Metriche di rischio nel controllo degli accessi: sintesi

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metriche di rischio nel controllo degli accessi: sintesi"

Transcript

1 UNIVERSITÀ DEGLI STUDI ROMA 3 FACOLTÀ DI SCIENZE M.F.N. CORSO DI LAUREA MAGISTRALE IN MATEMATICA Tesi di Laurea Magistrale in Matematica Metriche di rischio nel controllo degli accessi: sintesi Lucia Miggiano Anno Accademico 2013/2014 Relatore Prof. Roberto Di Pietro Correlatore Prof. Alessandro Colantonio

2 1 Introduzione L Identity e Access Management è un aspetto chiave della strategia di sicurezza per qualsiasi impresa ed è fondamentale per garantire alle persone di accedere tempestivamente solo alle applicazioni aziendali necessarie per il loro lavoro. In un organizzazione di dimensioni medio-grandi, il Chief Information Security Officer (CISO) sviluppa politiche di sicurezza che riflettono la propensione al rischio delle imprese e l approccio alla gestione delle identità e degli accessi. Tali politiche sono fondamentali per capire come l impresa definisce chi può accedere ai dati o eseguire una determinata operazione. Queste politiche sono poi perfezionate in una serie di controlli tecnici e procedurali che aiutano a raggiungere la posizione di rischio appropriata. Nel campo delle identità, tali controlli comprendono la gestione degli elenchi dei dipendenti (es.: active directory e single-sign-on (SSO)), gestione del ciclo di vita dell account utente, gestione del controllo dell accesso alle informazioni e ai sistemi, meccanismi di autenticazione, strumenti di conformità e di reporting. Durante la vita di un impresa, il CISO e gli esponenti aziendali devono sapere quanto bene stanno incontrando le posizioni di rischio che hanno definito, monitorando le metriche di rischio chiave. In questo lavoro di tesi ci occuperemo di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori di sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e più precisamente spiegano ai dirigenti perché dovrebbero investire in una soluzione di accesso o identità consigliati. Inoltre, esplorando le relazioni tra controlli tecnici e procedurali, l Identity Analytics fornisce una migliore comprensione di quali parametri devono essere monitorati e i modi in cui essi indicano il rischio. Ci proponiamo di comprendere quali sono le principali domande che i decisori aziendali si pongono quando si tratta di analizzare i rischi legati al controllo degli accessi. Affineremo poi queste domande in modelli in grado di esplorare diversi scenari aiutando in tal modo i decisori a valutare le impli- 2

3 cazioni e le conseguenze di decisioni diverse. Infine analizzeremo il rapporto tra gestione del rischio e performance aziendale. 3

4 2 Definizione, proprietà e applicazioni delle metriche di sicurezza In questo capitolo definiamo cos è una metrica di sicurezza, quali sono le sue proprietà e alcune sue applicazioni. Il termine metriche di sicurezza è comunemente usato per denotare una misura che quantifica alcuni aspetti della sicurezza di un sistema IT. Prima di definire cosa sono le metriche di sicurezza, è importante chiedersi per cosa sono utilizzate, cioè per quale obiettivo servono. La risposta a questa domanda si può ricavare dalla famosa frase non si può gestire ciò che non si può misurare : le metriche, in generale, sono strumenti per la gestione e le metriche di sicurezza, in particolare, sono un mezzo per sostenere e migliorare la gestione della sicurezza delle informazioni. Definiamo la sicurezza attraverso la sua manifestazione più concreta, cioè l esistenza di perdite quando la sicurezza è assente. Più formalmente, per un dato sistema IT S, si calcola la perdita attesa EL (expected loss) da incidenti di sicurezza. In una prima approssimazione, EL = loss P (loss) size(loss). Questa equazione si può raffinare e si dimostra l equazione: EL = value E(t m ) vulnerability(s) (1) In questa equazione, value è il valore monetario (in dollari o euro) del sistema IT S, il fattore E(T m ) è la malizia attesa dell ambiente della minaccia in cui S esiste e l ultimo fattore è una misura di quanto sia vulnerabile il sistema IT S. In particolare, il sistema S è tanto più vulnerabile quanto più le sue vulnerabilità sono frequenti, gravi e facilmente sfruttabili. Supponiamo che, senza modificare il valore del sistema IT S, facciamo alcune modifiche alla sua architettura che si traduce in una minore perdita attesa EL. Questo significa, ovviamente, che abbiamo migliorato la sicurezza. Tuttavia, questo miglioramento di sicurezza avviene senza modificare il valore del sistema S e senza modificare la malizia attesa E(T m ). Pertanto, la riduzione di EL 4

5 deve essere il risultato del calo del fattore di vulnerabilità di S. Dunque, la sicurezza di un sistema è inversamente proporzionale alla sua vulnerabilità. Questo dà luogo alla seguente definizione (ancora informale): Definizione 1 (informale di metrica di sicurezza): una metrica di sicurezza è una funzione che misura la vulnerabilità di un sistema e la mappa a un numero reale non negativo che è inversamente proporzionale alla vulnerabilità del sistema. Lo scopo di una metrica di sicurezza è quello di aiutare la gestione a prendere decisioni migliori di sicurezza informatica. Per danneggiare il sistema S, una minaccia deve indirizzare una vulnerabilità che può sfruttare con il suo livello di abilità. Lo sfruttamento con successo dà alle minacce certi privilegi sul sistema S, che utilizzano poi per infliggere danni su S. L entità del danno inflitto dipende da quanto la minaccia è maliziosa. Per formalizzare questi concetti, definiamo: Valore del sistema: la variabile value indica il caso peggiore della perdita monetaria che i proprietari del sistema S possono incorrere se S è compromesso. Questo valore di perdita include i costi diretti di riparazione, spese legali, spese di reputazione, e tutti gli altri costi potenziali. Si misura in dollari, euro o qualche altra valuta. Malizia T m [0, 1] di una minaccia T T: alcune minacce sfruttano le vulnerabilità solo per il brivido della vittoria, mentre altre lo fanno al fine di infliggere danni sul sistema di destinazione S. Le minacce pertanto differiscono rispetto alla loro malizia, che si misura su una scala da 0 a 1. L interpretazione è dovuta al fatto che una minaccia di malizia x causerebbe x per cento della perdita massima che può teoricamente infliggere. Livello di abilità T s [0, 1] di una minaccia T T: ogni minaccia T ha un livello di abilità diverso che riflette la sua conoscenza, esperienza, accesso a strumenti di hacking e altri fattori. Per definire il livello di 5

6 abilità di una minaccia, prima notiamo che entrambi gli insiemi V e T sono insiemi finiti perché i sistemi IT hanno un numero finito di stati e actors. Sia s(t ) := {V V : T può sfruttare V all interno dell unità di tempo ξ} / V la frazione delle vulnerabilità in V che T può sfruttare entro l unità di tempo ξ. L intuizione è che più una minaccia T è abile più è grande s(t) e viceversa. Ora definiamo il livello di abilità T s = {t T : s(t) < s(t )} / T. Notiamo che T s mantiene lo stesso ordine di minacce definito da s() ma ha l ulteriore proprietà che 1 T s equivale alla probabilità che una minaccia abbia livello di abilità T s o più. Livello di privilegio V p [0, 1] raggiunto sfruttando la vulnerabilità V V: le vulnerabilità sono differenti per il livello di privilegio che un utente malintenzionato può ottenere dal loro sfruttamento. Ad esempio, alcune vulnerabilità danno privilegi agli attacanti root sul sistema di destinazione, mentre altre permettono all attaccante solo di leggere alcuni dati o rallentare un pò la funzione del sistema. Definiamo il livello di privilegio V p come la frazione del valore del sistema che è esposta quando la vulnerabilità V viene sfruttata con successo. Il livello di privilegio di una vulnerabilità è anche conosciuto come la sua gravità. Difficoltà V d [0, 1] di sfruttare la vulnerabilità V V : le vulnerabilità differiscono anche in quanto sono facili o difficili da sfruttare. Alcune vulnerabilità, ad esempio race conditions, richiedono notevole abilità per essere sfruttate, mentre altre, come ad esempio le password di default, sono molto più facili da sfruttare. Formalmente, definiamo la difficoltà V d di sfruttamento come il livello di abilità della minaccia meno qualificata in grado di sfruttare la vulnerabilità V, cioè V d = min{t s T T e T può sfruttare V all interno dell unità di tempo ξ}. Non tutte le misure di vulnerabilità di un sistema sono metriche di sicurezza. Piuttosto, la teoria della misurazione definisce tre proprietà operative 6

7 che ogni metrica deve soddisfare. Queste proprietà sono: Validità: la validità indica fino a che punto una metrica riflette adeguatamente il significato del concetto che cerca di misurare. In altre parole, le metriche valide sono altamente correlate ai concetti che cercano di misurare. È generalmente difficile definire metriche valide per dei concetti immateriali come sicurezza, affidabilità, o intelligenza perchè i concetti di base sono difficili da afferrare. Accuratezza: le metriche spesso misurano cose che non sono facilmente osservabili. L accuratezza di una metrica è la differenza tra il valore determinato dalla metrica e il vero o reale valore dell oggetto misurato. Gli errori di misurazione sono la principale fonte di imprecisioni. Ad esempio, una metrica che usa uno scanner di vulnerabilità per misurare il numero di vulnerabilità in un sistema IT è accurato se i suoi valori restituiti corrispondono o sono vicini al numero effettivo di vulnerabilità. Precisione: la precisione valuta la riproducibilità delle misurazioni. Più precisamente, essa rappresenta la quantità di variabilità tra misurazioni ripetute dello stesso oggetto in condizioni simili. Ad esempio, il numero di allarmi virus è una metrica imprecisa di sicurezza del sistema perchè le misurazioni consecutive possono variare significativamente a seconda dell ambiente della minaccia. In particolare, quando ci sono più o meno attacchi virus, il numero di allarmi virus sarà più alto o più basso, anche se non è cambiato nulla nel sistema o nella sua sicurezza. Da queste proprietà segue la definizione formale di metrica di sicurezza: Definizione 2 (formale di metrica di sicurezza) Una metrica di sicurezza è una funzione m() dall insieme di tutti i sistemi IT all insieme dei numeri reali non negativi. È inoltre valida, accurata e precisa nel seguente senso: 7

8 Validità: per ogni due sistemi IT S1 e S2, la relazione m(s1) m(s2) vulnerability(s1) vulnerability(s2) è la funzione definita nella (10). In altre parole, la validità richiede che i sistemi più vulnerabili segnino valori più bassi sulle metriche di sicurezza. Accuratezza: Se S (m) è la specifica della metrica di sicurezza m(), allora m() è accurata se la differenza tra i suoi valori di ritorno ed i veri valori secondo S (m) è piccola in media. Le imprecisioni sorgono quando le metriche utilizzano procedure approssimate, sia perchè i valori esatti non possono essere calcolati sia perchè sono troppo costosi da calcolare Precisione: Per ogni sistema IT S, misurazioni ripetute sotto le condizioni e i vincoli previsti dalla metrica m(), restituiscono sempre lo stesso valore m(s). (Una forma più debole di questo requisito è che la varianza di misure ripetute deve essere piccola.) La teoria sviluppata in questo capitolo può essere utilizzata per risolvere i seguenti problemi di gestione: 1. Come ridurre al minimo le perdite relative alla sicurezza; 2. Come dividere il proprio budget per la sicurezza tra più sistemi IT che necessitano di protezione; 3. Quanto spendere per la sicurezza. 8

9 3 Sistemi di Identity and Access Management (IAM) Nel capitolo 2 abbiamo visto la definizione, le proprietà e alcune applicazioni delle metriche di sicurezza. In questo capitolo vediamo un caso specifico di metriche di sicurezza nel controllo degli accessi. In informatica, la gestione delle identità descrive la gestione delle singole identità digitali, la loro autenticazione, autorizzazione e i privilegi all interno o all esterno del sistema e delle imprese. In questo capitolo presentiamo il caso di studio nel settore della gestione delle identità e degli accessi come esempio significativo per illustrare come l approccio basato sulla modellazione e simulazione può essere usato per fornire un idea precisa di come i processi di sicurezza esistenti stanno proteggendo l organizzazione e per rispondere alle domande what-if, come ad esempio esplorare gli effetti di un cambiamento nella politica di sicurezza o un investimento in una nuova tecnologia per la sicurezza. Le soluzioni di Identity and Access Management (IAM) per le imprese hanno impatto su molteplici aspetti del loro stack IT e coinvolgono l autenticazione, la gestione del singolo accesso, l autorizzazione, il controllo, la conformità e la garanzia, il provisioning, la memorizzazione dei dati, etc. Ai fini di questo caso di studio, ci concentreremo su soluzioni di provisioning account utente. Queste soluzioni sono utilizzate dalle imprese per affrontare la gestione del ciclo di vita delle identità degli utenti e degli account sulle risorse protette. Un processo di provisioning errato o non buono potrebbe dare più diritti necessari agli utenti o impedire loro di accedere alle legittime risorse. L approccio basato sulla modellazione è particolarmente adatto per esplorare le implicazioni dell adozione e implementazione di nuove soluzioni e processi (in questo caso il processo di provisioning utente), in quanto permette la sperimentazione di varie ipotesi e parametri. Questo approccio è stato applicato per studiare le implicazioni nel muoversi gradualmente verso 9

10 una maggiore automazione del processo di provisioning account per le molte applicazioni in un organizzazione. Per soddisfare le diverse esigenze degli stakeholder, alcuni ricercatori hanno individuato una serie di metriche che possono essere raccolte durante le simulazioni. I risultati per le metriche selezionate possono quindi essere utilizzati da diversi stakeholder per testare le proprie intuizioni, condividerle con gli altri in modo coerente e costante, e insieme indagare le conseguenze di un particolare investimento o cambiamento politico nel processo di provision account. Le tradizionali metriche di basso livello includono: il numero degli account utente mal configurati e il numero di quelli configurati correttamente; il numero di account sospesi (di persone che hanno lasciato l unità di business o l organizzazione); il tempo (ritardi) complessivo di approvazione per le richieste di provisioning; il tempo (ritardi) di configurazione/distribuzione globale; il numero delle richieste di configurazione/distribuzione e di approvazione perse; il numero di processi di approvazione disabilitati. Queste metriche possono essere monitorate direttamente dai sistemi IAM implementati, ma spesso sono utili solo ad alcuni stakeholder (ad esempio amministratori di sicurezza e esperti del settore). Per far fronte alle esigenze di tutti gli stakeholder coinvolti nella valutazione del nuovo processo di provisioning account, c è bisogno di un insieme di metriche più ampio. Pertanto, effettuando colloqui e convalidandoli con esperti del settore, i ricercatori hanno identificato un insieme più completo di metriche di alto livello elencate di seguito (classificate dagli stakeholder interessati): Stakeholder: responsabile della sicurezza/conformità Accuratezza dell accesso: il numero di account utente configurati correttamente contro il numero totale di account creati, compresi gli account mal configurati e gli account sospesi; 10

11 Accuratezza dell approvazione: il numero di attività di provisioning approvate contro le attività complessive di provisioning, comprese quelle non autorizzate. Stakeholder: proprietario dell applicazione (Business) Costo della produttività : sono i costi, in termini di perdita di produttività per i dipendenti, dovuti ai ritardi durante le fasi di approvazione e di configurazione/distribuzione del processo di provisioning. Stakeholder :Operazioni IT ( IT Budget Holder) Costo di Provisioning IAM: il costo della distribuzione di soluzioni automatizzate di provisioning IAM per un periodo di tempo determinato (costi fissi e variabili); Sforzo di Provisioning: il numero effettivo di operazioni di provisioning effettuate dall organizzazione in un periodo di tempo specifico, che dà un idea dello sforzo e del carico di lavoro coinvolti. L approccio di modellazione si basa su modelli matematici e simulazioni correlate. Nel caso di studio di provisioning IAM, modelliamo espressamente la differenza tra provisioning IAM ad-hoc e centralizzato ed esploriamo l impatto delle scelte sulle politiche esistenti e/o per modellare nuove politiche. Cerchiamo di illustrare questo attraverso l impatto sulle misure e metriche introdotte. Il modello si concentra esplicitamente sulla rappresentazione dei processi di provisioning IAM, considerando i vari passaggi necessari nelle fasi di approvazione e di implementazione/configurazione. Il modello ha catturato stocasticamente vari eventi esterni (ad esempio come un utente aggiunge, lascia o cambia il proprio ruolo). In risposta ad ogni evento, è stato identificato un insieme rilevante di applicazioni (per mezzo di distribuzioni di probabilità) in 11

12 cui gli account utente devono essere provisioned/deprovisioned in base al ruolo e al profilo dell utente. Per ogni applicazione considerata, sia gestita a livello centrale che gestita ad-hoc, i relativi passi di provisioning/de-provisioning IAM sono modellati con varie misure. In particolare ogni tipo di attività di provisioning, che coinvolge un utente e una o più applicazioni/servizi, è esplicitamente modellato come un processo. Eventi esterni, come l arrivo di un nuovo utente, sono modellate stocasticamente, cioè con opportune distribuzioni di probabilità. Intuitivamente, più i processi di provisioning IAM sono centralizzati, automatizzati e gestiti sotto politiche comuni, più i loro comportamenti sono simili, in contrapposizione ai processi ad hoc. Tuttavia, quando viene introdotta una maggiore centralizzazione e automazione, l impatto dei costi IAM (diritti di licenza) e dei guasti è maggiore. Il modello tiene traccia di una serie di misure cumulative tra cui: numero di richieste di approvazione; numero di richieste di approvazione perse; numero di processi di approvazione bypassati; tempi di approvazione; tempi di implementazione; numero di account utenti configurati correttamente; numero di account utente legittimi, negati; numero di account utenti errati (che non dovrebbero esistere - account utente sospesi). Sulla base delle metriche di basso livello, come parte del modello, calcoliamo anche le metriche di alto livello individuate in precedenza. Questo modello può essere eseguito da diversi stakeholder (decisori ed esperti di dominio) per svolgere direttamente esperimenti what-if, agendo su leve disponibili e cambiando i parametri del modello. Gli stakeholder possono concentrarsi su metriche di basso livello o metriche di alto livello, a seconda del livello desiderato di astrazione per cui lavorano, confrontano i risultati attraverso più esperimenti what-if e, se necessario, approfondiscono i dettagli (ad esempio fino al livello delle funzioni di densità di probabilità di misure/metriche di output). In questo modo gli stakeholder, per migliorare la loro comprensione degli aspetti generali coinvolti in uno scenario specifico, 12

13 mappano i risultati previsti alle politiche attuali e le confrontano con le loro intuizioni; ciò gli fornisce ulteriori elementi di prova per sostenere le loro opinioni e posizioni. I decisori operanti nell ambito IAM hanno bisogno di prendere decisioni di investimento IT consapevoli in un mondo complesso, in continuo cambiamento. Vorrebbero avere capacità di supporto alle decisioni per facilitare il loro lavoro. Per riuscire a fornire queste capacità, deve essere capita l economia che è alla base delle decisioni strategiche di investimento IT. Partiamo dal presupposto che ci dovrebbe essere un quadro economico all interno del quale il valore dei diversi esiti di investimento può essere esplorato e discusso. Ciò comporta all identificazione dei principali risultati strategici e di business per fornire e determinare i punti di vista intuitivi dei diversi stakeholder di questi trade-off e delle loro preferenze per i risultati complessivi. All interno di un organizzazione, i vari decisori strategici di solito hanno priorità diverse; è importante identificare le preferenze dell intera organizzazione (o decisori ) per raggiungere questi obiettivi. Idealmente l obiettivo sarebbe quello di incapsulare queste preferenze in una formale funzione di utilità dell azienda e/o dei decisori, in modo che possa essere applicato a ogni risultato un valore comparativo. Nel contesto dell economia IAM, una o più funzioni di utilità possono essere identificate per i decisori strategici coinvolti e/o per l organizzazione. 13

14 4 Mappa tra i principali indici di rischio e i principali indici di performance Nel capitolo precedente abbiamo visto le metriche di rischio usate in un modello per il controllo degli accessi. In questo capitolo vedremo come il rischio si collega con i risultati del business; definiremo dunque gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e vedremo che relazione c è tra i due. In particolare vedremo come lo sviluppo di catene casuali è usato per legare rischio e risultati di business. Il rapporto tra gestione del rischio e performance dovrebbe essere concettualmente e intuitivamente ovvio. Un rischio non gestito correttamente può portare a fallimenti di imprese e a una scarsa performance aziendale. I benefici di numerose attività di gestione del rischio non sono chiare agli imprenditori che sono più a rischio e spesso non riescono a trarre vantaggio dalle informazioni disponibili dal rischio quando si prendono decisioni critiche di business. Ciò che serve è una più comune e profonda comprensione di come gli eventi del rischio influenzano le prestazioni del business. I manager aziendali non capiscono o non apprezzano il valore dell informazione del rischio o la loro relazione con il rischio; non capiscono che possiedono i rischi e credono che i rischi siano affrontati esternamente da un insieme di entità organizzative separate, chiamato risk management, che si occupa per loro di questioni relative al rischio. Mappare i pricipali indicatori di rischio (KRIs, key risk indicators) con i principali indicatori di performance (KPIs, key performance indicators) può fornire ai manager aziendali le informazioni di rischio di cui hanno bisogno per prendere decisioni migliori. Collegando le attività di gestione del rischio alle prestazioni di business, le aziende possono supportare meglio le decisioni, basate sul rischio, prese dai dirigenti aziendali. Anche se le metriche di performance finanziarie rimangono una misura 14

15 fondamentale del valore, esse rappresentano solo i risultati delle attività di business. Pertanto, esse sono indicatori di ritardo di performance, che significa che dicono solo quanto bene hai fatto, non quanto bene potrai fare in futuro. Le metriche non finanziarie sono i principali indicatori dei risultati finanziari. Vediamo in dettaglio cosa sono i KRI e i KPI e come si possono collegare. I KPI sono indicatori chiave di prestazioni - una misurazione di un attività di business desiderata o un evento che precede un risultato aziendale; qualcosa da gestire in favore. I KRI sono indicatori chiave di rischio - una misurazione di un attività di business o un evento che ha preceduto e influenzato negativamente il risultato desiderato; qualcosa da gestire contro. I KRI sono buoni se sono semplici e misurabili e questi indicatori hanno un impatto diretto su più KPI. La linea tra rischio IT e rischio di business sta scomparendo. La gestione del rischio operativo gioca sempre più un ruolo centrale nel processo decisionale aziendale. Una buona gestione del rischio informa meglio il processo decisionale aziendale e mappare i KRI nei KPI è un buon modo per relazionare la gestione del rischio con la performance aziendale. Mappare i KPI con i KRI serve per capire che relazioni ci sono tra questi indicatori e registrare quei rapporti in modo che possano essere utilizzati nella segnalazione e modellazione del rischio. La mappatura dovrebbe riflettere esplicitamente l impatto del KRI su un KPI. Lo sviluppo di catene causali semplici e complesse aiuterà a collegare meglio un organizzazione di IT o di gestione del rischio con i responsabili delle decisioni aziendali. Questa relazione misurabile tra gestione del rischio e performance aziendale è sfuggita alla maggior parte delle organizzazioni. Come risultato, i vantaggi di molte attività operative di gestione del rischio non sono chiare per gli imprenditori. Inoltre, spesso non riescono a sfruttare l informazione 15

16 del rischio che è disponibile quando si prendono decisioni di business critiche. Per affrontare questi problemi, le imprese dovrebbero sviluppare indicatori di prestazioni chiave (KPI) credibili e discreti, e gli sforzi di gestione del rischio dovrebbero produrre indicatori di rischio (KRI) credibili e discreti che impattino direttamente tali indicatori KPI. È necessaria una comprensione più profonda e comune di come eventi di rischio influenzano le prestazioni di business. I KRI, come abbiamo già detto, sono indicatori anticipatori che le prestazioni di business sono a rischio. Una catena causale (casual chain) documenta la confluenza di attività ed eventi che producono un risultato di business. Una catena casuale è una sequenza di eventi che portano ad un effetto finale dove ogni anello della catena determina il successore. Prima queste attività e eventi si verificano nella catena, più sono principali a indicare i risultati di business. Le organizzazioni possono agire su questi indicatori principali per gestire l impatto sui risultati successivi. Queste catene causali possono essere usate per spiegare l influenza degli eventi e delle attività precedenti sui risultati successivi in modo che i dirigenti possano prendere migliori decisioni di business. Per aiutare a ottenere una comprensione di come usare le catene causali per identificare i KRI, dobbiamo fare una distinzione tra catene semplici e quelle complesse: Una catena semplice è un unico insieme lineare di attività ed eventi che hanno una relazione causale con i risultati del business desiderati. Catene semplici sono usate come punto di partenza per la definizione di relazioni causali. Esse sono prototipi utilizzati per scopi didattici e non sono destinate a spiegare completamente le relazioni causali. Le catene complesse sono una combinazione di catene causali che documentano la comprensione della gestione dei rapporti causali che producono risultati di business. Uno scarso patching è uno dei vari indicatori anticipatori di potenziali errori di applicazione e di inattività. Una misura di errori di applicazione è 16

17 un indicatore anticipatore della performance dei processi di business, come ad esempio quelle effettuate in una catena di fornitura. Una misura di problemi relativi alla catena di fornitura è un indicatore anticipatore di impatti negativi sui risultati di business desiderati, come la redditività. Questo semplice esempio riguarda qualcosa di molto tecnico e spesso sottovalutato dai dirigenti aziendali (patching) per la redditività. Alcuni imprenditori avranno familiarità con i diagrammi fishbone di Ishikawa. Questi diagrammi, noti anche come diagrammi causa-effetto, sono utilizzati in programmi di miglioramento della qualità per identificare i fattori che influenzano negativamente la qualità e i risultati desiderati. I fattori sono raggruppati per categoria lungo una spina che rappresenta un risultato desiderato. Frecce più piccole collegano effetti alle cause principali, che forniscono visibilità e comprensione sui potenziali problemi precedenti. Questo stesso concetto può essere utilizzato per collegare gli indicatori che portano a risultati di business desiderati. Nel loro insieme, la spina, i rami e le frecce formano catene che documentano l esplicita comprensione di un organizzazione dei rapporti di causa ed effetto che si traducono in risultati di business. Ogni impresa ha una lista di risultati desiderati misurabili. Nel settore privato, questi risultati misurabili si trovano nei bilanci che includono tali risultati come ricavo e utile netto. Nel settore pubblico, i risultati dello stato finale desiderato si trovano nel mandato della missione o nella legislazione/normativa che ha creato l agenzia o il dipartimento. I KPI sono sviluppati da questi risultati attesi misurabili, individuando le attività (processi) e gli eventi che precedono i risultati. Gli indicatori anticipatori o prospettici sono i KPI più efficaci perchè si può intervenire prima che si verifichino i risultati desiderati. Esistono opportunità per i CIO e i professionisti della gestione del rischio di agire come facilitatori nello sviluppo di KPI, KRI e catene causali per contribuire a migliorare il processo decisionale. Per le imprese che generano indicatori prospettici sono a disposizione vantaggi finanziari significativi. 17

18 I KRI complementano i KPI, fornendo una prospettiva che è necessaria per comprendere le relazioni causali da cui possono essere identificati i principali indicatori. La prospettiva fornita dai KRI accelera il processo di identificazione dei KPI accettabili controbilanciando gli obiettivi ambiziosi che guidano l identificazione dei KPI con la conoscenza degli eventi indesiderati e incontrollabili che impediscono il raggiungimento di questi obiettivi. I KRI non misurano gli eventi indesiderati e incontrollabili, come la probabilità di un terremoto. Piuttosto, i KRI misurano le attività (o processi) eseguite dall impresa per attenuare la perdita di un evento indesiderabile e incontrollabile, come procedure di recupero di emergenze. L identificazione di eventi indesiderabili e incontrollabili offre una prospettiva più robusta ed equilibrata sulle relazioni causali. Questa prospettiva equilibrata velocizza l approvazione dei KPI e completa la comprensione della gestione degli indicatori prospettici che portano a risultati di business desiderati. La maturità del programma di gestione del rischio IT di un impresa è un indicatore chiave dell efficacia e dell efficienza della sua posizione di rischio complessivo. Migliorare la maturità della gestione del rischio è fondamentale per migliorare l allineamento costo-efficacia e business delle attività di rischio dell impresa; ma questi miglioramenti richiedono azioni diverse a seconda del livello di maturità attuale del programma di gestione del rischio. In mancanza di una comprensione realistica e azionabile dello stato attuale del proprio programma di gestione del rischio IT, l impresa non è in grado di identificare i rischi di business critici ai suoi processi e operazioni, identificare e colmare le lacune nei suoi controlli del rischio, migliorare la maturità del programma e giustificare i costi non trascurabili di gestione del rischio IT. La gestione delle identità e dei diritti degli utenti è diventata sempre più complessa considerando che i sistemi, le applicazioni e i programmi di accesso endpoint si moltiplicano e le imprese consentono ai dipendenti, fornitori, partner, fornitori e clienti un maggiore accesso ai propri sistemi e dati. Allo 18

19 stesso tempo, le imprese devono affrontare una crescente pressione a garantire che gestiscano le identità degli utenti e l accesso in conformità alla nuova legislazione e normativa - e siano in grado di dimostrare che lo stanno facendo. Molte grandi imprese hanno cercato di ridurre questa complessità e di affrontare le questioni di conformità attraverso una varietà di progetti di tecnologia. Questi progetti sono spesso sconnessi e mal allineati, e l impresa si trova alle prese con un altro strato di complessità senza realizzare alcun valore di business chiaro. 19

20 5 Conclusioni L Identity Analytics è una tematica di ricerca non ancora ampiamente esplorata, aperta all innovazione e ai contributi. Abbiamo visto che l opportunità di ricerca principale consiste nel concentrarsi sulla prospettiva dei decisori (piuttosto che sul solito punto di vista IT), fornendo strumenti di supporto alle decisioni e soluzioni che consentano loro di esplorare e prevedere l impatto e le conseguenze delle loro decisioni, tenendo conto di tutti gli aspetti sui fattori che sono rilevanti per loro, come costi, rischi per la sicurezza e perdite finanziarie. Ci siamo occupati di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori della sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e che spiegano ai dirigenti delle imprese le motivazioni per investire in una soluzione di accesso o identità consigliata. Per mostrare ciò, abbiamo cominciato definendo il concetto di metrica di sicurezza, abbiamo visto le sue proprietà e alcune applicazioni; in seguito abbiamo studiato un caso specifico di metriche di sicurezza nel controllo degli accessi; in particolare abbiamo analizzato le metriche usate in un modello di provisioning utente del sistema di Identity and Access Management (IAM); infine abbiamo mostrato come una buona gestione del rischio informa meglio il processo decisionale aziendale; per dimostrare ciò abbiamo definito gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e abbiamo mostrato come collegare i due indici. Tutto ciò suggerisce che l Identity Analytics é un settore promettente che porterà le attuali tendenze aziendali nel settore strategico/esecutivo decisionale da un approccio guidato dalla conformità ad un approccio guidato dal rischio. 20

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

I Modelli della Ricerca Operativa

I Modelli della Ricerca Operativa Capitolo 1 I Modelli della Ricerca Operativa 1.1 L approccio modellistico Il termine modello è di solito usato per indicare una costruzione artificiale realizzata per evidenziare proprietà specifiche di

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO Report globale e suggerimenti Gennaio 2013 Autore: Filigree Consulting Promosso da: SMART Technologies Executive

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

PMO: così fanno le grandi aziende

PMO: così fanno le grandi aziende PMO: così fanno le grandi aziende Tutte le grandi aziende hanno al loro interno un PMO - Project Management Office che si occupa di coordinare tutti i progetti e i programmi aziendali. In Italia il project

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 8

Corso di Amministrazione di Sistema Parte I ITIL 8 Corso di Amministrazione di Sistema Parte I ITIL 8 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione

Introduzione. Articolazione della dispensa. Il sistema del controllo di gestione. Introduzione. Controllo di Gestione Introduzione Perché il controllo di gestione? L azienda, come tutte le altre organizzazioni, è un sistema che è rivolto alla trasformazione di input (risorse tecniche, finanziarie e umane) in output (risultati

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business 2 La guida CRM per eliminare le incertezze: prendete il controllo del vostro business (2 - migliorate la vostra credibilità: i 5 passi per dimostrare l efficacia del Marketing) Pagina 1 di 9 SOMMARIO PREMESSA...

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Servizi di approvvigionamento professionale. Essere più informati, fare scelte migliori. Achilles procurement toolkit Supporto per la selezione

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone Balesatra risk management Definizione joint commission: insieme di attività cliniche e organizzative volte a identificare, valutare, e ridurre il rischio di danno ai pz, staff e visitatori e sull intera

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

La potenza di Ariba per i clienti SAP. I vantaggi del Collaborative Commerce

La potenza di Ariba per i clienti SAP. I vantaggi del Collaborative Commerce La potenza di Ariba per i clienti SAP I vantaggi del Collaborative Commerce Contenuti 4 9 10 12 14 18 20 22 24 Potenziare il Networked Business Una combinazione efficace Collaborative Commerce con Ariba

Dettagli

COME MISURARE UN SERVICE DESK IT

COME MISURARE UN SERVICE DESK IT OSSERVATORIO IT GOVERNANCE COME MISURARE UN SERVICE DESK IT A cura di Donatella Maciocia, consultant di HSPI Introduzione Il Service Desk, ovvero il gruppo di persone che è l interfaccia con gli utenti

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende

UMIQ. Il metodo UMIQ. Unindustria Bologna. Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende QUALITA UNINDUSTRIA INNOVAZIONE METODO UMIQ Il metodo UMIQ Unindustria Bologna Corso rivolto a consulenti e auditor per conoscere e saper applicare il Metodo UMIQ nelle aziende Obiettivi del corso Fornire

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

Piccola dimensione Limitata formalizzazione Stili personali e culturali poco favorevoli alla formalizzazione

Piccola dimensione Limitata formalizzazione Stili personali e culturali poco favorevoli alla formalizzazione BUDGET Parole chiave Il processo di programmazione e controllo di gestione come strumento di governo delle organizzazioni Il processo di programmazione e controllo di gestione rappresenta quel processo

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

CAPITOLO 11 G. Pellicelli INTEGRAZIONE VERTICALE E INTEGRAZIONE ORIZZONTALE

CAPITOLO 11 G. Pellicelli INTEGRAZIONE VERTICALE E INTEGRAZIONE ORIZZONTALE UNIVERSITA' DEGLI STUDI DI URBINO Carlo Bo FACOLTA' DI ECONOMIA CORSO DI LAUREA SPECIALISTICA IN ECONOMIA AZIENDALE CAPITOLO 11 G. Pellicelli INTEGRAZIONE VERTICALE E INTEGRAZIONE ORIZZONTALE Alessandro

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Business Process Management

Business Process Management Corso di Eccellenza in Business Process Management edizione 2010 Con il patrocinio e la supervisione scientifica del Dipartimento di Informatica dell Università degli Studi di Torino Responsabile scientifico

Dettagli

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE

ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE http://www.sinedi.com ARTICOLO 9 FEBBRAIO 2007 ALLINEARE LA GESTIONE OPERATIVA ALLA STRATEGIA AZIENDALE La formulazione della strategia aziendale rappresenta un momento estremamente importante per tutte

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti?

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? SOLUTION BRIEF Soluzioni Project & Portfolio Management per l'innovazione dei prodotti siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? you can Le soluzioni Project & Portfolio

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Operations Management GIA-L03

Operations Management GIA-L03 UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione Aziendale prof. Paolo Aymon Operations Management Operations Management UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione

Dettagli

10 VALUTAZIONE DELLE ANALISI

10 VALUTAZIONE DELLE ANALISI 10 VALUTAZIONE DELLE ANALISI ECONOMICHE Questa valutazione economica può aiutarvi? 1 Esistono prove valide che gli interventi sono efficaci? 2 Di quale tipo di analisi economica si tratta? Studio costo-conseguenze

Dettagli

Metodi e Modelli per le Decisioni

Metodi e Modelli per le Decisioni Metodi e Modelli per le Decisioni Corso di Laurea in Informatica e Corso di Laurea in Matematica Roberto Cordone DI - Università degli Studi di Milano Lezioni: Giovedì 13.30-15.30 Venerdì 15.30-17.30 Ricevimento:

Dettagli

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015

Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Come favorire la competitività e la sostenibilità con la nuova ISO 9001:2015 Lucio Galdangelo - Fieramilano 02/10/2014 Come cambierà la norma ISO 9001 2015 ISO 9001:2015 2012 New Work Item Proposal per

Dettagli

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it

Netwrix Auditor. Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT. netwrix.it Netwrix Auditor Visibilità completa su chi ha fatto cosa, quando e dove attraverso l intera infrastruttura IT netwrix.it 01 Descrizione del prodotto Avevamo bisogno di conformarci alle norme internazionali

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Capitolo 13: L offerta dell impresa e il surplus del produttore

Capitolo 13: L offerta dell impresa e il surplus del produttore Capitolo 13: L offerta dell impresa e il surplus del produttore 13.1: Introduzione L analisi dei due capitoli precedenti ha fornito tutti i concetti necessari per affrontare l argomento di questo capitolo:

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7

Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7 WHITE PAPER SULLE BEST PRACTICE Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7 Per un utilizzo ottimale delle best practice, BMC propone un approccio pratico all analisi della

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di

Dettagli

IL SISTEMA INFORMATIVO AZIENDALE

IL SISTEMA INFORMATIVO AZIENDALE IL SISTEMA INFORMATIVO AZIENDALE CL. 5ATP - A.S. 2006/2007 L azienda e i suoi elementi PERSONE AZIENDA BENI ECONOMICI ORGANIZZAZIONE L azienda è un insieme di beni organizzati e coordinati dall imprenditore

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

Quadro di Riferimento PISA per la Literacy Scientifica

Quadro di Riferimento PISA per la Literacy Scientifica Quadro di Riferimento PISA per la Literacy Scientifica Il testo che segue è una sintesi della prima parte dello Science Framework di PISA 2006. Il testo definitivo sarà pubblicato dall OCSE entro il mese

Dettagli

Talent Management 2020. Scenari e prospettive futuri

Talent Management 2020. Scenari e prospettive futuri Talent Management 2020 Scenari e prospettive futuri INTRODUZIONE Le funzioni delle Risorse Umane (Human Resources-HR) non solo forniscono molti servizi interni, come la selezione del personale, il sostegno

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Il Project Management per i Managers

Il Project Management per i Managers Paolo Mazzoni 2012. E' ammessa la riproduzione per scopi di ricerca e didattici se viene citata la fonte completa nella seguente formula: "di Paolo Mazzoni, www.paolomazzoni.it, (c) 2012". Non sono ammesse

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

Caratteristiche del prodotto

Caratteristiche del prodotto Caratteristiche del prodotto Assima Change Management Suite Assima Change Management Suite (ACMS) è la soluzione per guidare l adozione di nuovi processi e sistemi all interno delle aziende. ACMS presenta

Dettagli

Metodologia Classica di Progettazione delle Basi di Dati

Metodologia Classica di Progettazione delle Basi di Dati Metodologia Classica di Progettazione delle Basi di Dati Metodologia DB 1 Due Situazioni Estreme Realtà Descritta da un documento testuale che rappresenta un insieme di requisiti del software La maggiore

Dettagli

I SISTEMI DI PERFORMANCE MANAGEMENT

I SISTEMI DI PERFORMANCE MANAGEMENT http://www.sinedi.com ARTICOLO 8 GENNAIO 2007 I SISTEMI DI PERFORMANCE MANAGEMENT In uno scenario caratterizzato da una crescente competitività internazionale si avverte sempre di più la necessità di una

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Security Summit Roma Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Sponsor dell iniziativa Ogni azienda / associazione ha investito

Dettagli

Processo di referaggio collana punto org

Processo di referaggio collana punto org Caro Referee, grazie in anticipo per aver accettato di referare per la collana punto org. Il Suo è un ruolo delicato: appartiene a una comunità di studiosi, docenti e professionisti che forniscono ai colleghi

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

Ingegneria del Software Requisiti e Specifiche

Ingegneria del Software Requisiti e Specifiche Ingegneria del Software Requisiti e Specifiche Obiettivi. Affrontare i primi passi della produzione del software: la definizione dei requisiti ed il progetto architetturale che porta alla definizione delle

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura

Dettagli

Aree di inserimento I percorsi di carriera: tante le opportunità quante le

Aree di inserimento I percorsi di carriera: tante le opportunità quante le ACCENTURE SPA Profilo Azienda Accenture è un'azienda globale di Consulenza Direzionale, Servizi Tecnologici e Outsourcing che conta circa 323 mila professionisti in oltre 120 paesi del mondo. Quello che

Dettagli

Guida al livellamento delle risorse con logica Critical Chain (1^ parte)

Guida al livellamento delle risorse con logica Critical Chain (1^ parte) Paolo Mazzoni 2011. E' ammessa la riproduzione per scopi di ricerca e didattici se viene citata la fonte completa nella seguente formula: "di Paolo Mazzoni, www.paolomazzoni.it, (c) 2011". Non sono ammesse

Dettagli

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Incident Management Obiettivi Obiettivo dell Incident Management e di ripristinare le normali operazioni di servizio nel piu breve tempo possibbile e con il minimo impatto sul business, garantendo il mantenimento

Dettagli

Capitolo 2. Un introduzione all analisi dinamica dei sistemi

Capitolo 2. Un introduzione all analisi dinamica dei sistemi Capitolo 2 Un introduzione all analisi dinamica dei sistemi Obiettivo: presentare una modellistica di applicazione generale per l analisi delle caratteristiche dinamiche di sistemi, nota come system dynamics,

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo

Dettagli

CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO

CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO CERTIFICAZIONE DELLE ASSERZIONI AMBIENTALI DI PRODOTTO L obiettivo della certificazione L obiettivo della certificazione è quello di promuovere l utilizzo di dichiarazioni e messaggi chiari, rilevanti

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Verifica e Validazione del Simulatore

Verifica e Validazione del Simulatore Verifica e del Simulatore I 4 passi principali del processo simulativo Formulare ed analizzare il problema Sviluppare il Modello del Sistema Raccolta e/o Stima dati per caratterizzare l uso del Modello

Dettagli

Sistemi di Controllo di Gestione

Sistemi di Controllo di Gestione Sistemi di Controllo di Gestione La pianificazione strategica e l impostazione del budget SISTEMI DI CONTROLLO, 2^ edizione R. Anthony, D. Hawkins, D. Macrì, K. Merchant McGraw-Hill 1 Le due attività di

Dettagli

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali Cos è un progetto? Un iniziativa temporanea intrapresa per creare un prodotto o un servizio univoco (PMI - Project Management

Dettagli

PROGRAMMAZIONE DISCIPLINARE

PROGRAMMAZIONE DISCIPLINARE DOCENTI DI INFORMATICA E LABORATORIO PROGRAMMAZIONE DISCIPLINARE CLASSI 1 e E 2 e ITC IPC OBIETTIVI GENERALI DEL PROCESSO FORMATIVO: Potenziare la capacità d ascolto Sviluppare le capacità comunicative

Dettagli

Il miglioramento delle performance produttive tramite l analisi di KPI: stabilimento food & beverage. Case history Parmalat

Il miglioramento delle performance produttive tramite l analisi di KPI: stabilimento food & beverage. Case history Parmalat Il miglioramento delle performance produttive tramite l analisi di KPI: stabilimento food & beverage. Case history Parmalat - Food-Beverage&Packaging Industry - Analisi del contesto esterno La competitività

Dettagli

www.osservatori.net - CHI SIAMO

www.osservatori.net - CHI SIAMO Virtual Workspace ed Enterprise 2.0: prospettive e barriere di una rivoluzione annunciata Mariano Corso Politecnico di Milano www.osservatori.net - CHI SIAMO Nati nel 1998, gli Osservatori ICT della School

Dettagli

PROCESSI DI MAPPATURA DELLE COMPETENZE FINALIZZATI ALLA VALUTAZIONE DELLE PERFORMANCE E ALLA GESTIONE DEI PROCESSI FORMATIVI

PROCESSI DI MAPPATURA DELLE COMPETENZE FINALIZZATI ALLA VALUTAZIONE DELLE PERFORMANCE E ALLA GESTIONE DEI PROCESSI FORMATIVI PROCESSI DI MAPPATURA DELLE COMPETENZE FINALIZZATI ALLA VALUTAZIONE DELLE PERFORMANCE E ALLA GESTIONE DEI PROCESSI FORMATIVI Progetto di Ricerca-intervento 1. Presentazione Della Proposta 1.1 La ricerca-intervento:

Dettagli

MARKETING AUTOMATION Potenzialità, numeri e vantaggi

MARKETING AUTOMATION Potenzialità, numeri e vantaggi 01 MARKETING AUTOMATION Potenzialità, numeri e vantaggi Contenuti 1.0 1.1 1.2 Marketing Automation, un introduzione Cosa e quanto cambia in azienda Le prestazioni Le aziende che utilizzano la marketing

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli