Metriche di rischio nel controllo degli accessi: sintesi

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metriche di rischio nel controllo degli accessi: sintesi"

Transcript

1 UNIVERSITÀ DEGLI STUDI ROMA 3 FACOLTÀ DI SCIENZE M.F.N. CORSO DI LAUREA MAGISTRALE IN MATEMATICA Tesi di Laurea Magistrale in Matematica Metriche di rischio nel controllo degli accessi: sintesi Lucia Miggiano Anno Accademico 2013/2014 Relatore Prof. Roberto Di Pietro Correlatore Prof. Alessandro Colantonio

2 1 Introduzione L Identity e Access Management è un aspetto chiave della strategia di sicurezza per qualsiasi impresa ed è fondamentale per garantire alle persone di accedere tempestivamente solo alle applicazioni aziendali necessarie per il loro lavoro. In un organizzazione di dimensioni medio-grandi, il Chief Information Security Officer (CISO) sviluppa politiche di sicurezza che riflettono la propensione al rischio delle imprese e l approccio alla gestione delle identità e degli accessi. Tali politiche sono fondamentali per capire come l impresa definisce chi può accedere ai dati o eseguire una determinata operazione. Queste politiche sono poi perfezionate in una serie di controlli tecnici e procedurali che aiutano a raggiungere la posizione di rischio appropriata. Nel campo delle identità, tali controlli comprendono la gestione degli elenchi dei dipendenti (es.: active directory e single-sign-on (SSO)), gestione del ciclo di vita dell account utente, gestione del controllo dell accesso alle informazioni e ai sistemi, meccanismi di autenticazione, strumenti di conformità e di reporting. Durante la vita di un impresa, il CISO e gli esponenti aziendali devono sapere quanto bene stanno incontrando le posizioni di rischio che hanno definito, monitorando le metriche di rischio chiave. In questo lavoro di tesi ci occuperemo di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori di sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e più precisamente spiegano ai dirigenti perché dovrebbero investire in una soluzione di accesso o identità consigliati. Inoltre, esplorando le relazioni tra controlli tecnici e procedurali, l Identity Analytics fornisce una migliore comprensione di quali parametri devono essere monitorati e i modi in cui essi indicano il rischio. Ci proponiamo di comprendere quali sono le principali domande che i decisori aziendali si pongono quando si tratta di analizzare i rischi legati al controllo degli accessi. Affineremo poi queste domande in modelli in grado di esplorare diversi scenari aiutando in tal modo i decisori a valutare le impli- 2

3 cazioni e le conseguenze di decisioni diverse. Infine analizzeremo il rapporto tra gestione del rischio e performance aziendale. 3

4 2 Definizione, proprietà e applicazioni delle metriche di sicurezza In questo capitolo definiamo cos è una metrica di sicurezza, quali sono le sue proprietà e alcune sue applicazioni. Il termine metriche di sicurezza è comunemente usato per denotare una misura che quantifica alcuni aspetti della sicurezza di un sistema IT. Prima di definire cosa sono le metriche di sicurezza, è importante chiedersi per cosa sono utilizzate, cioè per quale obiettivo servono. La risposta a questa domanda si può ricavare dalla famosa frase non si può gestire ciò che non si può misurare : le metriche, in generale, sono strumenti per la gestione e le metriche di sicurezza, in particolare, sono un mezzo per sostenere e migliorare la gestione della sicurezza delle informazioni. Definiamo la sicurezza attraverso la sua manifestazione più concreta, cioè l esistenza di perdite quando la sicurezza è assente. Più formalmente, per un dato sistema IT S, si calcola la perdita attesa EL (expected loss) da incidenti di sicurezza. In una prima approssimazione, EL = loss P (loss) size(loss). Questa equazione si può raffinare e si dimostra l equazione: EL = value E(t m ) vulnerability(s) (1) In questa equazione, value è il valore monetario (in dollari o euro) del sistema IT S, il fattore E(T m ) è la malizia attesa dell ambiente della minaccia in cui S esiste e l ultimo fattore è una misura di quanto sia vulnerabile il sistema IT S. In particolare, il sistema S è tanto più vulnerabile quanto più le sue vulnerabilità sono frequenti, gravi e facilmente sfruttabili. Supponiamo che, senza modificare il valore del sistema IT S, facciamo alcune modifiche alla sua architettura che si traduce in una minore perdita attesa EL. Questo significa, ovviamente, che abbiamo migliorato la sicurezza. Tuttavia, questo miglioramento di sicurezza avviene senza modificare il valore del sistema S e senza modificare la malizia attesa E(T m ). Pertanto, la riduzione di EL 4

5 deve essere il risultato del calo del fattore di vulnerabilità di S. Dunque, la sicurezza di un sistema è inversamente proporzionale alla sua vulnerabilità. Questo dà luogo alla seguente definizione (ancora informale): Definizione 1 (informale di metrica di sicurezza): una metrica di sicurezza è una funzione che misura la vulnerabilità di un sistema e la mappa a un numero reale non negativo che è inversamente proporzionale alla vulnerabilità del sistema. Lo scopo di una metrica di sicurezza è quello di aiutare la gestione a prendere decisioni migliori di sicurezza informatica. Per danneggiare il sistema S, una minaccia deve indirizzare una vulnerabilità che può sfruttare con il suo livello di abilità. Lo sfruttamento con successo dà alle minacce certi privilegi sul sistema S, che utilizzano poi per infliggere danni su S. L entità del danno inflitto dipende da quanto la minaccia è maliziosa. Per formalizzare questi concetti, definiamo: Valore del sistema: la variabile value indica il caso peggiore della perdita monetaria che i proprietari del sistema S possono incorrere se S è compromesso. Questo valore di perdita include i costi diretti di riparazione, spese legali, spese di reputazione, e tutti gli altri costi potenziali. Si misura in dollari, euro o qualche altra valuta. Malizia T m [0, 1] di una minaccia T T: alcune minacce sfruttano le vulnerabilità solo per il brivido della vittoria, mentre altre lo fanno al fine di infliggere danni sul sistema di destinazione S. Le minacce pertanto differiscono rispetto alla loro malizia, che si misura su una scala da 0 a 1. L interpretazione è dovuta al fatto che una minaccia di malizia x causerebbe x per cento della perdita massima che può teoricamente infliggere. Livello di abilità T s [0, 1] di una minaccia T T: ogni minaccia T ha un livello di abilità diverso che riflette la sua conoscenza, esperienza, accesso a strumenti di hacking e altri fattori. Per definire il livello di 5

6 abilità di una minaccia, prima notiamo che entrambi gli insiemi V e T sono insiemi finiti perché i sistemi IT hanno un numero finito di stati e actors. Sia s(t ) := {V V : T può sfruttare V all interno dell unità di tempo ξ} / V la frazione delle vulnerabilità in V che T può sfruttare entro l unità di tempo ξ. L intuizione è che più una minaccia T è abile più è grande s(t) e viceversa. Ora definiamo il livello di abilità T s = {t T : s(t) < s(t )} / T. Notiamo che T s mantiene lo stesso ordine di minacce definito da s() ma ha l ulteriore proprietà che 1 T s equivale alla probabilità che una minaccia abbia livello di abilità T s o più. Livello di privilegio V p [0, 1] raggiunto sfruttando la vulnerabilità V V: le vulnerabilità sono differenti per il livello di privilegio che un utente malintenzionato può ottenere dal loro sfruttamento. Ad esempio, alcune vulnerabilità danno privilegi agli attacanti root sul sistema di destinazione, mentre altre permettono all attaccante solo di leggere alcuni dati o rallentare un pò la funzione del sistema. Definiamo il livello di privilegio V p come la frazione del valore del sistema che è esposta quando la vulnerabilità V viene sfruttata con successo. Il livello di privilegio di una vulnerabilità è anche conosciuto come la sua gravità. Difficoltà V d [0, 1] di sfruttare la vulnerabilità V V : le vulnerabilità differiscono anche in quanto sono facili o difficili da sfruttare. Alcune vulnerabilità, ad esempio race conditions, richiedono notevole abilità per essere sfruttate, mentre altre, come ad esempio le password di default, sono molto più facili da sfruttare. Formalmente, definiamo la difficoltà V d di sfruttamento come il livello di abilità della minaccia meno qualificata in grado di sfruttare la vulnerabilità V, cioè V d = min{t s T T e T può sfruttare V all interno dell unità di tempo ξ}. Non tutte le misure di vulnerabilità di un sistema sono metriche di sicurezza. Piuttosto, la teoria della misurazione definisce tre proprietà operative 6

7 che ogni metrica deve soddisfare. Queste proprietà sono: Validità: la validità indica fino a che punto una metrica riflette adeguatamente il significato del concetto che cerca di misurare. In altre parole, le metriche valide sono altamente correlate ai concetti che cercano di misurare. È generalmente difficile definire metriche valide per dei concetti immateriali come sicurezza, affidabilità, o intelligenza perchè i concetti di base sono difficili da afferrare. Accuratezza: le metriche spesso misurano cose che non sono facilmente osservabili. L accuratezza di una metrica è la differenza tra il valore determinato dalla metrica e il vero o reale valore dell oggetto misurato. Gli errori di misurazione sono la principale fonte di imprecisioni. Ad esempio, una metrica che usa uno scanner di vulnerabilità per misurare il numero di vulnerabilità in un sistema IT è accurato se i suoi valori restituiti corrispondono o sono vicini al numero effettivo di vulnerabilità. Precisione: la precisione valuta la riproducibilità delle misurazioni. Più precisamente, essa rappresenta la quantità di variabilità tra misurazioni ripetute dello stesso oggetto in condizioni simili. Ad esempio, il numero di allarmi virus è una metrica imprecisa di sicurezza del sistema perchè le misurazioni consecutive possono variare significativamente a seconda dell ambiente della minaccia. In particolare, quando ci sono più o meno attacchi virus, il numero di allarmi virus sarà più alto o più basso, anche se non è cambiato nulla nel sistema o nella sua sicurezza. Da queste proprietà segue la definizione formale di metrica di sicurezza: Definizione 2 (formale di metrica di sicurezza) Una metrica di sicurezza è una funzione m() dall insieme di tutti i sistemi IT all insieme dei numeri reali non negativi. È inoltre valida, accurata e precisa nel seguente senso: 7

8 Validità: per ogni due sistemi IT S1 e S2, la relazione m(s1) m(s2) vulnerability(s1) vulnerability(s2) è la funzione definita nella (10). In altre parole, la validità richiede che i sistemi più vulnerabili segnino valori più bassi sulle metriche di sicurezza. Accuratezza: Se S (m) è la specifica della metrica di sicurezza m(), allora m() è accurata se la differenza tra i suoi valori di ritorno ed i veri valori secondo S (m) è piccola in media. Le imprecisioni sorgono quando le metriche utilizzano procedure approssimate, sia perchè i valori esatti non possono essere calcolati sia perchè sono troppo costosi da calcolare Precisione: Per ogni sistema IT S, misurazioni ripetute sotto le condizioni e i vincoli previsti dalla metrica m(), restituiscono sempre lo stesso valore m(s). (Una forma più debole di questo requisito è che la varianza di misure ripetute deve essere piccola.) La teoria sviluppata in questo capitolo può essere utilizzata per risolvere i seguenti problemi di gestione: 1. Come ridurre al minimo le perdite relative alla sicurezza; 2. Come dividere il proprio budget per la sicurezza tra più sistemi IT che necessitano di protezione; 3. Quanto spendere per la sicurezza. 8

9 3 Sistemi di Identity and Access Management (IAM) Nel capitolo 2 abbiamo visto la definizione, le proprietà e alcune applicazioni delle metriche di sicurezza. In questo capitolo vediamo un caso specifico di metriche di sicurezza nel controllo degli accessi. In informatica, la gestione delle identità descrive la gestione delle singole identità digitali, la loro autenticazione, autorizzazione e i privilegi all interno o all esterno del sistema e delle imprese. In questo capitolo presentiamo il caso di studio nel settore della gestione delle identità e degli accessi come esempio significativo per illustrare come l approccio basato sulla modellazione e simulazione può essere usato per fornire un idea precisa di come i processi di sicurezza esistenti stanno proteggendo l organizzazione e per rispondere alle domande what-if, come ad esempio esplorare gli effetti di un cambiamento nella politica di sicurezza o un investimento in una nuova tecnologia per la sicurezza. Le soluzioni di Identity and Access Management (IAM) per le imprese hanno impatto su molteplici aspetti del loro stack IT e coinvolgono l autenticazione, la gestione del singolo accesso, l autorizzazione, il controllo, la conformità e la garanzia, il provisioning, la memorizzazione dei dati, etc. Ai fini di questo caso di studio, ci concentreremo su soluzioni di provisioning account utente. Queste soluzioni sono utilizzate dalle imprese per affrontare la gestione del ciclo di vita delle identità degli utenti e degli account sulle risorse protette. Un processo di provisioning errato o non buono potrebbe dare più diritti necessari agli utenti o impedire loro di accedere alle legittime risorse. L approccio basato sulla modellazione è particolarmente adatto per esplorare le implicazioni dell adozione e implementazione di nuove soluzioni e processi (in questo caso il processo di provisioning utente), in quanto permette la sperimentazione di varie ipotesi e parametri. Questo approccio è stato applicato per studiare le implicazioni nel muoversi gradualmente verso 9

10 una maggiore automazione del processo di provisioning account per le molte applicazioni in un organizzazione. Per soddisfare le diverse esigenze degli stakeholder, alcuni ricercatori hanno individuato una serie di metriche che possono essere raccolte durante le simulazioni. I risultati per le metriche selezionate possono quindi essere utilizzati da diversi stakeholder per testare le proprie intuizioni, condividerle con gli altri in modo coerente e costante, e insieme indagare le conseguenze di un particolare investimento o cambiamento politico nel processo di provision account. Le tradizionali metriche di basso livello includono: il numero degli account utente mal configurati e il numero di quelli configurati correttamente; il numero di account sospesi (di persone che hanno lasciato l unità di business o l organizzazione); il tempo (ritardi) complessivo di approvazione per le richieste di provisioning; il tempo (ritardi) di configurazione/distribuzione globale; il numero delle richieste di configurazione/distribuzione e di approvazione perse; il numero di processi di approvazione disabilitati. Queste metriche possono essere monitorate direttamente dai sistemi IAM implementati, ma spesso sono utili solo ad alcuni stakeholder (ad esempio amministratori di sicurezza e esperti del settore). Per far fronte alle esigenze di tutti gli stakeholder coinvolti nella valutazione del nuovo processo di provisioning account, c è bisogno di un insieme di metriche più ampio. Pertanto, effettuando colloqui e convalidandoli con esperti del settore, i ricercatori hanno identificato un insieme più completo di metriche di alto livello elencate di seguito (classificate dagli stakeholder interessati): Stakeholder: responsabile della sicurezza/conformità Accuratezza dell accesso: il numero di account utente configurati correttamente contro il numero totale di account creati, compresi gli account mal configurati e gli account sospesi; 10

11 Accuratezza dell approvazione: il numero di attività di provisioning approvate contro le attività complessive di provisioning, comprese quelle non autorizzate. Stakeholder: proprietario dell applicazione (Business) Costo della produttività : sono i costi, in termini di perdita di produttività per i dipendenti, dovuti ai ritardi durante le fasi di approvazione e di configurazione/distribuzione del processo di provisioning. Stakeholder :Operazioni IT ( IT Budget Holder) Costo di Provisioning IAM: il costo della distribuzione di soluzioni automatizzate di provisioning IAM per un periodo di tempo determinato (costi fissi e variabili); Sforzo di Provisioning: il numero effettivo di operazioni di provisioning effettuate dall organizzazione in un periodo di tempo specifico, che dà un idea dello sforzo e del carico di lavoro coinvolti. L approccio di modellazione si basa su modelli matematici e simulazioni correlate. Nel caso di studio di provisioning IAM, modelliamo espressamente la differenza tra provisioning IAM ad-hoc e centralizzato ed esploriamo l impatto delle scelte sulle politiche esistenti e/o per modellare nuove politiche. Cerchiamo di illustrare questo attraverso l impatto sulle misure e metriche introdotte. Il modello si concentra esplicitamente sulla rappresentazione dei processi di provisioning IAM, considerando i vari passaggi necessari nelle fasi di approvazione e di implementazione/configurazione. Il modello ha catturato stocasticamente vari eventi esterni (ad esempio come un utente aggiunge, lascia o cambia il proprio ruolo). In risposta ad ogni evento, è stato identificato un insieme rilevante di applicazioni (per mezzo di distribuzioni di probabilità) in 11

12 cui gli account utente devono essere provisioned/deprovisioned in base al ruolo e al profilo dell utente. Per ogni applicazione considerata, sia gestita a livello centrale che gestita ad-hoc, i relativi passi di provisioning/de-provisioning IAM sono modellati con varie misure. In particolare ogni tipo di attività di provisioning, che coinvolge un utente e una o più applicazioni/servizi, è esplicitamente modellato come un processo. Eventi esterni, come l arrivo di un nuovo utente, sono modellate stocasticamente, cioè con opportune distribuzioni di probabilità. Intuitivamente, più i processi di provisioning IAM sono centralizzati, automatizzati e gestiti sotto politiche comuni, più i loro comportamenti sono simili, in contrapposizione ai processi ad hoc. Tuttavia, quando viene introdotta una maggiore centralizzazione e automazione, l impatto dei costi IAM (diritti di licenza) e dei guasti è maggiore. Il modello tiene traccia di una serie di misure cumulative tra cui: numero di richieste di approvazione; numero di richieste di approvazione perse; numero di processi di approvazione bypassati; tempi di approvazione; tempi di implementazione; numero di account utenti configurati correttamente; numero di account utente legittimi, negati; numero di account utenti errati (che non dovrebbero esistere - account utente sospesi). Sulla base delle metriche di basso livello, come parte del modello, calcoliamo anche le metriche di alto livello individuate in precedenza. Questo modello può essere eseguito da diversi stakeholder (decisori ed esperti di dominio) per svolgere direttamente esperimenti what-if, agendo su leve disponibili e cambiando i parametri del modello. Gli stakeholder possono concentrarsi su metriche di basso livello o metriche di alto livello, a seconda del livello desiderato di astrazione per cui lavorano, confrontano i risultati attraverso più esperimenti what-if e, se necessario, approfondiscono i dettagli (ad esempio fino al livello delle funzioni di densità di probabilità di misure/metriche di output). In questo modo gli stakeholder, per migliorare la loro comprensione degli aspetti generali coinvolti in uno scenario specifico, 12

13 mappano i risultati previsti alle politiche attuali e le confrontano con le loro intuizioni; ciò gli fornisce ulteriori elementi di prova per sostenere le loro opinioni e posizioni. I decisori operanti nell ambito IAM hanno bisogno di prendere decisioni di investimento IT consapevoli in un mondo complesso, in continuo cambiamento. Vorrebbero avere capacità di supporto alle decisioni per facilitare il loro lavoro. Per riuscire a fornire queste capacità, deve essere capita l economia che è alla base delle decisioni strategiche di investimento IT. Partiamo dal presupposto che ci dovrebbe essere un quadro economico all interno del quale il valore dei diversi esiti di investimento può essere esplorato e discusso. Ciò comporta all identificazione dei principali risultati strategici e di business per fornire e determinare i punti di vista intuitivi dei diversi stakeholder di questi trade-off e delle loro preferenze per i risultati complessivi. All interno di un organizzazione, i vari decisori strategici di solito hanno priorità diverse; è importante identificare le preferenze dell intera organizzazione (o decisori ) per raggiungere questi obiettivi. Idealmente l obiettivo sarebbe quello di incapsulare queste preferenze in una formale funzione di utilità dell azienda e/o dei decisori, in modo che possa essere applicato a ogni risultato un valore comparativo. Nel contesto dell economia IAM, una o più funzioni di utilità possono essere identificate per i decisori strategici coinvolti e/o per l organizzazione. 13

14 4 Mappa tra i principali indici di rischio e i principali indici di performance Nel capitolo precedente abbiamo visto le metriche di rischio usate in un modello per il controllo degli accessi. In questo capitolo vedremo come il rischio si collega con i risultati del business; definiremo dunque gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e vedremo che relazione c è tra i due. In particolare vedremo come lo sviluppo di catene casuali è usato per legare rischio e risultati di business. Il rapporto tra gestione del rischio e performance dovrebbe essere concettualmente e intuitivamente ovvio. Un rischio non gestito correttamente può portare a fallimenti di imprese e a una scarsa performance aziendale. I benefici di numerose attività di gestione del rischio non sono chiare agli imprenditori che sono più a rischio e spesso non riescono a trarre vantaggio dalle informazioni disponibili dal rischio quando si prendono decisioni critiche di business. Ciò che serve è una più comune e profonda comprensione di come gli eventi del rischio influenzano le prestazioni del business. I manager aziendali non capiscono o non apprezzano il valore dell informazione del rischio o la loro relazione con il rischio; non capiscono che possiedono i rischi e credono che i rischi siano affrontati esternamente da un insieme di entità organizzative separate, chiamato risk management, che si occupa per loro di questioni relative al rischio. Mappare i pricipali indicatori di rischio (KRIs, key risk indicators) con i principali indicatori di performance (KPIs, key performance indicators) può fornire ai manager aziendali le informazioni di rischio di cui hanno bisogno per prendere decisioni migliori. Collegando le attività di gestione del rischio alle prestazioni di business, le aziende possono supportare meglio le decisioni, basate sul rischio, prese dai dirigenti aziendali. Anche se le metriche di performance finanziarie rimangono una misura 14

15 fondamentale del valore, esse rappresentano solo i risultati delle attività di business. Pertanto, esse sono indicatori di ritardo di performance, che significa che dicono solo quanto bene hai fatto, non quanto bene potrai fare in futuro. Le metriche non finanziarie sono i principali indicatori dei risultati finanziari. Vediamo in dettaglio cosa sono i KRI e i KPI e come si possono collegare. I KPI sono indicatori chiave di prestazioni - una misurazione di un attività di business desiderata o un evento che precede un risultato aziendale; qualcosa da gestire in favore. I KRI sono indicatori chiave di rischio - una misurazione di un attività di business o un evento che ha preceduto e influenzato negativamente il risultato desiderato; qualcosa da gestire contro. I KRI sono buoni se sono semplici e misurabili e questi indicatori hanno un impatto diretto su più KPI. La linea tra rischio IT e rischio di business sta scomparendo. La gestione del rischio operativo gioca sempre più un ruolo centrale nel processo decisionale aziendale. Una buona gestione del rischio informa meglio il processo decisionale aziendale e mappare i KRI nei KPI è un buon modo per relazionare la gestione del rischio con la performance aziendale. Mappare i KPI con i KRI serve per capire che relazioni ci sono tra questi indicatori e registrare quei rapporti in modo che possano essere utilizzati nella segnalazione e modellazione del rischio. La mappatura dovrebbe riflettere esplicitamente l impatto del KRI su un KPI. Lo sviluppo di catene causali semplici e complesse aiuterà a collegare meglio un organizzazione di IT o di gestione del rischio con i responsabili delle decisioni aziendali. Questa relazione misurabile tra gestione del rischio e performance aziendale è sfuggita alla maggior parte delle organizzazioni. Come risultato, i vantaggi di molte attività operative di gestione del rischio non sono chiare per gli imprenditori. Inoltre, spesso non riescono a sfruttare l informazione 15

16 del rischio che è disponibile quando si prendono decisioni di business critiche. Per affrontare questi problemi, le imprese dovrebbero sviluppare indicatori di prestazioni chiave (KPI) credibili e discreti, e gli sforzi di gestione del rischio dovrebbero produrre indicatori di rischio (KRI) credibili e discreti che impattino direttamente tali indicatori KPI. È necessaria una comprensione più profonda e comune di come eventi di rischio influenzano le prestazioni di business. I KRI, come abbiamo già detto, sono indicatori anticipatori che le prestazioni di business sono a rischio. Una catena causale (casual chain) documenta la confluenza di attività ed eventi che producono un risultato di business. Una catena casuale è una sequenza di eventi che portano ad un effetto finale dove ogni anello della catena determina il successore. Prima queste attività e eventi si verificano nella catena, più sono principali a indicare i risultati di business. Le organizzazioni possono agire su questi indicatori principali per gestire l impatto sui risultati successivi. Queste catene causali possono essere usate per spiegare l influenza degli eventi e delle attività precedenti sui risultati successivi in modo che i dirigenti possano prendere migliori decisioni di business. Per aiutare a ottenere una comprensione di come usare le catene causali per identificare i KRI, dobbiamo fare una distinzione tra catene semplici e quelle complesse: Una catena semplice è un unico insieme lineare di attività ed eventi che hanno una relazione causale con i risultati del business desiderati. Catene semplici sono usate come punto di partenza per la definizione di relazioni causali. Esse sono prototipi utilizzati per scopi didattici e non sono destinate a spiegare completamente le relazioni causali. Le catene complesse sono una combinazione di catene causali che documentano la comprensione della gestione dei rapporti causali che producono risultati di business. Uno scarso patching è uno dei vari indicatori anticipatori di potenziali errori di applicazione e di inattività. Una misura di errori di applicazione è 16

17 un indicatore anticipatore della performance dei processi di business, come ad esempio quelle effettuate in una catena di fornitura. Una misura di problemi relativi alla catena di fornitura è un indicatore anticipatore di impatti negativi sui risultati di business desiderati, come la redditività. Questo semplice esempio riguarda qualcosa di molto tecnico e spesso sottovalutato dai dirigenti aziendali (patching) per la redditività. Alcuni imprenditori avranno familiarità con i diagrammi fishbone di Ishikawa. Questi diagrammi, noti anche come diagrammi causa-effetto, sono utilizzati in programmi di miglioramento della qualità per identificare i fattori che influenzano negativamente la qualità e i risultati desiderati. I fattori sono raggruppati per categoria lungo una spina che rappresenta un risultato desiderato. Frecce più piccole collegano effetti alle cause principali, che forniscono visibilità e comprensione sui potenziali problemi precedenti. Questo stesso concetto può essere utilizzato per collegare gli indicatori che portano a risultati di business desiderati. Nel loro insieme, la spina, i rami e le frecce formano catene che documentano l esplicita comprensione di un organizzazione dei rapporti di causa ed effetto che si traducono in risultati di business. Ogni impresa ha una lista di risultati desiderati misurabili. Nel settore privato, questi risultati misurabili si trovano nei bilanci che includono tali risultati come ricavo e utile netto. Nel settore pubblico, i risultati dello stato finale desiderato si trovano nel mandato della missione o nella legislazione/normativa che ha creato l agenzia o il dipartimento. I KPI sono sviluppati da questi risultati attesi misurabili, individuando le attività (processi) e gli eventi che precedono i risultati. Gli indicatori anticipatori o prospettici sono i KPI più efficaci perchè si può intervenire prima che si verifichino i risultati desiderati. Esistono opportunità per i CIO e i professionisti della gestione del rischio di agire come facilitatori nello sviluppo di KPI, KRI e catene causali per contribuire a migliorare il processo decisionale. Per le imprese che generano indicatori prospettici sono a disposizione vantaggi finanziari significativi. 17

18 I KRI complementano i KPI, fornendo una prospettiva che è necessaria per comprendere le relazioni causali da cui possono essere identificati i principali indicatori. La prospettiva fornita dai KRI accelera il processo di identificazione dei KPI accettabili controbilanciando gli obiettivi ambiziosi che guidano l identificazione dei KPI con la conoscenza degli eventi indesiderati e incontrollabili che impediscono il raggiungimento di questi obiettivi. I KRI non misurano gli eventi indesiderati e incontrollabili, come la probabilità di un terremoto. Piuttosto, i KRI misurano le attività (o processi) eseguite dall impresa per attenuare la perdita di un evento indesiderabile e incontrollabile, come procedure di recupero di emergenze. L identificazione di eventi indesiderabili e incontrollabili offre una prospettiva più robusta ed equilibrata sulle relazioni causali. Questa prospettiva equilibrata velocizza l approvazione dei KPI e completa la comprensione della gestione degli indicatori prospettici che portano a risultati di business desiderati. La maturità del programma di gestione del rischio IT di un impresa è un indicatore chiave dell efficacia e dell efficienza della sua posizione di rischio complessivo. Migliorare la maturità della gestione del rischio è fondamentale per migliorare l allineamento costo-efficacia e business delle attività di rischio dell impresa; ma questi miglioramenti richiedono azioni diverse a seconda del livello di maturità attuale del programma di gestione del rischio. In mancanza di una comprensione realistica e azionabile dello stato attuale del proprio programma di gestione del rischio IT, l impresa non è in grado di identificare i rischi di business critici ai suoi processi e operazioni, identificare e colmare le lacune nei suoi controlli del rischio, migliorare la maturità del programma e giustificare i costi non trascurabili di gestione del rischio IT. La gestione delle identità e dei diritti degli utenti è diventata sempre più complessa considerando che i sistemi, le applicazioni e i programmi di accesso endpoint si moltiplicano e le imprese consentono ai dipendenti, fornitori, partner, fornitori e clienti un maggiore accesso ai propri sistemi e dati. Allo 18

19 stesso tempo, le imprese devono affrontare una crescente pressione a garantire che gestiscano le identità degli utenti e l accesso in conformità alla nuova legislazione e normativa - e siano in grado di dimostrare che lo stanno facendo. Molte grandi imprese hanno cercato di ridurre questa complessità e di affrontare le questioni di conformità attraverso una varietà di progetti di tecnologia. Questi progetti sono spesso sconnessi e mal allineati, e l impresa si trova alle prese con un altro strato di complessità senza realizzare alcun valore di business chiaro. 19

20 5 Conclusioni L Identity Analytics è una tematica di ricerca non ancora ampiamente esplorata, aperta all innovazione e ai contributi. Abbiamo visto che l opportunità di ricerca principale consiste nel concentrarsi sulla prospettiva dei decisori (piuttosto che sul solito punto di vista IT), fornendo strumenti di supporto alle decisioni e soluzioni che consentano loro di esplorare e prevedere l impatto e le conseguenze delle loro decisioni, tenendo conto di tutti gli aspetti sui fattori che sono rilevanti per loro, come costi, rischi per la sicurezza e perdite finanziarie. Ci siamo occupati di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori della sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e che spiegano ai dirigenti delle imprese le motivazioni per investire in una soluzione di accesso o identità consigliata. Per mostrare ciò, abbiamo cominciato definendo il concetto di metrica di sicurezza, abbiamo visto le sue proprietà e alcune applicazioni; in seguito abbiamo studiato un caso specifico di metriche di sicurezza nel controllo degli accessi; in particolare abbiamo analizzato le metriche usate in un modello di provisioning utente del sistema di Identity and Access Management (IAM); infine abbiamo mostrato come una buona gestione del rischio informa meglio il processo decisionale aziendale; per dimostrare ciò abbiamo definito gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e abbiamo mostrato come collegare i due indici. Tutto ciò suggerisce che l Identity Analytics é un settore promettente che porterà le attuali tendenze aziendali nel settore strategico/esecutivo decisionale da un approccio guidato dalla conformità ad un approccio guidato dal rischio. 20

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 8

Corso di Amministrazione di Sistema Parte I ITIL 8 Corso di Amministrazione di Sistema Parte I ITIL 8 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Guida al livellamento delle risorse con logica Critical Chain (1^ parte)

Guida al livellamento delle risorse con logica Critical Chain (1^ parte) Paolo Mazzoni 2011. E' ammessa la riproduzione per scopi di ricerca e didattici se viene citata la fonte completa nella seguente formula: "di Paolo Mazzoni, www.paolomazzoni.it, (c) 2011". Non sono ammesse

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Il Project Management per i Managers

Il Project Management per i Managers Paolo Mazzoni 2012. E' ammessa la riproduzione per scopi di ricerca e didattici se viene citata la fonte completa nella seguente formula: "di Paolo Mazzoni, www.paolomazzoni.it, (c) 2012". Non sono ammesse

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

I Modelli della Ricerca Operativa

I Modelli della Ricerca Operativa Capitolo 1 I Modelli della Ricerca Operativa 1.1 L approccio modellistico Il termine modello è di solito usato per indicare una costruzione artificiale realizzata per evidenziare proprietà specifiche di

Dettagli

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE http://www.sinedi.com ARTICOLO 9 FEBBRAIO 2007 ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE La formulazione della strategia aziendale rappresenta un momento estremamente importante per tutte

Dettagli

IL SISTEMA INFORMATIVO AZIENDALE

IL SISTEMA INFORMATIVO AZIENDALE IL SISTEMA INFORMATIVO AZIENDALE CL. 5ATP - A.S. 2006/2007 L azienda e i suoi elementi PERSONE AZIENDA BENI ECONOMICI ORGANIZZAZIONE L azienda è un insieme di beni organizzati e coordinati dall imprenditore

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Quel che ogni azienda deve sapere sul finanziamento*

Quel che ogni azienda deve sapere sul finanziamento* Quel che ogni azienda deve sapere sul finanziamento* *ma senza le note scritte in piccolo Allineare gli investimenti tecnologici con le esigenze in evoluzione dell attività Il finanziamento è una strategia

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Sistemi di supporto alle decisioni

Sistemi di supporto alle decisioni Sistemi di supporto alle decisioni Introduzione I sistemi di supporto alle decisioni, DSS (decision support system), sono strumenti informatici che utilizzano dati e modelli matematici a supporto del decision

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance CUSTOMER SUCCESS STORY Febbraio 2014 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance PROFILO DEL CLIENTE Settore: servizi IT Società: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione Introduzione Perché il controllo di gestione? L azienda, come tutte le altre organizzazioni, è un sistema che è rivolto alla trasformazione di input (risorse tecniche, finanziarie e umane) in output (risultati

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

UML e (R)UP (an overview)

UML e (R)UP (an overview) Lo sviluppo di sistemi OO UML e (R)UP (an overview) http://www.rational.com http://www.omg.org 1 Riassumento UML E un insieme di notazioni diagrammatiche che, utilizzate congiuntamente, consentono di descrivere/modellare

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Security Summit Roma Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Sponsor dell iniziativa Ogni azienda / associazione ha investito

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura

Dettagli

Capitolo 13: L offerta dell impresa e il surplus del produttore

Capitolo 13: L offerta dell impresa e il surplus del produttore Capitolo 13: L offerta dell impresa e il surplus del produttore 13.1: Introduzione L analisi dei due capitoli precedenti ha fornito tutti i concetti necessari per affrontare l argomento di questo capitolo:

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

10 VALUTAZIONE DELLE ANALISI

10 VALUTAZIONE DELLE ANALISI 10 VALUTAZIONE DELLE ANALISI ECONOMICHE Questa valutazione economica può aiutarvi? 1 Esistono prove valide che gli interventi sono efficaci? 2 Di quale tipo di analisi economica si tratta? Studio costo-conseguenze

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo

Dettagli

Processo di referaggio collana punto org

Processo di referaggio collana punto org Caro Referee, grazie in anticipo per aver accettato di referare per la collana punto org. Il Suo è un ruolo delicato: appartiene a una comunità di studiosi, docenti e professionisti che forniscono ai colleghi

Dettagli

Le Dimensioni della LEADERSHIP

Le Dimensioni della LEADERSHIP Le Dimensioni della LEADERSHIP Profilo leadership, dicembre 2007 Pag. 1 di 5 1. STRATEGIA & DIREZIONE Creare una direzione strategica Definire una strategia chiara e strutturata per la propria area di

Dettagli

COGENIAapprofondimenti. Il progetto di quotazione in borsa. Pagina 1 di 7

COGENIAapprofondimenti. Il progetto di quotazione in borsa. Pagina 1 di 7 Il progetto di quotazione in borsa Pagina 1 di 7 PREMESSA Il documento che segue è stato realizzato avendo quali destinatari privilegiati la Direzione Generale o il responsabile Amministrazione e Finanza.

Dettagli

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Servizi di approvvigionamento professionale. Essere più informati, fare scelte migliori. Achilles procurement toolkit Supporto per la selezione

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations CUSTOMER SUCCESS STORY LUGLIO 2015 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations PROFILO DEL CLIENTE Settore: servizi IT Azienda: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

CRM E GESTIONE DEL CLIENTE

CRM E GESTIONE DEL CLIENTE CRM E GESTIONE DEL CLIENTE La concorrenza è così forte che la sola fonte di vantaggio competitivo risiede nella creazione di un valore superiore per i clienti, attraverso un investimento elevato di risorse

Dettagli

Principio 1 Organizzazione orientata al cliente. Principio 2 Leadership. Principio 3 - Coinvolgimento del personale

Principio 1 Organizzazione orientata al cliente. Principio 2 Leadership. Principio 3 - Coinvolgimento del personale Gli otto princìpi di gestione per la qualità possono fornire ai vertici aziendali una guida per migliorare le prestazioni della propria organizzazione. Questi princìpi, che nascono da esperienze collettive

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Your business to the next level

Your business to the next level Your business to the next level 1 2 Your business to the next level Soluzioni B2B per le costruzioni e il Real Estate New way of working 3 01 02 03 04 BIM Cloud Multi-Platform SaaS La rivoluzione digitale

Dettagli

Alcune persone guardano le cose accadere. Altre fanno in modo che accadano!

Alcune persone guardano le cose accadere. Altre fanno in modo che accadano! 2013 Alcune persone guardano le cose accadere. Altre fanno in modo che accadano! Nel mondo economico dei nostri tempi, la maggior parte delle organizzazioni spende migliaia (se non milioni) di euro per

Dettagli

Modelli matematici avanzati per l azienda a.a. 2010-2011

Modelli matematici avanzati per l azienda a.a. 2010-2011 Modelli matematici avanzati per l azienda a.a. 2010-2011 Docente: Pasquale L. De Angelis deangelis@uniparthenope.it tel. 081 5474557 http://www.economia.uniparthenope.it/siti_docenti P.L.DeAngelis Modelli

Dettagli

I SISTEMI DI PERFORMANCE MANAGEMENT

I SISTEMI DI PERFORMANCE MANAGEMENT http://www.sinedi.com ARTICOLO 8 GENNAIO 2007 I SISTEMI DI PERFORMANCE MANAGEMENT In uno scenario caratterizzato da una crescente competitività internazionale si avverte sempre di più la necessità di una

Dettagli

Metodologia Classica di Progettazione delle Basi di Dati

Metodologia Classica di Progettazione delle Basi di Dati Metodologia Classica di Progettazione delle Basi di Dati Metodologia DB 1 Due Situazioni Estreme Realtà Descritta da un documento testuale che rappresenta un insieme di requisiti del software La maggiore

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

La qualità della gestione come fattore di successo nel settore pubblico come in quello privato

La qualità della gestione come fattore di successo nel settore pubblico come in quello privato BUON MANAGEMENT = BUONA SANITA La qualità della gestione come fattore di successo nel settore pubblico come in quello privato Bassano del Grappa, 25 giugno 2012 Questo Convegno nasce dall idea che un confronto

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di

Dettagli

I beni culturali come volano della crescita economica e sociale. del territorio. 4. I beni culturali come volano della crescita economica e sociale

I beni culturali come volano della crescita economica e sociale. del territorio. 4. I beni culturali come volano della crescita economica e sociale I beni culturali Il problema I beni culturali un elemento di estremo rilievo per la crescita della cultura e della qualità della vita dei cittadini - possono favorire lo sviluppo di alcune iniziative economiche

Dettagli

Verifica e Validazione del Simulatore

Verifica e Validazione del Simulatore Verifica e del Simulatore I 4 passi principali del processo simulativo Formulare ed analizzare il problema Sviluppare il Modello del Sistema Raccolta e/o Stima dati per caratterizzare l uso del Modello

Dettagli

C ARTA D IDENTITÀ DELL IMPRESA

C ARTA D IDENTITÀ DELL IMPRESA C ARTA D IDENTITÀ DELL IMPRESA banca arner sa arner bank ag banque arner sa arner bank Ltd piazza manzoni, 8 ch 6900 lugano telefono +41 (0) 91 912 62 22 telefax +41 (0) 91 912 62 60 banca arner (italia)

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

I mercati assicurativi

I mercati assicurativi I mercati NB: Questi lucidi presentano solo parzialmente gli argomenti trattati ttati in classe. In particolare non contengono i modelli economici per i quali si rinvia direttamente al libro di testo e

Dettagli

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management

La Norma ISO 21500-1 Ed. 1-2012 Guidance on project management 1 Per conto di AICQ CN 1 - Autore Giovanni Mattana - V. Presidente AICQ CN Presidente della Commissione UNI Gestione per la Qualità e Metodi Statistici INTERNATIONAL STANDARD ISO 21500 Peculiarità della

Dettagli

CAPITOLO 4 LA CREAZIONE DI TABELLE D ATTIVITÀ E SCHEDE DI SPESA

CAPITOLO 4 LA CREAZIONE DI TABELLE D ATTIVITÀ E SCHEDE DI SPESA CAPITOO 4 A CREAZIONE DI TABEE D ATTIVITÀ E SCHEDE DI SPESA 55 A CREAZIONE DI TABEE D ATTIVITÀ E SCHEDE DI SPESA 57 Questo capitolo descrive l uso del Q per sviluppare budget e piani di lavoro basati sul

Dettagli

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it Netwrix Auditor Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT netwrix.it 01 Descrizione del prodotto Avevamo bisogno di conformarci alle norme internazionali

Dettagli

Ferrovie dello Stato Italiane Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight

Ferrovie dello Stato Italiane Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight CUSTOMER SUCCESS STORY April 2014 Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight PROFILO DEL CLIENTE: Azienda: S.p.A. Settore: logistica e trasporti Fatturato: 8,2

Dettagli

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio Allegato 1 REVISIONE DEL SISTEMA DI VALUTAZIONE DEL COMPARTO Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio SINTESI DEI COMPORTAMENTI ORGANIZZATIVI

Dettagli

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING)

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) L IMPATTO SULLA GESTIONE LA MISURAZIONE DELL IMPATTO IL SUPPORTO ALLA CREAZIONE DEL VALORE L INTEGRAZIONE ESIGENZE DEL BUSINESS

Dettagli

L ultima versione di ITIL: V3 Elementi salienti

L ultima versione di ITIL: V3 Elementi salienti L ultima versione di ITIL: V3 Elementi salienti Federico Corradi Workshop SIAM Cogitek Milano, 17/2/2009 COGITEK s.r.l. Via Montecuccoli 9 10121 TORINO Tel. 0115660912 Fax. 0115132623Cod. Fisc.. E Part.

Dettagli

introduzione alla sicurezza informatica

introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO

CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO L obiettivo della certificazione L obiettivo della certificazione è quello di promuovere l utilizzo di dichiarazioni e messaggi chiari, rilevanti

Dettagli

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi Project Management Modulo: Introduzione prof. ing. Guido Guizzi Definizione di Project Management Processo unico consistente in un insieme di attività coordinate con scadenze iniziali e finali, intraprese

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER Indice INTRODUZIONE... 3 CF1 - SVILUPPARE IL CASO PER IL FUNDRAISING... 4 CF 1.1 : INDIVIDUARE LE NECESSITÀ DI FUNDRAISING DI UN ORGANIZZAZIONE NONPROFIT;...

Dettagli

ESERCITAZIONI per il corso di ECONOMIA DELL ARTE E DELLA CULTURA 1 1 MODULO (prof. Bianchi) a.a. 2007-2008

ESERCITAZIONI per il corso di ECONOMIA DELL ARTE E DELLA CULTURA 1 1 MODULO (prof. Bianchi) a.a. 2007-2008 ESERCITAZIONI per il corso di ECONOMIA DELL ARTE E DELLA CULTURA 1 1 MODULO (prof. Bianchi) a.a. 2007-2008 A. Il modello macroeconomico in economia chiusa e senza settore pubblico. A.1. Un sistema economico

Dettagli

Processi decisionali individuali e di gruppo

Processi decisionali individuali e di gruppo Processi decisionali individuali e di gruppo Modelli decisionali In fase decisionale, il modello razionale propone al manager una sequenza razionale articolata in quattro fasi: Identificazione del problema

Dettagli

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile ESSERE O APPARIRE Le assicurazioni nell immaginario giovanile Agenda_ INTRODUZIONE AL SETTORE ASSICURATIVO La Compagnia di Assicurazioni Il ciclo produttivo Chi gestisce tutto questo Le opportunità di

Dettagli

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI COACHING LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI I N D I C E 1 [CHE COSA E IL COACHING] 2 [UN OPPORTUNITA DI CRESCITA PER L AZIENDA] 3 [ COME SI SVOLGE UN INTERVENTO DI COACHING ]

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

COMUNE DI RICCIONE Provincia di Rimini

COMUNE DI RICCIONE Provincia di Rimini COMUNE DI RICCIONE Provincia di Rimini Sistema di valutazione della performance individuale del personale dipendente Allegato 2 1 di 9 Oggetto della valutazione Il sistema di valutazione della performance

Dettagli

PROCESSI IT: Ottimizzazione e riduzione degli sprechi - Approccio Lean IT

PROCESSI IT: Ottimizzazione e riduzione degli sprechi - Approccio Lean IT CDC -Corte dei conti DGSIA Direzione Generale Sistemi Informativi Automatizzati SGCUS Servizio per la gestione del Centro Unico dei Servizi PROCESSI IT: Ottimizzazione e riduzione degli sprechi - Approccio

Dettagli

Social Network. Social Business

Social Network. Social Business Social Network Social Business Piero Luchesi PMP AGENDA Agenda e introduzione Parte I Overview sul Social Business Era della collaborazione Social Network Apertura al Social Business Come fare Social Business

Dettagli

Consulenza, servizi su misura e tecnologia a supporto del business.

Consulenza, servizi su misura e tecnologia a supporto del business. Consulenza, servizi su misura e tecnologia a supporto del business. ACCREDITED PARTNER 2014 Consulenza, servizi su misura e tecnologia a supporto del business. Gariboldi Alberto Group Srl è una realtà

Dettagli

Linguaggi e Paradigmi di Programmazione

Linguaggi e Paradigmi di Programmazione Linguaggi e Paradigmi di Programmazione Cos è un linguaggio Definizione 1 Un linguaggio è un insieme di parole e di metodi di combinazione delle parole usati e compresi da una comunità di persone. È una

Dettagli

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO Report globale e suggerimenti Gennaio 2013 Autore: Filigree Consulting Promosso da: SMART Technologies Executive

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Documento elaborato dall Alta Scuola di Economia e Management dei Sistemi Sanitari Nell ambito

Dettagli

La potenza di Ariba per i clienti SAP. I vantaggi del Collaborative Commerce

La potenza di Ariba per i clienti SAP. I vantaggi del Collaborative Commerce La potenza di Ariba per i clienti SAP I vantaggi del Collaborative Commerce Contenuti 4 9 10 12 14 18 20 22 24 Potenziare il Networked Business Una combinazione efficace Collaborative Commerce con Ariba

Dettagli

Il consulente aziendale di Richard Newton, FrancoAngeli 2012

Il consulente aziendale di Richard Newton, FrancoAngeli 2012 Introduzione Chiedete a qualunque professionista di darvi una definizione dell espressione consulente aziendale, e vedrete che otterrete molte risposte diverse, non tutte lusinghiere! Con tale espressione,

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA

WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA WWW.SARDEGNAIMPRESA.EU GUIDA DI APPROFONDIMENTO PIANIFICAZIONE DEL PERSONALE E STRUTTURE AZIENDALI A CURA DEL BIC SARDEGNA SPA 1 SOMMARIO PREMESSA... 3 COS È UN OBIETTIVO... 3 IL CONTROLLO DI GESTIONE...

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli