Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology
|
|
- Carlo Benvenuto Franchi
- 2 anni fa
- Visualizzazioni
Transcript
1 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology ISACA Venice Chapter 1
2 GENERALI GROUP Group Risk Management Operational Risk Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC FOCUS Convegno ISACA Venice - Mestre, 26 Ottobre 2012
3 Agenda 3 Rischi Operativi Approcci di Gestione IT Operational Risk: contesto e gestione IT Bottom Up Operational Risk Assessment: Obiettivi e Confronto con business Metodologia ANNEX Esempi di reportistica Q&A
4 Rischi Operativi 4 INTRODUZIONE Il rischio operativo è definito come il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di: Risorse; Processi; Sistemi Informativi; Infrastrutture. I rischi operativi, rispetto agli altri rischi cui una compagnia può essere esposta, presentano le seguenti peculiarità: sono una conseguenza delle attività svolte dalle compagnie assicurative; sono rischi puri e non speculativi; non rispettano la logica rischio-rendimento. Il Gruppo ha adottato un processo di gestione dei rischi operativi finalizzato alla riduzione del rischio, composto dalle seguenti fasi: definizione delle metodologie di individuazione e valutazione dei rischi operativi; definizione delle strategie per la gestione dei rischi operativi; analisi e definizione delle modalità di gestione dei rischi operativi; predisposizione adeguato reporting in merito alla gestione dei rischi operativi.
5 Approcci di Gestione dei Rischi Operativi 5 APPROCCI Gestione Proattiva Finalizzata a prevenire l assoggettamento della Compagnia e del Gruppo ai rischi di natura operativa anche attraverso la modellizzazione ex ante degli strumenti di gestione correlati Strumenti di gestione IT: Standard Internazionali (COBIT; ITIL; ISO 27001/27002,.); IT Operational Risk Framework; Processo di gestione dell IT Governance; Mappatura degli ambienti IT; Normativa IT (Charter, Policy, Procedure Operative); Software per il monitoraggio e la protezione degli ambienti IT ( strumenti per il controllo accessi, strumento versioning del software, ); Processi Risorse Umane Sistemi IT Gestione Proattiva Fattori di rischio operativo Gestione Reattiva Individuazione e valutazione degli eventi IT: Metodologia Operational Risk Metodologia IT Operational Risk IT Operational Risk assessment sulle applicazioni e sugli ambienti informatici che supportano i processi di business Gestione Reattiva Gestione ad-evento finalizzata all individuazione e valutazione degli eventi di rischio operativo, utilizzando come dimensione di analisi la catena del valore di Gruppo
6 IT Operational Risk: Contesto di riferimento 6 PROCESSI DI BUSINESS VS AMBIENTE IT La figura di seguito riportata rappresenta la relazione tra processi di business ed Ambiente IT: In tale contesto, la metodologia IT Operational Risk ha quindi l obiettivo di diffondere una maggiore consapevolezza dei rischi operativi di natura informatica cui ogni processo di business è soggetto.
7 Gestione Reattiva degli IT Operational Risk 7 GESTIONE REATTIVA La valutazione degli Operational Risk sui Processi di business è basata sulle seguenti attività: IT Bottom Up Operational Risk Assessment: condotti sulle applicazioni e sugli ambienti informatici che supportano i processi di business in analisi. Tali risultati saranno quindi forniti ai Risk Owner di Business in modo da poterli tenere in considerazione durante la valutazione dei loro rischi operativi; Attività di remediation: implementate al fine di mitigare gli impatti dei rischi operativi potranno coinvolgere processi di business, applicazioni ed i relativi ambienti informatici.
8 Prerequisiti della metodologia 8 PREREQUISITI Le attività di Assessment collegate ai rischi operativi IT sono considerate un integrazione degli assessment e dei test svolti già per le attività relative alla 262/05. In particolare la metodologia IT Operational Risk è stata definita tramite estensione del Framework e della Metodologia ITGC/ITAC.
9 IT Bottom Up Operational Risk Assessment - Obiettivi 9 OBIETTIVI L IT Bottom Up Operational Risk Assessment ha l obiettivo di: fornire agli utenti di Business informazioni di cui normalmente non avrebbero visibilità, inerenti il mondo IT; informare gli esperti di business sugli eventi identificati dagli esperti IT, nonché sulla relativa previsione della frequenza di accadimento e sugli indicatori di contesto; fornire, a completamento di tali informazioni, ulteriori elementi di analisi quali: identificazione delle cause IT che possono generare tali eventi; individuazione degli effetti che possono essere generati dagli eventi IT: valutati come effetti sul dipartimento IT; valutati, laddove possibile, come effetti con potenziale impatto o ripercussione sul Business (e.g. ore di straordinario, tempo di recupero, ).
10 IT Bottom Up Operational Risk Assessment: confronto con business 10 RELAZIONI L IT Bottom Up Operational Risk Assessment possiede le seguenti caratteristiche inerenti: Perimetro dell attività, costituito dagli applicativi di maggiore criticità rispetto ai processi di business analizzati; Modalità di intervista, le analisi svolte con i referenti delle aree dell IT Operational Risk Framework hanno focus diversi a seconda degli ambiti analizzati: aree specifiche (tra cui generalmente Software Change Management, Software Development Life Cycle, ecc ); aree trasversali a tutti gli applicativi gestiti dall IT Service Provider (tra cui generalmente Security Management, Infrastructure Project Management, ecc ). La valutazione delle frequenze di accadimento degli eventi IT deve essere considerata come approfondimento specifico sugli eventi di dettaglio legati al fattore IT e pertanto non può sostituire la valutazione che il referente di business effettua considerando anche gli altri fattori di rischio (risorse e processi), piuttosto la completa e permette di darne una valutazione più accurata laddove fornisse informazioni di cui il Business non è a conoscenza.
11 Area specifica IT Operational Risk Framework 11 FRAMEWORK IT Contracting and Outsourcing Technology Licencing PO4, DS1, DS2, ME2 PO9, AI5, DS9, ME3, ME4 Security Management PO4, DS5, DS12 Software Change Management Software Development Life Cycle Data and IT Operations Management Records Management PO10, AI1, AI2, AI3, AI6, AI7, DS4 PO6, PO10, AI1, AI6 PO2, DS4, DS5, DS8, DS10, DS11, DS13 DS11, PO2, PO9 IT Service Resilience DS11, DS4 Infrastructure Change and Project Management PO6, PO10, AI1, AI3, AI6 Architecture PO1, PO2, PO3, PO4, PO5, AI1, AI2, AI3 Physical and Enviromental Security DS12 Asset Management PO10, AI5, DS3, ME4 Area Trasversale CobiT Mapping
12 Metodologia 12 CONTESTO METODOLOGICO OPERATIONAL RISK Per la valutazione delle perdite operative sui processi di business e sui relativi strumenti organizzativi è stata definita la seguente metodologia al fine di valutare i valori di perdita attesa ed intraprendere le opportune azioni correttive:
13 Metodologia 13 METODOLOGIA IT OPERATIONAL RISK La metodologia di IT Bottom Up Operational Risk Assessment comprende le seguenti fasi: definizione del perimetro: include l identificazione del perimetro per gli ambienti IT oggetto delle successive attività di analisi ed è basato su attività ricorsive di censimento delle applicazioni e degli IT service provider, di definizione di criteri di aggregazione e prioritizzazione delle applicazioni e di definizione del relativo perimetro di analisi; Risk Assessment: comprende una serie di analisi finalizzate ad ottenere le informazioni necessarie per identificare e valutare i rischi operativi connessi all ambiente IT; valutazione e reportistica: include la valutazione dei risultati del IT Risk Assessment e la predisposizione della relativa reportistica.
14 Definizione del perimetro 14 DEFINIZIONE DEL PERIMETRO La fase di definizione del perimetro è composta dalle seguenti attività: Mappatura degli applicativi: identifica le applicazioni che supportano i processi di business in perimetro; Mappatura degli IT service provider: identifica gli IT service provider che forniscono servizi IT per ciascun sistema applicativo identificato nell attività di mappatura degli applicativi; Identificazione degli applicativi condivisi tra più Società: identifica gli applicativi condivise tra due o più Società del Gruppo, al fine di evitare la duplicazione delle attività richieste e dei relativi dati raccolti. Prioritizzazione applicativi: assegna una priorità agli applicativi in ambito, sulla base di informazioni precedentemente raccolte; Definizione dei gruppi degli applicativi e del perimetro: identifica gruppi omogenei di applicativi sulla base di policy e pratiche comuni utilizzate dal personale operativo. IT Bottom Up Operational Risk Assessment Definizione del perimetro Risk Assessment Valutazione e Reportistica Definizione del perimetro Mappatura degli applicativi Mappatura IT service Provider Identificazione degli applicativi condivisi tra più Società Prioritizzazione applicativi Definizione dei gruppi degli applicativi e del perimetro
15 Risk Assessment 15 RISK ASSESSMENT Per ogni applicativo in ambito di analisi l IT risk assessment si basa sui seguenti elementi: IT Operational Risk Framework: elenco di rischi IT basato sulle caratteristiche principali degli standard CobiT, ITIL e ISO e suddiviso in aree di competenza al fine di fornire delle linee guida sulle modalità di gestione degli IT Operational Risk e permettere un assessment continuo dello stato dei controlli interni IT. Modelli di identificazione: Modello degli eventi operativi; Modello degli cause; Modello degli effetti; Modello degli strumenti di gestione IT; Modello dei fattori di rischio operativo.
16 Valutazione e Reportistica 16 VALUTAZIONE E REPORTISTICA La fase di valutazione e reportistica è composta dalle seguenti attività: predisposizione reportistica: gli obiettivi principali sono quelli di analizzare i risultati dei risk assessment condotti, classificarli, riorganizzarli e valutarli; comunicazione e condivisione dei risultati: fornire ai Risk Owner informazioni dettagliate sugli assessment degli eventi IT e sui valori assoluti dei Key Context Indicator, in modo da integrare i bottom up operational risk assessment di business e completare la stima del valore di perdita attesa; identificare possibili azioni di rimedio al fine di mitigare le problematiche IT emerse nella fase di risk assessment in ambito IT. IT Bottom Up Operational Risk Assessment Definizione del Perimetro Risk Assessment Valutazione e Reportistica Valutazione e Reportistica Predisposizione reportistica Comunicazione e condivisione dei risultati
17 Key Context Indicator 17 KEY CONTEXT INDICATOR Sono stati definite due macrocategorie di indicatori denominati Key Context Indicator (KCI), di business ed IT, al fine di: poter offrire ai Risk Owner di Business una modalità di contestualizzazione soggettiva dei risultati dei risk assessment in ambito IT sui singoli processi di business; connettere i risultati degli Operational Risk Assessment in ambito IT con quelli di business. KCI IT = 500 App1 App2 KCI IT Local= 100 Proc 1 Società Network Hardware 1 DB1 App3 DB2 App4 KCI IT Local = 400 Proc 2 Sala CED Hardware 2 DB3 Ambiente IT KCI Valore assoluto Ambiente Business - KCI Valore relativo
18 ANNEX - Esempi di reportistica (1/4) 18
19 ANNEX - Esempi di reportistica (2/4) 19
20 ANNEX - Esempi di reportistica (3/4) 20 Causa di 1 Livello Causa di 2 Livello Indice aggregato di significatività della causa Inadeguatezza o disfunzioni operative dalle risorse umane Inadeguatezza o disfunzione di infrastrutture informatiche / telematiche Inadeguatezza sviluppo delle risorse umane Inadeguatezza dei sistemi di sicurezza e conservazione delle informazioni Media Bassa Effetto IT di 1 Livello Effetti economici Effetto IT di 2 Livello Risarcimenti / indennizzi dovuti a controversie legali Grado aggregato annuo dell effetto Media Effetti gestionali Numero di clienti danneggiati Media Effetto business di 1 Livello Effetto business di 2 Livello Grado aggregato annuo dell effetto Effetti economici Risarcimenti / indennizzi dovuti a controversie legali Perdite non recuperabili Media Media
21 ANNEX - Esempi di reportistica (4/4) 21 Di seguito è riportato la classifica delle Cause di 3 livello con maggior significatività: Causa di 3 Livello Causa di 2 Livello Causa di 1 Livello 1 Inadeguata formazione delle risorse Inadeguatezza sviluppo delle risorse umane Mancanza / inadeguatezza / Insufficienza dei controlli automatici su dati inseriti / da inserire Inadeguatezza del software in relazione alle necessità operative Inadeguatezza delle attrezzature hardware rispetto alle esigenze operative Mancanza / inadeguatezza dei controlli di linea sugli altri processi Inadeguatezza delle infrastrutture hardware e software Inadeguatezza del monitoraggio e controllo sui processi Inadeguatezza o disfunzioni operative dalle risorse umane Inadeguatezza o disfunzione di infrastrutture informatiche / telematiche Inadeguatezza o disfunzione di processi / procedure, attività di comunicazione e contrattualistica con gli outsourcer
22 Q&A 22 Grazie per l attenzione!
23 GENERALI GROUP Group Risk Management Operational Risk Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology FOCUS Davide Lizzio CISA CRISC Operational Risk Tel: / Convegno ISACA Venice - Mestre, 26 Ottobre 2012
Information technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
IS Governance in action: l esperienza di eni
IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo
Processi di Gestione dei Sistemi ICT
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,
Assessment degli Operational Risk. Assessment. Progetto Basilea 2. Agenda. Area Controlli Interni Corporate Center - Gruppo MPS
Progetto Basilea 2 Area Controlli Interni Corporate Center - Gruppo MPS degli Operational Risk 2003 Firm Name/Legal Entity Agenda Il nuovo contesto di vigilanza: novità ed impatti Analisi Qualitativa 1
Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
Security & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
ITIL Best Practices: dall Operation al Service Management L esperienza TIM
ITIL Best Practices: dall Operation al Service Management L esperienza TIM 30 Novembre 2005 Sandra Foglia, Francesco Muscuso 1 d i gi t a l IBM d i g i t a l Data General Il contesto: IT Operations Area
Esperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
Marco Salvato, KPMG. AIEA Verona 25.11.2005
Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance
Il Project Management nell Implementazione dell'it Service Operations
Con il patrocinio di: Sponsorizzato da: Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 Il Project Management nell Implementazione dell'it Service Operations
Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
XXVII Convegno Nazionale AIEA
XXVII Convegno Nazionale AIEA Classificazione delle Informazioni e Data Loss Prevention Impatti normativi da governare Milano, 3 Ottobre 2013 Giuseppe Blasi Alessandro Santacroce 0 2013 Protiviti S.r.l.
1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
Policy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
Progetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;
Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento
Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013
Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Agenda 1. Il Gruppo Reale Mutua 2. Il progetto BPM 3. Il processo di Control Risk Self Assessment 4. Le sfide del futuro Il Gruppo Reale Mutua
ITIL. Introduzione. Mariosa Pietro
ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,
The ITIL Foundation Examination
The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi
IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
Configuration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
Un'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come
Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile
Osservatorio Cloud & ICT as a Service Collaborative business application: l evoluzione dei sistemi gestionali Tra cloud, social e mobile Mariano Corso Stefano Mainetti 17 Dicembre 2013 Collaborative Business
Politica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Fattori critici di successo
CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono
La ISA nasce nel 1994. Servizi DIGITAL SOLUTION
ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi
Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel
Il sistema di governo dell ICT: ambiti di evoluzione del ruolo di COBIT in Enel Mario Casodi ICT Governance / epm Convegno Nazionale AIEA Pisa, 21 maggio 2009 INDICE Introduzione Gestione della mappa dei
Come passare dal budget tradizionale al piano d azione annuale: il caso GDO
Come passare dal budget tradizionale al piano d azione annuale: il caso GDO di Massimo Lazzari e Davide Mondaini (*) L evoluzione rapida e irreversibile dei contesti di riferimento in cui le aziende si
Corso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
Classificare e proteggere i dati
Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG
IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
LINEA PROJECT MANAGEMENT
LINEA PROJECT MANAGEMENT ITIL FOUNDATION V3 46.10.3 3 giorni Il corso, nell ambito della Gestione dei Servizi IT, mira a: 1. Comprendere Struttura e Processi di ITIL V3 - Information Technology Infrastructure
SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture
SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere
Sicurezza, Rischio e Business Continuity Quali sinergie?
Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni
Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi
Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi
Banche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
Retail Store Audit. Milano, 21 novembre 2012
. Milano, 21 novembre 2012 Agenda Presentazione risultati Survey Modalità operative e leading practices Tavola Rotonda Presentazione risultati Survey. - 2 - La Survey Obiettivo: La ricerca condotta da
ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:
IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono
ISO Revisions Whitepaper
ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione
IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
Associazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma
Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti
Direzione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS
Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT
La Governance come strumento di valorizzazione dell'it verso il business
La Governance come strumento di valorizzazione dell'it verso il business Livio Selvini HP IT Governance Senior Consultant Vicenza, 24 novembre Hewlett-Packard Development Company, L.P. The information
Progetto AURELIA: la via verso il miglioramento dei processi IT
Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce
Il Risk Management Integrato in eni
Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk
Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159
MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per
PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1
www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti Fin dalle prime indicazioni di Banca d Italia sulla Funzione di Conformità, ABIFormazione
La certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
Processi e Miglioramento IL PROCESSO AZIENDALE IL PROCESSO AZIENDALE 07/10/2013
Processi e Miglioramento - La gestione per processi - Il miglioramento - Le metodologie del miglioramento 1 L organizzazione di successo è quella vicina al cliente, cioè in grado di fornire elevate prestazioni
Un'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
Analisi e gestione dei rischi. in TBS Group
18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni
In collaborazione con HSPI SpA
Master Universitario di I livello in IT Governance II edizione Alto Apprendistato 2012-2014 Docente: In collaborazione
Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014
Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014 1. Il contesto INAIL 2. Perché una Service Control Room 3. Il modello di funzionamento definito 4. I primi risultati del
Corso Base ITIL V3 2008
Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
Revisione dei processi in chiave ITIL
Il Sole 24 Ore S.p.A. pag. 1 Milano, Perché la revisione dei processi in chiave ITIL Esigenza: necessità di interagire in modo strutturato con un fornitore di servizi (Outsourcer) Creazione e gestione
ingbenchmark ingbenchmarking benchmarkingbench marking
INFORMAZIONE FORMAZIONE E CONSULENZA benchmark ingbenchmark ingbenchmarking benchmarkingbench marking ACQUISTO DI SERVIZI DI TRASPORTO MERCI E DI LOGISTICA DI MAGAZZINO In collaborazione con Acquisto di
Gruppo Boehringer Ingelheim Italia ITIL: la consapevolezza del servizio che completa il manager
Gruppo Boehringer Ingelheim Italia ITIL: la consapevolezza del servizio che completa il manager Ing. Filippo Ermini Ing. Andrea Pini Chi è Boehringer Ingelheim MONDO: Medicina umana e veterinaria Ingelheim
Operational Risk vs Advanced IT RISK
Operational Risk vs Advanced IT RISK Claudio Ruffini 24 Giugno 2015 L evoluzione normativa in tema di sicurezza informatica Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema
Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013
Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento
Panoramica su ITIL V3 ed esempio di implementazione del Service Design
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico
GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa di ABIFormazione
PERCORSO FORMATIVO Modulo 1 12-14 maggio 2014 Modulo 2 3-5 giugno 2014 PERCORSO DI APPROFONDIMENTO 12-13 giugno 2014 23-24 giugno 2014 GESTIONE E CONTROLLO DEL RISCHIO FISCALE L architettura formativa
consulenza e soluzioni applicative al servizio dei Confidi
consulenza e soluzioni applicative al servizio dei Confidi Un partner unico e innovativo: esperienze, competenze e soluzioni a supporto di ogni processo Dedagroup partner dei Confidi Oggi il mondo dei
COBIT 5 e la gestione delle informazioni aziendali
COBIT 5 e la gestione delle informazioni aziendali NH Laguna Palace Hotel Mestre Venezia 26 Ottobre 2012 Enterprise Information Management: La gestione delle informazioni aziendali secondo i principali
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di
Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli
Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives
Managed Security Services Security Operations Center
Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile
Iniziativa : "Sessione di Studio" a Roma
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
PERCHÉ NON POSSIAMO FARE A MENO DI UNA STRATEGIA DI SERVICE LEVEL MANAGEMENT
OSSERVATORIO IT GOVERNANCE PERCHÉ NON POSSIAMO FARE A MENO DI UNA STRATEGIA DI SERVICE LEVEL MANAGEMENT A cura di Alberto Rizzotto, Manager di HSPI Premessa La necessità di adottare best practice internazionali
INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto
INIZIATIVA TESI ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto In linea con la sua mission e con le indicazioni del Comitato Strategico,
Vision strategica della BCM
Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity
ISACA VENICE MEETING 2014
Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto
Realizzazione di un Network Operations Center (NOC) secondo best practices ITIL. Roberto Raguseo Roberto.raguseo@necs-servizi.it
Realizzazione di un Network Operations Center (NOC) secondo best practices ITIL Roberto Raguseo Roberto.raguseo@necs-servizi.it 1 Agenda Il Cliente oggetto dello studio La rete elettrica come Servizio
Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013
Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,
Area organizzazione & IT: impatti critici e analisi di posizionamento. 28 Febbario 20131
Area organizzazione & IT: impatti critici e analisi di posizionamento 28 Febbario 20131 Agenda Gli impatti di Solvency 2 su Org & IT Risultati 2012 versus 2011 Sensitivity e reattività delle imprese alle
Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
IT Service Management
IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management
La ISA nasce nel 1994 DIGITAL SOLUTION
La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego
Progetto SAP. Analisi preliminare processi e base dati
Progetto SAP Analisi preliminare processi e base dati Progetto SAP Agenda Obiettivo dell intervento Condivisione fasi progettuali Analisi base dati sistema legacy Schema dei processi aziendali Descrizione
IT Value. Referenze di Progetto. Settembre 2013
IT Value Referenze di Progetto Settembre 2013 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione di Applicativi per il Credit
Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.
Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione
Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS
Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento
Processo di gestione del rischio d informazione finanziaria
Processo di gestione del rischio d informazione finanziaria Deltas S.p.A. La comunicazione finanziaria Sondrio, 9 marzo 2010 Agenda Vincoli di conformità alla L. 262/20005 Soluzioni operative Nuove sfide
Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case
Making the traveller s day better Comunità di pratica Nedcommunity Risk management, piano strategico e organi di governo: business case Milano, 2 Luglio 204 Group Enterprise Risk Management Contenuto del
Software. Engineering
Software Engineering Agenda Scenario nel quale matura la necessità di esternalizzare Modalità conrattuali, ambito, livelli di servizio Modalità di governo del contratto e di erogazione dei servizi Metodologia
WORKSHOP Riorganizzazione aziendale: ri-partenza per lo sviluppo 30/11/2012
WORKSHOP Riorganizzazione aziendale: ri-partenza per lo sviluppo 30/11/2012 KPMG nel mondo 2 KPMG Advisory in Italia 3 I servizi che offriamo KPMG ITALIA AUDIT ADVISORY TAX CORPORATE FINANCE TRANSACTION
Information Systems Audit and Control Association
Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone
Security Summit 2011 Milano
Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
Alcune persone guardano le cose accadere. Altre fanno in modo che accadano!
2013 Alcune persone guardano le cose accadere. Altre fanno in modo che accadano! Nel mondo economico dei nostri tempi, la maggior parte delle organizzazioni spende migliaia (se non milioni) di euro per