ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management"

Transcript

1 ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management Febbraio 2008

2 Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La governance dell ICT Security: un framework di riferimento 13 La definizione del raggio d azione dell ICT Security 13 La governance dell ICT Security Gli assetti organizzativi macro dell ICT Security 17 Le attività 17 Le configurazioni organizzative emergenti 19 I driver che influenzano la scelta dell assetto organizzativo 22 L evoluzione dei modelli 25 I benefici e i rischi insiti nelle scelte dei diversi modelli 26 La strutturazione interna dell unità ICT Security Il processo di pianificazione e controllo 33 La definizione del piano strategico 33 L elaborazione del budget 37 L analisi costi/benefici 39 Il controllo strategico: i sistemi di misurazione delle prestazioni 40 I fattori critici di successo Le esperienze a confronto 43 Appendice: I risultati della Survey 53 La struttura organizzativa dell ICT Security 53 Il processo di pianificazione e controllo 57 La gestione dei progetti di ICT Security 61 Nota metodologica 63 Il Gruppo di Lavoro 65 La School of Management 67 La School of Management del Politecnico di Milano 67 Gli Osservatori ICT & Management 67 Il MIP 69 Il CEFRIEL 71 Il CEFRIEL 71 Il centro di competenza in Information Security 73 I sostenitori della Ricerca 75 ICT SECURITY: QUALE GOVERNANCE? 1

3

4 Indice Figure pagina Figura 1.1 Information Security, Business Security e ICT Security 14 Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza 14 Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT 15 Figura 1.4 La governance dell ICT Security 16 Figura 2.1 Le principali attività dell ICT Security 17 Figura 2.2 Il modello All in One 19 Figura 2.3 Il modello ICT Centric 20 Figura 2.4 Il modello Segregation 21 Figura 2.5 Il modello Multiplayer 22 Figura 2.6 L analisi del driver Dimensione del Dipartimento ICT 22 Figura 2.7 L analisi del driver Settore 23 Figura 2.8 I fattori che influenzano la correlazione settore modello organizzativo 24 Figura 2.9 L analisi del driver Modello di Sourcing 25 Figura 2.10 Le dimensioni dell unità ICT Security nei casi analizzati 27 Figura 2.11 L organizzazione interna dell ICT Security basata sulla separazione 27 IT/Rete Figura 2.12 L organizzazione interna dell ICT Security basata sulla separazione 28 per Business Unit Figura 2.13 L organizzazione interna ICT Security basata sull area tematica di 28 competenza Figura 2.14 L organizzazione interna dell unità organizzativa Corporate Security 28 Figura 2.15 Le relazioni tra l ICT Security e le altre unità organizzative 29 Figura 3.1 I rischi legati all utilizzo di metodologie di risk analysis inappropriate 36 Figura 3.2 I diversi approcci alla risk analysis in ambito ICT Security 37 Figura A.1 Esiste una struttura che si occupa di ICT Security all interno della 53 Figura A.2 Direzione Corporate Security? 54 Figura A.3 Esiste una struttura che si occupa di ICT Security all interno della 54 Direzione ICT? Figura A.4 Se esiste una struttura ICT Security all interno della direzione ICT 55 questa è composta da quante persone? Figura A.5 I modelli organizzativi 55 Figura A.6 L analisi del driver Dimensione del Dipartimento ICT 56 Figura A.7 L analisi del driver Modello di Sourcing 56 Figura A.8 Il modello organizzativo inerente all ICT Security 57 Figura A.9 È previsto un processo formale di pianificazione strategica delle 57 iniziative in ambito ICT Security (Master Plan ICT/Information Security)? Figura A.10 Qual è la periodicità con cui viene elaborato il piano delle iniziative 58 in ambito ICT Security, se previsto? Figura A.11 Qual è l unità formalmente responsabile per l elaborazione del piano 58 di Information Security (progetti/attività correnti)? Figura A.12 Quali sono i principali stimoli nell identificazione di nuovi progetti 58 di ICT Security? Figura A.13 Quali sono le direzioni/divisioni aziendali che forniscono il maggior 59 numero di input per la messa a punto degli interventi di ICT Security? ICT SECURITY: QUALE GOVERNANCE? 3

5 Figura A.14 Per la definizione delle iniziative si fa ricorso ad approcci strutturati di risk 59 Figura A.15 analysis/risk management? I progetti di investimento in ICT/Information Security di natura 60 Figura A.16 discrezionale (non mandatory per adeguamento a normativa) sono soggetti a un processo formale di approvazione che include una valutazione economico-finanziaria (ritorno dell investimento)? È prevista la definizione di un budget (esplicito) per l ICT Security 60 Figura A.17 nell ambito del processo di budgeting annuale? Qual è la percentuale del budget ICT Security rispetto al budget ICT 60 Figura A.18 complessivo? Qual è il trend del budget ICT Security? 61 Figura A.19 Esistono sistemi di misurazione delle prestazioni (KPI) specificamente 61 Figura A.20 sviluppati per quest area? Quali sono a suo avviso i principali fattori critici di successo nella gestione dei progetti di ICT security? I progetti in corso 62 Figura A.21 I progetti futuri 62 4 ICT SECURITY: QUALE GOVERNANCE?

6 Indice Box pagina Box 2.1 Le altre unità organizzative coinvolte nell ICT Security 29 Box 3.1 Le principali aree di investimento 41 Box Italia 43 Box 4.2 Auchan 43 Box 4.3 Banca Popolare di Sondrio 44 Box 4.4 Cariparma 45 Box 4.5 Eni 45 Box 4.6 Fastweb 46 Box 4.7 Heineken Italia 47 Box 4.8 Logista 47 Box 4.9 Mediaset 48 Box 4.10 SEAT Pagine Gialle 49 Box 4.11 TNT Post 49 Box 4.12 Vodafone Italia 50 Box Box 4.14 UniCredit Global Information Services (UGIS) 52 ICT SECURITY: QUALE GOVERNANCE? 5

7

8 Introduzione È questo il primo Rapporto di un nuovo Osservatorio permanente della School of Management del Politecnico di Milano, creato e gestito insieme al CEFRIEL e in collaborazione con Reed Exhibitions Italia, che pone l attenzione su uno dei temi più discussi negli ultimi anni: quello sull Information Security. Nonostante siano anni che questo tema è al centro di un ampio dibattito a livello sia internazionale sia italiano, abbiamo sentito comunque l esigenza di far nascere questo nuovo Osservatorio perché, a nostro avviso, serve una prospettiva diversa, che sappia affrontare con un taglio veramente integrato, sia gestionale sia tecnologico, un tema troppo spesso vissuto come un problema esclusivamente tecnico. Oggi si sta diffondendo una maggiore consapevolezza che l Information Security debba essere concepita come un insieme di soluzioni strettamente correlate di natura tecnologica, organizzativa e gestionale, per la cui individuazione non si può prescindere dall esame del contesto specifico dell impresa (in termini di strategia, assetto organizzativo, sistemi di gestione, business processes, prodotti/servizi, ecc.). L Osservatorio nasce da questa consapevolezza con due missioni principali: creare e diffondere la cultura dell Information Security Management in Italia, contribuendo ad una maggiore sensibilizzazione della rilevanza strategica che può assumere questo tema, anche a livello di top management aziendale; costituire il punto di riferimento per la community di attori (manager, professional, consulenti, technology e solution provider, ecc.) che operano con diversi ruoli in questo ambito. Nel suo primo anno di attività, l Osservatorio ha voluto adottare una prospettiva particolarmente ampia e sistemica, cercando in primis di investigare la governante strategica dell Information Security, a livello sia di scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione di ruoli e responsabilità, scelte di sourcing, ecc.) sia di configurazione dei processi decisionali chiave (in primis il processo di pianificazione e controllo). Lo ha fatto con una consistente analisi empirica, basata su interviste approfondite ad oltre una trentina di CISO (Chief Information Security Officer) o CSO (Chief Security Officer) di alcune tra le principali imprese italiane e una survey che ha coinvolto oltre 60 CIO (Chief Information Officer). Umberto Bertelè Andrea Rangone ICT SECURITY: QUALE GOVERNANCE? 7

9

10 Executive Summary Gli obiettivi della Ricerca I sistemi informativi, e, in generale, le tecnologie ICT costituiscono oramai il sistema nervoso di tutte le imprese. La sicurezza del patrimonio informativo (e delle infrastrutture ICT) è fondamentale per la sopravvivenza stessa di qualsiasi organizzazione, così come alcuni eventi del recente passato hanno dimostrato. Il tema è di per sé molto complesso, come dimostra già la proliferazione di termini e di definizioni che è possibile reperire sia in letteratura sia nella prassi: information security, ICT security, business security, corporate security, ecc. In questo Report concentreremo la nostra attenzione sull ICT Security, intesa come l insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT ( security of digitalised information ), ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni ICT ( security of ICT ). La complessità è incrementata dal crescente overlapping tra i vari domini di sicurezza con i problemi organizzativi e gestionali che ne conseguono. Si pensi per esempio alla sicurezza di prodotti e servizi erogati tramite piattaforme ICT, alla prevenzione e gestione delle frodi finanziarie, alle tecnologie ICT a supporto della sicurezza fisica, oppure ancora alla sicurezza dei sistemi di controllo dei processi industriali. È chiaro che un area così strategicamente rilevante e così complessa necessita di sistemi di governance appropriati, tali da garantire un adeguata visibilità e standing all interno dell organizzazione, l integrazione tra il piano strategico dell ICT Security e i programmi strategici complessivi dell impresa (per mezzo di opportune soluzioni organizzative), l allocazione di budget congruenti con gli obiettivi prefissati, nonché il monitoraggio dello stato di implementazione delle iniziative e la verifica dei risultati ottenuti. Si tratta delle scelte fondamentali di quella che abbiamo denominato governance strategica dell ICT Security, per distinguerla dalla governance più operativa (o gestionale ), che si occupa di definire policy e procedure operative (per lo sviluppo dei progetti e per la gestione delle operations), di mettere a punto standard e meccanismi di coordinamento per garantire efficacia ed efficienza delle attività di ICT Security. A nostro avviso, le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione ruoli e responsabilità, scelte di sourcing strategico), la configurazione dei processi strategici (in primis il processo di pianificazione e controllo), e le risorse umane (profili di competenze più appropriati per presidiare i diversi ambiti di responsabilità). In particolare, in questa fase sono stati analizzate le prime due dimensioni, mentre la terza classe di variabili sarà oggetto di uno dei prossimi step della Ricerca. Le configurazioni organizzative emergenti L analisi macro-organizzativa ha messo in luce l esistenza di quattro configurazioni organizzative, caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all ICT Security (governo, progettazione, sviluppo, gestione opera- ICT SECURITY: QUALE GOVERNANCE? 9

11 Executive Summary tiva e monitoraggio) in un unica organizzativa, tipicamente l unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall introduzione di un unità specifica di ICT Security (sempre all interno dell ICT), che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo (e spesso anche di identificazione delle soluzioni) sono assegnate alla funzione Corporate Security (o Sicurezza Aziendale ), mentre all ICT rimangono le attività di sviluppo e di esercizio. Infine, il quarto modello, denominato Multiplayer, che presenta la massima articolazione organizzativa. In questo caso, infatti, le attività di governo sono attribuite a una (o più) unità organizzative della funzione Corporate Security, la progettazione delle soluzioni è assegnata ad un apposita unità di ICT Security collocata all interno dell unità ICT, mentre lo sviluppo e la gestione delle attività correnti sono sempre attribuite alle corrispondenti unità ICT. La Ricerca ha cercato quindi di comprendere quali siano i fattori di contesto che spiegano l adozione di una di queste quattro configurazioni organizzative. In particolare, il primo driver analizzato è stata la dimensione dell unità ICT, che appare positivamente correlata con la complessità delle soluzioni adottate, anche se non sembra spiegare del tutto le scelte organizzative delle imprese. Ancor più interessante è risultato il settore di attività: in particolare, il modello ICT Centric risulta quello adottato praticamente dalla totalità delle imprese del settore banking analizzate, mentre le telco sembrano preferire il modello Multiplayer, e quelle del settore energy optano prevalentemente per il modello Segregation. Questo fenomeno si spiega se si pensa al ruolo che il settore esercita nel determinare la complessità (e la rilevanza relativa) dei diversi ambiti dell ICT Security (sviluppo prodotti e servizi ICT based, rischio frodi informatiche, sicurezza fisica/ industriale, tutela proprietà intellettuale, ecc.). Al contrario, il profilo di Sourcing scelto per l ICT non sembra avere particolare influenza sulle scelte organizzative dell ICT Security, almeno a livello macro. Il governo dei processi decisionali strategici La seconda parte della Ricerca ha riguardato l analisi dei processi di pianificazione e controllo, di fondamentale importanza per un corretto indirizzo strategico delle attività di ICT Security, per la misurazione delle performance ottenute, nonché per il miglioramento continuo dei sistemi di gestione. Si è innanzitutto analizzato il processo che porta all elaborazione del piano strategico dell ICT Security. In particolare, con riferimento al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell impresa (processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza). A riprova di ciò, solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. Più frequentemente ci si limita alla formulazione di un piano annuale (in occasione del processo di budgeting dell impresa), eccezion fatta per le grandi decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Il livello di formalizzazione del processo di elaborazione del piano strategico ha un impatto anche sul grado di coinvolgimento delle varie unità aziendali. I comitati di sicurezza, infatti, prevedono la presenza dei responsabili di diverse unità aziendali (ICT, Corporate Security, Internal Audit, HR, ecc.), e talvolta anche del CEO (o figura equivalente). Di converso, nei casi meno strutturati, l ICT Security appare ancora confinata nell ambito dell ICT, il che comporta inevitabilmente il rischio di una limitata vision strategica. Considerazioni simili valgono per quanto concerne le metodologie di analisi utilizzate: in particolare, il ricorso alla risk analysis in molti casi non è ancora siste- 10 ICT SECURITY: QUALE GOVERNANCE?

12 Executive Summary matico, e spesso non rappresenta il punto di partenza per l individuazione delle iniziative da inserire nel piano. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in quest ambito e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta a effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell ICT strategy execution e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un po troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). L analisi settoriale Il quadro di sintesi che emerge dall analisi condotta vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell utilizzo delle tecnologie, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all ICT Security, che per qualità dei sistemi di gestione, anche se, come si è visto, in alcuni aree sussistono ancora ampi margini di miglioramento. Interessanti segnali positivi giungono da imprese di alcuni altri settori che, per diversi motivi (crescente rilevanza strategica delle tecnologie ICT, tutela proprietà intellettuale, ecc.), stanno investendo significativamente anche sui sistemi di governance, anche se va detto che in generale, al di fuori dei due settori sopra citati, l importanza strategica dell ICT Security, e i rischi connessi all adozione di sistemi di gestione non adeguati, non sembrano essere stati ancora pienamente compresi. A questo riguardo, forse un catalizzatore del cambiamento potrà essere rappresentato dal crescente peso della normativa di carattere generale (cross industry), che sempre più spesso impone alle imprese l adozione di soluzioni organizzative e strumenti di auditability, nonché dalle sfide imposte dalle nuove tecnologie e dai nuovi modelli organizzativi aziendali (si pensi alla secure mobility o alla virtualizzazione). Le aree di investimento Nell ambito dell analisi abbiamo anche chiesto alle aziende quali fossero le priorità ICT SECURITY: QUALE GOVERNANCE? 11

13 Executive Summary strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori industry specific, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell ICT Security. Tuttavia, si possono individuare alcune risposte ricorrenti, anche se non si può parlare di veri e propri trend. In particolare, l attenzione delle imprese sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security (SOC e simili). Paolo Maccarrone Luca Marzegalli 12 ICT SECURITY: QUALE GOVERNANCE?

14 1. La governance dell ICT Security: un framework di riferimento La definizione del raggio d azione dell ICT Security Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie; spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni mission critical, quali piani strategici, brevetti, ecc.); utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici delle aziende; falsificazioni dei dati di bilancio; intercettazioni non autorizzate; estorsioni. I fatti di cui sopra sono quasi sempre riconducibili al tema della sicurezza delle informazioni. L Information Security può essere quindi definita come l insieme delle misure, di natura tecnologica, organizzativa e legale, volte a impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate, e dal supporto fisico sul quale siano custodite. L ICT Security è generalmente considerata una componente dell Information Security, focalizzata sulla protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. In realtà questa definizione o, meglio, questa concezione dell ICT Security per essere completa deve tenere conto non solo della protezione (confidenzialità, integrità, disponibilità) del dato elementare/delle informazioni proprietarie dell organizzazione, ma anche della protezione delle infrastrutture e delle applicazioni ICT da attacchi o manomissioni che ne possano compromettere il regolare funzionamento. La compromissione dell infrastruttura può infatti portare al blocco temporaneo dei processi aziendali (per esempio, nel caso di attacchi che causano spamming e conseguente saturazione della capacità di banda), causando quindi un danno economico all azienda (si pensi per esempio al blocco di un sito di web banking o di e-commerce). Si comprende pertanto che il tema dell ICT Security è una componente fondamentale sia dell Information Security sia di quella che potremmo chiamare Business Security (Figura 1.1). ICT SECURITY: QUALE GOVERNANCE? 13

15 Capitolo 1 La governance dell ICT Security: un framework di riferimento Figura 1.1 Information Security, Business Security e ICT Security Information Security Business Security Dato Servizio Processo ICT ICT Security Si può notare inoltre il ruolo sempre maggiore dell ICT anche in altre tipologie di sicurezza quali ad esempio la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi (Figura 1.2). Alcuni esempi significativi sono: molti impianti di video sorveglianza sono oramai basati su sistemi digitali e le informazioni sono trasferite attraverso le reti dati IP. La protezione di questi apparati da attacchi e manomissioni è quindi fondamentale per garantire la corretta operatività degli addetti alla sicurezza fisica, e, quindi, adeguata protezione degli asset fisici e delle persone; la gestione dell allarmistica è tipicamente affidata a centrali di controllo totalmente basate su applicazioni ICT: il corretto funzionamento di tali applicazioni, che ovviamente dipende anche dal loro livello di sicurezza ICT, costituisce quindi prerequisito fondamentale per garantire adeguati standard di sicurezza sul lavoro; le frodi finanziarie vengono quasi sempre attuate sfruttando le infrastrutture e le applicazioni ICT. Ne è un esempio l alterazione dei sistemi di tariffazione (billing) nell ambito delle imprese telco, o di applicazioni che si occupano delle transazioni finanziarie nel banking, agendo per esempio sull alterazione del workflow autorizzativo, o tramite furto di identità digitale. Sempre più spesso, quindi, chi si occupa di prevenzione e gestione frodi deve ricorrere agli esperti di ICT Security. Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza Sicurezza processi business Sicurezza industriale ICT Security Sicurezza fisica Sicurezza sul lavoro Fraud Management Quest ultimo punto può essere ricondotto a un tema più generale: il design sicuro delle applicazioni ICT. Questo vale: per le applicazioni gestionali (ERP, CRM e simili); per le applicazioni business oriented basate su tecnologie ICT: si tratta di un aspetto particolarmente critico per tutte le imprese la cui offerta di prodotti/servizi è erogata 14 ICT SECURITY: QUALE GOVERNANCE?

16 La governance dell ICT Security: un framework di riferimento Capitolo 1 principalmente (se non esclusivamente) utilizzando le tecnologie ICT. Si fa riferimento ovviamente alle telco, ma anche alle banche (si pensi per esempio al web o al mobile banking), nonché alle media company; per tutti i sistemi di controllo dei processi industriali (cosiddetti sistemi SCADA e simili). Oltre a dover gestire i progetti e i servizi specifici di ICT Security, i responsabili dell ICT Security devono quindi garantire la giusta componente di security in ogni progetto in cui si faccia uso di soluzioni ICT e quindi, considerata la sempre maggiore pervasività dell ICT, praticamente in tutte le attività aziendali. Si può quindi affermare che esistono due macro-aree distinte di attività (si veda la Figura 1.3): la prima include le attività e i progetti specifici di ICT Security (sicurezza infrastrutturale delle reti, patching dei sistemi informativi, profilazione e autenticazione utenti, ecc.); la seconda comprende tutte le attività volte a garantire il rispetto dei requisiti di sicurezza all interno di tutte le soluzioni ICT. Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT ICT Projects ICT Security ICT Security Projects Progetto A Identity Management Progetto B Progetto C Progetto D SICUREZZA Network Access Control Inoltre, la gestione delle attività legate all ICT Security è piuttosto complessa, per diversi motivi: la costante evoluzione tecnologica, che offre nuove opportunità alle imprese da un lato, ma dall altro le espone continuamente a nuovi rischi, legati a nuove vulnerabilità e a nuove minacce che vengono continuamente messe a punto dagli attacker ; qualsiasi iniziativa ha un effetto pervasivo sull organizzazione, nonché spesso invasivo sul modo di lavorare delle persone (con i conseguenti rischi di resistenza o, comunque, di inerzia al cambiamento). La governance dell ICT Security Risulta quindi evidente l importanza di dotarsi di un appropriata governance dell ICT Security, che assicuri la giusta rilevanza strategica al tema, fattore chiave per ottenere adeguati livelli di efficacia ed efficienza delle iniziative. Nella letteratura, così come nella prassi, non vi è piena convergenza sulla definizione di ICT Security Governance (come peraltro accade anche per l ICT Governance nel suo complesso), né sul relativo spettro di attività (e quindi sull output). Cercando di mettere insieme i principali approcci e contributi, ne emerge che obiettivo dell ICT Security Governance è quello di dotare l impresa di: una strategia di ICT Security ben definita, e collegata agli obiettivi di business (nonché a quelli dell ICT); una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; meccanismi di pianificazione e controllo; ICT SECURITY: QUALE GOVERNANCE? 15

17 Capitolo 1 La governance dell ICT Security: un framework di riferimento metodologie di risk analysis/management appropriate; adeguate policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; standard di riferimento che assicurino procedure adeguate e rispetto delle policy; processi di monitoraggio e controllo adeguati, che assicurino feed-back tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento; meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure (e, quindi, una costante riduzione del livello di rischio complessivo). Da questo elenco risulta abbastanza chiaramente come vi siano alcuni elementi di natura più strategica affiancati da aspetti di carattere più gestionale. In particolare i primi tre punti fanno riferimento a quella che possiamo identificare come la governance strategica dell ICT Security. La governance strategica dell ICT Security deve essere vista come un elemento della governance complessiva dell impresa (Figura 1.4). Ne è la riprova il fatto che alcuni elementi legati all ICT, o, più in generale, all Information Security, facciano parte di documenti di governance di più alto livello, quale ad esempio il codice etico aziendale. Questo però comporta che sia coinvolto il Top Management aziendale, il che avviene tipicamente attraverso la costituzione di Task Force o Comitati. Le leve che possono essere utilizzate per la progettazione della governance dell ICT Security sono fondamentalmente tre: l organizzazione, intesa qui nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonchè modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo (si fa riferimento ai processi di pianificazione e controllo, alle policy, agli standard); le risorse, le competenze e la cultura: si tratta della leva progettuale che agisce sugli input, e in particolare sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Figura 1.4 La governance dell ICT Security Corporate Governance ICT Governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura In questa fase della Ricerca l attenzione si è concentrata sulle prime due leve, ovvero le scelte macro-organizzative e processo di pianificazione e controllo, che saranno oggetto dei seguenti due capitoli. 16 ICT SECURITY: QUALE GOVERNANCE?

18 2. Gli assetti organizzativi macro dell ICT Security Nel presente capitolo si affronterà uno dei tre aspetti del governo strategico dell ICT Security, e cioè l impostazione organizzativa. Per affrontare in modo strutturato il tema dell organizzazione delle funzioni connesse all ICT Security occorre partire dall identificazione delle attività specifiche e di quelle correlate al tema specifico della sicurezza. Questo risulta fondamentale in quanto, normalmente, quando si affronta il tema dell organizzazione degli aspetti di ICT Security la domanda usuale che ci si pone riguarda il posizionamento o meno dell ICT Security all interno della direzione ICT. Come si vedrà in seguito, la questione è, in realtà, più complessa in quanto più unità organizzative sono coinvolte nelle attività di ICT Security. Le attività La classificazione e soprattutto la nomenclatura delle attività non è ancora patrimonio comune tra i professionisti che agiscono nel settore. Nel corso delle interviste le attività più frequentemente menzionate sono riconducibili alle seguenti tipologie (Figura 2.1): Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o Identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Figura 2.1 Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Le principali attività dell ICT Security Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Definizione delle policy e delle procedure operative Le politiche e le procedure operative possono essere indirizzate a diversi soggetti (utenti dei sistemi informativi o amministratori/gestori dei sistemi) e spesso sono specifiche per un particolare ambito (sistema o servizio). Tali politiche e procedure sono sviluppate a partire dalla visione aziendale del tema della ICT SECURITY: QUALE GOVERNANCE? 17

19 Capitolo 2 Gli assetti organizzativi macro dell ICT Security sicurezza, e si caratterizzano per il fatto di avere un livello di dettaglio tale da permetterne la verifica di applicazione in modo oggettivo e non opinabile. In alcune aziende è stata riscontrata l esistenza di un unità organizzativa dedicata a quest attività la cui nomenclatura è tipicamente Policy o Politiche e Procedure. Pianificazione e Controllo Quest attività permette la redazione del piano di progetti da intraprendere e garantisce il controllo del raggiungimento degli obiettivi. L attività di Pianificazione e Controllo qui citata verrà approfondita nel capitolo successivo. Progettazione e/o Identificazione dei sistemi e delle soluzioni Il risultato di questa attività è il piano dettagliato dell intervento da effettuare, comprensivo dell identificazione degli strumenti da utilizzare ed eventualmente da sviluppare. In questa fase si definiscono anche i processi di supporto per l implementazione degli interventi identificati. Inoltre in questo ambito rientra anche la verifica degli aspetti di sicurezza dei nuovi servizi e delle nuove applicazioni ICT. È oramai evidente che tali aspetti debbano essere considerati fin dalla progettazione delle nuove applicazioni. Le competenze per valutare la sicurezza delle applicazioni spesso non sono disponibili direttamente nel team di progetto e per questo serve una struttura centrale in grado di fornire supporto di tipo consulenziale sull ICT Security ai singoli team di progetto. Tra l altro il fatto che la valutazione della sicurezza ICT e delle contromisure da implementare avvenga da parte di persone non direttamente coinvolte nel progetto permette una corretta gestione delle priorità e garantisce una uniformità all interno dell azienda. In alcune realtà è stata riscontrata l esistenza di un unità organizzativa volta a questo scopo e denominata Ingegneria della Sicurezza. Implementazione dei sistemi e delle soluzioni Questa fase comprende la realizzazione di quanto definito nella fase precedente e inoltre provvede a quanto necessario per porre il tutto in esercizio affinché il sistema o la soluzione possano diventare operativi. Questa attività nella maggior parte dei casi non è affidata, neanche per i sistemi e le soluzioni di ICT Security, ad unità che si occupano esclusivamente di Security, ma è demandata alle strutture di sviluppo di ICT. Gestione Operativa dei sistemi e delle soluzioni Nella gestione operativa dei sistemi e delle soluzioni ricadono tutte le operazioni ordinarie di gestione dei sistemi e di applicazione delle procedure operative definite. Esempi che ricadono in questa tipologia sono l aggiornamento delle configurazioni e la gestione dei guasti degli apparati specifici di Security, come possono essere ad esempio i Firewall. In alcuni casi vi è in azienda un unità organizzativa denominata Security Operation Center che può avere, tra le altre, anche questa responsabilità. 18 ICT SECURITY: QUALE GOVERNANCE?

20 Gli assetti organizzativi macro dell ICT Security Capitolo 2 Monitoraggio Il monitoraggio comprende attività che spaziano dall analisi della compliance a normative e policy all analisi delle informazioni di sicurezza, al fine di evidenziare anomalie. In talune realtà vi è una specifica unità organizzativa denominata Compliance che si occupa della verifica dell attuazione delle policy. L analisi delle informazioni di sicurezza, in determinati casi, è parte dei compiti di un unità specifica denominata Security Operation Center. Queste attività sono allocate in unità organizzative diverse a seconda della specifica realtà. Nel paragrafo successivo verranno delineate le scelte più ricorrenti, nonché i fattori che hanno maggiore influenza in tale scelta. Le configurazioni organizzative emergenti Vi è una prima scelta che contraddistingue l impostazione data al modello organizzativo, che consiste nel collocare competenze di ICT Security in unità organizzative distinte o nella centralizzazione del tutto in un unica unità organizzativa. Il modello All in One Il primo modello, che denomineremo modello All in One, è contraddistinto dall assegnazione ad un unica unità organizzativa delle responsabilità sulle attività elencate nel seguito: Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Questa struttura di solito è collocata all interno della Direzione ICT nell unità che si occupa delle infrastrutture e della rete, secondo quanto illustrato nella Figura 2.2. ICT Figura 2.2 Il modello All in One Operations Solutions Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Il modello ICT Centric Qualora l azienda decida di operare un primo livello di separazione delle responsabilità, la prima distinzione operata è tra le attività di governo e le attività operative. ICT SECURITY: QUALE GOVERNANCE? 19

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009 Copyright e utilizzo dei contenuti

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE http://www.sinedi.com ARTICOLO 9 FEBBRAIO 2007 ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE La formulazione della strategia aziendale rappresenta un momento estremamente importante per tutte

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale 1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale della RGS, del CNIPA e di ingegneri dell Ordine di

Dettagli

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO Come passare dal budget tradizionale al piano d azione annuale: il caso GDO di Massimo Lazzari e Davide Mondaini (*) L evoluzione rapida e irreversibile dei contesti di riferimento in cui le aziende si

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Il Piano di comunicazione

Il Piano di comunicazione Il Piano di comunicazione 23 lezione 11 novembre 2011 Cosa è un piano di comunicazione Il piano di comunicazione è uno strumento utilizzato da un organizzazione per programmare le proprie azioni di comunicazione

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

PROGETTO DI FORMAZIONE SUL TEMA

PROGETTO DI FORMAZIONE SUL TEMA FIRENZE 1 PROGETTO DI FORMAZIONE SUL TEMA IL SISTEMA DI PROGRAMMAZIONE E CONTROLLO: RIFERIMENTI CONCETTUALI E NORMATIVI POSTI A CONFRONTO CON LA REALTÀ AZIENDALE FIRENZE 2 INDICE PREMESSA 3 MOTIVAZIONI

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Security Convergence: lo stato dell arte dall inizio del secolo

Security Convergence: lo stato dell arte dall inizio del secolo Security Convergence: lo stato dell arte dall inizio del secolo Milano, 14 dicembre 2011 Chairman of the ASIS International Security Convergence Subcommittee Contenuto della presentazione Agenda Cosa si

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO

LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO LINEE DI INDIRIZZO PER LA GESTIONE DEL RISCHIO CLINICO NELLE AZIENDE SANITARIE Le presenti linee di indirizzo regionali per la gestione del rischio clinico nelle Aziende Ospedaliere e nelle Aziende Unità

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE. Claudia Strasserra Bureau Veritas Italia SpA

BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE. Claudia Strasserra Bureau Veritas Italia SpA BILANCIO SOCIALE: CONTENUTI E METODI DI RENDICONTAZIONE Claudia Strasserra Bureau Veritas Italia SpA I 3 elementi chiave: il prodotto, il processo, la cultura RESPONSABILITA SOCIALE ACCOUNTABILITY RENDICONTAZIONE

Dettagli

WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA

WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA 1 SOMMARIO PREMESSA... 3 COS È UN OBIETTIVO... 3 IL CONTROLLO DI GESTIONE...

Dettagli

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI COACHING LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI I N D I C E 1 [CHE COSA E IL COACHING] 2 [UN OPPORTUNITA DI CRESCITA PER L AZIENDA] 3 [ COME SI SVOLGE UN INTERVENTO DI COACHING ]

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

CSR nelle istituzioni finanziarie:

CSR nelle istituzioni finanziarie: ATTIVITA DI RICERCA 2014 CSR nelle istituzioni finanziarie: strategia, sostenibilità e politiche aziendali PROPOSTA DI ADESIONE in collaborazione con 1 TEMI E MOTIVAZIONI La Responsabilità Sociale di Impresa

Dettagli

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE

PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE un team di professionisti al servizio della tua banca La definizione degli obiettivi strategici e di sviluppo è da sempre un esigenza connaturata nella realtà di Cassa

Dettagli

La selezione e la formazione on-line come supporto alla gestione del capitale intellettuale

La selezione e la formazione on-line come supporto alla gestione del capitale intellettuale La selezione e la formazione on-line come supporto alla gestione del capitale intellettuale di Alberto Boletti INTRODUZIONE Lo studio dell organizzazione aziendale ha sempre suscitato in me una forte curiosità,

Dettagli

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE OFFERTA FORMATIVA Titolo: MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE Padova, Roma e Bologna. Destinatari: Il Master si rivolge a laureati, preferibilmente in discipline economiche,

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE

STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE Titolo 4 - STRUMENTI DI GESTIONE Art. 26 - Pianificazione strategica e controllo strategico Art. 27 - Sistema di budget Art. 28.1 - Bilancio

Dettagli

CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE

CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE CASO APPLICATIVO: PROGRAMMA DI SVILUPPO RISORSE UMANE IL PROJECT MANAGEMENT NEL SERVIZIO SANITARIO L esperienza dell APSS di Trento Bolzano, 8 maggio 2008 Auditorio del Palazzo Provinciale 12 Autore: Ettore

Dettagli

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione Introduzione Perché il controllo di gestione? L azienda, come tutte le altre organizzazioni, è un sistema che è rivolto alla trasformazione di input (risorse tecniche, finanziarie e umane) in output (risultati

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Perugia NetConsulting 2012 1

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Programmazione e qualità della produzione statistica

Programmazione e qualità della produzione statistica Martedì 9 Novembre 2004, ore 16,45 Sala nord-ovest Sessione parallela Programmazione e qualità della produzione statistica coordinatore Giorgio Alleva Paola Baldi Il ruolo delle Regioni e degli Enti locali

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Affianchiamo l imprenditore ed i suoi collaboratori nella gestione della complessità nella quale l azienda quotidianamente si muove

Affianchiamo l imprenditore ed i suoi collaboratori nella gestione della complessità nella quale l azienda quotidianamente si muove Dr. Mario Venturini Professionista operante in conformità alla Legge n. 4 del 14 /01/2013 Certified Management Consultant - Socio qualificato APCO-CMC n 2003/0042 Affianchiamo l imprenditore ed i suoi

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

Il Piano Industriale

Il Piano Industriale LE CARATTERISTICHE DEL PIANO INDUSTRIALE 1.1. Definizione e obiettivi del piano industriale 1.2. Requisiti del piano industriale 1.3. I contenuti del piano industriale 1.3.1. La strategia realizzata e

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Indagine sull HR Transformation nelle Banche Italiane

Indagine sull HR Transformation nelle Banche Italiane Indagine sull HR Transformation nelle Banche Italiane integrazione con il business e le strategie eccellenza dei servizi hr HR Transformation efficienza e le tecnologie sourcing Premessa La profonda complessità

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

BASILEA II. Il ruolo del Dottore Commercialista consulente d impresa. Milano, 12 maggio 2004

BASILEA II. Il ruolo del Dottore Commercialista consulente d impresa. Milano, 12 maggio 2004 BASILEA II Il ruolo del Dottore Commercialista consulente d impresa Relatore: Aldo Camagni Presidente commissione finanza, controllo di gestione e contabilità d impresa dell Ordine dei Dottori Commercialisti

Dettagli

SDA Bocconi School of Management per Unindustria Reggio Emilia. Percorso formativo per Responsabili Sistemi Informativi"

SDA Bocconi School of Management per Unindustria Reggio Emilia. Percorso formativo per Responsabili Sistemi Informativi SDA Bocconi School of Management per Unindustria Reggio Emilia Percorso formativo per Responsabili Sistemi Informativi" 1 Il percorso formativo 2 L idea della formazione per Unindustria Reggio Emilia In

Dettagli

INTERVENTI MODULARI DI FORMAZIONE LA QUALITÁ NELLA GESTIONE DELLE RISORSE UMANE

INTERVENTI MODULARI DI FORMAZIONE LA QUALITÁ NELLA GESTIONE DELLE RISORSE UMANE INTERVENTI MODULARI DI FORMAZIONE LA QUALITÁ NELLA GESTIONE DELLE RISORSE UMANE INDICE Premessa 3 Obiettivi e strumenti metodologici dell intervento di formazione 4 Moduli e contenuti dell intervento di

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO L autovalutazione è una valutazione che fornisce un giudizio sull efficacia e sull efficienza dell Azienda e sul grado di

Dettagli

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio Allegato 1 REVISIONE DEL SISTEMA DI VALUTAZIONE DEL COMPARTO Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio SINTESI DEI COMPORTAMENTI ORGANIZZATIVI

Dettagli

IL PIANO DI VALUTAZIONE DEL POR FESR MARCHE 2014-2020. (Giugno 2015)

IL PIANO DI VALUTAZIONE DEL POR FESR MARCHE 2014-2020. (Giugno 2015) IL PIANO DI VALUTAZIONE DEL POR FESR MARCHE 2014-2020 (Giugno 2015) Premessa Il nuovo ciclo di programmazione dei Fondi strutturali per il periodo 2014-2020 rappresenta un importante occasione per le Amministrazioni

Dettagli

LA VALUTAZIONE DEL PERSONALE NEGLI ENTI LOCALI

LA VALUTAZIONE DEL PERSONALE NEGLI ENTI LOCALI LA VALUTAZIONE DEL PERSONALE NEGLI ENTI LOCALI Premesse e riferimenti normativi La valutazione del personale, che costituisce un processo centrale nell ambito del management pubblico, ha registrato negli

Dettagli

POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A

POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A. PER L INDIVIDUAZIONE E LA GESTIONE DEI CONFLITTI DI INTERESSE NELLA PRESTAZIONE DEI SERVIZI E DELLE ATTIVITA DI INVESTIMENTO E DEI SERVIZI ACCESSORI 1.

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

L attività dell Internal Audit. G.M. Mirabelli

L attività dell Internal Audit. G.M. Mirabelli L attività dell Internal Audit G.M. Mirabelli Milano 13 ottobre 2006 Obiettivi della presentazione Evidenziare i compiti che nel nuovo Codice di autodisciplina sono assegnati all Internal Auditing, se

Dettagli

HR Primo Business Partner Aziendale

HR Primo Business Partner Aziendale HR Primo Business Partner Aziendale di Luca Battistini Direttore HR Phone & Go Spa; Presidente della web community Fior di Risorse Le persone al centro. H1 Hrms sistema integrato di gestione del personale

Dettagli

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA ASSOCIAZIONE INTERCOMUNALE ALTA VAL TAGLIAMENTO (Comuni di: Ampezzo, Forni di Sopra, Forni di Sotto, Preone, Sauris, Socchieve) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA PROGRAMMA TRIENNALE

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Modena NetConsulting 2012 1

Dettagli

La consapevolezza della sicurezza nella PA. L esperienza MIUR

La consapevolezza della sicurezza nella PA. L esperienza MIUR La consapevolezza della sicurezza nella PA. L esperienza MIUR Paolo De Santis Direzione Generale per i contratti, gli acquisti e per i sistemi informativi e la statistica - MIUR Il contesto in cui opera

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso di Amministrazione di Sistema Parte I ITIL 1 Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

*(67,21(,03$77,25*$1,==$7,9,(

*(67,21(,03$77,25*$1,==$7,9,( 3,1,),=,21((21752//2, *(67,21(,0377,25*1,==7,9,( 68//(5,6256(801( 7HVWLPRQLDQ]DGHO*UXSSR%DQFD/RPEDUGD *=DQRQL 0LODQRJLXJQR Struttura del Gruppo Banca Lombarda 6WUXWWXUDGHO*UXSSR%DQFD/RPEDUGDH3LHPRQWHVH

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Edizione 2010. www.sovedi.it

Edizione 2010. www.sovedi.it Edizione 2010 www.sovedi.it SOVEDI s.r.l. Via Antica, 3-25080 Padenghe sul Garda (BS) email: info@sovedi.it tel: +39 0302076341 CAP.SOC. 51.480,00 - C.F. p.iva 00632180246 SOVEDI nasce nel 1978 a Vicenza.

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

"L'APPROCCIO PER PROCESSI": UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA

L'APPROCCIO PER PROCESSI: UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA Vision 2000 I SUPPORTI DELL'ISO PER L'ATTUAZIONE DELLA NUOVA ISO 9001:2000 "L'APPROCCIO PER PROCESSI": UNA DELLE PRINCIPALI INNOVAZIONI DELLA NORMA I significati di questa impostazione e un aiuto per la

Dettagli

REGOLAMENTO PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE AMBIENTALE - UNI EN ISO 14001:2004

REGOLAMENTO PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE AMBIENTALE - UNI EN ISO 14001:2004 REG-SGA pag. 2/8 INDICE PREMESSA... 3 2 - GENERALITÀ... 3 3 - REQUISITI GENERALI PER LA CERTIFICAZIONE DI UN SISTEMA DI GESTIONE AMBIENTALE... 3 4 - RILASCIO DELLA CERTIFICAZIONE... 3 4.6. - STAGE1: Verifica

Dettagli

MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE

MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE Istituto Nazionale Previdenza Sociale MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE ORGANISMO INDIPENDENTE DI VALUTAZIONE 1 INDICE

Dettagli

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive

Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il Governo Societario nelle Banche di Credito Cooperativo: attualità e prospettive Il modello di sistema dei controlli interni per il Credito Cooperativo Giuseppe Zaghini, Rischi e Controlli - Ufficio

Dettagli

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER Il presente Schema è stato redatto in conformità alle Norme : UNI CEI EN ISO/IEC 17024:2004 Sistemi Valutazione della conformità -

Dettagli

INDICE. Prefazione alla seconda edizione 9. Prefazione alla prima edizione 11

INDICE. Prefazione alla seconda edizione 9. Prefazione alla prima edizione 11 INDICE Prefazione alla seconda edizione 9 Prefazione alla prima edizione 11 Mappatura, analisi e ottimizzazione dei processi 15 1. Il miglioramento dei processi aziendali 15 1.1. Il Business Process Modelling

Dettagli