ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management"

Transcript

1 ICT Security: quale Governance? Rapporto 2008 Osservatorio Information Security Management Febbraio 2008

2 Indice pagina Introduzione di Umberto Bertelè e Andrea Rangone 7 Executive Summary di Paolo Maccarrone e Luca Marzegalli 9 1. La governance dell ICT Security: un framework di riferimento 13 La definizione del raggio d azione dell ICT Security 13 La governance dell ICT Security Gli assetti organizzativi macro dell ICT Security 17 Le attività 17 Le configurazioni organizzative emergenti 19 I driver che influenzano la scelta dell assetto organizzativo 22 L evoluzione dei modelli 25 I benefici e i rischi insiti nelle scelte dei diversi modelli 26 La strutturazione interna dell unità ICT Security Il processo di pianificazione e controllo 33 La definizione del piano strategico 33 L elaborazione del budget 37 L analisi costi/benefici 39 Il controllo strategico: i sistemi di misurazione delle prestazioni 40 I fattori critici di successo Le esperienze a confronto 43 Appendice: I risultati della Survey 53 La struttura organizzativa dell ICT Security 53 Il processo di pianificazione e controllo 57 La gestione dei progetti di ICT Security 61 Nota metodologica 63 Il Gruppo di Lavoro 65 La School of Management 67 La School of Management del Politecnico di Milano 67 Gli Osservatori ICT & Management 67 Il MIP 69 Il CEFRIEL 71 Il CEFRIEL 71 Il centro di competenza in Information Security 73 I sostenitori della Ricerca 75 ICT SECURITY: QUALE GOVERNANCE? 1

3

4 Indice Figure pagina Figura 1.1 Information Security, Business Security e ICT Security 14 Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza 14 Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT 15 Figura 1.4 La governance dell ICT Security 16 Figura 2.1 Le principali attività dell ICT Security 17 Figura 2.2 Il modello All in One 19 Figura 2.3 Il modello ICT Centric 20 Figura 2.4 Il modello Segregation 21 Figura 2.5 Il modello Multiplayer 22 Figura 2.6 L analisi del driver Dimensione del Dipartimento ICT 22 Figura 2.7 L analisi del driver Settore 23 Figura 2.8 I fattori che influenzano la correlazione settore modello organizzativo 24 Figura 2.9 L analisi del driver Modello di Sourcing 25 Figura 2.10 Le dimensioni dell unità ICT Security nei casi analizzati 27 Figura 2.11 L organizzazione interna dell ICT Security basata sulla separazione 27 IT/Rete Figura 2.12 L organizzazione interna dell ICT Security basata sulla separazione 28 per Business Unit Figura 2.13 L organizzazione interna ICT Security basata sull area tematica di 28 competenza Figura 2.14 L organizzazione interna dell unità organizzativa Corporate Security 28 Figura 2.15 Le relazioni tra l ICT Security e le altre unità organizzative 29 Figura 3.1 I rischi legati all utilizzo di metodologie di risk analysis inappropriate 36 Figura 3.2 I diversi approcci alla risk analysis in ambito ICT Security 37 Figura A.1 Esiste una struttura che si occupa di ICT Security all interno della 53 Figura A.2 Direzione Corporate Security? 54 Figura A.3 Esiste una struttura che si occupa di ICT Security all interno della 54 Direzione ICT? Figura A.4 Se esiste una struttura ICT Security all interno della direzione ICT 55 questa è composta da quante persone? Figura A.5 I modelli organizzativi 55 Figura A.6 L analisi del driver Dimensione del Dipartimento ICT 56 Figura A.7 L analisi del driver Modello di Sourcing 56 Figura A.8 Il modello organizzativo inerente all ICT Security 57 Figura A.9 È previsto un processo formale di pianificazione strategica delle 57 iniziative in ambito ICT Security (Master Plan ICT/Information Security)? Figura A.10 Qual è la periodicità con cui viene elaborato il piano delle iniziative 58 in ambito ICT Security, se previsto? Figura A.11 Qual è l unità formalmente responsabile per l elaborazione del piano 58 di Information Security (progetti/attività correnti)? Figura A.12 Quali sono i principali stimoli nell identificazione di nuovi progetti 58 di ICT Security? Figura A.13 Quali sono le direzioni/divisioni aziendali che forniscono il maggior 59 numero di input per la messa a punto degli interventi di ICT Security? ICT SECURITY: QUALE GOVERNANCE? 3

5 Figura A.14 Per la definizione delle iniziative si fa ricorso ad approcci strutturati di risk 59 Figura A.15 analysis/risk management? I progetti di investimento in ICT/Information Security di natura 60 Figura A.16 discrezionale (non mandatory per adeguamento a normativa) sono soggetti a un processo formale di approvazione che include una valutazione economico-finanziaria (ritorno dell investimento)? È prevista la definizione di un budget (esplicito) per l ICT Security 60 Figura A.17 nell ambito del processo di budgeting annuale? Qual è la percentuale del budget ICT Security rispetto al budget ICT 60 Figura A.18 complessivo? Qual è il trend del budget ICT Security? 61 Figura A.19 Esistono sistemi di misurazione delle prestazioni (KPI) specificamente 61 Figura A.20 sviluppati per quest area? Quali sono a suo avviso i principali fattori critici di successo nella gestione dei progetti di ICT security? I progetti in corso 62 Figura A.21 I progetti futuri 62 4 ICT SECURITY: QUALE GOVERNANCE?

6 Indice Box pagina Box 2.1 Le altre unità organizzative coinvolte nell ICT Security 29 Box 3.1 Le principali aree di investimento 41 Box Italia 43 Box 4.2 Auchan 43 Box 4.3 Banca Popolare di Sondrio 44 Box 4.4 Cariparma 45 Box 4.5 Eni 45 Box 4.6 Fastweb 46 Box 4.7 Heineken Italia 47 Box 4.8 Logista 47 Box 4.9 Mediaset 48 Box 4.10 SEAT Pagine Gialle 49 Box 4.11 TNT Post 49 Box 4.12 Vodafone Italia 50 Box Box 4.14 UniCredit Global Information Services (UGIS) 52 ICT SECURITY: QUALE GOVERNANCE? 5

7

8 Introduzione È questo il primo Rapporto di un nuovo Osservatorio permanente della School of Management del Politecnico di Milano, creato e gestito insieme al CEFRIEL e in collaborazione con Reed Exhibitions Italia, che pone l attenzione su uno dei temi più discussi negli ultimi anni: quello sull Information Security. Nonostante siano anni che questo tema è al centro di un ampio dibattito a livello sia internazionale sia italiano, abbiamo sentito comunque l esigenza di far nascere questo nuovo Osservatorio perché, a nostro avviso, serve una prospettiva diversa, che sappia affrontare con un taglio veramente integrato, sia gestionale sia tecnologico, un tema troppo spesso vissuto come un problema esclusivamente tecnico. Oggi si sta diffondendo una maggiore consapevolezza che l Information Security debba essere concepita come un insieme di soluzioni strettamente correlate di natura tecnologica, organizzativa e gestionale, per la cui individuazione non si può prescindere dall esame del contesto specifico dell impresa (in termini di strategia, assetto organizzativo, sistemi di gestione, business processes, prodotti/servizi, ecc.). L Osservatorio nasce da questa consapevolezza con due missioni principali: creare e diffondere la cultura dell Information Security Management in Italia, contribuendo ad una maggiore sensibilizzazione della rilevanza strategica che può assumere questo tema, anche a livello di top management aziendale; costituire il punto di riferimento per la community di attori (manager, professional, consulenti, technology e solution provider, ecc.) che operano con diversi ruoli in questo ambito. Nel suo primo anno di attività, l Osservatorio ha voluto adottare una prospettiva particolarmente ampia e sistemica, cercando in primis di investigare la governante strategica dell Information Security, a livello sia di scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione di ruoli e responsabilità, scelte di sourcing, ecc.) sia di configurazione dei processi decisionali chiave (in primis il processo di pianificazione e controllo). Lo ha fatto con una consistente analisi empirica, basata su interviste approfondite ad oltre una trentina di CISO (Chief Information Security Officer) o CSO (Chief Security Officer) di alcune tra le principali imprese italiane e una survey che ha coinvolto oltre 60 CIO (Chief Information Officer). Umberto Bertelè Andrea Rangone ICT SECURITY: QUALE GOVERNANCE? 7

9

10 Executive Summary Gli obiettivi della Ricerca I sistemi informativi, e, in generale, le tecnologie ICT costituiscono oramai il sistema nervoso di tutte le imprese. La sicurezza del patrimonio informativo (e delle infrastrutture ICT) è fondamentale per la sopravvivenza stessa di qualsiasi organizzazione, così come alcuni eventi del recente passato hanno dimostrato. Il tema è di per sé molto complesso, come dimostra già la proliferazione di termini e di definizioni che è possibile reperire sia in letteratura sia nella prassi: information security, ICT security, business security, corporate security, ecc. In questo Report concentreremo la nostra attenzione sull ICT Security, intesa come l insieme delle misure atte a garantire la sicurezza delle informazioni immagazzinate e veicolate utilizzando le tecnologie ICT ( security of digitalised information ), ma anche a garantire la disponibilità e il regolare funzionamento dei sistemi e delle applicazioni ICT ( security of ICT ). La complessità è incrementata dal crescente overlapping tra i vari domini di sicurezza con i problemi organizzativi e gestionali che ne conseguono. Si pensi per esempio alla sicurezza di prodotti e servizi erogati tramite piattaforme ICT, alla prevenzione e gestione delle frodi finanziarie, alle tecnologie ICT a supporto della sicurezza fisica, oppure ancora alla sicurezza dei sistemi di controllo dei processi industriali. È chiaro che un area così strategicamente rilevante e così complessa necessita di sistemi di governance appropriati, tali da garantire un adeguata visibilità e standing all interno dell organizzazione, l integrazione tra il piano strategico dell ICT Security e i programmi strategici complessivi dell impresa (per mezzo di opportune soluzioni organizzative), l allocazione di budget congruenti con gli obiettivi prefissati, nonché il monitoraggio dello stato di implementazione delle iniziative e la verifica dei risultati ottenuti. Si tratta delle scelte fondamentali di quella che abbiamo denominato governance strategica dell ICT Security, per distinguerla dalla governance più operativa (o gestionale ), che si occupa di definire policy e procedure operative (per lo sviluppo dei progetti e per la gestione delle operations), di mettere a punto standard e meccanismi di coordinamento per garantire efficacia ed efficienza delle attività di ICT Security. A nostro avviso, le variabili di progettazione della governance strategica sono riconducibili a tre famiglie fondamentali, concernenti rispettivamente: le scelte (macro) organizzative (creazione di strutture ad hoc, attribuzione ruoli e responsabilità, scelte di sourcing strategico), la configurazione dei processi strategici (in primis il processo di pianificazione e controllo), e le risorse umane (profili di competenze più appropriati per presidiare i diversi ambiti di responsabilità). In particolare, in questa fase sono stati analizzate le prime due dimensioni, mentre la terza classe di variabili sarà oggetto di uno dei prossimi step della Ricerca. Le configurazioni organizzative emergenti L analisi macro-organizzativa ha messo in luce l esistenza di quattro configurazioni organizzative, caratterizzate da complessità crescente: il modello All in One, caratterizzato dalla concentrazione di tutte le attività legate all ICT Security (governo, progettazione, sviluppo, gestione opera- ICT SECURITY: QUALE GOVERNANCE? 9

11 Executive Summary tiva e monitoraggio) in un unica organizzativa, tipicamente l unità operations della funzione ICT; il modello ICT Centric, caratterizzato dall introduzione di un unità specifica di ICT Security (sempre all interno dell ICT), che tipicamente si occupa delle attività di governo e di progettazione delle soluzioni, mentre le attività di sviluppo delle applicazioni e di gestione delle operations sono sempre responsabilità delle rispettive aree tecnologiche; il modello Segregation, in cui le attività di governo (e spesso anche di identificazione delle soluzioni) sono assegnate alla funzione Corporate Security (o Sicurezza Aziendale ), mentre all ICT rimangono le attività di sviluppo e di esercizio. Infine, il quarto modello, denominato Multiplayer, che presenta la massima articolazione organizzativa. In questo caso, infatti, le attività di governo sono attribuite a una (o più) unità organizzative della funzione Corporate Security, la progettazione delle soluzioni è assegnata ad un apposita unità di ICT Security collocata all interno dell unità ICT, mentre lo sviluppo e la gestione delle attività correnti sono sempre attribuite alle corrispondenti unità ICT. La Ricerca ha cercato quindi di comprendere quali siano i fattori di contesto che spiegano l adozione di una di queste quattro configurazioni organizzative. In particolare, il primo driver analizzato è stata la dimensione dell unità ICT, che appare positivamente correlata con la complessità delle soluzioni adottate, anche se non sembra spiegare del tutto le scelte organizzative delle imprese. Ancor più interessante è risultato il settore di attività: in particolare, il modello ICT Centric risulta quello adottato praticamente dalla totalità delle imprese del settore banking analizzate, mentre le telco sembrano preferire il modello Multiplayer, e quelle del settore energy optano prevalentemente per il modello Segregation. Questo fenomeno si spiega se si pensa al ruolo che il settore esercita nel determinare la complessità (e la rilevanza relativa) dei diversi ambiti dell ICT Security (sviluppo prodotti e servizi ICT based, rischio frodi informatiche, sicurezza fisica/ industriale, tutela proprietà intellettuale, ecc.). Al contrario, il profilo di Sourcing scelto per l ICT non sembra avere particolare influenza sulle scelte organizzative dell ICT Security, almeno a livello macro. Il governo dei processi decisionali strategici La seconda parte della Ricerca ha riguardato l analisi dei processi di pianificazione e controllo, di fondamentale importanza per un corretto indirizzo strategico delle attività di ICT Security, per la misurazione delle performance ottenute, nonché per il miglioramento continuo dei sistemi di gestione. Si è innanzitutto analizzato il processo che porta all elaborazione del piano strategico dell ICT Security. In particolare, con riferimento al grado di formalizzazione del processo, i risultati hanno evidenziato come solo in alcune delle realtà analizzate esista un processo ben strutturato e integrato con il più generale processo di pianificazione e controllo dell impresa (processo che prevede tipicamente il coinvolgimento sistematico di appositi comitati di sicurezza). A riprova di ciò, solo una minoranza delle imprese analizzate ha dichiarato di elaborare un piano con orizzonte pluriennale. Più frequentemente ci si limita alla formulazione di un piano annuale (in occasione del processo di budgeting dell impresa), eccezion fatta per le grandi decisioni di investimento, che vengono normalmente gestite ricorrendo a task force o comitati ad hoc. Il livello di formalizzazione del processo di elaborazione del piano strategico ha un impatto anche sul grado di coinvolgimento delle varie unità aziendali. I comitati di sicurezza, infatti, prevedono la presenza dei responsabili di diverse unità aziendali (ICT, Corporate Security, Internal Audit, HR, ecc.), e talvolta anche del CEO (o figura equivalente). Di converso, nei casi meno strutturati, l ICT Security appare ancora confinata nell ambito dell ICT, il che comporta inevitabilmente il rischio di una limitata vision strategica. Considerazioni simili valgono per quanto concerne le metodologie di analisi utilizzate: in particolare, il ricorso alla risk analysis in molti casi non è ancora siste- 10 ICT SECURITY: QUALE GOVERNANCE?

12 Executive Summary matico, e spesso non rappresenta il punto di partenza per l individuazione delle iniziative da inserire nel piano. In molti casi si nota, inoltre, ancora un certo scollamento tra le analisi svolte in quest ambito e quelle condotte per valutare il profilo di rischio complessivo dell impresa (tipiche dell unità risk management), scollamento che, oltre a confermare la scarsa integrazione tra l ICT Security e la strategia complessiva dell impresa, appare ancor più critico alla luce dei recenti accordi di Basilea2. Inoltre, gli approcci utilizzati non sempre sono caratterizzati da un livello di formalizzazione e accuratezza adeguati. Non di rado, poi, vengono utilizzati diversi approcci all interno della stessa impresa (con diverse finalità: regulatory compliance, protezione degli asset, business continuity), col rischio conseguente di inefficienze e incongruenze tra i risultati delle diverse analisi. Sempre con riferimento alle metodologie, va segnalato che il ricorso a criteri di valutazione di tipo economico-finanziario per la valutazione ex ante dei progetti di investimento non è molto frequente. Le motivazioni vanno ricercate nella difficoltà di quantificare i benefici in termini economici (che porta a effettuare valutazioni di tipo qualitativo) e nell obbligatorietà (de jure o de facto) dell investimento, che rende non necessaria (almeno apparentemente) tale analisi. A nostro avviso questo rappresenta uno dei problemi fondamentali che ostacola lo sviluppo dell ICT Security, soprattutto nelle imprese che adottano approcci strategici fortemente improntati al value based management, in cui l approvazione dei progetti (soprattutto se di notevole dimensione) è possibile solo a patto che il Chief Information Security Officer riesca a far comprendere (e a misurare) il contributo che l ICT Security può fornire alla creazione di valore. Ancor più arretrato risulta lo scenario per quanto riguarda la diffusione degli strumenti di controllo strategico. La diffusione di sistemi di misurazione delle prestazioni (cruscotti direzionali, tableau de bord, ecc.) finalizzati al monitoraggio dell ICT strategy execution e alla verifica dei risultati ottenuti appare ancora estremamente limitato. Più frequente l inserimento di qualche indicatore di prestazione (KPI) all interno dei sistemi di misurazione delle prestazioni di altre funzioni (ICT, risk management), anche se spesso tali indicatori appaiono poco integrati e di natura un po troppo operativa (orientati al breve termine), o, al contrario, troppo generici e di alto livello. È chiaro che l assenza di una misurazione sistematica delle performance rappresenta un elemento di debolezza dei sistemi di gestione dell ICT Security, anche alla luce degli standard di riferimento (si pensi all ISO27001). L analisi settoriale Il quadro di sintesi che emerge dall analisi condotta vede quindi le (grandi) imprese dei settori finance e telco, da sempre attente ai rischi potenziali insiti nell utilizzo delle tecnologie, ancora in una posizione di leadership, sia per ciò che concerne il dimensionamento delle risorse dedicate all ICT Security, che per qualità dei sistemi di gestione, anche se, come si è visto, in alcuni aree sussistono ancora ampi margini di miglioramento. Interessanti segnali positivi giungono da imprese di alcuni altri settori che, per diversi motivi (crescente rilevanza strategica delle tecnologie ICT, tutela proprietà intellettuale, ecc.), stanno investendo significativamente anche sui sistemi di governance, anche se va detto che in generale, al di fuori dei due settori sopra citati, l importanza strategica dell ICT Security, e i rischi connessi all adozione di sistemi di gestione non adeguati, non sembrano essere stati ancora pienamente compresi. A questo riguardo, forse un catalizzatore del cambiamento potrà essere rappresentato dal crescente peso della normativa di carattere generale (cross industry), che sempre più spesso impone alle imprese l adozione di soluzioni organizzative e strumenti di auditability, nonché dalle sfide imposte dalle nuove tecnologie e dai nuovi modelli organizzativi aziendali (si pensi alla secure mobility o alla virtualizzazione). Le aree di investimento Nell ambito dell analisi abbiamo anche chiesto alle aziende quali fossero le priorità ICT SECURITY: QUALE GOVERNANCE? 11

13 Executive Summary strategiche e le aree di investimento previste per il prossimo futuro. Anche in questo caso i risultati risentono, almeno parzialmente, di fattori industry specific, che a loro volta sono legati al diverso livello di maturità raggiunto dai sistemi di gestione dell ICT Security. Tuttavia, si possono individuare alcune risposte ricorrenti, anche se non si può parlare di veri e propri trend. In particolare, l attenzione delle imprese sembra concentrarsi sulle problematiche di Identity Access Management, di Business Continuity e al Disaster Recovery, nonché sulle soluzioni tecnico-organizzative finalizzate a più efficace monitoraggio degli eventi di security (SOC e simili). Paolo Maccarrone Luca Marzegalli 12 ICT SECURITY: QUALE GOVERNANCE?

14 1. La governance dell ICT Security: un framework di riferimento La definizione del raggio d azione dell ICT Security Le informazioni rappresentano sicuramente una delle risorse vitali di qualsiasi azienda: la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale può causare danni elevatissimi a un business, fino a comprometterne la sopravvivenza stessa, come dimostrano alcuni degli eventi e degli scandali più eclatanti degli ultimi anni. In particolare si è assistito a: frodi finanziarie; spionaggio industriale (incursioni nei sistemi informativi, mirate al furto di informazioni mission critical, quali piani strategici, brevetti, ecc.); utilizzo per fini illeciti di informazioni personali custodite negli archivi informatici delle aziende; falsificazioni dei dati di bilancio; intercettazioni non autorizzate; estorsioni. I fatti di cui sopra sono quasi sempre riconducibili al tema della sicurezza delle informazioni. L Information Security può essere quindi definita come l insieme delle misure, di natura tecnologica, organizzativa e legale, volte a impedire o comunque ridurre al minimo i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale, indipendentemente dal modo in cui tali informazioni siano comunicate, e dal supporto fisico sul quale siano custodite. L ICT Security è generalmente considerata una componente dell Information Security, focalizzata sulla protezione di tutte le informazioni gestite dai sistemi informativi e trasmesse attraverso le reti aziendali/internet. In realtà questa definizione o, meglio, questa concezione dell ICT Security per essere completa deve tenere conto non solo della protezione (confidenzialità, integrità, disponibilità) del dato elementare/delle informazioni proprietarie dell organizzazione, ma anche della protezione delle infrastrutture e delle applicazioni ICT da attacchi o manomissioni che ne possano compromettere il regolare funzionamento. La compromissione dell infrastruttura può infatti portare al blocco temporaneo dei processi aziendali (per esempio, nel caso di attacchi che causano spamming e conseguente saturazione della capacità di banda), causando quindi un danno economico all azienda (si pensi per esempio al blocco di un sito di web banking o di e-commerce). Si comprende pertanto che il tema dell ICT Security è una componente fondamentale sia dell Information Security sia di quella che potremmo chiamare Business Security (Figura 1.1). ICT SECURITY: QUALE GOVERNANCE? 13

15 Capitolo 1 La governance dell ICT Security: un framework di riferimento Figura 1.1 Information Security, Business Security e ICT Security Information Security Business Security Dato Servizio Processo ICT ICT Security Si può notare inoltre il ruolo sempre maggiore dell ICT anche in altre tipologie di sicurezza quali ad esempio la sicurezza fisica, la sicurezza negli ambienti di lavoro, la gestione delle frodi (Figura 1.2). Alcuni esempi significativi sono: molti impianti di video sorveglianza sono oramai basati su sistemi digitali e le informazioni sono trasferite attraverso le reti dati IP. La protezione di questi apparati da attacchi e manomissioni è quindi fondamentale per garantire la corretta operatività degli addetti alla sicurezza fisica, e, quindi, adeguata protezione degli asset fisici e delle persone; la gestione dell allarmistica è tipicamente affidata a centrali di controllo totalmente basate su applicazioni ICT: il corretto funzionamento di tali applicazioni, che ovviamente dipende anche dal loro livello di sicurezza ICT, costituisce quindi prerequisito fondamentale per garantire adeguati standard di sicurezza sul lavoro; le frodi finanziarie vengono quasi sempre attuate sfruttando le infrastrutture e le applicazioni ICT. Ne è un esempio l alterazione dei sistemi di tariffazione (billing) nell ambito delle imprese telco, o di applicazioni che si occupano delle transazioni finanziarie nel banking, agendo per esempio sull alterazione del workflow autorizzativo, o tramite furto di identità digitale. Sempre più spesso, quindi, chi si occupa di prevenzione e gestione frodi deve ricorrere agli esperti di ICT Security. Figura 1.2 Le interrelazioni tra l ICT Security e gli altri ambiti di sicurezza Sicurezza processi business Sicurezza industriale ICT Security Sicurezza fisica Sicurezza sul lavoro Fraud Management Quest ultimo punto può essere ricondotto a un tema più generale: il design sicuro delle applicazioni ICT. Questo vale: per le applicazioni gestionali (ERP, CRM e simili); per le applicazioni business oriented basate su tecnologie ICT: si tratta di un aspetto particolarmente critico per tutte le imprese la cui offerta di prodotti/servizi è erogata 14 ICT SECURITY: QUALE GOVERNANCE?

16 La governance dell ICT Security: un framework di riferimento Capitolo 1 principalmente (se non esclusivamente) utilizzando le tecnologie ICT. Si fa riferimento ovviamente alle telco, ma anche alle banche (si pensi per esempio al web o al mobile banking), nonché alle media company; per tutti i sistemi di controllo dei processi industriali (cosiddetti sistemi SCADA e simili). Oltre a dover gestire i progetti e i servizi specifici di ICT Security, i responsabili dell ICT Security devono quindi garantire la giusta componente di security in ogni progetto in cui si faccia uso di soluzioni ICT e quindi, considerata la sempre maggiore pervasività dell ICT, praticamente in tutte le attività aziendali. Si può quindi affermare che esistono due macro-aree distinte di attività (si veda la Figura 1.3): la prima include le attività e i progetti specifici di ICT Security (sicurezza infrastrutturale delle reti, patching dei sistemi informativi, profilazione e autenticazione utenti, ecc.); la seconda comprende tutte le attività volte a garantire il rispetto dei requisiti di sicurezza all interno di tutte le soluzioni ICT. Figura 1.3 I progetti di ICT Security e la sicurezza nei progetti ICT ICT Projects ICT Security ICT Security Projects Progetto A Identity Management Progetto B Progetto C Progetto D SICUREZZA Network Access Control Inoltre, la gestione delle attività legate all ICT Security è piuttosto complessa, per diversi motivi: la costante evoluzione tecnologica, che offre nuove opportunità alle imprese da un lato, ma dall altro le espone continuamente a nuovi rischi, legati a nuove vulnerabilità e a nuove minacce che vengono continuamente messe a punto dagli attacker ; qualsiasi iniziativa ha un effetto pervasivo sull organizzazione, nonché spesso invasivo sul modo di lavorare delle persone (con i conseguenti rischi di resistenza o, comunque, di inerzia al cambiamento). La governance dell ICT Security Risulta quindi evidente l importanza di dotarsi di un appropriata governance dell ICT Security, che assicuri la giusta rilevanza strategica al tema, fattore chiave per ottenere adeguati livelli di efficacia ed efficienza delle iniziative. Nella letteratura, così come nella prassi, non vi è piena convergenza sulla definizione di ICT Security Governance (come peraltro accade anche per l ICT Governance nel suo complesso), né sul relativo spettro di attività (e quindi sull output). Cercando di mettere insieme i principali approcci e contributi, ne emerge che obiettivo dell ICT Security Governance è quello di dotare l impresa di: una strategia di ICT Security ben definita, e collegata agli obiettivi di business (nonché a quelli dell ICT); una struttura organizzativa congruente con gli obiettivi, la tipologia di attività e il carico di lavoro previsto; meccanismi di pianificazione e controllo; ICT SECURITY: QUALE GOVERNANCE? 15

17 Capitolo 1 La governance dell ICT Security: un framework di riferimento metodologie di risk analysis/management appropriate; adeguate policy che comprendano tutti gli aspetti legati alla strategia, al controllo e alla regolamentazione inerente l ICT Security; standard di riferimento che assicurino procedure adeguate e rispetto delle policy; processi di monitoraggio e controllo adeguati, che assicurino feed-back tempestivi sullo stato di implementazione dei programmi, sulla loro efficacia, nonché sulla compliance alle policy e alle normative di riferimento; meccanismi organizzativi che consentano un aggiornamento e un miglioramento continuo delle policy e delle procedure (e, quindi, una costante riduzione del livello di rischio complessivo). Da questo elenco risulta abbastanza chiaramente come vi siano alcuni elementi di natura più strategica affiancati da aspetti di carattere più gestionale. In particolare i primi tre punti fanno riferimento a quella che possiamo identificare come la governance strategica dell ICT Security. La governance strategica dell ICT Security deve essere vista come un elemento della governance complessiva dell impresa (Figura 1.4). Ne è la riprova il fatto che alcuni elementi legati all ICT, o, più in generale, all Information Security, facciano parte di documenti di governance di più alto livello, quale ad esempio il codice etico aziendale. Questo però comporta che sia coinvolto il Top Management aziendale, il che avviene tipicamente attraverso la costituzione di Task Force o Comitati. Le leve che possono essere utilizzate per la progettazione della governance dell ICT Security sono fondamentalmente tre: l organizzazione, intesa qui nell accezione di configurazione macro-organizzativa che consenta di mettere in atto i programmi strategici e di gestire l operatività, nonchè modalità di definizione e aggiornamento delle politiche, modalità di gestione dei progetti, definizione del processo di miglioramento continuo; i processi di pianificazione e controllo (si fa riferimento ai processi di pianificazione e controllo, alle policy, agli standard); le risorse, le competenze e la cultura: si tratta della leva progettuale che agisce sugli input, e in particolare sulle risorse umane, sulle loro competenze, sul loro sistema di valori, nonché sulla cultura organizzativa in generale. Figura 1.4 La governance dell ICT Security Corporate Governance ICT Governance ICT Security Governance Organizzazione Processi di pianificazione e controllo Risorse, Competenze e Cultura In questa fase della Ricerca l attenzione si è concentrata sulle prime due leve, ovvero le scelte macro-organizzative e processo di pianificazione e controllo, che saranno oggetto dei seguenti due capitoli. 16 ICT SECURITY: QUALE GOVERNANCE?

18 2. Gli assetti organizzativi macro dell ICT Security Nel presente capitolo si affronterà uno dei tre aspetti del governo strategico dell ICT Security, e cioè l impostazione organizzativa. Per affrontare in modo strutturato il tema dell organizzazione delle funzioni connesse all ICT Security occorre partire dall identificazione delle attività specifiche e di quelle correlate al tema specifico della sicurezza. Questo risulta fondamentale in quanto, normalmente, quando si affronta il tema dell organizzazione degli aspetti di ICT Security la domanda usuale che ci si pone riguarda il posizionamento o meno dell ICT Security all interno della direzione ICT. Come si vedrà in seguito, la questione è, in realtà, più complessa in quanto più unità organizzative sono coinvolte nelle attività di ICT Security. Le attività La classificazione e soprattutto la nomenclatura delle attività non è ancora patrimonio comune tra i professionisti che agiscono nel settore. Nel corso delle interviste le attività più frequentemente menzionate sono riconducibili alle seguenti tipologie (Figura 2.1): Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o Identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Figura 2.1 Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Le principali attività dell ICT Security Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Definizione delle policy e delle procedure operative Le politiche e le procedure operative possono essere indirizzate a diversi soggetti (utenti dei sistemi informativi o amministratori/gestori dei sistemi) e spesso sono specifiche per un particolare ambito (sistema o servizio). Tali politiche e procedure sono sviluppate a partire dalla visione aziendale del tema della ICT SECURITY: QUALE GOVERNANCE? 17

19 Capitolo 2 Gli assetti organizzativi macro dell ICT Security sicurezza, e si caratterizzano per il fatto di avere un livello di dettaglio tale da permetterne la verifica di applicazione in modo oggettivo e non opinabile. In alcune aziende è stata riscontrata l esistenza di un unità organizzativa dedicata a quest attività la cui nomenclatura è tipicamente Policy o Politiche e Procedure. Pianificazione e Controllo Quest attività permette la redazione del piano di progetti da intraprendere e garantisce il controllo del raggiungimento degli obiettivi. L attività di Pianificazione e Controllo qui citata verrà approfondita nel capitolo successivo. Progettazione e/o Identificazione dei sistemi e delle soluzioni Il risultato di questa attività è il piano dettagliato dell intervento da effettuare, comprensivo dell identificazione degli strumenti da utilizzare ed eventualmente da sviluppare. In questa fase si definiscono anche i processi di supporto per l implementazione degli interventi identificati. Inoltre in questo ambito rientra anche la verifica degli aspetti di sicurezza dei nuovi servizi e delle nuove applicazioni ICT. È oramai evidente che tali aspetti debbano essere considerati fin dalla progettazione delle nuove applicazioni. Le competenze per valutare la sicurezza delle applicazioni spesso non sono disponibili direttamente nel team di progetto e per questo serve una struttura centrale in grado di fornire supporto di tipo consulenziale sull ICT Security ai singoli team di progetto. Tra l altro il fatto che la valutazione della sicurezza ICT e delle contromisure da implementare avvenga da parte di persone non direttamente coinvolte nel progetto permette una corretta gestione delle priorità e garantisce una uniformità all interno dell azienda. In alcune realtà è stata riscontrata l esistenza di un unità organizzativa volta a questo scopo e denominata Ingegneria della Sicurezza. Implementazione dei sistemi e delle soluzioni Questa fase comprende la realizzazione di quanto definito nella fase precedente e inoltre provvede a quanto necessario per porre il tutto in esercizio affinché il sistema o la soluzione possano diventare operativi. Questa attività nella maggior parte dei casi non è affidata, neanche per i sistemi e le soluzioni di ICT Security, ad unità che si occupano esclusivamente di Security, ma è demandata alle strutture di sviluppo di ICT. Gestione Operativa dei sistemi e delle soluzioni Nella gestione operativa dei sistemi e delle soluzioni ricadono tutte le operazioni ordinarie di gestione dei sistemi e di applicazione delle procedure operative definite. Esempi che ricadono in questa tipologia sono l aggiornamento delle configurazioni e la gestione dei guasti degli apparati specifici di Security, come possono essere ad esempio i Firewall. In alcuni casi vi è in azienda un unità organizzativa denominata Security Operation Center che può avere, tra le altre, anche questa responsabilità. 18 ICT SECURITY: QUALE GOVERNANCE?

20 Gli assetti organizzativi macro dell ICT Security Capitolo 2 Monitoraggio Il monitoraggio comprende attività che spaziano dall analisi della compliance a normative e policy all analisi delle informazioni di sicurezza, al fine di evidenziare anomalie. In talune realtà vi è una specifica unità organizzativa denominata Compliance che si occupa della verifica dell attuazione delle policy. L analisi delle informazioni di sicurezza, in determinati casi, è parte dei compiti di un unità specifica denominata Security Operation Center. Queste attività sono allocate in unità organizzative diverse a seconda della specifica realtà. Nel paragrafo successivo verranno delineate le scelte più ricorrenti, nonché i fattori che hanno maggiore influenza in tale scelta. Le configurazioni organizzative emergenti Vi è una prima scelta che contraddistingue l impostazione data al modello organizzativo, che consiste nel collocare competenze di ICT Security in unità organizzative distinte o nella centralizzazione del tutto in un unica unità organizzativa. Il modello All in One Il primo modello, che denomineremo modello All in One, è contraddistinto dall assegnazione ad un unica unità organizzativa delle responsabilità sulle attività elencate nel seguito: Definizione delle policy e delle procedure operative; Pianificazione e Controllo; Progettazione e/o identificazione dei sistemi e delle soluzioni; Implementazione dei sistemi e delle soluzioni; Gestione Operativa dei sistemi e delle soluzioni; Monitoraggio. Questa struttura di solito è collocata all interno della Direzione ICT nell unità che si occupa delle infrastrutture e della rete, secondo quanto illustrato nella Figura 2.2. ICT Figura 2.2 Il modello All in One Operations Solutions Definizione delle policy e delle procedure operative Pianificazione e controllo Progettazione e/o Identificazione dei sistemi e delle soluzioni Implementazione dei sistemi e delle soluzioni Gestione operativa dei sistemi e delle soluzioni Monitoraggio Il modello ICT Centric Qualora l azienda decida di operare un primo livello di separazione delle responsabilità, la prima distinzione operata è tra le attività di governo e le attività operative. ICT SECURITY: QUALE GOVERNANCE? 19

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security

ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security ICT Security: approcci e strumenti per una governance efficace del rischio in un ottica integrata Rapporto 2009 Osservatorio Information Security Management Ottobre 2009 Copyright e utilizzo dei contenuti

Dettagli

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

Integrazione sicurezza fisica e logica: strategie e benefici per la banca Integrazione sicurezza fisica e logica: strategie e benefici per la banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2009 Roma, 9 giugno 2009 Agenda Gli orientamenti

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009

Insight. Chief Financial Officer. Una professione in continua evoluzione (Survey) N. 27 Ottobre 2009 Insight N. 27 Ottobre 2009 Chief Financial Officer. Una professione in continua evoluzione (Survey) In uno scenario di business e finanziario sempre più volatile, il Chief Financial Officer (CFO) si trova

Dettagli

CIO Survey 2013 Executive Summary Iniziativa promossa

CIO Survey 2013 Executive Summary Iniziativa promossa CIO Survey 2013 Executive Summary Iniziativa promossa da CIO Survey 2013 NetConsulting 2013 1 CIO Survey 2013: Executive Summary Tanti gli spunti che emergono dall edizione 2013 della CIO Survey, realizzata

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione. Raffaello Balocco Politecnico di Milano

ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione. Raffaello Balocco Politecnico di Milano ICT nelle medie imprese: la sfida della complessità tra efficienza e innovazione Raffaello Balocco Politecnico di Milano Agenda Investimenti in ICT e competitività Le ICT come reale leva strategica La

Dettagli

Strategie e modelli organizzativi per le sfide della Sicurezza in banca

Strategie e modelli organizzativi per le sfide della Sicurezza in banca Strategie e modelli organizzativi per le sfide della Sicurezza in banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2008 Roma, 26 maggio 2008 Agenda Gli orientamenti

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

sfide del ventunesimo Secolo

sfide del ventunesimo Secolo 21 Century Finance Survey Ottimizzare i le potenzialità, garantire i risultati. ti Il CFO di fronte alle sfide del ventunesimo Secolo Copyright 2013 - Business International È vietata la riproduzione,

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1

IL PROFILO DELL AZIENDA. Cherry Consulting S.r.l 1 IL PROFILO DELL AZIENDA 1 Chi siamo e la nostra missione Chi siamo: un gruppo di manager che hanno maturato esperienze nella consulenza, nel marketing, nella progettazione, nella vendita di soluzioni e

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

The new outsourcing wave: multisourcing

The new outsourcing wave: multisourcing EVOLUZIONE DEI MODELLI DI OUTSOURCING La pratica dell outsourcing, cioè del trasferire all esterno dell azienda singole attività, processi o infrastrutture è in voga da tempo, e negli anni ha dimostrato

Dettagli

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale UNIVERSITÀ: Politecnico di Milano FACOLTÀ: Ingegneria dei Sistemi CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale INSEGNAMENTO: Global Risk Management PROFESSORE: Marco Giorgino ANNO ACCADEMICO

Dettagli

NEXTVALUE 2014. Presentazione

NEXTVALUE 2014. Presentazione NEXTVALUE 2014 Presentazione NEXTVALUE 2014 CALENDARIO ATTIVITA E-commerce in Italia. Aziende e Operatori a confronto. End-user Computing in Italia. What s next. Information Security Management in Italia.

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT

STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT STRATEGIE DI ACQUISIZIONE DELLE FORNITURE ICT Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 03/02/2008 (materiale da: Manuali e lucidi su sito CNIPA, in particolare di M. Gentili)

Dettagli

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti

Copyright SDA Bocconi Elisa Pozzoli - Gianluca Salviotti L adozione di COBIT come strumento di IS Governance. Stato dell arte, risultati e fattori critici di successo nelle esperienze analizzate. Elisa Pozzoli, Gianluca Salviotti Copyright SDA Bocconi Elisa

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari. Convegno ABI CRM 2004-13 dicembre 2004

Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari. Convegno ABI CRM 2004-13 dicembre 2004 Dal CRM Strategy al CRM Technology: la soluzione di Banca Popolare di Bari Giovanni Ciccone Stefania De Maria 080 5274824 Marketing Strategico Sistemi Informativi Convegno ABI CRM 2004-13 dicembre 2004

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

La gestione delle competenze IT in banca spunti per la discussione

La gestione delle competenze IT in banca spunti per la discussione Le competenze IT in ambito bancario Università LUISS Guido Carli 8 NOVEMBRE 2010 La gestione delle competenze IT in banca spunti per la discussione Matteo Lucchetti, Senior Research Analyst, ABI Lab Roma,

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security Jonathan Brera Venezia Mestre, 26 Ottobre 2012 1 Agenda Introduzione

Dettagli

Guida al controllo di gestione nelle piccole e medie imprese

Guida al controllo di gestione nelle piccole e medie imprese j l k l d o ^ c f b S o c i e t à Laura Broccardo Guida al controllo di gestione nelle piccole e medie imprese Pianificazione e controllo nelle PMI Costruzione del budget Reporting Aziende che operano

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011

Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011 Oggetto: Commenti dell Associazione Italiana Internal Auditors al documento di consultazione N. 42/2011 Come noto, l Associazione Italiana Internal Auditors, parte dell Institute of Internal Auditors,

Dettagli

Outsourcing, possibile definizione OUTSOURCING. Ousourcing, origine. Classificazione, due coordinate. Information Technology Outsourcing (ITO)

Outsourcing, possibile definizione OUTSOURCING. Ousourcing, origine. Classificazione, due coordinate. Information Technology Outsourcing (ITO) Outsourcing, possibile definizione OUTSOURCING Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 15/01/2004 Delega operativa dei servizi connessi all informatica che un Cliente

Dettagli

Risk Assessment e la Norma ISO 9001:2015 parte 3

Risk Assessment e la Norma ISO 9001:2015 parte 3 Risk Assessment e la Norma ISO 9001:2015 parte 3 PROMOSSO E ORGANIZZATO DA IN COLLABORAZIONE CON: 1/40 Risk management: collegamenti e sinergie con il Sistema Qualità Come visto nel precedente intervento,

Dettagli

STRATEGIC Management Partners

STRATEGIC Management Partners STRATEGIC Management Partners Strategic Report Creare un vantaggio competitivo nella relazione IT e business Gianluca Quarto Sintesi 2 E un dato di fatto che i sistemi informatici rappresentano uno strumento

Dettagli

Le Società Pubbliche ICT: un confronto tra pratiche e performance per il miglioramento continuo Ricerca Assinter Italia 2015

Le Società Pubbliche ICT: un confronto tra pratiche e performance per il miglioramento continuo Ricerca Assinter Italia 2015 Le Società Pubbliche ICT: un confronto tra pratiche e performance per il miglioramento continuo Ricerca Assinter Italia 2015 Documento presentato in occasione dell'evento Euritas summit 2015: Innovate,

Dettagli

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA

ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA CICLO DI SEMINARI ENTERPRISE RISK MANAGEMENT: NUOVE TENDENZE E NUOVE SFIDE DELLA GESTIONE DEI RISCHI AZIENDALI IN LOGICA INTEGRATA Le importanti evoluzioni dei sistemi economici e dei mercati finanziari

Dettagli

Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa. Paolo Murgia Servizio Continuità Operativa

Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa. Paolo Murgia Servizio Continuità Operativa Business Continuity Management e Sicurezza Integrata: l'esperienza di Banca Intesa Paolo Murgia Servizio Continuità Operativa Agenda 2 Quadro di riferimento per il settore bancario La sicurezza in Banca

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione

Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione I sistemi gestionali e le Piccole Medie Imprese A cura di Fabrizio Amarilli Docente di Impianti di Elaborazione presso il Politecnico di Milano e ricercatore di Politecnico Innovazione Articoli Sono noti

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia GRUPPO TELECOM ITALIA Roma, 17 giugno 2014 L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia Dirigente Preposto ex L. 262/05 Premessa Fattori Esogeni nagement - Contesto

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader Il percorso delle aziende italiane verso l IT Governance Rossella Macinante Practice Leader 11 Marzo 2009 Previsioni sull andamento dell economia nei principali Paesi nel 2009 Dati in % 3,4% 0,5% 1,1%

Dettagli

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013

Assetti Organizzativi, di Controllo e Risk Governance nei Confidi. Firenze, 28 Febbraio 2013 Assetti Organizzativi, di Controllo e Risk Governance nei Confidi Firenze, 28 Febbraio 2013 Indice ß Introduzione ß Assetti Organizzativi ß Sistema dei Controlli Interni ß Risk Governance ß Conclusioni

Dettagli

Zerouno IBM IT Maintenance

Zerouno IBM IT Maintenance Zerouno IBM IT Maintenance Affidabilità e flessibilità dei servizi per supportare l innovazione d impresa Riccardo Zanchi Partner NetConsulting Roma, 30 novembre 2010 Il mercato dell ICT in Italia (2008-2010P)

Dettagli

SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY

SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY DOTT. ALESSANDRO LEGA, CPP Managing Director di Traicon S.r.l. (Gruppo DAB) Nel percorrere il vasto territorio professionale che caratterizza

Dettagli

Processo di gestione del rischio d informazione finanziaria

Processo di gestione del rischio d informazione finanziaria Processo di gestione del rischio d informazione finanziaria Deltas S.p.A. La comunicazione finanziaria Sondrio, 9 marzo 2010 Agenda Vincoli di conformità alla L. 262/20005 Soluzioni operative Nuove sfide

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security A Brave Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro Febbraio 2011 Dave Asprey, VP Cloud Security I. CHI DETIENE LA SICUREZZA IN-THE-CLOUD? Il cloud computing è la parola più

Dettagli

Approccio alla logica della finanza aziendale

Approccio alla logica della finanza aziendale Corso Formazione Approccio alla logica della finanza aziendale OBIETTIVI Capire il contenuto del bilancio per creare valore. A CHI SI RIVOLGE Tutti i manager. IMPARERETE A Capire il contenuto del bilancio

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

Security: the single version of the truth

Security: the single version of the truth Security: the single version of the truth Banche e Sicurezza 2009 Convegno ABI Paolo Campobasso SVP-Group Chief Security Officer UniCredit Group Roma 9/10 Giugno 2009 Executive summary Security vision

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

POLITECNICO DI MILANO SCHOOL OF MANAGEMENT

POLITECNICO DI MILANO SCHOOL OF MANAGEMENT POLITECNICO DI MILANO SCHOOL OF MANAGEMENT INDICE Chi Siamo Risk Management e Risk Governance per il Valore d Impresa Lo Scenario Italiano Le Attività Il Portale Insurance Academy A Chi ci rivolgiamo Contatti

Dettagli

I servizi ICT per le aziende

I servizi ICT per le aziende I servizi ICT per le aziende TÜV Italia - Gruppo TÜV SÜD Il gruppo TÜV SÜD e TÜV Italia L obiettivo della sicurezza fa parte del DNA del nostro ente e della nostra casa madre TÜV SÜD, già partendo dal

Dettagli

Corporate Governance - Oltre la compliance

Corporate Governance - Oltre la compliance Corporate Governance - Oltre la compliance Prof. Angelo Riccaboni Corso di Economia e Governo Aziendale Dipartimento di Studi Aziendali e Giuridici riccaboni@unisi.it www.disag.unisi.it Agenda L interesse

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo?

La sicurezza del datacenter all'ombra della nuvola Come scongiurare il maltempo? La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo? Luca Bechelli & Riccardo Morsicani Security Summit - Bari 2013 1 La sicurezza del datacenter all'ombra della "nuvola"

Dettagli

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia Si definisce Risk Management - o gestione del rischio - il complesso di attività mediante le quali si misura o si stima il

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Consulenze «Success fee» e a progetto per l ottimizzazione dell ICT PROFILO DELL AZIENDA

Consulenze «Success fee» e a progetto per l ottimizzazione dell ICT PROFILO DELL AZIENDA Consulenze «Success fee» e a progetto per l ottimizzazione dell ICT PROFILO DELL AZIENDA Chi siamo Chi siamo: un gruppo di manager che hanno maturato esperienze nella consulenza, nel marketing, nella progettazione,

Dettagli

Formalizzare i processi aziendali per

Formalizzare i processi aziendali per Formalizzare i processi aziendali per accrescere l efficacia l dei controlli Bankadati S.I. Gruppo Creval La comunicazione finanziaria Sondrio, 9 marzo 2010 LA GESTIONE PER PROCESSI IN CREVAL La gestione

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

L evoluzione dei data center verso il cloud

L evoluzione dei data center verso il cloud DICEMBRE 2012 Nonostante la virtualizzazione abbia dato il via a una fase di investimenti nell ottica del consolidamento e della razionalizzazione dei data center, oggi molte imprese si trovano a metà

Dettagli

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza

L A 1.B 2.C 3. per il governo dell IT in tempi di crisi. Allineamento al business Budget di spesa Compliance e sicurezza L A 1.B 2.C 3. per il governo dell IT in tempi di crisi Allineamento al business Budget di spesa Compliance e sicurezza Crisi & Investimenti IT Information & Communication Technology Strategico Differenziante

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Osservatorio Business Intelligence

Osservatorio Business Intelligence Divisione Ricerche Claudio Demattè Osservatorio Business Intelligence 3 Ciclo di ricerca 2010 Filone di ricerca BI Governance nel Settore dell Energy, Utility e servizi di pubblica utilità In collaborazione

Dettagli

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ.

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. ANALISI 12 Luglio 2012 I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. Le sfide a cui deve rispondere l IT e i tool di ICT Management Analisi a cura di Andrea Cavazza,

Dettagli

La Banca per processi e la gestione integrata della Governance Aziendale

La Banca per processi e la gestione integrata della Governance Aziendale La Banca per processi e la gestione integrata della Governance Aziendale Milano, 24 aprile 2015 Franco Nardulli Resp. Divisione Risorse Organizzative e Qualità Gruppo Banca Popolare di Bari La rete distributiva

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Ottobre 2012. Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung

L Azienda Digitale. Viaggio nell'italia che compete. Ottobre 2012. Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung L Azienda Digitale Viaggio nell'italia che compete Ottobre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Firenze NetConsulting 2012 1 INDICE 1 Introduzione...

Dettagli

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE

IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE IL RISK MANAGEMENT NELLE PICCOLE E MEDIE IMPRESE ITALIANE Sintesi dei risultati della seconda edizione dell Osservatorio Realizzato da: In collaborazione con: RISKGOVERNANCE 1 INDICE DEI CONTENUTI Copyright

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

BANCA CR FIRENZE Tina Cassano Direzione Auditing e Controlli di Gruppo

BANCA CR FIRENZE Tina Cassano Direzione Auditing e Controlli di Gruppo Business International La Compliance nelle Banche Italiane: compiti e responsabilità della funzione compliance alla luce delle Istruzioni della Banca d Italia BANCA CR FIRENZE Tina Cassano Direzione Auditing

Dettagli