Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)"

Transcript

1 Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

2 Indice Il Processo di Security Governance l analisi e gestione del rischio La normativa ISO e l Information Security Management System (ISMS)

3 La ISO e l Information Security Management System (ISMS)

4 Generalità sulla sicurezza - La sicurezza ideale Il sistema ideale di protezione dell informazione è costituito da un insieme di misure di sicurezza che contrastano in modo completo ogni minaccia all informazione impedendo qualunque compromissione di Riservatezza Integrità Disponibilità

5 Generalità sulla sicurezza - Attributi Riservatezza esprime la garanzia che una determinata Informazione sia resa disponibile solamente ai processi che la devono elaborare e all'utilizzatore che ne ha bisogno e ne è pertanto autorizzato all'uso Integrità esprime la garanzia che ogni Informazione sia realmente quella originariamente immessa nel Sistema Informativo, ovvero successivamente legittimamente modificata Disponibilità esprime la garanzia di reperibilità delle Informazioni in funzione delle esigenze di continuità dei processi aziendali ed al fine del rispetto delle norme (di legge e non) che ne impongono la conservazione storica

6 Generalità sulla sicurezza Quali informazioni devono essere protette Devono essere protette tutte le informazioni sensibili, critiche o aventi valore per l organizzazione in qualsiasi forma si trovino: su carta in formato elettronico (su sistemi locali, mobili, CD/DVD, nastri etc.) trasmessa via posta o per via elettronica (anche fax) immagazzinata su nastri e video trasmessa a voce

7 Generalità sulla sicurezza - La sicurezza in pratica Non è possibile adottare misure di sicurezza che garantiscano il 100% di protezione rispetto a tutte le minacce Limitazioni tecnologiche Costo delle protezioni necessarie sproporzionato rispetto ai vantaggi Obbligo del rispetto di legge e regolamenti

8 Generalità sulla sicurezza - Obiettivi Per raggiungere gli obiettivi di business avere le informazioni giuste al momento giusto può fare la differenza tra profitto e perdite. La gestione della sicurezza delle informazioni aiuta a controllare e proteggere le informazioni di un organizzazione da modifiche volontarie o involontarie dei dati o da accessi non autorizzati. Un SGSI serve a: (Sistema di Gestione per la Sicurezza delle Informazioni) assicurare la continuità del business e dei servizi minimizzare i danni derivanti da eventuali incidenti massimizzare: il rendimento del capitale investito le opportunità di miglioramento

9 Il processo di governo della sicurezza - elementi Processi/Attività Attori Corpus documentale Tecnologie/Infrastrutture

10 Il processo di governo della sicurezza Processi/Attività Analisi del rischio Definizione delle linee guida Definizione standard e procedure Realizzazione infrastrutture di sicurezza Realizzazione Piano di sicurezza Realizzazione Misure di protezione Gestione Controllo

11 Il processo di governo della sicurezza Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Referente infrastrutture Referente applicativo della sicurezza Amministratore della sicurezza del sistema Auditor Proprietario del dato Utente finale

12 Il processo di governo della sicurezza Processi/Attori Comitato direzionale per la sicurezza Comitato operativo per la sicurezza Security Manager Analisti di sicurezza Proprietario del dato Utente finale Referente applicativo della sicurezza Referente di infrastruttura Amministratore della sicurezza Auditor Analisi del rischio Guida Esegue Esegue Supporta Supporta Supporta Definizione delle linee guida Approva Esegue Coordina Supporta Esegue Definizione standard e procedure Approva Esegue Supporta Controlla Realizzazione infrastrutture di sicurezza Coordina Esegue Controlla Realizzazione Piano di sicurezza Supporta Guida Esegue Esegue Controlla Realizzazione misure di protezione Supporta Esegue Esegue Controlla Gestione Guida Esegue Esegue Controlla

13 Il Processo di Security Governance l analisi e gestione del rischio

14 Modello del processo di analisi e gestione del rischio 1. Pianificazione e perimetrazione d intervento 2. Rilevazione dello scenario Analisi dello scenario Definizione del modello del Perimetro d Intervento Classificazione delle informazioni 3. Analisi del rischio Individuazione delle Minacce/Vulnerabilità Indicazione del Livello di Esposizione Calcolo del rischio intrinseco 4. Gestione del rischio Definizione delle misure presenti e della loro graduazione Produzione del Profilo di Protezione Ottimale Calcolo del Rischio Residuo Pianificazione degli interventi 5. Mantenimento ciclico

15 Ruoli e responsabilità - Attività/Attori Security Manager Analisti di sicurezza Proprietario dei dati Ref. Infrstruttura Ref. Applicativo FASE 1 PIANIFICAZIONE E PERIMETRAZIONE DELL INTERVENTO Esegue Supporta FASE 2 - RILEVAMENTO DELLO SCENARIO Analisi dello scenario Coord. Esegue Supporta Supporta Supporta Definizione modello del Perimetro d Intervento Coord. Esegue Riceve input Classificazione delle informazioni Coord. Supporta Esegue Supporta Supporta FASE 3 - ANALISI DEL RISCHIO Individuazione delle Minacce/Attacchi per i Sistemi/Componenti Coord. Esegue Supporta Supporta Propone Indicazione del Livello di Esposizione alle Minacce/Attacchi Coord. Esegue Supporta Supporta Supporta Calcolo del Rischio Intrinseco Esegue Supporta Automatizza FASE 4 GESTIONE DEL RISCHIO Definizione delle misure e della loro graduazione Esegue Supporta Supporta Supporta Propone Produzione del Profilo di Protezione Ottimale Esegue Supporta Automatizza Rilevamento contromisure presenti Coord. Esegue Supporta Supporta Riceve input Calcolo Rischio Residuo Esegue Supporta Automatizza Pianificazione delle contromisure Esegue Supporta Supporta Supporta Supporta FASE 5 - MANTENIMENTO CICLICO DEL SISTEMA DI PROTEZIONE Supporta Contributo applicativo RA

16 Pianificazione e perimetrazione (1/3) L attività di pianificazione costituisce la fase iniziale della progettazione del Sistema di Protezione e segue tutto l iter progettuale. Individuazione del Gruppo di Lavoro (GdL) Individuazione di proprietari dei dati e personale tecnico addetto Definizione tempistica delle attività

17 Pianificazione e perimetrazione (2/3) Di solito non è conveniente estendere l analisi all intera organizzazione. Risulta conveniente dividere l analisi per Perimetri d Intervento Il Perimetro d Intervento è costituito dall insieme delle informazioni da proteggere e delle risorse, logiche e fisiche, che cooperano al loro trattamento

18 Pianificazione e perimetrazione (3/3) Esempi di perimetro di intervento: un processo aziendale un centro di elaborazione dati una specifica applicazione (gestione retribuzioni, ) una specifica infrastruttura (LAN, intranet aziendale, un edificio, il sistema organizzativo/procedurale)

19 Analisi e Gestione del Rischio Identificazione dei beni Classificazione delle informazioni Valutazione Identificazione Rilevazione Valutazione delle delle dei controlli del rischio minacce vulnerabilità presenti o pianificati Beni Minacce Vulnerabilità Controlli Rischio

20 Identificazione dei beni (1/2) L identificazione dei beni viene effettuata attraverso Analisi dello Scenario Redazione dell Inventario dei Beni

21 Identificazione dei beni (2/2) Analisi dello scenario: Acquisizione delle informazioni tramite consultazione della documentazione disponibile ed interviste con personale esperto Le informazioni riguardano processi supportati applicazioni informazioni gestite utenti delle applicazioni architetture e infrastrutture utilizzate vincoli organizzativi e normativi Redazione dell Inventario dei Beni. Esso riporta: la lista dei beni informativi i proprietari dei beni informativi la lista dei beni infrastrutturali i gestori dei beni infrastrutturali

22 Classificazione delle informazioni (1/2) Le informazioni sono classificate in base all entità del danno che si verifica per l organizzazione nel caso perdano: RISERVATEZZA INTEGRITA DISPONIBILITA L entità del danno viene rilevata attraverso un questionario. La classe di criticità dell informazione viene calcolata in base ad un appropriato algoritmo.

23 Classificazione delle informazioni (2/2) L algoritmo richiede che venga effettuato quanto segue: Attribuzione di un peso a ciascuna risposta; Calcolo della somma dei pesi attribuiti a ciascuna risposta per il singolo attributo RID (Riservatezza, Integrità, Disponibilità); Attribuzione della classe di criticità a ciascun macrodato attraverso il confronto tra il valore ottenuto dalla somma dei pesi ed i valori scelti per definire l ampiezza di ciascuna classe (valori di soglia).

24 Valutazione delle minacce (1/2) Minaccia Un azione o un evento che potrebbe avere conseguenze dannose in termini di compromissione dell informazione (perdita di riservatezza, integrità, disponibilità dell informazione) Errori umani Furti e sabotaggi Minaccia Eventi accidentali dannosi Guasti e malfunzionamenti di apparecchiature ICT Immissione di codice malevolo Accesso non autorizzato ad informazioni o servizi Descrizione Amministratori, utenti, etc. potrebbero commettere errori con conseguente compromissione di informazioni Entità avverse potrebbero sottrarre informazioni e apparecchiature ICT, provocare guasti o malfunzionamenti o compiere atti di sabotaggio ad impianti o sistemi Eventi accidentali (incendi, black out, allagamenti) potrebbero danneggiare involontariamente dispositivi ICT con conseguente compromissione di dati Guasti potrebbero interessare apparecchiature, supporti di memorizzazione, impianti, con conseguente compromissione dell informazione Entità avverse potrebbero introdurre codice malevolo (virus, troyan horses, etc.) all interno dei sistemi aziendali Entità avverse (interne o esterne all azienda) potrebbero accedere senza autorizzazione ad informazioni o servizi compromettendone la sicurezza

25 Valutazione delle minacce (2/2) La valutazione delle minacce avviene attraverso le seguenti fasi: individuazione delle minacce pertinenti per ciascun bene infrastrutturale stima della frequenza della minaccia rilevazione della frequenza storica (se disponibile) stima dell impatto

26 Identificazione delle vulnerabilità Le vulnerabilità, debolezze intrinseche dei sistemi, vengono identificate partendo dalle informazioni acquisite attraverso le interviste con i Gestori dei Beni, considerando: il livello di esposizione alle minacce che possono sfruttare la vulnerabilità; le contromisure utilizzate che riducono la vulnerabilità.

27 Rilevazione dei controlli presenti o pianificati (1/3) I controlli sono rilevati in base allo standard ISO27001 Esempio Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture

28 Rilevazione dei controlli presenti o pianificati (2/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

29 Rilevazione dei controlli presenti o pianificati (3/3) I controlli sono rilevati in base allo standard ISO27001 Esempio

30 Valutazione del rischio residuo Il livello di rischio residuo è calcolato in base al rischio intrinseco ed ai controlli applicati Livello del Rischio Residuo Livello Rischio Intrinseco Misure di Protezione Attuate

31 La riduzione del rischio Evitare il rischio (rinunciando a trattare l informazione) Trasferire il rischio (attraverso un assicurazione) Ridurre le vulnerabilità (adottando contromisure) Ridurre il valore del bene esposto alle minacce

32 Pianificazione degli interventi A ciascuna contromisura risultante viene assegnata una priorità Il Piano degli Interventi elenca e documenta le attività necessarie per abbattere il Livello di Rischio Residuo riportando: riferimenti delle misure di protezione che l intervento realizza la priorità la descrizione delle modalità con cui si intende condurre l intervento e del risultato atteso l impegno previsto in termini di persone, costi e tempi

33 Mantenimento ciclico del Sistema di Protezione (1/2) Le attività di governo della sicurezza devono essere strutturate per fornire continui ritorni e stimoli al mantenimento dell adeguatezza del Sistema di Protezione. La gestione della sicurezza ed il controllo e audit forniscono elementi importanti per il mantenimento del Sistema di Protezione.

34 Mantenimento ciclico del Sistema di Protezione (2/2) Occorre una revisione periodica della progettazione del Sistema di Protezione delle informazioni che tenga conto delle mutate esigenze ovvero: variazione del quadro legislativo nazionale variazione del quadro normativo nell ambito dell Organizzazione variazioni organizzative all'interno del Organizzazione variazione degli obiettivi di sicurezza variazione del numero e/o del tipo di informazioni gestite individuazione di nuove tipologie di Attacchi evoluzione della tecnologia variazione dei Sistemi contenuti nel Perimetro d Intervento.

35 Come analizzare e gestire il Rischio Metodologie e strumenti maggiormente diffusi: - COBRA (Consultative, Objective, and Bi-functional Risk Analysis) - CRAMM (CCTA Risk Analysis and Management Method) - RiskWatch - Risiko - Melisa - Arome + - Defender Manager - MIGRA (Metodologi Integrata di Gestione del Rischio Aziendale)

36 Categorie di controlli 5 Security policy 6 Organization of Information Security 7 Asset Management 8 Human Resources Security 9 Physical and Environmental security 10 Communications and Operations Management 11 Access Control 12 Information System Acquisition, Development and Maintenance 13 Information Security Incident Management 14 Business Continuity Management 15 Compliance

37 5.1 Security Policy Obiettivo: fornire le linee guida e il supporto della direzione aziendale in materia di sicurezza delle informazioni in linea con il business e le vigenti leggi/regolamenti Documento sulla politica per la Sicurezza delle informazioni aziendale Revisione della Politica di Sicurezza delle informazioni

38 6.1 Organization of Information Security Obiettivo: gestire la sicurezza delle informazioni all interno dell organizzazione Impegno nella gestione della sicurezza delle informazioni Coordinamento della sicurezza delle informazioni Assegnazione delle responsabilità sulla sicurezza Processo di autorizzazione per le componenti che elaborano le informazioni Accordi di riservatezza Relazioni con le autorità Relazioni con gruppi specializzati Revisione indipendente della sicurezza dell informazione

39 6.2 External Parties Obiettivo: garantire la sicurezza delle informazioni dell Organizzazione e delle componenti che accedono elaborano, comunicano o gestiscono informazioni da parte di soggetti esterni Identificazione dei rischi derivanti dall accesso di soggetti esterni Sicurezza nelle transazioni con i clienti Sicurezza negli accordi con terze parti

40 7.1 Responsibility for assets Obiettivo: ottenere e mantenere un'adeguata protezione dei beni aziendali Inventario dei beni Proprietà dei beni Utilizzo accettabile dei beni

41 7.2 Information classification Obiettivo: assicurare un adeguato livello di protezione ai singoli beni Linee guida per la classificazione Etichettatura e trattamento delle informazioni

42 8.1 Prior of employment Obiettivo: assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilità e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonché ridurre il rischio di furto, frode o utilizzo improprio delle strutture Ruoli e responsabilità Selezione del personale Termini e condizioni di impiego

43 8.2 During employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti siano consapevoli, relativamente alle proprie responsabilità e doveri, delle minacce alla sicurezza delle informazioni e dispongano del bagaglio necessario a supportare la politica di sicurezza nel corso del loro lavoro al fine di ridurre il rischio di errori umani Gestione delle responsabilità Conoscenza, educazione e formazione alla sicurezza delle informazioni Processi disciplinari

44 8.3 Termination or change of employment Obiettivo: assicurare che gli impiegati, i contraenti e le terze parti terminino il loro rapporto o cambino la propria mansione in modo regolamentato Termine delle responsabilità Restituzione dei beni Rimozione dei diritti di accesso

45 9.1 Secure Areas Obiettivo: prevenire accessi non autorizzati, danneggiamenti e interferenze ai locali e alle informazioni dell Organizzazione Sicurezza perimetrale Controllo accesso fisico Sicurezza di uffici, stanze, strutture Protezione contro minacce esterne ed ambientali Lavorare in aree sicure Accessi pubblici nelle aree di consegna e carico

46 9.2 Equipment security Obiettivo: prevenire perdite, danni, furti e compromissioni degli apparati e interruzioni delle attività dell Organizzazione Posizionamento e protezione degli strumenti Dispositivi secondari di supporto Sicurezza del cablaggio Manutenzione delle attrezzature Sicurezza delle attrezzature utilizzate fuori dall ambito aziendale Eliminazione e riutilizzo sicuro dei supporti Trasferimento di beni

47 10.1 Operational procedures and responsabilities Obiettivo: assicurare il funzionamento corretto e sicuro delle operazioni sulle componenti IT Documentazione delle procedure operative Gestione dei cambiamenti Separazione dei compiti Separazione degli ambienti di sviluppo, test e produzione

48 10.2 Third party service delivery management Obiettivo: implementare e mantenere un adeguato livello di sicurezza delle informazioni e livelli di servizio in linea con gli accordi presi in merito con le terze parti Livelli di servizio Monitoraggio e revisione dei servizi con terze parti Gestione dei cambiamenti nei servizi con terze parti

49 10.3 System planning and acceptance Obiettivo: minimizzare il rischio di disservizi ed interruzioni del sistema Piano di dimensionamento della capacità dei sistemi Approvazione di nuovi sistemi

50 10.4 Protection against malicious and mobile code Obiettivo: salvaguardare l integrità del software e dei dati Controlli contro codice malevolo - Prevenzione - Controllo - Protezione Controlli contro il Mobile Code

51 10.5 Back-Up Obiettivo: mantenere l integrità e la disponibilità delle informazioni e dei sistemi informativi Back-Up delle informazioni

52 10.6 Network security management Obiettivo: assicurare la protezione delle informazioni in transito sulle reti e la protezione delle infrastrutture di supporto Controlli sulla rete Sicurezza nei servizi di rete

53 10.7 Media handling Obiettivo: prevenire divulgazioni, modifiche, rimozioni o distruzioni non autorizzate di supporti, e l interruzione delle attività di business Gestione dei supporti informatici removibili Eliminazione dei supporti Procedure per il trattamento delle informazioni Sicurezza della documentazione di sistema

54 10.8 Exchanges of information Obiettivo: garantire la sicurezza delle informazioni e del software scambiato all interno dell organizzazione e con qualsiasi altra entità esterna Politiche e procedure per lo scambio delle informazioni Accordi per lo scambio Trasporto dei supporti informatici Messaggi elettronici Business Information Systems

55 10.9 Electronic commerce service Obiettivo: garantire la sicurezza del servizio di commercio elettronico e del suo utilizzo Commercio elettronico Transazioni On-Line Informazioni disponibili al pubblico

56 10.10 Monitoring Obiettivo: rilevare le azioni non autorizzate nell utilizzo delle informazioni Audit logging Monitoraggio dell utilizzo dei sistemi Protezione dei log Logging delle attività degli amministratori e degli operatori Logging dei guasti di sistema Sincronizzazione degli orologi

57 11.1 Business requirement for access control Obiettivo: controllo degli accessi alle informazioni Politica di controllo degli accessi (ACL)

58 11.2 User access management Obiettivo: garantire gli accessi da parte degli utenti autorizzati e prevenire gli accessi non autorizzati ai sistemi informativi Registrazione degli utenti Gestione dei privilegi Gestione delle password degli utenti Verifiche dei diritti di accesso degli utenti

59 11.3 User Responsabilities Obiettivo: prevenire l accesso di utenti non autorizzati, la compromissione o il furto di informazioni e dei sistemi di elaborazione Uso della password Attrezzature utente incustodite Clear desk & clear screen policy

60 11.4 Network access control Obiettivo: prevenire gli accessi non autorizzati ai servizi di rete Politica sull uso dei servizi in rete Autenticazioni utente per connessioni esterne Identificazione delle apparecchiature sulla rete Protezione delle porte di gestione (diagnostiche) e di configurazione da remoto Segregazione delle reti Controllo delle connessioni di rete Controllo del routing di rete

61 11.5 Operating system access control Obiettivo: prevenire l accesso non autorizzato ai sistemi operativi Procedure per un log-on sicuro Identificazione e autenticazione degli utenti Sistema di gestione delle password Uso delle utilità di sistema Time-out delle sessioni di lavoro Limitazione dei tempi di connessione

62 11.6 Application and information access control Obiettivo: prevenire l accesso non autorizzato alle informazioni possedute dalle applicazioni di sistema Limitazioni dell accesso alle informazioni Isolamento dei sistemi critici

63 11.7 Mobile computing and teleworking Obiettivo: assicurare la sicurezza dei dati nell'utilizzo dei computer portatili e del telelavoro Computer portatili e comunicazioni Telelavoro

64 11.1 Security requirements of information systems Obiettivo: assicurare che la sicurezza sia parte integrante del sistema informativo Analisi e specifiche dei requisiti di sicurezza

65 10.2 Correct processing in applications Obiettivo: prevenire errori, perdite, modifiche o utilizzi non consentiti delle informazioni nelle applicazioni Convalida dei dati inseriti Controllo dei processi interni Integrità dei messaggi Convalida dei dati in uscita

66 12.3 Cryptographic controls Obiettivo: garantire la riservatezza, l autenticità e l integrità delle informazini attraverso dispositivi crittografici Politica sull uso dei controlli crittografici Gestione delle chiavi crittografiche

67 12.4 Security of System files Obiettivo: garantire la sicurezza dei file di sistema Controlli del software di produzione Protezione dei dati usati per i test Controllo dell accesso alle librerie dei sorgenti

68 12.5 Security in development and support processes Obiettivo: mantenere la sicurezza dei sistemi applicativi e dei dati Procedure di controllo delle modifiche Revisione tecnica delle applicazioni in seguito a modifiche al sistema operativo Limitazioni alle modifiche ai pacchetti software Perdita di informazioni Sviluppo del software in outsourcing

69 12.6 Technical vulnerability management Obiettivo: ridurre il rischio derivante dalla sfruttamento di riconosciute vulnerabilità tecniche Controllo delle vulnerabilità tecniche

70 13.1 Reporting information security events and weakness Obiettivo: assicurare che gli eventi di security e le debolezze associate ai sistemi informativi vengano communicate in modo da permettere azioni correttive tempestive Reporting degli eventi di security delle informazioni Reporting delle debolezze di sicurezza

71 13.2 Management of information security incidents and improvements Obiettivo: garantire che un consistente ed efficace approccio sia applicato alla gestione degli incidenti di security delle informazioni Responsabilità e procedure Imparare dagli incidenti Raccolta delle evidenze

72 14.1 Information security aspects of business continuity management Obiettivo: reagire alle interruzioni alle attività aziendali e proteggere i processi critici dagli effetti di gravi guasti o eventi disastrosi e garantire la loro tempestiva riattivazione Includere la sicurezza delle informazioni all interno del processo di gestione della continuità del business Business Continuity e Risk Assessment Sviluppare e implementare piani di continuità includendo la sicurezza delle informazioni Struttura dei piani di BCP Test, manutenzione, nuova valutazione

73 15.1 Compliance with legal requirements Obiettivo: evitare violazioni di qualunque regola, statuto, regolamento o obbligazioni contrattuali e di ogni altro requisito di sicurezza Identificazione della normativa applicabile (cogente) Diritti di proprietà intellettuale (IPR) Protezione dei documenti Protezione dei dati e della riservatezza delle informazioni personali Prevenzione degli abusi Regolamentazione dei controlli crittografici

74 15.2 Compliance with security policies and standard, and technical compliance Obiettivo: assicurare la conformità dei sistemi con le politiche e gli standard di sicurezza adottati dall Organizzazione Conformità alle politica e standard di sicurezza Controllo della conformità tecnica

75 15.3 Information system audit considerations Obiettivo: massimizzare l efficacia e minimizzare le interferenze al/dal processo di audit del sistema informativo Controlli sugli audit di sistema informativo Protezione degli strumenti di controllo del sistema

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Pag. 234 di 13 27/05/2010 PARTE SPECIALE E : REATI DI CRIMINALITÀ INFORMATICA La presente

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Analisi dei rischi e gestione della sicurezza ICT

Analisi dei rischi e gestione della sicurezza ICT Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche

Dettagli

(CAI) e ISO/IEC 17799: un metodo di verifica

(CAI) e ISO/IEC 17799: un metodo di verifica 1/50 Centrale d Allarme d Interbancaria (CAI) e ISO/IEC 17799: un metodo di verifica Roma, 25 novembre 2003 Agatino Grillo, CISA, CISSP EUROS Consulting 2/50 Sommario CAI - Centrale d Allarme Interbancaria

Dettagli

Politica della Sicurezza delle informazioni

Politica della Sicurezza delle informazioni Politica della Sicurezza delle documento redatto in data 25 luglio 2007 e revisionato in data 10 luglio 2012 CONTENUTI Politica SGSI 1. DICHIARAZIONE DI PRINCIPIO... 4 2. INTRODUZIONE... 4 2.1. ESIGENZA

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

La sicurezza delle informazioni vista da un security manager

La sicurezza delle informazioni vista da un security manager XXIII Convegno Nazionale di IT Auditing, Security e Governance La sicurezza delle informazioni vista da un security manager Silvano Bari CISM indice 1. Consapevolezza 2. Acquisizione di conoscenza 3. Sponsorizzazione

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive),

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Applications Management

Applications Management Applications Management isecurity for Power i Applications Management Il Package è stato composto per fornire ai clienti un valido supporto sulla gestione delle applicazioni, consentendo determinate attività

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Risk Management Richard Zoni Business Unit Manager ICT Security

Risk Management Richard Zoni Business Unit Manager ICT Security Risk Management Richard Zoni Business Unit Manager ICT Security ver 2.1 Agenda > Introduzione > Obiettivi e prospettive operative > Risk Analysis > Gap Analysis > Risk Management > Il prodotto: SkyboxView

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

Il punto di vista della conformità e della certificazione volontaria

Il punto di vista della conformità e della certificazione volontaria SICUREZZA CONTINUITÀ OPERATIVA Il punto di vista della conformità e della certificazione volontaria ROMA - FORUM PA - 18 MAGGIO 2012 1 I Sistemi di Gestione e le norme ISO: un percorso virtuoso Da giovane

Dettagli

Brochure Cisco Security

Brochure Cisco Security Brochure Cisco Security La sicurezza oggi è ancora più importante Gli approcci tradizionali alla sicurezza avevano un solo scopo: proteggere le risorse in rete da rischi e malware provenienti dall esterno.

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia

L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia GRUPPO TELECOM ITALIA Roma, 17 giugno 2014 L evoluzione del Processo di Enterprise Risk Management nel Gruppo Telecom Italia Dirigente Preposto ex L. 262/05 Premessa Fattori Esogeni nagement - Contesto

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

Privacy e Sicurezza delle Informazioni

Privacy e Sicurezza delle Informazioni Privacy e Sicurezza delle Informazioni Mauro Bert GdL UNINFO Serie ISO/IEC 27000 Genova, 18/2/2011 Ente di normazione federato all UNI (Ente Nazionale Italiano di Unificazione) Promuove e partecipa allo

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

INFORMATIZZAZIONE DELLA RETE AZIENDALE CORDATA SCARL

INFORMATIZZAZIONE DELLA RETE AZIENDALE CORDATA SCARL Tale Rete era stata da poco costituita da 6 diverse aziende, ubicate in sei diverse Regioni, che avevano operato fino ad allora separatamente, nel settore dell assistenza h/w (di PC, Stampanti, Bancomat,

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il

Dettagli

La gestione del rischio di malfunzionamento dei sistemi informativi

La gestione del rischio di malfunzionamento dei sistemi informativi COMPRENDERE ED INTERPRETARE IL RISK MANAGEMENT: LA GESTIONE DEI RISCHI OPERATIVI NEGLI INTERMEDIARI FINANZIARI NELLA PROSPETTIVA DEGLI ORGANI DI GESTIONE E CONTROLLO La gestione del rischio di malfunzionamento

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Network&Information Security Incidents Management

Network&Information Security Incidents Management Network&Information Security Incidents Management Conferenza nazionale Cyber Security Energia Roma CASD 24 settembre 2015 Il contesto di business di TERNA (TSO italiano) Le origini del cyber-risk ()ulnerabilità

Dettagli

La reputazione aziendale è frutto di duro lavoro. Non rischiate di rovinarla a causa di una cattiva gestione della supply chain.

La reputazione aziendale è frutto di duro lavoro. Non rischiate di rovinarla a causa di una cattiva gestione della supply chain. Supply Chain Management La reputazione aziendale è frutto di duro lavoro. Non rischiate di rovinarla a causa di una cattiva gestione della supply chain. Soluzioni e applicazioni di BSI per gestire e mitigare

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

La Sicurezza Informatica nella Pubblica Amministrazione

La Sicurezza Informatica nella Pubblica Amministrazione Ernst & Young Technology and Security Risk Services per gli Organismi Pagatori Regionali Firenze, 12 giugno 2003 La Sicurezza Informatica nella Pubblica Amministrazione 1 La Sicurezza Informatica nella

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

Operational Risk vs Advanced IT RISK

Operational Risk vs Advanced IT RISK Operational Risk vs Advanced IT RISK Claudio Ruffini 24 Giugno 2015 L evoluzione normativa in tema di sicurezza informatica Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli