ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management"

Transcript

1 ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management Febbraio 2008

2 Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La governance dell ICT Security: un framework di riferimento 13 La definizione del raggio d azione dell ICT Security 13 La governance dell ICT Security Gli assetti organizzativi macro dell ICT Security 17 Le attività 17 Le configurazioni organizzative emergenti 19 I driver che influenzano la scelta dell assetto organizzativo 22 L evoluzione dei modelli 25 I benefici e i rischi insiti nelle scelte dei diversi modelli 26 La strutturazione interna dell unità ICT Security Il processo di pianificazione e controllo 33 La definizione del piano strategico 33 L elaborazione del budget 37 L analisi costi/benefici 39 Il controllo strategico: i sistemi di misurazione delle prestazioni 40 I fattori critici di successo Le esperienze a confronto 43 Appendice: I risultati della Survey 53 La struttura organizzativa dell ICT Security 53 Il processo di pianificazione e controllo 57 La gestione dei progetti di ICT Security 61 Nota metodologica 63 Il Gruppo di Lavoro 65 La School of Management 67 La School of Management del Politecnico di Milano 67 Gli Osservatori ICT & Management 67 Il MIP 69 Il CEFRIEL 71 Il CEFRIEL 71 Il centro di competenza in Information Security 73 I sostenitori della Ricerca 75 ICT SECURITY: QUALE GOVERNANCE? 1

3

4 Indice Figure pagina Figura 1.1 Information Security, Business Security e ICT Security 14 Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza 14 Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT 15 Figura 1.4 La governance dell ICT Security 16 Figura 2.1 Le principali attività dell ICT Security 17 Figura 2.2 Il modello All in One 19 Figura 2.3 Il modello ICT Centric 20 Figura 2.4 Il modello Segregation 21 Figura 2.5 Il modello Multiplayer 22 Figura 2.6 L analisi del driver Dimensione del Dipartimento ICT 22 Figura 2.7 L analisi del driver Settore 23 Figura 2.8 I fattori che influenzano la correlazione settore modello organizzativo 24 Figura 2.9 L analisi del driver Modello di Sourcing 25 Figura 2.10 Le dimensioni dell unità ICT Security nei casi analizzati 27 Figura 2.11 L organizzazione interna dell ICT Security basata sulla separazione 27 IT/Rete Figura 2.12 L organizzazione interna dell ICT Security basata sulla separazione 28 per Business Unit Figura 2.13 L organizzazione interna ICT Security basata sull area tematica di 28 competenza Figura 2.14 L organizzazione interna dell unità organizzativa Corporate Security 28 Figura 2.15 Le relazioni tra l ICT Security e le altre unità organizzative 29 Figura 3.1 I rischi legati all utilizzo di metodologie di risk analysis inappropriate 36 Figura 3.2 I diversi approcci alla risk analysis in ambito ICT Security 37 Figura A.1 Esiste una struttura che si occupa di ICT Security all interno della 53 Figura A.2 Direzione Corporate Security? 54 Figura A.3 Esiste una struttura che si occupa di ICT Security all interno della 54 Direzione ICT? Figura A.4 Se esiste una struttura ICT Security all interno della direzione ICT 55 questa è composta da quante persone? Figura A.5 I modelli organizzativi 55 Figura A.6 L analisi del driver Dimensione del Dipartimento ICT 56 Figura A.7 L analisi del driver Modello di Sourcing 56 Figura A.8 Il modello organizzativo inerente all ICT Security 57 Figura A.9 È previsto un processo formale di pianificazione strategica delle 57 iniziative in ambito ICT Security (Master Plan ICT/Information Security)? Figura A.10 Qual è la periodicità con cui viene elaborato il piano delle iniziative 58 in ambito ICT Security, se previsto? Figura A.11 Qual è l unità formalmente responsabile per l elaborazione del piano 58 di Information Security (progetti/attività correnti)? Figura A.12 Quali sono i principali stimoli nell identificazione di nuovi progetti 58 di ICT Security? Figura A.13 Quali sono le direzioni/divisioni aziendali che forniscono il maggior 59 numero di input per la messa a punto degli interventi di ICT Security? ICT SECURITY: QUALE GOVERNANCE? 3

5 Figura A.14 Per la definizione delle iniziative si fa ricorso ad approcci strutturati di risk 59 Figura A.15 analysis/risk management? I progetti di investimento in ICT/Information Security di natura 60 Figura A.16 discrezionale (non mandatory per adeguamento a normativa) sono soggetti a un processo formale di approvazione che include una valutazione economico-finanziaria (ritorno dell investimento)? È prevista la definizione di un budget (esplicito) per l ICT Security 60 Figura A.17 nell ambito del processo di budgeting annuale? Qual è la percentuale del budget ICT Security rispetto al budget ICT 60 Figura A.18 complessivo? Qual è il trend del budget ICT Security? 61 Figura A.19 Esistono sistemi di misurazione delle prestazioni (KPI) specificamente 61 Figura A.20 sviluppati per quest area? Quali sono a suo avviso i principali fattori critici di successo nella gestione dei progetti di ICT security? I progetti in corso 62 Figura A.21 I progetti futuri 62 4 ICT SECURITY: QUALE GOVERNANCE?

6 Indice Box pagina Box 2.1 Le altre unità organizzative coinvolte nell ICT Security 29 Box 3.1 Le principali aree di investimento 41 Box Italia 43 Box 4.2 Auchan 43 Box 4.3 Banca Popolare di Sondrio 44 Box 4.4 Cariparma 45 Box 4.5 Eni 45 Box 4.6 Fastweb 46 Box 4.7 Heineken Italia 47 Box 4.8 Logista 47 Box 4.9 Mediaset 48 Box 4.10 SEAT Pagine Gialle 49 Box 4.11 TNT Post 49 Box 4.12 Vodafone Italia 50 Box Box 4.14 UniCredit Global Information Services (UGIS) 52 ICT SECURITY: QUALE GOVERNANCE? 5

7

8 Introduzione È questo il primo Rapporto di un nuovo Osservatorio permanente della School of Management del Politecnico di Milano, creato e gestito insieme al CEFRIEL e in collaborazione con Reed Exhibitions Italia, che pone l attenzione su uno dei temi più discussi negli ultimi anni: quello sull Information Security. Nonostante siano anni che questo tema è al centro di un ampio dibattito a livello sia internazionale sia italiano, abbiamo sentito comunque l esigenza di far nascere questo nuovo Osservatorio perché, a nostro avviso, serve una prospettiva diversa, che sappia affrontare con un taglio veramente integrato, sia gestionale sia tecnologico, un tema troppo spesso vissuto come un problema esclusivamente tecnico. Oggi si sta diffondendo una maggiore consapevolezza che l Information Security debba essere concepita come un insieme di soluzioni strettamente correlate di natura tecnologica, organizzativa e gestionale, per la cui individuazione non si può prescindere dall esame del contesto specifico dell impresa (in termini di strategia, assetto organizzativo, sistemi di gestione, business processes, prodotti/servizi, ecc.). L Osservatorio nasce da questa consapevolezza con due missioni principali: creare e diffondere la cultura dell Information Security Management in Italia, contribuendo ad una maggiore sensibilizzazione della rilevanza strategica che può assumere questo tema, anche a livello di top management aziendale; costituire il punto di riferimento per la community di attori (manager, professional, consulenti, technology e solution provider, ecc.) che operano con diversi ruoli in questo ambito. Nel suo primo anno di attività, l Osservatorio ha voluto adottare una prospettiva particolarmente ampia e sistemica, cercando in primis di investigare la governante strategica dell Information Security, a livello sia di scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione di ruoli e responsabilità, scelte di sourcing, ecc.) sia di configurazione dei processi decisionali chiave (in primis il processo di pianificazione e controllo). Lo ha fatto con una consistente analisi empirica, basata su interviste approfondite ad oltre una trentina di CISO (Chief Information Security Officer) o CSO (Chief Security Officer) di alcune tra le principali imprese italiane e una survey che ha coinvolto oltre 60 CIO (Chief Information Officer). Umberto Bertelè Andrea Rangone ICT SECURITY: QUALE GOVERNANCE? 7

9

10 Executive Summary Gli obiettivi della Ricerca I sistemi informativi, e, in generale, le tecnologie ICT costituiscono oramai il sistema nervoso di tutte le imprese. La sicurezza del patrimonio informativo (e delle infrastrutture ICT) è fondamentale per la sopravvivenza stessa di qualsiasi organizzazione, così come alcuni eventi del recente passato hanno dimostrato. Il tema è di per sé molto complesso, come dimostra già la proliferazione di termini e di definizioni che è possibile reperire sia in letteratura sia nella prassi: information security, ICT security, business security, corporate security, ecc. In questo Report concentreremo la nostra attenzione sull ICT Security, intesa come l insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT ( security of digitalised information ), ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni ICT ( security of ICT ). La complessità è incrementata dal crescente overlapping tra i vari domini di sicurezza con i problemi organizzativi e gestionali che ne conseguono. Si pensi per esempio alla sicurezza di prodotti e servizi erogati tramite piattaforme ICT, alla prevenzione e gestione delle frodi finanziarie, alle tecnologie ICT a supporto della sicurezza fisica, oppure ancora alla sicurezza dei sistemi di controllo dei processi industriali. È chiaro che un area così strategicamente rilevante e così complessa necessita di sistemi di governance appropriati, tali da garantire un adeguata visibilità e standing all interno dell organizzazione, l integrazione tra il piano strategico dell ICT Security e i programmi strategici complessivi dell impresa (per mezzo di opportune soluzioni organizzative), l allocazione di budget congruenti con gli obiettivi prefissati, nonché il monitoraggio dello stato di implementazione delle iniziative e la verifica dei risultati ottenuti. Si tratta delle scelte fondamentali di quella che abbiamo denominato governance strategica dell ICT Security, per distinguerla dalla governance più operativa (o gestionale ), che si occupa di definire policy e procedure operative (per lo sviluppo dei progetti e per la gestione delle operations), di mettere a punto standard e meccanismi di coordinamento per garantire efficacia ed efficienza delle attività di ICT Security. A nostro avviso, le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione ruoli e responsabilità, scelte di sourcing strategico), la configurazione dei processi strategici (in primis il processo di pianificazione e controllo), e le risorse umane (profili di competenze più appropriati per presidiare i diversi ambiti di responsabilità). In particolare, in questa fase sono stati analizzate le prime due dimensioni, mentre la terza classe di variabili sarà oggetto di uno dei prossimi step della Ricerca. Le configurazioni organizzative emergenti L analisi macro-organizzativa ha messo in luce l esistenza di quattro configurazioni organizzative, caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all ICT Security (governo, progettazione, sviluppo, gestione opera- ICT SECURITY: QUALE GOVERNANCE? 9

11 Executive Summary tiva e monitoraggio) in un unica organizzativa, tipicamente l unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall introduzione di un unità specifica di ICT Security (sempre all interno dell ICT), che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo (e spesso anche di identificazione delle soluzioni) sono assegnate alla funzione Corporate Security (o Sicurezza Aziendale ), mentre all ICT rimangono le attività di sviluppo e di esercizio. Infine, il quarto modello, denominato Multiplayer, che presenta la massima articolazione organizzativa. In questo caso, infatti, le attività di governo sono attribuite a una (o più) unità organizzative della funzione Corporate Security, la progettazione delle soluzioni è assegnata ad un apposita unità di ICT Security collocata all interno dell unità ICT, mentre lo sviluppo e la gestione delle attività correnti sono sempre attribuite alle corrispondenti unità ICT. La Ricerca ha cercato quindi di comprendere quali siano i fattori di contesto che spiegano l adozione di una di queste quattro configurazioni organizzative. In particolare, il primo driver analizzato è stata la dimensione dell unità ICT, che appare positivamente correlata con la complessità delle soluzioni adottate, anche se non sembra spiegare del tutto le scelte organizzative delle imprese. Ancor più interessante è risultato il settore di attività: in particolare, il modello ICT Centric risulta quello adottato praticamente dalla totalità delle imprese del settore banking analizzate, mentre le telco sembrano preferire il modello Multiplayer, e quelle del settore energy optano prevalentemente per il modello Segregation. Questo fenomeno si spiega se si pensa al ruolo che il settore esercita nel determinare la complessità (e la rilevanza relativa) dei diversi ambiti dell ICT Security (sviluppo prodotti e servizi ICT based, rischio frodi informatiche, sicurezza fisica/ industriale, tutela proprietà intellettuale, ecc.). Al contrario, il profilo di Sourcing scelto per l ICT non sembra avere particolare influenza sulle scelte organizzative dell ICT Security, almeno a livello macro. Il governo dei processi decisionali strategici La seconda parte della Ricerca ha riguardato l analisi dei processi di pianificazione e controllo, di fondamentale importanza per un corretto indirizzo strategico delle attività di ICT Security, per la misurazione delle performance ottenute, nonché per il miglioramento continuo dei sistemi di gestione. Si è innanzitutto analizzato il processo che porta all elaborazione del piano strategico dell ICT Security. In particolare, con riferimento al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell impresa (processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza). A riprova di ciò, solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. Più frequentemente ci si limita alla formulazione di un piano annuale (in occasione del processo di budgeting dell impresa), eccezion fatta per le grandi decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Il livello di formalizzazione del processo di elaborazione del piano strategico ha un impatto anche sul grado di coinvolgimento delle varie unità aziendali. I comitati di sicurezza, infatti, prevedono la presenza dei responsabili di diverse unità aziendali (ICT, Corporate Security, Internal Audit, HR, ecc.), e talvolta anche del CEO (o figura equivalente). Di converso, nei casi meno strutturati, l ICT Security appare ancora confinata nell ambito dell ICT, il che comporta inevitabilmente il rischio di una limitata vision strategica. Considerazioni simili valgono per quanto concerne le metodologie di analisi utilizzate: in particolare, il ricorso alla risk analysis in molti casi non è ancora siste- 10 ICT SECURITY: QUALE GOVERNANCE?

12 Executive Summary matico, e spesso non rappresenta il punto di partenza per l individuazione delle iniziative da inserire nel piano. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in quest ambito e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta a effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell ICT strategy execution e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un po troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). L analisi settoriale Il quadro di sintesi che emerge dall analisi condotta vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell utilizzo delle tecnologie, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all ICT Security, che per qualità dei sistemi di gestione, anche se, come si è visto, in alcuni aree sussistono ancora ampi margini di miglioramento. Interessanti segnali positivi giungono da imprese di alcuni altri settori che, per diversi motivi (crescente rilevanza strategica delle tecnologie ICT, tutela proprietà intellettuale, ecc.), stanno investendo significativamente anche sui sistemi di governance, anche se va detto che in generale, al di fuori dei due settori sopra citati, l importanza strategica dell ICT Security, e i rischi connessi all adozione di sistemi di gestione non adeguati, non sembrano essere stati ancora pienamente compresi. A questo riguardo, forse un catalizzatore del cambiamento potrà essere rappresentato dal crescente peso della normativa di carattere generale (cross industry), che sempre più spesso impone alle imprese l adozione di soluzioni organizzative e strumenti di auditability, nonché dalle sfide imposte dalle nuove tecnologie e dai nuovi modelli organizzativi aziendali (si pensi alla secure mobility o alla virtualizzazione). Le aree di investimento Nell ambito dell analisi abbiamo anche chiesto alle aziende quali fossero le priorità ICT SECURITY: QUALE GOVERNANCE? 11

13 Executive Summary strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori industry specific, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell ICT Security. Tuttavia, si possono individuare alcune risposte ricorrenti, anche se non si può parlare di veri e propri trend. In particolare, l attenzione delle imprese sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security (SOC e simili). Paolo Maccarrone Luca Marzegalli 12 ICT SECURITY: QUALE GOVERNANCE?

14 1. La governance dell ICT Security: un framework di riferimento La definizione del raggio d azione dell ICT Security Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie; spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni mission critical, quali piani strategici, brevetti, ecc.); utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici delle aziende; falsificazioni dei dati di bilancio; intercettazioni non autorizzate; estorsioni. I fatti di cui sopra sono quasi sempre riconducibili al tema della sicurezza delle informazioni. L Information Security può essere quindi definita come l insieme delle misure, di natura tecnologica, organizzativa e legale, volte a impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate, e dal supporto fisico sul quale siano custodite. L ICT Security è generalmente considerata una componente dell Information Security, focalizzata sulla protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. In realtà questa definizione o, meglio, questa concezione dell ICT Security per essere completa deve tenere conto non solo della protezione (confidenzialità, integrità, disponibilità) del dato elementare/delle informazioni proprietarie dell organizzazione, ma anche della protezione delle infrastrutture e delle applicazioni ICT da attacchi o manomissioni che ne possano compromettere il regolare funzionamento. La compromissione dell infrastruttura può infatti portare al blocco temporaneo dei processi aziendali (per esempio, nel caso di attacchi che causano spamming e conseguente saturazione della capacità di banda), causando quindi un danno economico all azienda (si pensi per esempio al blocco di un sito di web banking o di e-commerce). Si comprende pertanto che il tema dell ICT Security è una componente fondamentale sia dell Information Security sia di quella che potremmo chiamare Business Security (Figura 1.1). ICT SECURITY: QUALE GOVERNANCE? 13

15 Capitolo 1 La governance dell ICT Security: un framework di riferimento Figura 1.1 Information Security, Business Security e ICT Security Information Security Business Security Dato Servizio Processo ICT ICT Security Si può notare inoltre il ruolo sempre maggiore dell ICT anche in altre tipologie di sicurezza quali ad esempio la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi (Figura 1.2). Alcuni esempi significativi sono: molti impianti di video sorveglianza sono oramai basati su sistemi digitali e le informazioni sono trasferite attraverso le reti dati IP. La protezione di questi apparati da attacchi e manomissioni è quindi fondamentale per garantire la corretta operatività degli addetti alla sicurezza fisica, e, quindi, adeguata protezione degli asset fisici e delle persone; la gestione dell allarmistica è tipicamente affidata a centrali di controllo totalmente basate su applicazioni ICT: il corretto funzionamento di tali applicazioni, che ovviamente dipende anche dal loro livello di sicurezza ICT, costituisce quindi prerequisito fondamentale per garantire adeguati standard di sicurezza sul lavoro; le frodi finanziarie vengono quasi sempre attuate sfruttando le infrastrutture e le applicazioni ICT. Ne è un esempio l alterazione dei sistemi di tariffazione (billing) nell ambito delle imprese telco, o di applicazioni che si occupano delle transazioni finanziarie nel banking, agendo per esempio sull alterazione del workflow autorizzativo, o tramite furto di identità digitale. Sempre più spesso, quindi, chi si occupa di prevenzione e gestione frodi deve ricorrere agli esperti di ICT Security. Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza Sicurezza processi business Sicurezza industriale ICT Security Sicurezza fisica Sicurezza sul lavoro Fraud Management Quest ultimo punto può essere ricondotto a un tema più generale: il design sicuro delle applicazioni ICT. Questo vale: per le applicazioni gestionali (ERP, CRM e simili); per le applicazioni business oriented basate su tecnologie ICT: si tratta di un aspetto particolarmente critico per tutte le imprese la cui offerta di prodotti/servizi è erogata 14 ICT SECURITY: QUALE GOVERNANCE?

16 La governance dell ICT Security: un framework di riferimento Capitolo 1 principalmente (se non esclusivamente) utilizzando le tecnologie ICT. Si fa riferimento ovviamente alle telco, ma anche alle banche (si pensi per esempio al web o al mobile banking), nonché alle media company; per tutti i sistemi di controllo dei processi industriali (cosiddetti sistemi SCADA e simili). Oltre a dover gestire i progetti e i servizi specifici di ICT Security, i responsabili dell ICT Security devono quindi garantire la giusta componente di security in ogni progetto in cui si faccia uso di soluzioni ICT e quindi, considerata la sempre maggiore pervasività dell ICT, praticamente in tutte le attività aziendali. Si può quindi affermare che esistono due macro-aree distinte di attività (si veda la Figura 1.3): la prima include le attività e i progetti specifici di ICT Security (sicurezza infrastrutturale delle reti, patching dei sistemi informativi, profilazione e autenticazione utenti, ecc.); la seconda comprende tutte le attività volte a garantire il rispetto dei requisiti di sicurezza all interno di tutte le soluzioni ICT. Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT ICT Projects ICT Security ICT Security Projects Progetto A Identity Management Progetto B Progetto C Progetto D SICUREZZA Network Access Control Inoltre, la gestione delle attività legate all ICT Security è piuttosto complessa, per diversi motivi: la costante evoluzione tecnologica, che offre nuove opportunità alle imprese da un lato, ma dall altro le espone continuamente a nuovi rischi, legati a nuove vulnerabilità e a nuove minacce che vengono continuamente messe a punto dagli attacker ; qualsiasi iniziativa ha un effetto pervasivo sull organizzazione, nonché spesso invasivo sul modo di lavorare delle persone (con i conseguenti rischi di resistenza o, comunque, di inerzia al cambiamento). La governance dell ICT Security Risulta quindi evidente l importanza di dotarsi di un appropriata governance dell ICT Security, che assicuri la giusta rilevanza strategica al tema, fattore chiave per ottenere adeguati livelli di efficacia ed efficienza delle iniziative. Nella letteratura, così come nella prassi, non vi è piena convergenza sulla definizione di ICT Security Governance (come peraltro accade anche per l ICT Governance nel suo complesso), né sul relativo spettro di attività (e quindi sull output). Cercando di mettere insieme i principali approcci e contributi, ne emerge che obiettivo dell ICT Security Governance è quello di dotare l impresa di: una strategia di ICT Security ben definita, e collegata agli obiettivi di business (nonché a quelli dell ICT); una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; meccanismi di pianificazione e controllo; ICT SECURITY: QUALE GOVERNANCE? 15

17 Capitolo 1 La governance dell ICT Security: un framework di riferimento metodologie di risk analysis/management appropriate; adeguate policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; standard di riferimento che assicurino procedure adeguate e rispetto delle policy; processi di monitoraggio e controllo adeguati, che assicurino feed-back tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento; meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure (e, quindi, una costante riduzione del livello di rischio complessivo). Da questo elenco risulta abbastanza chiaramente come vi siano alcuni elementi di natura più strategica affiancati da aspetti di carattere più gestionale. In particolare i primi tre punti fanno riferimento a quella che possiamo identificare come la governance strategica dell ICT Security. La governance strategica dell ICT Security deve essere vista come un elemento della governance complessiva dell impresa (Figura 1.4). Ne è la riprova il fatto che alcuni elementi legati all ICT, o, più in generale, all Information Security, facciano parte di documenti di governance di più alto livello, quale ad esempio il codice etico aziendale. Questo però comporta che sia coinvolto il Top Management aziendale, il che avviene tipicamente attraverso la costituzione di Task Force o Comitati. Le leve che possono essere utilizzate per la progettazione della governance dell ICT Security sono fondamentalmente tre: l organizzazione, intesa qui nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonchè modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo (si fa riferimento ai processi di pianificazione e controllo, alle policy, agli standard); le risorse, le competenze e la cultura: si tratta della leva progettuale che agisce sugli input, e in particolare sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Figura 1.4 La governance dell ICT Security Corporate Governance ICT Governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura In questa fase della Ricerca l attenzione si è concentrata sulle prime due leve, ovvero le scelte macro-organizzative e processo di pianificazione e controllo, che saranno oggetto dei seguenti due capitoli. 16 ICT SECURITY: QUALE GOVERNANCE?

18 2. Gli assetti organizzativi macro dell ICT Security Nel presente capitolo si affronterà uno dei tre aspetti del governo strategico dell ICT Security, e cioè l impostazione organizzativa. Per affrontare in modo strutturato il tema dell organizzazione delle funzioni connesse all ICT Security occorre partire dall identificazione delle attività specifiche e di quelle correlate al tema specifico della sicurezza. Questo risulta fondamentale in quanto, normalmente, quando si affronta il tema dell organizzazione degli aspetti di ICT Security la domanda usuale che ci si pone riguarda il posizionamento o meno dell ICT Security all interno della direzione ICT. Come si vedrà in seguito, la questione è, in realtà, più complessa in quanto più unità organizzative sono coinvolte nelle attività di ICT Security. Le attività La classificazione e soprattutto la nomenclatura delle attività non è ancora patrimonio comune tra i professionisti che agiscono nel settore. Nel corso delle interviste le attività più frequentemente menzionate sono riconducibili alle seguenti tipologie (Figura 2.1): Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o Identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Figura 2.1 Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Le principali attività dell ICT Security Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Definizione delle policy e delle procedure operative Le politiche e le procedure operative possono essere indirizzate a diversi soggetti (utenti dei sistemi informativi o amministratori/gestori dei sistemi) e spesso sono specifiche per un particolare ambito (sistema o servizio). Tali politiche e procedure sono sviluppate a partire dalla visione aziendale del tema della ICT SECURITY: QUALE GOVERNANCE? 17

19 Capitolo 2 Gli assetti organizzativi macro dell ICT Security sicurezza, e si caratterizzano per il fatto di avere un livello di dettaglio tale da permetterne la verifica di applicazione in modo oggettivo e non opinabile. In alcune aziende è stata riscontrata l esistenza di un unità organizzativa dedicata a quest attività la cui nomenclatura è tipicamente Policy o Politiche e Procedure. Pianificazione e Controllo Quest attività permette la redazione del piano di progetti da intraprendere e garantisce il controllo del raggiungimento degli obiettivi. L attività di Pianificazione e Controllo qui citata verrà approfondita nel capitolo successivo. Progettazione e/o Identificazione dei sistemi e delle soluzioni Il risultato di questa attività è il piano dettagliato dell intervento da effettuare, comprensivo dell identificazione degli strumenti da utilizzare ed eventualmente da sviluppare. In questa fase si definiscono anche i processi di supporto per l implementazione degli interventi identificati. Inoltre in questo ambito rientra anche la verifica degli aspetti di sicurezza dei nuovi servizi e delle nuove applicazioni ICT. È oramai evidente che tali aspetti debbano essere considerati fin dalla progettazione delle nuove applicazioni. Le competenze per valutare la sicurezza delle applicazioni spesso non sono disponibili direttamente nel team di progetto e per questo serve una struttura centrale in grado di fornire supporto di tipo consulenziale sull ICT Security ai singoli team di progetto. Tra l altro il fatto che la valutazione della sicurezza ICT e delle contromisure da implementare avvenga da parte di persone non direttamente coinvolte nel progetto permette una corretta gestione delle priorità e garantisce una uniformità all interno dell azienda. In alcune realtà è stata riscontrata l esistenza di un unità organizzativa volta a questo scopo e denominata Ingegneria della Sicurezza. Implementazione dei sistemi e delle soluzioni Questa fase comprende la realizzazione di quanto definito nella fase precedente e inoltre provvede a quanto necessario per porre il tutto in esercizio affinché il sistema o la soluzione possano diventare operativi. Questa attività nella maggior parte dei casi non è affidata, neanche per i sistemi e le soluzioni di ICT Security, ad unità che si occupano esclusivamente di Security, ma è demandata alle strutture di sviluppo di ICT. Gestione Operativa dei sistemi e delle soluzioni Nella gestione operativa dei sistemi e delle soluzioni ricadono tutte le operazioni ordinarie di gestione dei sistemi e di applicazione delle procedure operative definite. Esempi che ricadono in questa tipologia sono l aggiornamento delle configurazioni e la gestione dei guasti degli apparati specifici di Security, come possono essere ad esempio i Firewall. In alcuni casi vi è in azienda un unità organizzativa denominata Security Operation Center che può avere, tra le altre, anche questa responsabilità. 18 ICT SECURITY: QUALE GOVERNANCE?

20 Gli assetti organizzativi macro dell ICT Security Capitolo 2 Monitoraggio Il monitoraggio comprende attività che spaziano dall analisi della compliance a normative e policy all analisi delle informazioni di sicurezza, al fine di evidenziare anomalie. In talune realtà vi è una specifica unità organizzativa denominata Compliance che si occupa della verifica dell attuazione delle policy. L analisi delle informazioni di sicurezza, in determinati casi, è parte dei compiti di un unità specifica denominata Security Operation Center. Queste attività sono allocate in unità organizzative diverse a seconda della specifica realtà. Nel paragrafo successivo verranno delineate le scelte più ricorrenti, nonché i fattori che hanno maggiore influenza in tale scelta. Le configurazioni organizzative emergenti Vi è una prima scelta che contraddistingue l impostazione data al modello organizzativo, che consiste nel collocare competenze di ICT Security in unità organizzative distinte o nella centralizzazione del tutto in un unica unità organizzativa. Il modello All in One Il primo modello, che denomineremo modello All in One, è contraddistinto dall assegnazione ad un unica unità organizzativa delle responsabilità sulle attività elencate nel seguito: Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Questa struttura di solito è collocata all interno della Direzione ICT nell unità che si occupa delle infrastrutture e della rete, secondo quanto illustrato nella Figura 2.2. ICT Figura 2.2 Il modello All in One Operations Solutions Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Il modello ICT Centric Qualora l azienda decida di operare un primo livello di separazione delle responsabilità, la prima distinzione operata è tra le attività di governo e le attività operative. ICT SECURITY: QUALE GOVERNANCE? 19

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009 Copyright e utilizzo dei contenuti

Dettagli

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

Integrazione sicurezza fisica e logica: strategie e benefici per la banca Integrazione sicurezza fisica e logica: strategie e benefici per la banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2009 Roma, 9 giugno 2009 Agenda Gli orientamenti

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009 Insight N. 27 Ottobre 2009 Chief Financial Officer. Una professione in continua evoluzione (Survey) In uno scenario di business e finanziario sempre più volatile, il Chief Financial Officer (CFO) si trova

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione. Raffaello Balocco Politecnico di Milano

ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione. Raffaello Balocco Politecnico di Milano ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione Raffaello Balocco Politecnico di Milano Agenda Investimenti in ICT e competitività Le ICT come reale leva strategica La

Dettagli

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Osservatorio Cloud & ICT as a Service Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Mariano Corso Stefano Mainetti 17 Dicembre 2013 Collaborative Business

Dettagli

CIO Survey 2013 Executive Summary Iniziativa promossa

CIO Survey 2013 Executive Summary Iniziativa promossa CIO Survey 2013 Executive Summary Iniziativa promossa da CIO Survey 2013 NetConsulting 2013 1 CIO Survey 2013: Executive Summary Tanti gli spunti che emergono dall edizione 2013 della CIO Survey, realizzata

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Classificare e proteggere i dati

Classificare e proteggere i dati Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Strategie e modelli organizzativi per le sfide della Sicurezza in banca

Strategie e modelli organizzativi per le sfide della Sicurezza in banca Strategie e modelli organizzativi per le sfide della Sicurezza in banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2008 Roma, 26 maggio 2008 Agenda Gli orientamenti

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

The new outsourcing wave: multisourcing

The new outsourcing wave: multisourcing EVOLUZIONE DEI MODELLI DI OUTSOURCING La pratica dell outsourcing, cioè del trasferire all esterno dell azienda singole attività, processi o infrastrutture è in voga da tempo, e negli anni ha dimostrato

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Security Convergence: lo stato dell arte dall inizio del secolo

Security Convergence: lo stato dell arte dall inizio del secolo Security Convergence: lo stato dell arte dall inizio del secolo Milano, 14 dicembre 2011 Chairman of the ASIS International Security Convergence Subcommittee Contenuto della presentazione Agenda Cosa si

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

sfide del ventunesimo Secolo

sfide del ventunesimo Secolo 21 Century Finance Survey Ottimizzare i le potenzialità, garantire i risultati. ti Il CFO di fronte alle sfide del ventunesimo Secolo Copyright 2013 - Business International È vietata la riproduzione,

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

I CONSIGLIERI INDIPENDENTI: UN ELEMENTO FONDAMENTALE IN UN MERCATO IN CONTINUA EVOLUZIONE

I CONSIGLIERI INDIPENDENTI: UN ELEMENTO FONDAMENTALE IN UN MERCATO IN CONTINUA EVOLUZIONE I CONSIGLIERI INDIPENDENTI: UN ELEMENTO FONDAMENTALE IN UN MERCATO IN CONTINUA EVOLUZIONE Massimo Paolo Gentili * Orietta Nava * Negli ultimi anni, per effetto delle innovazioni tecnologiche, il settore

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano

Dettagli

Data Privacy Policy. Novembre 2013. Pagina 1 di 10

Data Privacy Policy. Novembre 2013. Pagina 1 di 10 Data Privacy Policy Novembre 2013 Pagina 1 di 10 INDICE I) PRINCIPI... 3 1 Obiettivi... 3 2 Requisiti e Standards minimi... 3 3 Ruoli e Responsabilità... 4 4 Consapevolezza e formazione... 5 5 Processi

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

NEXTVALUE 2014. Presentazione

NEXTVALUE 2014. Presentazione NEXTVALUE 2014 Presentazione NEXTVALUE 2014 CALENDARIO ATTIVITA E-commerce in Italia. Aziende e Operatori a confronto. End-user Computing in Italia. What s next. Information Security Management in Italia.

Dettagli

www.osservatori.net - CHI SIAMO

www.osservatori.net - CHI SIAMO Virtual Workspace ed Enterprise 2.0: prospettive e barriere di una rivoluzione annunciata Mariano Corso Politecnico di Milano www.osservatori.net - CHI SIAMO Nati nel 1998, gli Osservatori ICT della School

Dettagli

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1 IL PROFILO DELL AZIENDA 1 Chi siamo e la nostra missione Chi siamo: un gruppo di manager che hanno maturato esperienze nella consulenza, nel marketing, nella progettazione, nella vendita di soluzioni e

Dettagli

Outsourcing, possibile definizione OUTSOURCING. Ousourcing, origine. Classificazione, due coordinate. Information Technology Outsourcing (ITO)

Outsourcing, possibile definizione OUTSOURCING. Ousourcing, origine. Classificazione, due coordinate. Information Technology Outsourcing (ITO) Outsourcing, possibile definizione OUTSOURCING Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 15/01/2004 Delega operativa dei servizi connessi all informatica che un Cliente

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Le nuove professioni nella Banca che cambia: Agenda dell intervento

Le nuove professioni nella Banca che cambia: Agenda dell intervento Le nuove professioni nella Banca che cambia: Agenda dell intervento L evoluzione del contesto e le forze trainanti Le nuove professioni nel settore bancario Le sfide per il settore A caccia di talenti

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE http://www.sinedi.com ARTICOLO 9 FEBBRAIO 2007 ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE La formulazione della strategia aziendale rappresenta un momento estremamente importante per tutte

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Perugia NetConsulting 2012 1

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Gestione del rischio operativo

Gestione del rischio operativo Comitato di Basilea per la vigilanza bancaria Gestione del rischio operativo Il Comitato di Basilea per la vigilanza bancaria ha avviato di recente un programma di lavoro sul rischio operativo. Il controllo

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione I sistemi gestionali e le Piccole Medie Imprese A cura di Fabrizio Amarilli Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione Articoli Sono noti

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Risk Assessment e la Norma ISO 9001:2015 parte 3

Risk Assessment e la Norma ISO 9001:2015 parte 3 Risk Assessment e la Norma ISO 9001:2015 parte 3 PROMOSSO E ORGANIZZATO DA IN COLLABORAZIONE CON: 1/40 Risk management: collegamenti e sinergie con il Sistema Qualità Come visto nel precedente intervento,

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA CICLO DI SEMINARI ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA Le importanti evoluzioni dei sistemi economici e dei mercati finanziari

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE Sintesi dei risultati della seconda edizione dell Osservatorio Realizzato da: In collaborazione con: RISKGOVERNANCE 1 INDICE DEI CONTENUTI Copyright

Dettagli

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale UNIVERSITÀ: Politecnico di Milano FACOLTÀ: Ingegneria dei Sistemi CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale INSEGNAMENTO: Global Risk Management PROFESSORE: Marco Giorgino ANNO ACCADEMICO

Dettagli

Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri. Milano, 12 Ottobre 2015

Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri. Milano, 12 Ottobre 2015 Lo sviluppo della compliance nel settore manifatturiero: implicazioni per l'internal Audit e possibili sviluppi futuri Milano, 12 Ottobre 2015 Agenda Introduzione - F. Albieri L'impegno dell'aiia e del

Dettagli

Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari. Convegno ABI CRM 2004-13 dicembre 2004

Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari. Convegno ABI CRM 2004-13 dicembre 2004 Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari Giovanni Ciccone Stefania De Maria 080 5274824 Marketing Strategico Sistemi Informativi Convegno ABI CRM 2004-13 dicembre 2004

Dettagli

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader Il percorso delle aziende italiane verso l IT Governance Rossella Macinante Practice Leader 11 Marzo 2009 Previsioni sull andamento dell economia nei principali Paesi nel 2009 Dati in % 3,4% 0,5% 1,1%

Dettagli

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994 ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia Si definisce Risk Management - o gestione del rischio - il complesso di attività mediante le quali si misura o si stima il

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno Argomenti della lezione 1 - Controllo Interno: definizione e componenti 2 - Ambiente di controllo 3 - Valutazione

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

INDICE. 1.Perché fare Qualità. 2. Qualità e non-qualità. 3. Le potenzialità del Sistema di gestione. 4. La ISO 9001:2015

INDICE. 1.Perché fare Qualità. 2. Qualità e non-qualità. 3. Le potenzialità del Sistema di gestione. 4. La ISO 9001:2015 LE NOVITA INDICE 1.Perché fare Qualità 2. Qualità e non-qualità 3. Le potenzialità del Sistema di gestione 4. La ISO 9001:2015 1. PERCHE FARE QUALITA Obiettivo di ogni azienda è aumentare la produttività,

Dettagli

Guida al controllo di gestione nelle piccole e medie imprese

Guida al controllo di gestione nelle piccole e medie imprese j l k l d o ^ c f b S o c i e t à Laura Broccardo Guida al controllo di gestione nelle piccole e medie imprese Pianificazione e controllo nelle PMI Costruzione del budget Reporting Aziende che operano

Dettagli

Progetto Management & Innovazione PMI-NIC e Politecnico di Milano - DIG. Verso un osservatorio permanente sulla gestione dei progetti di innovazione

Progetto Management & Innovazione PMI-NIC e Politecnico di Milano - DIG. Verso un osservatorio permanente sulla gestione dei progetti di innovazione Maturità delle organizzazioni Progetto Management & Innovazione PMI-NIC e Politecnico di Milano - DIG Verso un osservatorio permanente sulla gestione dei progetti di innovazione Tommaso Buganza_DIG_Politecnico

Dettagli

Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011

Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011 Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011 Come noto, l Associazione Italiana Internal Auditors, parte dell Institute of Internal Auditors,

Dettagli

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito. Convergenza tra sicurezza fisica, logica e antifrode: analisi dei principali scenari di compromissione dei dispositivi ATM e degli strumenti tecnologici in dotazione a Poste Italiane S.p.A Mirella Ricci

Dettagli

Compliance in Banks 2010

Compliance in Banks 2010 Compliance 2010 Compliance in Banks 2010 Dott. Giuseppe Aquaro Responsabile Group Audit Unicredit S.p.A. Il coordinamento complessivo del Sistema dei Controlli Interni in Banca Roma, 12 Novembre 2010 Premessa:

Dettagli

STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT

STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 03/02/2008 (materiale da: Manuali e lucidi su sito CNIPA, in particolare di M. Gentili)

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

STRATEGIC Management Partners

STRATEGIC Management Partners STRATEGIC Management Partners Strategic Report Creare un vantaggio competitivo nella relazione IT e business Gianluca Quarto Sintesi 2 E un dato di fatto che i sistemi informatici rappresentano uno strumento

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO Come passare dal budget tradizionale al piano d azione annuale: il caso GDO di Massimo Lazzari e Davide Mondaini (*) L evoluzione rapida e irreversibile dei contesti di riferimento in cui le aziende si

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

L'utilizzo di strumenti di Social Network & Community in banca. Romano Stasi Segretario Generale ABI Lab

L'utilizzo di strumenti di Social Network & Community in banca. Romano Stasi Segretario Generale ABI Lab L'utilizzo di strumenti di Social Network & Community in banca Romano Stasi Segretario Generale ABI Lab Milano, 16 marzo 2010 Priorità ICT di investimento e indagine per le banche Italiane canali Fonte:ABI

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli