LA SICUREZZA INFORMATICA II parte. Ing. Gianfranco Pontevolpe - CNIPA. pontevolpe@cnipa.it. Programma
|
|
- Aldo Vaccaro
- 8 anni fa
- Visualizzazioni
Transcript
1 LA SICUREZZA INFORMATICA II parte Ing. Gianfranco Pontevolpe - CNIPA pontevolpe@cnipa.it Centro Nazionale per l Informatica nella Pubblica Amministrazione 1 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 2 1
2 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 3 Il problema Fruibilità (interoperabilità) Efficienza Sicurezza affidabilità dello strumento elettronico tutela nei confronti di possibili truffe Utilizzo corretto delle informazioni (privacy) Quali soluzioni adottare? Centro Nazionale per l Informatica nella Pubblica Amministrazione 4 2
3 Il ciclo Plan-Do-Check-Act Analizzare le esigenze i rischi Pianificare Attuare Verificare Agire Centro Nazionale per l Informatica nella Pubblica Amministrazione 5 Esempi di pianificazione Piano di business Documento di programmazione economica Piano della qualità Documento programmatico della sicurezza Analisi dei rischi Piano operativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 6 3
4 Obiettivi della pianificazione Razionalizzare gli interventi Condividere gli obiettivi Condividere i processi Mantenere traccia del processo decisionale Disporre di uno strumento per verificare il raggiungimento degli obiettivi Pedisporre i piani finanziari Centro Nazionale per l Informatica nella Pubblica Amministrazione 7 I costi per la sicurezza 100% livello di sicurezza costi Centro Nazionale per l Informatica nella Pubblica Amministrazione 8 4
5 La pianificazione della sicurezza nella PA Gli obiettivi di sicurezza nel caso della PA devono essere considerati in un ottica di bilanciamento tra rischi e costi per la collettività La pianificazione degli interventi nelle singole amministrazioni deve tenere in conto le strategie governative in termini di sicurezza il bisogno di fiducia nei confronti delle istituzioni Il Comitato tecnico nazionale per la sicurezza nelle pubbliche amministrazioni ha l obiettivo di delineare le strategie governative e formulare proposte su interventi finalizzati a migliorare il livello di sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione 9 La sicurezza - approccio canonico Analisi del rischio beni vulnerabilità minacce Scelta delle contromisure Verifica Centro Nazionale per l Informatica nella Pubblica Amministrazione 10 5
6 Gli elementi dell analisi del rischio bene (o asset) ciò che bisogna salvaguardare (persone, oggetti, software, informazioni, ecc.) vulnerabilità caratteristiche dei sistemi e dei processi che, in particolari condizioni, possono comportare la perdita di riservatezza, integrità o disponibilità delle informazioni minacce possibili eventi non desiderati che portano alla perdita di riservatezza, integrità o disponibilità delle informazioni Centro Nazionale per l Informatica nella Pubblica Amministrazione 11 Il rischio Il rischio è la probabilità che una minaccia nei confronti di un bene si attui sfruttando una vulnerabilità del sistema Centro Nazionale per l Informatica nella Pubblica Amministrazione 12 6
7 I metodi di analisi del rischio Quantitativi valore dei beni in termini economici analisi in base ad algoritmi matematici scelte secondo criteri oggettivi Qualitativi valore dei beni in termini relativi (alto, medio, basso) analisi in base a tabelle scelte secondo criteri qualitativi Centro Nazionale per l Informatica nella Pubblica Amministrazione 13 Esempio di analisi quantitativa Bene: autovettura, valore Vulnerabilità: trasportabilità Minaccia: furto Senza antifurto Con bloccapedali Con antifurto satellitare Statistica furti annui per vetture Probabilità furto (rischio) Esposizione economica al rischio Costo annuo della protezione ,01 0,002 0, , Centro Nazionale per l Informatica nella Pubblica Amministrazione 14 7
8 Limiti dei metodi basati su analisi quantitativa Difficoltà nel monetizzare il valore dei beni Necessità di statistiche Difficilmente applicabile ad eventi con probalità molto bassa Nel caso della pubblica amministrazione Il rapporto costi/benefici non deve essere valutato nell ambito del singolo ente ma nel contesto generale dell economia del paese Centro Nazionale per l Informatica nella Pubblica Amministrazione 15 Esempio di analisi qualitativa Bene: documenti amministrativi (memorizzati su server NT) Vulnerabilità: accesso al sistema NT Minaccia: acquisizione non autorizzata dei diritti di amministratore Classe di criticità del bene Probabilità di subire danni imputabili ad attacco media bassa Livello di rischio medio Funzioni di sicurezza per livello di rischio medio Consentire accesso come amministratori solo localmente Aggiornamento trimestrale dei Service pack Traccia degli utenti che hanno modificato il registro Centro Nazionale per l Informatica nella Pubblica Amministrazione 16 8
9 Per ogni rischio occorre: La gestione dei rischi valutare se sia opportuno ridurre il rischio ed in caso affermativo valutare in che misura scegliere le modalità con cui ridurre il rischio predisporre le misure con cui fronteggiare situazioni in cui il rischio si concretizza in un attacco predisporre le procedure per il recupero dei beni in situazioni in cui il rischio si concretizza in un evento negativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 17 L analisi del rischio di un sistema complesso Il numero dei beni è dell ordine di decine di migliaia (elaboratori, programmi e dati) Il numero dei rischi è in teoria dello stesso ordine di grandezza, con opportune semplificazioni, il numero può diventare dell ordine di centinaia Le possibili soluzioni per ridurre i rischi sono decine (protezioni hardware, soluzioni organizzative, contromisure software che a loro volta possono avvalersi delle funzioni native dei sistemi ecc.) Il numero dei possibili eventi dannosi (o attacchi) è di difficile determinazione, quelli attualmente più diffusi sono migliaia Centro Nazionale per l Informatica nella Pubblica Amministrazione 18 9
10 La constatazione (assessment) dei rischi Processi di risk analysis Adatti a sistemi nuovi ed esistenti I rischi sono valutati esaminando beni, vulnerabilità e minacce Sono svolti con il supporto di tool specifici Popolano una base informativa utile per la fase di gestione Processi di risk assessment Idonei per sistemi esistenti I rischi sono valutati sulla base di analogie buona prassi esperienza Utilizzano principalmente check-list Producono rapporti sul livello di sicurezza e sulle criticità Centro Nazionale per l Informatica nella Pubblica Amministrazione 19 La pianificazione della sicurezza L attività di analisi del rischio produce generalmente risultati condivisi indicativi (il livello di dettaglio è funzione del metodo seguito) dipendenti dal contesto Necessita di revisioni cicliche E opportuno che abbia un costo ed una durata commisurati a costo e durata dell intero processo Centro Nazionale per l Informatica nella Pubblica Amministrazione 20 10
11 Gli osservatori sulla criminalità informatica Virus Perdita di servizi essenziali Guasti interni Errori d'uso Errori concettuali Furti Eventi naturali Attacchi logici Incidenti fisici Frodi Atti denigratori Divulgazione di dati Sabotaggi Intrusioni Ricatti, estorisioni % 5% 10% 15% 20% 25% 30% Fonte Clusif étude et statistiques sur la sinistralité informatique en France 2002 Centro Nazionale per l Informatica nella Pubblica Amministrazione 21 Documento programmatico sulla sicurezza elenco dei trattamenti di dati personali distribuzione dei compiti e delle responsabilità analisi dei rischi che incombono sui dati misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento Centro Nazionale per l Informatica nella Pubblica Amministrazione 22 11
12 documento programmatico della sicurezza previsione di interventi formativi criteri da adottare in caso di trattamenti affidati all esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato Centro Nazionale per l Informatica nella Pubblica Amministrazione 23 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 24 12
13 Motivazioni per la valutazione della sicurezza Decidere le azioni e gli investimenti economici per ridurre l esposizione ai rischi Valutare l opportunità di acquisire prodotti e servizi Sapere fino a che punto è possibile fidarsi di prodotti, sistemi e servizi Pubblicizzare le caratteristiche di sicurezza di un prodotto o di un servizio Centro Nazionale per l Informatica nella Pubblica Amministrazione 25 Problemi della valutazione Per misurare qualcosa bisogna prima definirla con precisione Qual è l oggetto della valutazione? prevenzione contrasto recupero problemi operativi criminalità informatica eventi calamitosi analisi del rischio formazione/consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Sistemi operativi evoluti Controllo accessi Perimetrazione ( Fw ) Sistemi fault tolerant Autenticazione robusta Protezione messaggi in rete Call center/trouble ticketing CERT Quadrature Incident management Sistemi di tracciatura IDS/antivirus Procedure di restore Incident management Indagini (forensic) Analisi e correlazione log Contingency plan Prove Siti di recovery Architetture ridondate Attivazione del piano di DR Gestione del disastro Rientro Centro Nazionale per l Informatica nella Pubblica Amministrazione 26 13
14 problemi della valutazione Per valutare il livello di sicurezza occorre definire una metrica Qual è la scala in base cui si può asserire che un oggetto è più sicuro di un altro più contromisure? meno rischi? più attenzione alla sicurezza? Centro Nazionale per l Informatica nella Pubblica Amministrazione 27 Primi standard per i sistemi Unix (TCSEC) Sicurezza Fiducia Un prodotto/sistema è fidato se è dotato di determinate protezioni La scala è determinata dal numero di protezioni presenti Centro Nazionale per l Informatica nella Pubblica Amministrazione 28 14
15 Limiti del TCSEC Le protezioni menzionate nello standard sono tipiche di elaboratori non connessi in rete Lo standard non consente flessibilità nella modalità di valutazione: la complessità è proporzionale al livello di sicurezza Ci sono pochi livelli per cui quasi tutti i prodotti sono stati valutati con livello medio-alto (C2) Il processo di valutazione è costoso Centro Nazionale per l Informatica nella Pubblica Amministrazione 29 I miglioramenti dello standard europeo ITSEC Deve essere definito l oggetto della valutazione (Target Of Evaluation) Deve essere definito l obiettivo della valutazione (Security Target) E possibile effettuare la valutazione con diversi livelli di severità (Assurance Level) Centro Nazionale per l Informatica nella Pubblica Amministrazione 30 15
16 Dall ITSEC ai Common Criteria ITSEC è uno standard europeo mentre i Common Criteria sono uno standard internazionale In ITSEC gli elementi che qualificano la valutazione sono scelti dal committente se non si leggono i documenti della valutazione non si hanno informazioni sulle caratteristiche di sicurezza Nei Common Criteria è possibile fare riferimento a profili di protezione predefiniti e certifciati (Protection profile) relativi a tipologie omogenee di prodotti Centro Nazionale per l Informatica nella Pubblica Amministrazione 31 La situazione attuale Gli standard per la valutazione della sicurezza sono utilizzati principalmente per sistemi operativi, data base e prodotti di sicurezza (firewall, smart card, ecc.) Nonostante i common criteria siano internazionali, prevalgono le certificazioni con standard americani (FIPS) Le norme sulla firma digitale prescrivono la certificazione dei dispositivi di firma con standard ITSEC o common criteria Centro Nazionale per l Informatica nella Pubblica Amministrazione 32 16
17 Caratteristiche degli standard per la valutazione della sicurezza Forniscono un istantanea della sicurezza di un prodotto o di un sistema Il risultato è significativo quando il prodotto è utilizzato nelle condizioni in cui è stato valutato Il processo di valutazione ha una durata commisurata al livello di severità La valutazione dei sistemi informativi con livelli elevati di confidenza è complessa Come è possibile sapere se posso fidarmi o meno di un servizio informatico? Centro Nazionale per l Informatica nella Pubblica Amministrazione 33 La norma inglese BS 7799 La parte 1 normalizza un insieme di controlli basati sull esperienza o buona prassi (best practices) Alcuni controlli possono essere non significativi, per cui la norma prevede di selezionare le verifiche in funzione del contesto Mentre la parte 1 della norma definisce i controlli puntuali, la parte 2 indica come condurre l esame Centro Nazionale per l Informatica nella Pubblica Amministrazione 34 17
18 La norma BS La parte 2 della norma non è uno standard ISO Occorre verificare che sia presente un processo di gestione della sicurezza, che tale processo sia sotto il controllo di una specifica organizzazione e che abbia carattere ricorsivo Vi sono molte analogie tra il processo di gestione della sicurezza e quello di gestione della qualità (ciclo P-D-C-A) Centro Nazionale per l Informatica nella Pubblica Amministrazione 35 Limiti dei processi di verifica/certificazione secondo la norma BS 7799 Chi è sottoposto a verifica decide quali controlli sono significativi La certificazione non attesta il livello di sicurezza, ma la presenza di un processo idoneo a gestire la sicurezza I margini di discrezionalità di chi esegue la certificazione sono ampi Centro Nazionale per l Informatica nella Pubblica Amministrazione 36 18
19 Le motivazioni alla base del successo della norma BS 7799 Attenzione agli aspetti organizzativi Semplicità del processo di certificazione Analogia con gli standard di certificazione della qualità (serie ISO 9000) Possibilità di verifica dei presupposti per la corretta gestione della sicurezza nel tempo Centro Nazionale per l Informatica nella Pubblica Amministrazione 37 Differenze tra verifica, valutazione e certificazione Tre diverse esigenze: Conoscere le caratteristiche di sicurezza Valutare il livello di sicurezza Ottenere un attestato relativo alle caratteristiche ed al livello di sicurezza Verifica (o assessment) Valutazione del livello di sicurezza Certificazione della sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione 38 19
20 Le tecniche per la verifica della sicurezza Questionari Checklist Competenza del valutatore (auditor) Standard di riferimento: BS 7799 parte 1 (ISO 17799) La terminologia dei consulenti: security assessment, risk assessment, security auditing, security benchmarking Centro Nazionale per l Informatica nella Pubblica Amministrazione 39 I processi di valutazione della sicurezza Idonei soprattutto per prodotti (smart card, sistemi operativi, ecc.) Si basano su metodi rigorosi che devono assicurare la confrontabilità dei risultati Il risultato deve essere esprimibile in una forma sintetica che fornisce l indicazione immediata del grado di sicurezza dell oggetto esaminato Standard di riferimento: ITSEC, Common Criteria Centro Nazionale per l Informatica nella Pubblica Amministrazione 40 20
21 La certificazione della sicurezza Deve garantire l ufficialità e l oggettività del giudizio sulle caratteristiche di sicurezza Normalmente il soggetto che certifica è diverso da quello che esegue la verifica o la valutazione Standard di riferimento: ITSEC, Common Criteria, BS 7799 parte 2 Centro Nazionale per l Informatica nella Pubblica Amministrazione 41 La valutazione della sicurezza nella PA La legge sulla privacy prescrive, con cadenza almeno annuale, la revisione del documento programmatico sulla sicurezza ed attività di verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (DL 196/03 allegato B) Possibilità di auto-valutazione (ad es. con questionario allegato alla Direttiva del Ministro per l'innovazione e le Tecnologie) Possibilità di utilizzo di checklist costruite a partire dai controlli della BS 7799 parte 1 Centro Nazionale per l Informatica nella Pubblica Amministrazione 42 21
22 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 43 Tipologie di contratti Contratti relativi a servizi o prodotti per la sicurezza come, ad esempio firewall servizi gestiti auditing/assessment Contratti relativi a beni e servizi informatici in cui la sicurezza è un elemento qualificante come, ad esempio fornitura di sistemi elaborativi servizi di comunicazione outsourcing della gestione del sistema informativo Centro Nazionale per l Informatica nella Pubblica Amministrazione 44 22
23 Prodotti e servizi di sicurezza E possibile richiedere la certificazione dei prodotti (i prodotti leader sono normalmente certificati secondo lo standard ITSEC, Common Criteria o FIPS) Il fornitore dei servizi di sicurezza deve dimostrare di essere di provata affidabilità curriculum delle persone candidate con certificazione referenze Nel caso di servizi attinenti applicazioni segretate, può essere ammissibile il ricorso alla procedura negoziale ristretta Centro Nazionale per l Informatica nella Pubblica Amministrazione 45 Beni e servizi informatici generici Sono pochi i prodotti che hanno una certificazione formale Anche quando il prodotto è certificato, usualmente viene adoperato in condizioni diverse da quelle per cui è stata rilasciata la certificazione Alcuni fornitori offrono la possibilità di accedere al codice sorgente Nel caso dei servizi, è opportuno definire nel contratto le responsabilità nei confronti della privacy In alcuni casi può essere chiesta la stipula di un assicurazione a copertura di possibili danni Centro Nazionale per l Informatica nella Pubblica Amministrazione 46 23
24 La formalizzazione dei requisiti di sicurezza nei servizi: due possibili approcci Fissare le caratteristiche del servizio Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di qualità dell informazione (ad es. assenza di virus) L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Fissare le misure di sicurezza La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni (ad es. antivirus) L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore Centro Nazionale per l Informatica nella Pubblica Amministrazione 47 Le ispezioni (auditing) Un modo per verificare gli adempimenti contrattuali in termini di sicurezza è prevedere attività di auditing La possibilità di verifiche ed ispezioni deve essere esplicitamente prevista e disciplinata nel contratto L attività di auditing prende in considerazione tutti gli aspetti che incidono sulla sicurezza (culturale organizzativo e tecnico) e verifica che la strategia di sicurezza sia stata realizzata correttamente Centro Nazionale per l Informatica nella Pubblica Amministrazione 48 24
25 I test di intrusione (penetration test) Sono utilizzati per verificare la capacità di resistenza ad attacchi di intrusione Possono essere svolti dall interno del sistema o dall esterno (attraverso la rete Internet) Sono condotti da specialisti che usano tecniche di attacco tipici degli hacker Devono essere previsti contrattualmente Il responsabile dei sistemi oggetto del test deve accettare formalmente la verifica Centro Nazionale per l Informatica nella Pubblica Amministrazione 49 I servizi gestiti La gestione di alcuni aspetti della sicurezza può essere demandata a società specializzate Può essere conveniente utilizzare tali servizi per attività che richiedono competenze specialistiche e presidio h24 (ad esempio gestione degli IDS e dei firewall) E opportuno che l amministrazione mantenga il controllo delle strategie di sicurezza e delle regole che ne derivano (ad esempio criteri di configurazione dei firewall) I contratti devono precisare i confini di responsabilità e le modalità con cui il fornitore dovrà adeguarsi alle politiche di sicurezza stabilite dall amministrazione Centro Nazionale per l Informatica nella Pubblica Amministrazione 50 25
26 Contrattualistica e certificazione della sicurezza Metodi per definire le caratteristiche di sicurezza di un servizio descrizione delle misure di sicurezza descrizione delle caratteristiche del servizio conformità a standard certificazione Metodi per valutare le caratteristiche di sicurezza di un servizio verifica della sicurezza con metodi conformi alle specifiche contrattuali Centro Nazionale per l Informatica nella Pubblica Amministrazione 51 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza Centro Nazionale per l Informatica nella Pubblica Amministrazione 52 26
27 Disaster recovery/business continuity Capacità di ripristinare i servizi di un Sistema Informatico qualora si verifichi un periodo di forzata inattività del CED, o di qualche suo componente fondamentale, causata da eccezionali calamità naturali o a seguito di azioni colpose o dolose Il Disaster Recovery si pone come obiettivo la sopravvivenza (ripristino del servizio entro giorni - settimane) La Business Continuity ha come obiettivo la continuità del servizio (ripristino entro ore), almeno per le applicazioni più critiche Centro Nazionale per l Informatica nella Pubblica Amministrazione 53 Sicurezza e Disaster recovery Gli eventi di natura calamitosa hanno bassa probabilità di accadere ma la perdita economica può essere ingente L effetto può essere la scomparsa di un azienda Anche se l esposizione economica annua è consistente, c è la propensione a trascurare i problemi relativi ad eventi di natura eccezionale Secondo un indagine di Gartner la gran parte delle PMI spende meno del 3% del budget IT per il Disaster recovery Centro Nazionale per l Informatica nella Pubblica Amministrazione 54 27
28 Le fasi del Disaster recovery Operazioni Normali FUORI USO DEL CED Servizio Ripristinato Dati Orfani Ricostruzione dei Dati Orfani Preparazione Sito Recovery Dati Recuperati Diagnosi Fase di Recovery t 1 t 2 t 3 t 4 t 5 Centro Nazionale per l Informatica nella Pubblica Amministrazione 55 Attività organizzative Analisi dell impatto sulle attività istituzionali analisi delle funzioni più critiche per il business e loro classificazione per importanza individuazione delle aree di vulnerabilità Progettazione e Realizzazione del Piano di Recovery del CED della rete delle postazioni di lavoro dei servizi fondamentali Progettazione e Realizzazione del Piano di ripristino per il ritorno alla normale operatività nella sede originale del cliente o altra sede Centro Nazionale per l Informatica nella Pubblica Amministrazione 56 28
29 attività organizzative Manutenzione del Piano verifica validità nel tempo (prove) aggiornamento adeguamento Addestramento e formazione del personale del cliente Utilizzo di software specializzato per produzione del piano di recovery e per la gestione delle prove periodiche Centro Nazionale per l Informatica nella Pubblica Amministrazione 57 Infrastrutture Sito dedicato / condiviso / specializzato con caratteristiche di funzionalità e sicurezza (locali attrezzati, viglilanza, controllo accessi,...) facilmente raggiungibile (in prossimità di autostrade ed aeroporti) in zone a bassissima sismicità Risorse elaborative dedicate / condivise elaboratori memorie di massa stampanti Sistema comunicativo rete di backup Centro Nazionale per l Informatica nella Pubblica Amministrazione 58 29
30 Caratteristiche del servizio di disaster recovery Tempo di ripartenza variabile tra 24 ore e settimane a seconda della soluzione scelta Prove periodiche del Piano Trasferimento periodico dei supporti di memorizzazione contenenti copia del sistema Utilizzo della rete di telecomunicazioni solo durante le prove Almeno parte della rete deve essere attivata entro 24 ore Centro Nazionale per l Informatica nella Pubblica Amministrazione 59 Caratteristiche del servizio di Business Continuity Tempo di ripartenza entro 2-4 ore per le applicazioni più critiche Entro 12 ore per le altre Prove periodiche del Piano Necessaria copia dei dati in tempo reale (mirroring) utilizzando hardware specializzato e rete ad alta velocità Rete di recovery sempre attiva Centro Nazionale per l Informatica nella Pubblica Amministrazione 60 30
31 L approccio tradizionale Sito di recovery in diversa area geografica cold back up: sito equipaggiato con le infrastrutture logistiche (ad. esempio pavimenti rialzati, aria condizionata...) che non possiede sistemi IT installati warm back up: sito dotato delle necessarie risorse elaborative dove per attivare il servizio occorre ripristinare applicazioni e dati hot back up: sito operativo nel quale tutte le applicazioni sono in linea Copie su supporti magnetici Limiti: crescente complessità degli ambienti dati senza backup (ad es.dati su PC) disallineamento delle versioni del SW Centro Nazionale per l Informatica nella Pubblica Amministrazione 61 Le tendenze attuali Consolidamento dei server Consolidamento della base informativa Consolidamento della rete Utilizzo di Storage Area Network Sistemi di configuration management che garantiscano l allineamento delle configurazioni Sistemi di allineamento on-line (sincorni, asincroni, quasi sincroni) Allineamento dei dati in rete elevato impegno di risorse comunicative Vicinanza del sito di recovery Centro Nazionale per l Informatica nella Pubblica Amministrazione 62 31
32 Il centro comune degli enti pubblici non economici CNIPA, Inps, Inail, Inpdap, Enpals, Ipsema e Ipost hanno sottoscritto un protocollo per avviare il progetto di un Centro unico di backup per gli enti previdenziali ed assicurativi L iniziativa ha l obiettivo di razionalizzare gli investimenti della pubblica amministrazione mettendo a fattor comune le risorse disponibili per conseguire economia di scala Il centro, una volta costituito, consentirà di proteggere da eventi disastrosi i dati di tutti gli altri enti aderenti, assicurando la continuità dei servizi ai cittadini Centro Nazionale per l Informatica nella Pubblica Amministrazione 63 32
LA SICUREZZA INFORMATICA
LA SICUREZZA INFORMATICA Ing. Gianfranco Pontevolpe CNIPA e-mail: pontevolpe@cnipa.it Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione
DettagliBusiness continuity per la PA, G. Pontevolpe
Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti
DettagliLa gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe
La gestione della sicurezza nei rapporti con i fornitori esterni Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Processo e prodotto Processo: successione delle
DettagliGli standard e la certificazione di sicurezza ICT
Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione
DettagliLa pianificazione e la gestione della della sicurezza, G. Pontevolpe
La pianificazione e la gestione della sicurezza Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma La pianificazione della sicurezza Il problema del
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliMinistero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo
Continuità operativa e Disaster recovery Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Alcuni concetti Gestione
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliLa valutazione della sicurezza
La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliPresidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico
Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliComprendere il Cloud Computing. Maggio, 2013
Comprendere il Cloud Computing Maggio, 2013 1 Cos è il Cloud Computing Il cloud computing è un modello per consentire un comodo accesso alla rete ad un insieme condiviso di computer e risorse IT (ad esempio,
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliDisaster Recovery: Aspetti tecnico-organizzativi
Disaster Recovery: Aspetti tecnico-organizzativi Business Continuity and Recovery Services IBM Italia 2002 IBM Corporation 2005 IBM Corporation LA CONTINUITÀ OPERATIVA La continuità operativa ha un perimetro
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliG.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni
G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,
DettagliPiano di gestione della qualità
Piano di gestione della qualità Pianificazione della qualità Politica ed obiettivi della qualità Riferimento ad un eventuale modello di qualità adottato Controllo della qualità Procedure di controllo.
DettagliDM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI
DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliAnalisi del Rischio. Approccio alla valutazione del rischio Informatico. Contromisure. Giorgio Giudice gg@ntsource.it
Analisi del Rischio Approccio alla valutazione del rischio Informatico Contromisure Cosa è l Analisi del Rischio Un metodo per quantificare l impatto di un potenziale attacco ad un sistema Il risultato
DettagliLe attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliProposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione
Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliDocumento Programmatico sulla sicurezza
SNAMI Sindacato Nazionale Autonomo Medici Italiani Documento Programmatico sulla sicurezza Redatto ai sensi dell articolo 34, comma 1, lettera g) e Allegato B - Disciplinare Tecnico, Regola 19 del Decreto
DettagliCNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati
CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliL integrazione dei sistemi qualità, sicurezza, ambiente
L integrazione dei sistemi qualità, sicurezza, ambiente Alberto ANDREANI v.le Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 E.Mail:andreani@pesaro.com Definizione L insieme del personale, delle responsabilità,
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
Dettagli14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved
14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA A.I.P.S. Associazione Installatori Professionali di Sicurezza Nata per rispondere alla fondamentale aspettativa degli operatori
DettagliSICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY
SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY Venezia 19 maggio 2011 Scenario di contesto Documenti - solo digitali - digitali e analogici Archivi - solo digitali - digitali e analogici 1 Archivio digitale
DettagliSCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT
srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT
DettagliIL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI
IL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI LA CONTINUITÀ OPERATIVA È UN DOVERE La Pubblica Amministrazione è tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento
DettagliLA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO
LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO Studio Candussi & Partners novembre 2008 Lo Studio Candussi & Partners Lo Studio opera dal 1998 con consulenti
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliSISTEMA DI GESTIONE INTEGRATO. Audit
Rev. 00 del 11.11.08 1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Gestione degli audit interni ambientali e di salute e sicurezza sul lavoro 3. APPLICABILITÀ La presente
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
DettagliDEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE
DEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE Il presente documento è rivolto a tutti i nostri potenziali clienti. E una breve presentazione di quello che facciamo e di quello che siamo. Di come ci proponiamo
Dettaglidivisione INFORMATICA
Reti informatiche CABLATE @atlantidee.it Il fattore critico di successo per qualsiasi attività è rappresentato dall' efficienza delle reti informatiche. Una scorretta configurazione della rete o il suo
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliMANUALE DELLA QUALITÀ
MANUALE DELLA QUALITÀ RIF. NORMA UNI EN ISO 9001:2008 ASSOCIAZIONE PROFESSIONALE NAZIONALE EDUCATORI CINOFILI iscritta nell'elenco delle associazioni rappresentative a livello nazionale delle professioni
DettagliCertificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliLa Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci
La Posta Certificata per la trasmissione dei documenti informatici renzo ullucci Contesto Il completamento dell apparato normativo e la concreta implementazione delle nuove tecnologie rendono più reale
DettagliA.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 3. INFRASTRUTTURE...
Pagina 1 di 6 INDICE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 2.1. GENERALITÀ... 2 2.2. COMPETENZA, CONSAPEVOLEZZA E ADDESTRAMENTO... 2 3. INFRASTRUTTURE...3 4. AMBIENTE DI LAVORO...6
DettagliSTANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008
DECRETO LEGISLATIVO n. 81 del 9 aprile 2008 UNICO TESTO NORMATIVO in materia di salute e sicurezza delle lavoratrici e dei lavoratori STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO
DettagliBOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS
Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT
DettagliCOME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING
Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN
DettagliSICUREZZA INFORMATICA
SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI
DettagliSISTEMA DI GESTIONE PER LA QUALITA Capitolo 4
1. REQUISITI GENERALI L Azienda DSU Toscana si è dotata di un Sistema di gestione per la qualità disegnato in accordo con la normativa UNI EN ISO 9001:2008. Tutto il personale del DSU Toscana è impegnato
DettagliPolicy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web
Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa La Argo software srl è impegnata costantemente a pianificare e monitorare le proprie azioni per la
DettagliCOMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy
COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto
Dettagli1 La politica aziendale
1 La Direzione Aziendale dell Impresa Pizzarotti & C. S.p.A. al livello più elevato promuove la cultura della Qualità, poiché crede che la qualità delle realizzazioni dell Impresa sia raggiungibile solo
DettagliIl glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliD.Lgs. 81/08, Testo Unico Sicurezza e la correlazione con i Sistemi di Gestione certificabili BS OHSAS 18001
D.Lgs. 81/08, Testo Unico Sicurezza e la correlazione con i Sistemi di Gestione certificabili BS OHSAS 18001 CERTIQUALITY VIA G. GIARDINO, 4 20123 MILANO TEL. 02-806917.1 certiquality@certiquality.it www.certiquality.it
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliAnalizzare e gestire il CLIMA e la MOTIVAZIONE in azienda
Analizzare e gestire il CLIMA e la MOTIVAZIONE in azienda tramite lo strumento e la metodologia LA GESTIONE DEL CLIMA E DELLA MOTIVAZIONE La spinta motivazionale delle persone che operano in azienda è
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliBASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza
BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza Rev. 03 del 27 maggio 2008 La BASILE PETROLI S.p.A., nell ambito delle proprie attività di stoccaggio e commercializzazione di
DettagliOHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro
SORVEGLIANZA E CERTIFICAZIONI OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro Pagina 1 di 6 INTRODUZIONE L attenzione alla sicurezza e alla salute sui luoghi di lavoro (SSL)
DettagliIl Regolamento REACh e la Check Compliance: proposta di Linee Guida
Il Regolamento REACh e la Check Compliance: proposta di Linee Guida Piero Franz- Certiquality Bologna - 20 Giugno 2011 CERTIQUALITY IN ITALIA SEDE DI MILANO UFFICIO DI VENEZIA FONDATO NEL 1989 CERTIQUALITY
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliPROFILO FORMATIVO Profilo professionale e percorso formativo
Agenzia del Lavoro Provincia Autonoma di Trento PROFILO FORMATIVO Profilo professionale e percorso formativo DENOMINAZIONE FIGURA PROFESSIONALE - TECNICO INFORMATICO SISTEMA INFORMATIVO AZIENDALE CED-EDP
DettagliManuale di Gestione Integrata POLITICA AZIENDALE. 4.2 Politica Aziendale 2. Verifica RSGI Approvazione Direzione Emissione RSGI
Pag.1 di 5 SOMMARIO 4.2 Politica Aziendale 2 Verifica RSGI Approvazione Direzione Emissione RSGI. Pag.2 di 5 4.2 Politica Aziendale La Direzione della FOMET SpA adotta e diffonde ad ogni livello della
DettagliIl Modello 231 e l integrazione con gli altri sistemi di gestione aziendali
RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliLa CASSAFORTE DIGITALE per
La CASSAFORTE DIGITALE per DOCUMENTI PROTETTI La Soluzione per la Piccola Media Impresa La realtà operativa delle Piccole e Medie Imprese italiane è caratterizzata dalla produzione e dalla consultazione
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliTENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI
Rev.0 Data 10.10.2002 TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI Indice: 1.0 SCOPO 2.0 CAMPO DI APPLICAZIONE 3.0 RIFERIMENTI E DEFINIZIONI 4.0 RESPONSABILITÀ 5.0 MODALITÀ ESECUTIVE 6.0 ARCHIVIAZIONE 7.0
DettagliL importanza di una corretta impostazione delle politiche di sicurezza
La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza
DettagliAlberta Riccio (Responsabile Qualità, Ambiente, Sicurezza e Risorse Umane)
ESEMPI DI BUONA PRASSI TEMA Sistema di Gestione per la Sicurezza TITOLO DELLA SOLUZIONE Pianificazione della Manutenzione, Utilizzo di Software dedicato e Formazione per Addetti Manutenzione AZIENDA/ORGANIZZAZIONE
DettagliSpecifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni
Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni Redatto dalla Commissione per l elettronica, l informatica e la telematica
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
Dettagliascoltare ispirare e motivare miglioramento problem solving Flex360 pianificare comunicare la vision organizzare
Flex360 La valutazione delle competenze online comunicare la vision ascoltare problem solving favorire il cambiamento proattività pianificare miglioramento organizzare ispirare e motivare Cos è Flex360
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliCapire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.
LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright
Dettaglila GESTIONE AZIENDALE software on-line
la GESTIONE AZIENDALE software on-line per la GESTIONE via AZIENDALE INTERNET (con tecnologia SAAS & CLOUD Computing) 1 Il software gestionale senza costi accessori, dove e quando vuoi! Impresa ON è il
DettagliREGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI
REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI REGOLAMENTO SULLA FACOLTA DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI Sommario Art. 1 - Principi, finalità, e oggetto...3 Art. 2 -
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
Dettaglivisto il trattato sul funzionamento dell Unione europea,
17.11.2012 IT Gazzetta ufficiale dell Unione europea L 320/3 REGOLAMENTO (UE) N. 1077/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per la supervisione da parte delle
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliAllegato A al CCNL 2006/2009 comparto Ministeri
Allegato A al CCNL 2006/2009 comparto Ministeri AREA FUNZIONALE PRIMA ( ex A1 e A1S ) Appartengono a questa Area funzionale i lavoratori che svolgono attività ausiliarie, ovvero lavoratori che svolgono
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliPostaCertificat@ Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@
PostaCertificat@ Postecom S.p.A. Poste Italiane S.p.A. Telecom Italia S.p.A. Pag. 1/5 LA SICUREZZA DEL SERVIZIO PostaCertificat@ Limitazione delle comunicazioni - il servizio di comunicazione PostaCertificat@
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
Dettagli