza non valuta in modo coerente i controlli né vi apporta continuamente le modifiche necessarie. 4. Valutazioni del rischio di terze parti Il modello tradizionale per la valutazione del rischio si basa su questionari e audit on-site, i cui risultati vengono registrati in documenti e aggiornati annualmente. Sia per i service provider che per i clienti, questo processo è inefficiente e richiede a tutti operazioni ripetitive. Inoltre, non fornisce alle organizzazioni una visibilità tattica e operativa continua sui controlli di sicurezza del service provider per assicurarsi che il provider soddisfi i requisiti per la protezione delle informazioni. 5. Rilevamento delle minacce È ormai evidente in tutto il settore che a causa delle minacce avanzate le organizzazioni devono passare rapidamente ad approcci di rilevamento maggiormente basati sull'intelligence. Il solo monitoraggio degli eventi dall'infrastruttura di rete perimetrale non è più efficace. La sicurezza basata sull'intelligence si serve dell'analisi dei dati, abilita gli alert in caso di comportamenti indicanti sfruttamento e fornisce il contesto delle minacce. Richiede che i dati vengano raccolti e analizzati da un'ampia gamma di origini. Eppure per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. The Report of the Commission on the Theft of American Intellectual Property, National Bureau of Asian Research, RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 3 Suggerimenti Q uesti suggerimenti non sono concepiti come istruzioni complete per la riprogettazione dei processi di sicurezza, ma hanno come obiettivo la correzione di alcuni processi chiave che richiedono attenzione per affrontare problemi critici, aggiornare i programmi di information security e prepararsi al futuro. 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Per risolvere le limitazioni degli attuali processi di sicurezza, è innanzitutto necessario fare un passo indietro e riconsiderare come formulare il problema. I professionisti dell'information security hanno sempre pensato alla protezione degli asset informativi, ad esempio server e applicazioni. Questo punto di vista tecnico, anche se necessario, non è sufficiente, perché non offre una visione abbastanza ampia dell'uso che viene fatto delle informazioni nella gestione del business. Non sarà inoltre di grande utilità di fronte ad attacchi mirati, specificatamente progettati per danneggiare i processi di business, ad esempio gli ordini dei clienti, le transazioni finanziarie, i processi di sviluppo o fabbricazione di prodotti o le procedure di contabilità clienti. È invece opportuno adottare una prospettiva più generale e pensare a come proteggere i processi di business critici end-to-end. Cambiare prospettiva Spostando l'attenzione dagli asset tecnici ai processi di business, il team della sicurezza avrà un punto di vista più consapevole e saprà dove concentrare gli sforzi. Potrà determinare quali siano i processi più critici che richiedono la massima protezione. Conoscendo il flusso delle informazioni all'interno di ogni processo, potrà comprendere come un attacker possa impedire un processo e quali siano i controlli di sicurezza più efficaci. 5 Suggerimenti 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 3. Stabilire un processo di valutazione del rischio incentrato sul business 4. Impostare un percorso per accertare l'efficacia dei controlli in base a prove 5. Sviluppare metodi di data collection informati 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 suggerimenti Grazie alla comprensione dei processi di business la sicurezza può essere integrata e non semplicemente aggiunta. " Prendere in considerazione un processo di sviluppo di nuovi prodotti. Se il team della sicurezza non conosce il processo, non può sapere che cosa sia un'attività "normale", ad esempio come e quando i membri del team di progettazione accedono all'applicazione di progettazione, come e quando vengono utilizzati messaggi per comunicare le specifiche ai contractor di terze parti e così via. Approfondendo il processo, saranno in grado di instrumentare meglio i controlli per rilevare ed evitare le condizioni non normali e proteggere la proprietà intellettuale. Grazie alla conoscenza dei processi di business, il team della sicurezza può verificare come i controlli di sicurezza influiscano sui processi e limitare così diverse problematiche. Ad esempio, esaminando i passaggi di un processo di business, potrebbe essere possibile eliminare la necessità di trasferire i dati riservati e quindi la necessità della crittografia. In alcuni casi, potrebbe essere necessario apportare lievi modifiche a un processo di business per rendere più efficiente il monitoraggio. Ad esempio, è difficile rilevare se un utente non autorizzato sta sottraendo informazioni tramite il download dei dati delle transazioni, se il normale utilizzo richiede il download giornaliero di tutte le transazioni in un database. Grazie alla comprensione dei processi di business la sicurezza può venire integrata e non semplicemente aggiunta. Ad esempio, un processo di approvvigionamento potrebbe incorporare un protocollo per consentire al team degli acquisti di scremare un elenco di problemi di sicurezza e privacy. Aiuta inoltre il team della sicurezza a capire che i controlli di sicurezza tecnici non sono necessariamente l'unica soluzione per proteggere un processo. Se si verifica un problema con la certificazione di accesso, ad esempio, inserire un passaggio di riconciliazione manuale nel processo può essere una soluzione efficace. La documentazione dei processi di business deve essere un'attività collaborativa che porti a stabilire quali siano i rischi per il sistema. Non potremo mai comprendere il valore delle informazioni per il business allo stesso modo del proprietario dell'azienda, che al contrario non potrà mai comprendere le minacce allo stesso modo del " team della sicurezza. dave martin Vice President e Chief Security Officer, EMC Corporation?Domande da porre durante la documentazione dei processi di business La documentazione dei processi a fini di protezione dei dati richiede in genere di analizzare i singoli passaggi dei processi, descrivendo in dettaglio come vengono utilizzate le informazioni. Ecco alcuni esempi di domande pertinenti: DDDurante questo processo vengono generati, scambiati o archiviati dati riservati, sensibili o soggetti a normative? Se sì, quali controlli di sicurezza esistenti fanno parte di questo processo? L'uso di queste informazioni viene monitorato? In che modo? DDCome si verrebbe a sapere che qualcosa non va nel processo di business? Esistono controlli di rilevamento in tali aspetti chiave? Vengono registrate le informazioni giuste? Il monitoraggio è coerente con le potenziali indicazioni di compromissione o frode? DDEsistono problemi di privacy relativi a dove i dati vengono archiviati e spostati? Ad esempio, i dati vanno dall'europa agli Stati Uniti senza l'appropriata documentazione legale allegata? Documentare i processi di business Per comprendere i processi di business, è necessaria una documentazione. Il team della sicurezza dovrà collaborare con il personale delle business unit per documentare i processi critici (vedi barra laterale). Poiché ogni descrizione di processo dovrà essere un documento in continua evoluzione, in ogni business unit dovrà esserci un owner responsabile dell'aggiornamento del documento. È possibile che le aziende con un team CQI (Continuous Quality Improvement, miglioramento continuo della qualità) o BPI (Business Process Improvement, miglioramento dei processi di business) dispongano di una documentazione utilizzabile come punto di partenza, ma spesso la documentazione nelle aziende è poca o inesistente. Per creare la documentazione sui processi di business, si potrebbe sfruttare il personale del gruppo di resilienza aziendale, di business continuity o di audit interno dell'organizzazione. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 suggerimenti 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Una gestione efficace dei rischi per le informazioni implica oggi che il team della sicurezza svolga la funzione di advisor per le business unit e i dirigenti. Per il coretto funzionamento dei servizi di consulenza sui rischi, il team della sicurezza deve sviluppare metodi per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo di consulenza sui rischi. Un approccio efficace per descrivere i rischi per la sicurezza informatica in termini di business è quello di definire scenari dettagliati, esponendo la probabilità di incident di sicurezza e la portata dell'impatto sul business, ad esempio perdita di reputazione, mancata conformità alle normative vigenti o contenziosi legali. Se fattibile o richiesto (ad esempio, per i report 10K SEC sul rischio materiale), il team della sicurezza deve poter tenere discussioni sull'impatto per il business per quantificare il rischio. Con il tempo, il team deve perfezionare le tecniche di quantificazione del rischio e diventare esperto nella previsione di perdite monetarie. Ciò comporta spesso la collaborazione con le business unit per determinare l'impatto finanziario di potenziali eventi come il passaggio offline dei processi di business, il furto di progettazioni di prodotti, l'esposizione di dati soggetti a normative e così via. La quantificazione dei rischi per la sicurezza informatica in termini finanziari è un campo in via di sviluppo. I professionisti della sicurezza hanno spesso la preoccupazione che la quantificazione dei rischi possa condurre a una paralisi dell'analisi e a lunghe discussioni aventi per oggetto i numeri. Tenere presente che, come per le altre valutazioni di business, ad esempio le previsioni di vendita, non è possibile fare calcoli precisi. Spesso è sufficiente una stima per ordine di grandezza, ad esempio per valutare se si tratta di un rischio da 1, 10 o 100 milioni di dollari. Per i dirigenti, una valutazione finanziaria ragionevole, anche se non esatta, fornirà informazioni più utili di una descrizione tecnica del rischio. Una delle insidie insite nelle valutazioni finanziarie è una stima in eccesso della probabilità o della frequenza degli eventi. Invece è importante mirare soprattutto a determinare l'impatto finanziario. Se un evento si verifica nella vostra organizzazione, non ha importanza che si tratti di un evento che si può verificare solo in rare occasioni. Utilizzare al meglio gli strumenti di quantificazione dei rischi I team della sicurezza possono ottenere un quadro della portata e della probabilità delle possibili perdite monetarie dai report sui principali incident di information security in aziende simili. I dati in possesso della maggior parte delle organizzazioni sono relativi a precedenti incident subiti da esse. Alcune utilizzano anche strumenti come la terminologia standard FAIR (Factor Analysis of Information Risk) e il framework per eseguire l'analisi dei rischi. Molte organizzazioni del settore dei servizi finanziari utilizzano i dati dell'associazione ORX (Operational Risk exchange) che fornisce dati anonimi su eventi effettivi di rischio operativo e la scala di perdita associata. Le valutazioni di business dei rischi per la sicurezza informatica consentiranno alle organizzazioni di soppesare meglio i rischi e i vantaggi, di determinare i livelli appropriati di investimenti nella riduzione del rischio e di dare la priorità ai rischi per la sicurezza informatica rispetto ad altri tipi di rischi per l'enterprise. Le valutazioni di business faciliteranno inoltre le discussioni sulla "rilevanza" dei rischi per la sicurezza informatica o sull'"adeguatezza" dei programmi di gestione dei rischi, come richiesto da normative quali le linee guida della SEC o MiFID. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro "I professionisti della sicurezza stanno ricevendo pressioni per trovare il modo di quantificare i rischi per la sicurezza. Poiché le organizzazioni spendono di più per la sicurezza e dunque si chiedono 'Perché stiamo spendendo così tanto per questo? Quanto sono grandi i rischi?', sta diventando sempre più importante per noi giustificare tale spesa." 3. Stabilire un processo di valutazione del rischio incentrato sul business In molte organizzazioni, ancora oggi le valutazioni del rischio per l'information security vengono eseguite tramite fogli di calcolo. In genere, all'inizio di un progetto, l'owner del progetto completa un modulo seguendo un template di foglio di calcolo e lo invia tramite al team della sicurezza. Il team della sicurezza utilizza le informazioni fornite nel modulo e nelle discussioni di follow-up per valutare il rischio e consigliare una strategia di riduzione del rischio. Con questo metodo, il personale delle business unit ha poche possibilità di gestire e rivedere regolarmente un quadro aggiornato dei rischi che corrono. Diventa inoltre difficile per il team della sicurezza avere una visione completa di tutti i rischi nell'intera enterprise. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 suggerimenti Automatizzare il processo Il passaggio a strumenti più automatizzati può semplificare di molto le procedure. L'automazione può velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi per le informazioni. Molte organizzazioni stanno automatizzando il processo di valutazione del rischio mediante strumenti GRC (Governance, Risk, and Compliance). Le business unit e il team della sicurezza possono tenere traccia dei rischi mentre vengono identificati, valutati e accettati o risolti tramite il sistema GRC. Un processo più automatizzato e misurabile si integra meglio in una prospettiva generale di gestione dei rischi di livello enterprise e allinea meglio l'organizzazione di sicurezza all'azienda. L'esempio seguente illustra un processo di valutazione del rischio basato su un approccio relativamente nuovo che incorpora un service provider in outsourcing e integra il servizio con il sistema GRC dell'enterprise. Utilizzando un service provider per le valutazioni ordinarie e ripetitive, il processo riduce il carico per le business unit e il team della sicurezza. In questo approccio, alle business unit che iniziano nuovi progetti viene richiesto di acquistare una valutazione del rischio dal service provider designato del team della sicurezza e di mettere in bilancio le valutazioni di follow-up. Il service provider esegue le valutazioni e inserisce i finding direttamente nel sistema GRC. Al termine di una valutazione, il team della sicurezza e la business unit hanno accesso immediato ai risultati, che vengono implementati nel quadro generale dei rischi per le informazioni. Per i progetti più di routine, il responsabile rischi all'interno delle business unit coordina la risoluzione, assicurandosi che abbiano piani attuabili per affrontare i rischi identificati in base agli standard del team della sicurezza ed entro un periodo specificato. Il responsabile rischi presenta quindi al team della sicurezza un report sullo stato attuale. Per i progetti che vanno oltre un limite di soglia di rischio specificato, il team della sicurezza viene convocato per un'ulteriore Tradizionale All'avanguardia analisi e per collaborare con il business allo sviluppo di piani di risoluzione e accettazione dei rischi più personalizzati. Un ulteriore vantaggio dell'utilizzo della valutazione del rischio come servizio è che può essere facilmente calcolata in base a un modello di costo delle merci vendute, utilizzando il budget della business unit anziché le risorse del team della sicurezza. Introdurre flessibilità nell'accettazione dei rischi Le organizzazioni devono spesso trovare un compromesso tra la necessità di gestire i rischi e quella di immettere rapidamente nuovi prodotti e servizi sul mercato. Per consentire al business di sfruttare le opportunità urgenti, il team della sicurezza deve consentire alle business unit di accettare per un breve periodo di tempo un livello di rischio più alto del normale. In questo caso, il comitato di gestione dei rischi dell'organizzazione (ad esempio, CISO, General Counsel, Chief Procurement Officer e altri) fornirà all'iniziativa una formale esenzione dai rischi per un periodo, ad esempio, di 6-18 mesi, dopo il quale i rischi verranno riesaminati. Questo tipo di modello di risoluzione dei rischi basato sul successo aumenta i controlli di sicurezza proporzionalmente al successo del prodotto o servizio. Ad esempio, potrebbe essere consigliabile per il business accettare rischi più elevati per un numero inizialmente piccolo di clienti, sapendo che il prodotto o il servizio, una volta raggiunto un numero significativo di clienti, avrà un flusso di entrate tale da giustificare i miglioramenti della sicurezza. I rischi residui (diversi dai rischi accettati) verranno quantificati e gestiti. " Un aspetto chiave della gestione dei rischi è disporre di un processo per assicurarsi che per ogni iniziativa nell'organizzazione venga eseguita una valutazione del rischio " nella fase iniziale del ciclo di vita. Vishal Salvi Information Security Officer e Senior Vice President, HDFC Bank Limited Approccio tradizionale e all'avanguardia ai processi di gestione dei rischi Metodi ad hoc Descrizioni tecniche del rischio Uguale trattamento di tutti i rischi Sicurezza considerata responsabile della gestione dei rischi Uniformità del processo di accettazione dei rischi Revisione del rischio negli archivi Processi formali e coerenti integrati nei processi di business Rischio quantificato in perdite in importi monetari con percentuale di probabilità Sistema di assegnazione delle priorità che imposta i limiti di soglia per i rischi prioritari Responsabilità condivisa per la gestione dei rischi: alle business unit spettano le decisioni relative a rischi/vantaggi ed è in atto un processo per considerarle responsabili della gestione dei rispettivi rischi Modello flessibile di accettazione dei rischi in base al quale per determinate opportunità di business vengono accettati rischi più elevati a breve termine per ridurre i tempi del Time-To-Market Visione olistica del rischio basata sull'automazione RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti la regola 80/20 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Le organizzazioni oggi devono assicurarsi che in ogni momento i controlli di sicurezza soddisfino gli standard, proteggano dalle minacce in tempo reale, offrano valore aggiunto per l'investimento e consentano l'agilità del business. Il modo più valido per raggiungere questo obiettivo è di accertare con delle prove il corretto funzionamento dei controlli. È quindi necessario raccogliere continuamente dati pertinenti per testare l'efficacia dei controlli. Anche se la configurazione richiede tempo e un elevato livello di maturità nei processi di sicurezza e IT, l'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. Si otterrà maggiore trasparenza, L'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. i controlli difettosi o gli errori di controllo verranno identificati facilmente e tempestivamente e, apportando continuamente le modifiche necessarie, sarà possibile risolvere i problemi e ottimizzare la strategia di protezione. Grazie al flusso di prove, sarà anche considerevolmente più semplice per le organizzazioni dimostrare la conformità. Gli audit saranno più efficienti e richiederanno meno interruzioni. Qualità, non quantità Le aziende dei settori altamente regolati potrebbero in ultima analisi aver bisogno di documentare, rivedere e raccogliere prove su tutti i controlli di sicurezza. Per le altre aziende, tuttavia, è spesso consigliabile dare la priorità a un piccolo subset di controlli di sicurezza: i controlli più importanti che proteggono solo i processi di business più critici. Per molte organizzazioni, viene applicata la regola 80/20: Il 20% dei controlli garantisce la gran parte della sicurezza. È opportuno identificarli quanto prima e concentrarsi sulla relativa documentazione, revisione e raccolta di prove. Non dare importanza alla quantità quando si tratta di accertare l'efficacia dei controlli in base a prove: ciò che importa non è il numero dei controlli, ma ottenere visibilità sui controlli a cui l'organizzazione si affida maggiormente. Processo di audit normale In un normale processo di audit, gli auditor fanno lasciare al personale l'abituale lavoro per chiedere una prova di conformità. Processo di audit con monitoraggio dei controlli continuo Con il monitoraggio continuo dei controlli, un sistema acquisisce i log che attestano l'efficacia dei controlli. Idealmente, gli auditor possono interrogare il sistema o visualizzare i report senza interrompere le normali attività. Documentare i controlli Il primo passo per implementare l'accertamento dell'efficacia dei controlli basato su prove consiste nel documentare i controlli di sicurezza dell'organizzazione come set di istruzioni verificabili o misurabili. Dare la precedenza ai controlli più importanti che proteggono i processi di business critici (vedi barra laterale). Un semplice esempio di istruzione di controllo è una descrizione dell'uso delle password, inclusi i requisiti di lunghezza, complessità e aggiornamento. Per un controllo di protezione dei dati, la descrizione potrebbe includere la modalità di applicazione di tag, crittografia e watermark ai dati e gli strumenti richiesti. Il processo di documentazione può richiedere spesso il refactoring di lunghi documenti in un set di istruzioni distinte. Eseguire una revisione dei controlli La documentazione dei controlli offre l'opportunità per eseguire anche una revisione completa di tutti i controlli. Porre domande mirate, ad esempio: ogni singolo controllo è ancora necessario? È al posto giusto? È ridondante? È obsoleto? Ha operato in modo inefficiente? Crea un carico non necessario per i processi di business? Complica l'esperienza utente? È efficace considerate le minacce attuali? Inoltre, quanto costa il controllo? È necessario gestire i controlli dalle prestazioni insufficienti a un costo minore o pianificarli per la dismissione e/o la sostituzione. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti Raccogliere le prove Il passaggio successivo consiste nel determinare da quale prova sarà sostenuto ogni controllo (per gli esempi, vedere il grafico sotto) e nel configurare le procedure per raccogliere e segnalare sistematicamente questa prova. Il team della sicurezza deve chiedersi quale sia la funzionalità a breve e a lungo termine per poter dimostrare questa prova. Con il tempo, è possibile automatizzare altri processi oltre alla raccolta e alla generazione di report, in modo che le organizzazioni possano scoprire i problemi molto prima che con i normali controlli manuali. Collegare e combinare i risultati raccolti tramite le attività di gestione delle vulnerabilità e delle minacce è cruciale per identificare i difetti nei controlli in fase iniziale. Tipo di controllo Password Esempi di prove per tipi diversi di controlli Sistema di inserimento nel data center Policy di utilizzo accettabile dei dispositivi mobili Origine della prova Log di applicazioni che mostrano che le password sono state aggiornate Log del sistema di autorizzazione relativi agli ingressi consentiti o rifiutati Record dei dispositivi persi o rubati che mostrano se i dispositivi mancanti vengono segnalati entro periodi di tempo specificati I team della sicurezza devono impegnarsi per incrementare il monitoraggio automatizzato dei controlli ovunque sia possibile, prevedendo l'invio dei risultati a un repository centrale (ad esempio, un sistema GRC). È inoltre necessario archiviare centralmente le prove manuali (all'interno del sistema GRC). Grazie allo storage centralizzato dei risultati della valutazione, gli audit risulteranno più semplici e potranno essere eseguiti indipendentemente dall'owner del processo e/o del controllo. Un obiettivo più a lungo termine per molte organizzazioni è il monitoraggio continuo dei controlli che consentirà di generare un report visuale sui controlli funzionanti e un alert in tempo reale per quelli non funzionanti. Il monitoraggio continuo dei controlli comporta in genere l'uso di tecnologie per l'aggregazione dei log, il sistema GRC e/o l'analisi dei dati e il data warehousing. Molte organizzazioni stanno sviluppando strategie omnicomprensive per la gestione dei dati della sicurezza, in modo da gestire la raccolta e l'utilizzo dei dati per più scopi, ad esempio l'accertamento dell'efficacia dei controlli, la gestione dei rischi e il rilevamento delle minacce. Migliorare le valutazioni di terze parti L'accertamento dell'efficacia dei controlli basato su prove può essere molto utile per migliorare le valutazioni di terze parti. I metodi tradizionali, basati su questionari, visite a siti e rivalutazione annuale, sono complessi e non sono in grado di generare informazioni tempestive e pratiche. Se i clienti e i service provider dispongono di funzionalità per l'accertamento dell'efficacia dei controlli basato su prove, sarà più semplice condividere le valutazioni; i clienti possono stabilire requisiti standardizzati per le attestazioni dei controlli e i service provider possono fornire prove standardizzate. Le valutazioni standardizzate dei service provider potranno essere quindi utilizzate da più clienti. L'approccio basato su prove consente inoltre valutazioni di terze parti sempre più automatizzate. Ad esempio, due organizzazioni leader del settore dei servizi finanziari, una banca e un service provider aziendale, stanno collaborando per soddisfare un set di requisiti misurabili per i controlli di sicurezza. Il service provider fornirà alla banca la prova continua che determinati controlli sono efficaci grazie all'accesso a un sistema GRC. Il sistema GRC si troverà all'estremità della rete del service provider e, in ultima analisi, verrà utilizzato da più clienti per ottenere visibilità su alcuni controlli chiave. "L'accertamento dei controlli basato su prove offre un quadro completo dell'efficacia dei controlli nel proprio ambiente. Ma, prima di accettare una valutazione condivisa, un'attestazione di terze parti, vorrei sapere quale sia la prova che i controlli su cui altri si sono basati funzionano davvero continuamente." roland cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 5. Sviluppare metodi di data collection informati L'analisi dei dati è diventata una funzionalità essenziale per il rilevamento delle minacce informatiche. Una volta che si hanno a disposizione un datastore e un engine di analisi e dopo aver preparato un'analisi dei dati, per attuare una funzionalità di analisi dei dati, è necessario configurare i processi per determinare quali dati raccogliere e dove trovarli. Creare un set di use case Un passaggio fondamentale consiste nell'esaminare i tipi di domande a cui può rispondere l'analisi dei dati. Un esempio di domanda è: "Come capire se l'attività di System Administrator in questo particolare sistema è legittima o è quella di un utente non autorizzato?" La risposta potrebbe essere: "Se si identificano schemi insoliti di attività, ad esempio più set di credenziali utilizzati in rapida successione in un solo computer o un amministratore che si connette a un sistema non associato a nessun ordine di lavoro". Tenendo ben presenti le domande e le risposte chiave relative alla protezione dei processi di business critici, il team della sicurezza può iniziare a identificare le origini di dati rilevanti. Il team della sicurezza deve creare un set di use case dell'analisi dei dati. Per ogni use case, si completerà in genere un processo iterativo con più cicli di raccolta dati, sviluppo di algoritmi, test e perfezionamento. Ad esempio, il team potrebbe essere interessato a rispondere alla domanda "Come possiamo contrassegnare le possibili violazioni in rapida successione" (casi in cui un utente sembra attivo in due sedi fisicamente distanti in un breve periodo di tempo)? Il team potrebbe partire da dati come: sede geografica delle strisciate del badge negli edifici, indirizzi IP, connessioni dei dispositivi mobili e connessioni VPN statiche; i timestamp in questi log; e itinerari dei viaggi aziendali per indicare dove l'utente dovrebbe trovarsi. L'analista dei dati svilupperà quindi un algoritmo che genererà un punteggio di rischio in base alla velocità calcolata a cui l'utente si sta apparentemente spostando. Dopo aver eseguito l'analisi ed esaminato i risultati, il team comprenderà quali casi potrebbero effettivamente corrispondere a un comportamento normale pur generando punteggi di rischio elevati. Il passaggio successivo consisterà nel perfezionare gli algoritmi, magari con dati aggiuntivi, per ridurre i falsi positivi. Un problema molto comune è che i dati necessari per rispondere alle domande critiche non sono facilmente accessibili. È possibile che il team della sicurezza debba riconfigurare la modalità di logging direttamente dai dispositivi originali. Ad esempio, è possibile che i log proxy debbano includere l'indirizzo IP dall'origine iniziale, ma questi dati potrebbero non essere ancora stati riportati nei log. Gli sforzi per la raccolta dati possono richiedere abili negoziazioni con gli owner di sistema, che potrebbero essere riluttanti a incrementare il logging dal momento che ciò potrebbe avere un impatto negativo sulle prestazioni di sistema. Oltre a esaminare dettagliatamente gli use case specifici, il team della sicurezza deve anche identificare i dati potenzialmente preziosi per la baseline della normale attività nei sistemi critici. Ad esempio, alcuni mesi di cronologia della rete e i modelli di accesso utente da origini quali i log di firewall e i sistemi di autenticazione potrebbero essere utili per avviare la baseline. Andare oltre i log di sicurezza. Applicare dati da diverse origini È inoltre importante includere le origini di dati appropriate. Andare oltre i log di sicurezza. I team della sicurezza devono verificare che cosa sta accadendo nell'ambiente di business e non solo nella tecnologia di sicurezza attorno all'ambiente di business. L'integrazione delle informazioni aziendali, ad esempio i log di processi, transazioni e applicazioni, offrirà un quadro più completo del business da proteggere. I dati dei sensori interni devono essere combinati con i dati delle origini esterne, ad esempio i feed sulle minacce commerciali, governativi o dei vari settori. Se le organizzazioni esaminano solo i dati interni, non vedranno l'impatto potenziale completo delle minacce per l'ambiente, perché in questo modo monitorano solo ciò che è accaduto, non ciò che si potrebbe prevenire. Prendere in considerazione di dedicare una risorsa all'integrazione effettiva dei dati ricavati da diverse origini interne e dall'intelligence esterna. 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti Come molte organizzazioni hanno capito, è facile registrarsi ai feed sulle minacce, ma è più difficile intervenire su tali dati. È importante capire come applicare i dati in modo specifico e sviluppare uno schema per integrare i dati esterni con i dati interni per migliorare l'analisi. I dati dai feed sulle minacce commerciali relativi ad attacchi emergenti possono essere applicati testando specifiche aree note di vulnerabilità all'interno dell'ambiente per verificare se le minacce stanno sfruttando questi metodi per estrarre i dati. In questo caso, i dati esterni possono aiutare a individuare un'attività insolita su canali in genere non utilizzati per le comunicazioni in uscita. Sviluppare un piano completo per la data collection Per sviluppare una competenza nell'analisi dei dati, spesso è necessario un piano pluriennale per migliorare l'architettura complessiva della raccolta e modificare le applicazioni in modo da generare log con un volume di dati più elevato. È importante capire il prima possibile quali funzionalità dei dati (ad esempio, acquisizione di pacchetti, dati NetFlow) e di aggregazione dati (ad esempio, gestione dei registri, aggregazione centrale o correlazione di registri) mancano che sarebbero preziose per una funzionalità di analisi dei dati e pianificare un aumento della capacità di storage dei dati. "La sfida più grande dell'analisi dei dati è ottenere risultati significativi. Lo sviluppo di una strategia integrata richiede tempo. Concentratevi sulle informazioni importanti per il business e sviluppate le domande che volete porre o finirete per annegare nei dati." tim mcknight Executive Vice President, Enterprise Information Security & Risk, Fidelity Investments RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 Conclusione Per vincere le odierne sfide pratiche mentre si traccia la strada del progresso, i principali team della sicurezza stanno apportando importanti modifiche ai processi collaudati. Senza modifiche alle normali procedure non è possibile stare al passo con l'ambiente delle minacce attuali o con le iniziative di business basate sulla tecnologia. In particolare, è essenziale sviluppare una profonda comprensione dei processi di business e stabilire una collaborazione molto più stretta con le business unit. I rischi per la sicurezza informatica sono finalmente un argomento costante nel business e in molte organizzazioni è evidente una propensione maggiore a finanziare programmi in quest'ambito. Anche se il personale delle business unit nutre preoccupazioni per i rischi per la sicurezza informatica, non è in grado di gestirli. In questa fase, è d'obbligo per i professionisti della sicurezza educare le persone ai rischi per la sicurezza informatica. Dopo aver parlato per anni di trasformare l'information security in gestione dei rischi, è tempo di farlo seriamente alzando il livello dei processi di sicurezza e integrandoli nel business. Per la riprogettazione dei processi di sicurezza, l'ottimizzazione sarà un fattore di successo chiave, nonché un impegno costante. I processi di information security devono essere oggetto di una rivalutazione continua per assicurare l'uso effettivo delle risorse e la riduzione effettiva del rischio per il business. Mentre i team della sicurezza pensano a come rinnovare i processi, devono ovviamente anche impegnarsi per stare al passo con i cambiamenti della tecnologia. Le nuove tecnologie, in particolare quelle per l'analisi dei Big Data, stanno determinando alcuni dei cambiamenti chiave dei processi illustrati in questo report. Il prossimo e ultimo report di questa serie sulla trasformazione dell'information security tratterà di alcune delle più importanti tecnologie di sicurezza emergenti e in evoluzione e fornirà un'ulteriore visione pratica della gestione delle forze che stanno dando nuova forma all'information security. Informazioni sull'iniziativa Security for Business Innovation Council L'innovazione del business è ormai al primo posto nell'agenda della maggior parte delle enterprise, in quanto i dirigenti cercano di sfruttare la forza della globalizzazione e della tecnologia per creare nuovi livelli di valore ed efficienza. Tuttavia manca ancora qualcosa. Nonostante l'innovazione del business si basi sui sistemi informativi e IT, in genere la protezione di tali sistemi non è considerata strategica, anche se le enterprise devono fare fronte a crescenti pressioni normative e minacce. Infatti, l'information security è spesso messa in secondo piano, attuata alla fine di un progetto o addirittura nemmeno presa in considerazione. Ma senza la giusta strategia di sicurezza, l'innovazione del business potrebbe facilmente essere trascurata o potrebbe far correre gravi rischi all'organizzazione. In RSA, riteniamo che i team della sicurezza, operando come veri partner nel processo di innovazione del business, possano contribuire a far raggiungere alle organizzazioni risultati senza precedenti. È il momento giusto per un nuovo approccio: la sicurezza da specializzazione tecnica deve diventare una strategia aziendale. Anche se la maggior parte dei team della sicurezza ha riconosciuto la necessità di allineare più strettamente la sicurezza con il business, molti cercano ancora di soddisfare questa necessità con piani di azione concreti. Sanno che qual è il loro obiettivo, ma non sanno come raggiungerlo. Per questo RSA sta collaborando con alcuni dei principali leader mondiali del settore della sicurezza per guidare il dialogo nel settore e identificare la strada da percorrere. RSA ha riunito un gruppo di responsabili della sicurezza altamente competenti di enterprise del gruppo Global 1000 di svariati settori, che è stato chiamato "Security for Business Innovation Council". Stiamo conducendo una serie di interviste approfondite con il Council, pubblicando le idee emerse in una serie di report e sponsorizzando una ricerca indipendente per esaminare a fondo questi argomenti. All'indirizzo è possibile visualizzare i report o accedere alla ricerca. Insieme possiamo accelerare questa trasformazione cruciale del settore. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Autori del report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson anish bhimani Cissp Chief Information Risk Officer, JPMorgan Chase WilliAM BONI CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. dr. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro jerry R. Geisler iii GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. renee guttmann Chief Information Security Officer, The Coca-Cola Company malcolm harkins Vice President, Chief Security and Privacy Officer, Intel kenneth haertling Vice President e Chief Security Officer, TELUS petri kuivala Chief Information Security Officer, Nokia dave martin CISSP Vice President e Chief Security Officer, EMC Corporation tim mcknight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments felix mohan Senior Vice President e Global Chief Information Security Officer, Airtel robert rodger Group Head of Infrastructure Security, HSBC Holdings, plc. ralph salomon CRISC Vice President IT Security and Risk Office, SAP AG vishal salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited simon Strickland Global Head of Security, AstraZeneca leanne toliver Ufficio del Chief Information Security Officer, ebay FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Per la biografia completa dei membri SBIC, visitare il sito italy.emc.com RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Tutti gli altri prodotti e/o servizi a cui si fa riferimento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12622 CISO RPT Security for Business Innovation Council Report RSA, The Security Division of EMC

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

PLM Software. Answers for industry. Siemens PLM Software

PLM Software. Answers for industry. Siemens PLM Software Siemens PLM Software Monitoraggio e reporting delle prestazioni di prodotti e programmi Sfruttare le funzionalità di reporting e analisi delle soluzioni PLM per gestire in modo più efficace i complessi

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

Quanto sono al sicuro i vostri dati riservati?

Quanto sono al sicuro i vostri dati riservati? Articolo pubblicato sul numero di febbraio 2010 di La rivista del business ad alte performance Information Technology Quanto sono al sicuro i vostri dati riservati? di Alastair MacWillson L'approccio aziendale

Dettagli

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi Analisi per tutti Considerazioni principali Soddisfare le esigenze di una vasta gamma di utenti con analisi semplici e avanzate Coinvolgere le persone giuste nei processi decisionali Consentire l'analisi

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis 2 Intervento immediato con Bosch Intelligent Video Analysis Indipendentemente da quante telecamere il sistema utilizza, la sorveglianza

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Il Business Process Management: nuova via verso la competitività aziendale

Il Business Process Management: nuova via verso la competitività aziendale Il Business Process Management: nuova via verso la competitività Renata Bortolin Che cosa significa Business Process Management? In che cosa si distingue dal Business Process Reingeneering? Cosa ha a che

Dettagli

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita;

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita; .netbin. è un potentissimo strumento SVILUPPATO DA GIEMME INFORMATICA di analisi dei dati con esposizione dei dati in forma numerica e grafica con un interfaccia visuale di facile utilizzo, organizzata

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

Guida alle offerte di finanziamento per le medie imprese

Guida alle offerte di finanziamento per le medie imprese IBM Global Financing Guida alle offerte di finanziamento per le medie imprese Realizzata da IBM Global Financing ibm.com/financing/it Guida alle offerte di finanziamento per le medie imprese La gestione

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni Note legali Termini e condizioni di utilizzo Accettazione dei Termini e Condizioni L'accettazione puntuale dei termini, delle condizioni e delle avvertenze contenute in questo sito Web e negli altri siti

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Articolo. Dieci buoni motivi per acquistare una telecamere di rete Ovvero, quello che il vostro fornitore di telecamere analogiche non vi dirà mai

Articolo. Dieci buoni motivi per acquistare una telecamere di rete Ovvero, quello che il vostro fornitore di telecamere analogiche non vi dirà mai Articolo Dieci buoni motivi per acquistare una telecamere di rete Ovvero, quello che il vostro fornitore di telecamere analogiche non vi dirà mai INDICE Introduzione 3 Dieci cose che il vostro fornitore

Dettagli

Le Dashboard di cui non si può fare a meno

Le Dashboard di cui non si può fare a meno Le Dashboard di cui non si può fare a meno Le aziende più sensibili ai cambiamenti stanno facendo di tutto per cogliere qualsiasi opportunità che consenta loro di incrementare il business e di battere

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Accordo d Uso (settembre 2014)

Accordo d Uso (settembre 2014) Accordo d Uso (settembre 2014) Il seguente Accordo d uso, di seguito Accordo, disciplina l utilizzo del Servizio on line 4GUEST, di seguito Servizio, che prevede, la creazione di Viaggi, Itinerari, Percorsi,

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI.

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. Come gruppo industriale tecnologico leader nel settore del vetro e dei materiali

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

Privacy Policy del sito http://www.plastic-glass.com

Privacy Policy del sito http://www.plastic-glass.com Cos'è una PRIVACY POLICY Privacy Policy del sito http://www.plastic-glass.com Questo documento, concernente le politiche di riservatezza dei dati personali di chi gestisce il sito Internet http://www.plastic-glass.com

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo

white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo White paper La Process Intelligence migliora le prestazioni operative del settore assicurativo Pagina 2 Sintesi

Dettagli

I Valori del Manifesto Agile sono direttamente applicabili a Scrum:!

I Valori del Manifesto Agile sono direttamente applicabili a Scrum:! Scrum descrizione I Principi di Scrum I Valori dal Manifesto Agile Scrum è il framework Agile più noto. E la sorgente di molte delle idee che si trovano oggi nei Principi e nei Valori del Manifesto Agile,

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

TERMINI E CONDIZIONI DI UTILIZZO

TERMINI E CONDIZIONI DI UTILIZZO Informazioni Societarie Fondazione Prada Largo Isarco 2 20139 Milano, Italia P.IVA e codice fiscale 08963760965 telefono +39.02.56662611 fax +39.02.56662601 email: amministrazione@fondazioneprada.org TERMINI

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali. Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

PRIVACY POLICY. Smartphone Innovations S.r.l. (di seguito anche solo identificata come "SI") è titolare del sito

PRIVACY POLICY. Smartphone Innovations S.r.l. (di seguito anche solo identificata come SI) è titolare del sito PRIVACY POLICY Smartphone Innovations S.r.l. (di seguito anche solo identificata come "SI") è titolare del sito www.stonexsmart.com ( Sito ) e tratta i tuoi dati personali nel rispetto della normativa

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli

DynDevice ECM. La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali

DynDevice ECM. La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali DynDevice ECM La Suite di applicazioni web per velocizzare, standardizzare e ottimizzare il flusso delle informazioni aziendali Presentazione DynDevice ECM Cos è DynDevice ICMS Le soluzioni di DynDevice

Dettagli

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP DOCUMENTO TECNICO Un sistema più intelligente per controllare i punti vendita: sorveglianza IP Guida descrittiva dei vantaggi dei sistemi di gestione e di sorveglianza IP per i responsabili dei punti vendita

Dettagli

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Data Sheet IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Panoramica Le medie aziende devono migliorare nettamente le loro capacità

Dettagli

ITIL. Introduzione. Mariosa Pietro

ITIL. Introduzione. Mariosa Pietro ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

IL PROGETTO MINDSH@RE

IL PROGETTO MINDSH@RE IL PROGETTO MINDSH@RE Gruppo Finmeccanica Attilio Di Giovanni V.P.Technology Innovation & IP Mngt L'innovazione e la Ricerca sono due dei punti di eccellenza di Finmeccanica. Lo scorso anno il Gruppo ha

Dettagli

EMC Documentum xcp for Business Process Management

EMC Documentum xcp for Business Process Management Analisi dettagliata Abstract Oggi le aziende devono affrontare una sfida comune: ottimizzare i processi di business e la loro efficienza operativa. Per vincere questa sfida, EMC Documentum xcelerated Composition

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

Pronti per la Voluntary Disclosure?

Pronti per la Voluntary Disclosure? Best Vision GROUP The Swiss hub in the financial business network Pronti per la Voluntary Disclosure? Hotel de la Paix, 21 aprile 2015, ore 18:00 Hotel Lugano Dante, 22 aprile 2015, ore 17:00 Best Vision

Dettagli

Tutela dei dati personali Vi ringraziamo per aver visitato il nostro sito web e per l'interesse nella nostra società. La tutela dei vostri dati privati riveste per noi grande importanza e vogliamo quindi

Dettagli

Micro Focus. Benvenuti nell'assistenza clienti

Micro Focus. Benvenuti nell'assistenza clienti Micro Focus Benvenuti nell'assistenza clienti Contenuti Benvenuti nell'assistenza clienti di Micro Focus... 2 I nostri servizi... 3 Informazioni preliminari... 3 Consegna del prodotto per via elettronica...

Dettagli

Seagate Access per Personal Cloud Manuale utente

Seagate Access per Personal Cloud Manuale utente Seagate Access per Personal Cloud Manuale utente 2015 Seagate Technology LLC. Tutti i diritti riservati. Seagate, Seagate Technology, il logo Wave e FreeAgent sono marchi depositati o marchi registrati

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

Business Process Outsourcing

Business Process Outsourcing Business Process Outsourcing Kedrios propone un modello di outsourcing completo Il Gruppo SIA-SSB, attraverso Kedrios dispone di una consolidata tradizione di offerta di servizi di Outsourcing Amministrativo

Dettagli

Corso di Specializzazione IT SERVICE MANAGEMENT

Corso di Specializzazione IT SERVICE MANAGEMENT Corso di Specializzazione IT SERVICE MANAGEMENT Con esame ufficiale di certificazione ITIL V3 Foundation INTRODUZIONE Un numero crescente di organizzazioni appartenenti ai più diversi settori produttivi

Dettagli

IT-BOOK. Domini Hosting Web marketing E-mail e PEC

IT-BOOK. Domini Hosting Web marketing E-mail e PEC 5 giugno 09 IT-BOOK Configurazioni e cartatteristiche tecniche possono essere soggette a variazioni senza preavviso. Tutti i marchi citati sono registrati dai rispettivi proprietari. Non gettare per terra:

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

REGOLAMENTO DELEGATO (UE) N. /.. DELLA COMMISSIONE. del 7.1.2014

REGOLAMENTO DELEGATO (UE) N. /.. DELLA COMMISSIONE. del 7.1.2014 COMMISSIONE EUROPEA Bruxelles, 7.1.2014 C(2013) 9651 final REGOLAMENTO DELEGATO (UE) N. /.. DELLA COMMISSIONE del 7.1.2014 recante un codice europeo di condotta sul partenariato nell'ambito dei fondi strutturali

Dettagli

www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS

www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS www.sms2biz.it Soluzioni professionali per la gestione e l invio di SMS Introduzione La nostra soluzione sms2biz.it, Vi mette a disposizione un ambiente web per una gestione professionale dell invio di

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

Relazione sul data warehouse e sul data mining

Relazione sul data warehouse e sul data mining Relazione sul data warehouse e sul data mining INTRODUZIONE Inquadrando il sistema informativo aziendale automatizzato come costituito dall insieme delle risorse messe a disposizione della tecnologia,

Dettagli

OMAGGI, PRANZI, INTRATTENIMENTO, VIAGGI SPONSORIZZATI E ALTRI ATTI DI CORTESIA

OMAGGI, PRANZI, INTRATTENIMENTO, VIAGGI SPONSORIZZATI E ALTRI ATTI DI CORTESIA OMAGGI, PRANZI, INTRATTENIMENTO, VIAGGI SPONSORIZZATI E ALTRI ATTI DI CORTESIA Le presenti Linee Guida si applicano ad ogni amministratore, direttore, dipendente a tempo pieno o parziale, docente, esterno

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

Gli immobili sono nel nostro DNA.

Gli immobili sono nel nostro DNA. Gli immobili sono nel nostro DNA. FBS Real Estate. Valutare gli immobili per rivalutarli. FBS Real Estate nasce nel 2006 a Milano, dove tuttora conserva la sede legale e direzionale. Nelle prime fasi,

Dettagli

1 BI Business Intelligence

1 BI Business Intelligence K Venture Corporate Finance Srl Via Papa Giovanni XXIII, 40F - 56025 Pontedera (PI) Tel/Fax 0587 482164 - Mail: info@kventure.it www.kventure.it 1 BI Business Intelligence Il futuro che vuoi. Sotto controllo!

Dettagli

voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010

voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010 Grazie per il suo interesse alla nuova tecnologia voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010 Cristina Brambilla Telefono 348.9897.337,

Dettagli

DAT@GON. Gestione Gare e Offerte

DAT@GON. Gestione Gare e Offerte DAT@GON Gestione Gare e Offerte DAT@GON partecipare e vincere nel settore pubblico La soluzione sviluppata da Revorg per il settore farmaceutico, diagnostico e di strumentazione medicale, copre l intero

Dettagli

Smartphone Innovations S.r.l. gestisce il sito www.stonexone.com ( Sito ). Smartphone Innovations S.r.l.

Smartphone Innovations S.r.l. gestisce il sito www.stonexone.com ( Sito ). Smartphone Innovations S.r.l. TERMINI E CONDIZIONI Smartphone Innovations S.r.l. gestisce il sito www.stonexone.com ( Sito ). Smartphone Innovations S.r.l. ha predisposto le seguenti Condizioni generali per l utilizzo del Servizio

Dettagli

SAIPEM: Strong Authenticator for SAP Una soluzione CST in grado di garantire il massimo della sicurezza

SAIPEM: Strong Authenticator for SAP Una soluzione CST in grado di garantire il massimo della sicurezza Grandi Navi Veloci. Utilizzata con concessione dell autore. SAIPEM: Strong Authenticator for SAP Una soluzione CST in grado di garantire il massimo della sicurezza Partner Nome dell azienda SAIPEM Settore

Dettagli

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI COMMISSIONE PARITETICA PER I PRINCIPI DI REVISIONE LA COMPRENSIONE DELL IMPRESA E DEL SUO CONTESTO E LA VALUTAZIONE DEI

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

Principi di stewardship degli investitori istituzionali

Principi di stewardship degli investitori istituzionali Corso di diritto commerciale avanzato a/ a/a2014 20152015 Fabio Bonomo (fabio.bonomo@enel.com fabio.bonomo@enel.com) 1 Indice Principi di stewardship degli investitori istituzionali La disciplina dei proxy

Dettagli

Gestire le informazioni con un sorriso sulle labbra

Gestire le informazioni con un sorriso sulle labbra Gestire le informazioni con un sorriso sulle labbra Enterprise Content Management vi semplifica la vita Enterprise-Content-Management Gestione dei documenti Archiviazione Workflow www.elo.com Karl Heinz

Dettagli

Business Process Management

Business Process Management Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un

Dettagli