S I C U R E Z Z A D E L L E I N F O R M A Z I O N I

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "S I C U R E Z Z A D E L L E I N F O R M A Z I O N I"

Transcript

1 S I C U R E Z Z A D E L L E I N F O R M A Z I O N I V A L U T A Z I O N E D E L R I S C H I O I S I S T E M I D I G E S T I O N E L A N O R M A I S O / I E C : C e s a r e G a l l o t t i V e r s i o n e 10 g i u g n o

2 c 2014 Cesare Gallotti Tutti i diritti riservati Ovviamente non è difficile copiare questo libro tutto o in parte, ma devo offrire una pizza a chi mi ha aiutato a farlo (vedere nei ringraziamenti), quindi vi prego di non farlo.

3 Dedicato a, in ordine di apparizione: Mariangela e Roberto Gallotti, per i loro 50 anni e per i miei 41 con loro; Clara, per i nostri 15 anni insieme; Chiara, Giulia, Paola Aurora, Alessio e non- Annalisa (sarà un maschio!) perché sono felice di essere loro zio.

4

5 Indice Presentazione e ringraziamenti ix 1 Introduzione 1 I Le basi 5 2 Sicurezza delle informazioni e organizzazione Dati e informazioni Sicurezza delle informazioni Riservatezza Integrità Disponibilità Altre proprietà di sicurezza Organizzazione, processi e funzioni I processi Le funzioni Processi, prodotti e persone Sistema di gestione per la sicurezza delle informazioni Sistema di gestione Sistema di gestione per la sicurezza delle informazioni Le certificazioni II La gestione del rischio 21 4 Rischio e valutazione del rischio Cos è il rischio I rischi positivi e negativi Il livello di rischio Cos è la valutazione del rischio I metodi per valutare il rischio I programmi software per la valutazione del rischio Chi coinvolgere I responsabili del rischio I facilitatori i

6 ii INDICE 5 Il contesto e l ambito Il contesto L ambito Identificazione del rischio Gli asset Information asset Gli altri asset Chi identifica gli asset Le minacce Gli agenti di minaccia Tecniche di minaccia Chi individua le minacce Associare le minacce agli asset Collegare le minacce alle conseguenze Le vulnerabilità e i controlli di sicurezza Correlare le vulnerabilità agli asset Correlare vulnerabilità e minacce Controlli alternativi, compensativi, complementari e correlati Controlli di prevenzione, recupero e rilevazione Conclusione Analisi del rischio Metodi di analisi Metodi quantitativi Metodi qualitativi Il valore degli asset Valutare le informazioni Quali valori assegnare alle informazioni Chi assegna i valori alle informazioni Valutare gli altri asset Valutare la verosimiglianza delle minacce Quali valori assegnare alle minacce Chi assegna i valori alle minacce Il rischio intrinseco Rischio intrinseco quantitativo Rischio intrinseco qualitativo Valutare le vulnerabilità e i controlli Identificare i controlli ideali Quali valori assegnare ai controlli Chi assegna i valori ai controlli Il livello di rischio Livello di rischio quantitativo Livello di rischio qualitativo Conclusioni Ulteriori riflessioni sulle aggregazioni Ponderazione del rischio 85

7 INDICE iii 9 Trattamento del rischio Le opzioni di trattamento del rischio Evitare o eliminare il rischio Aumentare il rischio Modificare la probabilità della minaccia (Prevenire) Modificare le conseguenze (Recuperare) Condividere il rischio Mantenere il rischio (Accettare) Piano di trattamento del rischio Scelta e attuazione delle azioni di riduzione Riesaminare il piano delle azioni Il piano delle azioni Efficacia delle azioni Tenuta sotto controllo del piano di azioni Monitoraggio e riesame del rischio 99 III I controlli di sicurezza I controlli di sicurezza Documenti Tipi di documenti Come scrivere i documenti Approvazione e distribuzione Archiviazione delle registrazioni Tempo di conservazione Verifica e manutenzione dei documenti Documenti di origine esterna Politiche di sicurezza delle informazioni Organizzazione per la sicurezza delle informazioni La Direzione Governance e management Il responsabile della sicurezza Altri ruoli e responsabilità Coordinamento Gestione dei progetti Separazione dei ruoli Rapporti con le autorità Gestione del personale Inserimento del personale Competenze Consapevolezza e sensibilizzazione Lavoro fuori sede Gestione degli asset Informazioni Identificazione e censimento degli asset Controllo degli accessi Credenziali Autorizzazioni

8 iv INDICE 11.7 Crittografia Algoritmi simmetrici e asimmetrici Protocolli crittografici Normativa applicabile alla crittografia Sicurezza fisica Sicurezza della sede Sicurezza delle apparecchiature Archivi fisici Conduzione dei sistemi informatici Documentazione Gestione dei cambiamenti Malware Backup Monitoraggio e logging Dispositivi portatili e personali Sicurezza delle comunicazioni Servizi autorizzati Segmentazione della rete Protezione degli apparati di rete Scambi di informazioni Acquisizione, sviluppo e manutenzione Gestione dei fornitori Gli accordi e i contratti con i fornitori Selezione dei fornitori Monitoraggio dei fornitori Due parole sul cloud Gestione degli incidenti Processo di gestione degli incidenti Controllo delle vulnerabilità Gestione dei problemi Gestione delle crisi Digital forensics Continuità operativa (Business continuity) La business impact analysis Valutazione del rischio per la continuità operativa Obiettivi e strategie di ripristino I piani di continuità Test e manutenzione Conformità Normativa vigente Audit Vulnerability assessment IV I requisiti di un sistema di gestione per la sicurezza delle informazioni Il miglioramento continuo e il ciclo PDCA Il miglioramento continuo Il ciclo PDCA

9 INDICE v Pianificare Fare Verificare Intervenire La natura frattale del ciclo PDCA Le norme ISO e l HLS Specifiche e linee guida Le norme della famiglia ISO/IEC L HLS Storia della ISO/IEC Come funziona la normazione I requisiti di sistema Ambito di applicazione dello standard Riferimenti normativi della ISO/IEC Termini e definizioni della ISO/IEC Contesto dell organizzazione e ambito del SGSI Il contesto dell organizzazione L ambito del SGSI Sistema di gestione per la sicurezza delle informazioni Leadership Politica per la sicurezza delle informazioni Ruoli e responsabilità Pianificazione I rischi relativi al sistema di gestione Valutazione del rischio relativo alla sicurezza delle informazioni Il trattamento del rischio relativo alla sicurezza delle informazioni Le azioni Obiettivi Processi di supporto Risorse Competenze e consapevolezza Comunicazione Informazioni documentate Attività operative La pianificazione e il controllo dei processi operativi Valutazione e trattamento del rischio relativo alla sicurezza delle informazioni Valutazione delle prestazioni Monitoraggio, misurazione, analisi, valutazione Audit interni Riesami di Direzione Miglioramento Non conformità Azioni correttive Azioni preventive Miglioramento continuo

10 vi INDICE 14.11Appendice A della ISO/IEC Bibliografia della ISO/IEC V Appendici 255 A Gestire gli auditor 257 A.1 L auditor è un ospite A.2 L auditor è un partner A.3 L auditor è un fornitore A.4 L auditor è un auditor B I primi passi per realizzare un SGSI 263 B.1 Individuare l ambito B.2 Coinvolgere i manager B.3 Gestire i documenti B.4 Miglioramento B.5 Formare il personale B.6 Gap analysis B.7 Realizzare il sistema di gestione C La certificazione di un sistema di gestione 267 C.1 Gli attori C.2 Il percorso di certificazione C.2.1 Il contratto C.2.2 L audit di certificazione C.2.3 Raccomandazione ed emissione del certificato C.2.4 Audit straordinario C.2.5 Audit periodici C.2.6 Audit di ricertificazione C.3 I bandi di gara C.4 I falsi miti della certificazione D Common Criteria (ISO/IEC 15408) e FIPS D.1 Diffusione dei Common Criteria D.2 FIPS D.3 Altre certificazioni di prodotto E Requisiti per i cambiamenti 283 E.1 Requisiti funzionali di controllo accessi E.2 Requisiti sulla connettività E.3 Requisiti funzionali relativi alla crittografia E.4 Requisiti di monitoraggio E.5 Requisiti di capacità E.6 Requisiti architetturali E.7 Requisiti applicativi E.8 Requisiti di servizio

11 INDICE vii F Tecniche di minaccia 287 F.1 Intrusione nella sede o nei locali da parte di malintenzionati F.2 Intrusione nei sistemi informatici F.3 Social engineering F.4 Furto d identità F.5 Danneggiamento di apparecchiature fisiche F.6 Danneggiamenti dei programmi informatici F.7 Furto di apparecchiature IT o di impianti F.8 Lettura, furto, copia o alterazione di documenti in formato fisico 294 F.9 Intercettazioni di emissioni elettromagnetiche F.10 Interferenze da emissioni elettromagnetiche F.11 Lettura e copia di documenti IT F.12 Modifica non autorizzata di documenti informatici F.13 Trattamento scorretto delle informazioni F.14 Malware F.15 Copia e uso illegale di software F.16 Uso non autorizzato di servizi IT esterni F.17 Uso non autorizzato di sistemi e servizi informatici offerti dall organizzazione F.18 Recupero di informazioni F.19 Esaurimento o riduzione delle risorse F.20 Intercettazione delle comunicazioni F.21 Invio di dati a persone non autorizzate F.22 Invio e ricezione di dati non accurati F.23 Ripudio di invio di messaggi e documenti da parte del mittente. 304 G Requisiti per contratti e accordi con i fornitori 305 G.1 Requisiti per i fornitori di prodotti G.2 Requisiti per i fornitori di servizi non informatici G.3 Requisiti per i fornitori di servizi informatici H Dalla ISO/IEC 27001:2005 alla ISO/IEC 27001: H.1 I cambiamenti ai requisiti di sistema H.1.1 Il contesto e l ambito H.1.2 Leadership H.1.3 Pianificazione H.1.4 Supporto H.1.5 Valutazione delle prestazioni H.1.6 Miglioramento H.2 Controlli di sicurezza H.2.1 Terminologia H.2.2 Controlli spostati H.2.3 Controlli integrati in altri H.2.4 Nuovi controlli Bibliografia 319

12 viii INDICE

13 Presentazione e ringraziamenti Pensino ora i miei venticinque lettori che impressione dovesse fare sull animo del poveretto, quello che s è raccontato. Alessandro Manzoni, I promessi sposi Nel 2002 scrissi il libro Sicurezza delle informazioni - Analisi e gestione del rischio per la FrancoAngeli [28] e mi ero divertito molto a scriverlo. Mi ha fatto anche molto piacere incontrare in questi anni più di 25 persone, che l avevano letto e apprezzato; purtroppo, spesso, l avevano preso in prestito da una biblioteca e questo non ha aiutato ad aumentare le vendite. Va detto che non speravo assolutamente di guadagnare alcunché da quella operazione. Speravo solo di ripagarmi del toner e della carta utilizzati per stampare e correggere le bozze. Dopo più di dieci anni ho voluto rimettere su carta (elettronica) le idee maturate durante i corsi di formazione, le presentazioni, le discussioni con colleghi e amici, gli incontri a livello nazionale e internazionale per scrivere la ISO/IEC 27001:2013. In alcuni casi, alcune delle convinzioni del 2002 sono cambiate, grazie ai tanti audit e progetti di consulenza fatti in questi anni. Si tratta quindi più di una raccolta di appunti che di un vero e proprio saggio: la prima parte riporta le basi per descrivere la sicurezza delle informazioni e un sistema di gestione per la sicurezza delle informazioni; la seconda parte descrive la valutazione del rischio, con un ampia parte teorica, bilanciata da molti esempi; i calcoli presentati non sono necessari per comprendere appieno i concetti esposti; la terza parte descrive i controlli di sicurezza ed è stata ricavata dagli appunti, basati sulla ISO/IEC 27002, che utilizzo per le attività di audit e di consulenza; la quarta parte illustra i requisiti della ISO/IEC 27001:2013 secondo la mia interpretazione maturata durante i lavori di scrittura della norma stessa, i corsi di formazione e le discussioni con i clienti; ix

14 x PRESENTAZIONE E RINGRAZIAMENTI le prime tre appendici riportano alcune brevi presentazioni fatte a margine di corsi di formazione (sulla gestione degli auditor e sulla certificazione) o per l avvio di progetti di certificazione (sui passi per realizzare un SGSI); l appendice sui Common Criteria e sulle FIPS 140 è un gentile omaggio di Stefano Ramacciotti; le successive appendici gestione dei cambiamenti, minacce e fornitori sono tratte da alcune mie liste di riscontro utilizzate durante dei progetti; l ultima appendice, infine, riporta una sintesi di cosa bisogna fare per il passaggio dalla ISO/IEC 27001:2005 alla ISO/IEC 27001:2013, visto che negli ultimi mesi in molti me lo hanno chiesto. Ci tengo a precisare che questo testo si basa molto sulla ISO/IEC 27001, ma non è una guida ufficiale alla sua interpretazione: quella verrà pubblicata spero nel 2015 come nuova edizione della ISO/IEC Questo libro è stato scritto per quanti vogliono imparare e approfondire cos è la sicurezza delle informazioni; ho infatti cercato di rispondere a tutte le domande che mi sono state rivolte in questi anni. Credo inoltre che alcune riflessioni possano interessare chi conosce già la materia ed essere lo spunto per nuove discussioni. Ciascuno ha i propri punti di vista, anche diversi dai miei, e un confronto potrebbe migliorare le nostre competenze. Il testo delle norme qui riportato libro non è identico a quello delle traduzioni ufficiali, sia per questioni di diritto d autore, sia perché, in alcuni casi, volevo rendere il testo più significativo. Le definizioni sono tratte soprattutto dall edizione del 2014 dello standard internazionale ISO/IEC La traduzione ufficiale non è ancora pubblicata, anche se pronta grazie al lavoro di alcuni soci di Uninfo. Alcune definizioni sono state lievemente modificate per renderle, a mio parere, più comprensibili. Tra parentesi quadre sono riportate eventuali aggiunte. Le cancellazioni sono evidenziate dal simbolo [...]. Ho collaborato in prima persona alla traduzione della ISO/IEC e (nel primo caso ero responsabile del progetto, insieme a Fabio Guasconi, Presidente dell SC 27 di UNINFO). Ciò non ostante, invito chiunque voglia occuparsi di ISO/IEC a leggere direttamente le norme e preferibilmente in inglese. Alcune pubblicazioni italiane sono ottime, ma spesso i testi e gli articoli più aggiornati sono in inglese; si pensi alle linee guida dell OWASP o del NIST, alcune delle quali segnalate in bibliografia. Aggiungo che la ISO/IEC non ha subito una valida revisione e quindi l inglese è spesso poco corretto, ma facilmente leggibile. Ci tengo a ringraziare tre persone per l aiuto dato nella scrittura di questo libro, in rigoroso ordine alfabetico: Massimo Cottafavi, manager di Security Reply, esperto di Governance, risk and compliance, con cui discuto da più di 10 anni e che ha letto le bozze e mi ha dato utili idee e un po di testo da copiare; Roberto Gallotti, inflessibile correttore di bozze e fornitore di idee; anche se non può dichiararsi esperto di sicurezza delle informazioni, è un professionista da cui vorrei imparare di più;

15 xi Stefano Ramacciotti, anche lui delegato italiano ai lavori dell SC 27 del JTC 1 dell ISO/IEC, con cui ho discusso lungamente in riva al mare e in giro per il mondo durante i meeting dell SC 27 e che ha anche contribuito a delle parti di testo (in particolare, l appendice sui Common Criteria, l esempio di Fort Knox e quanto riguarda le tre e le quattro P). Queste persone sono tra i professionisti più preparati e simpatici che abbia avuto modo di conoscere in questi anni e sono molto orgoglioso di essere riuscito a rubare loro tempo e energie. Ho sottoposto il libro ad altri amici e molti avrebbero preferito un testo più breve. Nonostante tutto, ho ritenuto opportuno pubblicare quanto fatto. Per una sintesi c è sempre tempo. Infine, ringrazio tutti coloro (clienti, colleghi, concorrenti, partecipanti ai corsi, eccetera) con cui in questi anni mi sono confrontato e che non hanno avuto paura a condividere con me idee e incompetenze reciproche anche attraverso il mio blog blog.cesaregallotti.it e la mia newsletter mensile: persone preparate, ma consapevoli che la nostra materia è estremamente mutevole e non esiste nessuno più bravo degli altri. Contatti Per contattarmi, segnalare errori e proporre miglioramenti, i miei riferimenti sono disponibili su Invito quanti sono interessati ad abbonarsi alla mia newsletter. Le modalità sono riportare sul mio sito web. Avvertenza I link riportati in questo libro sono stati verificati il 30 maggio 2014.

16 xii PRESENTAZIONE E RINGRAZIAMENTI

17 Capitolo 1 Introduzione Cosa [...] c era da interpretare in Fate i bravi? John Niven, A volte ritorno Da sempre l uomo ha sentito la necessità di avere le proprie informazioni al sicuro. In particolare, desideriamo che i dati personali (per esempio, il nostro stato di salute e il nostro estratto di conto) siano accessibili solo a poche fidate persone e siano accurati e corretti, che non vengano utilizzati impropriamente per telefonarci a casa o diffamarci pubblicamente sui social network e che siano velocemente disponibili, soprattutto su Internet. Quanto detto riguarda la percezione individuale di cosa si intende per sicurezza delle informazioni. Anche un impresa o un qualsiasi ente ha una percezione di cosa si intende per sicurezza delle informazioni ; per esempio: segretezza dei progetti innovativi e dei propri clienti, accuratezza di tutti i dati economici e di produzione, disponibilità dei sistemi informatici. Nella prima parte di questo libro sono illustrati i concetti fondamentali relativi alla sicurezza delle informazioni, tra cui proprio la sua definizione. Il termine sicurezza, però, cela in sé una contraddizione. Sicurezza, infatti, fa venire in mente qualcosa di assoluto e incontrovertibile, cioè qualcosa di impossibile nella realtà. Spesso si dice che Fort Knox, dove si trovano le riserve monetarie degli USA, è uno dei luoghi più sicuri al mondo: sofisticati sensori, barriere perimetrali e allarmi sono tutti ai massimi livelli. Come se non bastassero, è sede di un comando di Marines pronti a intervenire per qualsiasi problema. Fort Knox è riconosciuto come sinonimo di luogo sicuro. Ma come reagirebbe la struttura a un impatto con un meteorite di un chilometro di diametro? Come si può vedere da questo semplice esempio, non ha senso parlare di sicurezza in senso assoluto, ma solo in senso relativo. Fort Knox non è infatti resistente ad un grosso meteorite. Per questo motivo bisogna diffidare di chiunque offra prodotti o soluzioni sicuri al 100%. Una tale affermazione classifica subito la persona come scarsamente competente o come un imbonitore che vuole vendere qualcosa. 1

18 2 CAPITOLO 1. INTRODUZIONE Deve essere individuato il livello adeguato di sicurezza che si vuole ottenere attraverso la valutazione del rischio. Il livello di sicurezza deve essere raggiunto attraverso opportune azioni di trattamento. Nel caso in cui quel livello non possa essere raggiunto, le carenze devono essere analizzate e, se il caso, accettate. Nel tempo, la valutazione deve essere ripetuta per verificare se il livello di sicurezza desiderato e quello attuato siano ancora validi. Queste attività di valutazione, azione o accettazione e ripetizione costituiscono la gestione del rischio (risk management), oggetto della seconda parte del libro. Nella terza parte verranno illustrati i controlli di sicurezza, ossia le misure utili per garantire la sicurezza delle informazioni. Queste saranno soprattutto di tipo organizzativo e non tecnologico. Infatti, buoni processi portano a scegliere buoni e adeguati prodotti e a gestirli correttamente. Non è vero l inverso: un buon prodotto non conduce ad avere buoni processi. La quarta parte tratterà dei requisiti della ISO/IEC per i sistemi di gestione per la sicurezza delle informazioni. Un po di storia Come già accennato, la sicurezza delle informazioni è stata oggetto di attenzione sin dagli albori dell umanità, basta pensare ai misteri collegati a diverse religioni. Per quanto riguarda il passato, Cesare parla di sistemi per evitare l intercettazione dei messaggi in guerra (al capitolo 48 del libro V del De bello gallico); l utilizzo della partita doppia per garantire l integrità della contabilità, descritta nel 1494 da Luca Pacioli, è sicuramente precedente al Duecento. Nelle imprese, fino alla diffusione dell informatica, la sicurezza delle informazioni si riferiva ai documenti cartacei e alle comunicazioni orali; oggi deve comprendere anche la sicurezza informatica. Questa, fino agli anni Novanta, era gestita dagli addetti informatici, senza alcun collegamento con la tutela del patrimonio, ossia con la corporate security, anche se i rischi di furto di informazioni e di spionaggio erano comunque presi in considerazione. In quegli anni si verificarono fenomeni importanti relativamente all informatica e al contesto economico e sociale: 1. la diffusione degli strumenti informatici, grazie ai personal computer e a interfacce sempre più intuitive: Microsoft Windows è del 1985 e Mosaic, il primo browser grafico per navigare sul web, è del 1993; 2. l aumento delle minacce informatiche note al grande pubblico: il primo virus, quello di Morris, è del 1988; 3. la pubblicazione di normative con riferimento alla sicurezza informatica: nel 1993 fu emendato il Codice Penale per includervi i casi di criminalità informatica (Legge 547) e nel 1996 fu emanata la prima versione della Legge sulla privacy (Legge 675) a cui fu affiancato nel 1999 un disciplinare tecnico (DPR 318); 4. l aumento della conflittualità sociale dovuto alle ristrutturazioni di tante imprese; 5. il ricorso a sempre più numerosi fornitori e l aumento di relazioni con attori esterni rappresentate in figura

19 3 Figura 1.0.1: L impresa aperta Tutto questo ha fatto percepire come rilevanti le minacce relative alla sicurezza delle informazioni in generale e informatica in particolare, come illustrato in figura Figura 1.0.2: Nuove minacce Negli anni Novanta cambia anche l approccio alla sicurezza delle organizzazioni: si specializzano gli ambiti di intervento (informatica, siti fisici, persone) perché richiedono diverse competenze, si stabiliscono delle priorità di intervento sulla base di valutazioni del rischio e, in generale, si percepisce la sicurezza come attività indispensabile per garantire la sostenibilità delle organizzazioni nel tempo. Negli anni, le esigenze di sicurezza non si sono ridotte. Questo a causa degli eventi più recenti (11 settembre, spionaggio industriale, eccetera), delle evoluzioni normative in materia di sicurezza delle informazioni e della sempre crescente globalizzazione delle imprese.

20 4 CAPITOLO 1. INTRODUZIONE Per tutti questi motivi sono state introdotte metodologie e pratiche per rendere più strutturate le attività riguardanti la sicurezza delle informazioni. Tra le iniziative più importanti si ricordano quelle relative alla sicurezza dei prodotti e sistemi informatici (TCSEC del 1983, ITSEC del 1991, Common Criteria del 1994 e le Special Publication del NIST 1 emesse dai primi anni Novanta), alla sicurezza delle informazioni (BS 7799 del 1995, di cui si approfondirà la storia nel paragrafo 13.4) e alle metodologie di valutazione del rischio relativo alla sicurezza delle informazioni (CRAMM del 1987, Marion del 1990 e Mehari del 1995) [17]. 1

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

La metodologia si basa sull analisi dei servizi offerti dall ente che intende condurre il Risk Assessment.

La metodologia si basa sull analisi dei servizi offerti dall ente che intende condurre il Risk Assessment. UN METODO DI RISK ASSESSMENT SEMPLICE In uno dei primi numeri di ICT Security, nel 2002, Giulio Carducci lanciava un appello perché si discutesse di metodologie di Risk Assessment. Io risposi a suo tempo

Dettagli

SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY

SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY SICUREZZA FISICA E ICT SECURITY: UN NUOVO MODELLO DI BUSINESS SECURITY DOTT. ALESSANDRO LEGA, CPP Managing Director di Traicon S.r.l. (Gruppo DAB) Nel percorrere il vasto territorio professionale che caratterizza

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

INFORMATIZZAZIONE DELLA RETE AZIENDALE CORDATA SCARL

INFORMATIZZAZIONE DELLA RETE AZIENDALE CORDATA SCARL Tale Rete era stata da poco costituita da 6 diverse aziende, ubicate in sei diverse Regioni, che avevano operato fino ad allora separatamente, nel settore dell assistenza h/w (di PC, Stampanti, Bancomat,

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Risk Assessment e la Norma ISO 9001:2015 parte 3

Risk Assessment e la Norma ISO 9001:2015 parte 3 Risk Assessment e la Norma ISO 9001:2015 parte 3 PROMOSSO E ORGANIZZATO DA IN COLLABORAZIONE CON: 1/40 Risk management: collegamenti e sinergie con il Sistema Qualità Come visto nel precedente intervento,

Dettagli

L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita

L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita L obiettivo della normazione tecnica e della certificazione è migliorare la qualità della vita di Stefano Bonetto (Client manager Audit in Italy) L obiettivo della normazione è migliorare la qualità della

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone

Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone Articolo Il calendario dell avvento pensa alla sicurezza: 24 consigli per computer, tablet e smartphone 24 consigli dagli esperti di Kaspersky Lab per proteggere i tuoi dispositivi che si collegano a Internet.

Dettagli

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legati agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce agli Audit dei Sistemi di Gestione

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Questo grafico mostra com è aumentato il numero di record per i programmi malevoli per SO Android nel database dei virus Dr.Web

Questo grafico mostra com è aumentato il numero di record per i programmi malevoli per SO Android nel database dei virus Dr.Web 1 Ruberia mobile Android è il sistema operativo per smartphone e tablet più popolare ed è il secondo più preferito dopo Windows dal punto di vista degli autori dei virus. I primi programmi malevoli per

Dettagli

www.avg.it Come navigare senza rischi

www.avg.it Come navigare senza rischi Come navigare senza rischi 01 02 03 04 05 06.Introduzione 01.Naviga in Sicurezza 02.Social Network 08.Cosa fare in caso di...? 22.Supporto AVG 25.Link e riferimenti 26 [02] 1.introduzione l obiettivo di

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Usare il Cloud in sicurezza: spunti tecnici

Usare il Cloud in sicurezza: spunti tecnici Usare il Cloud in sicurezza: spunti tecnici Cesare Gallotti Milano, 24 gennaio 2012 Sotto licenza Creative Commons creativecommons.org/licenses/by-nc/2.5/it/ 1 Agenda Presentazione relatore Definizioni

Dettagli

La Sicurezza Informatica nella Pubblica Amministrazione

La Sicurezza Informatica nella Pubblica Amministrazione Ernst & Young Technology and Security Risk Services per gli Organismi Pagatori Regionali Firenze, 12 giugno 2003 La Sicurezza Informatica nella Pubblica Amministrazione 1 La Sicurezza Informatica nella

Dettagli

Sicurezza dei processi interni e dei servizi ai clienti in un azienda always on

Sicurezza dei processi interni e dei servizi ai clienti in un azienda always on giugno 05 1 Prevenzione Italia: Roma 17 giugno Sicurezza dei processi interni e dei servizi ai clienti in un azienda always on Sommario Cos è la sicurezza delle informazioni? Perché è necessaria una metodologia?

Dettagli

Sistemi di gestione integrati Come la ISO/IEC 20000 può essere di supporto alla ISO/IEC 27001

Sistemi di gestione integrati Come la ISO/IEC 20000 può essere di supporto alla ISO/IEC 27001 Seminario associazioni: Seminario a cura di itsmf Italia Sistemi di gestione integrati Come la ISO/IEC 20000 può essere di supporto alla ISO/IEC 27001 Cesare Gallotti Milano, 14 marzo 2011 Agenda Presentazione

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

PEC, ovvero Posta Elettronica Certificata: quando l e-mail ha il valore di raccomandata

PEC, ovvero Posta Elettronica Certificata: quando l e-mail ha il valore di raccomandata INFORMATICA. PEC, ovvero Posta Elettronica Certificata: quando l e-mail ha il valore di raccomandata UN OBBLIGO PER I PROFESSIONISTI MA ANCHE UNO STRUMENTO MOLTO UTILE Con il decreto legge n. 185 del 29

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

CENTRALE DI ALLARME PER ATTACCHI INFORMATICI (Pos. 2603/3015)

CENTRALE DI ALLARME PER ATTACCHI INFORMATICI (Pos. 2603/3015) serie Tecnica n. Codice Attività: TS 3015 CENTRALE DI ALLARME PER ATTACCHI INFORMATICI (Pos. 2603/3015) Scheda di segnalazione sul Phishing Si fa riferimento alla lettera circolare ABI TS/004496 del 12/09/03

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 20 gennaio 2009 INDICE Sezione Contenuto 1. Il programma Responsible Care: scopo e campo di applicazione

Dettagli

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H Percorso formativo su Semplificazione e nuovo Codice dell Amministrazione Digitale H - 4 - FSE - 2012-1 Semplificazione

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

CODICE ETICO. DI ACI Informatica SPA

CODICE ETICO. DI ACI Informatica SPA CODICE ETICO DI ACI Informatica SPA Versione 2 approvata dal Consiglio di Amministrazione di ACI Informatica S.p.A. il 16/11/2009. I riferimenti del Codice Etico a ACI Informatica o Società o Azienda si

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

FACSIMILE. Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI:

FACSIMILE. Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI: FACSIMILE Manuale per la Sicurezza AD USO DEGLI INCARICATI STUDIO TECNICO: RESPONSABILE DEL TRATTAMENTO DATI: Introduzione Questo documento fornisce agli incaricati del trattamento una panoramica sulle

Dettagli

Proteggi gli account personali

Proteggi gli account personali con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli

Dettagli

ELEMENTI DI MISURAZIONE DELL EFFICACIA

ELEMENTI DI MISURAZIONE DELL EFFICACIA ELEMENTI DI MISURAZIONE DELL EFFICACIA La misurazione delle prestazioni (cd. performance) associate ad un qualsiasi processo o azione manageriale si può realizzare attraverso un sistema di indicatori predefiniti

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

L'insicurezza del Web: dai Trojan alle frodi online

L'insicurezza del Web: dai Trojan alle frodi online Information Security n. 3 Anno 2, Marzo 2011 p. 1 di 6 L'insicurezza del Web: dai Trojan alle frodi online Sommario: Il grande successo dell'utilizzo di Internet per le transazioni economiche ha portato

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni EDILMED 2010 Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI G. Annunziata, G.Manco Napoli 28 Maggio 2010 EDILMED/ 2010 1

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

La sicurezza ICT nelle PMI: quale approccio?

La sicurezza ICT nelle PMI: quale approccio? La sicurezza ICT nelle PMI: quale approccio? Marco Bozzetti Presidente ClickICT Srl David Bramini Senior Consultant - Visionest S.p.A. > Il ruolo crescente dell ICT nelle PMI Con il termine ICT, Information

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Informatica Forense dal punto di vista di Manager e figure apicali

Informatica Forense dal punto di vista di Manager e figure apicali Soluzioni e sicurezza per applicazioni mobile e payments 1 Informatica Forense dal punto di vista di Manager e figure apicali Pietro Brunati Venezia, 27 settembre 2013 2 Soluzioni e sicurezza per applicazioni

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali. IT SERVICE MANAGEMENT NEWS FEBBRAIO 2014 Newsletter mensile con novità in materia di sicurezza delle informazioni, IT Service Management, Qualità. E' possibile dare il proprio contributo e diffonderla

Dettagli

Schede operative PEC. I soggetti che interagiscono con il sistema di posta elettronica certificata

Schede operative PEC. I soggetti che interagiscono con il sistema di posta elettronica certificata PEC Il servizio di posta elettronica certificata Il presente lavoro si propone di illustrare le principali caratteristiche del nuovo servizio di posta elettronica certificata, che rappresenta uno dei sistemi

Dettagli

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali.

Sulla stessa pagina è possibile consultare l'informativa sul trattamento dei dati personali. IT SERVICE MANAGEMENT NEWS FEBBRAIO 2015 Newsletter mensile con novità in materia di sicurezza delle informazioni, IT Service Management, Qualità. E' possibile dare il proprio contributo e diffonderla

Dettagli

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx

qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS) cvbnmqwertyuiopasdfghjklzxcvbnmq wertyuiopasdfghjklzxcvbnmqwertyui

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Dopo la formazione i mentori saranno consapevoli che

Dopo la formazione i mentori saranno consapevoli che Modulo 2 Le tecniche del mentor/tutor 2.5. Perché e in che modo le competenze pedagogiche sono importanti per i mentori che lavorano nella formazione professionale (VET) Tempistica Tempo totale 2 ore:

Dettagli

Codice Etico INDICE INTRODUZIONE I PRINCIPI GENERALI RELAZIONI CON GLI STAKEHOLDER SALVAGUARDIA AMBIENTALE PRESCRIZIONI SPECIFICHE

Codice Etico INDICE INTRODUZIONE I PRINCIPI GENERALI RELAZIONI CON GLI STAKEHOLDER SALVAGUARDIA AMBIENTALE PRESCRIZIONI SPECIFICHE Codice Etico INDICE INTRODUZIONE I PRINCIPI GENERALI RELAZIONI CON GLI STAKEHOLDER SALVAGUARDIA AMBIENTALE PRESCRIZIONI SPECIFICHE COMITATO DI CONTROLLO DEL CODICE ETICO DENUNCIA DELLE VIOLAZIONI 2 3 3

Dettagli

Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking

Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking Giugno 2013 1/12 Premessa L Internet Banking è a oggi tra i servizi web maggiormente utilizzati

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

Sommario. UNO Computer essentials 1. 1.1 Computer e dispositivi 3. 1.2 Desktop, icone, impostazioni 22

Sommario. UNO Computer essentials 1. 1.1 Computer e dispositivi 3. 1.2 Desktop, icone, impostazioni 22 Sommario Prefazione xiii UNO Computer essentials 1 1.1 Computer e dispositivi 3 Information and Communication Technology... 3 Hardware... 3 Il personal computer... 4 Dispositivi portatili... 5 Componenti

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI

ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI ALLEGATO 2 ISTRUZIONI PER IL TRATTAMENTO DEI DATI PERSONALI Con questo documento si intende offrire: - una precisazione in ordine ai termini ed ai concetti più frequentemente richiamati dalla normativa

Dettagli

STARBYTES è il servizio di lavoro on line realizzato da Reply Spa.

STARBYTES è il servizio di lavoro on line realizzato da Reply Spa. PRIVACY POLICY Le seguenti previsioni relative al trattamento dei dati personali sono indirizzate a tutti gli Utenti del sito www.starbytes.it ("Sito"), coerentemente con quanto previsto dal relativo Regolamento

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Tecniche di buona comunicazione in posta elettronica

Tecniche di buona comunicazione in posta elettronica MERCATI E TENDENZE Tecniche di buona comunicazione in posta elettronica di Saverio RubinI 1 Molto più posta che navigazione Chi si avvicina a un computer per collegarsi in Internet, è portato a pensare

Dettagli

Codice Etico. FIAMM. Italian Passion. Global Energy

Codice Etico. FIAMM. Italian Passion. Global Energy Codice Etico FIAMM. Italian Passion. Global Energy I riferimenti del Codice Etico a FIAMM o Società o Azienda o Gruppo si intendono alla società Capogruppo FIAMM S.p.A. e/o alle società controllate dalla

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Procedure Standard Applicazione Misure Minime Sicurezza

Procedure Standard Applicazione Misure Minime Sicurezza PROCEDURE STANDARD MISURE MINIME DI SICUREZZA DEFINIZIONE E GESTIONE DELLE USER ID Autorizzazione informatica al trattamento Gli Incaricati del trattamento sono autorizzati a livello informatico singolarmente

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

BILANCIO. Verifiche contabili e sistema di controllo interno. Check list e fac-simili. CONTABILITÀ. di Antonio Cavaliere

BILANCIO. Verifiche contabili e sistema di controllo interno. Check list e fac-simili. CONTABILITÀ. di Antonio Cavaliere VERIFICHE PERIODICHE per il revisore legale e per i sindaci Verifiche contabili e sistema di controllo interno. Check list e fac-simili. di Antonio Cavaliere Con le modifiche introdotte al Codice civile

Dettagli

LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE

LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE ottobre 2010 SCOPO E CAMPO DI APPLICAZIONE Scopo delle

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Pag. 234 di 13 27/05/2010 PARTE SPECIALE E : REATI DI CRIMINALITÀ INFORMATICA La presente

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

MASTER GESTIONE INTEGRATA

MASTER GESTIONE INTEGRATA MASTER GESTIONE INTEGRATA ESPERTI in SISTEMI DI GESTIONE AZIENDALE: QUALITA, AMBIENTE E SICUREZZA ISO serie 9000, ISO serie 14000, OHSAS 18001, OHSAS 18002, ISO 22000, ISO 27001, Reg. EMAS, ISO 19011,

Dettagli

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo DETTAGLIO SERVIZI 1 INDICE SERVIZI... 3 1. TESSERINO D ISCRIZIONE... 3 2. FIRMA DIGITALE CON RUOLO... 3 SMART CARD CON RUOLO... 3 CNS (CARTA NAZIONALE DEI SERVIZI)... 5 BUSINESS KEY... 5 3. POSTA ELETTRONICA

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

Riassunto primo focus (senior)

Riassunto primo focus (senior) Riassunto primo focus (senior) Il focus group si è svolto giovedì 25 marzo dalle 17.00 alle 18.30. I partecipanti erano persone in pensione appartenenti all associazione Amici della biblioteca. Sebbene

Dettagli