ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management"

Transcript

1 ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management Febbraio 2008

2 Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La governance dell ICT Security: un framework di riferimento 13 La definizione del raggio d azione dell ICT Security 13 La governance dell ICT Security Gli assetti organizzativi macro dell ICT Security 17 Le attività 17 Le configurazioni organizzative emergenti 19 I driver che influenzano la scelta dell assetto organizzativo 22 L evoluzione dei modelli 25 I benefici e i rischi insiti nelle scelte dei diversi modelli 26 La strutturazione interna dell unità ICT Security Il processo di pianificazione e controllo 33 La definizione del piano strategico 33 L elaborazione del budget 37 L analisi costi/benefici 39 Il controllo strategico: i sistemi di misurazione delle prestazioni 40 I fattori critici di successo Le esperienze a confronto 43 Appendice: I risultati della Survey 53 La struttura organizzativa dell ICT Security 53 Il processo di pianificazione e controllo 57 La gestione dei progetti di ICT Security 61 Nota metodologica 63 Il Gruppo di Lavoro 65 La School of Management 67 La School of Management del Politecnico di Milano 67 Gli Osservatori ICT & Management 67 Il MIP 69 Il CEFRIEL 71 Il CEFRIEL 71 Il centro di competenza in Information Security 73 I sostenitori della Ricerca 75 ICT SECURITY: QUALE GOVERNANCE? 1

3

4 Indice Figure pagina Figura 1.1 Information Security, Business Security e ICT Security 14 Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza 14 Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT 15 Figura 1.4 La governance dell ICT Security 16 Figura 2.1 Le principali attività dell ICT Security 17 Figura 2.2 Il modello All in One 19 Figura 2.3 Il modello ICT Centric 20 Figura 2.4 Il modello Segregation 21 Figura 2.5 Il modello Multiplayer 22 Figura 2.6 L analisi del driver Dimensione del Dipartimento ICT 22 Figura 2.7 L analisi del driver Settore 23 Figura 2.8 I fattori che influenzano la correlazione settore modello organizzativo 24 Figura 2.9 L analisi del driver Modello di Sourcing 25 Figura 2.10 Le dimensioni dell unità ICT Security nei casi analizzati 27 Figura 2.11 L organizzazione interna dell ICT Security basata sulla separazione 27 IT/Rete Figura 2.12 L organizzazione interna dell ICT Security basata sulla separazione 28 per Business Unit Figura 2.13 L organizzazione interna ICT Security basata sull area tematica di 28 competenza Figura 2.14 L organizzazione interna dell unità organizzativa Corporate Security 28 Figura 2.15 Le relazioni tra l ICT Security e le altre unità organizzative 29 Figura 3.1 I rischi legati all utilizzo di metodologie di risk analysis inappropriate 36 Figura 3.2 I diversi approcci alla risk analysis in ambito ICT Security 37 Figura A.1 Esiste una struttura che si occupa di ICT Security all interno della 53 Figura A.2 Direzione Corporate Security? 54 Figura A.3 Esiste una struttura che si occupa di ICT Security all interno della 54 Direzione ICT? Figura A.4 Se esiste una struttura ICT Security all interno della direzione ICT 55 questa è composta da quante persone? Figura A.5 I modelli organizzativi 55 Figura A.6 L analisi del driver Dimensione del Dipartimento ICT 56 Figura A.7 L analisi del driver Modello di Sourcing 56 Figura A.8 Il modello organizzativo inerente all ICT Security 57 Figura A.9 È previsto un processo formale di pianificazione strategica delle 57 iniziative in ambito ICT Security (Master Plan ICT/Information Security)? Figura A.10 Qual è la periodicità con cui viene elaborato il piano delle iniziative 58 in ambito ICT Security, se previsto? Figura A.11 Qual è l unità formalmente responsabile per l elaborazione del piano 58 di Information Security (progetti/attività correnti)? Figura A.12 Quali sono i principali stimoli nell identificazione di nuovi progetti 58 di ICT Security? Figura A.13 Quali sono le direzioni/divisioni aziendali che forniscono il maggior 59 numero di input per la messa a punto degli interventi di ICT Security? ICT SECURITY: QUALE GOVERNANCE? 3

5 Figura A.14 Per la definizione delle iniziative si fa ricorso ad approcci strutturati di risk 59 Figura A.15 analysis/risk management? I progetti di investimento in ICT/Information Security di natura 60 Figura A.16 discrezionale (non mandatory per adeguamento a normativa) sono soggetti a un processo formale di approvazione che include una valutazione economico-finanziaria (ritorno dell investimento)? È prevista la definizione di un budget (esplicito) per l ICT Security 60 Figura A.17 nell ambito del processo di budgeting annuale? Qual è la percentuale del budget ICT Security rispetto al budget ICT 60 Figura A.18 complessivo? Qual è il trend del budget ICT Security? 61 Figura A.19 Esistono sistemi di misurazione delle prestazioni (KPI) specificamente 61 Figura A.20 sviluppati per quest area? Quali sono a suo avviso i principali fattori critici di successo nella gestione dei progetti di ICT security? I progetti in corso 62 Figura A.21 I progetti futuri 62 4 ICT SECURITY: QUALE GOVERNANCE?

6 Indice Box pagina Box 2.1 Le altre unità organizzative coinvolte nell ICT Security 29 Box 3.1 Le principali aree di investimento 41 Box Italia 43 Box 4.2 Auchan 43 Box 4.3 Banca Popolare di Sondrio 44 Box 4.4 Cariparma 45 Box 4.5 Eni 45 Box 4.6 Fastweb 46 Box 4.7 Heineken Italia 47 Box 4.8 Logista 47 Box 4.9 Mediaset 48 Box 4.10 SEAT Pagine Gialle 49 Box 4.11 TNT Post 49 Box 4.12 Vodafone Italia 50 Box Box 4.14 UniCredit Global Information Services (UGIS) 52 ICT SECURITY: QUALE GOVERNANCE? 5

7

8 Introduzione È questo il primo Rapporto di un nuovo Osservatorio permanente della School of Management del Politecnico di Milano, creato e gestito insieme al CEFRIEL e in collaborazione con Reed Exhibitions Italia, che pone l attenzione su uno dei temi più discussi negli ultimi anni: quello sull Information Security. Nonostante siano anni che questo tema è al centro di un ampio dibattito a livello sia internazionale sia italiano, abbiamo sentito comunque l esigenza di far nascere questo nuovo Osservatorio perché, a nostro avviso, serve una prospettiva diversa, che sappia affrontare con un taglio veramente integrato, sia gestionale sia tecnologico, un tema troppo spesso vissuto come un problema esclusivamente tecnico. Oggi si sta diffondendo una maggiore consapevolezza che l Information Security debba essere concepita come un insieme di soluzioni strettamente correlate di natura tecnologica, organizzativa e gestionale, per la cui individuazione non si può prescindere dall esame del contesto specifico dell impresa (in termini di strategia, assetto organizzativo, sistemi di gestione, business processes, prodotti/servizi, ecc.). L Osservatorio nasce da questa consapevolezza con due missioni principali: creare e diffondere la cultura dell Information Security Management in Italia, contribuendo ad una maggiore sensibilizzazione della rilevanza strategica che può assumere questo tema, anche a livello di top management aziendale; costituire il punto di riferimento per la community di attori (manager, professional, consulenti, technology e solution provider, ecc.) che operano con diversi ruoli in questo ambito. Nel suo primo anno di attività, l Osservatorio ha voluto adottare una prospettiva particolarmente ampia e sistemica, cercando in primis di investigare la governante strategica dell Information Security, a livello sia di scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione di ruoli e responsabilità, scelte di sourcing, ecc.) sia di configurazione dei processi decisionali chiave (in primis il processo di pianificazione e controllo). Lo ha fatto con una consistente analisi empirica, basata su interviste approfondite ad oltre una trentina di CISO (Chief Information Security Officer) o CSO (Chief Security Officer) di alcune tra le principali imprese italiane e una survey che ha coinvolto oltre 60 CIO (Chief Information Officer). Umberto Bertelè Andrea Rangone ICT SECURITY: QUALE GOVERNANCE? 7

9

10 Executive Summary Gli obiettivi della Ricerca I sistemi informativi, e, in generale, le tecnologie ICT costituiscono oramai il sistema nervoso di tutte le imprese. La sicurezza del patrimonio informativo (e delle infrastrutture ICT) è fondamentale per la sopravvivenza stessa di qualsiasi organizzazione, così come alcuni eventi del recente passato hanno dimostrato. Il tema è di per sé molto complesso, come dimostra già la proliferazione di termini e di definizioni che è possibile reperire sia in letteratura sia nella prassi: information security, ICT security, business security, corporate security, ecc. In questo Report concentreremo la nostra attenzione sull ICT Security, intesa come l insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT ( security of digitalised information ), ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni ICT ( security of ICT ). La complessità è incrementata dal crescente overlapping tra i vari domini di sicurezza con i problemi organizzativi e gestionali che ne conseguono. Si pensi per esempio alla sicurezza di prodotti e servizi erogati tramite piattaforme ICT, alla prevenzione e gestione delle frodi finanziarie, alle tecnologie ICT a supporto della sicurezza fisica, oppure ancora alla sicurezza dei sistemi di controllo dei processi industriali. È chiaro che un area così strategicamente rilevante e così complessa necessita di sistemi di governance appropriati, tali da garantire un adeguata visibilità e standing all interno dell organizzazione, l integrazione tra il piano strategico dell ICT Security e i programmi strategici complessivi dell impresa (per mezzo di opportune soluzioni organizzative), l allocazione di budget congruenti con gli obiettivi prefissati, nonché il monitoraggio dello stato di implementazione delle iniziative e la verifica dei risultati ottenuti. Si tratta delle scelte fondamentali di quella che abbiamo denominato governance strategica dell ICT Security, per distinguerla dalla governance più operativa (o gestionale ), che si occupa di definire policy e procedure operative (per lo sviluppo dei progetti e per la gestione delle operations), di mettere a punto standard e meccanismi di coordinamento per garantire efficacia ed efficienza delle attività di ICT Security. A nostro avviso, le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione ruoli e responsabilità, scelte di sourcing strategico), la configurazione dei processi strategici (in primis il processo di pianificazione e controllo), e le risorse umane (profili di competenze più appropriati per presidiare i diversi ambiti di responsabilità). In particolare, in questa fase sono stati analizzate le prime due dimensioni, mentre la terza classe di variabili sarà oggetto di uno dei prossimi step della Ricerca. Le configurazioni organizzative emergenti L analisi macro-organizzativa ha messo in luce l esistenza di quattro configurazioni organizzative, caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all ICT Security (governo, progettazione, sviluppo, gestione opera- ICT SECURITY: QUALE GOVERNANCE? 9

11 Executive Summary tiva e monitoraggio) in un unica organizzativa, tipicamente l unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall introduzione di un unità specifica di ICT Security (sempre all interno dell ICT), che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo (e spesso anche di identificazione delle soluzioni) sono assegnate alla funzione Corporate Security (o Sicurezza Aziendale ), mentre all ICT rimangono le attività di sviluppo e di esercizio. Infine, il quarto modello, denominato Multiplayer, che presenta la massima articolazione organizzativa. In questo caso, infatti, le attività di governo sono attribuite a una (o più) unità organizzative della funzione Corporate Security, la progettazione delle soluzioni è assegnata ad un apposita unità di ICT Security collocata all interno dell unità ICT, mentre lo sviluppo e la gestione delle attività correnti sono sempre attribuite alle corrispondenti unità ICT. La Ricerca ha cercato quindi di comprendere quali siano i fattori di contesto che spiegano l adozione di una di queste quattro configurazioni organizzative. In particolare, il primo driver analizzato è stata la dimensione dell unità ICT, che appare positivamente correlata con la complessità delle soluzioni adottate, anche se non sembra spiegare del tutto le scelte organizzative delle imprese. Ancor più interessante è risultato il settore di attività: in particolare, il modello ICT Centric risulta quello adottato praticamente dalla totalità delle imprese del settore banking analizzate, mentre le telco sembrano preferire il modello Multiplayer, e quelle del settore energy optano prevalentemente per il modello Segregation. Questo fenomeno si spiega se si pensa al ruolo che il settore esercita nel determinare la complessità (e la rilevanza relativa) dei diversi ambiti dell ICT Security (sviluppo prodotti e servizi ICT based, rischio frodi informatiche, sicurezza fisica/ industriale, tutela proprietà intellettuale, ecc.). Al contrario, il profilo di Sourcing scelto per l ICT non sembra avere particolare influenza sulle scelte organizzative dell ICT Security, almeno a livello macro. Il governo dei processi decisionali strategici La seconda parte della Ricerca ha riguardato l analisi dei processi di pianificazione e controllo, di fondamentale importanza per un corretto indirizzo strategico delle attività di ICT Security, per la misurazione delle performance ottenute, nonché per il miglioramento continuo dei sistemi di gestione. Si è innanzitutto analizzato il processo che porta all elaborazione del piano strategico dell ICT Security. In particolare, con riferimento al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell impresa (processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza). A riprova di ciò, solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. Più frequentemente ci si limita alla formulazione di un piano annuale (in occasione del processo di budgeting dell impresa), eccezion fatta per le grandi decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Il livello di formalizzazione del processo di elaborazione del piano strategico ha un impatto anche sul grado di coinvolgimento delle varie unità aziendali. I comitati di sicurezza, infatti, prevedono la presenza dei responsabili di diverse unità aziendali (ICT, Corporate Security, Internal Audit, HR, ecc.), e talvolta anche del CEO (o figura equivalente). Di converso, nei casi meno strutturati, l ICT Security appare ancora confinata nell ambito dell ICT, il che comporta inevitabilmente il rischio di una limitata vision strategica. Considerazioni simili valgono per quanto concerne le metodologie di analisi utilizzate: in particolare, il ricorso alla risk analysis in molti casi non è ancora siste- 10 ICT SECURITY: QUALE GOVERNANCE?

12 Executive Summary matico, e spesso non rappresenta il punto di partenza per l individuazione delle iniziative da inserire nel piano. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in quest ambito e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta a effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell ICT strategy execution e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un po troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). L analisi settoriale Il quadro di sintesi che emerge dall analisi condotta vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell utilizzo delle tecnologie, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all ICT Security, che per qualità dei sistemi di gestione, anche se, come si è visto, in alcuni aree sussistono ancora ampi margini di miglioramento. Interessanti segnali positivi giungono da imprese di alcuni altri settori che, per diversi motivi (crescente rilevanza strategica delle tecnologie ICT, tutela proprietà intellettuale, ecc.), stanno investendo significativamente anche sui sistemi di governance, anche se va detto che in generale, al di fuori dei due settori sopra citati, l importanza strategica dell ICT Security, e i rischi connessi all adozione di sistemi di gestione non adeguati, non sembrano essere stati ancora pienamente compresi. A questo riguardo, forse un catalizzatore del cambiamento potrà essere rappresentato dal crescente peso della normativa di carattere generale (cross industry), che sempre più spesso impone alle imprese l adozione di soluzioni organizzative e strumenti di auditability, nonché dalle sfide imposte dalle nuove tecnologie e dai nuovi modelli organizzativi aziendali (si pensi alla secure mobility o alla virtualizzazione). Le aree di investimento Nell ambito dell analisi abbiamo anche chiesto alle aziende quali fossero le priorità ICT SECURITY: QUALE GOVERNANCE? 11

13 Executive Summary strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori industry specific, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell ICT Security. Tuttavia, si possono individuare alcune risposte ricorrenti, anche se non si può parlare di veri e propri trend. In particolare, l attenzione delle imprese sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security (SOC e simili). Paolo Maccarrone Luca Marzegalli 12 ICT SECURITY: QUALE GOVERNANCE?

14 1. La governance dell ICT Security: un framework di riferimento La definizione del raggio d azione dell ICT Security Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie; spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni mission critical, quali piani strategici, brevetti, ecc.); utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici delle aziende; falsificazioni dei dati di bilancio; intercettazioni non autorizzate; estorsioni. I fatti di cui sopra sono quasi sempre riconducibili al tema della sicurezza delle informazioni. L Information Security può essere quindi definita come l insieme delle misure, di natura tecnologica, organizzativa e legale, volte a impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate, e dal supporto fisico sul quale siano custodite. L ICT Security è generalmente considerata una componente dell Information Security, focalizzata sulla protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. In realtà questa definizione o, meglio, questa concezione dell ICT Security per essere completa deve tenere conto non solo della protezione (confidenzialità, integrità, disponibilità) del dato elementare/delle informazioni proprietarie dell organizzazione, ma anche della protezione delle infrastrutture e delle applicazioni ICT da attacchi o manomissioni che ne possano compromettere il regolare funzionamento. La compromissione dell infrastruttura può infatti portare al blocco temporaneo dei processi aziendali (per esempio, nel caso di attacchi che causano spamming e conseguente saturazione della capacità di banda), causando quindi un danno economico all azienda (si pensi per esempio al blocco di un sito di web banking o di e-commerce). Si comprende pertanto che il tema dell ICT Security è una componente fondamentale sia dell Information Security sia di quella che potremmo chiamare Business Security (Figura 1.1). ICT SECURITY: QUALE GOVERNANCE? 13

15 Capitolo 1 La governance dell ICT Security: un framework di riferimento Figura 1.1 Information Security, Business Security e ICT Security Information Security Business Security Dato Servizio Processo ICT ICT Security Si può notare inoltre il ruolo sempre maggiore dell ICT anche in altre tipologie di sicurezza quali ad esempio la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi (Figura 1.2). Alcuni esempi significativi sono: molti impianti di video sorveglianza sono oramai basati su sistemi digitali e le informazioni sono trasferite attraverso le reti dati IP. La protezione di questi apparati da attacchi e manomissioni è quindi fondamentale per garantire la corretta operatività degli addetti alla sicurezza fisica, e, quindi, adeguata protezione degli asset fisici e delle persone; la gestione dell allarmistica è tipicamente affidata a centrali di controllo totalmente basate su applicazioni ICT: il corretto funzionamento di tali applicazioni, che ovviamente dipende anche dal loro livello di sicurezza ICT, costituisce quindi prerequisito fondamentale per garantire adeguati standard di sicurezza sul lavoro; le frodi finanziarie vengono quasi sempre attuate sfruttando le infrastrutture e le applicazioni ICT. Ne è un esempio l alterazione dei sistemi di tariffazione (billing) nell ambito delle imprese telco, o di applicazioni che si occupano delle transazioni finanziarie nel banking, agendo per esempio sull alterazione del workflow autorizzativo, o tramite furto di identità digitale. Sempre più spesso, quindi, chi si occupa di prevenzione e gestione frodi deve ricorrere agli esperti di ICT Security. Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza Sicurezza processi business Sicurezza industriale ICT Security Sicurezza fisica Sicurezza sul lavoro Fraud Management Quest ultimo punto può essere ricondotto a un tema più generale: il design sicuro delle applicazioni ICT. Questo vale: per le applicazioni gestionali (ERP, CRM e simili); per le applicazioni business oriented basate su tecnologie ICT: si tratta di un aspetto particolarmente critico per tutte le imprese la cui offerta di prodotti/servizi è erogata 14 ICT SECURITY: QUALE GOVERNANCE?

16 La governance dell ICT Security: un framework di riferimento Capitolo 1 principalmente (se non esclusivamente) utilizzando le tecnologie ICT. Si fa riferimento ovviamente alle telco, ma anche alle banche (si pensi per esempio al web o al mobile banking), nonché alle media company; per tutti i sistemi di controllo dei processi industriali (cosiddetti sistemi SCADA e simili). Oltre a dover gestire i progetti e i servizi specifici di ICT Security, i responsabili dell ICT Security devono quindi garantire la giusta componente di security in ogni progetto in cui si faccia uso di soluzioni ICT e quindi, considerata la sempre maggiore pervasività dell ICT, praticamente in tutte le attività aziendali. Si può quindi affermare che esistono due macro-aree distinte di attività (si veda la Figura 1.3): la prima include le attività e i progetti specifici di ICT Security (sicurezza infrastrutturale delle reti, patching dei sistemi informativi, profilazione e autenticazione utenti, ecc.); la seconda comprende tutte le attività volte a garantire il rispetto dei requisiti di sicurezza all interno di tutte le soluzioni ICT. Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT ICT Projects ICT Security ICT Security Projects Progetto A Identity Management Progetto B Progetto C Progetto D SICUREZZA Network Access Control Inoltre, la gestione delle attività legate all ICT Security è piuttosto complessa, per diversi motivi: la costante evoluzione tecnologica, che offre nuove opportunità alle imprese da un lato, ma dall altro le espone continuamente a nuovi rischi, legati a nuove vulnerabilità e a nuove minacce che vengono continuamente messe a punto dagli attacker ; qualsiasi iniziativa ha un effetto pervasivo sull organizzazione, nonché spesso invasivo sul modo di lavorare delle persone (con i conseguenti rischi di resistenza o, comunque, di inerzia al cambiamento). La governance dell ICT Security Risulta quindi evidente l importanza di dotarsi di un appropriata governance dell ICT Security, che assicuri la giusta rilevanza strategica al tema, fattore chiave per ottenere adeguati livelli di efficacia ed efficienza delle iniziative. Nella letteratura, così come nella prassi, non vi è piena convergenza sulla definizione di ICT Security Governance (come peraltro accade anche per l ICT Governance nel suo complesso), né sul relativo spettro di attività (e quindi sull output). Cercando di mettere insieme i principali approcci e contributi, ne emerge che obiettivo dell ICT Security Governance è quello di dotare l impresa di: una strategia di ICT Security ben definita, e collegata agli obiettivi di business (nonché a quelli dell ICT); una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; meccanismi di pianificazione e controllo; ICT SECURITY: QUALE GOVERNANCE? 15

17 Capitolo 1 La governance dell ICT Security: un framework di riferimento metodologie di risk analysis/management appropriate; adeguate policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; standard di riferimento che assicurino procedure adeguate e rispetto delle policy; processi di monitoraggio e controllo adeguati, che assicurino feed-back tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento; meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure (e, quindi, una costante riduzione del livello di rischio complessivo). Da questo elenco risulta abbastanza chiaramente come vi siano alcuni elementi di natura più strategica affiancati da aspetti di carattere più gestionale. In particolare i primi tre punti fanno riferimento a quella che possiamo identificare come la governance strategica dell ICT Security. La governance strategica dell ICT Security deve essere vista come un elemento della governance complessiva dell impresa (Figura 1.4). Ne è la riprova il fatto che alcuni elementi legati all ICT, o, più in generale, all Information Security, facciano parte di documenti di governance di più alto livello, quale ad esempio il codice etico aziendale. Questo però comporta che sia coinvolto il Top Management aziendale, il che avviene tipicamente attraverso la costituzione di Task Force o Comitati. Le leve che possono essere utilizzate per la progettazione della governance dell ICT Security sono fondamentalmente tre: l organizzazione, intesa qui nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonchè modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo (si fa riferimento ai processi di pianificazione e controllo, alle policy, agli standard); le risorse, le competenze e la cultura: si tratta della leva progettuale che agisce sugli input, e in particolare sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Figura 1.4 La governance dell ICT Security Corporate Governance ICT Governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura In questa fase della Ricerca l attenzione si è concentrata sulle prime due leve, ovvero le scelte macro-organizzative e processo di pianificazione e controllo, che saranno oggetto dei seguenti due capitoli. 16 ICT SECURITY: QUALE GOVERNANCE?

18 2. Gli assetti organizzativi macro dell ICT Security Nel presente capitolo si affronterà uno dei tre aspetti del governo strategico dell ICT Security, e cioè l impostazione organizzativa. Per affrontare in modo strutturato il tema dell organizzazione delle funzioni connesse all ICT Security occorre partire dall identificazione delle attività specifiche e di quelle correlate al tema specifico della sicurezza. Questo risulta fondamentale in quanto, normalmente, quando si affronta il tema dell organizzazione degli aspetti di ICT Security la domanda usuale che ci si pone riguarda il posizionamento o meno dell ICT Security all interno della direzione ICT. Come si vedrà in seguito, la questione è, in realtà, più complessa in quanto più unità organizzative sono coinvolte nelle attività di ICT Security. Le attività La classificazione e soprattutto la nomenclatura delle attività non è ancora patrimonio comune tra i professionisti che agiscono nel settore. Nel corso delle interviste le attività più frequentemente menzionate sono riconducibili alle seguenti tipologie (Figura 2.1): Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o Identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Figura 2.1 Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Le principali attività dell ICT Security Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Definizione delle policy e delle procedure operative Le politiche e le procedure operative possono essere indirizzate a diversi soggetti (utenti dei sistemi informativi o amministratori/gestori dei sistemi) e spesso sono specifiche per un particolare ambito (sistema o servizio). Tali politiche e procedure sono sviluppate a partire dalla visione aziendale del tema della ICT SECURITY: QUALE GOVERNANCE? 17

19 Capitolo 2 Gli assetti organizzativi macro dell ICT Security sicurezza, e si caratterizzano per il fatto di avere un livello di dettaglio tale da permetterne la verifica di applicazione in modo oggettivo e non opinabile. In alcune aziende è stata riscontrata l esistenza di un unità organizzativa dedicata a quest attività la cui nomenclatura è tipicamente Policy o Politiche e Procedure. Pianificazione e Controllo Quest attività permette la redazione del piano di progetti da intraprendere e garantisce il controllo del raggiungimento degli obiettivi. L attività di Pianificazione e Controllo qui citata verrà approfondita nel capitolo successivo. Progettazione e/o Identificazione dei sistemi e delle soluzioni Il risultato di questa attività è il piano dettagliato dell intervento da effettuare, comprensivo dell identificazione degli strumenti da utilizzare ed eventualmente da sviluppare. In questa fase si definiscono anche i processi di supporto per l implementazione degli interventi identificati. Inoltre in questo ambito rientra anche la verifica degli aspetti di sicurezza dei nuovi servizi e delle nuove applicazioni ICT. È oramai evidente che tali aspetti debbano essere considerati fin dalla progettazione delle nuove applicazioni. Le competenze per valutare la sicurezza delle applicazioni spesso non sono disponibili direttamente nel team di progetto e per questo serve una struttura centrale in grado di fornire supporto di tipo consulenziale sull ICT Security ai singoli team di progetto. Tra l altro il fatto che la valutazione della sicurezza ICT e delle contromisure da implementare avvenga da parte di persone non direttamente coinvolte nel progetto permette una corretta gestione delle priorità e garantisce una uniformità all interno dell azienda. In alcune realtà è stata riscontrata l esistenza di un unità organizzativa volta a questo scopo e denominata Ingegneria della Sicurezza. Implementazione dei sistemi e delle soluzioni Questa fase comprende la realizzazione di quanto definito nella fase precedente e inoltre provvede a quanto necessario per porre il tutto in esercizio affinché il sistema o la soluzione possano diventare operativi. Questa attività nella maggior parte dei casi non è affidata, neanche per i sistemi e le soluzioni di ICT Security, ad unità che si occupano esclusivamente di Security, ma è demandata alle strutture di sviluppo di ICT. Gestione Operativa dei sistemi e delle soluzioni Nella gestione operativa dei sistemi e delle soluzioni ricadono tutte le operazioni ordinarie di gestione dei sistemi e di applicazione delle procedure operative definite. Esempi che ricadono in questa tipologia sono l aggiornamento delle configurazioni e la gestione dei guasti degli apparati specifici di Security, come possono essere ad esempio i Firewall. In alcuni casi vi è in azienda un unità organizzativa denominata Security Operation Center che può avere, tra le altre, anche questa responsabilità. 18 ICT SECURITY: QUALE GOVERNANCE?

20 Gli assetti organizzativi macro dell ICT Security Capitolo 2 Monitoraggio Il monitoraggio comprende attività che spaziano dall analisi della compliance a normative e policy all analisi delle informazioni di sicurezza, al fine di evidenziare anomalie. In talune realtà vi è una specifica unità organizzativa denominata Compliance che si occupa della verifica dell attuazione delle policy. L analisi delle informazioni di sicurezza, in determinati casi, è parte dei compiti di un unità specifica denominata Security Operation Center. Queste attività sono allocate in unità organizzative diverse a seconda della specifica realtà. Nel paragrafo successivo verranno delineate le scelte più ricorrenti, nonché i fattori che hanno maggiore influenza in tale scelta. Le configurazioni organizzative emergenti Vi è una prima scelta che contraddistingue l impostazione data al modello organizzativo, che consiste nel collocare competenze di ICT Security in unità organizzative distinte o nella centralizzazione del tutto in un unica unità organizzativa. Il modello All in One Il primo modello, che denomineremo modello All in One, è contraddistinto dall assegnazione ad un unica unità organizzativa delle responsabilità sulle attività elencate nel seguito: Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Questa struttura di solito è collocata all interno della Direzione ICT nell unità che si occupa delle infrastrutture e della rete, secondo quanto illustrato nella Figura 2.2. ICT Figura 2.2 Il modello All in One Operations Solutions Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Il modello ICT Centric Qualora l azienda decida di operare un primo livello di separazione delle responsabilità, la prima distinzione operata è tra le attività di governo e le attività operative. ICT SECURITY: QUALE GOVERNANCE? 19

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009 Copyright e utilizzo dei contenuti

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

Integrazione sicurezza fisica e logica: strategie e benefici per la banca Integrazione sicurezza fisica e logica: strategie e benefici per la banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2009 Roma, 9 giugno 2009 Agenda Gli orientamenti

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile

Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Osservatorio Cloud & ICT as a Service Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Mariano Corso Stefano Mainetti 17 Dicembre 2013 Collaborative Business

Dettagli

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO

Come passare dal budget tradizionale al piano d azione annuale: il caso GDO Come passare dal budget tradizionale al piano d azione annuale: il caso GDO di Massimo Lazzari e Davide Mondaini (*) L evoluzione rapida e irreversibile dei contesti di riferimento in cui le aziende si

Dettagli

PROGETTO DI FORMAZIONE SUL TEMA

PROGETTO DI FORMAZIONE SUL TEMA FIRENZE 1 PROGETTO DI FORMAZIONE SUL TEMA IL SISTEMA DI PROGRAMMAZIONE E CONTROLLO: RIFERIMENTI CONCETTUALI E NORMATIVI POSTI A CONFRONTO CON LA REALTÀ AZIENDALE FIRENZE 2 INDICE PREMESSA 3 MOTIVAZIONI

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE Sintesi dei risultati della seconda edizione dell Osservatorio Realizzato da: In collaborazione con: RISKGOVERNANCE 1 INDICE DEI CONTENUTI Copyright

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE http://www.sinedi.com ARTICOLO 9 FEBBRAIO 2007 ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE La formulazione della strategia aziendale rappresenta un momento estremamente importante per tutte

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia Si definisce Risk Management - o gestione del rischio - il complesso di attività mediante le quali si misura o si stima il

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Security Convergence: lo stato dell arte dall inizio del secolo

Security Convergence: lo stato dell arte dall inizio del secolo Security Convergence: lo stato dell arte dall inizio del secolo Milano, 14 dicembre 2011 Chairman of the ASIS International Security Convergence Subcommittee Contenuto della presentazione Agenda Cosa si

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009 Insight N. 27 Ottobre 2009 Chief Financial Officer. Una professione in continua evoluzione (Survey) In uno scenario di business e finanziario sempre più volatile, il Chief Financial Officer (CFO) si trova

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Classificare e proteggere i dati

Classificare e proteggere i dati Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG

Dettagli

Italia: Imprese e Futuro Giugno 2010

Italia: Imprese e Futuro Giugno 2010 Giugno 2010 Premessa L obiettivo dell indagine è stato quello di registrare il sentire delle Aziende Italiane rispetto alla situazione economica attuale e soprattutto quali sono le aspettative per gli

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno Argomenti della lezione 1 - Controllo Interno: definizione e componenti 2 - Ambiente di controllo 3 - Valutazione

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Costi, ricavi IT e Audit. Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it

Costi, ricavi IT e Audit. Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it Costi, ricavi IT e Audit Fabio Nervegna Cell. 335-5377988 fabio.nervegna@altran.it 1 Premessa 2 Idea: la genesi 3 Le motivazioni 4 Descrizione tematica: idea e contesto, obiettivi 5 Approccio metodologico

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

Scenari di sviluppo e innovazione nelle forme e nei sistemi di pagamento

Scenari di sviluppo e innovazione nelle forme e nei sistemi di pagamento CeTIF Competence Centre 2008 Scenari di Sviluppo e innovazione CETIF Centro di Ricerca su Tecnologie, Innovazione e servizi Finanziari Dipartimento di Scienze dell Economia e della Gestione Aziendale Università

Dettagli

www.osservatori.net - CHI SIAMO

www.osservatori.net - CHI SIAMO Virtual Workspace ed Enterprise 2.0: prospettive e barriere di una rivoluzione annunciata Mariano Corso Politecnico di Milano www.osservatori.net - CHI SIAMO Nati nel 1998, gli Osservatori ICT della School

Dettagli

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale 1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale della RGS, del CNIPA e di ingegneri dell Ordine di

Dettagli

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende QUALITA UNINDUSTRIA INNOVAZIONE METODO UMIQ Il metodo UMIQ Unindustria Bologna Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende Obiettivi del corso Fornire

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI

Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

CIO Survey 2013 Executive Summary Iniziativa promossa

CIO Survey 2013 Executive Summary Iniziativa promossa CIO Survey 2013 Executive Summary Iniziativa promossa da CIO Survey 2013 NetConsulting 2013 1 CIO Survey 2013: Executive Summary Tanti gli spunti che emergono dall edizione 2013 della CIO Survey, realizzata

Dettagli

Data Privacy Policy. Novembre 2013. Pagina 1 di 10

Data Privacy Policy. Novembre 2013. Pagina 1 di 10 Data Privacy Policy Novembre 2013 Pagina 1 di 10 INDICE I) PRINCIPI... 3 1 Obiettivi... 3 2 Requisiti e Standards minimi... 3 3 Ruoli e Responsabilità... 4 4 Consapevolezza e formazione... 5 5 Processi

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione I sistemi gestionali e le Piccole Medie Imprese A cura di Fabrizio Amarilli Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione Articoli Sono noti

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Il Piano di comunicazione

Il Piano di comunicazione Il Piano di comunicazione 23 lezione 11 novembre 2011 Cosa è un piano di comunicazione Il piano di comunicazione è uno strumento utilizzato da un organizzazione per programmare le proprie azioni di comunicazione

Dettagli

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito.

EXECUTIVE SUMMARY 4 1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO. 1.1 La metodologia descrittiva Errore. Il segnalibro non è definito. Convergenza tra sicurezza fisica, logica e antifrode: analisi dei principali scenari di compromissione dei dispositivi ATM e degli strumenti tecnologici in dotazione a Poste Italiane S.p.A Mirella Ricci

Dettagli

APPENDICE: LA CONTABILITÀ AMBIENTALE E LA RICLASSIFICAZIONE DELLE SPESE AMBIENTALI

APPENDICE: LA CONTABILITÀ AMBIENTALE E LA RICLASSIFICAZIONE DELLE SPESE AMBIENTALI APPENDICE: LA CONTABILITÀ AMBIENTALE E LA RICLASSIFICAZIONE DELLE SPESE AMBIENTALI La contabilità ambientale: uno strumento per la sostenibilità La contabilità ambientale può essere definita come un sistema

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione COMUNE DI TRENTO Servizio Programmazione e Controllo via Belenzani 22 38100 Trento Telefono: 0461-884162; Fax: 0461-884168 e_mail: servizio_programmazione@comune.trento.it Sito internet dell amministrazione:

Dettagli

Le nuove professioni nella Banca che cambia: Agenda dell intervento

Le nuove professioni nella Banca che cambia: Agenda dell intervento Le nuove professioni nella Banca che cambia: Agenda dell intervento L evoluzione del contesto e le forze trainanti Le nuove professioni nel settore bancario Le sfide per il settore A caccia di talenti

Dettagli

Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda

Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda Le esternalizzazioni di alcune funzioni aziendali: l esperienza lombarda Pietro Galbiati Buongiorno a tutti. 1 Il mio compito è quello di presentare in sintesi come stiamo affrontando il tema della esternalizzazione

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ La qualità dei servizi e delle politiche pubbliche è essenziale per la competitività del sistema economico e per il miglioramento delle condizioni di vita dei

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

PARTE SECONDA La pianificazione strategica

PARTE SECONDA La pianificazione strategica PARTE SECONDA La pianificazione strategica 1. La pianificazione strategica dell impresa marketing oriented Di cosa parleremo Tutte le principali economie sono attualmente caratterizzate da continui e repentini

Dettagli

CSR nelle istituzioni finanziarie:

CSR nelle istituzioni finanziarie: ATTIVITA DI RICERCA 2014 CSR nelle istituzioni finanziarie: strategia, sostenibilità e politiche aziendali PROPOSTA DI ADESIONE in collaborazione con 1 TEMI E MOTIVAZIONI La Responsabilità Sociale di Impresa

Dettagli

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA CICLO DI SEMINARI ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA Le importanti evoluzioni dei sistemi economici e dei mercati finanziari

Dettagli

Dalla motivazione del personale al miglioramento della qualità dei Servizi Sanitari

Dalla motivazione del personale al miglioramento della qualità dei Servizi Sanitari Dalla motivazione del personale al miglioramento della qualità dei Servizi Sanitari Definizione di progetto Cos è un progetto Progetto si definisce, di regola, uno sforzo complesso di durata solitamente

Dettagli

PMO: così fanno le grandi aziende

PMO: così fanno le grandi aziende PMO: così fanno le grandi aziende Tutte le grandi aziende hanno al loro interno un PMO - Project Management Office che si occupa di coordinare tutti i progetti e i programmi aziendali. In Italia il project

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il sistema di misurazione e valutazione della CCIAA di BRINDISI Adeguamento dei sistemi di misurazione e valutazione ai sensi del dlgs 150/2009

Il sistema di misurazione e valutazione della CCIAA di BRINDISI Adeguamento dei sistemi di misurazione e valutazione ai sensi del dlgs 150/2009 Il sistema di misurazione e valutazione della CCIAA di BRINDISI Adeguamento dei sistemi di misurazione e valutazione ai sensi del dlgs 150/2009 Versione 1.0 1 Indice 1. COS E IL SISTEMA DI MISURAZIONE

Dettagli

Affianchiamo l imprenditore ed i suoi collaboratori nella gestione della complessità nella quale l azienda quotidianamente si muove

Affianchiamo l imprenditore ed i suoi collaboratori nella gestione della complessità nella quale l azienda quotidianamente si muove Dr. Mario Venturini Professionista operante in conformità alla Legge n. 4 del 14 /01/2013 Certified Management Consultant - Socio qualificato APCO-CMC n 2003/0042 Affianchiamo l imprenditore ed i suoi

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1

INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 INFORMATIVA AL PUBBLICO AI SENSI DEL PROVVEDIMENTO BANCA D ITALIA 24 OTTOBRE 2007 TITOLO III CAPITOLO 1 Premessa Il Regolamento della Banca d Italia in materia di vigilanza prudenziale per le SIM (Titolo

Dettagli

PERCORSO CAF EDUCATION

PERCORSO CAF EDUCATION PERCORSO CAF EDUCATION FEEDBACK REPORT INTEGRATO RAV-PDM CODICE MECCANOGRAFICO MEIC851001 SCUOLA IC SALVO D ACQUISTO MESSINA AMBITO DI AV DELLA SCUOLA* (X ) COMPLETO - ( ) PARZIALE GENNAIO 2014 1 PARTE

Dettagli

sfide del ventunesimo Secolo

sfide del ventunesimo Secolo 21 Century Finance Survey Ottimizzare i le potenzialità, garantire i risultati. ti Il CFO di fronte alle sfide del ventunesimo Secolo Copyright 2013 - Business International È vietata la riproduzione,

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Ottobre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Perugia NetConsulting 2012 1

Dettagli

PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE

PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE PIANIFICAZIONE ED ORGANIZZAZIONE un team di professionisti al servizio della tua banca La definizione degli obiettivi strategici e di sviluppo è da sempre un esigenza connaturata nella realtà di Cassa

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE

STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE STATUTO DELL AZIENDA OSPEDALIERO-UNIVERSITARIA MEYER INDICE SEZIONE Titolo 4 - STRUMENTI DI GESTIONE Art. 26 - Pianificazione strategica e controllo strategico Art. 27 - Sistema di budget Art. 28.1 - Bilancio

Dettagli

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE OFFERTA FORMATIVA Titolo: MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE Padova, Roma e Bologna. Destinatari: Il Master si rivolge a laureati, preferibilmente in discipline economiche,

Dettagli

Il Piano Industriale

Il Piano Industriale LE CARATTERISTICHE DEL PIANO INDUSTRIALE 1.1. Definizione e obiettivi del piano industriale 1.2. Requisiti del piano industriale 1.3. I contenuti del piano industriale 1.3.1. La strategia realizzata e

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Speciale: I casi. Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA

Speciale: I casi. Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA Estratto dell'agenda dell'innovazione e del Trade Bologna 2011 Speciale: I casi Introduzione dell'area tematica IL CASO FEDERAZIONE DELLE BCC DELL'EMILIA- ROMAGNA Innovare e competere con le ICT: casi

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

HR Primo Business Partner Aziendale

HR Primo Business Partner Aziendale HR Primo Business Partner Aziendale di Luca Battistini Direttore HR Phone & Go Spa; Presidente della web community Fior di Risorse Le persone al centro. H1 Hrms sistema integrato di gestione del personale

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli