Metriche di rischio nel controllo degli accessi: sintesi

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metriche di rischio nel controllo degli accessi: sintesi"

Transcript

1 UNIVERSITÀ DEGLI STUDI ROMA 3 FACOLTÀ DI SCIENZE M.F.N. CORSO DI LAUREA MAGISTRALE IN MATEMATICA Tesi di Laurea Magistrale in Matematica Metriche di rischio nel controllo degli accessi: sintesi Lucia Miggiano Anno Accademico 2013/2014 Relatore Prof. Roberto Di Pietro Correlatore Prof. Alessandro Colantonio

2 1 Introduzione L Identity e Access Management è un aspetto chiave della strategia di sicurezza per qualsiasi impresa ed è fondamentale per garantire alle persone di accedere tempestivamente solo alle applicazioni aziendali necessarie per il loro lavoro. In un organizzazione di dimensioni medio-grandi, il Chief Information Security Officer (CISO) sviluppa politiche di sicurezza che riflettono la propensione al rischio delle imprese e l approccio alla gestione delle identità e degli accessi. Tali politiche sono fondamentali per capire come l impresa definisce chi può accedere ai dati o eseguire una determinata operazione. Queste politiche sono poi perfezionate in una serie di controlli tecnici e procedurali che aiutano a raggiungere la posizione di rischio appropriata. Nel campo delle identità, tali controlli comprendono la gestione degli elenchi dei dipendenti (es.: active directory e single-sign-on (SSO)), gestione del ciclo di vita dell account utente, gestione del controllo dell accesso alle informazioni e ai sistemi, meccanismi di autenticazione, strumenti di conformità e di reporting. Durante la vita di un impresa, il CISO e gli esponenti aziendali devono sapere quanto bene stanno incontrando le posizioni di rischio che hanno definito, monitorando le metriche di rischio chiave. In questo lavoro di tesi ci occuperemo di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori di sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e più precisamente spiegano ai dirigenti perché dovrebbero investire in una soluzione di accesso o identità consigliati. Inoltre, esplorando le relazioni tra controlli tecnici e procedurali, l Identity Analytics fornisce una migliore comprensione di quali parametri devono essere monitorati e i modi in cui essi indicano il rischio. Ci proponiamo di comprendere quali sono le principali domande che i decisori aziendali si pongono quando si tratta di analizzare i rischi legati al controllo degli accessi. Affineremo poi queste domande in modelli in grado di esplorare diversi scenari aiutando in tal modo i decisori a valutare le impli- 2

3 cazioni e le conseguenze di decisioni diverse. Infine analizzeremo il rapporto tra gestione del rischio e performance aziendale. 3

4 2 Definizione, proprietà e applicazioni delle metriche di sicurezza In questo capitolo definiamo cos è una metrica di sicurezza, quali sono le sue proprietà e alcune sue applicazioni. Il termine metriche di sicurezza è comunemente usato per denotare una misura che quantifica alcuni aspetti della sicurezza di un sistema IT. Prima di definire cosa sono le metriche di sicurezza, è importante chiedersi per cosa sono utilizzate, cioè per quale obiettivo servono. La risposta a questa domanda si può ricavare dalla famosa frase non si può gestire ciò che non si può misurare : le metriche, in generale, sono strumenti per la gestione e le metriche di sicurezza, in particolare, sono un mezzo per sostenere e migliorare la gestione della sicurezza delle informazioni. Definiamo la sicurezza attraverso la sua manifestazione più concreta, cioè l esistenza di perdite quando la sicurezza è assente. Più formalmente, per un dato sistema IT S, si calcola la perdita attesa EL (expected loss) da incidenti di sicurezza. In una prima approssimazione, EL = loss P (loss) size(loss). Questa equazione si può raffinare e si dimostra l equazione: EL = value E(t m ) vulnerability(s) (1) In questa equazione, value è il valore monetario (in dollari o euro) del sistema IT S, il fattore E(T m ) è la malizia attesa dell ambiente della minaccia in cui S esiste e l ultimo fattore è una misura di quanto sia vulnerabile il sistema IT S. In particolare, il sistema S è tanto più vulnerabile quanto più le sue vulnerabilità sono frequenti, gravi e facilmente sfruttabili. Supponiamo che, senza modificare il valore del sistema IT S, facciamo alcune modifiche alla sua architettura che si traduce in una minore perdita attesa EL. Questo significa, ovviamente, che abbiamo migliorato la sicurezza. Tuttavia, questo miglioramento di sicurezza avviene senza modificare il valore del sistema S e senza modificare la malizia attesa E(T m ). Pertanto, la riduzione di EL 4

5 deve essere il risultato del calo del fattore di vulnerabilità di S. Dunque, la sicurezza di un sistema è inversamente proporzionale alla sua vulnerabilità. Questo dà luogo alla seguente definizione (ancora informale): Definizione 1 (informale di metrica di sicurezza): una metrica di sicurezza è una funzione che misura la vulnerabilità di un sistema e la mappa a un numero reale non negativo che è inversamente proporzionale alla vulnerabilità del sistema. Lo scopo di una metrica di sicurezza è quello di aiutare la gestione a prendere decisioni migliori di sicurezza informatica. Per danneggiare il sistema S, una minaccia deve indirizzare una vulnerabilità che può sfruttare con il suo livello di abilità. Lo sfruttamento con successo dà alle minacce certi privilegi sul sistema S, che utilizzano poi per infliggere danni su S. L entità del danno inflitto dipende da quanto la minaccia è maliziosa. Per formalizzare questi concetti, definiamo: Valore del sistema: la variabile value indica il caso peggiore della perdita monetaria che i proprietari del sistema S possono incorrere se S è compromesso. Questo valore di perdita include i costi diretti di riparazione, spese legali, spese di reputazione, e tutti gli altri costi potenziali. Si misura in dollari, euro o qualche altra valuta. Malizia T m [0, 1] di una minaccia T T: alcune minacce sfruttano le vulnerabilità solo per il brivido della vittoria, mentre altre lo fanno al fine di infliggere danni sul sistema di destinazione S. Le minacce pertanto differiscono rispetto alla loro malizia, che si misura su una scala da 0 a 1. L interpretazione è dovuta al fatto che una minaccia di malizia x causerebbe x per cento della perdita massima che può teoricamente infliggere. Livello di abilità T s [0, 1] di una minaccia T T: ogni minaccia T ha un livello di abilità diverso che riflette la sua conoscenza, esperienza, accesso a strumenti di hacking e altri fattori. Per definire il livello di 5

6 abilità di una minaccia, prima notiamo che entrambi gli insiemi V e T sono insiemi finiti perché i sistemi IT hanno un numero finito di stati e actors. Sia s(t ) := {V V : T può sfruttare V all interno dell unità di tempo ξ} / V la frazione delle vulnerabilità in V che T può sfruttare entro l unità di tempo ξ. L intuizione è che più una minaccia T è abile più è grande s(t) e viceversa. Ora definiamo il livello di abilità T s = {t T : s(t) < s(t )} / T. Notiamo che T s mantiene lo stesso ordine di minacce definito da s() ma ha l ulteriore proprietà che 1 T s equivale alla probabilità che una minaccia abbia livello di abilità T s o più. Livello di privilegio V p [0, 1] raggiunto sfruttando la vulnerabilità V V: le vulnerabilità sono differenti per il livello di privilegio che un utente malintenzionato può ottenere dal loro sfruttamento. Ad esempio, alcune vulnerabilità danno privilegi agli attacanti root sul sistema di destinazione, mentre altre permettono all attaccante solo di leggere alcuni dati o rallentare un pò la funzione del sistema. Definiamo il livello di privilegio V p come la frazione del valore del sistema che è esposta quando la vulnerabilità V viene sfruttata con successo. Il livello di privilegio di una vulnerabilità è anche conosciuto come la sua gravità. Difficoltà V d [0, 1] di sfruttare la vulnerabilità V V : le vulnerabilità differiscono anche in quanto sono facili o difficili da sfruttare. Alcune vulnerabilità, ad esempio race conditions, richiedono notevole abilità per essere sfruttate, mentre altre, come ad esempio le password di default, sono molto più facili da sfruttare. Formalmente, definiamo la difficoltà V d di sfruttamento come il livello di abilità della minaccia meno qualificata in grado di sfruttare la vulnerabilità V, cioè V d = min{t s T T e T può sfruttare V all interno dell unità di tempo ξ}. Non tutte le misure di vulnerabilità di un sistema sono metriche di sicurezza. Piuttosto, la teoria della misurazione definisce tre proprietà operative 6

7 che ogni metrica deve soddisfare. Queste proprietà sono: Validità: la validità indica fino a che punto una metrica riflette adeguatamente il significato del concetto che cerca di misurare. In altre parole, le metriche valide sono altamente correlate ai concetti che cercano di misurare. È generalmente difficile definire metriche valide per dei concetti immateriali come sicurezza, affidabilità, o intelligenza perchè i concetti di base sono difficili da afferrare. Accuratezza: le metriche spesso misurano cose che non sono facilmente osservabili. L accuratezza di una metrica è la differenza tra il valore determinato dalla metrica e il vero o reale valore dell oggetto misurato. Gli errori di misurazione sono la principale fonte di imprecisioni. Ad esempio, una metrica che usa uno scanner di vulnerabilità per misurare il numero di vulnerabilità in un sistema IT è accurato se i suoi valori restituiti corrispondono o sono vicini al numero effettivo di vulnerabilità. Precisione: la precisione valuta la riproducibilità delle misurazioni. Più precisamente, essa rappresenta la quantità di variabilità tra misurazioni ripetute dello stesso oggetto in condizioni simili. Ad esempio, il numero di allarmi virus è una metrica imprecisa di sicurezza del sistema perchè le misurazioni consecutive possono variare significativamente a seconda dell ambiente della minaccia. In particolare, quando ci sono più o meno attacchi virus, il numero di allarmi virus sarà più alto o più basso, anche se non è cambiato nulla nel sistema o nella sua sicurezza. Da queste proprietà segue la definizione formale di metrica di sicurezza: Definizione 2 (formale di metrica di sicurezza) Una metrica di sicurezza è una funzione m() dall insieme di tutti i sistemi IT all insieme dei numeri reali non negativi. È inoltre valida, accurata e precisa nel seguente senso: 7

8 Validità: per ogni due sistemi IT S1 e S2, la relazione m(s1) m(s2) vulnerability(s1) vulnerability(s2) è la funzione definita nella (10). In altre parole, la validità richiede che i sistemi più vulnerabili segnino valori più bassi sulle metriche di sicurezza. Accuratezza: Se S (m) è la specifica della metrica di sicurezza m(), allora m() è accurata se la differenza tra i suoi valori di ritorno ed i veri valori secondo S (m) è piccola in media. Le imprecisioni sorgono quando le metriche utilizzano procedure approssimate, sia perchè i valori esatti non possono essere calcolati sia perchè sono troppo costosi da calcolare Precisione: Per ogni sistema IT S, misurazioni ripetute sotto le condizioni e i vincoli previsti dalla metrica m(), restituiscono sempre lo stesso valore m(s). (Una forma più debole di questo requisito è che la varianza di misure ripetute deve essere piccola.) La teoria sviluppata in questo capitolo può essere utilizzata per risolvere i seguenti problemi di gestione: 1. Come ridurre al minimo le perdite relative alla sicurezza; 2. Come dividere il proprio budget per la sicurezza tra più sistemi IT che necessitano di protezione; 3. Quanto spendere per la sicurezza. 8

9 3 Sistemi di Identity and Access Management (IAM) Nel capitolo 2 abbiamo visto la definizione, le proprietà e alcune applicazioni delle metriche di sicurezza. In questo capitolo vediamo un caso specifico di metriche di sicurezza nel controllo degli accessi. In informatica, la gestione delle identità descrive la gestione delle singole identità digitali, la loro autenticazione, autorizzazione e i privilegi all interno o all esterno del sistema e delle imprese. In questo capitolo presentiamo il caso di studio nel settore della gestione delle identità e degli accessi come esempio significativo per illustrare come l approccio basato sulla modellazione e simulazione può essere usato per fornire un idea precisa di come i processi di sicurezza esistenti stanno proteggendo l organizzazione e per rispondere alle domande what-if, come ad esempio esplorare gli effetti di un cambiamento nella politica di sicurezza o un investimento in una nuova tecnologia per la sicurezza. Le soluzioni di Identity and Access Management (IAM) per le imprese hanno impatto su molteplici aspetti del loro stack IT e coinvolgono l autenticazione, la gestione del singolo accesso, l autorizzazione, il controllo, la conformità e la garanzia, il provisioning, la memorizzazione dei dati, etc. Ai fini di questo caso di studio, ci concentreremo su soluzioni di provisioning account utente. Queste soluzioni sono utilizzate dalle imprese per affrontare la gestione del ciclo di vita delle identità degli utenti e degli account sulle risorse protette. Un processo di provisioning errato o non buono potrebbe dare più diritti necessari agli utenti o impedire loro di accedere alle legittime risorse. L approccio basato sulla modellazione è particolarmente adatto per esplorare le implicazioni dell adozione e implementazione di nuove soluzioni e processi (in questo caso il processo di provisioning utente), in quanto permette la sperimentazione di varie ipotesi e parametri. Questo approccio è stato applicato per studiare le implicazioni nel muoversi gradualmente verso 9

10 una maggiore automazione del processo di provisioning account per le molte applicazioni in un organizzazione. Per soddisfare le diverse esigenze degli stakeholder, alcuni ricercatori hanno individuato una serie di metriche che possono essere raccolte durante le simulazioni. I risultati per le metriche selezionate possono quindi essere utilizzati da diversi stakeholder per testare le proprie intuizioni, condividerle con gli altri in modo coerente e costante, e insieme indagare le conseguenze di un particolare investimento o cambiamento politico nel processo di provision account. Le tradizionali metriche di basso livello includono: il numero degli account utente mal configurati e il numero di quelli configurati correttamente; il numero di account sospesi (di persone che hanno lasciato l unità di business o l organizzazione); il tempo (ritardi) complessivo di approvazione per le richieste di provisioning; il tempo (ritardi) di configurazione/distribuzione globale; il numero delle richieste di configurazione/distribuzione e di approvazione perse; il numero di processi di approvazione disabilitati. Queste metriche possono essere monitorate direttamente dai sistemi IAM implementati, ma spesso sono utili solo ad alcuni stakeholder (ad esempio amministratori di sicurezza e esperti del settore). Per far fronte alle esigenze di tutti gli stakeholder coinvolti nella valutazione del nuovo processo di provisioning account, c è bisogno di un insieme di metriche più ampio. Pertanto, effettuando colloqui e convalidandoli con esperti del settore, i ricercatori hanno identificato un insieme più completo di metriche di alto livello elencate di seguito (classificate dagli stakeholder interessati): Stakeholder: responsabile della sicurezza/conformità Accuratezza dell accesso: il numero di account utente configurati correttamente contro il numero totale di account creati, compresi gli account mal configurati e gli account sospesi; 10

11 Accuratezza dell approvazione: il numero di attività di provisioning approvate contro le attività complessive di provisioning, comprese quelle non autorizzate. Stakeholder: proprietario dell applicazione (Business) Costo della produttività : sono i costi, in termini di perdita di produttività per i dipendenti, dovuti ai ritardi durante le fasi di approvazione e di configurazione/distribuzione del processo di provisioning. Stakeholder :Operazioni IT ( IT Budget Holder) Costo di Provisioning IAM: il costo della distribuzione di soluzioni automatizzate di provisioning IAM per un periodo di tempo determinato (costi fissi e variabili); Sforzo di Provisioning: il numero effettivo di operazioni di provisioning effettuate dall organizzazione in un periodo di tempo specifico, che dà un idea dello sforzo e del carico di lavoro coinvolti. L approccio di modellazione si basa su modelli matematici e simulazioni correlate. Nel caso di studio di provisioning IAM, modelliamo espressamente la differenza tra provisioning IAM ad-hoc e centralizzato ed esploriamo l impatto delle scelte sulle politiche esistenti e/o per modellare nuove politiche. Cerchiamo di illustrare questo attraverso l impatto sulle misure e metriche introdotte. Il modello si concentra esplicitamente sulla rappresentazione dei processi di provisioning IAM, considerando i vari passaggi necessari nelle fasi di approvazione e di implementazione/configurazione. Il modello ha catturato stocasticamente vari eventi esterni (ad esempio come un utente aggiunge, lascia o cambia il proprio ruolo). In risposta ad ogni evento, è stato identificato un insieme rilevante di applicazioni (per mezzo di distribuzioni di probabilità) in 11

12 cui gli account utente devono essere provisioned/deprovisioned in base al ruolo e al profilo dell utente. Per ogni applicazione considerata, sia gestita a livello centrale che gestita ad-hoc, i relativi passi di provisioning/de-provisioning IAM sono modellati con varie misure. In particolare ogni tipo di attività di provisioning, che coinvolge un utente e una o più applicazioni/servizi, è esplicitamente modellato come un processo. Eventi esterni, come l arrivo di un nuovo utente, sono modellate stocasticamente, cioè con opportune distribuzioni di probabilità. Intuitivamente, più i processi di provisioning IAM sono centralizzati, automatizzati e gestiti sotto politiche comuni, più i loro comportamenti sono simili, in contrapposizione ai processi ad hoc. Tuttavia, quando viene introdotta una maggiore centralizzazione e automazione, l impatto dei costi IAM (diritti di licenza) e dei guasti è maggiore. Il modello tiene traccia di una serie di misure cumulative tra cui: numero di richieste di approvazione; numero di richieste di approvazione perse; numero di processi di approvazione bypassati; tempi di approvazione; tempi di implementazione; numero di account utenti configurati correttamente; numero di account utente legittimi, negati; numero di account utenti errati (che non dovrebbero esistere - account utente sospesi). Sulla base delle metriche di basso livello, come parte del modello, calcoliamo anche le metriche di alto livello individuate in precedenza. Questo modello può essere eseguito da diversi stakeholder (decisori ed esperti di dominio) per svolgere direttamente esperimenti what-if, agendo su leve disponibili e cambiando i parametri del modello. Gli stakeholder possono concentrarsi su metriche di basso livello o metriche di alto livello, a seconda del livello desiderato di astrazione per cui lavorano, confrontano i risultati attraverso più esperimenti what-if e, se necessario, approfondiscono i dettagli (ad esempio fino al livello delle funzioni di densità di probabilità di misure/metriche di output). In questo modo gli stakeholder, per migliorare la loro comprensione degli aspetti generali coinvolti in uno scenario specifico, 12

13 mappano i risultati previsti alle politiche attuali e le confrontano con le loro intuizioni; ciò gli fornisce ulteriori elementi di prova per sostenere le loro opinioni e posizioni. I decisori operanti nell ambito IAM hanno bisogno di prendere decisioni di investimento IT consapevoli in un mondo complesso, in continuo cambiamento. Vorrebbero avere capacità di supporto alle decisioni per facilitare il loro lavoro. Per riuscire a fornire queste capacità, deve essere capita l economia che è alla base delle decisioni strategiche di investimento IT. Partiamo dal presupposto che ci dovrebbe essere un quadro economico all interno del quale il valore dei diversi esiti di investimento può essere esplorato e discusso. Ciò comporta all identificazione dei principali risultati strategici e di business per fornire e determinare i punti di vista intuitivi dei diversi stakeholder di questi trade-off e delle loro preferenze per i risultati complessivi. All interno di un organizzazione, i vari decisori strategici di solito hanno priorità diverse; è importante identificare le preferenze dell intera organizzazione (o decisori ) per raggiungere questi obiettivi. Idealmente l obiettivo sarebbe quello di incapsulare queste preferenze in una formale funzione di utilità dell azienda e/o dei decisori, in modo che possa essere applicato a ogni risultato un valore comparativo. Nel contesto dell economia IAM, una o più funzioni di utilità possono essere identificate per i decisori strategici coinvolti e/o per l organizzazione. 13

14 4 Mappa tra i principali indici di rischio e i principali indici di performance Nel capitolo precedente abbiamo visto le metriche di rischio usate in un modello per il controllo degli accessi. In questo capitolo vedremo come il rischio si collega con i risultati del business; definiremo dunque gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e vedremo che relazione c è tra i due. In particolare vedremo come lo sviluppo di catene casuali è usato per legare rischio e risultati di business. Il rapporto tra gestione del rischio e performance dovrebbe essere concettualmente e intuitivamente ovvio. Un rischio non gestito correttamente può portare a fallimenti di imprese e a una scarsa performance aziendale. I benefici di numerose attività di gestione del rischio non sono chiare agli imprenditori che sono più a rischio e spesso non riescono a trarre vantaggio dalle informazioni disponibili dal rischio quando si prendono decisioni critiche di business. Ciò che serve è una più comune e profonda comprensione di come gli eventi del rischio influenzano le prestazioni del business. I manager aziendali non capiscono o non apprezzano il valore dell informazione del rischio o la loro relazione con il rischio; non capiscono che possiedono i rischi e credono che i rischi siano affrontati esternamente da un insieme di entità organizzative separate, chiamato risk management, che si occupa per loro di questioni relative al rischio. Mappare i pricipali indicatori di rischio (KRIs, key risk indicators) con i principali indicatori di performance (KPIs, key performance indicators) può fornire ai manager aziendali le informazioni di rischio di cui hanno bisogno per prendere decisioni migliori. Collegando le attività di gestione del rischio alle prestazioni di business, le aziende possono supportare meglio le decisioni, basate sul rischio, prese dai dirigenti aziendali. Anche se le metriche di performance finanziarie rimangono una misura 14

15 fondamentale del valore, esse rappresentano solo i risultati delle attività di business. Pertanto, esse sono indicatori di ritardo di performance, che significa che dicono solo quanto bene hai fatto, non quanto bene potrai fare in futuro. Le metriche non finanziarie sono i principali indicatori dei risultati finanziari. Vediamo in dettaglio cosa sono i KRI e i KPI e come si possono collegare. I KPI sono indicatori chiave di prestazioni - una misurazione di un attività di business desiderata o un evento che precede un risultato aziendale; qualcosa da gestire in favore. I KRI sono indicatori chiave di rischio - una misurazione di un attività di business o un evento che ha preceduto e influenzato negativamente il risultato desiderato; qualcosa da gestire contro. I KRI sono buoni se sono semplici e misurabili e questi indicatori hanno un impatto diretto su più KPI. La linea tra rischio IT e rischio di business sta scomparendo. La gestione del rischio operativo gioca sempre più un ruolo centrale nel processo decisionale aziendale. Una buona gestione del rischio informa meglio il processo decisionale aziendale e mappare i KRI nei KPI è un buon modo per relazionare la gestione del rischio con la performance aziendale. Mappare i KPI con i KRI serve per capire che relazioni ci sono tra questi indicatori e registrare quei rapporti in modo che possano essere utilizzati nella segnalazione e modellazione del rischio. La mappatura dovrebbe riflettere esplicitamente l impatto del KRI su un KPI. Lo sviluppo di catene causali semplici e complesse aiuterà a collegare meglio un organizzazione di IT o di gestione del rischio con i responsabili delle decisioni aziendali. Questa relazione misurabile tra gestione del rischio e performance aziendale è sfuggita alla maggior parte delle organizzazioni. Come risultato, i vantaggi di molte attività operative di gestione del rischio non sono chiare per gli imprenditori. Inoltre, spesso non riescono a sfruttare l informazione 15

16 del rischio che è disponibile quando si prendono decisioni di business critiche. Per affrontare questi problemi, le imprese dovrebbero sviluppare indicatori di prestazioni chiave (KPI) credibili e discreti, e gli sforzi di gestione del rischio dovrebbero produrre indicatori di rischio (KRI) credibili e discreti che impattino direttamente tali indicatori KPI. È necessaria una comprensione più profonda e comune di come eventi di rischio influenzano le prestazioni di business. I KRI, come abbiamo già detto, sono indicatori anticipatori che le prestazioni di business sono a rischio. Una catena causale (casual chain) documenta la confluenza di attività ed eventi che producono un risultato di business. Una catena casuale è una sequenza di eventi che portano ad un effetto finale dove ogni anello della catena determina il successore. Prima queste attività e eventi si verificano nella catena, più sono principali a indicare i risultati di business. Le organizzazioni possono agire su questi indicatori principali per gestire l impatto sui risultati successivi. Queste catene causali possono essere usate per spiegare l influenza degli eventi e delle attività precedenti sui risultati successivi in modo che i dirigenti possano prendere migliori decisioni di business. Per aiutare a ottenere una comprensione di come usare le catene causali per identificare i KRI, dobbiamo fare una distinzione tra catene semplici e quelle complesse: Una catena semplice è un unico insieme lineare di attività ed eventi che hanno una relazione causale con i risultati del business desiderati. Catene semplici sono usate come punto di partenza per la definizione di relazioni causali. Esse sono prototipi utilizzati per scopi didattici e non sono destinate a spiegare completamente le relazioni causali. Le catene complesse sono una combinazione di catene causali che documentano la comprensione della gestione dei rapporti causali che producono risultati di business. Uno scarso patching è uno dei vari indicatori anticipatori di potenziali errori di applicazione e di inattività. Una misura di errori di applicazione è 16

17 un indicatore anticipatore della performance dei processi di business, come ad esempio quelle effettuate in una catena di fornitura. Una misura di problemi relativi alla catena di fornitura è un indicatore anticipatore di impatti negativi sui risultati di business desiderati, come la redditività. Questo semplice esempio riguarda qualcosa di molto tecnico e spesso sottovalutato dai dirigenti aziendali (patching) per la redditività. Alcuni imprenditori avranno familiarità con i diagrammi fishbone di Ishikawa. Questi diagrammi, noti anche come diagrammi causa-effetto, sono utilizzati in programmi di miglioramento della qualità per identificare i fattori che influenzano negativamente la qualità e i risultati desiderati. I fattori sono raggruppati per categoria lungo una spina che rappresenta un risultato desiderato. Frecce più piccole collegano effetti alle cause principali, che forniscono visibilità e comprensione sui potenziali problemi precedenti. Questo stesso concetto può essere utilizzato per collegare gli indicatori che portano a risultati di business desiderati. Nel loro insieme, la spina, i rami e le frecce formano catene che documentano l esplicita comprensione di un organizzazione dei rapporti di causa ed effetto che si traducono in risultati di business. Ogni impresa ha una lista di risultati desiderati misurabili. Nel settore privato, questi risultati misurabili si trovano nei bilanci che includono tali risultati come ricavo e utile netto. Nel settore pubblico, i risultati dello stato finale desiderato si trovano nel mandato della missione o nella legislazione/normativa che ha creato l agenzia o il dipartimento. I KPI sono sviluppati da questi risultati attesi misurabili, individuando le attività (processi) e gli eventi che precedono i risultati. Gli indicatori anticipatori o prospettici sono i KPI più efficaci perchè si può intervenire prima che si verifichino i risultati desiderati. Esistono opportunità per i CIO e i professionisti della gestione del rischio di agire come facilitatori nello sviluppo di KPI, KRI e catene causali per contribuire a migliorare il processo decisionale. Per le imprese che generano indicatori prospettici sono a disposizione vantaggi finanziari significativi. 17

18 I KRI complementano i KPI, fornendo una prospettiva che è necessaria per comprendere le relazioni causali da cui possono essere identificati i principali indicatori. La prospettiva fornita dai KRI accelera il processo di identificazione dei KPI accettabili controbilanciando gli obiettivi ambiziosi che guidano l identificazione dei KPI con la conoscenza degli eventi indesiderati e incontrollabili che impediscono il raggiungimento di questi obiettivi. I KRI non misurano gli eventi indesiderati e incontrollabili, come la probabilità di un terremoto. Piuttosto, i KRI misurano le attività (o processi) eseguite dall impresa per attenuare la perdita di un evento indesiderabile e incontrollabile, come procedure di recupero di emergenze. L identificazione di eventi indesiderabili e incontrollabili offre una prospettiva più robusta ed equilibrata sulle relazioni causali. Questa prospettiva equilibrata velocizza l approvazione dei KPI e completa la comprensione della gestione degli indicatori prospettici che portano a risultati di business desiderati. La maturità del programma di gestione del rischio IT di un impresa è un indicatore chiave dell efficacia e dell efficienza della sua posizione di rischio complessivo. Migliorare la maturità della gestione del rischio è fondamentale per migliorare l allineamento costo-efficacia e business delle attività di rischio dell impresa; ma questi miglioramenti richiedono azioni diverse a seconda del livello di maturità attuale del programma di gestione del rischio. In mancanza di una comprensione realistica e azionabile dello stato attuale del proprio programma di gestione del rischio IT, l impresa non è in grado di identificare i rischi di business critici ai suoi processi e operazioni, identificare e colmare le lacune nei suoi controlli del rischio, migliorare la maturità del programma e giustificare i costi non trascurabili di gestione del rischio IT. La gestione delle identità e dei diritti degli utenti è diventata sempre più complessa considerando che i sistemi, le applicazioni e i programmi di accesso endpoint si moltiplicano e le imprese consentono ai dipendenti, fornitori, partner, fornitori e clienti un maggiore accesso ai propri sistemi e dati. Allo 18

19 stesso tempo, le imprese devono affrontare una crescente pressione a garantire che gestiscano le identità degli utenti e l accesso in conformità alla nuova legislazione e normativa - e siano in grado di dimostrare che lo stanno facendo. Molte grandi imprese hanno cercato di ridurre questa complessità e di affrontare le questioni di conformità attraverso una varietà di progetti di tecnologia. Questi progetti sono spesso sconnessi e mal allineati, e l impresa si trova alle prese con un altro strato di complessità senza realizzare alcun valore di business chiaro. 19

20 5 Conclusioni L Identity Analytics è una tematica di ricerca non ancora ampiamente esplorata, aperta all innovazione e ai contributi. Abbiamo visto che l opportunità di ricerca principale consiste nel concentrarsi sulla prospettiva dei decisori (piuttosto che sul solito punto di vista IT), fornendo strumenti di supporto alle decisioni e soluzioni che consentano loro di esplorare e prevedere l impatto e le conseguenze delle loro decisioni, tenendo conto di tutti gli aspetti sui fattori che sono rilevanti per loro, come costi, rischi per la sicurezza e perdite finanziarie. Ci siamo occupati di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori della sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e che spiegano ai dirigenti delle imprese le motivazioni per investire in una soluzione di accesso o identità consigliata. Per mostrare ciò, abbiamo cominciato definendo il concetto di metrica di sicurezza, abbiamo visto le sue proprietà e alcune applicazioni; in seguito abbiamo studiato un caso specifico di metriche di sicurezza nel controllo degli accessi; in particolare abbiamo analizzato le metriche usate in un modello di provisioning utente del sistema di Identity and Access Management (IAM); infine abbiamo mostrato come una buona gestione del rischio informa meglio il processo decisionale aziendale; per dimostrare ciò abbiamo definito gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e abbiamo mostrato come collegare i due indici. Tutto ciò suggerisce che l Identity Analytics é un settore promettente che porterà le attuali tendenze aziendali nel settore strategico/esecutivo decisionale da un approccio guidato dalla conformità ad un approccio guidato dal rischio. 20

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

Business Process Management

Business Process Management Corso di Certificazione in Business Process Management Progetto Didattico 2015 con la supervisione scientifica del Dipartimento di Informatica Università degli Studi di Torino Responsabile scientifico

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e'

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il continuous improvement ed e' ITIL v3 ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e' giusto che lo applichi anche a se' stessa... Naturalmente una

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

dei processi di customer service

dei processi di customer service WHITE PAPER APRILE 2013 Il Business Process Orchestrator dei processi di customer service Fonte Dati: Forrester Research Inc I marchi registrati citati nel presente documento sono di proprietà esclusiva

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Corso di Specializzazione IT SERVICE MANAGEMENT

Corso di Specializzazione IT SERVICE MANAGEMENT Corso di Specializzazione IT SERVICE MANAGEMENT Con esame ufficiale di certificazione ITIL V3 Foundation INTRODUZIONE Un numero crescente di organizzazioni appartenenti ai più diversi settori produttivi

Dettagli

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali Cos è un progetto? Un iniziativa temporanea intrapresa per creare un prodotto o un servizio univoco (PMI - Project Management

Dettagli

ITIL Versione 3: un contributo all importanza crescente del Business Service Management

ITIL Versione 3: un contributo all importanza crescente del Business Service Management BEST PRACTICES WHITE PAPER ITIL Versione 3: un contributo all importanza crescente del Business Service Management Sharon Taylor, Presidente di Aspect Group, Chief Architect e Chief Examiner per ITIL Ken

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA JEN UNDERWOOD ADVANCED WORKSHOP ROMA 6 MAGGIO 2015 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231

LA TECHNOLOGY TRANSFER PRESENTA JEN UNDERWOOD ADVANCED WORKSHOP ROMA 6 MAGGIO 2015 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 LA TECHNOLOGY TRANSFER PRESENTA JEN UNDERWOOD ADVANCED ANALYTICS WORKSHOP ROMA 6 MAGGIO 2015 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it www.technologytransfer.it ADVANCED ANALYTICS

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Adult Literacy and Life skills (ALL) - Competenze della popolazione adulta e abilità per la vita

Adult Literacy and Life skills (ALL) - Competenze della popolazione adulta e abilità per la vita Adult Literacy and Life skills (ALL) - Competenze della popolazione adulta e abilità per la vita 1 di Vittoria Gallina - INVALSI A conclusione dell ultimo round della indagine IALS (International Adult

Dettagli

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Data Sheet IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Panoramica Le medie aziende devono migliorare nettamente le loro capacità

Dettagli

ITIL. Introduzione. Mariosa Pietro

ITIL. Introduzione. Mariosa Pietro ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA SAP World Tour 2007 - Milano 11-12 Luglio 2007 THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA Agenda Presentazione Derga Consulting Enterprise SOA Allineamento Processi & IT Il

Dettagli

I cambiamenti di cui abbiamo bisogno per il futuro che vogliamo

I cambiamenti di cui abbiamo bisogno per il futuro che vogliamo I cambiamenti di cui abbiamo bisogno per il futuro che vogliamo Le raccomandazioni della CIDSE per la Conferenza delle Nazioni Unite sullo Sviluppo Sostenibile (Rio, 20-22 giugno 2012) Introduzione Il

Dettagli

Il link da cui sarà visibile lo streaming live dell'evento e successivamente la versione registrata è: http://streaming.cineca.it/industria4.

Il link da cui sarà visibile lo streaming live dell'evento e successivamente la versione registrata è: http://streaming.cineca.it/industria4. Industry 4.0 - La Fabbrica prossima ventura? Incontro e Dibattito per esplorazione di >> Cosa succederà per gli Imprenditori, i Manager, i Cittadini?

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

Sistemi di supporto alle decisioni

Sistemi di supporto alle decisioni Sistemi di supporto alle decisioni Introduzione I sistemi di supporto alle decisioni, DSS (decision support system), sono strumenti informatici che utilizzano dati e modelli matematici a supporto del decision

Dettagli

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI CSC ritiene che la Business Intelligence sia un elemento strategico e fondamentale che, seguendo

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

L ultima versione di ITIL: V3 Elementi salienti

L ultima versione di ITIL: V3 Elementi salienti L ultima versione di ITIL: V3 Elementi salienti Federico Corradi Workshop SIAM Cogitek Milano, 17/2/2009 COGITEK s.r.l. Via Montecuccoli 9 10121 TORINO Tel. 0115660912 Fax. 0115132623Cod. Fisc.. E Part.

Dettagli

Come evitare i rischi di una due diligence tradizionale

Come evitare i rischi di una due diligence tradizionale Mergers & Acquisitions Come evitare i rischi di una due diligence tradizionale Di Michael May, Patricia Anslinger e Justin Jenk Un controllo troppo affrettato e una focalizzazione troppo rigida sono la

Dettagli

Linee guida per il reporting di sostenibilità

Linee guida per il reporting di sostenibilità RG Linee guida per il reporting di sostenibilità 2000-2011 GRI Versione 3.1 2000-2011 GRI Versione 3.1 Linee guida per il reporting di sostenibilità RG Indice Prefazione Lo sviluppo sostenibile e l imperativo

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

IT Service Management

IT Service Management IT Service Management L'importanza dell'analisi dei processi nelle grandi e medie realtà italiane Evento Business Strategy 2.0 Firenze 25 settembre 2012 Giovanni Sadun Agenda ITSM: Contesto di riferimento

Dettagli

LAVORO DI GRUPPO. Caratteristiche dei gruppi di lavoro transnazionali

LAVORO DI GRUPPO. Caratteristiche dei gruppi di lavoro transnazionali LAVORO DI GRUPPO Caratteristiche dei gruppi di lavoro transnazionali Esistono molti manuali e teorie sulla costituzione di gruppi e sull efficacia del lavoro di gruppo. Un coordinatore dovrebbe tenere

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Capitolo 9: PROPAGAZIONE DEGLI ERRORI

Capitolo 9: PROPAGAZIONE DEGLI ERRORI Capitolo 9: PROPAGAZIOE DEGLI ERRORI 9.1 Propagazione degli errori massimi ella maggior parte dei casi le grandezze fisiche vengono misurate per via indiretta. Il valore della grandezza viene cioè dedotto

Dettagli

ARTICOLO 61 MARZO/APRILE 2013 LA BUSINESS INTELLIGENCE 1. http://www.sinedi.com

ARTICOLO 61 MARZO/APRILE 2013 LA BUSINESS INTELLIGENCE 1. http://www.sinedi.com http://www.sinedi.com ARTICOLO 61 MARZO/APRILE 2013 LA BUSINESS INTELLIGENCE 1 L estrema competitività dei mercati e i rapidi e continui cambiamenti degli scenari in cui operano le imprese impongono ai

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence?

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence? In un momento di crisi perché scegliere di investire sulla Business Intelligence? Cos è? Per definizione, la Business Intelligence è: la trasformazione dei dati in INFORMAZIONI messe a supporto delle decisioni

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

F O R M A T O E U R O P E O

F O R M A T O E U R O P E O F O R M A T O E U R O P E O P E R I L C U R R I C U L U M V I T A E INFORMAZIONI PERSONALI Nome Indirizzo Laura Bacci, PMP Via Tezze, 36 46100 MANTOVA Telefono (+39) 348 6947997 Fax (+39) 0376 1810801

Dettagli

RICERCA-AZIONE. l insegnamento riflessivo. Caterina Bortolani-2009

RICERCA-AZIONE. l insegnamento riflessivo. Caterina Bortolani-2009 RICERCA-AZIONE ovvero l insegnamento riflessivo Gli insegnanti sono progettisti.. riflettono sul contesto nel quale devono lavorare sugli obiettivi che vogliono raggiungere decidono quali contenuti trattare

Dettagli

La Valutazione degli Asset Intangibili

La Valutazione degli Asset Intangibili La Valutazione degli Asset Intangibili Chiara Fratini Gli asset intangibili rappresentano il patrimonio di conoscenza di un organizzazione. In un accezione ampia del concetto di conoscenza, questo patrimonio

Dettagli

Sussidio guida per la stesura della Relazione ex post

Sussidio guida per la stesura della Relazione ex post AGENZIA SANITARIA E SOCIALE REGIONALE ACCREDITAMENTO IL RESPONSABILE PIERLUIGI LA PORTA Sussidio guida per la stesura della Relazione ex post D.Lgs. 229/99 I principi introdotti dal DLgs 502/92 art. 8

Dettagli

BOARD in Eisai: crescere con il Performance Management

BOARD in Eisai: crescere con il Performance Management BOARD in Eisai: crescere con il Performance Management Gli aspetti maggiormente apprezzabili nell utilizzo di BOARD sono la tempestività nel realizzare ambienti di analisi senza nessun tipo di programmazione

Dettagli

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI Prefazione Autori XIII XVII Capitolo 1 Sistemi informativi aziendali 1 1.1 Introduzione 1 1.2 Modello organizzativo 3 1.2.1 Sistemi informativi

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Master Universitario di II livello in PROJECT MANAGEMENT: MANAGING COMPLEXITY a.a. 2014/2015 MANIFESTO DEGLI STUDI

Master Universitario di II livello in PROJECT MANAGEMENT: MANAGING COMPLEXITY a.a. 2014/2015 MANIFESTO DEGLI STUDI Master Universitario di II livello in PROJECT MANAGEMENT: MANAGING COMPLEXITY a.a. 201/2015 MANIFESTO DEGLI STUDI Art. 1 - Attivazione e scopo del Master 1 E' attivato per l'a.a. 201/2015 presso l'università

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

OLTRE IL MONITORAGGIO LE ESIGENZE DI ANALISI DEI DATI DEGLI ASSET MANAGER

OLTRE IL MONITORAGGIO LE ESIGENZE DI ANALISI DEI DATI DEGLI ASSET MANAGER Asset Management Day Milano, 3 Aprile 2014 Politecnico di Milano OLTRE IL MONITORAGGIO LE ESIGENZE DI ANALISI DEI DATI DEGLI ASSET MANAGER Massimiliano D Angelo, 3E Sales Manager Italy 3E Milano, 3 Aprile

Dettagli

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc Scuola universitaria professionale della Svizzera italiana Dipartimento tecnologie innovative Istituto sistemi informativi e networking Specialista ITIL Certificate of Advanced Studies www.supsi.ch/fc

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA

LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA LA TECHNOLOGY TRANSFER PRESENTA SUZANNE ROBERTSON MASTERING THE REQUIREMENTS PROCESS COME COSTRUIRE IL SISTEMA CHE IL VOSTRO UTENTE DESIDERA ROMA 20-22 OTTOBRE 2014 RESIDENZA DI RIPETTA - VIA DI RIPETTA,

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence.

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. Per le aziende manifatturiere, oggi e sempre più nel futuro individuare ed eliminare gli

Dettagli

La Borsa delle idee Innovare: il reale valore dei social network

La Borsa delle idee Innovare: il reale valore dei social network La Borsa delle idee Innovare: il reale valore dei social network Di cosa parliamo? La Borsa delle Idee è la soluzione per consentire alle aziende di coinvolgere attivamente le persone (dipendenti, clienti,

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET LE ESIGENZE INFORMATICHE NELL ERA di INTERNET Internet una finestra sul mondo... Un azienda moderna non puo negarsi ad Internet, ma.. Per attivare un reale business con transazioni commerciali via Internet

Dettagli

UNIVERSITÀ DEGLI STUDI DI GENOVA

UNIVERSITÀ DEGLI STUDI DI GENOVA UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI SCIENZE MATEMATICHE FISICHE E NATURALI CORSO DI LAUREA IN INFORMATICA Prova Finale GESTIONE DELLA TRANSIZIONE SECONDO LO STANDARD ITIL ITIL SERVICE TRANSITION

Dettagli

La ricerca empirica: una definizione

La ricerca empirica: una definizione Lucido 35/51 La ricerca empirica: una definizione La ricerca empirica si distingue da altri tipi di ricerca per tre aspetti (Ricolfi, 23): 1. produce asserti o stabilisce nessi tra asserti ipotesi teorie,

Dettagli

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato Intalio Convegno Open Source per la Pubblica Amministrazione Leader nei Sistemi Open Source per il Business Process Management Navacchio 4 Dicembre 2008 Andrea Calcagno Amministratore Delegato 20081129-1

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

SAP per centralizzare tutte le informazioni aziendali

SAP per centralizzare tutte le informazioni aziendali Grandi Navi Veloci. Utilizzata con concessione dell autore. SAP per centralizzare tutte le informazioni aziendali Partner Nome dell azienda Ferretticasa Spa Settore Engineering & Costruction Servizi e/o

Dettagli

Comincio da tre! I MIEI AMICI LA MIA FAMIGLIA LE MIE ESPERIENZE IL MIO PASSATO COSA VOLEVO FARE DA GRANDE LE MIE RELAZIONI

Comincio da tre! I MIEI AMICI LA MIA FAMIGLIA LE MIE ESPERIENZE IL MIO PASSATO COSA VOLEVO FARE DA GRANDE LE MIE RELAZIONI I MIEI AMICI LA MIA FAMIGLIA IL MIO PASSATO LE MIE ESPERIENZE COSA VOLEVO FARE DA GRANDE COME SONO IO? I MIEI DIFETTI LE MIE RELAZIONI LE MIE PASSIONI I SOGNI NEL CASSETTO IL MIO CANE IL MIO GATTO Comincio

Dettagli

il ruolo del Service Manager e i vantaggi conseguiti

il ruolo del Service Manager e i vantaggi conseguiti il ruolo del Service Manager e i vantaggi conseguiti Alessandro Bruni CIO at Baglioni Hotels Workshop AICA: "Il Service Manager: il ruolo e il suo valore per il business" 8/ 2/2011 Il gruppo Baglioni Hotels

Dettagli

Governance e performance nei servizi pubblici locali

Governance e performance nei servizi pubblici locali Governance e performance nei servizi pubblici locali Anna Menozzi Lecce, 26 aprile 2007 Università degli studi del Salento Master PIT 9.4 in Analisi dei mercati e sviluppo locale Modulo M7 Economia dei

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

PLM Software. Answers for industry. Siemens PLM Software

PLM Software. Answers for industry. Siemens PLM Software Siemens PLM Software Monitoraggio e reporting delle prestazioni di prodotti e programmi Sfruttare le funzionalità di reporting e analisi delle soluzioni PLM per gestire in modo più efficace i complessi

Dettagli

LE PROSPETTIVE PER L ECONOMIA ITALIANA NEL 2014-2016

LE PROSPETTIVE PER L ECONOMIA ITALIANA NEL 2014-2016 5 maggio 2014 LE PROSPETTIVE PER L ECONOMIA ITALIANA NEL 2014-2016 Nel 2014 si prevede un aumento del prodotto interno lordo (Pil) italiano pari allo 0,6% in termini reali, seguito da una crescita dell

Dettagli

SCHEDA DI PROGRAMMAZIONE DELLE ATTIVITA EDUCATIVE DIDATTICHE. Disciplina: Matematica Classe: 5A sia A.S. 2014/15 Docente: Rosito Franco

SCHEDA DI PROGRAMMAZIONE DELLE ATTIVITA EDUCATIVE DIDATTICHE. Disciplina: Matematica Classe: 5A sia A.S. 2014/15 Docente: Rosito Franco Disciplina: Matematica Classe: 5A sia A.S. 2014/15 Docente: Rosito Franco ANALISI DI SITUAZIONE - LIVELLO COGNITIVO La classe ha dimostrato fin dal primo momento grande attenzione e interesse verso gli

Dettagli

Costi della Qualità. La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro.

Costi della Qualità. La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro. Costi della Qualità La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro. Per anni le aziende, in particolare quelle di produzione, hanno

Dettagli

Evoluzione Risk Management in Intesa

Evoluzione Risk Management in Intesa RISCHIO DI CREDITO IN BANCA INTESA Marco Bee, Mauro Senati NEWFIN - FITD Rating interni e controllo del rischio di credito Milano, 31 Marzo 2004 Evoluzione Risk Management in Intesa 1994: focus iniziale

Dettagli

Enterprise Content Management. Terminologia. KM, ECM e BPM per creare valore nell impresa. Giovanni Marrè Amm. Del., it Consult

Enterprise Content Management. Terminologia. KM, ECM e BPM per creare valore nell impresa. Giovanni Marrè Amm. Del., it Consult KM, ECM e BPM per creare valore nell impresa Giovanni Marrè Amm. Del., it Consult Terminologia Ci sono alcuni termini che, a vario titolo, hanno a che fare col tema dell intervento KM ECM BPM E20 Enterprise

Dettagli

La best practice ITILv3 nell IT Sourcing

La best practice ITILv3 nell IT Sourcing La best practice ITILv3 nell IT Sourcing Novembre 2009 Indice 1. Introduzione... 4 1.1. Il contesto dell outsourcing... 4 1.2. Le fasi di processo e le strutture di sourcing... 7 1.3. L esigenza di governance...

Dettagli

La disseminazione dei progetti europei

La disseminazione dei progetti europei La disseminazione dei progetti europei Indice 1. La disseminazione nel 7PQ: un obbligo! 2. Comunicare nei progetti europei 3. Target audience e Key Message 4. Sviluppare un dissemination plan 5. Message

Dettagli

IL PROGETTO MINDSH@RE

IL PROGETTO MINDSH@RE IL PROGETTO MINDSH@RE Gruppo Finmeccanica Attilio Di Giovanni V.P.Technology Innovation & IP Mngt L'innovazione e la Ricerca sono due dei punti di eccellenza di Finmeccanica. Lo scorso anno il Gruppo ha

Dettagli

BRINGING LIGHT. il sistema informativo direzionale BUSINESS INTELLIGENCE & CORPORATE PERFORMANCE MANAGEMENT. i modelli funzionali sviluppati da Sme.

BRINGING LIGHT. il sistema informativo direzionale BUSINESS INTELLIGENCE & CORPORATE PERFORMANCE MANAGEMENT. i modelli funzionali sviluppati da Sme. Sme.UP ERP Retail BI & CPM Dynamic IT Mgt Web & Mobile Business Performance & Transformation 5% SCEGLIERE PER COMPETERE BI e CPM, una necessità per le aziende i modelli funzionali sviluppati da Sme.UP

Dettagli

19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015

19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015 19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015 Pag. 33 (diffusione:581000) La proprietà intellettuale è riconducibile alla fonte specificata in testa alla pagina. Il ritaglio stampa è

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità

Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità Dar da mangiare agli affamati. Le eccedenze alimentari come opportunità Paola Garrone, Marco Melacini e Alessandro Perego Politecnico di Milano Indagine realizzata da Fondazione per la Sussidiarietà e

Dettagli

LA PROGETTAZIONE Come fare un progetto. LA PROGETTAZIONE Come fare un progetto

LA PROGETTAZIONE Come fare un progetto. LA PROGETTAZIONE Come fare un progetto LA PROGETTAZIONE 1 LA PROGETTAZIONE Oggi il raggiungimento di un obiettivo passa per la predisposizione di un progetto. Dal mercato al terzo settore passando per lo Stato: aziende, imprese, organizzazioni,

Dettagli