la trasformazione dell'information security Processi a prova di futuro

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "la trasformazione dell'information security Processi a prova di futuro"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland, Global Head of Security Automatic Data Processing roland cloutier, Vice President, Chief Security Officer The Coca-Cola Company renee guttmann, Chief Information Security Officer ebay Leanne Toliver, Ufficio del Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments tim mcknight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. bob rodger, Group Head of Infrastructure Security Intel malcolm harkins, Vice President, Chief Security e Privacy Officer Johnson & Johnson Marene n. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG ralph salomon, Vice President IT Security e Risk Office t Report basato sulle discussioni con Security for Business Innovation Council la trasformazione dell'information security Processi a prova di futuro TELUS Kenneth Haertling, Vice President e Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry r. Geisler III, Ufficio del Chief Information Security Officer Dove concentrare il miglioramento dei processi Suggerimenti dei responsabili del gruppo Global 1000 Come ottimizzare i processi di sicurezza fondamentali In questo report: Linee guida sulla documentazione dei processi di business Tecniche aggiornate per la valutazione del rischio Accertamento dell'efficacia dei controlli basato su prove Suggerimenti per ottenere capacità di data analytics Un'iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione: prepararsi per il futuro 2 2. Aree chiave per il miglioramento 3 3. Suggerimenti 4 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 4 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 6 3. Stabilire un processo di valutazione del rischio incentrato sul business 6 4. Impostare un percorso per accertare l'efficacia dei controlli basata su prove 8 5. Sviluppare metodi di data collection informati 10 Conclusione 12 Informazioni sull'iniziativa SBIC 12 Autori del report 13 Dichiarazione di non responsabilità - Questo report del Security for Business Innovation Council ("Report") include informazioni e materiali (detti collettivamente il "Contenuto") soggetti a modifiche senza preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (detti collettivamente gli "Autori") escludono espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non riconoscono alcuna garanzia esplicita o implicita relativa all'utilizzo del Contenuto, ivi comprese quelle di commerciabilità, compatibilità, non violazione, precisione o idoneità per uno scopo specifico. Il Contenuto è destinato a fornire informazioni al pubblico e non costituisce un parere legale di RSA Security LLC, della sua casa madre, EMC Corporation, dei rispettivi avvocati o degli autori di questo report SBIC. L'utente non deve intraprendere azioni o astenersi dall'intraprendere azioni sulla base del Contenuto senza aver consultato un avvocato autorizzato a esercitare nella giurisdizione dell'utente. Gli Autori non saranno responsabili di eventuali errori contenuti nel presente documento o di eventuali danni di qualsivoglia tipo derivanti da o correlati all'uso di questo Report (incluso tutto il Contenuto), ivi compresi danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, che si verifichino in base a un contratto, in un illecito o in qualsiasi altra ipotesi di responsabilità, anche se gli Autori sono consapevoli della possibilità di tali errori o danni. Gli autori non si assumono alcuna responsabilità per gli errori o le omissioni del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. Stare al passo con le minacce informatiche e con le ultime tendenze di business e tecnologiche richiede una revisione dei processi di information security. Le aree chiave per il miglioramento in molte organizzazioni sono le seguenti: Misurazione dei rischi: se si descrivono i rischi in termini tecnici, ad esempio "numero di intrusioni o vulnerabilità", diventa difficile consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica. Business Engagement: i processi per tenere traccia dei rischi devono essere facili ed efficienti da utilizzare per il business, ma spesso sono ancora basati su complessi metodi manuali. Valutazioni dei controlli: le valutazioni point-in-time e frammentarie non sono più sufficienti. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Valutazioni del rischio di terze parti: l'attuale modello di valutazione del rischio è inefficiente e ripetitivo e non offre una visibilità continua sui controlli di sicurezza del service provider. Rilevamento delle minacce: sebbene sia richiesto un approccio alla sicurezza basato sull'intelligence, per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. Questo report contiene preziosi suggerimenti da parte di 19 addetti alla sicurezza, leader mondiali del settore, che possono aiutare le organizzazioni a sviluppare strategie di sicurezza per il panorama delle crescenti minacce attuali. Cinque suggerimenti Concentrarsi su come affrontare i problemi critici, aggiornare i programmi di information security e prepararsi al futuro: 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Abbandonare il punto di vista strettamente tecnico sulla protezione degli asset informativi, ad esempio server e applicazioni. Adottare una prospettiva più generale che consideri l'uso che viene fatto delle informazioni nella gestione del business. Pensare a come proteggere end-to-end i processi di business più critici endto-end. Collaborare con le business unit per documentare i processi di business critici. 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Sviluppare tecniche per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo consultivo relativo ai rischi. Definire scenari dettagliati che descrivano la probabilità di incidenti di sicurezza e la portata dell'impatto sul business. Se fattibile o richiesto, quantificare il rischio e passare gradualmente alle valutazioni finanziarie. 3. Stabilire un processo di valutazione del rischio incentrato sul business Passare a strumenti più automatizzati per tenere traccia dei rischi per le informazioni quando vengono identificati, valutati, accettati o risolti, per velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi. Fare affidamento sui service provider per le valutazioni ordinarie e ripetitive. Introdurre una certa flessibilità nel processo di accettazione dei rischi per consentire al business di sfruttare le opportunità urgenti. 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Sviluppare la capacità di raccogliere dati pertinenti per testare continuamente l'efficacia dei controlli. Iniziare con la documentazione e la revisione dei controlli, dando la precedenza ai controlli più importanti che proteggono i processi di business critici. Determinare da quale prova sarà sostenuto ogni controllo e impostare le procedure per raccogliere e segnalare sistematicamente la prova e apportare continuamente le modifiche necessarie. Automatizzare col tempo la raccolta di prove e la generazione di report per migliorare le valutazioni interne e di terze parti. 5. Sviluppare metodi di data collection informati Iniziare esaminando i tipi di domande a cui l'analisi dei dati è in grado di rispondere per identificare le origini di dati rilevanti. Creare un insieme di use case dell'analisi dei dati. Modificare il logging ove i dati originali siano insufficienti, negoziando, se necessario, con gli owner del sistema. Comprendere come applicare l'intelligence sulle minacce esterne per migliorare l'analisi. Sviluppare un piano completo per migliorare l'architettura complessiva della raccolta, generare log con un volume di dati più elevato e aumentare la capacità di storage dei dati. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: prepararsi per il futuro I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. I team della sicurezza orientati al futuro sono consapevoli che stare al passo con le minacce informatiche e con le ultime tendenze business e tecnologiche richiede una revisione dei processi di information security. Partendo dai punti di vista di alcuni responsabili dell'information security, leader mondiali del settore, questo report esamina le aree chiave dei programmi di sicurezza che ora richiedono attenzione. Fornisce consigli pratici su nuovi processi e tecniche aggiornate, consentendo ai team della sicurezza di affrontare i problemi attuali e di prepararsi per il futuro. 5 Leggi il primo report 2 BUSINESS ENGAGEMENT MISURAZIONE DEI RISCHI RILEVAMENTO DELLE MINACCE ASSESSMENT DEI CONTROLLI ASSESSMENT DEL RISCHIO DI TERZE PARTI Come deve essere un programma di information security efficace e orientato al futuro? Per rispondere a questa domanda, il Security for Business Innovation Council (SBIC) sta preparando una serie di tre report su "La trasformazione dell'information security". I report offrono consigli pratici nati dall'unione delle conoscenze e dei punti di vista dei principali leader del settore della sicurezza dell'information security. Il primo report era un playbook per la definizione di un team esteso all'avanguardia. Questo report illustra i fondamenti dei processi di information security. Nel terzo verranno identificate alcune tecnologie essenziali per l'evoluzione dei programmi di information security. Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 S Aree chiave per il miglioramento e ai programmi di sicurezza fossero date pagelle di valutazione dei processi, nella maggior parte delle organizzazioni, le aree seguenti sarebbero identificate con "non soddisfa le aspettative, servono miglioramenti". 1. Misurazione dei rischi I dirigenti e i consigli di amministrazione di tutto il mondo hanno capito che i rischi per la sicurezza informatica possono compromettere significativamente il bilancio di un'azienda. Eventi recenti hanno dimostrato la portata dell'impatto. Negli ultimi 12 mesi, molte banche hanno subito attacchi DDoS (Distributed Denial of Service) ai propri siti di online banking. Un report dell'ip Commission pubblicato all'inizio dell'anno ha stimato che i furti internazionali di proprietà intellettuale americana sono nell'ordine di centinaia di miliardi di dollari all'anno.1 Vedendo la possibilità di ulteriori perdite economiche, le business unit di molte organizzazioni sono sempre più interessate a una gestione proattiva dei rischi per la sicurezza informatica. Dal loro punto di vista, i rischi per la sicurezza informatica vengono considerati esattamente come gli altri rischi, ovvero in termini economici. Inoltre, la U.S. Securities and Exchange Commission (SEC) prevede che le aziende pubbliche degli Stati Uniti divulgheranno informazioni rilevanti relative ai rischi per la sicurezza informatica e agli incident.2 Nell'Unione Europea, la Markets in Financial Instruments Directive (MiFID) richiede agli istituti finanziari di adottare misure adeguate per la gestione dei rischi.3 Il team dell'information security deve consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica, generare report sulla "rilevanza" o dimostrare l'"adeguatezza". Ciò è difficile se il rischio viene descritto solo in termini tecnici, ad esempio con il numero di intrusioni o di vulnerabilità. 2. Progetto di business Man mano che le business unit diventano sempre più responsabili della gestione dei rischi per la sicurezza informatica, il team della sicurezza deve lavorare in collaborazione con esse per garantirne il successo. Il processo per identificare, valutare, eseguire il triage e tenere traccia dei rischi deve essere semplice ed efficiente e deve consentire al business di rispondere alle pressioni di un mercato competitivo. Eppure i processi di valutazione del rischio spesso sono ancora basati su complessi metodi manuali. 3. Valutazioni dei controlli Nella maggior parte delle organizzazioni, le valutazioni per verificare che i controlli di sicurezza stiano funzionando come previsto vengono in genere eseguite sporadicamente da diversi auditor interni ed esterni. Le valutazioni point-in-time e frammentarie non sono più sufficienti. Viste le crescenti minacce e l'aumento degli investimenti in sicurezza, i team della sicurezza sono tenuti ad assicurarsi che i controlli siano sempre efficienti ed efficaci. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Tuttavia, la maggior parte dei team della sicurezza non valuta in modo coerente i controlli né vi apporta continuamente le modifiche necessarie. 4. Valutazioni del rischio di terze parti Il modello tradizionale per la valutazione del rischio si basa su questionari e audit on-site, i cui risultati vengono registrati in documenti e aggiornati annualmente. Sia per i service provider che per i clienti, questo processo è inefficiente e richiede a tutti operazioni ripetitive. Inoltre, non fornisce alle organizzazioni una visibilità tattica e operativa continua sui controlli di sicurezza del service provider per assicurarsi che il provider soddisfi i requisiti per la protezione delle informazioni. 5. Rilevamento delle minacce È ormai evidente in tutto il settore che a causa delle minacce avanzate le organizzazioni devono passare rapidamente ad approcci di rilevamento maggiormente basati sull'intelligence. Il solo monitoraggio degli eventi dall'infrastruttura di rete perimetrale non è più efficace. La sicurezza basata sull'intelligence si serve dell'analisi dei dati, abilita gli alert in caso di comportamenti indicanti sfruttamento e fornisce il contesto delle minacce. Richiede che i dati vengano raccolti e analizzati da un'ampia gamma di origini. Eppure per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. The Report of the Commission on the Theft of American Intellectual Property, National Bureau of Asian Research, RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 3 Suggerimenti Q uesti suggerimenti non sono concepiti come istruzioni complete per la riprogettazione dei processi di sicurezza, ma hanno come obiettivo la correzione di alcuni processi chiave che richiedono attenzione per affrontare problemi critici, aggiornare i programmi di information security e prepararsi al futuro. 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Per risolvere le limitazioni degli attuali processi di sicurezza, è innanzitutto necessario fare un passo indietro e riconsiderare come formulare il problema. I professionisti dell'information security hanno sempre pensato alla protezione degli asset informativi, ad esempio server e applicazioni. Questo punto di vista tecnico, anche se necessario, non è sufficiente, perché non offre una visione abbastanza ampia dell'uso che viene fatto delle informazioni nella gestione del business. Non sarà inoltre di grande utilità di fronte ad attacchi mirati, specificatamente progettati per danneggiare i processi di business, ad esempio gli ordini dei clienti, le transazioni finanziarie, i processi di sviluppo o fabbricazione di prodotti o le procedure di contabilità clienti. È invece opportuno adottare una prospettiva più generale e pensare a come proteggere i processi di business critici end-to-end. Cambiare prospettiva Spostando l'attenzione dagli asset tecnici ai processi di business, il team della sicurezza avrà un punto di vista più consapevole e saprà dove concentrare gli sforzi. Potrà determinare quali siano i processi più critici che richiedono la massima protezione. Conoscendo il flusso delle informazioni all'interno di ogni processo, potrà comprendere come un attacker possa impedire un processo e quali siano i controlli di sicurezza più efficaci. 5 Suggerimenti 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 3. Stabilire un processo di valutazione del rischio incentrato sul business 4. Impostare un percorso per accertare l'efficacia dei controlli in base a prove 5. Sviluppare metodi di data collection informati 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 suggerimenti Grazie alla comprensione dei processi di business la sicurezza può essere integrata e non semplicemente aggiunta. " Prendere in considerazione un processo di sviluppo di nuovi prodotti. Se il team della sicurezza non conosce il processo, non può sapere che cosa sia un'attività "normale", ad esempio come e quando i membri del team di progettazione accedono all'applicazione di progettazione, come e quando vengono utilizzati messaggi per comunicare le specifiche ai contractor di terze parti e così via. Approfondendo il processo, saranno in grado di instrumentare meglio i controlli per rilevare ed evitare le condizioni non normali e proteggere la proprietà intellettuale. Grazie alla conoscenza dei processi di business, il team della sicurezza può verificare come i controlli di sicurezza influiscano sui processi e limitare così diverse problematiche. Ad esempio, esaminando i passaggi di un processo di business, potrebbe essere possibile eliminare la necessità di trasferire i dati riservati e quindi la necessità della crittografia. In alcuni casi, potrebbe essere necessario apportare lievi modifiche a un processo di business per rendere più efficiente il monitoraggio. Ad esempio, è difficile rilevare se un utente non autorizzato sta sottraendo informazioni tramite il download dei dati delle transazioni, se il normale utilizzo richiede il download giornaliero di tutte le transazioni in un database. Grazie alla comprensione dei processi di business la sicurezza può venire integrata e non semplicemente aggiunta. Ad esempio, un processo di approvvigionamento potrebbe incorporare un protocollo per consentire al team degli acquisti di scremare un elenco di problemi di sicurezza e privacy. Aiuta inoltre il team della sicurezza a capire che i controlli di sicurezza tecnici non sono necessariamente l'unica soluzione per proteggere un processo. Se si verifica un problema con la certificazione di accesso, ad esempio, inserire un passaggio di riconciliazione manuale nel processo può essere una soluzione efficace. La documentazione dei processi di business deve essere un'attività collaborativa che porti a stabilire quali siano i rischi per il sistema. Non potremo mai comprendere il valore delle informazioni per il business allo stesso modo del proprietario dell'azienda, che al contrario non potrà mai comprendere le minacce allo stesso modo del " team della sicurezza. dave martin Vice President e Chief Security Officer, EMC Corporation?Domande da porre durante la documentazione dei processi di business La documentazione dei processi a fini di protezione dei dati richiede in genere di analizzare i singoli passaggi dei processi, descrivendo in dettaglio come vengono utilizzate le informazioni. Ecco alcuni esempi di domande pertinenti: DDDurante questo processo vengono generati, scambiati o archiviati dati riservati, sensibili o soggetti a normative? Se sì, quali controlli di sicurezza esistenti fanno parte di questo processo? L'uso di queste informazioni viene monitorato? In che modo? DDCome si verrebbe a sapere che qualcosa non va nel processo di business? Esistono controlli di rilevamento in tali aspetti chiave? Vengono registrate le informazioni giuste? Il monitoraggio è coerente con le potenziali indicazioni di compromissione o frode? DDEsistono problemi di privacy relativi a dove i dati vengono archiviati e spostati? Ad esempio, i dati vanno dall'europa agli Stati Uniti senza l'appropriata documentazione legale allegata? Documentare i processi di business Per comprendere i processi di business, è necessaria una documentazione. Il team della sicurezza dovrà collaborare con il personale delle business unit per documentare i processi critici (vedi barra laterale). Poiché ogni descrizione di processo dovrà essere un documento in continua evoluzione, in ogni business unit dovrà esserci un owner responsabile dell'aggiornamento del documento. È possibile che le aziende con un team CQI (Continuous Quality Improvement, miglioramento continuo della qualità) o BPI (Business Process Improvement, miglioramento dei processi di business) dispongano di una documentazione utilizzabile come punto di partenza, ma spesso la documentazione nelle aziende è poca o inesistente. Per creare la documentazione sui processi di business, si potrebbe sfruttare il personale del gruppo di resilienza aziendale, di business continuity o di audit interno dell'organizzazione. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 suggerimenti 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Una gestione efficace dei rischi per le informazioni implica oggi che il team della sicurezza svolga la funzione di advisor per le business unit e i dirigenti. Per il coretto funzionamento dei servizi di consulenza sui rischi, il team della sicurezza deve sviluppare metodi per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo di consulenza sui rischi. Un approccio efficace per descrivere i rischi per la sicurezza informatica in termini di business è quello di definire scenari dettagliati, esponendo la probabilità di incident di sicurezza e la portata dell'impatto sul business, ad esempio perdita di reputazione, mancata conformità alle normative vigenti o contenziosi legali. Se fattibile o richiesto (ad esempio, per i report 10K SEC sul rischio materiale), il team della sicurezza deve poter tenere discussioni sull'impatto per il business per quantificare il rischio. Con il tempo, il team deve perfezionare le tecniche di quantificazione del rischio e diventare esperto nella previsione di perdite monetarie. Ciò comporta spesso la collaborazione con le business unit per determinare l'impatto finanziario di potenziali eventi come il passaggio offline dei processi di business, il furto di progettazioni di prodotti, l'esposizione di dati soggetti a normative e così via. La quantificazione dei rischi per la sicurezza informatica in termini finanziari è un campo in via di sviluppo. I professionisti della sicurezza hanno spesso la preoccupazione che la quantificazione dei rischi possa condurre a una paralisi dell'analisi e a lunghe discussioni aventi per oggetto i numeri. Tenere presente che, come per le altre valutazioni di business, ad esempio le previsioni di vendita, non è possibile fare calcoli precisi. Spesso è sufficiente una stima per ordine di grandezza, ad esempio per valutare se si tratta di un rischio da 1, 10 o 100 milioni di dollari. Per i dirigenti, una valutazione finanziaria ragionevole, anche se non esatta, fornirà informazioni più utili di una descrizione tecnica del rischio. Una delle insidie insite nelle valutazioni finanziarie è una stima in eccesso della probabilità o della frequenza degli eventi. Invece è importante mirare soprattutto a determinare l'impatto finanziario. Se un evento si verifica nella vostra organizzazione, non ha importanza che si tratti di un evento che si può verificare solo in rare occasioni. Utilizzare al meglio gli strumenti di quantificazione dei rischi I team della sicurezza possono ottenere un quadro della portata e della probabilità delle possibili perdite monetarie dai report sui principali incident di information security in aziende simili. I dati in possesso della maggior parte delle organizzazioni sono relativi a precedenti incident subiti da esse. Alcune utilizzano anche strumenti come la terminologia standard FAIR (Factor Analysis of Information Risk) e il framework per eseguire l'analisi dei rischi. Molte organizzazioni del settore dei servizi finanziari utilizzano i dati dell'associazione ORX (Operational Risk exchange) che fornisce dati anonimi su eventi effettivi di rischio operativo e la scala di perdita associata. Le valutazioni di business dei rischi per la sicurezza informatica consentiranno alle organizzazioni di soppesare meglio i rischi e i vantaggi, di determinare i livelli appropriati di investimenti nella riduzione del rischio e di dare la priorità ai rischi per la sicurezza informatica rispetto ad altri tipi di rischi per l'enterprise. Le valutazioni di business faciliteranno inoltre le discussioni sulla "rilevanza" dei rischi per la sicurezza informatica o sull'"adeguatezza" dei programmi di gestione dei rischi, come richiesto da normative quali le linee guida della SEC o MiFID. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro "I professionisti della sicurezza stanno ricevendo pressioni per trovare il modo di quantificare i rischi per la sicurezza. Poiché le organizzazioni spendono di più per la sicurezza e dunque si chiedono 'Perché stiamo spendendo così tanto per questo? Quanto sono grandi i rischi?', sta diventando sempre più importante per noi giustificare tale spesa." 3. Stabilire un processo di valutazione del rischio incentrato sul business In molte organizzazioni, ancora oggi le valutazioni del rischio per l'information security vengono eseguite tramite fogli di calcolo. In genere, all'inizio di un progetto, l'owner del progetto completa un modulo seguendo un template di foglio di calcolo e lo invia tramite al team della sicurezza. Il team della sicurezza utilizza le informazioni fornite nel modulo e nelle discussioni di follow-up per valutare il rischio e consigliare una strategia di riduzione del rischio. Con questo metodo, il personale delle business unit ha poche possibilità di gestire e rivedere regolarmente un quadro aggiornato dei rischi che corrono. Diventa inoltre difficile per il team della sicurezza avere una visione completa di tutti i rischi nell'intera enterprise. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 suggerimenti Automatizzare il processo Il passaggio a strumenti più automatizzati può semplificare di molto le procedure. L'automazione può velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi per le informazioni. Molte organizzazioni stanno automatizzando il processo di valutazione del rischio mediante strumenti GRC (Governance, Risk, and Compliance). Le business unit e il team della sicurezza possono tenere traccia dei rischi mentre vengono identificati, valutati e accettati o risolti tramite il sistema GRC. Un processo più automatizzato e misurabile si integra meglio in una prospettiva generale di gestione dei rischi di livello enterprise e allinea meglio l'organizzazione di sicurezza all'azienda. L'esempio seguente illustra un processo di valutazione del rischio basato su un approccio relativamente nuovo che incorpora un service provider in outsourcing e integra il servizio con il sistema GRC dell'enterprise. Utilizzando un service provider per le valutazioni ordinarie e ripetitive, il processo riduce il carico per le business unit e il team della sicurezza. In questo approccio, alle business unit che iniziano nuovi progetti viene richiesto di acquistare una valutazione del rischio dal service provider designato del team della sicurezza e di mettere in bilancio le valutazioni di follow-up. Il service provider esegue le valutazioni e inserisce i finding direttamente nel sistema GRC. Al termine di una valutazione, il team della sicurezza e la business unit hanno accesso immediato ai risultati, che vengono implementati nel quadro generale dei rischi per le informazioni. Per i progetti più di routine, il responsabile rischi all'interno delle business unit coordina la risoluzione, assicurandosi che abbiano piani attuabili per affrontare i rischi identificati in base agli standard del team della sicurezza ed entro un periodo specificato. Il responsabile rischi presenta quindi al team della sicurezza un report sullo stato attuale. Per i progetti che vanno oltre un limite di soglia di rischio specificato, il team della sicurezza viene convocato per un'ulteriore Tradizionale All'avanguardia analisi e per collaborare con il business allo sviluppo di piani di risoluzione e accettazione dei rischi più personalizzati. Un ulteriore vantaggio dell'utilizzo della valutazione del rischio come servizio è che può essere facilmente calcolata in base a un modello di costo delle merci vendute, utilizzando il budget della business unit anziché le risorse del team della sicurezza. Introdurre flessibilità nell'accettazione dei rischi Le organizzazioni devono spesso trovare un compromesso tra la necessità di gestire i rischi e quella di immettere rapidamente nuovi prodotti e servizi sul mercato. Per consentire al business di sfruttare le opportunità urgenti, il team della sicurezza deve consentire alle business unit di accettare per un breve periodo di tempo un livello di rischio più alto del normale. In questo caso, il comitato di gestione dei rischi dell'organizzazione (ad esempio, CISO, General Counsel, Chief Procurement Officer e altri) fornirà all'iniziativa una formale esenzione dai rischi per un periodo, ad esempio, di 6-18 mesi, dopo il quale i rischi verranno riesaminati. Questo tipo di modello di risoluzione dei rischi basato sul successo aumenta i controlli di sicurezza proporzionalmente al successo del prodotto o servizio. Ad esempio, potrebbe essere consigliabile per il business accettare rischi più elevati per un numero inizialmente piccolo di clienti, sapendo che il prodotto o il servizio, una volta raggiunto un numero significativo di clienti, avrà un flusso di entrate tale da giustificare i miglioramenti della sicurezza. I rischi residui (diversi dai rischi accettati) verranno quantificati e gestiti. " Un aspetto chiave della gestione dei rischi è disporre di un processo per assicurarsi che per ogni iniziativa nell'organizzazione venga eseguita una valutazione del rischio " nella fase iniziale del ciclo di vita. Vishal Salvi Information Security Officer e Senior Vice President, HDFC Bank Limited Approccio tradizionale e all'avanguardia ai processi di gestione dei rischi Metodi ad hoc Descrizioni tecniche del rischio Uguale trattamento di tutti i rischi Sicurezza considerata responsabile della gestione dei rischi Uniformità del processo di accettazione dei rischi Revisione del rischio negli archivi Processi formali e coerenti integrati nei processi di business Rischio quantificato in perdite in importi monetari con percentuale di probabilità Sistema di assegnazione delle priorità che imposta i limiti di soglia per i rischi prioritari Responsabilità condivisa per la gestione dei rischi: alle business unit spettano le decisioni relative a rischi/vantaggi ed è in atto un processo per considerarle responsabili della gestione dei rispettivi rischi Modello flessibile di accettazione dei rischi in base al quale per determinate opportunità di business vengono accettati rischi più elevati a breve termine per ridurre i tempi del Time-To-Market Visione olistica del rischio basata sull'automazione RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti la regola 80/20 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Le organizzazioni oggi devono assicurarsi che in ogni momento i controlli di sicurezza soddisfino gli standard, proteggano dalle minacce in tempo reale, offrano valore aggiunto per l'investimento e consentano l'agilità del business. Il modo più valido per raggiungere questo obiettivo è di accertare con delle prove il corretto funzionamento dei controlli. È quindi necessario raccogliere continuamente dati pertinenti per testare l'efficacia dei controlli. Anche se la configurazione richiede tempo e un elevato livello di maturità nei processi di sicurezza e IT, l'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. Si otterrà maggiore trasparenza, L'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. i controlli difettosi o gli errori di controllo verranno identificati facilmente e tempestivamente e, apportando continuamente le modifiche necessarie, sarà possibile risolvere i problemi e ottimizzare la strategia di protezione. Grazie al flusso di prove, sarà anche considerevolmente più semplice per le organizzazioni dimostrare la conformità. Gli audit saranno più efficienti e richiederanno meno interruzioni. Qualità, non quantità Le aziende dei settori altamente regolati potrebbero in ultima analisi aver bisogno di documentare, rivedere e raccogliere prove su tutti i controlli di sicurezza. Per le altre aziende, tuttavia, è spesso consigliabile dare la priorità a un piccolo subset di controlli di sicurezza: i controlli più importanti che proteggono solo i processi di business più critici. Per molte organizzazioni, viene applicata la regola 80/20: Il 20% dei controlli garantisce la gran parte della sicurezza. È opportuno identificarli quanto prima e concentrarsi sulla relativa documentazione, revisione e raccolta di prove. Non dare importanza alla quantità quando si tratta di accertare l'efficacia dei controlli in base a prove: ciò che importa non è il numero dei controlli, ma ottenere visibilità sui controlli a cui l'organizzazione si affida maggiormente. Processo di audit normale In un normale processo di audit, gli auditor fanno lasciare al personale l'abituale lavoro per chiedere una prova di conformità. Processo di audit con monitoraggio dei controlli continuo Con il monitoraggio continuo dei controlli, un sistema acquisisce i log che attestano l'efficacia dei controlli. Idealmente, gli auditor possono interrogare il sistema o visualizzare i report senza interrompere le normali attività. Documentare i controlli Il primo passo per implementare l'accertamento dell'efficacia dei controlli basato su prove consiste nel documentare i controlli di sicurezza dell'organizzazione come set di istruzioni verificabili o misurabili. Dare la precedenza ai controlli più importanti che proteggono i processi di business critici (vedi barra laterale). Un semplice esempio di istruzione di controllo è una descrizione dell'uso delle password, inclusi i requisiti di lunghezza, complessità e aggiornamento. Per un controllo di protezione dei dati, la descrizione potrebbe includere la modalità di applicazione di tag, crittografia e watermark ai dati e gli strumenti richiesti. Il processo di documentazione può richiedere spesso il refactoring di lunghi documenti in un set di istruzioni distinte. Eseguire una revisione dei controlli La documentazione dei controlli offre l'opportunità per eseguire anche una revisione completa di tutti i controlli. Porre domande mirate, ad esempio: ogni singolo controllo è ancora necessario? È al posto giusto? È ridondante? È obsoleto? Ha operato in modo inefficiente? Crea un carico non necessario per i processi di business? Complica l'esperienza utente? È efficace considerate le minacce attuali? Inoltre, quanto costa il controllo? È necessario gestire i controlli dalle prestazioni insufficienti a un costo minore o pianificarli per la dismissione e/o la sostituzione. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti Raccogliere le prove Il passaggio successivo consiste nel determinare da quale prova sarà sostenuto ogni controllo (per gli esempi, vedere il grafico sotto) e nel configurare le procedure per raccogliere e segnalare sistematicamente questa prova. Il team della sicurezza deve chiedersi quale sia la funzionalità a breve e a lungo termine per poter dimostrare questa prova. Con il tempo, è possibile automatizzare altri processi oltre alla raccolta e alla generazione di report, in modo che le organizzazioni possano scoprire i problemi molto prima che con i normali controlli manuali. Collegare e combinare i risultati raccolti tramite le attività di gestione delle vulnerabilità e delle minacce è cruciale per identificare i difetti nei controlli in fase iniziale. Tipo di controllo Password Esempi di prove per tipi diversi di controlli Sistema di inserimento nel data center Policy di utilizzo accettabile dei dispositivi mobili Origine della prova Log di applicazioni che mostrano che le password sono state aggiornate Log del sistema di autorizzazione relativi agli ingressi consentiti o rifiutati Record dei dispositivi persi o rubati che mostrano se i dispositivi mancanti vengono segnalati entro periodi di tempo specificati I team della sicurezza devono impegnarsi per incrementare il monitoraggio automatizzato dei controlli ovunque sia possibile, prevedendo l'invio dei risultati a un repository centrale (ad esempio, un sistema GRC). È inoltre necessario archiviare centralmente le prove manuali (all'interno del sistema GRC). Grazie allo storage centralizzato dei risultati della valutazione, gli audit risulteranno più semplici e potranno essere eseguiti indipendentemente dall'owner del processo e/o del controllo. Un obiettivo più a lungo termine per molte organizzazioni è il monitoraggio continuo dei controlli che consentirà di generare un report visuale sui controlli funzionanti e un alert in tempo reale per quelli non funzionanti. Il monitoraggio continuo dei controlli comporta in genere l'uso di tecnologie per l'aggregazione dei log, il sistema GRC e/o l'analisi dei dati e il data warehousing. Molte organizzazioni stanno sviluppando strategie omnicomprensive per la gestione dei dati della sicurezza, in modo da gestire la raccolta e l'utilizzo dei dati per più scopi, ad esempio l'accertamento dell'efficacia dei controlli, la gestione dei rischi e il rilevamento delle minacce. Migliorare le valutazioni di terze parti L'accertamento dell'efficacia dei controlli basato su prove può essere molto utile per migliorare le valutazioni di terze parti. I metodi tradizionali, basati su questionari, visite a siti e rivalutazione annuale, sono complessi e non sono in grado di generare informazioni tempestive e pratiche. Se i clienti e i service provider dispongono di funzionalità per l'accertamento dell'efficacia dei controlli basato su prove, sarà più semplice condividere le valutazioni; i clienti possono stabilire requisiti standardizzati per le attestazioni dei controlli e i service provider possono fornire prove standardizzate. Le valutazioni standardizzate dei service provider potranno essere quindi utilizzate da più clienti. L'approccio basato su prove consente inoltre valutazioni di terze parti sempre più automatizzate. Ad esempio, due organizzazioni leader del settore dei servizi finanziari, una banca e un service provider aziendale, stanno collaborando per soddisfare un set di requisiti misurabili per i controlli di sicurezza. Il service provider fornirà alla banca la prova continua che determinati controlli sono efficaci grazie all'accesso a un sistema GRC. Il sistema GRC si troverà all'estremità della rete del service provider e, in ultima analisi, verrà utilizzato da più clienti per ottenere visibilità su alcuni controlli chiave. "L'accertamento dei controlli basato su prove offre un quadro completo dell'efficacia dei controlli nel proprio ambiente. Ma, prima di accettare una valutazione condivisa, un'attestazione di terze parti, vorrei sapere quale sia la prova che i controlli su cui altri si sono basati funzionano davvero continuamente." roland cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 5. Sviluppare metodi di data collection informati L'analisi dei dati è diventata una funzionalità essenziale per il rilevamento delle minacce informatiche. Una volta che si hanno a disposizione un datastore e un engine di analisi e dopo aver preparato un'analisi dei dati, per attuare una funzionalità di analisi dei dati, è necessario configurare i processi per determinare quali dati raccogliere e dove trovarli. Creare un set di use case Un passaggio fondamentale consiste nell'esaminare i tipi di domande a cui può rispondere l'analisi dei dati. Un esempio di domanda è: "Come capire se l'attività di System Administrator in questo particolare sistema è legittima o è quella di un utente non autorizzato?" La risposta potrebbe essere: "Se si identificano schemi insoliti di attività, ad esempio più set di credenziali utilizzati in rapida successione in un solo computer o un amministratore che si connette a un sistema non associato a nessun ordine di lavoro". Tenendo ben presenti le domande e le risposte chiave relative alla protezione dei processi di business critici, il team della sicurezza può iniziare a identificare le origini di dati rilevanti. Il team della sicurezza deve creare un set di use case dell'analisi dei dati. Per ogni use case, si completerà in genere un processo iterativo con più cicli di raccolta dati, sviluppo di algoritmi, test e perfezionamento. Ad esempio, il team potrebbe essere interessato a rispondere alla domanda "Come possiamo contrassegnare le possibili violazioni in rapida successione" (casi in cui un utente sembra attivo in due sedi fisicamente distanti in un breve periodo di tempo)? Il team potrebbe partire da dati come: sede geografica delle strisciate del badge negli edifici, indirizzi IP, connessioni dei dispositivi mobili e connessioni VPN statiche; i timestamp in questi log; e itinerari dei viaggi aziendali per indicare dove l'utente dovrebbe trovarsi. L'analista dei dati svilupperà quindi un algoritmo che genererà un punteggio di rischio in base alla velocità calcolata a cui l'utente si sta apparentemente spostando. Dopo aver eseguito l'analisi ed esaminato i risultati, il team comprenderà quali casi potrebbero effettivamente corrispondere a un comportamento normale pur generando punteggi di rischio elevati. Il passaggio successivo consisterà nel perfezionare gli algoritmi, magari con dati aggiuntivi, per ridurre i falsi positivi. Un problema molto comune è che i dati necessari per rispondere alle domande critiche non sono facilmente accessibili. È possibile che il team della sicurezza debba riconfigurare la modalità di logging direttamente dai dispositivi originali. Ad esempio, è possibile che i log proxy debbano includere l'indirizzo IP dall'origine iniziale, ma questi dati potrebbero non essere ancora stati riportati nei log. Gli sforzi per la raccolta dati possono richiedere abili negoziazioni con gli owner di sistema, che potrebbero essere riluttanti a incrementare il logging dal momento che ciò potrebbe avere un impatto negativo sulle prestazioni di sistema. Oltre a esaminare dettagliatamente gli use case specifici, il team della sicurezza deve anche identificare i dati potenzialmente preziosi per la baseline della normale attività nei sistemi critici. Ad esempio, alcuni mesi di cronologia della rete e i modelli di accesso utente da origini quali i log di firewall e i sistemi di autenticazione potrebbero essere utili per avviare la baseline. Andare oltre i log di sicurezza. Applicare dati da diverse origini È inoltre importante includere le origini di dati appropriate. Andare oltre i log di sicurezza. I team della sicurezza devono verificare che cosa sta accadendo nell'ambiente di business e non solo nella tecnologia di sicurezza attorno all'ambiente di business. L'integrazione delle informazioni aziendali, ad esempio i log di processi, transazioni e applicazioni, offrirà un quadro più completo del business da proteggere. I dati dei sensori interni devono essere combinati con i dati delle origini esterne, ad esempio i feed sulle minacce commerciali, governativi o dei vari settori. Se le organizzazioni esaminano solo i dati interni, non vedranno l'impatto potenziale completo delle minacce per l'ambiente, perché in questo modo monitorano solo ciò che è accaduto, non ciò che si potrebbe prevenire. Prendere in considerazione di dedicare una risorsa all'integrazione effettiva dei dati ricavati da diverse origini interne e dall'intelligence esterna. 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti Come molte organizzazioni hanno capito, è facile registrarsi ai feed sulle minacce, ma è più difficile intervenire su tali dati. È importante capire come applicare i dati in modo specifico e sviluppare uno schema per integrare i dati esterni con i dati interni per migliorare l'analisi. I dati dai feed sulle minacce commerciali relativi ad attacchi emergenti possono essere applicati testando specifiche aree note di vulnerabilità all'interno dell'ambiente per verificare se le minacce stanno sfruttando questi metodi per estrarre i dati. In questo caso, i dati esterni possono aiutare a individuare un'attività insolita su canali in genere non utilizzati per le comunicazioni in uscita. Sviluppare un piano completo per la data collection Per sviluppare una competenza nell'analisi dei dati, spesso è necessario un piano pluriennale per migliorare l'architettura complessiva della raccolta e modificare le applicazioni in modo da generare log con un volume di dati più elevato. È importante capire il prima possibile quali funzionalità dei dati (ad esempio, acquisizione di pacchetti, dati NetFlow) e di aggregazione dati (ad esempio, gestione dei registri, aggregazione centrale o correlazione di registri) mancano che sarebbero preziose per una funzionalità di analisi dei dati e pianificare un aumento della capacità di storage dei dati. "La sfida più grande dell'analisi dei dati è ottenere risultati significativi. Lo sviluppo di una strategia integrata richiede tempo. Concentratevi sulle informazioni importanti per il business e sviluppate le domande che volete porre o finirete per annegare nei dati." tim mcknight Executive Vice President, Enterprise Information Security & Risk, Fidelity Investments RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 Conclusione Per vincere le odierne sfide pratiche mentre si traccia la strada del progresso, i principali team della sicurezza stanno apportando importanti modifiche ai processi collaudati. Senza modifiche alle normali procedure non è possibile stare al passo con l'ambiente delle minacce attuali o con le iniziative di business basate sulla tecnologia. In particolare, è essenziale sviluppare una profonda comprensione dei processi di business e stabilire una collaborazione molto più stretta con le business unit. I rischi per la sicurezza informatica sono finalmente un argomento costante nel business e in molte organizzazioni è evidente una propensione maggiore a finanziare programmi in quest'ambito. Anche se il personale delle business unit nutre preoccupazioni per i rischi per la sicurezza informatica, non è in grado di gestirli. In questa fase, è d'obbligo per i professionisti della sicurezza educare le persone ai rischi per la sicurezza informatica. Dopo aver parlato per anni di trasformare l'information security in gestione dei rischi, è tempo di farlo seriamente alzando il livello dei processi di sicurezza e integrandoli nel business. Per la riprogettazione dei processi di sicurezza, l'ottimizzazione sarà un fattore di successo chiave, nonché un impegno costante. I processi di information security devono essere oggetto di una rivalutazione continua per assicurare l'uso effettivo delle risorse e la riduzione effettiva del rischio per il business. Mentre i team della sicurezza pensano a come rinnovare i processi, devono ovviamente anche impegnarsi per stare al passo con i cambiamenti della tecnologia. Le nuove tecnologie, in particolare quelle per l'analisi dei Big Data, stanno determinando alcuni dei cambiamenti chiave dei processi illustrati in questo report. Il prossimo e ultimo report di questa serie sulla trasformazione dell'information security tratterà di alcune delle più importanti tecnologie di sicurezza emergenti e in evoluzione e fornirà un'ulteriore visione pratica della gestione delle forze che stanno dando nuova forma all'information security. Informazioni sull'iniziativa Security for Business Innovation Council L'innovazione del business è ormai al primo posto nell'agenda della maggior parte delle enterprise, in quanto i dirigenti cercano di sfruttare la forza della globalizzazione e della tecnologia per creare nuovi livelli di valore ed efficienza. Tuttavia manca ancora qualcosa. Nonostante l'innovazione del business si basi sui sistemi informativi e IT, in genere la protezione di tali sistemi non è considerata strategica, anche se le enterprise devono fare fronte a crescenti pressioni normative e minacce. Infatti, l'information security è spesso messa in secondo piano, attuata alla fine di un progetto o addirittura nemmeno presa in considerazione. Ma senza la giusta strategia di sicurezza, l'innovazione del business potrebbe facilmente essere trascurata o potrebbe far correre gravi rischi all'organizzazione. In RSA, riteniamo che i team della sicurezza, operando come veri partner nel processo di innovazione del business, possano contribuire a far raggiungere alle organizzazioni risultati senza precedenti. È il momento giusto per un nuovo approccio: la sicurezza da specializzazione tecnica deve diventare una strategia aziendale. Anche se la maggior parte dei team della sicurezza ha riconosciuto la necessità di allineare più strettamente la sicurezza con il business, molti cercano ancora di soddisfare questa necessità con piani di azione concreti. Sanno che qual è il loro obiettivo, ma non sanno come raggiungerlo. Per questo RSA sta collaborando con alcuni dei principali leader mondiali del settore della sicurezza per guidare il dialogo nel settore e identificare la strada da percorrere. RSA ha riunito un gruppo di responsabili della sicurezza altamente competenti di enterprise del gruppo Global 1000 di svariati settori, che è stato chiamato "Security for Business Innovation Council". Stiamo conducendo una serie di interviste approfondite con il Council, pubblicando le idee emerse in una serie di report e sponsorizzando una ricerca indipendente per esaminare a fondo questi argomenti. All'indirizzo è possibile visualizzare i report o accedere alla ricerca. Insieme possiamo accelerare questa trasformazione cruciale del settore. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Autori del report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson anish bhimani Cissp Chief Information Risk Officer, JPMorgan Chase WilliAM BONI CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. dr. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro jerry R. Geisler iii GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. renee guttmann Chief Information Security Officer, The Coca-Cola Company malcolm harkins Vice President, Chief Security and Privacy Officer, Intel kenneth haertling Vice President e Chief Security Officer, TELUS petri kuivala Chief Information Security Officer, Nokia dave martin CISSP Vice President e Chief Security Officer, EMC Corporation tim mcknight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments felix mohan Senior Vice President e Global Chief Information Security Officer, Airtel robert rodger Group Head of Infrastructure Security, HSBC Holdings, plc. ralph salomon CRISC Vice President IT Security and Risk Office, SAP AG vishal salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited simon Strickland Global Head of Security, AstraZeneca leanne toliver Ufficio del Chief Information Security Officer, ebay FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Per la biografia completa dei membri SBIC, visitare il sito italy.emc.com RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Tutti gli altri prodotti e/o servizi a cui si fa riferimento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12622 CISO RPT Security for Business Innovation Council Report RSA, The Security Division of EMC

trasformazione della sicurezza delle informazioni

trasformazione della sicurezza delle informazioni ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Astra Zeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President,

Dettagli

Individuazione e analisi di minacce avanzate. PANORAMICA

Individuazione e analisi di minacce avanzate. PANORAMICA Individuazione e analisi di minacce avanzate. PANORAMICA DETTAGLI Presentazione delle seguenti funzionalità di RSA Security Analytics: Monitoraggio della sicurezza Indagine sugli incident Generazione di

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Security for Business Innovation Council

Security for Business Innovation Council ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland,

Dettagli

Capacità di reazione alle violazioni PANORAMICA

Capacità di reazione alle violazioni PANORAMICA E U C A L E L E R COLMA I D À IT C A P A ELLA C I IO Z A L IO V E REAZIOE ALL ITY R U C E S L A D I T APPROFODIME UCIL O C IO T A V O I FOR BUSIESS PAORAMICA Questo e-book contiene informazioni dettagliate

Dettagli

ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI "BIG DATA"

ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI BIG DATA ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI "BIG DATA" Roadmap per i "Big Data" nell'analisi della sicurezza CONCETTI FONDAMENTALI In questo documento vengono esaminati: Crescente complessità dell'ambiente

Dettagli

CyberEdge: la soluzione AIG

CyberEdge: la soluzione AIG Protezione contro le conseguenze dei cyber-rischi. BUSINESS Insurance CyberEdge: la soluzione AIG I cyber-rischi sono un dato di fatto in un mondo che ruota attorno alle informazioni e ai sistemi informativi

Dettagli

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che

Dettagli

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende MICROSOFT BUSINESS DESKTOP MICROSOFT ENTERPRISE CLUB Disponibile anche sul sito: www.microsoft.com/italy/eclub/ L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator Documentazione Ottimizzazione della gestione della sicurezza con Efficacia comprovata dalle ricerche I Chief Information Officer (CIO) delle aziende di tutto il mondo devono affrontare una sfida molto

Dettagli

Informativa e consenso per l utilizzo delle Google Apps for Education ISMC ALLEGATO 2 ALLEGATO 2 PRIVACY DI GOOGLE

Informativa e consenso per l utilizzo delle Google Apps for Education ISMC ALLEGATO 2 ALLEGATO 2 PRIVACY DI GOOGLE Pag. 1 di 8 PRIVACY DI GOOGLE (http://www.google.com/intl/it/policies/privacy/ Ultima modifica: 19 agosto 2015) I nostri servizi possono essere utilizzati in tanti modi diversi: per cercare e condividere

Dettagli

Data-sheet: Protezione dei dati OpsCenter Analytics

Data-sheet: Protezione dei dati OpsCenter Analytics Panoramica Di fronte alla proliferazione dei dati, le operazioni di backup e archiviazione stanno diventando sempre più complesse. In questa situazione, per migliorare la produttività è opportuno attenersi

Dettagli

Ottimizzare Agile per la. agility made possible. massima innovazione

Ottimizzare Agile per la. agility made possible. massima innovazione Ottimizzare Agile per la agility made possible massima innovazione Agile accelera l'offerta di innovazione Lo scenario aziendale attuale così esigente e in rapida evoluzione ha enormemente amplificato

Dettagli

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy Solution brief Proteggete il parco con una semplice protezione dell'ambiente di stampa basata su policy Fate crescere il vostro business nella massima sicurezza con HP JetAdvantage Security Manager Proteggete

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Engagement semplice per aziende di medie dimensioni

Engagement semplice per aziende di medie dimensioni Engagement semplice per aziende di medie dimensioni La tua azienda è ben connessa? È questa la sfida cruciale dell attuale panorama aziendale virtuale e mobile, mentre le aziende si sforzano di garantire

Dettagli

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business SOLUTION BRIEF CA ERwin Modeling Come gestire la complessità dei dati e aumentare l'agilità del business CA ERwin Modeling fornisce una visione centralizzata delle definizioni dei dati chiave per consentire

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici del 90%

Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici del 90% Ottimizzazione dell'infrastruttura Microsoft Case study sulle soluzioni per i clienti Grazie alla virtualizzazione, l'azienda ha ridotto il numero di server da 650 a 22 unità e ha tagliato i costi energetici

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

Sistemi NAS di Seagate: Guida per aziende

Sistemi NAS di Seagate: Guida per aziende Sistemi NAS di Seagate: Guida per aziende di piccole e medie dimensioni Scelta del sistema di memorizzazione ideale Guida alla scelta del sistema di memorizzazione NAS (Network Attached Storage) per le

Dettagli

EMC Documentum Soluzioni per il settore assicurativo

EMC Documentum Soluzioni per il settore assicurativo Funzionalità EMC Documentum per il settore assicurativo La famiglia di prodotti EMC Documentum consente alle compagnie assicurative di gestire tutti i tipi di contenuto per l intera organizzazione. Un

Dettagli

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack SERENA TEAMTRACK Serena TeamTrack è un sistema per la gestione dei processi e dei problemi basato sul Web, sicuro e altamente

Dettagli

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto SERVIZI E SUPPORTO PROCESSI E INIZIATIVE SISTEMI DI SVILUPPO PRODOTTO PRODOTTI SOFTWARE SOLUZIONI VERTICALI Realizzazione di maggiore valore con le soluzioni di gestione del ciclo di vita del prodotto

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

Programmi di assistenza clienti SureService. Un impulso al vantaggio competitivo e ai risultati della vostra azienda

Programmi di assistenza clienti SureService. Un impulso al vantaggio competitivo e ai risultati della vostra azienda Programmi di assistenza clienti SureService Un impulso al vantaggio competitivo e ai risultati della vostra azienda Un assistenza personalizzata in base alle vostre esigenze Maggiore efficienza, riduzione

Dettagli

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi Sotto i riflettori: La Business Intelligence estende il valore di PLM La maturità del PLM consente di ottenere un nuovo valore dalle analisi Tech-Clarity, Inc. 2009 Sommario Sommario... 2 Presentazione...

Dettagli

Una soluzione di collaborazione completa per aziende di medie dimensioni

Una soluzione di collaborazione completa per aziende di medie dimensioni Una soluzione di collaborazione completa per aziende di medie dimensioni La tua azienda è perfettamente connessa? È questa la sfida cruciale dell attuale panorama aziendale virtuale e mobile, mentre le

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation

9243057 Edizione 1 IT. Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation 9243057 Edizione 1 IT Nokia e Nokia Connecting People sono marchi registrati di Nokia Corporation VPN Client Manuale d'uso 9243057 Edizione 1 Copyright 2005 Nokia. Tutti i diritti sono riservati. Il contenuto

Dettagli

Utilizzo Gestione dei file

Utilizzo Gestione dei file Utilizzo Gestione dei file Info su questo bollettino tecnico L'intento di questo bollettino tecnico è di aiutare gli sviluppatori FileMaker esperti a comprendere meglio e ad applicare le migliori metodologie

Dettagli

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti?

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? SOLUTION BRIEF Soluzioni Project & Portfolio Management per l'innovazione dei prodotti siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? you can Le soluzioni Project & Portfolio

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

La Gestione Integrata dei Documenti

La Gestione Integrata dei Documenti Risparmiare tempo e risorse aumentando la sicurezza Gestione dei documenti riservati. Protezione dati sensibili. Collaborazione e condivisione file in sicurezza. LA SOLUZIONE PERCHE EAGLESAFE? Risparmia

Dettagli

SOLUZIONE PER L'IDENTIFICAZIONE UNIVOCA DEI DISPOSITIVI DI PTC

SOLUZIONE PER L'IDENTIFICAZIONE UNIVOCA DEI DISPOSITIVI DI PTC SOLUZIONE PER L'IDENTIFICAZIONE UNIVOCA DEI DISPOSITIVI DI PTC Soluzione per l'identificazione univoca dei dispositivi di PTC Conformità senza complessità La soluzione per l'identificazione univoca dei

Dettagli

Introdurre i dati di produzione nel testing prestazionale

Introdurre i dati di produzione nel testing prestazionale Business white paper Introdurre i dati di produzione nel testing prestazionale Il valore del testing continuativo delle prestazioni applicative Le problematiche più comuni nei test prestazionali Nel corso

Dettagli

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint?

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? SOLUTION BRIEF La soluzione CA Technologies per la sicurezza di SharePoint come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? agility made possible consente di fornire un

Dettagli

CA Access Control for Virtual Environments

CA Access Control for Virtual Environments SCHEDA PRODOTTO: CA Access Control for Virtual Environments CA Access Control for Virtual Environments agility made possible CA Access Control for Virtual Environments (CA Access Control) estende la gestione

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Caso di successo del cliente TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Profilo del cliente Settore: telecomunicazioni Società: TelstraClear Il business

Dettagli

Executive Summary. Metodologia EMC PRIVACY INDEX EXECUTIVE SUMMARY

Executive Summary. Metodologia EMC PRIVACY INDEX EXECUTIVE SUMMARY Privacy vs Vantaggi Executive Summary Le ultime notizie sulla privacy in Internet stanno alimentando il dibattito su fino a che punto la pubblica amministrazione e le aziende possano avere accesso ad attività

Dettagli

Kaseya. Perché ogni azienda dovrebbe automatizzare la gestione dei sistemi IT

Kaseya. Perché ogni azienda dovrebbe automatizzare la gestione dei sistemi IT Kaseya è il software per la gestione integrata delle reti informatiche Kaseya controlla pochi o migliaia di computer con un comune browser web! Kaseya Perché ogni azienda dovrebbe automatizzare la gestione

Dettagli

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

INFORMATIVA PRIVACY. In questa pagina: Raccolta dei dati. Utilizzo dei dati raccolti. Condivisione dei dati. I vostri diritti e possibilità di scelta

INFORMATIVA PRIVACY. In questa pagina: Raccolta dei dati. Utilizzo dei dati raccolti. Condivisione dei dati. I vostri diritti e possibilità di scelta INFORMATIVA PRIVACY MasterCard International Incorporated (che opera sul mercato come MasterCard Worldwide) e le sue consociate (complessivamente "MasterCard") si impegnano a rispettare la vostra privacy.

Dettagli

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PUNTI ESSENZIALI Agilità Nella soluzione AppSync sono integrate le best practice delle tecnologie di replica offerte da EMC e Oracle, che consentono

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

U n n u o v o a p p r o c c i o a l p r o c e s s o d e c i s i o n a l e d u r a n t e il c i c l o d i vita d e l p r o d ot t o

U n n u o v o a p p r o c c i o a l p r o c e s s o d e c i s i o n a l e d u r a n t e il c i c l o d i vita d e l p r o d ot t o U n n u o v o a p p r o c c i o a l p r o c e s s o d e c i s i o n a l e d u r a n t e il c i c l o d i vita d e l p r o d ot t o C O M P E N D I O Con il supporto di: Siemens PLM Sede centrale globale:

Dettagli

La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura. agility made possible

La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura. agility made possible La sicurezza di SharePoint in azione: le best practice in primo piano per una collaborazione sicura agility made possible Una delle applicazioni più ampiamente distribuite attualmente in uso, Microsoft

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

Frodi dei dipendenti Metodi e strategie per affrontarle

Frodi dei dipendenti Metodi e strategie per affrontarle Frodi dei dipendenti Metodi e strategie per affrontarle Bruno Piers de Raveschoot, Managing Director, Head of Actimize Europe and Asia Pacific E un fenomeno in crescita e presenta notevoli rischi per le

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

Guida pratica alle applicazioni Smart Process

Guida pratica alle applicazioni Smart Process Guida pratica alle applicazioni Smart Process Aprile 2014 Kemsley Design Limited www.kemsleydesign.com www.column2.com Panoramica La qualità delle interazioni con clienti e partner è vitale per il successo

Dettagli

Kit di strumenti governativi a tutela dei consumatori

Kit di strumenti governativi a tutela dei consumatori Consumer Policy Toolkit Summary in Italian Kit di strumenti governativi a tutela dei consumatori Sintesi in italiano I mercati dei prodotti e dei servizi sono notevolmente cambiati nel corso degli ultimi

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

I vantaggi del CAD 3D parametrico e diretto

I vantaggi del CAD 3D parametrico e diretto I vantaggi del CAD 3D parametrico e diretto Cinque aree in cui la modellazione parametrica può essere utilizzata per completare un ambiente di modellazione diretta Introduzione Per troppo tempo l'uso del

Dettagli

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestione dei dispositivi scalabile, sicura e integrata Data-sheet: Gestione degli endpoint e mobiltà Panoramica La rapida proliferazione dei dispositivi

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Politica sui cookie. Introduzione Informazioni sui cookie

Politica sui cookie. Introduzione Informazioni sui cookie Introduzione Informazioni sui cookie Politica sui cookie La maggior parte dei siti web che visitate utilizza i cookie per migliorare l'esperienza dell'utente, consentendo al sito di 'ricordarsi' di voi,

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Avviso per la privacy di Johnson Controls

Avviso per la privacy di Johnson Controls Avviso per la privacy di Johnson Controls Johnson Controls, Inc. e le relative società affiliate (collettivamente, Johnson Controls, noi, ci o nostro) garantiscono la tutela della privacy e si impegnano

Dettagli

riduzione del rischio di perdita di dati e inattività dei sistemi

riduzione del rischio di perdita di dati e inattività dei sistemi WHITE PAPER: Semplificazione della protezione dati riduzione del rischio di perdita di dati e inattività dei sistemi NOVEMBRE 2012 Bennett Klein & Jeff Drescher CA Data Management Pagina 2 Sommario Executive

Dettagli

Altiris Asset Management Suite 7.1 di Symantec

Altiris Asset Management Suite 7.1 di Symantec Garantisce la conformità e massimizza l'investimento IT Panoramica La continua evoluzione del mondo IT è un aspetto inevitabile, tuttavia la gestione delle risorse fornisce un punto di partenza per adottare

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

Architettura e valore dell'offerta

Architettura e valore dell'offerta TELECOM ITALIA Architettura e valore dell'offerta Telecom Italia fornisce servizi di sicurezza, perlopiù gestiti, da diversi anni. Recentemente, tra il 2012 e l'inizio del 2013, l'offerta è stata è stata

Dettagli

RSA ADAPTIVE AUTHENTICATION

RSA ADAPTIVE AUTHENTICATION RSA ADAPTIVE AUTHENTICATION Una piattaforma completa per l'autenticazione e il rilevamento delle frodi IN BREVE Misura i rischi correlati alle attività di login e post-login attraverso la valutazione di

Dettagli

Specifiche per l'offerta Monitoraggio remoto delle infrastrutture

Specifiche per l'offerta Monitoraggio remoto delle infrastrutture Panoramica sul Servizio Specifiche per l'offerta Monitoraggio remoto delle infrastrutture Questo Servizio fornisce i servizi di monitoraggio remoto delle infrastrutture (RIM, Remote Infrastructure Monitoring)

Dettagli

NOTE LEGALI Del sito www.blondett.it

NOTE LEGALI Del sito www.blondett.it NOTE LEGALI Del sito www.blondett.it Realizzato da BLONDETT SRL VIA CHIARAVAGNA 90R 16153 GENOVA ITALIA TEL.: +39 010/6519735 FAX: +39 010/6590602 info@blondett.it service@blondett.it www.blondett.it Capitale

Dettagli

Il segreto per un PPM semplice ed economico in sole quattro settimane

Il segreto per un PPM semplice ed economico in sole quattro settimane SOLUTION BRIEF CA Clarity PPM on Demand Essentials for 50 Users Package Il segreto per un PPM semplice ed economico in sole quattro settimane agility made possible CA Technologies offre oggi una soluzione

Dettagli

CA Clarity Playbook. Guida per l'utente. Versione 2.5

CA Clarity Playbook. Guida per l'utente. Versione 2.5 CA Clarity Playbook Guida per l'utente Versione 2.5 La presente documentazione, che include il sistema di guida in linea integrato e materiale distribuibile elettronicamente (d'ora in avanti indicata come

Dettagli

7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti

7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti Report gratuito 7,5 segnali che rivelano la necessità di un nuovo sistema di gestione dei documenti Il volume di informazioni da gestire cresce a un ritmo esponenziale. Senza un efficace sistema di gestione

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Acquisizione di nuovi clienti: un problema crescente per le società di servizi finanziari

Acquisizione di nuovi clienti: un problema crescente per le società di servizi finanziari Aprile 2007 Acquisizione di nuovi clienti: un problema crescente per le società di servizi finanziari Le società di servizi finanziari affrontano le sfide più grandi: il rispetto delle disposizioni vigenti

Dettagli

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Solution Brief

RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Solution Brief RSA ARCHER BUSINESS CONTINUITY MANAGEMENT AND OPERATIONS Solution Brief INTRODUZIONE Ora più che mai, le aziende dipendono da servizi, processi aziendali e tecnologie per generare entrate e conseguire

Dettagli

Come ottenere la flessibilità aziendale con un Agile Data Center

Come ottenere la flessibilità aziendale con un Agile Data Center Come ottenere la flessibilità aziendale con un Agile Data Center Panoramica: implementare un Agile Data Center L obiettivo principale è la flessibilità del business Nello scenario economico attuale i clienti

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi?

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? SOLUTION BRIEF CA Business Service Insight for Service Level Management come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? agility made possible Automatizzando la gestione dei

Dettagli

Professional Services per contact center Mitel

Professional Services per contact center Mitel Professional Services per contact center Mitel Una struttura rigorosa per un offerta flessibile Rilevamento Controllo dello stato Requisiti della soluzione Architettura Roadmap strategica Ottimizzazione

Dettagli

Approvata a livello mondiale. Applicazioni leader del settore. BMC Remedy Service Desk. Un leader nel mercato

Approvata a livello mondiale. Applicazioni leader del settore. BMC Remedy Service Desk. Un leader nel mercato SCHEDA TECNICA DELLA SOLUZIONE DI PRODOTTI BMC Remedy IT Service Management Suite Le organizzazioni IT che ottengono maggiore efficienza IT, contengono efficacemente i costi, raggiungono la conformità

Dettagli

BUSINESSOBJECTS EDGE STANDARD

BUSINESSOBJECTS EDGE STANDARD PRODOTTI BUSINESSOBJECTS EDGE STANDARD La business intelligence consente di: Conoscere meglio le attività Scoprire nuove opportunità. Individuare e risolvere tempestivamente problematiche importanti. Avvalersi

Dettagli

La prossima ondata di innovazione aziendale introdotta da Open Network Environment

La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica della soluzione La prossima ondata di innovazione aziendale introdotta da Open Network Environment Panoramica La crescente importanza dei ruoli assunti da tecnologie come cloud, mobilità, social

Dettagli

Utilizzo di ClarityTM per la gestione del portfolio di applicazioni

Utilizzo di ClarityTM per la gestione del portfolio di applicazioni WHITE PAPER: Application Portfolio Management febbraio 2012 Utilizzo di CA PPM ClarityTM per la gestione del portfolio di applicazioni David Werner CA Service & Portfolio Management agility made possible

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

partner tecnologico di

partner tecnologico di LAW IL GESTIONALE PER IL RECUPERO CREDITI LA SOLUZIONE CLOUD PER IL RECUPERO CREDITI partner tecnologico di TM Microsoft BizSpark LAW IL GESTIONALE PER IL RECUPERO CREDITI LawRAN è il sistema gestionale

Dettagli

Pilota BIM. Manuale introduttivo. avanti

Pilota BIM. Manuale introduttivo. avanti Pilota BIM Manuale introduttivo Cos è il BIM? Struttura per l'implementazione di un progetto mirata al progetto Il passaggio al BIM può sembrare difficile, ma questo manuale vi offre una semplice struttura

Dettagli

Consenso per finalità di Marketing... 8

Consenso per finalità di Marketing... 8 Condizioni d'uso... 2 Benvenuti nel nostro servizio di Internet wireless... 2 Accettazione dei Termini e condizioni d'uso... 2 Descrizione del Servizio... 2 Sicurezza... 2 Utilizzo del Servizio... 3 Costo

Dettagli

Italiano Servizi HP Indigo. Europa, Medio Oriente e Africa

Italiano Servizi HP Indigo. Europa, Medio Oriente e Africa Italiano Servizi HP Indigo Europa, Medio Oriente e Africa Produttività, tempi di attività e qualità superiori HP offre eccezionali servizi e supporto leader del sttore che vengono, forniti sia in sede

Dettagli

Blocca la perdita e il furto di dati, mantieni conformità e salvaguardia il marchio, la reputazione aziendale e la proprietà intellettuale.

Blocca la perdita e il furto di dati, mantieni conformità e salvaguardia il marchio, la reputazione aziendale e la proprietà intellettuale. TRITON AP-DATA Blocca la perdita e il furto di dati, mantieni conformità e salvaguardia il marchio, la reputazione aziendale e la proprietà intellettuale. Da una reputazione compromessa a multe e sanzioni

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security A Brave Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro Febbraio 2011 Dave Asprey, VP Cloud Security I. CHI DETIENE LA SICUREZZA IN-THE-CLOUD? Il cloud computing è la parola più

Dettagli

CHECK LIST - ISO 9001:2008

CHECK LIST - ISO 9001:2008 ENTE DI CERTIFICAZIONE DI QUALITÀ S.O.I. S.r.l. con socio unico V.I. del 4. SISTEMA DI GESTIONE PER LA QUALITÀ 4.1 REQUISITI GENERALI L'Organizzazione ha stabilito, documentato, attuato e tiene aggiornato

Dettagli