Elementi di Sicurezza e Privatezza

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Elementi di Sicurezza e Privatezza"

Transcript

1 Elementi di Sicurezza e Privatezza Proteggere le informazioni: aspetti organizzativi Lez

2 La Sicurezza delle Informazioni Risorse a Supporto dell Informazione le risorse umane le infrastrutture (ossia i siti fisici e tutte le attrezzature a supporto delle strutture) la tecnologia (hardware, software, network, etc ) Fattore critico: le risorse umane fondamentali per l'uso della tecnologia 2

3 Sistema di ges5one della sicurezza Necessità di implementare modalità di gestione complessiva della sicurezza delle informazioni in azienda, che non comprenda i soli aspetti tecnici Necessità di definire un sistema di gestione della sicurezza delle informazioni (SGSI), comprendente aspetti organizzativi e gestionali, oltre ad aspetti tecnici Non solo l applicazione di strumenti più appropriati al singolo obiettivo di protezione (introduzione di firewall, antivirus, backup, ecc.) 3

4 Sicurezza delle Informazioni vs. Sicurezza Informatica IT Governance Sicurezza dell Informazione Sicurezza Informatica 4

5 Lo standard ISO 27001:2005 La normativa ISO detta i requisiti per realizzare un Sistema di Gestione della Sicurezza delle Informazioni e riprende alcuni dei concetti dello standard ISO 9001 Lo standard si basa su due concetti (come ISO 9000) Politica di sicurezza Sistema di governo della sicurezza 5

6 Poli5ca e Governo Specificazione ad alto livello degli obiettivi per la sicurezza che l organizzazione si propone di conseguire Complesso di procedure per il governo della sicurezza attuato e mantenuto dall organizzazione per garantire nel tempo il soddisfacimento della politica della sicurezza (SGSI) 6

7 Cosa dobbiamo proteggere? Le informazioni I beni della azienda (asset) Il software proprietario dell azienda Per salvaguardare: Il business della azienda L immagine della azienda La reputazione della azienda Tutto ciò che ci viene richiesto dai vincoli legali (vedi D. lgs. 196/03: Codice in materia di dati personali) 7

8 Come gestiamo? L implementazione e la manutenzione di un sistema di IT Governance secondo lo standard ISO prevedono quattro fasi cicliche, che si ripetono continuamente: pianificazione (plan) a-uazione (do) monitoraggio (check) miglioramento (correct o act) 8

9 Come pianifico gli interventi L informazione è un bene Devo definirne il valore (soggettivo) Devo valutare il rischio associato a tale bene Valutazione delle minacce, dell impatto, delle vulnerabilità delle informazioni Devo stimare la probabilità di accadimento di ciascun rischio Devo calcolare il danno stimato in caso di incidente Cioè devo fare una risk analysis 9

10 Istituire la politica, gli obiettivi, i processi e le procedure per la sicurezza rilevanti per la gestione del rischio e il miglioramento della sicurezza Attuazione (DO) Attuare e operare la politica, i controlli, i processi e le procedure per la sicurezza Requisiti PDCA Pianificazione (PLAN) Ciclo PDCA Monitoraggio (CHECK) 10 Miglioramento (ACT) Intraprendere azioni correttive e preventive basandosi sui risultati del riesame da parte delle direzione per conseguire il miglioramento continuo di SGSI Valutare e misurare le prestazioni dei processi sulla base della politica e degli obiettivi per la sicurezza e dell esperienza, riportando alla direzione i risultati

11 ASPETTI ORGANIZZATIVI 11

12 I ruoli della Information Security Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 12

13 Le figure professionali Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 13

14 I ruoli 14

15 Security Staff in un organizzazione molto grande 15

16 Security Staff in un organizzazione medio/grande 16

17 Security Staff in una piccola organizzazione 17

18 Dove posizionare la sicurezza ICT? Nelle grandi organizzazioni: InfoSec viene localizzata di solito all interno delle divisioni IT Il responsabile è il CISO che riporta direttamente al CIO o al CEO Va però detto che spesso per gli scopi e le attività svolte, la divisione Infosec contrasta con la divisione IT Di fatto le soluzioni aodttate da varie organizzazioni sono tra le più disparate 18

19 All interno della divisione IT 19

20 All interno della divisione Sicurezza 20

21 All interno della divisione servizi amministrativi 21

22 All interno della divisione Affari Legali From Information Security Roles and Responsibilities Made Easy, used with permission. 22

23 ANALISI DEI RISCHI 23

24 Rischio per un organizzazione La possibilità di subire una perdita Essenziale per progredire La sfida è saper gestire il rischio Indici utili Esposizione al rischio RE p (di un evento inatteso) x perdita associata Risk ReductionLeverage RRL = (Re before Re after ) / costo dell intervento 24

25 Quali rischi Operational Hazard Physical Strategic Capital / resource allocation Industry / competitors Technological Databases Security Confidential information Stakeholder Legal Compliance Regulatory Financial Capital markets Credit risks Taxes Human capital Retention Training Reputational

26 Sicurezza come rischio La sicurezza COSTA non solo in termini di denaro ma anche di: Tempo Privacy Flessibilità Convenienza Maggiore sicurezza implica maggiori costi (non vale il viceversa!!!) 26

27 Conseguenze La quantità di sicurezza che inserisco in un sistema dipende dai costi che sono disponibile a sostenere Non sempre sarò in grado di ottenere il massimo livello di sicurezza 27

28 Sicurezza come processo La messa in sicurezza di un sistema diventa allora un attività molto complessa, in cui vanno progettate, stimate e implementate misure di varia natura (tecnologiche, organizzative e sociali) Tenendo conto di una serie di vincoli di varia natura: economica, politica, legale e sociale La sicurezza di un sistema è spesso ottenuta con l adozione simultanea di diversi strumenti e strategie 28

29 Analisi del rischio Strumento usato estensivamente in fase di pianificazione come strumento di supporto alle decisioni Obiettivo: stimare le perdite associate ad errori/eventi anomali che possono verificarsi in un sistema Esistono diverse metodologie per svolgere l analisi dei rischi: Quantitative Qualitative 29

30 I beni da proteggere Primari Dati/Programmi Servizi/Processi Secondari Vite umane Tempo Denaro Privacy 30

31 I Rischi Perdita d immagine verso l opinione pubblica Perdita d immagine verso i propri clienti Perdita del competitive advantage Furto di Informazioni sensibili Blocco di attività critiche Mancato rispetto di regole contrattuali Coinvolgimento in procedimenti processuali Danneggiamento degli asset Mancato rispetto di leggi e regolamenti 31

32 I ritorni Risparmi nelle seguenti aree: Incident recovery Business continuity Downtime recovery Minori perdite dati Salvaguardia dell immagine dell azienda Riduzione downtime Razionalizzazione della struttura organizzativa 32

33 Annual Loss Expectancies La tecnica quantitativa più diffusa per associare una quantità all avverarsi di un certo evento catastrofico è basata sul calcolo dell ALE ALE = perdita attesa nel caso in cui si verificano certi evento Esempio: il black out di un server costa ad un azienda /giorno, il guasto si verifica mediamente una volta ogni due anni, quindi ALE in un anno

34 La valutazione quantitativa: ALE Asset1 Asset2 Asset3 Asset4 TOTAL Threat1 ALE11 ALE12 ALE13 ALEt1 Threat2 ALE21 ALE22 ALE23 ALEt2 Threat3 TOTAL ALEa1 ALEa2 ALE 34

35 Svantaggi Non consente di valutare gli asset intangibili Valutazione del danno solo economica Labour Intensive Time Consuming 35

36 Risk Analysis Qualitativa Utilizzo di scala qualitativa per la valutazione di asset, minacce, vulnerabilità, rischi 1-10 LOW, Medium, High Very low, Low, Medium, High, Very High 36

37 La valutazione qualitativa Matrice di correlazione tra: valore dell asset (1-10) livello della minaccia (VL, L, M, H, VH) livello delle vulnerabilità (L, M, H) Valore del rischio (1-7) esplicitato per ogni asset in relazione ai livelli di minaccia, vulnerabilità e valore dell asset 37

38 Matrice del Rischio : Qualitativa Asset Threat à Very Low Low Very High Vuln y à L M H L M H L

39 Esempio valutazione qualitativa Asset: sito web Minaccia: SQL injection Vulnerabilità: Bad code Rischio: furto di informazioni riservate Valore minaccia: M Valore vulnerabilità: L Valore Asset: 7 VALORE RISCHIO: 5 39

40 Vantaggi Meno Labour Intensive and Time Consuming Piu versatile: valutazione beni intangibili valutazione impatti anche non economici applicabile anche a sistemi informativi in divenire 40

41 Matrice del rischio

42 Altri metodi di Risk Analysis Check List Questionari Visualizzazioni RABWA Indicatori 42

43 Gestione del rischio Una volta individuati i rischi ed averne stimato la portata è necessario decidere cosa fare per ciascuno degli elementi presenti nella matrice del rischio: Evitare Accettare Trasferire Ridurre 43

44 Schema di riferimento Danno : Valore Impatto Trasferire Accettare Evitare Ridurre Probabilità (M,V) 44

45 I DOCUMENTI 45

46 I documenti di riferimento 46

47 L audience 47

48 Politiche, Standard, e Linee guida Nell ambito di (NIST ) è fortemente consigliata la realizzazione di tre tipi di politiche: Enterprise information security program Issue-specific information security policy Systems-specific information security policy 48

49 Politiche, Standard, & Linee Guida Policy: un insieme di indicazioni e regole che indicano quali sono le aspettative del management in termini di sicurezza informatica Standard: un documento più dettagliato rispetto alla policy, che da indicazioni più precise sulle attività da svolgere Procedure e linee guida: spiegano le diverse attività da svolgere, le modalità con cui realizzarle, nonché dettano norme comportamentali 49

50 Enterprise Information Security Policy (EISP - Policy) Detta la linea strategica, e gli obiettivi principali a cui devono essere orientati gli investimenti dell azienda in termini di sicurezza Il documento viene solitamente predisposto dal CISO e CIO Documento di alto livello; 2-10 pagine Assegna le responsabilità per i vari settori della sicurezza ICT, compresi La manutenzione delle politiche di sicurezza Training e supporto agli utenti ifnali Fornisce lineee guida per Lo sviluppo, l implementazione e la gestione di tutte le attività rigurdanti la sicurezza informatica 50

51 EISP EISP deve contenere: L indicazione degli obiettivi strategici della Sicurezza Ict in azienda Indicazioni sulla struttura organizzativa che si vuole predisporre per raggiungere gli obiettivi su prefissati Ruoli e responsabilità di tutte le persone coinvolte, sottolineando le responsabilità personali Previsioni di budget 51

52 Issue-Specific Security Policy (ISSP -Standard) Tre caratteristiche principali: Affronta problematiche legate alla tecnologia Richiede aggiornamenti frequenti Viene predisposta a partire da un problema sollevato in ambito di policy generale Argomenti tipici: Uso , Uso Internet e World Wide Web, Configurazione minima per la difesa contro malware, Divieti sull uso di particolari tool o procedure (penetration testing, etchical hacking) Uso risorse informatiche aziendali 52

53 Componenti di una ISSP Scopo Scopo e dominio di riferimento Definizione della tecnologia analizzata Responsabilità Accesso e uso della tecnologia Modalità d accesso degli utenti Modalità d uso accettate Protezione della Privacy Usi vietati della tecnologia Atti vandalici Atti criminali Violazione Copyrighte leggi sulla proprietà intellettuale Altre restrizioni 53

54 Componenti di una ISSP (Continua) System Management Gestione del materiale memorizzato Controllo dipendenti Virus Protection Sicurezza Fisica Encryption Violazione della politica of Policy Procedure per riportare violazioni della politica Provvedimenti disciplinari per violazioni Aggiornamenti e modifiche Programma per la revisione e modifica della politica Vincoli sulle responsabilità Dichiarazioni circa l esclusione di responsabilità 54

55 Quante ISSP? Tre approcci: Un ISSP per ogni tecnologia da gestire/trattare Un ISSP generico per tutte le tecnologie Un documento modulare formato da tanti capitoli gestito centralmente 55

56 Systems-Specific Policy (SysSP Linee guida) Essenzialmente dei documenti che servono come standard o linee guida per la configurazione e gestione di sistemi Formati da due componenti: Direttive generali Specifiche tecniche 56

57 Direttive generali Scritte dal management di II livello Danno indicazioni generali sulle modalità con cui procedere alla gestione manutenzione dei sistemi, nonché sulle responsabilità dei sysadmin 57

58 Specifiche Tecniche Specificano il modo effettivo con cui mettere in opera le direttive che provengono dal management Due metodi generali: Access control lists Configuration rules 58

59 CONTINGENCY PLAN 59

60 Che cos è il Contingency Plan? Contingency plannining (CP) Progettare le attività per gestire un evento inatteso e dannoso per l organizzazione RILEVARE, RISPONDERE (react) e RIPRISTINARE il sistema da eventi che ne hanno la sicurezza delle risorse e delle informazioni Obiettivo principale: Ripristinare nel minor tempo possibile e con il minimo costo, la modalità operativa normale a seguito di un attacco distruttivo 60

61 Introduzione Quando la tecnologia viene messa fuori uso e le normali attività dell organizzazione rischiano il collasso è necessario disporre di una serie di procedure che consentano all organizzazione di continuare a svolgere almeno le funzioni essenziali Più del 40% delle organizzazioni vittime di un evento anomalo, che non avevano predisposto un CP sono fallite nell arco di un anno dall evento 61

62 CP: componenti Incident response (IRP) Focalizzato sulla risposta immediata Disaster recovery (DRP) Focalizzato sul restore delle operazioni dopo che il disastro è avvenuto Business continuity (BCP) Focalizzato sulla ripresa delle operazioni su un sito remoto, in attesa del ripristino del sito originale 62

63 Timeline 63

64 CP contenuti Al fine di predisporre un CP è necessario: Sulla base del core business dell organizzazione identificare le funzioni critiche allo svolgimento dello stesso Identificare le risorse che supportano lo svolgimento delle funzioni critiche Prevedere potenziali criticità o disastri che possono affliggere tali risorse Selezionare i piani di recupero Implementare tali piani Testare e revisionare periodicamente i piani 64

65 CP: operativamente Nel contingency planning sono coinvolte 4 tipi di professionalità: CP team Incident recovery (IR) team Disaster recovery (DR) team Business continuity plan (BC) team 65

66 Incident Response Plan IRP: Insieme dettagliato di processi e procedure che descrivono gli eventi inattesi che possono compromettere risorse e sistemi, ed indicano anche come rilevare e mitigare gli stessi Incident response (IR): Insieme di procedure da attivare nel momento in cui viene rilevato un incidente 66

67 Incident Response Plan (Continua) Una minaccia diventa un attacco e quindi un incidente di sicurezza ICT quando: È diretta contro sistemi informatici Ha una certa probabilità di essere eseguita con successo Minaccia confidenzialità, integrità e disponibilità IR è una misura reattiva non preventiva 67

68 Incident Response Plan Deve contenere procedure che specificano: Cosa fare per rilevare un incidente (Detection phase) Cosa fare quando un incidente si è verificato (Reaction phase) Come ripristinare il tutto (Recovery phase) Post mortem 68

69 Detection Come rilevare un possibile tentativo di intrusione Report dagli utilizzatori dei sistemi, allarmi degli IDS, antivirus, Log correlation, ecc. Fondamentale il coinvolgimento degli utenti finali Problema Definire il limite entro cui un evento sospetto diventa attacco Incident classification: Una volta individuato un evento anomalo è necessaria una sua classificazione al fine di individuare le casistiche più adeguate per il suo trattamento 69

70 Reaction Una volta che un incidente è stato dichiarato e classificato è necessario avviare la procedura di reazione Allertare persone e organizzazioni chiave Contenere gli effetti dell attacco: circoscriverne la diffusione e possibilmente bloccarlo 70

71 Strategie di contenimento Disconnettere i sistemi coinvolti Modificare dinamicamente le regole di accesso al firewall Disabilitare gli account compromessi Disabilitare servizi compromessi o in odore di Disconettere server Disconettere l intera rete aziendale 71

72 Documentazione Immediamente dopo aver attivato la fase di reazione è necessario avviare la fase di documentazione dell incidente: È necessario tenere traccia di tutte le azioni intraprese durante la gestione dell incidente in particolare di ogni attiivtà è necessario indicare chi, cosa, quando, dove e perchè Serve per l analisi post-mortem 72

73 Recovery Incident Recovery Inizia quando un attacco è stato contenuto e IRT ha ripreso il controllo della situazione A questo punto è necessario determinare l estensione del danno e individuare tutti i sistemi coinvolti ed il livello di danno subito Tutti questi elementi vanno accuratamente documentati e in caso di causa civile e/o penale è necessario conservare l evidenza dei danni subiti 73

74 Recovery Il processo di recovery consiste in: Identificare e risolvere le vulnerabilità che hanno consentito il verificarsi dell attacco Individuare criticità nei sistemi di protezione che non hanno consentito agli stessi di rilevare l attacco Eventualmente installare nuovi sistemi di monitoring e detection 74

75 Recovery (Continua) Ripristinare dati dai back-up Ripristinare processi e sistemi che si sono disabilitati durante la gestione dell incidente Continuare a monitorare il sistema Ripristinare la confidenza nel sistema da parte degli utenti finali e della parti coinvolte nell incidente 75

76 Post-mortem Al termine dell attività di recovery, IRT deve analizzare attentamente tutte le fasi della gestione dell incidente al fine di individuare eventuali criticità che fossero emerse durante le diverse fasi di gestione dell incidente per un loro miglioramento 76

77 Law Enforcement Un attacco informatico di norma è un reato previsto da nostro codice penale e come tale va denunciato all autorità giudiziaria 77

78 Escalation Durante la gestione di un incidente l IRP può realizzare di non essere più in grado di contenerne gli effetti che possono estendersi anche ad altre organizzazioni È compito di chi prepara il CP determinare il punto in cui un incidente diventa un disastro 78

79 DISASTER RECOVERY 79

80 Disaster Recovery DRP Preparazione al recovery del sistema dopo un disastro naturale o artificiale Un incidente diventa un disastro quando: L organizzazione non è in grado di controllare o contenere gli effetti dell attacco Il livello di danno e distruzione dell attacco è così severo che l organizzazione non è nemmeno in grado di mettere in atto le procedure di recovery Scopo primario del DRP: ristabilire l operatività del sistema danneggiato 80

81 Classificazione dei disastri Naturali vs. generati dall uomo (la più comune) Velocità di propagazione: Rapidi: terremoti, incendi, alluvioni, black-out Lenti: degrado ambientale, deforestazione, carestie, ecc 81

82 Pianificare i disastri Classificare i potenziali disastri in funzione dell impatto Esistono a questo proposito opportune metodologie di impact analysis Punti chiave di un DRP: Chiara definizione di ruoli e responsabilità Elenco delle entità da allertare e coinvolgere Chiara definizione delle priorità Documentazione del disastro Attività di mitigazione dell impatto Alternative implementative dei sistemi critici Il DRP va testato periodicamente 82

83 Crisis Management DRP potrebbe fare riferimento ad un processo di CM Insieme di attività intraprese durante e dopo il disastro per assistere le persone coinvolte Attività tipiche di un team di crisis management: Supporto a persone e loro familiari durante la crisi Stabilire l impatto del disastro sulle normali attività ed eventualmente dichiarare lo stato di crisi Comunicare con il mondo esterno 83

84 Respondere al disastro Nella realtà gli eventi catastrofici possono superare ogni previsione DRP deve essere flessibile a configurabile a situazioni non previste Quando un disastro minaccia le sedi operative e più importanti di un organizzazione DRP diventa anche BCP 84

85 Business Continuity Planning (BCP) Garantire che un organizzazione possa continuare ad erogare e svolgere le sue funzioni primarie anche a fronte di un disastro È necessaria quindi un analisi preliminare per l identificazione di queste funzionalità e delle infrastrutture di supporto Solitamente effettuato di concerto con CEO Si attiva e viene eseguito concorrentemente con DRP Ristabilisce le funzioni primarie in siti alternativi (DRP è invece concentrato sul recupero delle funzioni sul luogo in cui avviene il disastro) 85

86 BCP: problematiche I costi sono sempre un fattore determinante per la selezione della soluzione più appropriata Opzioni per siti alternativi ad uso esclusivo: Hot site Warm site Cold site Opzioni per siti alternativi ad uso condiviso : Timeshare Service bureau Mutual agreement 86

87 Hot Sites Uso esclusivo Computer facility completamente configurate a replica dei servizi da rimpiazzare Warm Sites Come sopra, ma con servizi sw non completamente allineati Cold Sites Si predispone un sotto insieme di sistemi in grado di ospitare, quando necessario, i servizi da rimpiazzare 87

88 Uso condiviso Timeshare Sito dedicato ma preso in affitto Service Bureau Agenzie che forniscono HW su richiesta Mutual Agreement Contratti con altre organizzazioni per mutua assistenza in caso di disastro Altre soluzioni: Siti mobili Risorse di memorizzazione esterne 88

89 Dati Affinché un BCP possa entrare in azione il più velocemente possibile, è necessario che l organizzazione coinvolta disponga nel sito remoto dei dati necessari Le possibili opzioni sono: Electronic vaulting: batch-transfer dei dati al sito remoto, anche su base periodica Remote Journaling: trasferimento in tempo reale delle transazioni, sul sito remoto Database shadowing: copia integrale e in tempo reale dei dati critici 89

90 Standard Per facilitare la realizzazione dei documenti legati ad un piano della sicurezza, sono state proposte e sono in continua revisione una serie di metodologie ISO RFC 2196 NIST SP 90

91 STANDARD 91

92 ISO Nasce a partire da una metodologia molto discussa e molto diffusa in Europa BS 7799:1 Information Technology Code of Practice for Information Security Management, Originariamente nota come British Standard BS 7799 Ora ISO 27001:2005 BS 7799:2 Information Security Management: Specification with Guidance for Use, ora ISO 17799:1 Scopo: Fornire raccomandazione a tutti coloro che devono predisporre, implementare o gestire un sistema per la gestione della sicurezza delle informazioni e dei sistemi in una organizzazione 92

93 BS 7799 (II) Volume 2 Fornisce indicazioni su come implementare effettivamente quanto descritto nel volume I Come predisporre una Information Security Management Structure (ISMS) Noto anche come ISO Questo standard non è stato adottato tra gli altri, da USA, Germania, Giappone 93

94 RFC 2196 Site Security Handbook RFC 2196 Creato dal Security Area Working Group di IETF Contiene discussione e suggerimenti sulle più importanti problematiche relative alla sicurezza, con suggerimenti in merito alla loro implementazione Aspetti considerati security policies, security technical architecture, security services, and security incident handling 94

95 NIST Security Models Il NIST ha predisposto una serie di documenti pubblici che affrontano con diversi livelli di approfondimento diverse tematiche: SP , Computer Security Handbook SP , Generally Accepted Security Principles & Practices SP , Guide for Developing Security Plans SP , Security Self-Assessment Guide-IT Systems SP , Risk Management for Information Technology Systems SP , Recommended Security controls for. La standard de facto per la PA statunitense 95

96 ISO 27002:2005 (EX ISO 17799) 96

97 Le dieci sezioni di ISO/IEC Organizational Security Policy 2. Organizational Security Infrastructure objectives 3. Asset Classification and Control 4. Personnel Security objectives 5. Physical and Environmental Security objectives 6. Communications and Operations Management objectives 7. System Access Control objectives 8. System Development and Maintenance objectives 9. Business Continuity Planning 10. Compliance objectives 97

98 Organizational security policy 5.1 POLITICHE DI SICUREZZA INFORMATICA Documentazione sulle politiche di Sicurezza Informatica Revisione delle informazioni sulla Sicurezza Informatica 98

99 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.1 ORGANIZZAZIONE INTERNA Impegni del management per la sicurezza informatica Coordinamento delle attività di sicurezza informatica Allocazione delle responsabilità di sicurezza informatica Processo di autorizzazione per gestire le strutture di sicurezza informatica Accordi di confidenzialità Contatti con le Autorità Contatti con gruppi si interesse speciale Revisioni indipendenti della sicurezza informatica 99

100 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.2 ENTITA ESTERNE ALL ORGANIZZAZIONE Identificazione dei rischi collegati a entità esterne Definire le problematiche di sicurezza delle informazioni nel caso di rapporti con i clienti Definire le problematiche di sicurezza delle informazioni nel caso di accordi con terze parti 100

101 7 GESTIONE DEGLI ASSET 7.1 RESPONSIBILITA PER GLI ASSETS Inventario degli asset Possesso degli asset Uso accettabile degli asset 7.2 CLASSIFICAZIONE DELLE INFORMAZIONI Linee guida sulla Classificazione Etichettatura e gestione delle informazioni 101

102 8 SICUREZZA DELLE RISORSE UMANE 8.1 PRIMA DELL ASSUNZIONE Ruoli e Responsabilità Selezione Termini e condizioni di assunzione 8.2 DURANTE L IMPIEGO Responsabilità di Management Consapevolezza, educazione ed addestramento sulla Sicurezza Informatica Processi disciplinari 102

103 8 SICUREZZA DELLE RISORSE UMANE 8.3 FINE O CAMBIO DI IMPIEGO Responsabilità per interruzione del rapporto lavorativo Restituzione dei beni aziendali Revoca dei diritti di accesso 103

104 9 SICUREZZA FISICA ED AMBIENTALE 9.1 AREE SICURE Sicurezza fisica perimetrale Controllo fisico degli accessi Rendere sicuri uffici, stanze e strutture Proteggersi contro pericoli esterni ed ambientali Lavorare in aree sicure Accesso pubblico ad aree di carico e scarico 104

105 9 SICUREZZA FISICA ED AMBIENTALE 9.2 SICUREZZA DELLE APPARECCHIATURE Posizionamento e protezione delle apparecchiature Utilità di supporto Sicurezza dei cavi Manutenzione degli apparati Sicurezza degli apparati esterni ai locali dell organizzazione Smaltimento sicuro o riuso di apparecchiature Rimozione di proprietà 105

106 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.1 PROCEDURE OPERATIVE E RESPONSABILITÀ procedure operative documentate Gestione dei cambiamenti Separazione dei compiti Separazione delle strutture di sviluppo, test ed utilizzo 106

107 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.2 Gestione dei Servizi effettuati da Terze Parti Classificazione dei Servizi Monitoraggio e revisione dei servi offerti da terze parti Gestione dei cambiamenti nei servizi offerti da terze parti 10.3 Pianificazione e approvazione dei sistemi Capacità Manageriale Approvazione dei Sistemi 107

108 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.4 PROTEZIONE CONTRO CODICE MALEVOLO E MOBILE Controllo del codice malevolo Controllo contro il codice mobile 10.5 BACK-UP Back-up delle informazioni 10.6 GESTIONE DELLA SICUREZZA DELLA RETE Controllo della Rete Sicurezza dei servizi di rete 108

109 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.7 GESTIONE DEI SUPPORTI Gestione dei supporti removibili Disposizione dei supporti Procedura per maneggiare le informazioni Sicurezza della documentazione del sistema 10.8 SCAMBIO DI INFORMAZIONI Procedure e politiche di scambio di informazioni Accordi di scambio Trasporto di supporti fisici Messaggistica elettronica Sistemi di informazioni di business 109

110 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.9 SERVIZI DI COMMERCIO ELETTRONICO Commercio Elettronico Transazioni On-Line Informazioni pubblicamente disponibili MONITORAGGIO Log delle Audit Monitoraggio dell uso del sistema Protezione delle informazioni di log Log degli operatori e dell amministratore Log degli errori Sincronizzazione degli orologi 110

111 11 CONTROLLO DEGLI ACCESSI 11.1 REQUISITI DI BUSINESS PER IL CONTROLLO DEGLI ACCESSI Politiche di controllo degli accessi 11.2 GESTIONE DELL ACCESSO UTENTI Registrazione utente Gestione dei privilegi Gestione della password utente Revisione dei diritti di accesso utente 11.3 RESPONSABILITÀ UTENTE Uso della password Apparecchiature utente non vigilate Politica della scrivania pulita e dello schermo pulito 111

112 11 CONTROLLO DEGLI ACCESSI 11.4 CONTROLLO DI ACCESSO ALLA RETE Politica sull uso dei servizi di rete Autenticazione utente per connessioni esterne Identificazione degli appartati sulla rete Protezione dalla diagnostica remota e dalla configurazione delle porte Segregazione delle reti Controllo delle connessioni di rete Controllo dell indirizzamento di rete 112

113 11 CONTROLLO DEGLI ACCESSI 11.5 CONTROLLO DI ACCESSO AL SISTEMA OPERATIVO Procedure sicure di log-on Identificazione ed autenticazione utente Sistemi di gestione delle password Uso di utility di sistema Time-out di sessione Limitazione sul tempo di connessione 11.6 CONTROLLO DI ACCESSO AD APPLICAZIONI ED INFORMAZIONI Restrizione di accesso alle informazioni Isolamento di sistemi sensibili 11.7 MOBILE COMPUTING E TELELAVORO Mobile computing e comunicazioni Telelavoro 113

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls

Sistemi di gestione dei dati e dei processi aziendali. Information Technology General Controls Information Technology General Controls Indice degli argomenti Introduzione agli ITGC ITGC e altre componenti del COSO Framework Sviluppo e manutenzione degli applicativi Gestione operativa delle infrastrutture

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

IT Service Management

IT Service Management IT Service Management L'importanza dell'analisi dei processi nelle grandi e medie realtà italiane Evento Business Strategy 2.0 Firenze 25 settembre 2012 Giovanni Sadun Agenda ITSM: Contesto di riferimento

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

1.1 ITIL e la gestione dei servizi IT

1.1 ITIL e la gestione dei servizi IT Via Turati 4/3, 16128 Genova Tel. 348/4103643 Fax 010/8932429 ITIL (Information Technology Infrastructure Library) 1.1 ITIL e la gestione dei servizi IT In un mercato in cui il successo delle aziende è

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos L Autore Lino Fornaro, Security Consultant Amministratore

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane L esperienza di ATM Il Sistema di Sicurezza nell ambito del Trasporto Pubblico Locale Claudio Pantaleo Direttore Sistemi e Tecnologie Protezione

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Polizza CyberEdge - questionario

Polizza CyberEdge - questionario Note per il proponente La compilazione e/o la sottoscrizione del presente questionario non vincola la Proponente, o ogni altro individuo o società che la rappresenti all'acquisto della polizza. Vi preghiamo

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Pronti per la Voluntary Disclosure?

Pronti per la Voluntary Disclosure? Best Vision GROUP The Swiss hub in the financial business network Pronti per la Voluntary Disclosure? Hotel de la Paix, 21 aprile 2015, ore 18:00 Hotel Lugano Dante, 22 aprile 2015, ore 17:00 Best Vision

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

La gestione dei servizi non core: il Facility Management

La gestione dei servizi non core: il Facility Management La gestione dei servizi non core: il Facility Management ing. Fabio Nonino Università degli studi di Udine Laboratorio di Ingegneria Gestionale Dipartimento di Ingegneria Elettrica, Gestionale e Meccanica

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese

CMMI-Dev V1.3. Capability Maturity Model Integration for Software Development, Version 1.3. Roma, 2012 Ercole Colonese CMMI-Dev V1.3 Capability Maturity Model Integration for Software Development, Version 1.3 Roma, 2012 Agenda Che cos è il CMMI Costellazione di modelli Approccio staged e continuous Aree di processo Goals

Dettagli

Business Process Outsourcing

Business Process Outsourcing Business Process Outsourcing Kedrios propone un modello di outsourcing completo Il Gruppo SIA-SSB, attraverso Kedrios dispone di una consolidata tradizione di offerta di servizi di Outsourcing Amministrativo

Dettagli

Milano 23 novembre 2011

Milano 23 novembre 2011 ORBIT - Open Day Milano 23 novembre 2011 Carlo Loveri Agenda 14.30 Benvenuto 14.45 Business Continuity & Disaster Recovery Management: Cenni; Standards di riferimento; Best practices. Carlo Loveri CEO

Dettagli

Disaster Recovery, niente di più semplice. Gestione e monitoraggio dell infrastruttura per la Business-Critical Continuity TM

Disaster Recovery, niente di più semplice. Gestione e monitoraggio dell infrastruttura per la Business-Critical Continuity TM Gestione e monitoraggio dell infrastruttura per la Business-Critical Continuity TM ARGOMENTI TRATTATI Il livello elevato Il disastro più diffuso e più probabile L'esempio da 10 miliardi di dollari per

Dettagli

A vele spiegate verso il futuro

A vele spiegate verso il futuro A vele spiegate verso il futuro Passione e Innovazione per il proprio lavoro La crescita di Atlantica, in oltre 25 anni di attività, è sempre stata guidata da due elementi: la passione per il proprio lavoro

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

R E A L E S T A T E G R U P P O R I G A M O N T I. C O M

R E A L E S T A T E G R U P P O R I G A M O N T I. C O M REAL ESTATE GRUPPORIGAMONTI.COM 2 Rigamonti Real Estate La scelta giusta è l inizio di un buon risultato Rigamonti Founders Rigamonti REAL ESTATE Società consolidata nel mercato immobiliare, con più di

Dettagli

Legame fra manutenzione e sicurezza. La PAS 55

Legame fra manutenzione e sicurezza. La PAS 55 Gestione della Manutenzione e compliance con gli standard di sicurezza: evoluzione verso l Asset Management secondo le linee guida della PAS 55, introduzione della normativa ISO 55000 Legame fra manutenzione

Dettagli

CATALOGO FORMAZIONE 2015

CATALOGO FORMAZIONE 2015 CATALOGO FORMAZIONE 2015 www.cogitek.it Sommario Introduzione... 4 Area Tematica: Information & Communication Technology... 5 ITIL (ITIL is a registered trade mark of AXELOS Limited)... 6 Percorso Formativo

Dettagli

ITIL v3, il nuovo framework per l ITSM

ITIL v3, il nuovo framework per l ITSM ITIL v3, il nuovo framework per l ITSM ( a cura di Stefania Renna ITIL - IBM) Pag. 1 Alcune immagini contenute in questo documento fanno riferimento a documentazione prodotta da ITIL Intl che ne detiene

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

ITIL Versione 3: un contributo all importanza crescente del Business Service Management

ITIL Versione 3: un contributo all importanza crescente del Business Service Management BEST PRACTICES WHITE PAPER ITIL Versione 3: un contributo all importanza crescente del Business Service Management Sharon Taylor, Presidente di Aspect Group, Chief Architect e Chief Examiner per ITIL Ken

Dettagli

CALENDARIO CORSI 2015

CALENDARIO CORSI 2015 SAFER, SMARTER, GREENER DNV GL - Business Assurance Segreteria Didattica Training Tel. +39 039 60564 - Fax +39 039 6058324 e-mail: training.italy@dnvgl.com www.dnvba.it/training BUSINESS ASSURANCE CALENDARIO

Dettagli

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP DOCUMENTO TECNICO Un sistema più intelligente per controllare i punti vendita: sorveglianza IP Guida descrittiva dei vantaggi dei sistemi di gestione e di sorveglianza IP per i responsabili dei punti vendita

Dettagli

Continua evoluzione dei modelli per gestirla

Continua evoluzione dei modelli per gestirla Governance IT Continua evoluzione dei modelli per gestirla D. D Agostini, A. Piva, A. Rampazzo Con il termine Governance IT si intende quella parte del più ampio governo di impresa che si occupa della

Dettagli

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Firenze 15 febbraio 2010 Pisa 1 marzo 2010 Siena 29 marzo 2010 Dott. Ing. Daniele Novelli

Dettagli

Consulenza tecnologica globale

Consulenza tecnologica globale Orientamento al cliente Innovazione Spirito di squadra Flessibilità Un gruppo di professionisti dedicati alle imprese di ogni settore merceologico e dimensione, capaci di supportare il Cliente nella scelta

Dettagli

Guida alle offerte di finanziamento per le medie imprese

Guida alle offerte di finanziamento per le medie imprese IBM Global Financing Guida alle offerte di finanziamento per le medie imprese Realizzata da IBM Global Financing ibm.com/financing/it Guida alle offerte di finanziamento per le medie imprese La gestione

Dettagli

CERVED RATING AGENCY. Politica in materia di conflitti di interesse

CERVED RATING AGENCY. Politica in materia di conflitti di interesse CERVED RATING AGENCY Politica in materia di conflitti di interesse maggio 2014 1 Cerved Rating Agency S.p.A. è specializzata nella valutazione del merito creditizio di imprese non finanziarie di grandi,

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

Webinar: Cloud Computing e Pubblica Amministrazione

Webinar: Cloud Computing e Pubblica Amministrazione Webinar: Cloud Computing e Pubblica Amministrazione Forum PA Webinar, 21 luglio 2015 Parleremo di: Il Gruppo e il network di Data Center Panoramica sul Cloud Computing Success Case: Regione Basilicata

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

È nata una nuova specie di avvocati. Liberi.

È nata una nuova specie di avvocati. Liberi. È nata una nuova specie di avvocati. Liberi. LIBERI DI NON PENSARCI Basta preoccupazioni per il back-up e la sicurezza dei tuoi dati. Con la tecnologia Cloud Computing l archiviazione e la protezione dei

Dettagli

Cosa fare in caso di perdita di smartphone o tablet

Cosa fare in caso di perdita di smartphone o tablet OUCH! Ottobre 2012 IN QUESTO NUMERO Introduzione Le precauzioni da prendere Cosa fare in caso di smarrimento o furto Cosa fare in caso di perdita di smartphone o tablet L AUTORE DI QUESTO NUMERO Heather

Dettagli

Luca Mambella Disaster recovery: dalle soluzioni tradizionali al cloud, come far evolvere le soluzioni contenendone i costi.

Luca Mambella Disaster recovery: dalle soluzioni tradizionali al cloud, come far evolvere le soluzioni contenendone i costi. Luca Mambella Disaster recovery: dalle soluzioni tradizionali al cloud, come far evolvere le soluzioni contenendone i costi. I modelli di sourcing Il mercato offre una varietà di modelli di sourcing, ispirati

Dettagli

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1 Pagina 1 di 8 REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MESSO A DISPOSIZONE DEI DIPENDENTI PER L ESERCIZIO DELLE FUNZIONI D UFFICIO () Approvato con deliberazione del Consiglio di Istituto

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Regolamento per l'accesso alla rete Indice

Regolamento per l'accesso alla rete Indice Regolamento per l'accesso alla rete Indice 1 Accesso...2 2 Applicazione...2 3 Responsabilità...2 4 Dati personali...2 5 Attività commerciali...2 6 Regole di comportamento...3 7 Sicurezza del sistema...3

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

N 2 2009 di Lorenzo Caselli

N 2 2009 di Lorenzo Caselli cerca home chi siamo la rivista contattaci saggi working paper autori archivio siamo in: Homepage / archivio N 2 2009 di Lorenzo Caselli Insegnare etica nelle Facoltà di Economia recensioni segnalazioni

Dettagli

Progetto VirtualCED Clustered

Progetto VirtualCED Clustered Progetto VirtualCED Clustered Un passo indietro Il progetto VirtualCED, descritto in un precedente articolo 1, è ormai stato implementato con successo. Riassumendo brevemente, si tratta di un progetto

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA SAP World Tour 2007 - Milano 11-12 Luglio 2007 THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA Agenda Presentazione Derga Consulting Enterprise SOA Allineamento Processi & IT Il

Dettagli

Portfolio Prodotti MarketingDept. Gennaio 2015

Portfolio Prodotti MarketingDept. Gennaio 2015 Portfolio Prodotti Gennaio 2015 L azienda Symbolic Fondata nel 1994, Symbolic è presente da vent'anni sul mercato italiano come Distributore a Valore Aggiunto (VAD) di soluzioni di Data & Network Security.

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012 Il Cloud Computing Lo strumento per un disaster recovery flessibile Giorgio Girelli Direttore Generale Actalis 12/10/2012 Agenda Il Gruppo Aruba Disaster Recovery: costo od opportunità? L esperienza Aruba

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc

Specialista ITIL. Certificate of Advanced Studies. www.supsi.ch/fc Scuola universitaria professionale della Svizzera italiana Dipartimento tecnologie innovative Istituto sistemi informativi e networking Specialista ITIL Certificate of Advanced Studies www.supsi.ch/fc

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

Energy risk management

Energy risk management Il sistema di supporto alle tue decisioni Energy risk management Un approccio orientato agli attori M.B.I. Srl, Via Francesco Squartini 7-56121 Pisa, Italia - tel. 050 3870888 - fax. 050 3870808 www.powerschedo.it

Dettagli

MS OFFICE COMMUNICATIONS SERVER 2007 IMPLEMENTING AND MAINTAINING AUDIO/VISUAL CONFERENCING AND WEB CONFERENCING

MS OFFICE COMMUNICATIONS SERVER 2007 IMPLEMENTING AND MAINTAINING AUDIO/VISUAL CONFERENCING AND WEB CONFERENCING MS OFFICE COMMUNICATIONS SERVER 2007 IMPLEMENTING AND MAINTAINING AUDIO/VISUAL CONFERENCING AND WEB CONFERENCING UN BUON MOTIVO PER [cod. E603] L obiettivo del corso è fornire le competenze e conoscenze

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza Codice di Comportamento Genesi Uno Linee Guida e Normative di Integrità e Trasparenza Caro Collaboratore, vorrei sollecitare la tua attenzione sulle linee guida ed i valori di integrità e trasparenza che

Dettagli

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e'

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il continuous improvement ed e' ITIL v3 ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e' giusto che lo applichi anche a se' stessa... Naturalmente una

Dettagli

Termini di servizio di Comunicherete

Termini di servizio di Comunicherete Termini di servizio di Comunicherete I Servizi sono forniti da 10Q Srls con sede in Roma, Viale Marx n. 198 ed Ancitel Spa, con sede in Roma, Via Arco di Travertino n. 11. L utilizzo o l accesso ai Servizi

Dettagli

L analisi del rischio: il modello statunitense

L analisi del rischio: il modello statunitense L analisi del rischio: il modello statunitense La sicurezza nelle agenzie federali USA La gestione della sicurezza in una Nazione deve affrontare ulteriori problemi rispetto a quella tipica di una Azienda.

Dettagli

Codice di Condotta Professionale per i Gestori Patrimoniali

Codice di Condotta Professionale per i Gestori Patrimoniali Codice di Condotta Professionale per i Gestori Patrimoniali Etica: valore e concretezza L Etica non è valore astratto ma un modo concreto per proteggere l integrità dei mercati finanziari e rafforzare

Dettagli

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI COMMISSIONE PARITETICA PER I PRINCIPI DI REVISIONE LA COMPRENSIONE DELL IMPRESA E DEL SUO CONTESTO E LA VALUTAZIONE DEI

Dettagli