Sicurezza totale dei tuoi dati

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza totale dei tuoi dati"

Transcript

1 Sicurezza totale dei tuoi dati Disaster recovery ed alta disponibilità Rovato 23/02/2012 Giancarlo Butti, (LA BS7799), (LA ISO 27001), ISM, CRISC Copyright G.Butti

2 Giancarlo Butti Mi occupo di ICT, organizzazione e normativa dai primi anni 80 Security manager ed auditor presso banche MEDIO GRANDI Consulente di aziende MEDIO PICCOLE Divulgatore (oltre 600 articoli, 16 libri/white paper, 4 nuovi libri in preparazione) Formatore (corsi e seminari in ambito privacy e sicurezza) Socio AIEA, Clusit Membro dell Osservatorio sulla Business Continuity di ABI LAB (Vedi linkedin.com)

3 Giancarlo Butti Rapporti con la PA Pubblicazione relative alla sicurezza e dematerializzazione nella PA: Protocollo informatico a norme AIPA - Guida alle soluzioni basate sulla tecnologia Microsoft, ITER - Microsoft '03 Portali per la pubblica amministrazione, Microsoft '04 Intranet per la pubblica amministrazione, Microsoft '04 Il Codice in materia di protezione dei dati personali (Dlgs 196/03) e le ricadute sui sistemi informatici della Pubblica Amministrazione, Microsoft '05 (pp. 140) Il Codice in materia di protezione dei dati personali (Dlgs 196/03) e le ricadute sui sistemi informatici della Sanità, Microsoft '05 (pp. 140) Relatore ai convegni: Omat 2003 e EuropePa 2003, Le soluzioni dei partner Microsoft per il protocollo informatico Com-PA 2003, Protocollo informatico 100 giorni al via EuropePa 2004, Intranet per le pubbliche amministrazioni Omat 2004, Protocollo informatico, criteri di valutazione Altre attività: Per il Gruppo Pirola/il Sole 24 Ore ho curato la versione elettronica di diverse pubblicazione dedicate alla pubblica amministrazione Ho realizzato stazioni informative per alcune PA

4 ARGOMENTI Sicurezza? La sicurezza degli asset - l aspetto educativo i beni da proteggere la gestione del rischio le misure di sicurezza

5 ARGOMENTI (In)consapevolezza PMI Dlgs 196/03 Continuità operativa Alta affidabilità DR BC

6 SICUREZZA Di quale sicurezza stiamo parlando? Sicurezza dell ente Sicurezza degli asset Sicurezza delle informazioni

7 SICUREZZA Security SICUREZZA Sicurezza logica Safety

8 Linee guida per il disaster recovery delle pubbliche amministrazioni Linee guida per il disaster recovery delle pubbliche amministrazioni (p.11) Tutte le azioni che saranno descritte in queste Linee Guida, pertanto, dovranno essere considerate come uno degli adempimenti necessari a completare ed integrare tutte le misure di sicurezza dell organizzazione medesima e che trovano fondamento anche in altri obblighi normativi (si pensi in particolare al Codice della Privacy, alla normativa sui collaudi, al T.U. sulla sicurezza nel lavoro - DLgs 81/2008 e s.m.i.; al DPCM , ecc) e nelle Regole tecniche di cui all art. 51 del Codice dell Amministrazione Digitale (inerente la Sicurezza dei dati, dei sistemi e delle infrastrutture ), come evidenziato anche nel successivo par In quest ottica anche l attuazione degli obblighi imposti dal CAD in materia di CO possono costituire un occasione per sensibilizzare le Amministrazioni verso un percorso complessivo in materia di sicurezza di tutta l organizzazione, coerentemente con il quadro normativo richiamato, nonché un momento per rivisitare e razionalizzare le risorse dedicate

9 NORMATIVE SULLA SICUREZZA La protezione dei dati personali Le misure di sicurezza nel Dlgs 196/03 La redazione del DPS (o analoga documentazione) La regolamentazione della sicurezza Controlli e limiti nei controlli Il principio di necessità La salute e sicurezza nei luoghi di lavoro Stress lavoro correlato La sicurezza degli impianti La criminalità informatica Il diritto d autore La responsabilità amministrativa (in parte) Dematerializzazione e digitalizzazione Sistema pubblico di connettività...

10 Linee guida per il disaster recovery delle pubbliche amministrazioni

11 LA SICUREZZA DEGLI ASSET L aspetto educativo I beni da proteggere La gestione del rischio Le misure di di sicurezza Le normative sulla sicurezza

12 LA SICUREZZA DEGLI ASSET L aspetto educativo Obiettivi: creare consapevolezza sulla sicurezza consentire, mediante un linguaggio comune, la comunicazione fra i vari attori dei processi connessi alla gestione della sicurezza Destinatari: Amministratori, professionisti e manager chiamati a difendere i beni del proprio ente esperti di sicurezza che vogliono disporre di uno strumento che permetta una facile comunicazione con il management Impostazione: didattica, pratica, non accademica, ricca di tabelle e di esempi concreti Linguaggio: semplice e discorsivo, con qualche libertà nell uso dei termini

13 LA SICUREZZA DEGLI ASSET L aspetto educativo Contenuti: individuare quali siano i beni aziendali da proteggere individuare le minacce che incombono su di essi valutare i rischi individuare le possibili contromisure Modalità: i capitoli descrittivi sono realizzati mediante una serie di slide, con un testo semplice che guida il lettore non esperto il capitolo sulle misure di sicurezza presenta tabelle che illustrano, per ogni misura rappresentata, gli aspetti tecnici ed organizzativi che la contraddistinguono il capitolo sulle normative presenta brevemente le leggi che hanno impatti sulla sicurezza aziendale

14 LA SICUREZZA DEGLI ASSET L aspetto educativo Se Se sei sei saggio, saggio, lo lo sei sei a tuo tuo profitto; se se sei sei stolto, stolto, tu tu solo solo ne ne porterai le le conseguenze. Proverbi 9,12 9,12 I beni da proteggere La gestione del rischio Le misure di sicurezza Le normative sulla sicurezza

15 LA SICUREZZA DEGLI ASSET I beni da proteggere I beni da proteggere Solo Solo ciò ciò che che si si conosce può può essere essere protetto BENI MATERIALI BENI IMMATERIALI ALTRO PERSONALE

16 LA SICUREZZA DEGLI ASSET I beni da proteggere BENI MATERIALI Immobili Attrezzature di vario tipo necessarie o accessorie all attività dell ente (mobili, sistema informativo, autoveicoli ) Infrastrutture e impianti Supporti di informazione (documenti, dischi, CD, pc ) BENI IMMATERIALI Informazioni PERSONALE Dipendenti e collaboratori, consulenti esterni ALTRI ASSET Clientela, reputazione aziendale

17 LA SICUREZZA DEGLI ASSET I beni da proteggere DOVE SONO LE INFORMAZIONI Documenti Sistemi informativi (dati) Sistemi informativi (software, configurazioni) Processi Oggetti Personale (competenze, conoscenze)

18 LA SICUREZZA DEGLI ASSET La gestione del rischio TERMINOLOGIA Bene - è l oggetto reale o immateriale da difendere Rischio - è il risultato finale, diretto, indiretto o consequenziale ad un azione volontaria, involontaria o ad un evento accidentale Minaccia - è un azione volontaria, involontaria o un evento accidentale Impatto[danno] - è la conseguenza diretta, indiretta, consequenziale ad un evento dannoso Probabilità - è il numero di volte che può aver luogo una minaccia in un determinato periodo Vulnerabilità - è una caratteristica intrinseca del bene, che viene sfruttata dalla minaccia Contromisura - è un fattore che consente di ridurre o annullare l effetto di una minaccia

19 LA SICUREZZA DEGLI ASSET La gestione del rischio ESPLICITE Documenti Sistemi informativi (dati) Sistemi informativi (software, configurazioni) Processi Oggetti (prototipi, campioni ) Taratura impianti e macchine IMPLICITE Personale (competenze, conoscenze) Processi

20 LA SICUREZZA DEGLI ASSET La gestione del rischio È impossibile che che l improbabile non non avvenga Henri Henri Poincaré Poincaré EDIFICIO LOCALE ATTREZZATURE

21 LA SICUREZZA DEGLI ASSET La gestione del rischio BENI MATERIALI BENI IMMATERIALI PERSONALE

22 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI PROPRI DEI BENI MATERIALI Furto/Sottrazione/Perdita Guasto Danneggiamento/Distruzione/Alterazione Inaccessibilità (di breve/lungo periodo) Accesso/uso illegittimo/improprio (ad edifici, sistemi, attrezzature ) Invecchiamento (reale, tecnologico ) Assenza

23 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI PROPRI DEI BENI IMMATERIALI Copia illecita (la sottrazione del bene può anche non essere evidente, in quanto la copia dell informazione ha lo stesso valore dell originale, che quindi non scompare) Intercettazione/Consultazione Inaccessibilità Alterazione dell informazione (modifica, correzione, cancellazione, inserimento di informazioni errate ) Comunicazione/diffusione illecita Perdita di qualità (degrado, invecchiamento ) Assenza o mancata esplicitazione Perdita

24 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI DERIVATI DEI BENI IMMATERIALI Tutti i rischi legati al contenitore dell informazione Tutti i rischi legati al soggetto che detiene l informazione

25 LA SICUREZZA DEGLI ASSET La gestione del rischio RISCHI DEL PERSONALE Perdita assoluta (dimissioni, pensionamento, malattia) Perdita parziale (trasferimento ad altro ruolo, riduzione delle prestazioni) RISCHI PER L ENTE Interruzione, alterazione o limitazione nella produzione o erogazione dei servizi Perdite economiche (dirette, indirette, consequenziali) Perdita della clientela Rischi reputazionali (danni di immagine) Rischi legali

26 LA SICUREZZA DEGLI ASSET La gestione del rischio SOTTRAZIONE DI INFORMAZIONI Con furto del contenitore Senza furto del contenitore Intercettazione Recupero Personale Furto di: documenti supporti magnetici/ottici pc prototipi Consultazione, osservazione di: documenti dati sul sistema informativo comportamenti impianti Copia di: documenti supporti magnetici/ottici Fotografie, riprese video, registrazioni audio di comunicazioni e trasmissioni (telefoniche, vocali, , transazioni su rete locale o geografica, radio...) dei tasti premuti sulla tastiera delle emissioni video Rifiuti (documenti, supporti, oggetti ) assunzione di personale proveniente da altra azienda colloqui di lavoro con personale di altra azienda impersonificazione (furto di identità)

27 LA SICUREZZA DEGLI ASSET La gestione del rischio CORRELAZIONE FRA RISCHI Diretti Indiretti Consequenziali Descrizione del bene Rischio diretto Rischi indiretti Rischi consequenziali Disco fisso Rottura Perdita dati Interruzione del servizio Perdite economiche Danno di immagine Rischio legale

28 LA SICUREZZA DEGLI ASSET La gestione del rischio Descrizione del bene Sito Descrizione del bene Materie prime Rischio diretto Distruzione Rischio diretto Furto Rischi indiretti Inaccessibilità dei beni materiali ed immateriali presenti nell edificio Distruzione parziale o totale dei beni presenti nell edificio Rischi indiretti Perdita economica Interruzione della produzione Rischi consequen ziali Interruzione della produzione Perdita di clienti Perdite economiche Possibili conseguenze legali Rischi consequen ziali Perdite economiche (indirette e consequenziali) Perdita della clientela Rischi reputazionali Rischi legali

29 LA SICUREZZA DEGLI ASSET La gestione del rischio I COSTI DI RIPRISTINO Descrizione del bene Disco fisso Rischio Costo del bene Costo di ripristino Costi consequenziali Distruzione Costo del disco Costo dell intervento tecnico di sostituzione Costo di ripristino dei dati, applicazioni, configurazioni Mancato guadagno temporaneo per cessazione del servizio Rimborso a clienti Spese legali Spese per il ripristino dell immagine aziendale Mancato guadagno per perdita di clienti

30 LA SICUREZZA DEGLI ASSET La gestione del rischio TIPI DI MINACCE Ambientali Accidentali Industriali Guasti Sistema informativo Impianti Azioni Volontarie Personale interno/esterno Azioni Involontarie Personale interno/esterno

31 LA SICUREZZA DEGLI ASSET La gestione del rischio MINACCE COMPORTAMENTALI Azioni errate Azioni di terrorismo Furti/Frodi Vandalismi Social engineering Disobbedienza, sabotaggio Accesso/Uso illecito di risorse Uso non conforme di risorse lecite Scioperi del personale Scioperi di terzi (fornitori, servizi ) Scioperi connessi ai trasporti (benzinai, ferrovie...)

32 LA SICUREZZA DEGLI ASSET La gestione del rischio MINACCE COMPORTAMENTALI (SOGGETTI COINVOLTI) Esterni Concorrenti, spie Hacker, craker, terroristi Fornitori, outsourcer Interni Dipendenti infedeli Dipendenti insoddisfatti (variazioni di ruolo, mansione, organizzazione, gerarchia.) Dipendenti stressati Dipendenti non adeguatamente formati Dipendenti disattenti o che non rispettano le regole

33 LA SICUREZZA DEGLI ASSET La gestione del rischio CARENZE ORGANIZZATIVE Mancata regolamentazione a vari livelli Mancata definizione dei ruoli Mancanza di procedure, policy Mancata identificazione del valore delle risorse Mancata identificazione dei rischi Mancata identificazione ed implementazione di adeguate contromisure Mancata definizione dei controlli e del processo di gestione degli stessi Mancata definizione della responsabilità dei controlli CARENZE NELLE RISORSE UMANE ERRORI INVOLONTARI Processi aziendali Nell ambito dei sistemi informativi Nell ambito degli edifici e delle infrastrutture Nell ambito degli impianti produttivi

34 LA SICUREZZA DEGLI ASSET La gestione del rischio FASI DELL ANALISI DEI RISCHI Identificazione beni Relazione fra beni Identificazione minacce vulnerabilità Identificazione rischi Valutazione probabilità di accadimento Valutazione impatto Valutazione rischio

35 LA SICUREZZA DEGLI ASSET La gestione del rischio PROBABILITÀ Minacce accidentali Livello di vulnerabilità rispetto ad una specifica minaccia Probabilità intrinseca dell evento Minacce di tipo deliberato Livello di vulnerabilità rispetto ad una specifica minaccia Interesse di chi attua la minaccia Appetibilità del bene Minacce di tipo involontario Livello di vulnerabilità rispetto ad una specifica minaccia

36 LA SICUREZZA DEGLI ASSET La gestione del rischio L ATTIVAZIONE DELLE CONTROMISURE

37 LA SICUREZZA DEGLI ASSET La gestione del rischio TRATTAMENTO DEL RISCHIO RESIDUO Eliminare il rischio Ridurre il rischio Ridurre l impatto Ridurre la probabilità Trasferire il rischio Assicurativo Non assicurativo Accettare il rischio

38 LA SICUREZZA DEGLI ASSET Le misure di sicurezza For For the the want want of of a a nail nail a a shoe shoe was was lost, lost, for for the the want want of of a a shoe shoe a a horse horse was was lost, lost, for for the the want want of of a a horse horse a a knight knight was was lost, lost, for for the the want want of of a a knight knight a a battle battle was was lost, lost, for for the the want want of of a a battle battle the the kingdom kingdom was was lost, lost, all all for for the the want want of of a a nail. nail. FISICHE ORGANIZZATIVE LOGICHE

39 LA SICUREZZA DEGLI ASSET Le misure di sicurezza

40 LA SICUREZZA DEGLI ASSET Le misure di sicurezza Norme di comportamento Formazione degli incaricati Istruzioni per gli incaricati

41 (IN)CONSAPEVOLEZZA Livello di sicurezza del dato

42 (IN)CONSAPEVOLEZZA carenza di consapevolezza dei rischi e delle modalità per contrastarli da parte del personale e degli imprenditori carenza nella conoscenza delle normative che riguardano la sicurezza assenza di processi formalizzati, parzialmente sostituiti da prassi e istruzioni verbali (in particolare dove si trattano dati riservati dei clienti) assenza di un codice etico e di regole di comportamento dispersione nella collocazione dei documenti da proteggere, di norma non classificati (ad eccezione in genere di quelli relativi al personale) assenza di profilazioni differenziate negli accessi ai sistemi (in genere nelle aziende medio piccole tutti coloro che accedono ad una parte del sistema informativo, lo fanno con gli stessi privilegi)

43 (IN)CONSAPEVOLEZZA copie dei dati digitali conservate nello stesso luogo dei dati originali carenza di consapevolezza nell uso di supporti rimuovibili assenza di qualunque prova di ripristino e di verifica della validità delle copie di backup assenza di metodologie di aggiornamento dei sistemi mancanza di protezione nei collegamenti verso l esterno inadeguata organizzazione degli spazi, con particolare riferimento a quelli per il ricevimento del pubblico

44 (IN)CONSAPEVOLEZZA Dlgs 196/03 Art. 3 Principio di necessità (Dlgs 196/03) 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l interessato solo in caso di necessità.

45 (IN)CONSAPEVOLEZZA Art. 3 Principio di necessità (Dlgs 196/03) Revisione applicativi Revisione delle basi dati Definizione di regole per la progettazione dei nuovi applicativi

46 (IN)CONSAPEVOLEZZA Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro 16 dicembre 2009 Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.

47 (IN)CONSAPEVOLEZZA Art. 170 Inosservanza di provvedimenti del Garante (Dlgs 196/03) Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

48 (IN)CONSAPEVOLEZZA Misura minima 25 (Allegato B - Dlgs 196/03) Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

49 (IN)CONSAPEVOLEZZA Misure minime 4, 9, 10, 18, 21, 27 (Allegato B - Dlgs 196/03) Sono richieste istruzioni formali (scritte) per: Segretezza password Custodia dello strumento elettronico Accesso in assenza prolungata dell incaricato Salvataggio dei dati Custodia ed uso dei supporti rimuovibili Controllo e custodia dei documenti Solo con le semplificazioni del 2008 (difficilmente applicabili) è possibile impartire istruzioni orali (mm 4, 9, 18, 21, 27)

50 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) La separazione dei ruoli e degli incarichi corrisponde ad un analoga separazione fisica degli incaricati? L organizzazione dei documenti e delle informazioni in essi contenute è coerente con gli incarichi? Il livello di sicurezza è identico in tutta la catena del trattamento? Nello stesso ufficio le persone hanno lo stesso incarico? Nello stesso ufficio le persone sono della stessa azienda? Come sono gestiti gli spazi comuni?

51 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) Separazione degli spazi Come sono gestiti gli strumenti comuni di lavoro (stampanti, fotocopiatrici, fax )? Il personale è adeguatamente istruito per gestire situazioni promiscue? Organizzazione dei documenti La disposizione delle informazioni sui documenti tiene conto dei diversi ruoli del personale che può accedervi? La circolazione dei documenti è coerente con le autorizzazioni?

52 (IN)CONSAPEVOLEZZA Misure minime 12, 13, 14, 27 (Allegato B - Dlgs 196/03) Stampe Viene garantita la stessa sicurezza dei dati memorizzati sui sistemi centrali? Le autorizzazioni alla consultazione delle stampe è coerente con quella di accesso al sistema informativo? Il processo di gestione delle stampe è formalizzato e controllato?

53 LA CONTINUITÀ DEI SERVIZI Continuità dei servizi Alta affidabilità/alta disponibilità Disaster Recovery Business continuity

54 DEFINIZIONI Alta affidabilità (alta disponibilità), disaster recovery e business continuity, esprimono concetti molto diversi fra loro, anche se strettamente connessi, in quanto tutti orientati a garantire la continuità di un servizio.

55 DEFINIZIONI Alta affidabilità (alta disponibilità) Per alta affidabilità si intende la capacità di un sistema di resistere a situazioni locali di guasto, tali da consentire la continuità nell erogazione del servizio. Ridondanza: Componenti Server Apparecchiature di rete Porzioni del CED Dati

56 DEFINIZIONI CED Primario CED Secondario CED DR Alta affidabilità

57 Disaster Recovery DEFINIZIONI La creazione di soluzioni di DR comprende una casistica pressoché illimitata, in quanto molteplici sono le composizione dei sistemi informativi delle aziende di grosse dimensioni. In estrema sintesi comunque è possibile distinguere le marco soluzioni di DR in alcune categorie: quelle che prevedono la disponibilità di un sito, nel quale è possibile collocare i sistemi sui cui far ripartire applicazioni e servizi quelle che prevedono la disponibilità di un sito, con già disponibili i sistemi sui cui far ripartire applicazioni e servizi, lasciati inattivi quelle che prevedono la disponibilità di un sito, nel quale è sono disponili sistemi, già attivi che erogano già applicazioni e servizi; in questo caso si utilizza normalmente un bilanciamento di carico fra i due siti (quello primario e quello secondario) nella erogazione dei servizi. In caso di fault di uno dei siti l altro è in grado di erogare il 100% dei servizi, eventualmente con prestazioni degradate.

58 DEFINIZIONI Business continuity La capacità di continuare la propria attività è condizionata almeno dai seguenti fattori: disponibilità di strumenti disponibilità di informazioni disponibilità dei collaboratori (in particolare delle figure chiave) oltre ovviamente alla disponibilità di un edificio con le opportune infrastrutture in cui collocare quanto sopra. La condizione ideale per verificare la propria effettiva capacità di ripristino è ovviamente quella dei test; è comunque possibile ottenere un buon livello di confidenza proprio durante le attività propedeutiche agli adempimenti previste ad esempio dal 196/03.

59 NORMATIVA DI RIFERIMENTO Pubbliche amministrazioni Normativa: CAD Digitpa: Linee guida per il disaster recovery delle pubbliche amministrazioni Banche Normativa: Banca d Italia - Continuità operativa in casi di emergenza ABI ABILAB - Metodologie varie, strumenti, gruppi di lavoro, osservatorio sulla business continuity

60 PERIMENTO Articolo 50-bis del CAD 3. A tali fini, le pubbliche amministrazioni definiscono: a. il piano di continuità operativa, che fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale; b. il piano di Disaster Recovery, che costituisce parte integrante di quello di continuità operativa di cui alla lettera a) e stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di Disaster Recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l innovazione. 2.3 Rapporti tra Stato, Regioni, Province autonome ed enti locali Dal combinato disposto dei commi richiamati discende l obbligo per amministrazioni centrali, regionali, provinciali e comunali di dare attuazione a quanto previsto dall art 50-bis del nuovo CAD.

61 PERIMENTO Continuità operativa (art. 50 bis) Disaster recovery (art. 50 bis, comma 3, lettera b)

62 PERIMENTO La Banca d Italia ha definito linee guida per la gestione della continuità operativa rivolte a tutte le banche; per quanto riguarda la prevenzione del rischio sistemico si fa riserva di chiedere ad alcuni intermediari l attivazione di misure di emergenza più rigorose.

63 DEFINIZIONI Continuità Operativa/Business Continuity (CO/BC): l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione; è parte integrante dei processi e delle politiche di sicurezza di un organizzazione; Continuità operativa ICT: la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali; Disaster recovery (DR): nell ottica dell art. 50 bis del CAD, l insieme delle misure tecniche e organizzative adottate per assicurare all organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate;

64 DEFINIZIONI In linea generale, la Continuità Operativa è intesa come l insieme delle attività e delle politiche adottate per ottemperare all obbligo di assicurare la continuità nel funzionamento dell organizzazione. Quest obbligo finora è stato assolto, a fronte di eventi che hanno avuto un impatto sul regolare funzionamento dell organizzazione, ricorrendo a soluzioni di emergenza di tipo tradizionale quali: il trasferimento dei servizi presso gli uffici rimasti operativi, l attivazione di procedure amministrative alternative, l ausilio di personale aggiuntivo, ecc. Oggi l impiego di procedure alternative di tipo tradizionale è quasi sempre insufficiente a garantire la continuità dei servizi, atteso il diffuso utilizzo delle tecnologie informatiche. Anche qualora il procedimento amministrativo appaia non informatizzato, una fase del suo procedimento è stata assolta mediante applicazioni informatiche; inconvenienti di natura tecnica, pertanto, possono condizionare il normale svolgimento dei processi tradizionali, fino a comportare il blocco delle attività istituzionali anche per lunghi periodi. In particolare il processo di dematerializzazione promosso dal CAD, che con le sue disposizioni ha trasformato da ordinatoria a perentoria l azione di eliminazione della carta, comporta un incremento della criticità dei sistemi informatici che non possono più contare su un backup basato sulla documentazione cartacea.

65 DEFINIZIONI Per continuità operativa ICT - ai sensi e per le finalità di queste linee guida - si intende la capacità di un organizzazione di adottare, attraverso accorgimenti, procedure e soluzioni tecnico organizzative, misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali. In tal senso la continuità operativa ICT deve, quindi, garantire la protezione dalle potenziali criticità delle funzionalità informatiche, tenendo conto delle risorse umane, strutturali, tecnologiche riferibili all infrastruttura informatica, stabilendo le idonee misure preventive e correttive nel rispetto dei livelli prestazionali riconosciuti.

66 DEFINIZIONI La gestione della continuità operativa comprende tutte le iniziative volte a ridurre a un livello ritenuto accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un azienda. Il piano di continuità operativa, nel seguito denominato anche piano di emergenza, e il documento che formalizza i principi, fissa gli obiettivi e descrive le procedure per la gestione della continuità operativa dei processi aziendali critici. Il piano di disaster recovery stabilisce le misure tecniche e organizzative per fronteggiare eventi che provochino la indisponibilità dei centri di elaborazione dati. Il piano, finalizzato a consentire il funzionamento delle procedure informatiche rilevanti in siti alternativi a quelli di produzione, costituisce parte integrante del piano di continuità operativa.

67 SCENARI DI RISCHIO Da quanto detto consegue che la continuità dei servizi informatici rappresenta un impegno inderogabile per la Pubblica Amministrazione che dovrà operare in modo da limitare al massimo gli effetti negativi di possibili fermi prolungati dei servizi ICT. A titolo esemplificativo, la compromissione della continuità di un sistema informatico, può essere conseguenza di: errori/malfunzionamenti dei processi (il processo organizzativo che usa il servizio ICT non ha funzionato come avrebbe dovuto per errori materiali, errori nell applicazione di norme ovvero per il verificarsi di circostanze non adeguatamente previste dalle stesse); malfunzionamento dei sistemi, delle applicazioni e delle infrastrutture; attacchi o eventi naturali di tipo accidentale; disastri.

68 SCENARI DI RISCHIO AMBITO DEL piano di continuità operativa Le banche definiscono un piano di continuità operativa per la gestione di situazioni critiche conseguenti sia a incidenti di portata settoriale sia a catastrofi estese che colpiscono l azienda o le sue controparti rilevanti (altre società del gruppo, principali fornitori, clientela primaria, specifici mercati finanziari, istituzioni di regolamento e compensazione). Laddove alcuni processi critici siano svolti da soggetti specializzati appartenenti al gruppo (ad es. allocazione della funzione informatica o del back-office presso una società strumentale), i relativi presidi di emergenza costituiscono parte integrante dei piani di continuità delle banche..

69 SCENARI DI RISCHIO Il piano prende in considerazione almeno i seguenti scenari di crisi: distruzione o inaccessibilità di strutture nelle quali sono allocate unità operative o apparecchiature critiche; indisponibilità di personale essenziale per il funzionamento dell azienda; interruzione del funzionamento delle infrastrutture (tra cui energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari); alterazione dei dati o indisponibilità dei sistemi a seguito di attacchi perpetrati dall esterno attraverso reti telematiche; danneggiamenti gravi provocati da dipendenti.

70 ANALISI DI IMPATTO La BIA, infatti, (Business Impact Analysis, termine inglese traducibile con valutazione dell impatto sull operatività ) è la metodologia da utilizzare al fine di determinare le conseguenze derivanti dal verificarsi di un evento critico e di valutare l impatto di tale evento sull operatività dell amministrazione. La Business Impact Analysis, infatti, ha l obiettivo di correlare specifiche componenti di sistema con i servizi critici che forniscono e, sulla base di tali informazioni, caratterizzare le conseguenze di una indisponibilità delle componenti stesse.quindi, la BIA prevede due macrofasi: il censimento dei processi fondamentali (mission critical) e la loro correlazione ai sistemi ICT. Normalmente, la BIA valuta l impatto di un evento sull operatività su base economica, valutando cioè la perdita economica causata dal verificarsi di un evento. Questo approccio, tuttavia, non è immediatamente applicabile al contesto della Pubblica Amministrazione.

71 ANALISI DI IMPATTO Nel settore pubblico, difatti, l interruzione dei servizi erogati comporta danni non immediatamente monetizzabili : le perdite (e dunque l impatto) devono essere valutate tenendo conto dell insieme dei seguenti aspetti: aspetti economici (mancata o ritardata riscossione di tributi, esborso di oneri aggiuntivi conseguenti il mancato pagamento a cittadini o imprese, ecc.); aspetti sociali (la non disponibilità di servizi sociali critici può generare problemi di ordine pubblico); aspetti reputazionali (perdita di credibilità da parte delle istituzioni); aspetti normativi (mancata o differita attuazione di norme di legge). Mediante specifiche valutazioni da parte dell Amministrazione, le attività di BIA consistono in: identificazione dei processi chiave considerati nel perimetro di analisi (aspetti da valutare ai fini della soluzione di continuità dell Amministrazione); delineare la criticità di ciascun processo (Classificazione dei processi in funzione degli impatti); determinare la criticità delle risorse che contribuiscono all erogazione dei processi (Classificazione delle risorse) e le loro interdipendenze; individuare i tempi di indisponibilità massima sostenibili per ciascun processo definita in termini di RTO ed RPO.

72 ANALISI DI IMPATTO 3.1 Correlazione ai rischi L analisi di impatto, preliminare alla stesura del piano di emergenza e periodicamente aggiornata, individua il livello di rischio relativo ai singoli processi aziendali e pone in evidenza le conseguenze della interruzione del servizio. I rischi residui, non gestiti dal piano, sono documentati ed esplicitamente accettati dalla banca. L allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio. L analisi di impatto tiene conto dei parametri caratteristici della struttura organizzativa e dell operatività aziendale, tra cui: le specificità - in termini di probabilità di catastrofe - connesse con la localizzazione dei siti rilevanti (ad es. sismicità dell area, dissesto idrogeologico del territorio, vicinanza ad insediamenti industriali pericolosi, prossimità ad aeroporti o a istituzioni con alto valore simbolico); i profili di concentrazione geografica (ad es. presenza di una pluralità di operatori nei centri storici di grandi città); la complessità dell attività tipica o prevalente e il grado di automazione raggiunto; le dimensioni aziendali e l articolazione territoriale

73 POSSIBILI SOLUZIONI 6.2 La realizzazione di soluzioni di continuità operativa Nella realizzazione delle soluzioni di CO/DR le Amministrazioni possono, in linea di massima, garantirsi: 1. la sola salvaguardia dei dati e delle applicazioni: questa soluzione è da ricercare quando un Amministrazione stima che non sia necessaria una disponibilità più o meno immediata per l accesso ai dati. Può essere il caso di un servizio di conservazione di dati storici che non contemplino una frequenza di accesso periodica (per esempio, dati relativi a pratiche di oltre quindici-venti anni, che possono essere consultate solo eccezionalmente o molto raramente); naturalmente, anche la sola salvaguardia dei dati e delle applicazioni può richiedere che questa avvenga minimizzando i disallineamenti tra dati primari e dati remoti (RPO basso); 2. l accesso a contratti standard di Disaster Recovery: si tratta delle offerte di servizi di DR che i fornitori di questi servizi mettono a disposizione di tipologie di utenza generiche (imprese, finanza, assicurazioni); in genere, consistono nella possibilità di accedere a periodi temporalmente limitati di disponibilità di sistemi (60-90 giorni) e, anche in questo caso, possono consistere nella sola salvaguardia dei dati e delle applicazioni;

74 POSSIBILI SOLUZIONI 3. soluzioni personalizzate: se le esigenze di continuità dei servizi IT di un Amministrazione e la numerosità e/o la criticità delle applicazioni e delle utenze sono particolarmente elevate, oppure esistono particolari requisiti, quali l esigenza di isolare le infrastrutture di DR da quelle condivise da altre utenze, un Amministrazione deve predisporsi a ricercare soluzioni che siano sviluppate per le proprie specifiche esigenze. Si tratta di soluzioni che solo Amministrazioni molto grandi o che svolgano servizi di particolare delicatezza dovrebbero ricercare. 4. il mutuo soccorso: il mutuo soccorso, che può anche realizzarsi per la semplice salvaguardia dei dati e delle applicazioni, è una via perseguibile solo quando due o più Amministrazioni sono in presenza di due fattori precisi: a) la disponibilità di risorse logistiche e IT che siano in esubero rispetto ai bisogni di ciascuna; b) la volontà di condividere queste risorse con altre Amministrazioni. Si tratta di una soluzione che rappresenta al meglio lo spirito di collaborazione all interno della PA, ma che comunque implica molta attenzione, non solo al quadro normativo di riferimento (con particolare riguardo alla conformità con quanto previsto dal DLgs. 196/03 ( Testo unico in materia di protezione dei dati personali ) relativamente alle misure tecniche ed organizzative da adottare per la protezione dei dati personali trattati dall Amministrazione) e agli aspetti procedurali (per esempio: la regolamentazione dell accesso, potenzialmente prolungato, a locali di personale esterno, non solo dell Amministrazione mutuata, ma anche di fornitori di questa; le potenziali differenze di esigenze operative, quali orari differenti di disponibilità dei servizi, che rendano necessario, sempre all Amministrazione mutuata, la presenza di personale in orari di chiusura dell Amministrazione mutuante ).

75 POSSIBILI SOLUZIONI

76 Linee guida per il disaster recovery delle pubbliche amministrazioni A tal fine, il perimetro di competenza della continuità operativa ICT deve comprendere almeno: le applicazioni informatiche e i dati del sistema informativo indispensabili all erogazione dei servizi e allo svolgimento delle attività (informatiche e non); le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; i dispositivi di elaborazione hardware e software che permettono la funzionalità delle applicazioni realizzanti i servizi dell amministrazione; le componenti di connettività locale e/o remota/geografica; ciò che serve per consentire lo svolgimento delle attività del personale informatico, sia interno all amministrazione, sia, se presente, esterno, ma correlato al sistema informativo stesso; le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all interno dell amministrazione e ai fruitori esterni dei servizi del sistema informativo dell amministrazione, siano essi cittadini, imprese, altre amministrazioni; le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; la gestione dei posti di lavoro informatizzati dell amministrazione; i servizi previsti per l attuazione del C.A.D. (fra cui ad es. la PEC; la firma Digitale...)

77 Linee guida per il disaster recovery delle pubbliche amministrazioni Per quanto riguarda i posti di lavoro informatizzati (PDL), agli effetti della soluzione di continuità operativa è importante, tenuto conto delle caratteristiche del sistema informativo e delle applicazioni informatiche di cui deve essere garantito il funzionamento, considerare: il numero minimo di PDL che possa garantire la funzionalità dell ufficio o della sede dove risiedono i PDL; la disponibilità di PDL di emergenza presso altri uffici o presso altre sedi dell amministrazione; la disponibilità di dispositivi (workstation) alternativi, quali portatili, nello stesso ufficio o presso sedi diverse dell amministrazione; la disponibilità di connettività alternativa (collegamenti ridondati, collegamenti via UMTS); la disponibilità di sistemi di continuità elettrica (UPS e gruppi elettrogeni).

78 POSSIBILI SOLUZIONI Tier 1: è la soluzione minimale coerente con quanto previsto dall articolo 50-bis. Prevede il backup dei dati presso un altro sito tramite trasporto di supporto (nastro o altro dispositivo). I dati sono conservati presso il sito remoto. In tale sito deve essere prevista la disponibilità, in caso di emergenza, sia dello storage su disco, dove riversare i dati conservati, sia di un sistema elaborativo in grado di permettere il ripristino delle funzionalità IT. Nel caso di affidamento del servizio di custodia ad un fornitore, tale disponibilità deve essere regolamentata contrattualmente. Per questa soluzione: potrebbero non essere presenti procedure di verifica della coerenza dei dati ed esistere un unica copia storage; la disponibilità dei dispositivi (storage su disco e sistemi di elaborazione) potrebbe prevedere tempi non brevi (anche più settimane per l assegnazione da parte del fornitore); la disponibilità dei dispositivi potrebbe non garantire le performance rispetto al sistema primario; la disponibilità dei dispositivi potrebbe essere assegnata per un periodo di tempo limitato. Poiché i dati salvati possono essere relativi all intera immagine dello storage primario o solo ai dati delle elaborazioni, la disponibilità dei dispositivi ausiliari deve essere chiaramente definita in termini di ambiente hardware e software di riferimento. Vengono quindi assicurate l esecuzione e conservazione dei backup e, per i casi in cui si renda necessario assicurare il ripristino, la disponibilità di un sito vuoto attrezzato, pronto a ricevere le componenti e configurazioni necessarie, ove fosse richiesto, per far fronte all emergenza (on demand).

79 POSSIBILI SOLUZIONI Tier 2: la soluzione è simile a quella del Tier 1, con la differenza che le risorse elaborative possono essere disponibili in tempi sensibilmente più brevi, viene garantito anche l allineamento delle performance rispetto ai sistemi primari ed esiste la possibilità di prorogare, per un tempo limitato, la disponibilità delle risorse elaborative oltre il massimo periodo di base. Vengono assicurate l esecuzione e conservazione dei backup e la disponibilità presso il sito dei sistemi e delle configurazioni da poter utilizzare per i casi in cui si renda necessario il ripristino. Tier 3: la soluzione è simile a quella del Tier 2, con la differenza che il trasferimento dei dati dal sito primario e quello di DR avviene attraverso un collegamento di rete tra i due siti. Questa soluzione, che può prevedere tempi di ripristino più veloci rispetto ai Tier precedenti, rende necessario dotarsi di collegamenti di rete con adeguati parametri di disponibilità, velocità di trasferimento e sicurezza (sia della linea, sia delle caratteristiche dipendenti dalla quantità di dati da trasportare). Tier 4: la soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi. Le altre caratteristiche sono quelle del Tier 3, con la possibilità di aggiornamento dei dati (RPO) con frequenza molto alta, ma non bloccante per le attività transazionali del centro primario (aggiornamento asincrono).

80 POSSIBILI SOLUZIONI Tier 5: la soluzione è analoga a quella del Tier 4, con la differenza che l aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti. Allo stato attuale della tecnologia questa soluzione non può prescindere dalle caratteristiche della connettività sia in termini di distanza, sia in termini di latenza; ne consegue che tale modalità (sincronizzazione), nonché l eventuale bilanciamento geografico del carico di lavoro, risulta difficile oltre significative distanze fisiche fra sito primario e secondario. Tier 6: la soluzione prevede che nel sito di DR le risorse elaborative, oltre ad essere sempre attive, siano funzionalmente speculari a quelle del sito primario, rendendo così possibile ripristinare l operatività dell IT in tempi molto ristretti. Le altre caratteristiche sono uguali a quelle del Tier 5.

81 Disaster Recovery PROBLEMI Difficoltà nella scomposizione in servizi/processi Mappatura delle risorse Difficile individuare le risorse necessarie Ci sono le infrastrutture comuni che non possono essere scomposte Corretta individuazione dei collegamenti interni ed esterni Se i sistemi sono troppi la priorità di ripartenza comporta notevoli problemi Difficoltà nel ripristino legata alla mancata sincronizzazione dei dati Solo sistemi molto piccoli e limitati possono ripartire senza problemi, ovvero solo se si dispone effettivamente di un sito alternativo Solo con i test è possibile verificare se funzionano effettivamente le soluzioni I test sono costosi, difficili, pericolosi Il rientro non è un opzione prevedibile; se si va in DR è perché il contro principale potrebbe non esserci più Necessità di una verifica da parte dell audit

82 PROBLEMI PUNTI DI ATTENZIONE (Esempi) Disaster Recovery Mancanza di attenzione a componenti importanti nel sito primario: Mettere sotto gruppo di continuità: Condizionatori Postazioni utente vitali Illuminazione essenziale Posizionamento delle batterie tampone Contratto per rifornimento carburante anche durante week end Testare Tutti i singoli componenti Valvole dell impianto di alimentazione di emergenza

83 PROBLEMI

84 PROBLEMI PUNTI DI ATTENZIONE (Esempi) Disaster Recovery Mancanza di attenzione a componenti importanti nel sito primario: Sicurezza fisica Consentire la presenza di un solo operatore nel CED Verificare periodicamente i singoli componenti ed impianti: Sensori sistema antincendio Bocchette antincendio non ostacolate da materiale Presenza di scatoloni nel CED o nelle vicinanze Mancanza di univoca definizione di emergenza/disastro

85 Business continuity PROBLEMI Carenze più significative: mancanza di documentazione assenza di una mappatura e formalizzazione dei processi parti di processi chiave non documentata o non nota ampio uso di applicazioni di operatività individuale in aggiunta al sistema informativo aziendale dispersione nella archiviazione dei file, molto spesso collocati anche sui singoli pc in uso ai dipendenti assenza di un censimento della documentazione presente al di fuori del sistema informativo mancanza di qualunque classificazione delle informazioni eccessivo ricorso a figure chiave mancanza di backup per quanto attiene la documentazione

86 PROBLEMI Il valore della pianificazione diminuisce in conformità con la complessità dello stato delle cose. Credetemi: questo è vero. Può sembrare paradossale. Magari pensate che più sia complessa una situazione, più è necessario un piano per poter farne fronte. Vi concedo la teoria. Ma la pratica è diversa. Allen Massie, 1986 Augustus: Memoirs of Emperor. Bodley Head

87 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

88 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

89 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

90 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

91 CRITERI PER IL SITO DI DR (Linee guida per il DR nella PA)

Giancarlo Butti Sicurezza totale dei tuoi dati Disaster recovery ed alta disponibilità

Giancarlo Butti Sicurezza totale dei tuoi dati Disaster recovery ed alta disponibilità Cloud Backup e Disaster Recovery Pavia 15/03/2012 Giancarlo Butti, (LA BS7799), (LA ISO 27001), ISM, CRISC Giancarlo Butti Mi occupo di ICT, organizzazione e normativa dai primi anni 80 Security manager

Dettagli

CONTINUITÀ OPERATIVA E DISASTER RECOVERY NELLA P.A.

CONTINUITÀ OPERATIVA E DISASTER RECOVERY NELLA P.A. CONTINUITÀ OPERATIVA E DISASTER RECOVERY NELLA P.A. DEFINIZIONI CONTINUITÀ OPERATIVA capacità di reagire e rispondere a eventi imprevisti che compromettano il funzionamento ICT DISASTER RECOVERY sinonimo

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

Continuità operativa e disaster recovery nella pubblica amministrazione

Continuità operativa e disaster recovery nella pubblica amministrazione Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività

Dettagli

Sicurezza informatica nelle Pubbliche Amministrazioni

Sicurezza informatica nelle Pubbliche Amministrazioni La continuitá operativa nelle Pubbliche Amministrazioni Bolzano, 28.02.2012 Dott. Giovanni Rellini Lerz Definizione di business continuity (BC) o continuità operativa (CO) (Da BS 25999-2:2007) Business

Dettagli

L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis

L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis DEL NUOVO CAD DEL NUOVO CAD Franco Ardito Programma di Continuità Operativa - CSI Piemonte Franco Ardito Programma

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari www.compliancenet.it www.prometeomc.it Guida alla redazione del Business Continuity Plan per gli intermediari finanziari 22 luglio 2010 - versione 1.0 http://www.compliancenet.it/content/guida-business-continuity

Dettagli

Pedranzini Fabrizio Gruppo di Lavoro ICT - CODAU. Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery

Pedranzini Fabrizio Gruppo di Lavoro ICT - CODAU. Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery Agenda dell incontro 2 A. Premesse: 1. Introduzione e sintesi del quadro normativo 2. Stato di avanzamento dei

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Sicurezza totale. di Giancarlo Butti. Guida alla protezione dei beni aziendali ITER

Sicurezza totale. di Giancarlo Butti. Guida alla protezione dei beni aziendali ITER Sicurezza totale di Giancarlo Butti Guida alla protezione dei beni aziendali ITER Giancarlo Butti, LA BS7799, LA ISO IEC 27001, CRISC, ISM Security manager ed auditor presso gruppi bancari, consulente

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda),

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Comune di Nola Provincia di Napoli Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Sommario Articolo I. Scopo...2 Articolo II. Riferimenti...2 Articolo III. Definizioni

Dettagli

Studio di Fattibilità Tecnica

Studio di Fattibilità Tecnica COMUNE DI MONASTIER DI TREVISO Provincia di Treviso Tel. 0422/798525 - Fax 0422/791045 e-mail: ragioneria@comune.monastier.tv.it pec: ragioneria.comune.monastier.tv@pecveneto.it Studio di Fattibilità Tecnica

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

INFORMATIVA DI GIUNTA

INFORMATIVA DI GIUNTA COPIA ATTI: 1787/3.6/2014/1 N. REP. GEN. 5/2014 INFORMATIVA DI GIUNTA Oggetto: Informativa in merito alla realizzazione del Piano di Continuità Operativa del Sistema Informativo della Provincia di Milano.

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i.

LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i. LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del comma 3, lettera b) dell art. 50-bis del DLgs. N. 82/2005 e s.m.i. BREVE GUIDA ALLA LETTURA... 5 1 OBIETTIVI E SCENARI

Dettagli

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Continuità operativa e Disaster recovery Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Alcuni concetti Gestione

Dettagli

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa La Argo software srl è impegnata costantemente a pianificare e monitorare le proprie azioni per la

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia con il sostegno di propongono il percorso formativo RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia sede del corso: ISFOR 2000, via Pietro Nenni 30, Brescia periodo

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Disaster Recovery: Aspetti tecnico-organizzativi

Disaster Recovery: Aspetti tecnico-organizzativi Disaster Recovery: Aspetti tecnico-organizzativi Business Continuity and Recovery Services IBM Italia 2002 IBM Corporation 2005 IBM Corporation LA CONTINUITÀ OPERATIVA La continuità operativa ha un perimetro

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

e-health e ICT security stato dell'arte e criticità dove stiamo andando e che cosa è già cambiato nel nostro modo di gestire i dati

e-health e ICT security stato dell'arte e criticità dove stiamo andando e che cosa è già cambiato nel nostro modo di gestire i dati ACCREDITED FOR ORGANIZATION BY JOINT COMMISSION INTERNATIONAL Servizio Sanitario Regionale AZIENDA OSPEDALIERO UNIVERSITARIA OSPEDALI RIUNITI DI TRIESTE Ospedale di rilievo nazionale e di alta specializzazione

Dettagli

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard Modello di organizzazione, gestione e controllo ex D.Lgs. 231/01. PARTE SPECIALE D : I DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI. La presente Parte Speciale, dedicata alla prevenzione dei reati

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

Il Piano di Continuità operativa. Autore: Lino Fornaro, CLUSIT

Il Piano di Continuità operativa. Autore: Lino Fornaro, CLUSIT Il Piano di Continuità operativa Autore: Lino Fornaro, CLUSIT L Autore Lino Fornaro, Security Consultant Amministratore della Net1, Presidente Axelion ü Senior Security Consultant ü Lead Auditor ISO/IEC

Dettagli

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri

Dettagli

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere le applicazioni sempre disponibili: dalla gestione quotidiana al ripristino in caso di guasto

Dettagli

Allegato tecnico Legalinvoice Luglio 2014 InfoCert Vers. 1.0 Pag. 1 di 13. Legalinvoice - Allegato Tecnico

Allegato tecnico Legalinvoice Luglio 2014 InfoCert Vers. 1.0 Pag. 1 di 13. Legalinvoice - Allegato Tecnico InfoCert Vers. 1.0 Pag. 1 di 13 Legalinvoice - Allegato Tecnico InfoCert Vers. 1.0 Pag. 2 di 13 Sommario Novità introdotte rispetto alla precedente emissione... 3 1 Introduzione... 4 2 Riferimenti normativi...

Dettagli

Aldo Lupi Ancitel Lombardia

Aldo Lupi Ancitel Lombardia BUSINESS CONTINUITY E DISASTER RECOVERY PER LE PA: OBBLIGHI DI LEGGE, STRATEGIE E OPPORTUNITA I RELATORI TELECOM Enzo Mario Bagnacani-Top Clients& Public Sector - Marketing Responsabile Infrastructure

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

Piano per la sicurezza dei documenti informatici

Piano per la sicurezza dei documenti informatici Allegato 1 Piano per la sicurezza dei documenti informatici 1 Sommario 1 Aspetti generali...3 2 Analisi dei rischi...3 2.1 Misure di sicurezza... 4 3 Misure Fisiche...4 3.1 Controllo accessi... 4 3.2 Sistema

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

Servizio Supervisione sui mercati e sul sistema dei pagamenti Divisione Sistemi di Pagamento al Dettaglio e Infrastrutture

Servizio Supervisione sui mercati e sul sistema dei pagamenti Divisione Sistemi di Pagamento al Dettaglio e Infrastrutture Servizio Supervisione sui mercati e sul sistema dei pagamenti Divisione Sistemi di Pagamento al Dettaglio e Infrastrutture Linee guida in materia di continuità operativa delle infrastrutture di mercato

Dettagli

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI Codice Privacy Procedura per la gestione del backup e del restore dei dati CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI 1 Regolamento aziendale per l utilizzo delle risorse informatiche,

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

BUSINESS CONTINUITY MANAGEMENT. Il nostro piano C in situazioni di emergenza e di crisi

BUSINESS CONTINUITY MANAGEMENT. Il nostro piano C in situazioni di emergenza e di crisi BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Il nostro piano C in situazioni di emergenza e di crisi La sicurezza non è una dimensione assoluta. Un piano di gestione del

Dettagli

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto

Dettagli

Convegno APB. Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa?

Convegno APB. Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Convegno APB Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Milano, 4 Aprile 2006 Roberto Perego Partner - esolutions Europe Agenda

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it

Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it Sicurezza informatica, pianificazione e gestione delle emergenze informatiche in una Public Utility: l esperienza di AMA Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it AMA S.p.A. : Mission raccolta, trasporto,

Dettagli

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura Corso 196/03 per i Responsabili e gli Incaricati del Trattamento Dati Percorso Formativo per l Incaricato del Trattamento Dati: Pre-requisiti: 1. Conoscenza dei dati trattati 2. Conoscenza degli strumenti

Dettagli

Relazione di accompagnamento allo Studio di Fattibilità Tecnica per la Continuità Operativa ed il Disaster Recovery

Relazione di accompagnamento allo Studio di Fattibilità Tecnica per la Continuità Operativa ed il Disaster Recovery COMUNE DI PALOMONTE Provincia di Salerno Relazione di accompagnamento allo Studio di Fattibilità Tecnica per la Continuità Operativa ed il Disaster Recovery ai sensi della Circolare n.58 di DigitPA del

Dettagli

DISCIPLINARE IN MATERIA DI UTILIZZO DEGLI STRUMENTI INFORMATICI IN OSSERVANZA DEL PROVVEDIMENTO GENERALE DEL GARANTE DELLA PRIVACY DEL 01/03/2007

DISCIPLINARE IN MATERIA DI UTILIZZO DEGLI STRUMENTI INFORMATICI IN OSSERVANZA DEL PROVVEDIMENTO GENERALE DEL GARANTE DELLA PRIVACY DEL 01/03/2007 DISCIPLINARE IN MATERIA DI UTILIZZO DEGLI STRUMENTI INFORMATICI IN OSSERVANZA DEL PROVVEDIMENTO GENERALE DEL GARANTE DELLA PRIVACY DEL 01/03/2007 Premessa Gentile Signora/Egregio Signor., L utilizzo delle

Dettagli

Piano di Continuità Operativa ICT

Piano di Continuità Operativa ICT LOGO DELL AMMINISTRAZIONE Piano di Continuita Operativa ICT Esempio di modello generale X/XX/201X F I R M E Unità/Ruolo Nominativo Firma PREPARATO DA: CONTROLLATO DA: APPROVATO DA: AUTORIZZATO DA: 2 LISTA

Dettagli

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE PREMESSA Il tema della Sicurezza dei Sistemi Informativi Automatizzati è un tema di fondamentale importanza e la recente

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Dal mainframe al Cloud, attraverso l hosting e l ASP. Il Capo V del C.A.D.

Dal mainframe al Cloud, attraverso l hosting e l ASP. Il Capo V del C.A.D. Dal mainframe al Cloud, attraverso l hosting e l ASP Milano, 24 maggio 2012 Prof. Avv. Alessandro Mantelero Politecnico di Torino IV Facoltà I. Il valore dei dati pubblici Dati pubblici: - patrimonio dell'ente

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3

A.1.1 Elenco dei trattamenti dei dati personali (Regola 19.1) Struttura di riferimento. 2 Repertorio decreti informatico Area Affari Generali SI 3 Sezione A Dipartimento regionale del, dei Servizi Generali, di Quiescenza, Previdenza ed Assistenza del e uffici di diretta collaborazione dell Assessore ubicati in viale della Regione Siciliana n. 2226

Dettagli

La gestione dei documenti informatici negli Enti Locali

La gestione dei documenti informatici negli Enti Locali La gestione dei documenti informatici negli Enti Locali Dott.ssa Maria Pia Papa MARIA PIA PAPA 1 DPCM 3/12/2013: MANUALE DI GESTIONE DEI DOCUMENTI INFORMATICI In attuazione del DPCM 3/12/2013, entro ottobre

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo AZIENDA: BANCA MONTE DEI PASCHI DI SIENA SPA STRUTTURA EMANANTE: (6974) SERV.ORG. OPERATIVA CODICE TESTO: D 00992 002 DATA PUBBLICAZIONE: 12/10/2006 OGGETTO: Direttiva di Gruppo in materia di Business

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione

Dettagli

Sicurezza dei Sistemi Informativi

Sicurezza dei Sistemi Informativi francesco moroncini Sicurezza dei Sistemi Informativi Quanto è importante la sicurezza informatica in azienda? Quanto considerate importante il vostro sistema informativo? Si sono mai verificati incidenti?

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente

Dettagli

Allegato 13. Nomina Amministratore di Sistema

Allegato 13. Nomina Amministratore di Sistema Allegato 13 Nomina Amministratore di Sistema Il presente documento rappresenta un contratto che la struttura Titolare del Trattamento stipula con un soggetto esterno (nominato Amministratore di Sistema)

Dettagli

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei

Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei Documento programmatico sulle misure di sicurezza adottate per il trattamento dei dati personali con strumenti elettronici e supporti cartacei In base al disciplinare tecnico in materia di misure di sicurezza

Dettagli

Incontra il "nuovo standard" per la gestione delle e-mail

Incontra il nuovo standard per la gestione delle e-mail Incontra il "nuovo standard" per la gestione delle e-mail L Email è uno strumento diffuso ormai da tempo, si è passati da un "utile strumento" ad una fondamentale applicazione aziendale strategica. La

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

La Gestione Integrata dei Documenti

La Gestione Integrata dei Documenti Risparmiare tempo e risorse aumentando la sicurezza Gestione dei documenti riservati. Protezione dati sensibili. Collaborazione e condivisione file in sicurezza. LA SOLUZIONE PERCHE EAGLESAFE? Risparmia

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

DECRETI PRESIDENZIALI

DECRETI PRESIDENZIALI DECRETI PRESIDENZIALI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013. Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. IL PRESIDENTE DEL

Dettagli

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A.

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A. Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 pag. 1 di 12 Revisione Data Motivo Revisione Redatto da Approvato da 1.0 03/10/2009 Emissione Andrea

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

PIANO TRIENNALE PER L ICT 2009-2011 GUIDA ALLA COMPILAZIONE DELLE BOZZE DI PIANO DA PARTE DELLE AMMINISTRAZIONI

PIANO TRIENNALE PER L ICT 2009-2011 GUIDA ALLA COMPILAZIONE DELLE BOZZE DI PIANO DA PARTE DELLE AMMINISTRAZIONI Centro nazionale per l informatica nella pubblica amministrazione Area Amministrazioni centrali PIANO TRIENNALE PER L ICT 2009-2011 GUIDA ALLA COMPILAZIONE DELLE BOZZE DI PIANO DA PARTE DELLE AMMINISTRAZIONI

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

ARCHIVIAZIONE E CONSERVAZIONE DEI DOCUMENTI DIGITALI DEL SUAP

ARCHIVIAZIONE E CONSERVAZIONE DEI DOCUMENTI DIGITALI DEL SUAP Prof. Stefano Pigliapoco ARCHIVIAZIONE E CONSERVAZIONE DEI DOCUMENTI DIGITALI DEL SUAP s.pigliapoco@unimc.it Formazione, gestione e conservazione degli archivi La gestione dell archivio rappresenta per

Dettagli

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1 Indice dei contenuti GENERALITÀ 1. ASPETTI DI SICUREZZA INERENTI LA FORMAZIONE DEI DOCUMENTI 2. ASPETTI DI SICUREZZA INERENTI LA GESTIONE DEI DOCUMENTI 3. COMPONENTE ORGANIZZATIVA DELLA SICUREZZA 4. COMPONENTE

Dettagli

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti

Dettagli

La sicurezza informatica in Azienda: backup, continuità di servizio e disaster recovery. Stefania Martini

La sicurezza informatica in Azienda: backup, continuità di servizio e disaster recovery. Stefania Martini La sicurezza informatica in Azienda: backup, continuità di servizio e disaster recovery Stefania Martini Business Continuity Vs. Disaster Recovery Business Continuity BC è un processo che si basa su persone,

Dettagli

Dal Design all'implementation: problematiche realizzative del BCP

Dal Design all'implementation: problematiche realizzative del BCP Siena, 8 Luglio 2005 Dal Design all'implementation: problematiche realizzative del BCP Divisione Governance e Service Management V. Giardina Resp. Staff Continuità Operativa Premessa Il Comitato di Basilea

Dettagli

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H Percorso formativo su Semplificazione e nuovo Codice dell Amministrazione Digitale H - 4 - FSE - 2012-1 Semplificazione

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI

LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI ai sensi del c. 3, lettera b) dell art. 50bis del Codice dell Amministrazione Digitale Aggiornamento 2013 1 Sommario GUIDA ALLA LETTURA...

Dettagli

Soluzioni e servizi a supporto della continuità del business. Padova, 9 ottobre 2008. Francesco Scribano BCRS Leader Italia

Soluzioni e servizi a supporto della continuità del business. Padova, 9 ottobre 2008. Francesco Scribano BCRS Leader Italia Soluzioni e servizi a supporto della continuità del business Padova, 9 ottobre 2008 Francesco Scribano BCRS Leader Italia Agenda Il contesto Le soluzioni Gli asset Information Protection Services CONTESTO

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli