Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)"

Transcript

1 Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

2 Indice Il Processo di Security Governance l analisi e gestione del rischio La normativa ISO e l Information Security Management System (ISMS)

3 La ISO e l Information Security Management System (ISMS)

4 Generalità sulla sicurezza - La sicurezza ideale Il sistema ideale di protezione dell informazione è costituito da un insieme di misure di sicurezza che contrastano in modo completo ogni minaccia all informazione impedendo qualunque compromissione di Riservatezza Integrità Disponibilità

5 Generalità sulla sicurezza - Attributi Riservatezza esprime la garanzia che una determinata Informazione sia resa disponibile solamente ai processi che la devono elaborare e all'utilizzatore che ne ha bisogno e ne è pertanto autorizzato all'uso Integrità esprime la garanzia che ogni Informazione sia realmente quella originariamente immessa nel Sistema Informativo, ovvero successivamente legittimamente modificata Disponibilità esprime la garanzia di reperibilità delle Informazioni in funzione delle esigenze di continuità dei processi aziendali ed al fine del rispetto delle norme (di legge e non) che ne impongono la conservazione storica

6 Generalità sulla sicurezza Quali informazioni devono essere protette Devono essere protette tutte le informazioni sensibili, critiche o aventi valore per l organizzazione in qualsiasi forma si trovino: su carta in formato elettronico (su sistemi locali, mobili, CD/DVD, nastri etc.) trasmessa via posta o per via elettronica (anche fax) immagazzinata su nastri e video trasmessa a voce

7 Generalità sulla sicurezza - La sicurezza in pratica Non è possibile adottare misure di sicurezza che garantiscano il 100% di protezione rispetto a tutte le minacce Limitazioni tecnologiche Costo delle protezioni necessarie sproporzionato rispetto ai vantaggi Obbligo del rispetto di legge e regolamenti

8 Generalità sulla sicurezza - Obiettivi Per raggiungere gli obiettivi di business avere le informazioni giuste al momento giusto può fare la differenza tra profitto e perdite. La gestione della sicurezza delle informazioni aiuta a controllare e proteggere le informazioni di un organizzazione da modifiche volontarie o involontarie dei dati o da accessi non autorizzati. Un SGSI serve a: (Sistema di Gestione per la Sicurezza delle Informazioni) assicurare la continuità del business e dei servizi minimizzare i danni derivanti da eventuali incidenti massimizzare: il rendimento del capitale investito le opportunità di miglioramento

9 Il processo di governo della sicurezza - elementi Processi/Attività Attori Corpus documentale Tecnologie/Infrastrutture

10 Il processo di governo della sicurezza Processi/Attività Analisi del rischio Definizione delle linee guida Definizione standard e procedure Realizzazione infrastrutture di sicurezza Realizzazione Piano di sicurezza Realizzazione Misure di protezione Gestione Controllo

11 Il processo di governo della sicurezza Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Referente infrastrutture Referente applicativo della sicurezza Amministratore della sicurezza del sistema Auditor Proprietario del dato Utente finale

12 Il processo di governo della sicurezza Processi/Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Proprietario del dato Utente finale Referente applicativo della sicurezza Referente di infrastruttura Amministratore della sicurezza Auditor Analisi del rischio Guida Esegue Esegue Supporta Supporta Supporta Definizione delle linee guida Approva Esegue Coordina Supporta Esegue Definizione standard e procedure Approva Esegue Supporta Controlla Realizzazione infrastrutture di sicurezza Coordina Esegue Controlla Realizzazione Piano di sicurezza Supporta Guida Esegue Esegue Controlla Realizzazione misure di protezione Supporta Esegue Esegue Controlla Gestione Guida Esegue Esegue Controlla

13 Il Processo di Security Governance l analisi e gestione del rischio

14 Modello del processo di analisi e gestione del rischio 1. Pianificazione e perimetrazione d intervento 2. Rilevazione dello scenario Analisi dello scenario Definizione del modello del Perimetro d Intervento Classificazione delle informazioni 3. Analisi del rischio Individuazione delle Minacce/Vulnerabilità Indicazione del Livello di Esposizione Calcolo del rischio intrinseco 4. Gestione del rischio Definizione delle misure presenti e della loro graduazione Produzione del Profilo di Protezione Ottimale Calcolo del Rischio Residuo Pianificazione degli interventi 5. Mantenimento ciclico

15 Ruoli e responsabilità - Attività/Attori Security Manager Analisti di sicurezza Proprietario dei dati Ref. Infrstruttura Ref. Applicativo FASE 1 PIANIFICAZIONE E PERIMETRAZIONE DELL INTERVENTO Esegue Supporta FASE 2 - RILEVAMENTO DELLO SCENARIO Analisi dello scenario Coord. Esegue Supporta Supporta Supporta Definizione modello del Perimetro d Intervento Coord. Esegue Riceve input Classificazione delle informazioni Coord. Supporta Esegue Supporta Supporta FASE 3 - ANALISI DEL RISCHIO Individuazione delle Minacce/Attacchi per i Sistemi/Componenti Coord. Esegue Supporta Supporta Propone Indicazione del Livello di Esposizione alle Minacce/Attacchi Coord. Esegue Supporta Supporta Supporta Calcolo del Rischio Intrinseco Esegue Supporta Automatizza FASE 4 GESTIONE DEL RISCHIO Definizione delle misure e della loro graduazione Esegue Supporta Supporta Supporta Propone Produzione del Profilo di Protezione Ottimale Esegue Supporta Automatizza Rilevamento contromisure presenti Coord. Esegue Supporta Supporta Riceve input Calcolo Rischio Residuo Esegue Supporta Automatizza Pianificazione delle contromisure Esegue Supporta Supporta Supporta Supporta FASE 5 - MANTENIMENTO CICLICO DEL SISTEMA DI PROTEZIONE Supporta Contributo applicativo RA

16 Pianificazione e perimetrazione (1/3) L attività di pianificazione costituisce la fase iniziale della progettazione del Sistema di Protezione e segue tutto l iter progettuale. Individuazione del Gruppo di Lavoro (GdL) Individuazione di proprietari dei dati e personale tecnico addetto Definizione tempistica delle attività

17 Pianificazione e perimetrazione (2/3) Di solito non è conveniente estendere l analisi all intera organizzazione. Risulta conveniente dividere l analisi per Perimetri d Intervento Il Perimetro d Intervento è costituito dall insieme delle informazioni da proteggere e delle risorse, logiche e fisiche, che cooperano al loro trattamento

18 Pianificazione e perimetrazione (3/3) Esempi di perimetro di intervento: un processo aziendale un centro di elaborazione dati una specifica applicazione (gestione retribuzioni, ) una specifica infrastruttura (LAN, intranet aziendale, un edificio, il sistema organizzativo/procedurale)

19 Analisi e Gestione del Rischio Identificazione dei beni Classificazione delle informazioni Valutazione Identificazione Rilevazione Valutazione delle delle dei controlli del rischio minacce vulnerabilità presenti o pianificati Beni Minacce Vulnerabilità Controlli Rischio

20 Identificazione dei beni (1/2) L identificazione dei beni viene effettuata attraverso Analisi dello Scenario Redazione dell Inventario dei Beni

21 Identificazione dei beni (2/2) Analisi dello scenario: Acquisizione delle informazioni tramite consultazione della documentazione disponibile ed interviste con personale esperto Le informazioni riguardano processi supportati applicazioni informazioni gestite utenti delle applicazioni architetture e infrastrutture utilizzate vincoli organizzativi e normativi Redazione dell Inventario dei Beni. Esso riporta: la lista dei beni informativi i proprietari dei beni informativi la lista dei beni infrastrutturali i gestori dei beni infrastrutturali

22 Classificazione delle informazioni (1/2) Le informazioni sono classificate in base all entità del danno che si verifica per l organizzazione nel caso perdano: RISERVATEZZA INTEGRITA DISPONIBILITA L entità del danno viene rilevata attraverso un questionario. La classe di criticità dell informazione viene calcolata in base ad un appropriato algoritmo.

23 Classificazione delle informazioni (2/2) L algoritmo richiede che venga effettuato quanto segue: Attribuzione di un peso a ciascuna risposta; Calcolo della somma dei pesi attribuiti a ciascuna risposta per il singolo attributo RID (Riservatezza, Integrità, Disponibilità); Attribuzione della classe di criticità a ciascun macrodato attraverso il confronto tra il valore ottenuto dalla somma dei pesi ed i valori scelti per definire l ampiezza di ciascuna classe (valori di soglia).

24 Valutazione delle minacce (1/2) Minaccia Un azione o un evento che potrebbe avere conseguenze dannose in termini di compromissione dell informazione (perdita di riservatezza, integrità, disponibilità dell informazione) Errori umani Furti e sabotaggi Minaccia Eventi accidentali dannosi Guasti e malfunzionamenti di apparecchiature ICT Immissione di codice malevolo Accesso non autorizzato ad informazioni o servizi Descrizione Amministratori, utenti, etc. potrebbero commettere errori con conseguente compromissione di informazioni Entità avverse potrebbero sottrarre informazioni e apparecchiature ICT, provocare guasti o malfunzionamenti o compiere atti di sabotaggio ad impianti o sistemi Eventi accidentali (incendi, black out, allagamenti) potrebbero danneggiare involontariamente dispositivi ICT con conseguente compromissione di dati Guasti potrebbero interessare apparecchiature, supporti di memorizzazione, impianti, con conseguente compromissione dell informazione Entità avverse potrebbero introdurre codice malevolo (virus, troyan horses, etc.) all interno dei sistemi aziendali Entità avverse (interne o esterne all azienda) potrebbero accedere senza autorizzazione ad informazioni o servizi compromettendone la sicurezza

25 Valutazione delle minacce (2/2) La valutazione delle minacce avviene attraverso le seguenti fasi: individuazione delle minacce pertinenti per ciascun bene infrastrutturale stima della frequenza della minaccia rilevazione della frequenza storica (se disponibile) stima dell impatto

26 Identificazione delle vulnerabilità Le vulnerabilità, debolezze intrinseche dei sistemi, vengono identificate partendo dalle informazioni acquisite attraverso le interviste con i Gestori dei Beni, considerando: il livello di esposizione alle minacce che possono sfruttare la vulnerabilità; le contromisure utilizzate che riducono la vulnerabilità.

27 Rilevazione dei controlli presenti o pianificati (1/3) I controlli sono rilevati in base allo standard ISO27001 Esempio Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture

28 Rilevazione dei controlli presenti o pianificati (2/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

29 Rilevazione dei controlli presenti o pianificati (3/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

30 Valutazione del rischio residuo Il livello di rischio residuo è calcolato in base al rischio intrinseco ed ai controlli applicati Livello del Rischio Residuo Livello Rischio Intrinseco Misure di Protezione Attuate

31 La riduzione del rischio Evitare il rischio (rinunciando a trattare l informazione) Trasferire il rischio (attraverso un assicurazione) Ridurre le vulnerabilità (adottando contromisure) Ridurre il valore del bene esposto alle minacce

32 Pianificazione degli interventi A ciascuna contromisura risultante viene assegnata una priorità Il Piano degli Interventi elenca e documenta le attività necessarie per abbattere il Livello di Rischio Residuo riportando: riferimenti delle misure di protezione che l intervento realizza la priorità la descrizione delle modalità con cui si intende condurre l intervento e del risultato atteso l impegno previsto in termini di persone, costi e tempi

33 Mantenimento ciclico del Sistema di Protezione (1/2) Le attività di governo della sicurezza devono essere strutturate per fornire continui ritorni e stimoli al mantenimento dell adeguatezza del Sistema di Protezione. La gestione della sicurezza ed il controllo e audit forniscono elementi importanti per il mantenimento del Sistema di Protezione.

34 Mantenimento ciclico del Sistema di Protezione (2/2) Occorre una revisione periodica della progettazione del Sistema di Protezione delle informazioni che tenga conto delle mutate esigenze ovvero: variazione del quadro legislativo nazionale variazione del quadro normativo nell ambito dell Organizzazione variazioni organizzative all'interno del Organizzazione variazione degli obiettivi di sicurezza variazione del numero e/o del tipo di informazioni gestite individuazione di nuove tipologie di Attacchi evoluzione della tecnologia variazione dei Sistemi contenuti nel Perimetro d Intervento.

35 Come analizzare e gestire il Rischio Metodologie e strumenti maggiormente diffusi: - COBRA (Consultative, Objective, and Bi-functional Risk Analysis) - CRAMM (CCTA Risk Analysis and Management Method) - RiskWatch - Risiko - Melisa - Arome + - Defender Manager - MIGRA (Metodologi Integrata di Gestione del Rischio Aziendale)

36 Categorie di controlli 5 Security policy 6 Organization of Information Security 7 Asset Management 8 Human Resources Security 9 Physical and Environmental security 10 Communications and Operations Management 11 Access Control 12 Information System Acquisition, Development and Maintenance 13 Information Security Incident Management 14 Business Continuity Management 15 Compliance

37 5.1 Security Policy Obiettivo: fornire le linee guida e il supporto della direzione aziendale in materia di sicurezza delle informazioni in linea con il business e le vigenti leggi/regolamenti Documento sulla politica per la Sicurezza delle informazioni aziendale Revisione della Politica di Sicurezza delle informazioni

38 6.1 Organization of Information Security Obiettivo: gestire la sicurezza delle informazioni all interno dell organizzazione Impegno nella gestione della sicurezza delle informazioni Coordinamento della sicurezza delle informazioni Assegnazione delle responsabilità sulla sicurezza Processo di autorizzazione per le componenti che elaborano le informazioni Accordi di riservatezza Relazioni con le autorità Relazioni con gruppi specializzati Revisione indipendente della sicurezza dell informazione

39 6.2 External Parties Obiettivo: garantire la sicurezza delle informazioni dell Organizzazione e delle componenti che accedono elaborano, comunicano o gestiscono informazioni da parte di soggetti esterni Identificazione dei rischi derivanti dall accesso di soggetti esterni Sicurezza nelle transazioni con i clienti Sicurezza negli accordi con terze parti

40 7.1 Responsibility for assets Obiettivo: ottenere e mantenere un'adeguata protezione dei beni aziendali Inventario dei beni Proprietà dei beni Utilizzo accettabile dei beni

41 7.2 Information classification Obiettivo: assicurare un adeguato livello di protezione ai singoli beni Linee guida per la classificazione Etichettatura e trattamento delle informazioni

42 8.1 Prior of employment Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture Ruoli e responsabilità Selezione del personale Termini e condizioni di impiego

43 8.2 During employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti siano consapevoli, relativamente alle proprie responsabilità e doveri, delle minacce alla sicurezza delle informazioni e dispongano del bagaglio necessario a supportare la politica di sicurezza nel corso del loro lavoro al fine di ridurre il rischio di errori umani Gestione delle responsabilità Conoscenza, educazione e formazione alla sicurezza delle informazioni Processi disciplinari

44 8.3 Termination or change of employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti terminino il loro rapporto o cambino la propria mansione in modo regolamentato Termine delle responsabilità Restituzione dei beni Rimozione dei diritti di accesso

45 9.1 Secure Areas Obiettivo: prevenire accessi non autorizzati, danneggiamenti e interferenze ai locali e alle informazioni dell Organizzazione Sicurezza perimetrale Controllo accesso fisico Sicurezza di uffici, stanze, strutture Protezione contro minacce esterne ed ambientali Lavorare in aree sicure Accessi pubblici nelle aree di consegna e carico

46 9.2 Equipment security Obiettivo: prevenire perdite, danni, furti e compromissioni degli apparati e interruzioni delle attività dell Organizzazione Posizionamento e protezione degli strumenti Dispositivi secondari di supporto Sicurezza del cablaggio Manutenzione delle attrezzature Sicurezza delle attrezzature utilizzate fuori dall ambito aziendale Eliminazione e riutilizzo sicuro dei supporti Trasferimento di beni

47 10.1 Operational procedures and responsabilities Obiettivo: assicurare il funzionamento corretto e sicuro delle operazioni sulle componenti IT Documentazione delle procedure operative Gestione dei cambiamenti Separazione dei compiti Separazione degli ambienti di sviluppo, test e produzione

48 10.2 Third party service delivery management Obiettivo: implementare e mantenere un adeguato livello di sicurezza delle informazioni e livelli di servizio in linea con gli accordi presi in merito con le terze parti Livelli di servizio Monitoraggio e revisione dei servizi con terze parti Gestione dei cambiamenti nei servizi con terze parti

49 10.3 System planning and acceptance Obiettivo: minimizzare il rischio di disservizi ed interruzioni del sistema Piano di dimensionamento della capacità dei sistemi Approvazione di nuovi sistemi

50 10.4 Protection against malicious and mobile code Obiettivo: salvaguardare l integrità del software e dei dati Controlli contro codice malevolo - Prevenzione - Controllo - Protezione Controlli contro il Mobile Code

51 10.5 Back-Up Obiettivo: mantenere l integrità e la disponibilità delle informazioni e dei sistemi informativi Back-Up delle informazioni

52 10.6 Network security management Obiettivo: assicurare la protezione delle informazioni in transito sulle reti e la protezione delle infrastrutture di supporto Controlli sulla rete Sicurezza nei servizi di rete

53 10.7 Media handling Obiettivo: prevenire divulgazioni, modifiche, rimozioni o distruzioni non autorizzate di supporti, e l interruzione delle attività di business Gestione dei supporti informatici removibili Eliminazione dei supporti Procedure per il trattamento delle informazioni Sicurezza della documentazione di sistema

54 10.8 Exchanges of information Obiettivo: garantire la sicurezza delle informazioni e del software scambiato all interno dell organizzazione e con qualsiasi altra entità esterna Politiche e procedure per lo scambio delle informazioni Accordi per lo scambio Trasporto dei supporti informatici Messaggi elettronici Business Information Systems

55 10.9 Electronic commerce service Obiettivo: garantire la sicurezza del servizio di commercio elettronico e del suo utilizzo Commercio elettronico Transazioni On-Line Informazioni disponibili al pubblico

56 10.10 Monitoring Obiettivo: rilevare le azioni non autorizzate nell utilizzo delle informazioni Audit logging Monitoraggio dell utilizzo dei sistemi Protezione dei log Logging delle attività degli amministratori e degli operatori Logging dei guasti di sistema Sincronizzazione degli orologi

57 11.1 Business requirement for access control Obiettivo: controllo degli accessi alle informazioni Politica di controllo degli accessi (ACL)

58 11.2 User access management Obiettivo: garantire gli accessi da parte degli utenti autorizzati e prevenire gli accessi non autorizzati ai sistemi informativi Registrazione degli utenti Gestione dei privilegi Gestione delle password degli utenti Verifiche dei diritti di accesso degli utenti

59 11.3 User Responsabilities Obiettivo: prevenire l accesso di utenti non autorizzati, la compromissione o il furto di informazioni e dei sistemi di elaborazione Uso della password Attrezzature utente incustodite Clear desk & clear screen policy

60 11.4 Network access control Obiettivo: prevenire gli accessi non autorizzati ai servizi di rete Politica sull uso dei servizi in rete Autenticazioni utente per connessioni esterne Identificazione delle apparecchiature sulla rete Protezione delle porte di gestione (diagnostiche) e di configurazione da remoto Segregazione delle reti Controllo delle connessioni di rete Controllo del routing di rete

61 11.5 Operating system access control Obiettivo: prevenire l accesso non autorizzato ai sistemi operativi Procedure per un log-on sicuro Identificazione e autenticazione degli utenti Sistema di gestione delle password Uso delle utilità di sistema Time-out delle sessioni di lavoro Limitazione dei tempi di connessione

62 11.6 Application and information access control Obiettivo: prevenire l accesso non autorizzato alle informazioni possedute dalle applicazioni di sistema Limitazioni dell accesso alle informazioni Isolamento dei sistemi critici

63 11.7 Mobile computing and teleworking Obiettivo: assicurare la sicurezza dei dati nell'utilizzo dei computer portatili e del telelavoro Computer portatili e comunicazioni Telelavoro

64 11.1 Security requirements of information systems Obiettivo: assicurare che la sicurezza sia parte integrante del sistema informativo Analisi e specifiche dei requisiti di sicurezza

65 10.2 Correct processing in applications Obiettivo: prevenire errori, perdite, modifiche o utilizzi non consentiti delle informazioni nelle applicazioni Convalida dei dati inseriti Controllo dei processi interni Integrità dei messaggi Convalida dei dati in uscita

66 12.3 Cryptographic controls Obiettivo: garantire la riservatezza, l autenticità e l integrità delle informazini attraverso dispositivi crittografici Politica sull uso dei controlli crittografici Gestione delle chiavi crittografiche

67 12.4 Security of System files Obiettivo: garantire la sicurezza dei file di sistema Controlli del software di produzione Protezione dei dati usati per i test Controllo dell accesso alle librerie dei sorgenti

68 12.5 Security in development and support processes Obiettivo: mantenere la sicurezza dei sistemi applicativi e dei dati Procedure di controllo delle modifiche Revisione tecnica delle applicazioni in seguito a modifiche al sistema operativo Limitazioni alle modifiche ai pacchetti software Perdita di informazioni Sviluppo del software in outsourcing

69 12.6 Technical vulnerability management Obiettivo: ridurre il rischio derivante dalla sfruttamento di riconosciute vulnerabilità tecniche Controllo delle vulnerabilità tecniche

70 13.1 Reporting information security events and weakness Obiettivo: assicurare che gli eventi di security e le debolezze associate ai sistemi informativi vengano communicate in modo da permettere azioni correttive tempestive Reporting degli eventi di security delle informazioni Reporting delle debolezze di sicurezza

71 13.2 Management of information security incidents and improvements Obiettivo: garantire che un consistente ed efficace approccio sia applicato alla gestione degli incidenti di security delle informazioni Responsabilità e procedure Imparare dagli incidenti Raccolta delle evidenze

72 14.1 Information security aspects of business continuity management Obiettivo: reagire alle interruzioni alle attività aziendali e proteggere i processi critici dagli effetti di gravi guasti o eventi disastrosi e garantire la loro tempestiva riattivazione Includere la sicurezza delle informazioni all interno del processo di gestione della continuità del business Business Continuity e Risk Assessment Sviluppare e implementare piani di continuità includendo la sicurezza delle informazioni Struttura dei piani di BCP Test, manutenzione, nuova valutazione

73 15.1 Compliance with legal requirements Obiettivo: evitare violazioni di qualunque regola, statuto, regolamento o obbligazioni contrattuali e di ogni altro requisito di sicurezza Identificazione della normativa applicabile (cogente) Diritti di proprietà intellettuale (IPR) Protezione dei documenti Protezione dei dati e della riservatezza delle informazioni personali Prevenzione degli abusi Regolamentazione dei controlli crittografici

74 15.2 Compliance with security policies and standard, and technical compliance Obiettivo: assicurare la conformità dei sistemi con le politiche e gli standard di sicurezza adottati dall Organizzazione Conformità alle politica e standard di sicurezza Controllo della conformità tecnica

75 15.3 Information system audit considerations Obiettivo: massimizzare l efficacia e minimizzare le interferenze al/dal processo di audit del sistema informativo Controlli sugli audit di sistema informativo Protezione degli strumenti di controllo del sistema

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI 1 Per conto di AICQ CN 1 Autore dr. Giovanni Mattana Presidente AICQ CentroNord PECULIARITÀ DELLA NORMA Scopo della presente scheda è quello di attirare l attenzione sull importanza di questa norma e sintetizzarne

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Pag. 234 di 13 27/05/2010 PARTE SPECIALE E : REATI DI CRIMINALITÀ INFORMATICA La presente

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza Unità Didattica S ISO 27001 SGSI Docente: Ing. Rutilio Mazza Cosa significa SGSI Sistema (modo di operare - metodo) Gestione (organizzazione - coordinamento di risorse in processi e attività) Sicurezza

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Analisi dei rischi e gestione della sicurezza ICT

Analisi dei rischi e gestione della sicurezza ICT Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Politica della Sicurezza delle informazioni

Politica della Sicurezza delle informazioni Politica della Sicurezza delle documento redatto in data 25 luglio 2007 e revisionato in data 10 luglio 2012 CONTENUTI Politica SGSI 1. DICHIARAZIONE DI PRINCIPIO... 4 2. INTRODUZIONE... 4 2.1. ESIGENZA

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

OH&SAS Requisiti. 1. Scopo e Campo di Applicazione. 2 Riferimenti. 3 Termini e definizioni. 3.1 rischio accettabile (acceptable risk) 3.

OH&SAS Requisiti. 1. Scopo e Campo di Applicazione. 2 Riferimenti. 3 Termini e definizioni. 3.1 rischio accettabile (acceptable risk) 3. OH&SAS Requisiti 1. Scopo e Campo di Applicazione Questa Norma della serie Occupational Healt and Safety Assessment (OHSAS) specifica i requisiti per un Sistema di Gestione della Salute e della Sicurezza

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Data Loss Prevention. - Security Summit - Milano, 15/03/2011 -

Data Loss Prevention. - Security Summit - Milano, 15/03/2011 - Data Loss Prevention - Security Summit - Milano, 15/03/2011 - Author: P. Mancino Head of Information Security & Security Assessment Premessa DLP e attività propedeutiche Main Step Perimetro di intervento

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

La Sicurezza Informatica nella Pubblica Amministrazione

La Sicurezza Informatica nella Pubblica Amministrazione Ernst & Young Technology and Security Risk Services per gli Organismi Pagatori Regionali Firenze, 12 giugno 2003 La Sicurezza Informatica nella Pubblica Amministrazione 1 La Sicurezza Informatica nella

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014

Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014 Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014 1. Il contesto INAIL 2. Perché una Service Control Room 3. Il modello di funzionamento definito 4. I primi risultati del

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

I controlli generali IT riguardano l organizzazione della funzione IT, le attività di acquisizione e manutenzione del software, le procedure di sicurezza logica e fisica, i controlli sul funzionamento

Dettagli

(CAI) e ISO/IEC 17799: un metodo di verifica

(CAI) e ISO/IEC 17799: un metodo di verifica 1/50 Centrale d Allarme d Interbancaria (CAI) e ISO/IEC 17799: un metodo di verifica Roma, 25 novembre 2003 Agatino Grillo, CISA, CISSP EUROS Consulting 2/50 Sommario CAI - Centrale d Allarme Interbancaria

Dettagli

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Control Starter Edition Conformità degli endpoint semplificata Panoramica Con è facile iniziare a implementare una soluzione di controllo dell accesso alla rete. Questa edizione

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati Convegno AIEA Roma, 3 marzo 2010 ADVISORY Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

Applications Management

Applications Management Applications Management isecurity for Power i Applications Management Il Package è stato composto per fornire ai clienti un valido supporto sulla gestione delle applicazioni, consentendo determinate attività

Dettagli

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive),

Dettagli

Dott. Alessandro Rodolfi. Università degli Studi di Milano

Dott. Alessandro Rodolfi. Università degli Studi di Milano Dott. Alessandro Rodolfi Università degli Studi di Milano 1 Le politiche di sicurezza sono disposizioni adottate al fine di garantire la sicurezza del proprio sistema informativo e definire l utilizzo

Dettagli

ALLEGATO 1 DESCRIZIONE DEL SERVIZIO

ALLEGATO 1 DESCRIZIONE DEL SERVIZIO ALLEGATO 1 DESCRIZIONE DEL SERVIZIO . IntrodDescrizione del Servizio a) Procedura di accreditamento Il Centro Servizi (CS) che richiede l accreditamento per la fornitura dell accesso fisico al Sistema

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Parte speciale Reati informatici

Parte speciale Reati informatici Parte speciale Reati informatici Modello di organizzazione, gestione e controllo ex D.Lgs 231/2001 L Amministratore delegato APPROVAZIONE Il Presidente del CdA STATO DEL DOCUMENTO Redazione Revisione Modifica

Dettagli

Privacy e Sicurezza delle Informazioni

Privacy e Sicurezza delle Informazioni Privacy e Sicurezza delle Informazioni Mauro Bert GdL UNINFO Serie ISO/IEC 27000 Genova, 18/2/2011 Ente di normazione federato all UNI (Ente Nazionale Italiano di Unificazione) Promuove e partecipa allo

Dettagli