S I C U R E Z Z A D E L L E I N F O R M A Z I O N I

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "S I C U R E Z Z A D E L L E I N F O R M A Z I O N I"

Transcript

1 S I C U R E Z Z A D E L L E I N F O R M A Z I O N I V A L U T A Z I O N E D E L R I S C H I O I S I S T E M I D I G E S T I O N E L A N O R M A I S O / I E C : C e s a r e G a l l o t t i V e r s i o n e 10 g i u g n o

2 c 2014 Cesare Gallotti Tutti i diritti riservati Ovviamente non è difficile copiare questo libro tutto o in parte, ma devo offrire una pizza a chi mi ha aiutato a farlo (vedere nei ringraziamenti), quindi vi prego di non farlo.

3 Dedicato a, in ordine di apparizione: Mariangela e Roberto Gallotti, per i loro 50 anni e per i miei 41 con loro; Clara, per i nostri 15 anni insieme; Chiara, Giulia, Paola Aurora, Alessio e non- Annalisa (sarà un maschio!) perché sono felice di essere loro zio.

4

5 Indice Presentazione e ringraziamenti ix 1 Introduzione 1 I Le basi 5 2 Sicurezza delle informazioni e organizzazione Dati e informazioni Sicurezza delle informazioni Riservatezza Integrità Disponibilità Altre proprietà di sicurezza Organizzazione, processi e funzioni I processi Le funzioni Processi, prodotti e persone Sistema di gestione per la sicurezza delle informazioni Sistema di gestione Sistema di gestione per la sicurezza delle informazioni Le certificazioni II La gestione del rischio 21 4 Rischio e valutazione del rischio Cos è il rischio I rischi positivi e negativi Il livello di rischio Cos è la valutazione del rischio I metodi per valutare il rischio I programmi software per la valutazione del rischio Chi coinvolgere I responsabili del rischio I facilitatori i

6 ii INDICE 5 Il contesto e l ambito Il contesto L ambito Identificazione del rischio Gli asset Information asset Gli altri asset Chi identifica gli asset Le minacce Gli agenti di minaccia Tecniche di minaccia Chi individua le minacce Associare le minacce agli asset Collegare le minacce alle conseguenze Le vulnerabilità e i controlli di sicurezza Correlare le vulnerabilità agli asset Correlare vulnerabilità e minacce Controlli alternativi, compensativi, complementari e correlati Controlli di prevenzione, recupero e rilevazione Conclusione Analisi del rischio Metodi di analisi Metodi quantitativi Metodi qualitativi Il valore degli asset Valutare le informazioni Quali valori assegnare alle informazioni Chi assegna i valori alle informazioni Valutare gli altri asset Valutare la verosimiglianza delle minacce Quali valori assegnare alle minacce Chi assegna i valori alle minacce Il rischio intrinseco Rischio intrinseco quantitativo Rischio intrinseco qualitativo Valutare le vulnerabilità e i controlli Identificare i controlli ideali Quali valori assegnare ai controlli Chi assegna i valori ai controlli Il livello di rischio Livello di rischio quantitativo Livello di rischio qualitativo Conclusioni Ulteriori riflessioni sulle aggregazioni Ponderazione del rischio 85

7 INDICE iii 9 Trattamento del rischio Le opzioni di trattamento del rischio Evitare o eliminare il rischio Aumentare il rischio Modificare la probabilità della minaccia (Prevenire) Modificare le conseguenze (Recuperare) Condividere il rischio Mantenere il rischio (Accettare) Piano di trattamento del rischio Scelta e attuazione delle azioni di riduzione Riesaminare il piano delle azioni Il piano delle azioni Efficacia delle azioni Tenuta sotto controllo del piano di azioni Monitoraggio e riesame del rischio 99 III I controlli di sicurezza I controlli di sicurezza Documenti Tipi di documenti Come scrivere i documenti Approvazione e distribuzione Archiviazione delle registrazioni Tempo di conservazione Verifica e manutenzione dei documenti Documenti di origine esterna Politiche di sicurezza delle informazioni Organizzazione per la sicurezza delle informazioni La Direzione Governance e management Il responsabile della sicurezza Altri ruoli e responsabilità Coordinamento Gestione dei progetti Separazione dei ruoli Rapporti con le autorità Gestione del personale Inserimento del personale Competenze Consapevolezza e sensibilizzazione Lavoro fuori sede Gestione degli asset Informazioni Identificazione e censimento degli asset Controllo degli accessi Credenziali Autorizzazioni

8 iv INDICE 11.7 Crittografia Algoritmi simmetrici e asimmetrici Protocolli crittografici Normativa applicabile alla crittografia Sicurezza fisica Sicurezza della sede Sicurezza delle apparecchiature Archivi fisici Conduzione dei sistemi informatici Documentazione Gestione dei cambiamenti Malware Backup Monitoraggio e logging Dispositivi portatili e personali Sicurezza delle comunicazioni Servizi autorizzati Segmentazione della rete Protezione degli apparati di rete Scambi di informazioni Acquisizione, sviluppo e manutenzione Gestione dei fornitori Gli accordi e i contratti con i fornitori Selezione dei fornitori Monitoraggio dei fornitori Due parole sul cloud Gestione degli incidenti Processo di gestione degli incidenti Controllo delle vulnerabilità Gestione dei problemi Gestione delle crisi Digital forensics Continuità operativa (Business continuity) La business impact analysis Valutazione del rischio per la continuità operativa Obiettivi e strategie di ripristino I piani di continuità Test e manutenzione Conformità Normativa vigente Audit Vulnerability assessment IV I requisiti di un sistema di gestione per la sicurezza delle informazioni Il miglioramento continuo e il ciclo PDCA Il miglioramento continuo Il ciclo PDCA

9 INDICE v Pianificare Fare Verificare Intervenire La natura frattale del ciclo PDCA Le norme ISO e l HLS Specifiche e linee guida Le norme della famiglia ISO/IEC L HLS Storia della ISO/IEC Come funziona la normazione I requisiti di sistema Ambito di applicazione dello standard Riferimenti normativi della ISO/IEC Termini e definizioni della ISO/IEC Contesto dell organizzazione e ambito del SGSI Il contesto dell organizzazione L ambito del SGSI Sistema di gestione per la sicurezza delle informazioni Leadership Politica per la sicurezza delle informazioni Ruoli e responsabilità Pianificazione I rischi relativi al sistema di gestione Valutazione del rischio relativo alla sicurezza delle informazioni Il trattamento del rischio relativo alla sicurezza delle informazioni Le azioni Obiettivi Processi di supporto Risorse Competenze e consapevolezza Comunicazione Informazioni documentate Attività operative La pianificazione e il controllo dei processi operativi Valutazione e trattamento del rischio relativo alla sicurezza delle informazioni Valutazione delle prestazioni Monitoraggio, misurazione, analisi, valutazione Audit interni Riesami di Direzione Miglioramento Non conformità Azioni correttive Azioni preventive Miglioramento continuo

10 vi INDICE 14.11Appendice A della ISO/IEC Bibliografia della ISO/IEC V Appendici 255 A Gestire gli auditor 257 A.1 L auditor è un ospite A.2 L auditor è un partner A.3 L auditor è un fornitore A.4 L auditor è un auditor B I primi passi per realizzare un SGSI 263 B.1 Individuare l ambito B.2 Coinvolgere i manager B.3 Gestire i documenti B.4 Miglioramento B.5 Formare il personale B.6 Gap analysis B.7 Realizzare il sistema di gestione C La certificazione di un sistema di gestione 267 C.1 Gli attori C.2 Il percorso di certificazione C.2.1 Il contratto C.2.2 L audit di certificazione C.2.3 Raccomandazione ed emissione del certificato C.2.4 Audit straordinario C.2.5 Audit periodici C.2.6 Audit di ricertificazione C.3 I bandi di gara C.4 I falsi miti della certificazione D Common Criteria (ISO/IEC 15408) e FIPS D.1 Diffusione dei Common Criteria D.2 FIPS D.3 Altre certificazioni di prodotto E Requisiti per i cambiamenti 283 E.1 Requisiti funzionali di controllo accessi E.2 Requisiti sulla connettività E.3 Requisiti funzionali relativi alla crittografia E.4 Requisiti di monitoraggio E.5 Requisiti di capacità E.6 Requisiti architetturali E.7 Requisiti applicativi E.8 Requisiti di servizio

11 INDICE vii F Tecniche di minaccia 287 F.1 Intrusione nella sede o nei locali da parte di malintenzionati F.2 Intrusione nei sistemi informatici F.3 Social engineering F.4 Furto d identità F.5 Danneggiamento di apparecchiature fisiche F.6 Danneggiamenti dei programmi informatici F.7 Furto di apparecchiature IT o di impianti F.8 Lettura, furto, copia o alterazione di documenti in formato fisico 294 F.9 Intercettazioni di emissioni elettromagnetiche F.10 Interferenze da emissioni elettromagnetiche F.11 Lettura e copia di documenti IT F.12 Modifica non autorizzata di documenti informatici F.13 Trattamento scorretto delle informazioni F.14 Malware F.15 Copia e uso illegale di software F.16 Uso non autorizzato di servizi IT esterni F.17 Uso non autorizzato di sistemi e servizi informatici offerti dall organizzazione F.18 Recupero di informazioni F.19 Esaurimento o riduzione delle risorse F.20 Intercettazione delle comunicazioni F.21 Invio di dati a persone non autorizzate F.22 Invio e ricezione di dati non accurati F.23 Ripudio di invio di messaggi e documenti da parte del mittente. 304 G Requisiti per contratti e accordi con i fornitori 305 G.1 Requisiti per i fornitori di prodotti G.2 Requisiti per i fornitori di servizi non informatici G.3 Requisiti per i fornitori di servizi informatici H Dalla ISO/IEC 27001:2005 alla ISO/IEC 27001: H.1 I cambiamenti ai requisiti di sistema H.1.1 Il contesto e l ambito H.1.2 Leadership H.1.3 Pianificazione H.1.4 Supporto H.1.5 Valutazione delle prestazioni H.1.6 Miglioramento H.2 Controlli di sicurezza H.2.1 Terminologia H.2.2 Controlli spostati H.2.3 Controlli integrati in altri H.2.4 Nuovi controlli Bibliografia 319

12 viii INDICE

13 Presentazione e ringraziamenti Pensino ora i miei venticinque lettori che impressione dovesse fare sull animo del poveretto, quello che s è raccontato. Alessandro Manzoni, I promessi sposi Nel 2002 scrissi il libro Sicurezza delle informazioni - Analisi e gestione del rischio per la FrancoAngeli [28] e mi ero divertito molto a scriverlo. Mi ha fatto anche molto piacere incontrare in questi anni più di 25 persone, che l avevano letto e apprezzato; purtroppo, spesso, l avevano preso in prestito da una biblioteca e questo non ha aiutato ad aumentare le vendite. Va detto che non speravo assolutamente di guadagnare alcunché da quella operazione. Speravo solo di ripagarmi del toner e della carta utilizzati per stampare e correggere le bozze. Dopo più di dieci anni ho voluto rimettere su carta (elettronica) le idee maturate durante i corsi di formazione, le presentazioni, le discussioni con colleghi e amici, gli incontri a livello nazionale e internazionale per scrivere la ISO/IEC 27001:2013. In alcuni casi, alcune delle convinzioni del 2002 sono cambiate, grazie ai tanti audit e progetti di consulenza fatti in questi anni. Si tratta quindi più di una raccolta di appunti che di un vero e proprio saggio: la prima parte riporta le basi per descrivere la sicurezza delle informazioni e un sistema di gestione per la sicurezza delle informazioni; la seconda parte descrive la valutazione del rischio, con un ampia parte teorica, bilanciata da molti esempi; i calcoli presentati non sono necessari per comprendere appieno i concetti esposti; la terza parte descrive i controlli di sicurezza ed è stata ricavata dagli appunti, basati sulla ISO/IEC 27002, che utilizzo per le attività di audit e di consulenza; la quarta parte illustra i requisiti della ISO/IEC 27001:2013 secondo la mia interpretazione maturata durante i lavori di scrittura della norma stessa, i corsi di formazione e le discussioni con i clienti; ix

14 x PRESENTAZIONE E RINGRAZIAMENTI le prime tre appendici riportano alcune brevi presentazioni fatte a margine di corsi di formazione (sulla gestione degli auditor e sulla certificazione) o per l avvio di progetti di certificazione (sui passi per realizzare un SGSI); l appendice sui Common Criteria e sulle FIPS 140 è un gentile omaggio di Stefano Ramacciotti; le successive appendici gestione dei cambiamenti, minacce e fornitori sono tratte da alcune mie liste di riscontro utilizzate durante dei progetti; l ultima appendice, infine, riporta una sintesi di cosa bisogna fare per il passaggio dalla ISO/IEC 27001:2005 alla ISO/IEC 27001:2013, visto che negli ultimi mesi in molti me lo hanno chiesto. Ci tengo a precisare che questo testo si basa molto sulla ISO/IEC 27001, ma non è una guida ufficiale alla sua interpretazione: quella verrà pubblicata spero nel 2015 come nuova edizione della ISO/IEC Questo libro è stato scritto per quanti vogliono imparare e approfondire cos è la sicurezza delle informazioni; ho infatti cercato di rispondere a tutte le domande che mi sono state rivolte in questi anni. Credo inoltre che alcune riflessioni possano interessare chi conosce già la materia ed essere lo spunto per nuove discussioni. Ciascuno ha i propri punti di vista, anche diversi dai miei, e un confronto potrebbe migliorare le nostre competenze. Il testo delle norme qui riportato libro non è identico a quello delle traduzioni ufficiali, sia per questioni di diritto d autore, sia perché, in alcuni casi, volevo rendere il testo più significativo. Le definizioni sono tratte soprattutto dall edizione del 2014 dello standard internazionale ISO/IEC La traduzione ufficiale non è ancora pubblicata, anche se pronta grazie al lavoro di alcuni soci di Uninfo. Alcune definizioni sono state lievemente modificate per renderle, a mio parere, più comprensibili. Tra parentesi quadre sono riportate eventuali aggiunte. Le cancellazioni sono evidenziate dal simbolo [...]. Ho collaborato in prima persona alla traduzione della ISO/IEC e (nel primo caso ero responsabile del progetto, insieme a Fabio Guasconi, Presidente dell SC 27 di UNINFO). Ciò non ostante, invito chiunque voglia occuparsi di ISO/IEC a leggere direttamente le norme e preferibilmente in inglese. Alcune pubblicazioni italiane sono ottime, ma spesso i testi e gli articoli più aggiornati sono in inglese; si pensi alle linee guida dell OWASP o del NIST, alcune delle quali segnalate in bibliografia. Aggiungo che la ISO/IEC non ha subito una valida revisione e quindi l inglese è spesso poco corretto, ma facilmente leggibile. Ci tengo a ringraziare tre persone per l aiuto dato nella scrittura di questo libro, in rigoroso ordine alfabetico: Massimo Cottafavi, manager di Security Reply, esperto di Governance, risk and compliance, con cui discuto da più di 10 anni e che ha letto le bozze e mi ha dato utili idee e un po di testo da copiare; Roberto Gallotti, inflessibile correttore di bozze e fornitore di idee; anche se non può dichiararsi esperto di sicurezza delle informazioni, è un professionista da cui vorrei imparare di più;

15 xi Stefano Ramacciotti, anche lui delegato italiano ai lavori dell SC 27 del JTC 1 dell ISO/IEC, con cui ho discusso lungamente in riva al mare e in giro per il mondo durante i meeting dell SC 27 e che ha anche contribuito a delle parti di testo (in particolare, l appendice sui Common Criteria, l esempio di Fort Knox e quanto riguarda le tre e le quattro P). Queste persone sono tra i professionisti più preparati e simpatici che abbia avuto modo di conoscere in questi anni e sono molto orgoglioso di essere riuscito a rubare loro tempo e energie. Ho sottoposto il libro ad altri amici e molti avrebbero preferito un testo più breve. Nonostante tutto, ho ritenuto opportuno pubblicare quanto fatto. Per una sintesi c è sempre tempo. Infine, ringrazio tutti coloro (clienti, colleghi, concorrenti, partecipanti ai corsi, eccetera) con cui in questi anni mi sono confrontato e che non hanno avuto paura a condividere con me idee e incompetenze reciproche anche attraverso il mio blog blog.cesaregallotti.it e la mia newsletter mensile: persone preparate, ma consapevoli che la nostra materia è estremamente mutevole e non esiste nessuno più bravo degli altri. Contatti Per contattarmi, segnalare errori e proporre miglioramenti, i miei riferimenti sono disponibili su Invito quanti sono interessati ad abbonarsi alla mia newsletter. Le modalità sono riportare sul mio sito web. Avvertenza I link riportati in questo libro sono stati verificati il 30 maggio 2014.

16 xii PRESENTAZIONE E RINGRAZIAMENTI

17 Capitolo 1 Introduzione Cosa [...] c era da interpretare in Fate i bravi? John Niven, A volte ritorno Da sempre l uomo ha sentito la necessità di avere le proprie informazioni al sicuro. In particolare, desideriamo che i dati personali (per esempio, il nostro stato di salute e il nostro estratto di conto) siano accessibili solo a poche fidate persone e siano accurati e corretti, che non vengano utilizzati impropriamente per telefonarci a casa o diffamarci pubblicamente sui social network e che siano velocemente disponibili, soprattutto su Internet. Quanto detto riguarda la percezione individuale di cosa si intende per sicurezza delle informazioni. Anche un impresa o un qualsiasi ente ha una percezione di cosa si intende per sicurezza delle informazioni ; per esempio: segretezza dei progetti innovativi e dei propri clienti, accuratezza di tutti i dati economici e di produzione, disponibilità dei sistemi informatici. Nella prima parte di questo libro sono illustrati i concetti fondamentali relativi alla sicurezza delle informazioni, tra cui proprio la sua definizione. Il termine sicurezza, però, cela in sé una contraddizione. Sicurezza, infatti, fa venire in mente qualcosa di assoluto e incontrovertibile, cioè qualcosa di impossibile nella realtà. Spesso si dice che Fort Knox, dove si trovano le riserve monetarie degli USA, è uno dei luoghi più sicuri al mondo: sofisticati sensori, barriere perimetrali e allarmi sono tutti ai massimi livelli. Come se non bastassero, è sede di un comando di Marines pronti a intervenire per qualsiasi problema. Fort Knox è riconosciuto come sinonimo di luogo sicuro. Ma come reagirebbe la struttura a un impatto con un meteorite di un chilometro di diametro? Come si può vedere da questo semplice esempio, non ha senso parlare di sicurezza in senso assoluto, ma solo in senso relativo. Fort Knox non è infatti resistente ad un grosso meteorite. Per questo motivo bisogna diffidare di chiunque offra prodotti o soluzioni sicuri al 100%. Una tale affermazione classifica subito la persona come scarsamente competente o come un imbonitore che vuole vendere qualcosa. 1

18 2 CAPITOLO 1. INTRODUZIONE Deve essere individuato il livello adeguato di sicurezza che si vuole ottenere attraverso la valutazione del rischio. Il livello di sicurezza deve essere raggiunto attraverso opportune azioni di trattamento. Nel caso in cui quel livello non possa essere raggiunto, le carenze devono essere analizzate e, se il caso, accettate. Nel tempo, la valutazione deve essere ripetuta per verificare se il livello di sicurezza desiderato e quello attuato siano ancora validi. Queste attività di valutazione, azione o accettazione e ripetizione costituiscono la gestione del rischio (risk management), oggetto della seconda parte del libro. Nella terza parte verranno illustrati i controlli di sicurezza, ossia le misure utili per garantire la sicurezza delle informazioni. Queste saranno soprattutto di tipo organizzativo e non tecnologico. Infatti, buoni processi portano a scegliere buoni e adeguati prodotti e a gestirli correttamente. Non è vero l inverso: un buon prodotto non conduce ad avere buoni processi. La quarta parte tratterà dei requisiti della ISO/IEC per i sistemi di gestione per la sicurezza delle informazioni. Un po di storia Come già accennato, la sicurezza delle informazioni è stata oggetto di attenzione sin dagli albori dell umanità, basta pensare ai misteri collegati a diverse religioni. Per quanto riguarda il passato, Cesare parla di sistemi per evitare l intercettazione dei messaggi in guerra (al capitolo 48 del libro V del De bello gallico); l utilizzo della partita doppia per garantire l integrità della contabilità, descritta nel 1494 da Luca Pacioli, è sicuramente precedente al Duecento. Nelle imprese, fino alla diffusione dell informatica, la sicurezza delle informazioni si riferiva ai documenti cartacei e alle comunicazioni orali; oggi deve comprendere anche la sicurezza informatica. Questa, fino agli anni Novanta, era gestita dagli addetti informatici, senza alcun collegamento con la tutela del patrimonio, ossia con la corporate security, anche se i rischi di furto di informazioni e di spionaggio erano comunque presi in considerazione. In quegli anni si verificarono fenomeni importanti relativamente all informatica e al contesto economico e sociale: 1. la diffusione degli strumenti informatici, grazie ai personal computer e a interfacce sempre più intuitive: Microsoft Windows è del 1985 e Mosaic, il primo browser grafico per navigare sul web, è del 1993; 2. l aumento delle minacce informatiche note al grande pubblico: il primo virus, quello di Morris, è del 1988; 3. la pubblicazione di normative con riferimento alla sicurezza informatica: nel 1993 fu emendato il Codice Penale per includervi i casi di criminalità informatica (Legge 547) e nel 1996 fu emanata la prima versione della Legge sulla privacy (Legge 675) a cui fu affiancato nel 1999 un disciplinare tecnico (DPR 318); 4. l aumento della conflittualità sociale dovuto alle ristrutturazioni di tante imprese; 5. il ricorso a sempre più numerosi fornitori e l aumento di relazioni con attori esterni rappresentate in figura

19 3 Figura 1.0.1: L impresa aperta Tutto questo ha fatto percepire come rilevanti le minacce relative alla sicurezza delle informazioni in generale e informatica in particolare, come illustrato in figura Figura 1.0.2: Nuove minacce Negli anni Novanta cambia anche l approccio alla sicurezza delle organizzazioni: si specializzano gli ambiti di intervento (informatica, siti fisici, persone) perché richiedono diverse competenze, si stabiliscono delle priorità di intervento sulla base di valutazioni del rischio e, in generale, si percepisce la sicurezza come attività indispensabile per garantire la sostenibilità delle organizzazioni nel tempo. Negli anni, le esigenze di sicurezza non si sono ridotte. Questo a causa degli eventi più recenti (11 settembre, spionaggio industriale, eccetera), delle evoluzioni normative in materia di sicurezza delle informazioni e della sempre crescente globalizzazione delle imprese.

20 4 CAPITOLO 1. INTRODUZIONE Per tutti questi motivi sono state introdotte metodologie e pratiche per rendere più strutturate le attività riguardanti la sicurezza delle informazioni. Tra le iniziative più importanti si ricordano quelle relative alla sicurezza dei prodotti e sistemi informatici (TCSEC del 1983, ITSEC del 1991, Common Criteria del 1994 e le Special Publication del NIST 1 emesse dai primi anni Novanta), alla sicurezza delle informazioni (BS 7799 del 1995, di cui si approfondirà la storia nel paragrafo 13.4) e alle metodologie di valutazione del rischio relativo alla sicurezza delle informazioni (CRAMM del 1987, Marion del 1990 e Mehari del 1995) [17]. 1

S I C U R E Z Z A D E L L E I N F O R M A Z I O N I

S I C U R E Z Z A D E L L E I N F O R M A Z I O N I ...................... S I C U R E Z Z A D E L L E I N F O R M A Z I O N I...................... V A L U T A Z I O N E D E L R I S C H I O I S I S T E M I D I G E S T I O N E L A N O R M A I S O / I E

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Le novità della UNI ISO 27001:2014

Le novità della UNI ISO 27001:2014 Le novità della UNI ISO 27001:2014 La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

TECNOLOGIE INNOVATIVE PER LA SICUREZZA E LA RISERVATEZZA DELLE COMUNICAZIONI: PRIVATEMAIL e PRIVATEGSM

TECNOLOGIE INNOVATIVE PER LA SICUREZZA E LA RISERVATEZZA DELLE COMUNICAZIONI: PRIVATEMAIL e PRIVATEGSM TECNOLOGIE INNOVATIVE PER LA SICUREZZA E LA RISERVATEZZA DELLE COMUNICAZIONI: KHAMSA Federico Moro Fondatore e CEO PRIVATEMAIL e PRIVATEGSM Il contesto I clienti sono sempre più esigenti: - Professionalità

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE

PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE Alessandra Damiani Managing Partner di Barbieri & Associati Dottori Commercialisti Consulente per l Organizzazione degli Studi professionali 1

Dettagli

ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITA NELLO STUDIO LEGALE

ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITA NELLO STUDIO LEGALE 22 aprile 2015 ore 14:30 / 18:30 Sala della Fondazione Forense Bolognese Via del Cane, 10/a Presiede e modera Avv. Federico Canova Consigliere dell Ordine degli Avvocati di Bologna ANALISI,REVISIONEEIMPLEMENTAZIONEDIUNMODELLO

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE ACEF Associazione Culturale Economia e Finanza è lieta di

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30

Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30 Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO PROFESSIONALE ACEF Associazione Culturale Economia e Finanza

Dettagli

10 Le Nuove Strategie Fondamentali per Crescere nel Mercato di oggi. Report riservato a Manager, Imprenditori e Professionisti

10 Le Nuove Strategie Fondamentali per Crescere nel Mercato di oggi. Report riservato a Manager, Imprenditori e Professionisti 10 Le Nuove Strategie Fondamentali per Crescere nel Mercato di oggi Report riservato a Manager, Imprenditori e Professionisti Nel 2013 hanno chiuso in Italia oltre 50.000 aziende, con un aumento di oltre

Dettagli

BARRA LATERALE AD APERTURA AUTOMATICA...

BARRA LATERALE AD APERTURA AUTOMATICA... INDICE 1) SOMMARIO... 1 2) PRIMO AVVIO... 1 3) BARRA LATERALE AD APERTURA AUTOMATICA... 2 4) DATI AZIENDALI... 3 5) CONFIGURAZIONE DEL PROGRAMMA... 4 6) ARCHIVIO CLIENTI E FORNITORI... 5 7) CREAZIONE PREVENTIVO...

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

Le procedure gestionali del SGQ di UTFUS TF GQL

Le procedure gestionali del SGQ di UTFUS TF GQL Le procedure gestionali del SGQ di UTFUS TF GQL Sommario Procedure gestionali obbligatorie secondo ISO 9001:2008; Gestione Documenti; Audit Interni; Non Conformità; Azioni di miglioramento (azioni correttive

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230

Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230 Guida al controllo contabile di Fabrizio Bava e Alain Devalle * Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230 Il principio di revisione n.230 stabilisce le regole

Dettagli

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 Modulo 1 Parte 1 Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 1.1.1.1 pag. 21 Quale, tra le affermazioni che seguono relative al concetto di qualità, è la più corretta? A. Il termine qualità

Dettagli

REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA

REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA SOMMARIO Art.1 Oggetto del regolamento...... Pag. 2 Art.2 Disposizioni e principi generali 2 Art.3 Definizioni 2 Art.4 Posta elettronica certificata..

Dettagli

Privacy Policy. Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13

Privacy Policy. Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13 Privacy Policy Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13 BE WITH US ONLUS, considera di fondamentale importanza la "privacy" dei propri utenti e garantisce

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

GESTIONE DELLA FORMAZIONE E

GESTIONE DELLA FORMAZIONE E 08/02/2011 Pag. 1 di 7 GESTIONE DELLA FORMAZIONE E DELL ADDESTRAMENTO DEL PERSONALE 1. SCOPO... 2 2. APPLICABILITÀ... 2 3. DOCUMENTI DI RIFERIMENTO... 2 3.1. Norme... 2 3.2. Moduli / Istruzioni... 2 4.

Dettagli

Customer Document and Record Manager. Trasmettere, condividere e gestire Documenti in modo semplice e sicuro!

Customer Document and Record Manager. Trasmettere, condividere e gestire Documenti in modo semplice e sicuro! Customer Document and Record Manager Trasmettere, condividere e gestire Documenti in modo semplice e sicuro! La gestione documentale Le aziende e gli studi professionali producono grandi quantità di documenti,

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

La specifica OHSAS 18001:1999

La specifica OHSAS 18001:1999 CERTIFICAZIONE E QUALITÀ IGIENE E SICUREZZA La nuova versione è stata pubblicata dal British Standards Institution il 1 luglio 2007 Con l entrata in vigore dell edizione 2007 la BS OHSAS 18001 diventa

Dettagli

ELEMENTI DI MISURAZIONE DELL EFFICACIA

ELEMENTI DI MISURAZIONE DELL EFFICACIA ELEMENTI DI MISURAZIONE DELL EFFICACIA La misurazione delle prestazioni (cd. performance) associate ad un qualsiasi processo o azione manageriale si può realizzare attraverso un sistema di indicatori predefiniti

Dettagli

Il ruolo della sicurezza delle informazioni nella Sanità elettronica

Il ruolo della sicurezza delle informazioni nella Sanità elettronica Workshop: Telemedicina e Sanità elettronica: facciamo il punto! Il ruolo della sicurezza delle informazioni nella Sanità elettronica Corrado Giustozzi Security Evangelist Capgemini Italia Responsabile

Dettagli

La Firma Digitale e la Posta Elettronica Certificata. Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006

La Firma Digitale e la Posta Elettronica Certificata. Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006 La Firma Digitale e la Posta Elettronica Certificata Centro Tecnico RUPAR Puglia - Tecnopolis Csata Chiara Valerio Bari, 14 dicembre 2006 INNOVAZIONE DELLA P.A. Quadro normativo Il Codice dell Amministrazione

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Indagine su imprese e assicurazioni. Report dei risultati

Indagine su imprese e assicurazioni. Report dei risultati Indagine su imprese e assicurazioni Report dei risultati ITA045 Maggio 2012 Management summary_1 BACKGROUND E OBIETTIVI Il Giornale delle Assicurazioni, in occasione del convegno Assicurazioni e Sistema

Dettagli

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI 84 REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI ADOTTATO DALLA GIUNTA COMUNALE CON DELIBERAZIONE N. 310/215 PROP.DEL. NELLA SEDUTA

Dettagli

Dott.ssa GIULIA CANDIANI. (Coordinatore Settore Sanità Associazione Altroconsumo)

Dott.ssa GIULIA CANDIANI. (Coordinatore Settore Sanità Associazione Altroconsumo) Dott.ssa GIULIA CANDIANI (Coordinatore Settore Sanità Associazione Altroconsumo) Innanzitutto due parole di presentazione: Altroconsumo è una associazione indipendente di consumatori, in cui io lavoro

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

MANUALE D USO JAVA. Manuale d uso Versione 2.10-beta. Copyright 2010 - All rights reserved.

MANUALE D USO JAVA. Manuale d uso Versione 2.10-beta. Copyright 2010 - All rights reserved. MANUALE D USO JAVA Manuale d uso Versione 2.10-beta Copyright 2010 - All rights reserved. Manuale d uso versione 2.10-beta - Copyright 2010 - All rights reserved Introduzione Questo manuale è rivolto a

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE OBIETTIVI Master Breve di formazione personalizzata Il Master

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Prepararsi al Cambiamento Passaggio alla ISO 9001:2015

Prepararsi al Cambiamento Passaggio alla ISO 9001:2015 Prepararsi al Cambiamento Passaggio alla ISO 9001:2015 Come è ormai noto a quanti operano nel campo della qualità, è stata pubblicata la nuova revisione della ISO 9001. Le Norme ISO toccano numerosi ambiti

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Proteggi gli account personali

Proteggi gli account personali con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

Cosa fare in caso di violazioni di sicurezza

Cosa fare in caso di violazioni di sicurezza OUCH! Settembre 2012 IN QUESTO NUMERO I vostri account utente I vostri dispositivi I vostri dati Cosa fare in caso di violazioni di sicurezza L AUTORE DI QUESTO NUMERO Chad Tilbury ha collaborato alla

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

MDaemon e Outlook Connector for MDaemon

MDaemon e Outlook Connector for MDaemon MDaemon e Outlook Connector for MDaemon Introduzione...2 Cos'è il groupware...2 Che cosa significa groupware?...2 Cos è WorldClient...2 MDaemon e l evoluzione delle funzionalità groupware...3 Nuove funzionalità

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI REGOLAMENTO PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI Approvato con deliberazione n. 463 del 10.08.2015

Dettagli

L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita

L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita di Stefano Bonetto (Client manager Audit in Italy) L obiettivo della normazione è migliorare la qualità della

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti.

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. Con pieno valore legale. 2 InfoCert InfoCert. Garanzia di soluzioni.

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

Root Cause Analysis come strumento di audit clinico: metodo e strumenti. Donatella Rizzini Ausl 1 Massa e Carrara

Root Cause Analysis come strumento di audit clinico: metodo e strumenti. Donatella Rizzini Ausl 1 Massa e Carrara Root Cause Analysis come strumento di audit clinico: metodo e strumenti Dott.ssa Donatella Rizzini Ausl 1 Massa e Carrara Root Cause Analysis Root Cause Analysis è un indagine strutturata che ha lo scopo

Dettagli

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale 1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale della RGS, del CNIPA e di ingegneri dell Ordine di

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Organizzazione dello studio professionale

Organizzazione dello studio professionale Organizzazione dello studio professionale Roberto Spaggiari Attolini Spaggiari & Associati Studio Legale e Tributario Partner 2014 Pagina 1 Roberto Spaggiari Attolini Spaggiari & Associati Studio Legale

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001 PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA BS OHSAS 18001 (ed. 2007) Rev. 0 del 13/01/09 1/10 progetto Tecnico OHSAS 18001 Premessa La norma OHSAS 18001 rappresenta uno

Dettagli

Privacy Policy e utilizzo dei cookie.

Privacy Policy e utilizzo dei cookie. Privacy Policy e utilizzo dei cookie. Privacy Policy Informativa resa ai sensi dell articolo 13 del D.lgs. n.196/2003 ai visitatori del sito di Hakomagazine e fruitori dei servizi offerti dallo stesso,

Dettagli

PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Come viene associato un insegnate alla scuola? Cos è il Codice scuola?

PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Come viene associato un insegnate alla scuola? Cos è il Codice scuola? PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Quando si compila il modulo di registrazione, selezionare l opzione scuola.una volta effettuata la registrazione, si può accedere a un ambiente molto

Dettagli

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO Andrea Marin Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO a.a. 2013/2014 Section 1 Introduzione Parliamo di acquisti online quando a seguito

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2 Pagina 1 di 10 INDICE 1. REQUISITI GENERALI...2 2. REQUISITI RELATIVI ALLA DOCUMENTAZIONE...4 2.1. QUALITÀ...4 2.2. TENUTA SOTTO CONTROLLO DEI DOCUMENTI...5 2.3. TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI...9

Dettagli

SICUREZZA INFORMATICA

SICUREZZA INFORMATICA SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI

Dettagli

GUIDA DI APPROFONDIMENTO LA SCELTA DEI FORNITORI A CURA DEL BIC SARDEGNA SPA

GUIDA DI APPROFONDIMENTO LA SCELTA DEI FORNITORI A CURA DEL BIC SARDEGNA SPA GUIDA DI APPROFONDIMENTO LA SCELTA DEI FORNITORI A CURA DEL BIC SARDEGNA SPA 1 SOMMARIO PREMESSA... 3 LE CONSIDERAZIONI STRATEGICHE DA FARE SUI FORNITORI... 4 CONCENTRARSI SUGLI OBIETTIVI... 4 RIDURRE

Dettagli

Presentazione CEPAS, ogni riproduzione deve essere preventivamente autorizzata

Presentazione CEPAS, ogni riproduzione deve essere preventivamente autorizzata 1 Presentazione della nuova Norma UNI CEI EN ISO/IEC 17024:2012 Valutazione della conformità Requisiti generali per gli organismi che operano la certificazione delle persone Giancarlo Colferai Presidente

Dettagli

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005 ID Misura M-001 Compilata Boscolo Paolo Data da Descrizione sintetica Impianto di allarme Gli spazi interessati alla misura in oggetto sono dotati di impianto di allarme in grado di rilevare e segnalare

Dettagli

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta

R E G I O N E U M B R I A GIUNTA REGIONALE. Direzione Affari Generali della Presidenza e della Giunta regionale. Servizio Segreteria della Giunta R E G I O N E U M B R I A GIUNTA REGIONALE Direzione Affari Generali della Presidenza e della Giunta regionale Servizio Segreteria della Giunta Disciplinare sull utilizzo della posta elettronica certificata

Dettagli

Usare il Cloud in sicurezza: spunti tecnici

Usare il Cloud in sicurezza: spunti tecnici Usare il Cloud in sicurezza: spunti tecnici Cesare Gallotti Milano, 24 gennaio 2012 Sotto licenza Creative Commons creativecommons.org/licenses/by-nc/2.5/it/ 1 Agenda Presentazione relatore Definizioni

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

MASTER GESTIONE INTEGRATA

MASTER GESTIONE INTEGRATA MASTER GESTIONE INTEGRATA ESPERTI in SISTEMI DI GESTIONE AZIENDALE: QUALITA, AMBIENTE E SICUREZZA ISO serie 9000, ISO serie 14000, OHSAS 18001, OHSAS 18002, ISO 22000, ISO 27001, Reg. EMAS, ISO 19011,

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE.

LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE. LICENZA D USO PER SOFTWARE SONY LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE. CON L UTILIZZAZIONE DEL SOFTWARE LEI ESPRIME LA SUA ACCETTAZIONE DEL CONTRATTO. IMPORTANTE

Dettagli

Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008

Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008 Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008 Auditorium Sardegna Ricerche - Pula Linee guida per la sicurezza informatica nelle piccole e medie imprese Claudio Telmon CLUSIT

Dettagli

STUDIO SESANA ASSOCIATI

STUDIO SESANA ASSOCIATI Ai Sigg. CLIENTI TITOLARI P.IVA Loro Sedi FATTURA ELETTRONICA VERSO LA P.A. Carissimi Clienti, a partire dal 6 giugno 2014 (la P.A. centrale) i Ministeri, le Agenzie fiscali (es.: Agenzia delle Entrate,

Dettagli

che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale.

che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale. Di seguito sono riportate le risposte relative a quesiti pervenuti circa i seguenti aspetti del servizio: caratteristiche generali; funzionamento; attivazione; gestori; Indice PA. 1. Introduzione Che cos'è?

Dettagli

Gli obiettivi specifici di questa edizione sono:

Gli obiettivi specifici di questa edizione sono: Presentazione La ricerca è parte integrante del ruolo e della responsabilità dell infermiere. Il suo coinvolgimento nella ricerca spazia a diversi livelli, dalla progettazione e conduzione di uno studio

Dettagli

ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno

ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno soddisfatti. Azione correttiva Azione per eliminare la causa di

Dettagli

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo DETTAGLIO SERVIZI 1 INDICE SERVIZI... 3 1. TESSERINO D ISCRIZIONE... 3 2. FIRMA DIGITALE CON RUOLO... 3 SMART CARD CON RUOLO... 3 CNS (CARTA NAZIONALE DEI SERVIZI)... 5 BUSINESS KEY... 5 3. POSTA ELETTRONICA

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

La gestione documentale informatizzata

La gestione documentale informatizzata La gestione documentale informatizzata La gestione dei documenti su supporto cartaceo ed elettronico Attualmente in molte aziende, soprattutto medio/piccole, la gestione delle informazioni scritte avviene

Dettagli

Schede operative PEC. I soggetti che interagiscono con il sistema di posta elettronica certificata

Schede operative PEC. I soggetti che interagiscono con il sistema di posta elettronica certificata PEC Il servizio di posta elettronica certificata Il presente lavoro si propone di illustrare le principali caratteristiche del nuovo servizio di posta elettronica certificata, che rappresenta uno dei sistemi

Dettagli