La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria"

Transcript

1 La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006

2 Presentazione Relatore Nome: Ombretta Palma Azienda: Siemens Informatica Divisione: SOL ISS Posizione: Project Manager Principali esperienze maturate nell IS: Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.) Certificazioni CISA, CISM, Lead Assessor BS7799 Esperienza consolidata nell Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro Certificazione BS7799-2:2002, definizione ed implementazione di Corporate Information Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery Page 2 22 Settembre 2006 Siemens Business Services

3 Sicurezza delle Informazioni L informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grande impresa privata che di una PMI o di una Pubblica Amministrazione L informazione, quindi, deve essere opportunamente protetta. Per Sicurezza delle Informazioni si intende la salvaguardia di Riservatezza (assicurare che l informazione sia accessibile solo agli utenti autorizzati) Integrità (assicurare che l informazione venga modificata solo da utenti e processi autorizzati salvaguardando l accuratezza e la completezza dei dati e dei metodi di elaborazione) Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all informazione quando richiesto) Page 3 22 Settembre 2006 Siemens Business Services

4 Introduzione allo standard Che cos è l ISO/IEC 27001:2005? E uno standard internazionale derivante dal riconoscimento da parte dell ISO/IEC dello standard de facto BS (British Standard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale Il British Standard si suddivide in due parti: BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems Page 4 22 Settembre 2006 Siemens Business Services

5 Introduzione allo standard La parte 1 del BS 7799 è stata standardizzata nel 2000 dall Ente Internazionale ISO/IEC: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) Code of Practice for Information Security Management La parte 2, è stata standardizzata dal medesimo ente nel 2005: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 Information Technology - Security techniques - Information security management systems - Requirements Page 5 22 Settembre 2006 Siemens Business Services

6 SGSI o ISMS Che cos è un SGSI? Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità Page 6 22 Settembre 2006 Siemens Business Services

7 In cosa consiste un SGSI Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale Un SGSI si compone, quindi, di: ruoli e responsabilità organizzative politiche di sicurezza procedure operative istruzioni controlli fisici (relativi all ambiente di lavoro ed alle attrezzature...) controlli logici (relativi ai servizi ICT...) cultura Page 7 22 Settembre 2006 Siemens Business Services

8 SGSI Certificabile Un SGSI può essere certificato secondo lo standard ISO/IEC 27001:2005 Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC e dello standard ISO/IEC 17799! Page 8 22 Settembre 2006 Siemens Business Services

9 Il Processo di Information Security Management Fonte: ISO/IEC 27001:2005 Page 9 22 Settembre 2006 Siemens Business Services

10 SGSI:Le Fasi del Processo 1. Fase Plan (Establish the ISMS) definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

11 SGSI: Fase Plan Definire lo scopo e l ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc. Definire la Politica di Sicurezza Definire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc. Analisi e Gestione del Rischio: identificare i rischi valutare i rischi identificare e valutare le opzioni per il trattamento del rischio identificare le strategie per il trattamento del rischi selezionare i controlli di sicurezza che riducano l esposizione al rischio Page Settembre 2006 Siemens Business Services

12 Definizione dell Ambito di Applicazione Il primo step per la definizione di un SGSI è la definizione dell ambito di applicazione (scope) del SGSI Bisogna delimitare con maggiore precisione possibile l ambito fisico, logico ed organizzativo del SGSI Ai fini della Certificazione ISO/IEC del SGSI deve essere predisposto un documento che descriva l ambito di applicazione identificato e le interfacce dell ambito verso l interno e verso l esterno dell Organizzazione stessa. Page Settembre 2006 Siemens Business Services

13 Definizione dell Ambito di Applicazione Per individuare e descrivere l ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio: Analisi dei Processi dell Area d Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell area d intervento. Censimento Interazioni ed Interfacce dell Area d Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l area d intervento considerata e l esterno. Definizione dell Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni. Page Settembre 2006 Siemens Business Services

14 Definizione della Security Policy L Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di Sicurezza La Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security Page Settembre 2006 Siemens Business Services

15 La Secutiy Policy nello standard In libera traduzione dallo standard: A.5 Security Policy A.5.1 Information Security Policy Obiettivo: Fornire indirizzo gestionale e supporto all information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili. A Documento di Information Security Policy A Revisione dell Information Security Policy Controllo: Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo. Controllo: Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi. Page Settembre 2006 Siemens Business Services

16 Security Policy In dettaglio, la Politica di Sicurezza include: 1. framework degli obiettivi, principi di azione sugli aspetti di information security 2. considerazioni circa i requisiti di business, legali e normativi 3. contesto organizzativo per la gestione del rischio 4. criteri per la valutazione del rischio La Politica di Sicurezza deve essere firmata dall Executive Management Page Settembre 2006 Siemens Business Services

17 L Analisi del Rischio Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato Page Settembre 2006 Siemens Business Services

18 Il concetto di Rischio Che cos è il Rischio? Il Rischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali Il Rischio può essere espresso come il prodotto scalare dell Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento R = I X P Page Settembre 2006 Siemens Business Services

19 Il Processo di Analisi del Rischio I principali step dell Analisi del Rischio sono: Identificazione e Valutazione degli asset (rif. Asset Inventory) Identificazione e Valutazione delle Minacce applicabili agli asset Identificazione e Valutazione delle Vulnerabilità degli asset Valutazione dell esposizione esposizione al Rischio Page Settembre 2006 Siemens Business Services

20 Identificazione degli Asset Devono essere identificati tutti gli asset che costituiscono il patrimonio informativo dell Organizzazione Le principali tipologie di asset che devono essere individuate sono: Asset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc. Asset Software (applicativi e S.O. di supporto) Es.: Win 2000, Linux, SAP R/3, Exchange, etc. Asset Fisici (sistemi hardware di supporto) Es.: server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc. Page Settembre 2006 Siemens Business Services

21 Valutazione degli Asset Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità. In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora: Gli Asset Informativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc. Gli Asset Software siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc. Gli Asset Fisici siano distrutti, parzialmente danneggiati, etc. Page Settembre 2006 Siemens Business Services

22 Asset Inventory L Asset inventory è, quindi, il primo step dell Analisi dei Rischi Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC Il doc dei cespiti aziendali (componente dell Asset Inventory) deve essere costantemente mantenuto aggiornato! Page Settembre 2006 Siemens Business Services

23 Valutazioni di criticità Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di: Criticità (importanza dell asset all interno del processo) Riservatezza Integrità Disponibilità Page Settembre 2006 Siemens Business Services

24 Identificazione delle Minacce Occorre identificare l insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce: Naturali (es. terremoti, uragani, allagamenti, etc.); Tecnologiche (es. virus, malfunzionamenti, etc.); Sociali (es. scioperi, manifestazioni, etc.); Umane: Interne: Volontarie (es. frodi da interni, intercettazione documenti, etc.); Involontarie (es. manipolazioni dei dati, etc.); Esterne: Volontarie (es. frodi da esterni, attacchi informatici, etc.); Involontarie (es. virus, etc.). Page Settembre 2006 Siemens Business Services

25 Identificazione delle Vulnerabilità Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto. Esempi di vulnerabilità nei tre domini sono: Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc. Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc. Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc. Page Settembre 2006 Siemens Business Services

26 Valutazione delle Minacce e delle Vulnerabilità Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull asset Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli asset sfruttando la presenza di tale Vulnerabilità Anche questa è una valutazione di tipo probabilistico Page Settembre 2006 Siemens Business Services

27 Valutazione del rischio In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al Rischio La Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza Page Settembre 2006 Siemens Business Services

28 Esempio di applicazione Step 1 Identificazione Asset: Id0001: Documento di offerta (standard aziendale) Id0011: Server di Archiviazione dei Documenti (serverdoc01) Id0013: Software S.O. Ms Windows Server 2003 (1 licenza) Id0018: Software Applicativo Ms Office (1 licenza) Valutazione Asset: Id0001: Valore Alto Id0011: Valore Alto Id0013: Valore Basso Id0018: Valore Basso Page Settembre 2006 Siemens Business Services

29 Esempio di Applicazione Step 2 Identificazione Minacce: Lista delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk) Valutazione Minacce: Valutazione delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale: Valore Medio (Doc abbastanza competitivo) Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato) Page Settembre 2006 Siemens Business Services

30 Esempio di Applicazione Step 3 Identificazione Vulnerabilità: Lista delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale) Valutazione Vulnerabilità: Valutazione delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto Page Settembre 2006 Siemens Business Services

31 Esempio di Applicazione: Output Valore Asset Id0001: alto Valore Minaccia Mi0001: medio Valore Vulnerabilità Vu0008: alto Livello Minaccia Basso (0) Medio (1) Alto (2) Livello Vulnerabilità B 0 M 1 A 2 B 0 M 1 A 2 B 0 M 1 A 2 Basso (0) Valore Asset Medio (1) Alto (2) Il valore di esposizione al rischio è 5 (Alto)! Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto Page Settembre 2006 Siemens Business Services

32 Gestione dei Rischi Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato Page Settembre 2006 Siemens Business Services

33 Gestione del Rischio Il processo di Gestione del Rischio consiste nell identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello di Rischio ad un livello che è ritenuto accettabile dall Organizzazione Il Rischio può essere gestito: implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.) Page Settembre 2006 Siemens Business Services

34 Selezione delle Contromisure Le Contromisure possono abbassare il livello di rischio agendo su: Riduzione della probabilità di attacco e/o d incidente Riduzione delle vulnerabilità del sistema Riduzione dell impatto di un attacco e/o incidente Identificazione tempestiva dell occorrenza di un attacco e/o incidente Agevolazione del Recovery in seguito all occorrenza di un attacco e/o incidente di sicurezza Page Settembre 2006 Siemens Business Services

35 Scelta delle Contromisure Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici Se l implementazione di una contromisura ha un costo di Euro ma riduce l esposizione al rischio (con un impatto stimato da Euro a Euro), si potrebbe ritenere che tale implementazione non risulta conveniente! Page Settembre 2006 Siemens Business Services

36 Classi di Contromisure Per l elenco delle contromisure di sicurezza si faccia riferimento all ISO/IEC Annex A o all ISO/IEC da cui sono tratti i seguenti in libera traduzione: Security Policy Organizzazione dell Information Security Gestione degli Asset Sicurezza delle Risorse Umane Sicurezza Fisica e Ambientale Gestione delle Comunicazioni e dell e attività di Esercizio Controllo Accessi Acquisizione, Sviluppo e Manutenzione di sistemi informativi Gestione degli Incidenti di Sicurezza delle Informazioni Gestione della Business Continuity Conformità Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori Page Settembre 2006 Siemens Business Services

37 Cosa fare e non come fare! Ciascuno dei controlli ISO/IEC definisce l obiettivo da perseguire COSA FARE Viene lasciata all Organizzazione piena libertà di implementazione dei controlli COME FARE Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore... Page Settembre 2006 Siemens Business Services

38 Risultati della Gestione del Rischio I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti Il Management deve avallare il livello di rischio residuo che diverrà il livello di rischio accettato dall Organizzazione L attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan Do Check Act Page Settembre 2006 Siemens Business Services

39 Statement of Applicability Lo Statement of Applicability (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell Organizzazione Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC se applicato se non applicabile (e perché) se risulta non applicato (e perché) In particolare, un controllo ISO/IEC potrebbe risultare: Non applicabile ad es. a causa di problemi tecnologici (l event logging potrebbe non essere supportato da un applicativo legacy) Non applicato ad es. a causa del costo d implementazione (ci sono reali problemi di budget) Page Settembre 2006 Siemens Business Services

40 SGSI: Fase Do 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and operate the ISMS) implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo) 3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS) Page Settembre 2006 Siemens Business Services

41 Security Controls e Tecnologie di Sicurezza L ISO/IEC è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d integrità dei dati in input, etc. Page Settembre 2006 Siemens Business Services

42 SGSI: Framework Documentale Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l espletamento delle normali attività lavorative devono essere concise ed efficaci Page Settembre 2006 Siemens Business Services

43 SGSI: Documenti Formali Il SGSI certificabile secondo la norma ISO deve avere i principali documenti formali di seguito elencati: Ambito di applicazione del SGSI Manuale del SGSI Politica di Sicurezza Piano di Gestione del Rischio Piano di Gestione dei Log Statement of Applicability (SoA)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

44 SGSI:Procedure Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate: Procedura utente Formazione e Addestramento utente Amministrazione dei server di produzione e dei sistemi di sicurezza di supporto Back-up Business Continuity/Disaster Recovery Incident Handling Gestione degli Accessi Verifiche Ispettive... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

45 SGSI: Ulteriori Documenti Il SGSI certificabile secondo la norma BS 7799 deve avere l ulteriore documentazione relativa a: Comunicazioni interne relative alle decisioni prese e alle nomine effettuate Verbali delle riunioni degli organi di controllo Modulistica per Verifiche Ispettive Manuale di Qualità Contratti di Outsourcing con la definizione degli SLA di sicurezza Log forniti dall Outsourcer Log dei sistemi di produzione amministrati Registrazioni varie (Accessi, utilizzo delle macchine di lab, etc.)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

46 Sicurezza Organizzativa L infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business L ISO/IEC sancisce che l infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Security dell Organizzazione Page Settembre 2006 Siemens Business Services

47 Gli attori coinvolti I vari attori coinvolti nel processo di IS sono: Struttura Organizzativa di IS Executive Management Responsabili di B.U. e/o Divisioni System Administrator, Network Administrator, DB Administrator, etc. Dipendenti Outsourcer / Fornitori / Business Partner Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena è determinato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole Page Settembre 2006 Siemens Business Services

48 SGSI:Fase Check 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS): misurazione delle performance del SGSI: Management Review Raccolta ed Analisi delle registrazioni/log Monitoring degli Incidenti di Sicurezza (Incident Handling) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

49 Fase Check: Management Review Management review su una base regolare (almeno una volta l anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall organizzazione, anche, a seguito di modifiche sostanziali nell Organizzazione, tecnologie, minacce identificate, etc. Page Settembre 2006 Siemens Business Services

50 SGSI Fase Check:Raccolta e analisi delle registrazioni Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull efficacia del SGSI implementato. L analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l identificazione delle misure correttive e migliorative Page Settembre 2006 Siemens Business Services

51 SGSI Fase Check: Monitoring degli incidenti di sicurezza Un importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati: falsi positivi incidenti di sicurezza chiusi incidenti di sicurezza aperti... Page Settembre 2006 Siemens Business Services

52 Verifiche Periodiche Il sistema dovrà essere sottoposto a verifiche periodiche: ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l efficacia dei controlli rispetto alle normative di sicurezza e alla politica di sicurezza alle nuove tecnologie che sono introdotte (almeno ogni sei mesi) o al momento dell introduzione di tecnologie che comportino innovazioni rilevanti ispettive interne ( audit ): devono essere condotte indagini, soprattutto, sugli aspetti organizzativi del SGSI (l ispettore pur essendo interno all azienda deve condurre la verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dalle persone che ci lavorano) Page Settembre 2006 Siemens Business Services

53 SGSI:Miglioramento delle prestazioni Fase Plan (Establish the ISMS) Fase Do (Implement and Operate the ISMS) Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS) implementazione di eventuali azioni correttive e migliorative Page Settembre 2006 Siemens Business Services

54 SGSI:Fase Act Implementare i miglioramenti identificati Intraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessi Comunicare e condividere con le parti interessate le azioni intraprese Assicurare che vengano raggiunti gli obiettivi dichiarati Page Settembre 2006 Siemens Business Services

55 Start dell Iter di Certificazione Dopo aver revisionato ed affinato opportunamente il SGSI l organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERT Nella domanda di certificazione l organizzazione deve specificare l ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all OdC affinché possa essere effettuata una relativa stima dei costi Page Settembre 2006 Siemens Business Services

56 Processo di Certificazione Ricezione Domanda Apertura Pratica Esame Documentale OK NO Verifiche supplementari SI Invio Programma di Valutazione Effettuazione Valutazione Rapporto Verifica Ispettiva OK NO Verifiche supplementari SI Proposta di Certificazione Esame da parte del Comitato tecnico Fonte: Sincert Rilascio Certificazione Page Settembre 2006 Siemens Business Services

57 Approfondimenti BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems ISO/IEC 17799:2000(E) Code of Practise for Information Security Management BSI, Guide to BS 7799 Risk Assessment and Management, ISBN BSI, Guide on the selection of BS 7799 controls, ISBN BSI, Guide to BS 7799 Auditing, ISBN BSI, Preparing for BS certification Page Settembre 2006 Siemens Business Services

58 Link BS 7799 URL: ISO/IEC URL: European co-operation for Accreditation URL: SINCERT URL: RINA URL: itservices.rina.org/iso/ CLUSIT URL: Page Settembre 2006 Siemens Business Services

59 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria La sicurezza nel settore della tecnologia dell informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall uomo o dall ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l accesso, l utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l accesso e l utilizzo a coloro che siano stati autorizzati. Fonte: LGP1 - Descrizione dello Schema Nazionale Page Settembre 2006 Siemens Business Services

60 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni (17/02/2005) ha identificato le: "Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione (LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall OCSI. L Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) del Ministero delle Comunicazioni è l Organismo di Certificazione della Sicurezza nel settore della tecnologia dell Informazione (OCSI). Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione si compone dell insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC). Page Settembre 2006 Siemens Business Services

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

2006 02 09 Sottocomitato per lo schema SCR 2006 02 28 Comitato di Accreditamento COMITATO DI ACCREDITAMENTO. Accreditamento RT-12

2006 02 09 Sottocomitato per lo schema SCR 2006 02 28 Comitato di Accreditamento COMITATO DI ACCREDITAMENTO. Accreditamento RT-12 Via Saccardo, 9 I-20134 MILANO Tel.: + 39 022100961 Fax: + 39 0221009637 Sito Internet: www.sincert.it E-mail: sincert@sincert.it C.F./P.IVA 10540660155 Titolo Sigla RT-12 Revisione 01 Data approvazioni

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

IT Service Management

IT Service Management IT Service Management L'importanza dell'analisi dei processi nelle grandi e medie realtà italiane Evento Business Strategy 2.0 Firenze 25 settembre 2012 Giovanni Sadun Agenda ITSM: Contesto di riferimento

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

CALENDARIO CORSI 2015

CALENDARIO CORSI 2015 SAFER, SMARTER, GREENER DNV GL - Business Assurance Segreteria Didattica Training Tel. +39 039 60564 - Fax +39 039 6058324 e-mail: training.italy@dnvgl.com www.dnvba.it/training BUSINESS ASSURANCE CALENDARIO

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni:

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni: Passepartout Mexal BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

Legame fra manutenzione e sicurezza. La PAS 55

Legame fra manutenzione e sicurezza. La PAS 55 Gestione della Manutenzione e compliance con gli standard di sicurezza: evoluzione verso l Asset Management secondo le linee guida della PAS 55, introduzione della normativa ISO 55000 Legame fra manutenzione

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

Continua evoluzione dei modelli per gestirla

Continua evoluzione dei modelli per gestirla Governance IT Continua evoluzione dei modelli per gestirla D. D Agostini, A. Piva, A. Rampazzo Con il termine Governance IT si intende quella parte del più ampio governo di impresa che si occupa della

Dettagli

Consulenza tecnologica globale

Consulenza tecnologica globale Orientamento al cliente Innovazione Spirito di squadra Flessibilità Un gruppo di professionisti dedicati alle imprese di ogni settore merceologico e dimensione, capaci di supportare il Cliente nella scelta

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

ACCREDIA L Ente Italiano di Accreditamento. Accreditation process for abilitation/notification: experiences and criticalities

ACCREDIA L Ente Italiano di Accreditamento. Accreditation process for abilitation/notification: experiences and criticalities ACCREDIA L Ente Italiano di Accreditamento Accreditation process for abilitation/notification: experiences and criticalities 1-32 28 giugno 2013 IL QUADRO DI RIFERIMENTO Cambiano gli scenari europei Regolamento

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

PROCEDURA DI AUDIT AI TEST CENTER AICA

PROCEDURA DI AUDIT AI TEST CENTER AICA Pag. 1 di 14 PROCEDURA DI AUDIT REVISIONI 1 19/12/2002 Prima revisione 2 07/01/2004 Seconda revisione 3 11/01/2005 Terza revisione 4 12/01/2006 Quarta revisione 5 09/12/2013 Quinta revisione Adeguamenti

Dettagli

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc Scuola universitaria professionale della Svizzera italiana Dipartimento tecnologie innovative Istituto sistemi informativi e networking Specialista ITIL Certificate of Advanced Studies www.supsi.ch/fc

Dettagli

La gestione dei servizi non core: il Facility Management

La gestione dei servizi non core: il Facility Management La gestione dei servizi non core: il Facility Management ing. Fabio Nonino Università degli studi di Udine Laboratorio di Ingegneria Gestionale Dipartimento di Ingegneria Elettrica, Gestionale e Meccanica

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI CSC ritiene che la Business Intelligence sia un elemento strategico e fondamentale che, seguendo

Dettagli

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET LE ESIGENZE INFORMATICHE NELL ERA di INTERNET Internet una finestra sul mondo... Un azienda moderna non puo negarsi ad Internet, ma.. Per attivare un reale business con transazioni commerciali via Internet

Dettagli

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione Piazza delle Imprese alimentari Viale delle Manifatture Via della Produzione PASSEPARTOUT MEXAL è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

F O R M A T O E U R O P E O

F O R M A T O E U R O P E O F O R M A T O E U R O P E O P E R I L C U R R I C U L U M V I T A E INFORMAZIONI PERSONALI Nome Indirizzo Laura Bacci, PMP Via Tezze, 36 46100 MANTOVA Telefono (+39) 348 6947997 Fax (+39) 0376 1810801

Dettagli

di seguito verrà utilizzato il termine ENTE per Certification International UK (Ltd) e SEDE LOCALE per Divulgazione e Accreditamento DeA S.r.l.

di seguito verrà utilizzato il termine ENTE per Certification International UK (Ltd) e SEDE LOCALE per Divulgazione e Accreditamento DeA S.r.l. Certification International (UK) Limited [CI UK] è un Organismo di Certificazione accreditato UKAS che fornisce i propri servizi di certificazione attraverso una rete di uffici di rappresentanza in tutto

Dettagli

PROFILI ALLEGATO A. Profili professionali

PROFILI ALLEGATO A. Profili professionali ALLEGATO A Profili professionali Nei profili di seguito descritti vengono sintetizzate le caratteristiche di delle figure professionali che verranno coinvolte nell erogazione dei servizi oggetto della

Dettagli

REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA

REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA Art. 1 Finalità e compiti del Dipartimento ad attività integrata (DAI) di Medicina Interna

Dettagli

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità PASSEPARTOUT MEXAL BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

Focus, impegno e lealtà: queste sono le caratteristiche che contraddistinguono Emaze Networks.

Focus, impegno e lealtà: queste sono le caratteristiche che contraddistinguono Emaze Networks. Company Backgrounder : i pilastri su cui si fonda Focus, impegno e lealtà: queste sono le caratteristiche che contraddistinguono Emaze Networks. Focalizzati per essere il partner di riferimento delle grandi

Dettagli

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls Information Technology General Controls Indice degli argomenti Introduzione agli ITGC ITGC e altre componenti del COSO Framework Sviluppo e manutenzione degli applicativi Gestione operativa delle infrastrutture

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Cagliari, 22 luglio 2010

Cagliari, 22 luglio 2010 Cagliari, 22 luglio 2010 L azione dell Ance L Associazione Nazionale Costruttori Edili si è da sempre posta l obiettivo di supportare le imprese associate nella adozione di strumentazione organizzativa

Dettagli

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade)

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade) AGENDA DIGITALE ITALIANA 1. Struttura dell Agenda Italia, confronto con quella Europea La cabina di regia parte con il piede sbagliato poiché ridisegna l Agenda Europea modificandone l organizzazione e

Dettagli

Company Profile 2014

Company Profile 2014 Company Profile 2014 Perché Alest? Quando una nuova azienda entra sul mercato, in particolare un mercato saturo come quello informatico viene da chiedersi: perché? Questo Company Profile vuole indicare

Dettagli

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo Pagina 1 di 24 INTRODUZIONE SEZ 0 Manuale Operativo DOCUMENTO TECNICO PER LA CERTIFICAZIONE DEL PROCESSO DI VENDITA DEGLI AGENTI E RAPPRESENTANTI DI COMMERCIO OPERANTI PRESSO UN AGENZIA DI RAPPRESENTANZA:

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

CATALOGO FORMAZIONE 2015

CATALOGO FORMAZIONE 2015 CATALOGO FORMAZIONE 2015 www.cogitek.it Sommario Introduzione... 4 Area Tematica: Information & Communication Technology... 5 ITIL (ITIL is a registered trade mark of AXELOS Limited)... 6 Percorso Formativo

Dettagli

Polizza CyberEdge - questionario

Polizza CyberEdge - questionario Note per il proponente La compilazione e/o la sottoscrizione del presente questionario non vincola la Proponente, o ogni altro individuo o società che la rappresenti all'acquisto della polizza. Vi preghiamo

Dettagli

Valutazione della conformità A cura di Marco Cibien - Funzionario Tecnico UNI

Valutazione della conformità A cura di Marco Cibien - Funzionario Tecnico UNI Valutazione della conformità A cura di Marco Cibien - Funzionario Tecnico UNI dossier La locuzione valutazione della conformità (conformity assessment) cela, dietro la sua apparente semplicità, uno spettro

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Pronti per la Voluntary Disclosure?

Pronti per la Voluntary Disclosure? Best Vision GROUP The Swiss hub in the financial business network Pronti per la Voluntary Disclosure? Hotel de la Paix, 21 aprile 2015, ore 18:00 Hotel Lugano Dante, 22 aprile 2015, ore 17:00 Best Vision

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA SAP World Tour 2007 - Milano 11-12 Luglio 2007 THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA Agenda Presentazione Derga Consulting Enterprise SOA Allineamento Processi & IT Il

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

Carta di servizi per il Protocollo Informatico

Carta di servizi per il Protocollo Informatico Carta di servizi per il Protocollo Informatico Codice progetto: Descrizione: PI-RM3 Implementazione del Protocollo informatico nell'ateneo Roma Tre Indice ARTICOLO 1 - SCOPO DEL CARTA DI SERVIZI...2 ARTICOLO

Dettagli

Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI

Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI Risposte ai quesiti ricevuti per l Avviso di gara per la realizzazione del sistema informatico per la gestione richieste di finanziamento FAPISI Forniamo in questo articolo le risposte ai 53 quesiti ricevuti

Dettagli

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Firenze 15 febbraio 2010 Pisa 1 marzo 2010 Siena 29 marzo 2010 Dott. Ing. Daniele Novelli

Dettagli

È nata una nuova specie di avvocati. Liberi.

È nata una nuova specie di avvocati. Liberi. È nata una nuova specie di avvocati. Liberi. LIBERI DI NON PENSARCI Basta preoccupazioni per il back-up e la sicurezza dei tuoi dati. Con la tecnologia Cloud Computing l archiviazione e la protezione dei

Dettagli

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence.

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. Per le aziende manifatturiere, oggi e sempre più nel futuro individuare ed eliminare gli

Dettagli

Codice di Condotta Professionale per i Gestori Patrimoniali

Codice di Condotta Professionale per i Gestori Patrimoniali Codice di Condotta Professionale per i Gestori Patrimoniali Etica: valore e concretezza L Etica non è valore astratto ma un modo concreto per proteggere l integrità dei mercati finanziari e rafforzare

Dettagli

Istituto Tecnico Commerciale Indirizzo AFM articolazione SIA PERCHE???

Istituto Tecnico Commerciale Indirizzo AFM articolazione SIA PERCHE??? Istituto Tecnico Commerciale Indirizzo AFM articolazione SIA PERCHE??? Opportunità di lavoro: ICT - Information and Communication Technology in Azienda Vendite Acquisti Produzione Logistica AFM SIA ICT

Dettagli

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Data Sheet IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Panoramica Le medie aziende devono migliorare nettamente le loro capacità

Dettagli

Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata

Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata Decreto 2 novembre 2005 Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica IL MINISTRO PER L'INNOVAZIONE E LE TECNOLOGIE - Visto l articolo 17

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese CMMI-Dev V1.3 Capability Maturity Model Integration for Software Development, Version 1.3 Roma, 2012 Agenda Che cos è il CMMI Costellazione di modelli Approccio staged e continuous Aree di processo Goals

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

SPAI di Puclini Carlo

SPAI di Puclini Carlo CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE 1. LIVELLO STRATEGICO 1.1 Politica della Qualità 2. LIVELLO ORGANIZZATIVO 2.1 Servizi formativi offerti 2.2 Dotazione di risorse professionali e logistico

Dettagli

FORM Il sistema informativo di gestione della modulistica elettronica.

FORM Il sistema informativo di gestione della modulistica elettronica. Studio FORM FORM Il sistema informativo di gestione della modulistica elettronica. We believe in what we create This is FORM power La soluzione FORM permette di realizzare qualsiasi documento in formato

Dettagli

Webinar: Cloud Computing e Pubblica Amministrazione

Webinar: Cloud Computing e Pubblica Amministrazione Webinar: Cloud Computing e Pubblica Amministrazione Forum PA Webinar, 21 luglio 2015 Parleremo di: Il Gruppo e il network di Data Center Panoramica sul Cloud Computing Success Case: Regione Basilicata

Dettagli

Progetto BPR: Business Process Reengineering

Progetto BPR: Business Process Reengineering Progetto BPR: Business Process Reengineering Riflessioni frutto di esperienze concrete PER LA CORRETTA INTERPRETAZIONE DELLE PAGINE SEGUENTI SI DEVE TENERE CONTO DI QUANTO ILLUSTRATO ORALMENTE Obiettivo

Dettagli

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI COMMISSIONE PARITETICA PER I PRINCIPI DI REVISIONE LA COMPRENSIONE DELL IMPRESA E DEL SUO CONTESTO E LA VALUTAZIONE DEI

Dettagli

Corso di Specializzazione IT SERVICE MANAGEMENT

Corso di Specializzazione IT SERVICE MANAGEMENT Corso di Specializzazione IT SERVICE MANAGEMENT Con esame ufficiale di certificazione ITIL V3 Foundation INTRODUZIONE Un numero crescente di organizzazioni appartenenti ai più diversi settori produttivi

Dettagli

IT Plant Solutions Soluzioni MES e IT per l Industria

IT Plant Solutions Soluzioni MES e IT per l Industria IT Plant Solutions IT Plant Solutions Soluzioni MES e IT per l Industria s Industrial Solutions and Services Your Success is Our Goal Soluzioni MES e IT per integrare e sincronizzare i processi Prendi

Dettagli

DELL IPS G. RAVIZZA SECONDO LA NORMA ISO 9001:2008

DELL IPS G. RAVIZZA SECONDO LA NORMA ISO 9001:2008 IL SISTEMA GESTIONE QUALITA DELL IPS G. RAVIZZA SECONDO LA NORMA ISO 9001:2008 Col termine know-how ( so come ) si definisce il patrimonio brevettuale e brevettabile di un azienda, per la quale rappresenta

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Completezza funzionale KEY FACTORS Qualità del dato Semplicità d'uso e controllo Tecnologie all avanguardia e stabilità Integrabilità

Completezza funzionale KEY FACTORS Qualità del dato Semplicità d'uso e controllo Tecnologie all avanguardia e stabilità Integrabilità Armundia Group è un azienda specializzata nella progettazione e fornitura di soluzioni software e consulenza specialistica per i settori dell ICT bancario, finanziario ed assicurativo. Presente in Italia

Dettagli

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969 Curriculum Vitae INFORMAZIONI PERSONALI Nome FARHANG DAREHSHURI, NUSHIN Nazionalità Italiana Data di nascita 28 gennaio 1969 Titolo di studio Laurea in Ingegneria Elettronica conseguita presso il politecnico

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA

LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA ROMA 20-22 OTTOBRE 2014 RESIDENZA DI RIPETTA - VIA DI RIPETTA,

Dettagli

L attività di Internal Audit nella nuova configurazione organizzativa

L attività di Internal Audit nella nuova configurazione organizzativa L attività di Internal Audit nella nuova configurazione organizzativa Massimo Bozeglav Responsabile Direzione Internal Audit Banca Popolare di Vicenza Indice 1. I fattori di cambiamento 2. L architettura

Dettagli