Metriche di rischio nel controllo degli accessi: sintesi

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metriche di rischio nel controllo degli accessi: sintesi"

Transcript

1 UNIVERSITÀ DEGLI STUDI ROMA 3 FACOLTÀ DI SCIENZE M.F.N. CORSO DI LAUREA MAGISTRALE IN MATEMATICA Tesi di Laurea Magistrale in Matematica Metriche di rischio nel controllo degli accessi: sintesi Lucia Miggiano Anno Accademico 2013/2014 Relatore Prof. Roberto Di Pietro Correlatore Prof. Alessandro Colantonio

2 1 Introduzione L Identity e Access Management è un aspetto chiave della strategia di sicurezza per qualsiasi impresa ed è fondamentale per garantire alle persone di accedere tempestivamente solo alle applicazioni aziendali necessarie per il loro lavoro. In un organizzazione di dimensioni medio-grandi, il Chief Information Security Officer (CISO) sviluppa politiche di sicurezza che riflettono la propensione al rischio delle imprese e l approccio alla gestione delle identità e degli accessi. Tali politiche sono fondamentali per capire come l impresa definisce chi può accedere ai dati o eseguire una determinata operazione. Queste politiche sono poi perfezionate in una serie di controlli tecnici e procedurali che aiutano a raggiungere la posizione di rischio appropriata. Nel campo delle identità, tali controlli comprendono la gestione degli elenchi dei dipendenti (es.: active directory e single-sign-on (SSO)), gestione del ciclo di vita dell account utente, gestione del controllo dell accesso alle informazioni e ai sistemi, meccanismi di autenticazione, strumenti di conformità e di reporting. Durante la vita di un impresa, il CISO e gli esponenti aziendali devono sapere quanto bene stanno incontrando le posizioni di rischio che hanno definito, monitorando le metriche di rischio chiave. In questo lavoro di tesi ci occuperemo di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori di sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e più precisamente spiegano ai dirigenti perché dovrebbero investire in una soluzione di accesso o identità consigliati. Inoltre, esplorando le relazioni tra controlli tecnici e procedurali, l Identity Analytics fornisce una migliore comprensione di quali parametri devono essere monitorati e i modi in cui essi indicano il rischio. Ci proponiamo di comprendere quali sono le principali domande che i decisori aziendali si pongono quando si tratta di analizzare i rischi legati al controllo degli accessi. Affineremo poi queste domande in modelli in grado di esplorare diversi scenari aiutando in tal modo i decisori a valutare le impli- 2

3 cazioni e le conseguenze di decisioni diverse. Infine analizzeremo il rapporto tra gestione del rischio e performance aziendale. 3

4 2 Definizione, proprietà e applicazioni delle metriche di sicurezza In questo capitolo definiamo cos è una metrica di sicurezza, quali sono le sue proprietà e alcune sue applicazioni. Il termine metriche di sicurezza è comunemente usato per denotare una misura che quantifica alcuni aspetti della sicurezza di un sistema IT. Prima di definire cosa sono le metriche di sicurezza, è importante chiedersi per cosa sono utilizzate, cioè per quale obiettivo servono. La risposta a questa domanda si può ricavare dalla famosa frase non si può gestire ciò che non si può misurare : le metriche, in generale, sono strumenti per la gestione e le metriche di sicurezza, in particolare, sono un mezzo per sostenere e migliorare la gestione della sicurezza delle informazioni. Definiamo la sicurezza attraverso la sua manifestazione più concreta, cioè l esistenza di perdite quando la sicurezza è assente. Più formalmente, per un dato sistema IT S, si calcola la perdita attesa EL (expected loss) da incidenti di sicurezza. In una prima approssimazione, EL = loss P (loss) size(loss). Questa equazione si può raffinare e si dimostra l equazione: EL = value E(t m ) vulnerability(s) (1) In questa equazione, value è il valore monetario (in dollari o euro) del sistema IT S, il fattore E(T m ) è la malizia attesa dell ambiente della minaccia in cui S esiste e l ultimo fattore è una misura di quanto sia vulnerabile il sistema IT S. In particolare, il sistema S è tanto più vulnerabile quanto più le sue vulnerabilità sono frequenti, gravi e facilmente sfruttabili. Supponiamo che, senza modificare il valore del sistema IT S, facciamo alcune modifiche alla sua architettura che si traduce in una minore perdita attesa EL. Questo significa, ovviamente, che abbiamo migliorato la sicurezza. Tuttavia, questo miglioramento di sicurezza avviene senza modificare il valore del sistema S e senza modificare la malizia attesa E(T m ). Pertanto, la riduzione di EL 4

5 deve essere il risultato del calo del fattore di vulnerabilità di S. Dunque, la sicurezza di un sistema è inversamente proporzionale alla sua vulnerabilità. Questo dà luogo alla seguente definizione (ancora informale): Definizione 1 (informale di metrica di sicurezza): una metrica di sicurezza è una funzione che misura la vulnerabilità di un sistema e la mappa a un numero reale non negativo che è inversamente proporzionale alla vulnerabilità del sistema. Lo scopo di una metrica di sicurezza è quello di aiutare la gestione a prendere decisioni migliori di sicurezza informatica. Per danneggiare il sistema S, una minaccia deve indirizzare una vulnerabilità che può sfruttare con il suo livello di abilità. Lo sfruttamento con successo dà alle minacce certi privilegi sul sistema S, che utilizzano poi per infliggere danni su S. L entità del danno inflitto dipende da quanto la minaccia è maliziosa. Per formalizzare questi concetti, definiamo: Valore del sistema: la variabile value indica il caso peggiore della perdita monetaria che i proprietari del sistema S possono incorrere se S è compromesso. Questo valore di perdita include i costi diretti di riparazione, spese legali, spese di reputazione, e tutti gli altri costi potenziali. Si misura in dollari, euro o qualche altra valuta. Malizia T m [0, 1] di una minaccia T T: alcune minacce sfruttano le vulnerabilità solo per il brivido della vittoria, mentre altre lo fanno al fine di infliggere danni sul sistema di destinazione S. Le minacce pertanto differiscono rispetto alla loro malizia, che si misura su una scala da 0 a 1. L interpretazione è dovuta al fatto che una minaccia di malizia x causerebbe x per cento della perdita massima che può teoricamente infliggere. Livello di abilità T s [0, 1] di una minaccia T T: ogni minaccia T ha un livello di abilità diverso che riflette la sua conoscenza, esperienza, accesso a strumenti di hacking e altri fattori. Per definire il livello di 5

6 abilità di una minaccia, prima notiamo che entrambi gli insiemi V e T sono insiemi finiti perché i sistemi IT hanno un numero finito di stati e actors. Sia s(t ) := {V V : T può sfruttare V all interno dell unità di tempo ξ} / V la frazione delle vulnerabilità in V che T può sfruttare entro l unità di tempo ξ. L intuizione è che più una minaccia T è abile più è grande s(t) e viceversa. Ora definiamo il livello di abilità T s = {t T : s(t) < s(t )} / T. Notiamo che T s mantiene lo stesso ordine di minacce definito da s() ma ha l ulteriore proprietà che 1 T s equivale alla probabilità che una minaccia abbia livello di abilità T s o più. Livello di privilegio V p [0, 1] raggiunto sfruttando la vulnerabilità V V: le vulnerabilità sono differenti per il livello di privilegio che un utente malintenzionato può ottenere dal loro sfruttamento. Ad esempio, alcune vulnerabilità danno privilegi agli attacanti root sul sistema di destinazione, mentre altre permettono all attaccante solo di leggere alcuni dati o rallentare un pò la funzione del sistema. Definiamo il livello di privilegio V p come la frazione del valore del sistema che è esposta quando la vulnerabilità V viene sfruttata con successo. Il livello di privilegio di una vulnerabilità è anche conosciuto come la sua gravità. Difficoltà V d [0, 1] di sfruttare la vulnerabilità V V : le vulnerabilità differiscono anche in quanto sono facili o difficili da sfruttare. Alcune vulnerabilità, ad esempio race conditions, richiedono notevole abilità per essere sfruttate, mentre altre, come ad esempio le password di default, sono molto più facili da sfruttare. Formalmente, definiamo la difficoltà V d di sfruttamento come il livello di abilità della minaccia meno qualificata in grado di sfruttare la vulnerabilità V, cioè V d = min{t s T T e T può sfruttare V all interno dell unità di tempo ξ}. Non tutte le misure di vulnerabilità di un sistema sono metriche di sicurezza. Piuttosto, la teoria della misurazione definisce tre proprietà operative 6

7 che ogni metrica deve soddisfare. Queste proprietà sono: Validità: la validità indica fino a che punto una metrica riflette adeguatamente il significato del concetto che cerca di misurare. In altre parole, le metriche valide sono altamente correlate ai concetti che cercano di misurare. È generalmente difficile definire metriche valide per dei concetti immateriali come sicurezza, affidabilità, o intelligenza perchè i concetti di base sono difficili da afferrare. Accuratezza: le metriche spesso misurano cose che non sono facilmente osservabili. L accuratezza di una metrica è la differenza tra il valore determinato dalla metrica e il vero o reale valore dell oggetto misurato. Gli errori di misurazione sono la principale fonte di imprecisioni. Ad esempio, una metrica che usa uno scanner di vulnerabilità per misurare il numero di vulnerabilità in un sistema IT è accurato se i suoi valori restituiti corrispondono o sono vicini al numero effettivo di vulnerabilità. Precisione: la precisione valuta la riproducibilità delle misurazioni. Più precisamente, essa rappresenta la quantità di variabilità tra misurazioni ripetute dello stesso oggetto in condizioni simili. Ad esempio, il numero di allarmi virus è una metrica imprecisa di sicurezza del sistema perchè le misurazioni consecutive possono variare significativamente a seconda dell ambiente della minaccia. In particolare, quando ci sono più o meno attacchi virus, il numero di allarmi virus sarà più alto o più basso, anche se non è cambiato nulla nel sistema o nella sua sicurezza. Da queste proprietà segue la definizione formale di metrica di sicurezza: Definizione 2 (formale di metrica di sicurezza) Una metrica di sicurezza è una funzione m() dall insieme di tutti i sistemi IT all insieme dei numeri reali non negativi. È inoltre valida, accurata e precisa nel seguente senso: 7

8 Validità: per ogni due sistemi IT S1 e S2, la relazione m(s1) m(s2) vulnerability(s1) vulnerability(s2) è la funzione definita nella (10). In altre parole, la validità richiede che i sistemi più vulnerabili segnino valori più bassi sulle metriche di sicurezza. Accuratezza: Se S (m) è la specifica della metrica di sicurezza m(), allora m() è accurata se la differenza tra i suoi valori di ritorno ed i veri valori secondo S (m) è piccola in media. Le imprecisioni sorgono quando le metriche utilizzano procedure approssimate, sia perchè i valori esatti non possono essere calcolati sia perchè sono troppo costosi da calcolare Precisione: Per ogni sistema IT S, misurazioni ripetute sotto le condizioni e i vincoli previsti dalla metrica m(), restituiscono sempre lo stesso valore m(s). (Una forma più debole di questo requisito è che la varianza di misure ripetute deve essere piccola.) La teoria sviluppata in questo capitolo può essere utilizzata per risolvere i seguenti problemi di gestione: 1. Come ridurre al minimo le perdite relative alla sicurezza; 2. Come dividere il proprio budget per la sicurezza tra più sistemi IT che necessitano di protezione; 3. Quanto spendere per la sicurezza. 8

9 3 Sistemi di Identity and Access Management (IAM) Nel capitolo 2 abbiamo visto la definizione, le proprietà e alcune applicazioni delle metriche di sicurezza. In questo capitolo vediamo un caso specifico di metriche di sicurezza nel controllo degli accessi. In informatica, la gestione delle identità descrive la gestione delle singole identità digitali, la loro autenticazione, autorizzazione e i privilegi all interno o all esterno del sistema e delle imprese. In questo capitolo presentiamo il caso di studio nel settore della gestione delle identità e degli accessi come esempio significativo per illustrare come l approccio basato sulla modellazione e simulazione può essere usato per fornire un idea precisa di come i processi di sicurezza esistenti stanno proteggendo l organizzazione e per rispondere alle domande what-if, come ad esempio esplorare gli effetti di un cambiamento nella politica di sicurezza o un investimento in una nuova tecnologia per la sicurezza. Le soluzioni di Identity and Access Management (IAM) per le imprese hanno impatto su molteplici aspetti del loro stack IT e coinvolgono l autenticazione, la gestione del singolo accesso, l autorizzazione, il controllo, la conformità e la garanzia, il provisioning, la memorizzazione dei dati, etc. Ai fini di questo caso di studio, ci concentreremo su soluzioni di provisioning account utente. Queste soluzioni sono utilizzate dalle imprese per affrontare la gestione del ciclo di vita delle identità degli utenti e degli account sulle risorse protette. Un processo di provisioning errato o non buono potrebbe dare più diritti necessari agli utenti o impedire loro di accedere alle legittime risorse. L approccio basato sulla modellazione è particolarmente adatto per esplorare le implicazioni dell adozione e implementazione di nuove soluzioni e processi (in questo caso il processo di provisioning utente), in quanto permette la sperimentazione di varie ipotesi e parametri. Questo approccio è stato applicato per studiare le implicazioni nel muoversi gradualmente verso 9

10 una maggiore automazione del processo di provisioning account per le molte applicazioni in un organizzazione. Per soddisfare le diverse esigenze degli stakeholder, alcuni ricercatori hanno individuato una serie di metriche che possono essere raccolte durante le simulazioni. I risultati per le metriche selezionate possono quindi essere utilizzati da diversi stakeholder per testare le proprie intuizioni, condividerle con gli altri in modo coerente e costante, e insieme indagare le conseguenze di un particolare investimento o cambiamento politico nel processo di provision account. Le tradizionali metriche di basso livello includono: il numero degli account utente mal configurati e il numero di quelli configurati correttamente; il numero di account sospesi (di persone che hanno lasciato l unità di business o l organizzazione); il tempo (ritardi) complessivo di approvazione per le richieste di provisioning; il tempo (ritardi) di configurazione/distribuzione globale; il numero delle richieste di configurazione/distribuzione e di approvazione perse; il numero di processi di approvazione disabilitati. Queste metriche possono essere monitorate direttamente dai sistemi IAM implementati, ma spesso sono utili solo ad alcuni stakeholder (ad esempio amministratori di sicurezza e esperti del settore). Per far fronte alle esigenze di tutti gli stakeholder coinvolti nella valutazione del nuovo processo di provisioning account, c è bisogno di un insieme di metriche più ampio. Pertanto, effettuando colloqui e convalidandoli con esperti del settore, i ricercatori hanno identificato un insieme più completo di metriche di alto livello elencate di seguito (classificate dagli stakeholder interessati): Stakeholder: responsabile della sicurezza/conformità Accuratezza dell accesso: il numero di account utente configurati correttamente contro il numero totale di account creati, compresi gli account mal configurati e gli account sospesi; 10

11 Accuratezza dell approvazione: il numero di attività di provisioning approvate contro le attività complessive di provisioning, comprese quelle non autorizzate. Stakeholder: proprietario dell applicazione (Business) Costo della produttività : sono i costi, in termini di perdita di produttività per i dipendenti, dovuti ai ritardi durante le fasi di approvazione e di configurazione/distribuzione del processo di provisioning. Stakeholder :Operazioni IT ( IT Budget Holder) Costo di Provisioning IAM: il costo della distribuzione di soluzioni automatizzate di provisioning IAM per un periodo di tempo determinato (costi fissi e variabili); Sforzo di Provisioning: il numero effettivo di operazioni di provisioning effettuate dall organizzazione in un periodo di tempo specifico, che dà un idea dello sforzo e del carico di lavoro coinvolti. L approccio di modellazione si basa su modelli matematici e simulazioni correlate. Nel caso di studio di provisioning IAM, modelliamo espressamente la differenza tra provisioning IAM ad-hoc e centralizzato ed esploriamo l impatto delle scelte sulle politiche esistenti e/o per modellare nuove politiche. Cerchiamo di illustrare questo attraverso l impatto sulle misure e metriche introdotte. Il modello si concentra esplicitamente sulla rappresentazione dei processi di provisioning IAM, considerando i vari passaggi necessari nelle fasi di approvazione e di implementazione/configurazione. Il modello ha catturato stocasticamente vari eventi esterni (ad esempio come un utente aggiunge, lascia o cambia il proprio ruolo). In risposta ad ogni evento, è stato identificato un insieme rilevante di applicazioni (per mezzo di distribuzioni di probabilità) in 11

12 cui gli account utente devono essere provisioned/deprovisioned in base al ruolo e al profilo dell utente. Per ogni applicazione considerata, sia gestita a livello centrale che gestita ad-hoc, i relativi passi di provisioning/de-provisioning IAM sono modellati con varie misure. In particolare ogni tipo di attività di provisioning, che coinvolge un utente e una o più applicazioni/servizi, è esplicitamente modellato come un processo. Eventi esterni, come l arrivo di un nuovo utente, sono modellate stocasticamente, cioè con opportune distribuzioni di probabilità. Intuitivamente, più i processi di provisioning IAM sono centralizzati, automatizzati e gestiti sotto politiche comuni, più i loro comportamenti sono simili, in contrapposizione ai processi ad hoc. Tuttavia, quando viene introdotta una maggiore centralizzazione e automazione, l impatto dei costi IAM (diritti di licenza) e dei guasti è maggiore. Il modello tiene traccia di una serie di misure cumulative tra cui: numero di richieste di approvazione; numero di richieste di approvazione perse; numero di processi di approvazione bypassati; tempi di approvazione; tempi di implementazione; numero di account utenti configurati correttamente; numero di account utente legittimi, negati; numero di account utenti errati (che non dovrebbero esistere - account utente sospesi). Sulla base delle metriche di basso livello, come parte del modello, calcoliamo anche le metriche di alto livello individuate in precedenza. Questo modello può essere eseguito da diversi stakeholder (decisori ed esperti di dominio) per svolgere direttamente esperimenti what-if, agendo su leve disponibili e cambiando i parametri del modello. Gli stakeholder possono concentrarsi su metriche di basso livello o metriche di alto livello, a seconda del livello desiderato di astrazione per cui lavorano, confrontano i risultati attraverso più esperimenti what-if e, se necessario, approfondiscono i dettagli (ad esempio fino al livello delle funzioni di densità di probabilità di misure/metriche di output). In questo modo gli stakeholder, per migliorare la loro comprensione degli aspetti generali coinvolti in uno scenario specifico, 12

13 mappano i risultati previsti alle politiche attuali e le confrontano con le loro intuizioni; ciò gli fornisce ulteriori elementi di prova per sostenere le loro opinioni e posizioni. I decisori operanti nell ambito IAM hanno bisogno di prendere decisioni di investimento IT consapevoli in un mondo complesso, in continuo cambiamento. Vorrebbero avere capacità di supporto alle decisioni per facilitare il loro lavoro. Per riuscire a fornire queste capacità, deve essere capita l economia che è alla base delle decisioni strategiche di investimento IT. Partiamo dal presupposto che ci dovrebbe essere un quadro economico all interno del quale il valore dei diversi esiti di investimento può essere esplorato e discusso. Ciò comporta all identificazione dei principali risultati strategici e di business per fornire e determinare i punti di vista intuitivi dei diversi stakeholder di questi trade-off e delle loro preferenze per i risultati complessivi. All interno di un organizzazione, i vari decisori strategici di solito hanno priorità diverse; è importante identificare le preferenze dell intera organizzazione (o decisori ) per raggiungere questi obiettivi. Idealmente l obiettivo sarebbe quello di incapsulare queste preferenze in una formale funzione di utilità dell azienda e/o dei decisori, in modo che possa essere applicato a ogni risultato un valore comparativo. Nel contesto dell economia IAM, una o più funzioni di utilità possono essere identificate per i decisori strategici coinvolti e/o per l organizzazione. 13

14 4 Mappa tra i principali indici di rischio e i principali indici di performance Nel capitolo precedente abbiamo visto le metriche di rischio usate in un modello per il controllo degli accessi. In questo capitolo vedremo come il rischio si collega con i risultati del business; definiremo dunque gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e vedremo che relazione c è tra i due. In particolare vedremo come lo sviluppo di catene casuali è usato per legare rischio e risultati di business. Il rapporto tra gestione del rischio e performance dovrebbe essere concettualmente e intuitivamente ovvio. Un rischio non gestito correttamente può portare a fallimenti di imprese e a una scarsa performance aziendale. I benefici di numerose attività di gestione del rischio non sono chiare agli imprenditori che sono più a rischio e spesso non riescono a trarre vantaggio dalle informazioni disponibili dal rischio quando si prendono decisioni critiche di business. Ciò che serve è una più comune e profonda comprensione di come gli eventi del rischio influenzano le prestazioni del business. I manager aziendali non capiscono o non apprezzano il valore dell informazione del rischio o la loro relazione con il rischio; non capiscono che possiedono i rischi e credono che i rischi siano affrontati esternamente da un insieme di entità organizzative separate, chiamato risk management, che si occupa per loro di questioni relative al rischio. Mappare i pricipali indicatori di rischio (KRIs, key risk indicators) con i principali indicatori di performance (KPIs, key performance indicators) può fornire ai manager aziendali le informazioni di rischio di cui hanno bisogno per prendere decisioni migliori. Collegando le attività di gestione del rischio alle prestazioni di business, le aziende possono supportare meglio le decisioni, basate sul rischio, prese dai dirigenti aziendali. Anche se le metriche di performance finanziarie rimangono una misura 14

15 fondamentale del valore, esse rappresentano solo i risultati delle attività di business. Pertanto, esse sono indicatori di ritardo di performance, che significa che dicono solo quanto bene hai fatto, non quanto bene potrai fare in futuro. Le metriche non finanziarie sono i principali indicatori dei risultati finanziari. Vediamo in dettaglio cosa sono i KRI e i KPI e come si possono collegare. I KPI sono indicatori chiave di prestazioni - una misurazione di un attività di business desiderata o un evento che precede un risultato aziendale; qualcosa da gestire in favore. I KRI sono indicatori chiave di rischio - una misurazione di un attività di business o un evento che ha preceduto e influenzato negativamente il risultato desiderato; qualcosa da gestire contro. I KRI sono buoni se sono semplici e misurabili e questi indicatori hanno un impatto diretto su più KPI. La linea tra rischio IT e rischio di business sta scomparendo. La gestione del rischio operativo gioca sempre più un ruolo centrale nel processo decisionale aziendale. Una buona gestione del rischio informa meglio il processo decisionale aziendale e mappare i KRI nei KPI è un buon modo per relazionare la gestione del rischio con la performance aziendale. Mappare i KPI con i KRI serve per capire che relazioni ci sono tra questi indicatori e registrare quei rapporti in modo che possano essere utilizzati nella segnalazione e modellazione del rischio. La mappatura dovrebbe riflettere esplicitamente l impatto del KRI su un KPI. Lo sviluppo di catene causali semplici e complesse aiuterà a collegare meglio un organizzazione di IT o di gestione del rischio con i responsabili delle decisioni aziendali. Questa relazione misurabile tra gestione del rischio e performance aziendale è sfuggita alla maggior parte delle organizzazioni. Come risultato, i vantaggi di molte attività operative di gestione del rischio non sono chiare per gli imprenditori. Inoltre, spesso non riescono a sfruttare l informazione 15

16 del rischio che è disponibile quando si prendono decisioni di business critiche. Per affrontare questi problemi, le imprese dovrebbero sviluppare indicatori di prestazioni chiave (KPI) credibili e discreti, e gli sforzi di gestione del rischio dovrebbero produrre indicatori di rischio (KRI) credibili e discreti che impattino direttamente tali indicatori KPI. È necessaria una comprensione più profonda e comune di come eventi di rischio influenzano le prestazioni di business. I KRI, come abbiamo già detto, sono indicatori anticipatori che le prestazioni di business sono a rischio. Una catena causale (casual chain) documenta la confluenza di attività ed eventi che producono un risultato di business. Una catena casuale è una sequenza di eventi che portano ad un effetto finale dove ogni anello della catena determina il successore. Prima queste attività e eventi si verificano nella catena, più sono principali a indicare i risultati di business. Le organizzazioni possono agire su questi indicatori principali per gestire l impatto sui risultati successivi. Queste catene causali possono essere usate per spiegare l influenza degli eventi e delle attività precedenti sui risultati successivi in modo che i dirigenti possano prendere migliori decisioni di business. Per aiutare a ottenere una comprensione di come usare le catene causali per identificare i KRI, dobbiamo fare una distinzione tra catene semplici e quelle complesse: Una catena semplice è un unico insieme lineare di attività ed eventi che hanno una relazione causale con i risultati del business desiderati. Catene semplici sono usate come punto di partenza per la definizione di relazioni causali. Esse sono prototipi utilizzati per scopi didattici e non sono destinate a spiegare completamente le relazioni causali. Le catene complesse sono una combinazione di catene causali che documentano la comprensione della gestione dei rapporti causali che producono risultati di business. Uno scarso patching è uno dei vari indicatori anticipatori di potenziali errori di applicazione e di inattività. Una misura di errori di applicazione è 16

17 un indicatore anticipatore della performance dei processi di business, come ad esempio quelle effettuate in una catena di fornitura. Una misura di problemi relativi alla catena di fornitura è un indicatore anticipatore di impatti negativi sui risultati di business desiderati, come la redditività. Questo semplice esempio riguarda qualcosa di molto tecnico e spesso sottovalutato dai dirigenti aziendali (patching) per la redditività. Alcuni imprenditori avranno familiarità con i diagrammi fishbone di Ishikawa. Questi diagrammi, noti anche come diagrammi causa-effetto, sono utilizzati in programmi di miglioramento della qualità per identificare i fattori che influenzano negativamente la qualità e i risultati desiderati. I fattori sono raggruppati per categoria lungo una spina che rappresenta un risultato desiderato. Frecce più piccole collegano effetti alle cause principali, che forniscono visibilità e comprensione sui potenziali problemi precedenti. Questo stesso concetto può essere utilizzato per collegare gli indicatori che portano a risultati di business desiderati. Nel loro insieme, la spina, i rami e le frecce formano catene che documentano l esplicita comprensione di un organizzazione dei rapporti di causa ed effetto che si traducono in risultati di business. Ogni impresa ha una lista di risultati desiderati misurabili. Nel settore privato, questi risultati misurabili si trovano nei bilanci che includono tali risultati come ricavo e utile netto. Nel settore pubblico, i risultati dello stato finale desiderato si trovano nel mandato della missione o nella legislazione/normativa che ha creato l agenzia o il dipartimento. I KPI sono sviluppati da questi risultati attesi misurabili, individuando le attività (processi) e gli eventi che precedono i risultati. Gli indicatori anticipatori o prospettici sono i KPI più efficaci perchè si può intervenire prima che si verifichino i risultati desiderati. Esistono opportunità per i CIO e i professionisti della gestione del rischio di agire come facilitatori nello sviluppo di KPI, KRI e catene causali per contribuire a migliorare il processo decisionale. Per le imprese che generano indicatori prospettici sono a disposizione vantaggi finanziari significativi. 17

18 I KRI complementano i KPI, fornendo una prospettiva che è necessaria per comprendere le relazioni causali da cui possono essere identificati i principali indicatori. La prospettiva fornita dai KRI accelera il processo di identificazione dei KPI accettabili controbilanciando gli obiettivi ambiziosi che guidano l identificazione dei KPI con la conoscenza degli eventi indesiderati e incontrollabili che impediscono il raggiungimento di questi obiettivi. I KRI non misurano gli eventi indesiderati e incontrollabili, come la probabilità di un terremoto. Piuttosto, i KRI misurano le attività (o processi) eseguite dall impresa per attenuare la perdita di un evento indesiderabile e incontrollabile, come procedure di recupero di emergenze. L identificazione di eventi indesiderabili e incontrollabili offre una prospettiva più robusta ed equilibrata sulle relazioni causali. Questa prospettiva equilibrata velocizza l approvazione dei KPI e completa la comprensione della gestione degli indicatori prospettici che portano a risultati di business desiderati. La maturità del programma di gestione del rischio IT di un impresa è un indicatore chiave dell efficacia e dell efficienza della sua posizione di rischio complessivo. Migliorare la maturità della gestione del rischio è fondamentale per migliorare l allineamento costo-efficacia e business delle attività di rischio dell impresa; ma questi miglioramenti richiedono azioni diverse a seconda del livello di maturità attuale del programma di gestione del rischio. In mancanza di una comprensione realistica e azionabile dello stato attuale del proprio programma di gestione del rischio IT, l impresa non è in grado di identificare i rischi di business critici ai suoi processi e operazioni, identificare e colmare le lacune nei suoi controlli del rischio, migliorare la maturità del programma e giustificare i costi non trascurabili di gestione del rischio IT. La gestione delle identità e dei diritti degli utenti è diventata sempre più complessa considerando che i sistemi, le applicazioni e i programmi di accesso endpoint si moltiplicano e le imprese consentono ai dipendenti, fornitori, partner, fornitori e clienti un maggiore accesso ai propri sistemi e dati. Allo 18

19 stesso tempo, le imprese devono affrontare una crescente pressione a garantire che gestiscano le identità degli utenti e l accesso in conformità alla nuova legislazione e normativa - e siano in grado di dimostrare che lo stanno facendo. Molte grandi imprese hanno cercato di ridurre questa complessità e di affrontare le questioni di conformità attraverso una varietà di progetti di tecnologia. Questi progetti sono spesso sconnessi e mal allineati, e l impresa si trova alle prese con un altro strato di complessità senza realizzare alcun valore di business chiaro. 19

20 5 Conclusioni L Identity Analytics è una tematica di ricerca non ancora ampiamente esplorata, aperta all innovazione e ai contributi. Abbiamo visto che l opportunità di ricerca principale consiste nel concentrarsi sulla prospettiva dei decisori (piuttosto che sul solito punto di vista IT), fornendo strumenti di supporto alle decisioni e soluzioni che consentano loro di esplorare e prevedere l impatto e le conseguenze delle loro decisioni, tenendo conto di tutti gli aspetti sui fattori che sono rilevanti per loro, come costi, rischi per la sicurezza e perdite finanziarie. Ci siamo occupati di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori della sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e che spiegano ai dirigenti delle imprese le motivazioni per investire in una soluzione di accesso o identità consigliata. Per mostrare ciò, abbiamo cominciato definendo il concetto di metrica di sicurezza, abbiamo visto le sue proprietà e alcune applicazioni; in seguito abbiamo studiato un caso specifico di metriche di sicurezza nel controllo degli accessi; in particolare abbiamo analizzato le metriche usate in un modello di provisioning utente del sistema di Identity and Access Management (IAM); infine abbiamo mostrato come una buona gestione del rischio informa meglio il processo decisionale aziendale; per dimostrare ciò abbiamo definito gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e abbiamo mostrato come collegare i due indici. Tutto ciò suggerisce che l Identity Analytics é un settore promettente che porterà le attuali tendenze aziendali nel settore strategico/esecutivo decisionale da un approccio guidato dalla conformità ad un approccio guidato dal rischio. 20

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

I Modelli della Ricerca Operativa

I Modelli della Ricerca Operativa Capitolo 1 I Modelli della Ricerca Operativa 1.1 L approccio modellistico Il termine modello è di solito usato per indicare una costruzione artificiale realizzata per evidenziare proprietà specifiche di

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Metodi e Modelli per le Decisioni

Metodi e Modelli per le Decisioni Metodi e Modelli per le Decisioni Corso di Laurea in Informatica e Corso di Laurea in Matematica Roberto Cordone DI - Università degli Studi di Milano Lezioni: Giovedì 13.30-15.30 Venerdì 15.30-17.30 Ricevimento:

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

GESTIONE DI PROGETTO E ORGANIZZAZIONE DI IMPRESA

GESTIONE DI PROGETTO E ORGANIZZAZIONE DI IMPRESA GESTIONE DI PROGETTO E ORGANIZZAZIONE DI IMPRESA Il project management nella scuola superiore di Antonio e Martina Dell Anna 2 PARTE I PROCESSI AZIENDALI E PROGETTI UDA 3 I PRINCIPI DEL PROJECT MANAGEMENT

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

Il problema della proliferazione delle identità ANALISI. 8 Maggio 2011

Il problema della proliferazione delle identità ANALISI. 8 Maggio 2011 ANALISI 8 Maggio 2011 ACCESS CERTIFICATION UN APPROCCIO COMPLEMENTARE ALL IDENTITY & ACCESS MANAGEMENT Ing. Corrado Pomodoro, Information Risk Management, Senior Manager HSPI L informatizzazione dei processi

Dettagli

APPLICAZIONI LINE OF BUSINESS

APPLICAZIONI LINE OF BUSINESS APPLICAZIONI LINE OF BUSINESS MICROSOFT ENTERPRISE CLUB Disponibile anche sul sito: www.microsoft.com/italy/eclub/ Le soluzioni Microsoft per il Business Performance Management APPLICAZIONI LINE OF BUSINESS

Dettagli

Best practice per la riduzione quantificata dei costi dei sistemi desktop aziendali

Best practice per la riduzione quantificata dei costi dei sistemi desktop aziendali WINDOWS VISTA MICROSOFT ENTERPRISE CLUB Disponibile anche sul sito: www.microsoft.com/italy/eclub/ Best practice per la riduzione quantificata dei costi dei sistemi desktop aziendali I costi di deployment

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business 2 La guida CRM per eliminare le incertezze: prendete il controllo del vostro business (2 - migliorate la vostra credibilità: i 5 passi per dimostrare l efficacia del Marketing) Pagina 1 di 9 SOMMARIO PREMESSA...

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

IAM 2.0: le nuove Sfide per un SI. Marco Molinaro Manager

IAM 2.0: le nuove Sfide per un SI. Marco Molinaro Manager IAM 2.0: le nuove Sfide per un SI Marco Molinaro Manager Agenda Regole di implementazione Sfide attuali e future IAM 2.0 e Identity 2.0 Q&A 2 Cosa fare: Scrivere Applicazioni Modulari Cosa fare e cosa

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 8

Corso di Amministrazione di Sistema Parte I ITIL 8 Corso di Amministrazione di Sistema Parte I ITIL 8 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA);

Documentare, negoziare e concordare gli obiettivi di qualità e le responsabilità del Cliente e dei Fornitori nei Service Level Agreements (SLA); L economia della conoscenza presuppone che l informazione venga considerata come la risorsa strategica più importante che ogni organizzazione si trova a dover gestire. La chiave per la raccolta, l analisi,

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7

Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7 WHITE PAPER SULLE BEST PRACTICE Analisi strutturata della soluzione per BMC Remedy IT Service Management v 7 Per un utilizzo ottimale delle best practice, BMC propone un approccio pratico all analisi della

Dettagli

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto SERVIZI E SUPPORTO PROCESSI E INIZIATIVE SISTEMI DI SVILUPPO PRODOTTO PRODOTTI SOFTWARE SOLUZIONI VERTICALI Realizzazione di maggiore valore con le soluzioni di gestione del ciclo di vita del prodotto

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

Best practice per il miglioramento di Salute, Sicurezza e Ambiente, dell'affidabilità e della qualità

Best practice per il miglioramento di Salute, Sicurezza e Ambiente, dell'affidabilità e della qualità Best practice per il miglioramento di Salute, Sicurezza e Ambiente, dell'affidabilità e della qualità Integrazione dei processi relativi a salute, sicurezza, ambiente nella gestione del lavoro e degli

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

NEXTVALUE 2014. Presentazione

NEXTVALUE 2014. Presentazione NEXTVALUE 2014 Presentazione NEXTVALUE 2014 CALENDARIO ATTIVITA E-commerce in Italia. Aziende e Operatori a confronto. End-user Computing in Italia. What s next. Information Security Management in Italia.

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 6

Corso di Amministrazione di Sistema Parte I ITIL 6 Corso di Amministrazione di Sistema Parte I ITIL 6 Francesco Clabot 1 Responsabile erogazione servizi tecnici francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone Balesatra risk management Definizione joint commission: insieme di attività cliniche e organizzative volte a identificare, valutare, e ridurre il rischio di danno ai pz, staff e visitatori e sull intera

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Active Value Pricing. Costruire un ponte tra due visioni della performance d impresa.

Active Value Pricing. Costruire un ponte tra due visioni della performance d impresa. Active Value Pricing Costruire un ponte tra due visioni della performance d impresa. Il Pricing: la principale leva di miglioramento della redditività Lo scenario economico in cui le imprese operano è

Dettagli

I SISTEMI DI PERFORMANCE MANAGEMENT

I SISTEMI DI PERFORMANCE MANAGEMENT http://www.sinedi.com ARTICOLO 8 GENNAIO 2007 I SISTEMI DI PERFORMANCE MANAGEMENT In uno scenario caratterizzato da una crescente competitività internazionale si avverte sempre di più la necessità di una

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

Misurare il successo Guida alla valutazione dei service desk per le medie imprese:

Misurare il successo Guida alla valutazione dei service desk per le medie imprese: WHITE PAPER SULLE BEST PRACTICE Misurare il successo Guida alla valutazione dei service desk per le medie imprese: Come scegliere la soluzione ottimale per il service desk e migliorare il ROI Sommario

Dettagli

TECNOLOGIA. limitazioni economiche Limitazioni strumentali Limitazioni conoscitive Limitazioni dimensionali Limitazioni temporali Limitazioni etiche

TECNOLOGIA. limitazioni economiche Limitazioni strumentali Limitazioni conoscitive Limitazioni dimensionali Limitazioni temporali Limitazioni etiche TECNOLOGIA Lo studio e l esercizio della tecnologia favoriscono e stimolano la generale attitudine umana a porre e a trattare problemi, facendo dialogare e collaborare abilità di tipo cognitivo, operativo,

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

Cosa è e come si usa la Organization Intelligence. Fulvio De Caprio Area Manager Nord Ovest, it Consult

Cosa è e come si usa la Organization Intelligence. Fulvio De Caprio Area Manager Nord Ovest, it Consult Cosa è e come si usa la Organization Intelligence Fulvio De Caprio Area Manager Nord Ovest, it Consult Overload Informativo Siamo costretti a navigare in un mare di informazioni nel quale è facile «perdere

Dettagli

Operations Management GIA-L03

Operations Management GIA-L03 UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione Aziendale prof. Paolo Aymon Operations Management Operations Management UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti?

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? SOLUTION BRIEF Soluzioni Project & Portfolio Management per l'innovazione dei prodotti siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? you can Le soluzioni Project & Portfolio

Dettagli

SAP Assure SAP Integrity Assure Tool

SAP Assure SAP Integrity Assure Tool Enterprise Fraud Application Risk Management Solution SAP Assure SAP Integrity Assure Tool Agenda Introduzione a SAP Assure Tool Suite Focus su Assure Integrity Presentazione di un caso pratico 1 I prodotti

Dettagli

KNOWLEDGE MANAGEMENT. Knowledge Management. Knowledge: : cos è. Dispense del corso di Gestione della Conoscenza d Impresa

KNOWLEDGE MANAGEMENT. Knowledge Management. Knowledge: : cos è. Dispense del corso di Gestione della Conoscenza d Impresa KNOWLEDGE MANAGEMENT Pasquale Lops Giovanni Semeraro Dispense del corso di Gestione della Conoscenza d Impresa 1/23 Knowledge Management La complessità crescente della società, l esubero di informazioni

Dettagli

IDENTITY & ACCESS GOVERNANCE

IDENTITY & ACCESS GOVERNANCE IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

Performance management assesment per PMI

Performance management assesment per PMI PMI assesment Performance management assesment per PMI Il performance management assesment è un processo di valutazione della gestione aziendale integrato, che coniuga una analisi della strategia e della

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

B usiness I ntelligence: L a scintilla che accende. un investimento che si fa apprezzare giorno dopo giorno. la conoscenza.

B usiness I ntelligence: L a scintilla che accende. un investimento che si fa apprezzare giorno dopo giorno. la conoscenza. B usiness I ntelligence: un investimento che si fa apprezzare giorno dopo giorno.... abbiamo constatato ad esempio come le aziende che hanno investito significativamente in BI (Business Intelligence) abbiano

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Agenda Il gruppo di lavoro Il metodo

Dettagli

FOCUS SUI CITTADINI: UNA PARTECIPAZIONE AMPIA PER POLITICHE E SERVIZI MIGLIORI. Abstract

FOCUS SUI CITTADINI: UNA PARTECIPAZIONE AMPIA PER POLITICHE E SERVIZI MIGLIORI. Abstract www.qualitapa.gov.it FOCUS SUI CITTADINI: UNA PARTECIPAZIONE AMPIA PER POLITICHE E SERVIZI MIGLIORI Abstract L importanza di un processo di policy making trasparente e inclusivo è largamente condivisa

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

Questionario Modello di Maturità di Project Management (V.1.5.0)

Questionario Modello di Maturità di Project Management (V.1.5.0) Questionario Modello di Maturità di Project Management (V.1.5.0) E necessario rispondere a tutte le domande riportate di seguito, selezionando la risposta ritenuta migliore o quella che meglio descrive

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO Report globale e suggerimenti Gennaio 2013 Autore: Filigree Consulting Promosso da: SMART Technologies Executive

Dettagli

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack SERENA TEAMTRACK Serena TeamTrack è un sistema per la gestione dei processi e dei problemi basato sul Web, sicuro e altamente

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

IL CONTROLLO DI GESTIONE CORSO AVANZATO. A cura di dottor Alessandro Tullio

IL CONTROLLO DI GESTIONE CORSO AVANZATO. A cura di dottor Alessandro Tullio IL CONTROLLO DI GESTIONE CORSO AVANZATO A cura di dottor Alessandro Tullio Studio di Consulenza dottor Alessandro Tullio Docente: dottor Alessandro Tullio Corso Canalgrande 90 41100 Modena Tel. 059.4279344

Dettagli

Piccola dimensione Limitata formalizzazione Stili personali e culturali poco favorevoli alla formalizzazione

Piccola dimensione Limitata formalizzazione Stili personali e culturali poco favorevoli alla formalizzazione BUDGET Parole chiave Il processo di programmazione e controllo di gestione come strumento di governo delle organizzazioni Il processo di programmazione e controllo di gestione rappresenta quel processo

Dettagli

di Sara Baroni Produzione e logistica >> Sistemi di management

di Sara Baroni Produzione e logistica >> Sistemi di management MISURE DI COMMESSA E MISURE DI SISTEMA COSTRUIRE UN PONTE TRA IL SINGOLO PROGETTO E GLI OBIETTIVI AZIENDALI di Sara Baroni Produzione e logistica >> Sistemi di management IL RUOLO DEL SISTEMA DI MISURA

Dettagli

Caratteristiche del prodotto

Caratteristiche del prodotto Caratteristiche del prodotto Assima Change Management Suite Assima Change Management Suite (ACMS) è la soluzione per guidare l adozione di nuovi processi e sistemi all interno delle aziende. ACMS presenta

Dettagli

PROGRAMMAZIONE DISCIPLINARE

PROGRAMMAZIONE DISCIPLINARE DOCENTI DI INFORMATICA E LABORATORIO PROGRAMMAZIONE DISCIPLINARE CLASSI 1 e E 2 e ITC IPC OBIETTIVI GENERALI DEL PROCESSO FORMATIVO: Potenziare la capacità d ascolto Sviluppare le capacità comunicative

Dettagli

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

UML e (R)UP (an overview)

UML e (R)UP (an overview) Lo sviluppo di sistemi OO UML e (R)UP (an overview) http://www.rational.com http://www.omg.org 1 Riassumento UML E un insieme di notazioni diagrammatiche che, utilizzate congiuntamente, consentono di descrivere/modellare

Dettagli

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali Università degli Studi di Milano Polo di Crema Corso di laurea in Scienze Matematiche, Fisiche e Naturali INFORMATICA Corso di Ingegneria del Software progetto IL SISTEMA CALENDAR Presentato al dott. Paolo

Dettagli

Introduzione. Capitolo 1

Introduzione. Capitolo 1 Capitolo 1 Introduzione Che cos è un azienda lean? Sono molte, al giorno d oggi, le imprese che stanno trasformandosi in azienda lean, convertendo i loro sistemi di produzione di massa ormai obsoleti in

Dettagli

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende MICROSOFT BUSINESS DESKTOP MICROSOFT ENTERPRISE CLUB Disponibile anche sul sito: www.microsoft.com/italy/eclub/ L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore

Dettagli

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali Cos è un progetto? Un iniziativa temporanea intrapresa per creare un prodotto o un servizio univoco (PMI - Project Management

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

ICT Governance: l anello debole della catena fra Business & IT. Franco Mastrorilli Quint Wellington Redwood Italia

ICT Governance: l anello debole della catena fra Business & IT. Franco Mastrorilli Quint Wellington Redwood Italia ICT Governance: l anello debole della catena fra Business & IT Franco Mastrorilli Redwood Italia Agenda Corporate Governance ICT Governance BPM e ITSM Perché l anello debole Le competenze Qual è la principale

Dettagli

Semplificare la gestione delle password per il service desk IT SOLUTION WHITE PAPER

Semplificare la gestione delle password per il service desk IT SOLUTION WHITE PAPER Semplificare la gestione delle password per il service desk IT SOLUTION WHITE PAPER Sommario Introduzione...1 L importanza dell automazione...2 Il ruolo della gestione delle password nelle aziende moderne...3

Dettagli

Modelli matematici avanzati per l azienda a.a. 2010-2011

Modelli matematici avanzati per l azienda a.a. 2010-2011 Modelli matematici avanzati per l azienda a.a. 2010-2011 Docente: Pasquale L. De Angelis deangelis@uniparthenope.it tel. 081 5474557 http://www.economia.uniparthenope.it/siti_docenti P.L.DeAngelis Modelli

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli