Elementi di Sicurezza e Privatezza
|
|
- Daniele Bosco
- 8 anni fa
- Visualizzazioni
Transcript
1 Elementi di Sicurezza e Privatezza Proteggere le informazioni: aspetti organizzativi Lez
2 La Sicurezza delle Informazioni Risorse a Supporto dell Informazione le risorse umane le infrastrutture (ossia i siti fisici e tutte le attrezzature a supporto delle strutture) la tecnologia (hardware, software, network, etc ) Fattore critico: le risorse umane fondamentali per l'uso della tecnologia 2
3 Sistema di ges5one della sicurezza Necessità di implementare modalità di gestione complessiva della sicurezza delle informazioni in azienda, che non comprenda i soli aspetti tecnici Necessità di definire un sistema di gestione della sicurezza delle informazioni (SGSI), comprendente aspetti organizzativi e gestionali, oltre ad aspetti tecnici Non solo l applicazione di strumenti più appropriati al singolo obiettivo di protezione (introduzione di firewall, antivirus, backup, ecc.) 3
4 Sicurezza delle Informazioni vs. Sicurezza Informatica IT Governance Sicurezza dell Informazione Sicurezza Informatica 4
5 Lo standard ISO 27001:2005 La normativa ISO detta i requisiti per realizzare un Sistema di Gestione della Sicurezza delle Informazioni e riprende alcuni dei concetti dello standard ISO 9001 Lo standard si basa su due concetti (come ISO 9000) Politica di sicurezza Sistema di governo della sicurezza 5
6 Poli5ca e Governo Specificazione ad alto livello degli obiettivi per la sicurezza che l organizzazione si propone di conseguire Complesso di procedure per il governo della sicurezza attuato e mantenuto dall organizzazione per garantire nel tempo il soddisfacimento della politica della sicurezza (SGSI) 6
7 Cosa dobbiamo proteggere? Le informazioni I beni della azienda (asset) Il software proprietario dell azienda Per salvaguardare: Il business della azienda L immagine della azienda La reputazione della azienda Tutto ciò che ci viene richiesto dai vincoli legali (vedi D. lgs. 196/03: Codice in materia di dati personali) 7
8 Come gestiamo? L implementazione e la manutenzione di un sistema di IT Governance secondo lo standard ISO prevedono quattro fasi cicliche, che si ripetono continuamente: pianificazione (plan) a-uazione (do) monitoraggio (check) miglioramento (correct o act) 8
9 Come pianifico gli interventi L informazione è un bene Devo definirne il valore (soggettivo) Devo valutare il rischio associato a tale bene Valutazione delle minacce, dell impatto, delle vulnerabilità delle informazioni Devo stimare la probabilità di accadimento di ciascun rischio Devo calcolare il danno stimato in caso di incidente Cioè devo fare una risk analysis 9
10 Istituire la politica, gli obiettivi, i processi e le procedure per la sicurezza rilevanti per la gestione del rischio e il miglioramento della sicurezza Attuazione (DO) Attuare e operare la politica, i controlli, i processi e le procedure per la sicurezza Requisiti PDCA Pianificazione (PLAN) Ciclo PDCA Monitoraggio (CHECK) 10 Miglioramento (ACT) Intraprendere azioni correttive e preventive basandosi sui risultati del riesame da parte delle direzione per conseguire il miglioramento continuo di SGSI Valutare e misurare le prestazioni dei processi sulla base della politica e degli obiettivi per la sicurezza e dell esperienza, riportando alla direzione i risultati
11 ASPETTI ORGANIZZATIVI 11
12 I ruoli della Information Security Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 12
13 Le figure professionali Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 13
14 I ruoli 14
15 Security Staff in un organizzazione molto grande 15
16 Security Staff in un organizzazione medio/grande 16
17 Security Staff in una piccola organizzazione 17
18 Dove posizionare la sicurezza ICT? Nelle grandi organizzazioni: InfoSec viene localizzata di solito all interno delle divisioni IT Il responsabile è il CISO che riporta direttamente al CIO o al CEO Va però detto che spesso per gli scopi e le attività svolte, la divisione Infosec contrasta con la divisione IT Di fatto le soluzioni aodttate da varie organizzazioni sono tra le più disparate 18
19 All interno della divisione IT 19
20 All interno della divisione Sicurezza 20
21 All interno della divisione servizi amministrativi 21
22 All interno della divisione Affari Legali From Information Security Roles and Responsibilities Made Easy, used with permission. 22
23 ANALISI DEI RISCHI 23
24 Rischio per un organizzazione La possibilità di subire una perdita Essenziale per progredire La sfida è saper gestire il rischio Indici utili Esposizione al rischio RE p (di un evento inatteso) x perdita associata Risk ReductionLeverage RRL = (Re before Re after ) / costo dell intervento 24
25 Quali rischi Operational Hazard Physical Strategic Capital / resource allocation Industry / competitors Technological Databases Security Confidential information Stakeholder Legal Compliance Regulatory Financial Capital markets Credit risks Taxes Human capital Retention Training Reputational
26 Sicurezza come rischio La sicurezza COSTA non solo in termini di denaro ma anche di: Tempo Privacy Flessibilità Convenienza Maggiore sicurezza implica maggiori costi (non vale il viceversa!!!) 26
27 Conseguenze La quantità di sicurezza che inserisco in un sistema dipende dai costi che sono disponibile a sostenere Non sempre sarò in grado di ottenere il massimo livello di sicurezza 27
28 Sicurezza come processo La messa in sicurezza di un sistema diventa allora un attività molto complessa, in cui vanno progettate, stimate e implementate misure di varia natura (tecnologiche, organizzative e sociali) Tenendo conto di una serie di vincoli di varia natura: economica, politica, legale e sociale La sicurezza di un sistema è spesso ottenuta con l adozione simultanea di diversi strumenti e strategie 28
29 Analisi del rischio Strumento usato estensivamente in fase di pianificazione come strumento di supporto alle decisioni Obiettivo: stimare le perdite associate ad errori/eventi anomali che possono verificarsi in un sistema Esistono diverse metodologie per svolgere l analisi dei rischi: Quantitative Qualitative 29
30 I beni da proteggere Primari Dati/Programmi Servizi/Processi Secondari Vite umane Tempo Denaro Privacy 30
31 I Rischi Perdita d immagine verso l opinione pubblica Perdita d immagine verso i propri clienti Perdita del competitive advantage Furto di Informazioni sensibili Blocco di attività critiche Mancato rispetto di regole contrattuali Coinvolgimento in procedimenti processuali Danneggiamento degli asset Mancato rispetto di leggi e regolamenti 31
32 I ritorni Risparmi nelle seguenti aree: Incident recovery Business continuity Downtime recovery Minori perdite dati Salvaguardia dell immagine dell azienda Riduzione downtime Razionalizzazione della struttura organizzativa 32
33 Annual Loss Expectancies La tecnica quantitativa più diffusa per associare una quantità all avverarsi di un certo evento catastrofico è basata sul calcolo dell ALE ALE = perdita attesa nel caso in cui si verificano certi evento Esempio: il black out di un server costa ad un azienda /giorno, il guasto si verifica mediamente una volta ogni due anni, quindi ALE in un anno
34 La valutazione quantitativa: ALE Asset1 Asset2 Asset3 Asset4 TOTAL Threat1 ALE11 ALE12 ALE13 ALEt1 Threat2 ALE21 ALE22 ALE23 ALEt2 Threat3 TOTAL ALEa1 ALEa2 ALE 34
35 Svantaggi Non consente di valutare gli asset intangibili Valutazione del danno solo economica Labour Intensive Time Consuming 35
36 Risk Analysis Qualitativa Utilizzo di scala qualitativa per la valutazione di asset, minacce, vulnerabilità, rischi 1-10 LOW, Medium, High Very low, Low, Medium, High, Very High 36
37 La valutazione qualitativa Matrice di correlazione tra: valore dell asset (1-10) livello della minaccia (VL, L, M, H, VH) livello delle vulnerabilità (L, M, H) Valore del rischio (1-7) esplicitato per ogni asset in relazione ai livelli di minaccia, vulnerabilità e valore dell asset 37
38 Matrice del Rischio : Qualitativa Asset Threat à Very Low Low Very High Vuln y à L M H L M H L
39 Esempio valutazione qualitativa Asset: sito web Minaccia: SQL injection Vulnerabilità: Bad code Rischio: furto di informazioni riservate Valore minaccia: M Valore vulnerabilità: L Valore Asset: 7 VALORE RISCHIO: 5 39
40 Vantaggi Meno Labour Intensive and Time Consuming Piu versatile: valutazione beni intangibili valutazione impatti anche non economici applicabile anche a sistemi informativi in divenire 40
41 Matrice del rischio
42 Altri metodi di Risk Analysis Check List Questionari Visualizzazioni RABWA Indicatori 42
43 Gestione del rischio Una volta individuati i rischi ed averne stimato la portata è necessario decidere cosa fare per ciascuno degli elementi presenti nella matrice del rischio: Evitare Accettare Trasferire Ridurre 43
44 Schema di riferimento Danno : Valore Impatto Trasferire Accettare Evitare Ridurre Probabilità (M,V) 44
45 I DOCUMENTI 45
46 I documenti di riferimento 46
47 L audience 47
48 Politiche, Standard, e Linee guida Nell ambito di (NIST ) è fortemente consigliata la realizzazione di tre tipi di politiche: Enterprise information security program Issue-specific information security policy Systems-specific information security policy 48
49 Politiche, Standard, & Linee Guida Policy: un insieme di indicazioni e regole che indicano quali sono le aspettative del management in termini di sicurezza informatica Standard: un documento più dettagliato rispetto alla policy, che da indicazioni più precise sulle attività da svolgere Procedure e linee guida: spiegano le diverse attività da svolgere, le modalità con cui realizzarle, nonché dettano norme comportamentali 49
50 Enterprise Information Security Policy (EISP - Policy) Detta la linea strategica, e gli obiettivi principali a cui devono essere orientati gli investimenti dell azienda in termini di sicurezza Il documento viene solitamente predisposto dal CISO e CIO Documento di alto livello; 2-10 pagine Assegna le responsabilità per i vari settori della sicurezza ICT, compresi La manutenzione delle politiche di sicurezza Training e supporto agli utenti ifnali Fornisce lineee guida per Lo sviluppo, l implementazione e la gestione di tutte le attività rigurdanti la sicurezza informatica 50
51 EISP EISP deve contenere: L indicazione degli obiettivi strategici della Sicurezza Ict in azienda Indicazioni sulla struttura organizzativa che si vuole predisporre per raggiungere gli obiettivi su prefissati Ruoli e responsabilità di tutte le persone coinvolte, sottolineando le responsabilità personali Previsioni di budget 51
52 Issue-Specific Security Policy (ISSP -Standard) Tre caratteristiche principali: Affronta problematiche legate alla tecnologia Richiede aggiornamenti frequenti Viene predisposta a partire da un problema sollevato in ambito di policy generale Argomenti tipici: Uso , Uso Internet e World Wide Web, Configurazione minima per la difesa contro malware, Divieti sull uso di particolari tool o procedure (penetration testing, etchical hacking) Uso risorse informatiche aziendali 52
53 Componenti di una ISSP Scopo Scopo e dominio di riferimento Definizione della tecnologia analizzata Responsabilità Accesso e uso della tecnologia Modalità d accesso degli utenti Modalità d uso accettate Protezione della Privacy Usi vietati della tecnologia Atti vandalici Atti criminali Violazione Copyrighte leggi sulla proprietà intellettuale Altre restrizioni 53
54 Componenti di una ISSP (Continua) System Management Gestione del materiale memorizzato Controllo dipendenti Virus Protection Sicurezza Fisica Encryption Violazione della politica of Policy Procedure per riportare violazioni della politica Provvedimenti disciplinari per violazioni Aggiornamenti e modifiche Programma per la revisione e modifica della politica Vincoli sulle responsabilità Dichiarazioni circa l esclusione di responsabilità 54
55 Quante ISSP? Tre approcci: Un ISSP per ogni tecnologia da gestire/trattare Un ISSP generico per tutte le tecnologie Un documento modulare formato da tanti capitoli gestito centralmente 55
56 Systems-Specific Policy (SysSP Linee guida) Essenzialmente dei documenti che servono come standard o linee guida per la configurazione e gestione di sistemi Formati da due componenti: Direttive generali Specifiche tecniche 56
57 Direttive generali Scritte dal management di II livello Danno indicazioni generali sulle modalità con cui procedere alla gestione manutenzione dei sistemi, nonché sulle responsabilità dei sysadmin 57
58 Specifiche Tecniche Specificano il modo effettivo con cui mettere in opera le direttive che provengono dal management Due metodi generali: Access control lists Configuration rules 58
59 CONTINGENCY PLAN 59
60 Che cos è il Contingency Plan? Contingency plannining (CP) Progettare le attività per gestire un evento inatteso e dannoso per l organizzazione RILEVARE, RISPONDERE (react) e RIPRISTINARE il sistema da eventi che ne hanno la sicurezza delle risorse e delle informazioni Obiettivo principale: Ripristinare nel minor tempo possibile e con il minimo costo, la modalità operativa normale a seguito di un attacco distruttivo 60
61 Introduzione Quando la tecnologia viene messa fuori uso e le normali attività dell organizzazione rischiano il collasso è necessario disporre di una serie di procedure che consentano all organizzazione di continuare a svolgere almeno le funzioni essenziali Più del 40% delle organizzazioni vittime di un evento anomalo, che non avevano predisposto un CP sono fallite nell arco di un anno dall evento 61
62 CP: componenti Incident response (IRP) Focalizzato sulla risposta immediata Disaster recovery (DRP) Focalizzato sul restore delle operazioni dopo che il disastro è avvenuto Business continuity (BCP) Focalizzato sulla ripresa delle operazioni su un sito remoto, in attesa del ripristino del sito originale 62
63 Timeline 63
64 CP contenuti Al fine di predisporre un CP è necessario: Sulla base del core business dell organizzazione identificare le funzioni critiche allo svolgimento dello stesso Identificare le risorse che supportano lo svolgimento delle funzioni critiche Prevedere potenziali criticità o disastri che possono affliggere tali risorse Selezionare i piani di recupero Implementare tali piani Testare e revisionare periodicamente i piani 64
65 CP: operativamente Nel contingency planning sono coinvolte 4 tipi di professionalità: CP team Incident recovery (IR) team Disaster recovery (DR) team Business continuity plan (BC) team 65
66 Incident Response Plan IRP: Insieme dettagliato di processi e procedure che descrivono gli eventi inattesi che possono compromettere risorse e sistemi, ed indicano anche come rilevare e mitigare gli stessi Incident response (IR): Insieme di procedure da attivare nel momento in cui viene rilevato un incidente 66
67 Incident Response Plan (Continua) Una minaccia diventa un attacco e quindi un incidente di sicurezza ICT quando: È diretta contro sistemi informatici Ha una certa probabilità di essere eseguita con successo Minaccia confidenzialità, integrità e disponibilità IR è una misura reattiva non preventiva 67
68 Incident Response Plan Deve contenere procedure che specificano: Cosa fare per rilevare un incidente (Detection phase) Cosa fare quando un incidente si è verificato (Reaction phase) Come ripristinare il tutto (Recovery phase) Post mortem 68
69 Detection Come rilevare un possibile tentativo di intrusione Report dagli utilizzatori dei sistemi, allarmi degli IDS, antivirus, Log correlation, ecc. Fondamentale il coinvolgimento degli utenti finali Problema Definire il limite entro cui un evento sospetto diventa attacco Incident classification: Una volta individuato un evento anomalo è necessaria una sua classificazione al fine di individuare le casistiche più adeguate per il suo trattamento 69
70 Reaction Una volta che un incidente è stato dichiarato e classificato è necessario avviare la procedura di reazione Allertare persone e organizzazioni chiave Contenere gli effetti dell attacco: circoscriverne la diffusione e possibilmente bloccarlo 70
71 Strategie di contenimento Disconnettere i sistemi coinvolti Modificare dinamicamente le regole di accesso al firewall Disabilitare gli account compromessi Disabilitare servizi compromessi o in odore di Disconettere server Disconettere l intera rete aziendale 71
72 Documentazione Immediamente dopo aver attivato la fase di reazione è necessario avviare la fase di documentazione dell incidente: È necessario tenere traccia di tutte le azioni intraprese durante la gestione dell incidente in particolare di ogni attiivtà è necessario indicare chi, cosa, quando, dove e perchè Serve per l analisi post-mortem 72
73 Recovery Incident Recovery Inizia quando un attacco è stato contenuto e IRT ha ripreso il controllo della situazione A questo punto è necessario determinare l estensione del danno e individuare tutti i sistemi coinvolti ed il livello di danno subito Tutti questi elementi vanno accuratamente documentati e in caso di causa civile e/o penale è necessario conservare l evidenza dei danni subiti 73
74 Recovery Il processo di recovery consiste in: Identificare e risolvere le vulnerabilità che hanno consentito il verificarsi dell attacco Individuare criticità nei sistemi di protezione che non hanno consentito agli stessi di rilevare l attacco Eventualmente installare nuovi sistemi di monitoring e detection 74
75 Recovery (Continua) Ripristinare dati dai back-up Ripristinare processi e sistemi che si sono disabilitati durante la gestione dell incidente Continuare a monitorare il sistema Ripristinare la confidenza nel sistema da parte degli utenti finali e della parti coinvolte nell incidente 75
76 Post-mortem Al termine dell attività di recovery, IRT deve analizzare attentamente tutte le fasi della gestione dell incidente al fine di individuare eventuali criticità che fossero emerse durante le diverse fasi di gestione dell incidente per un loro miglioramento 76
77 Law Enforcement Un attacco informatico di norma è un reato previsto da nostro codice penale e come tale va denunciato all autorità giudiziaria 77
78 Escalation Durante la gestione di un incidente l IRP può realizzare di non essere più in grado di contenerne gli effetti che possono estendersi anche ad altre organizzazioni È compito di chi prepara il CP determinare il punto in cui un incidente diventa un disastro 78
79 DISASTER RECOVERY 79
80 Disaster Recovery DRP Preparazione al recovery del sistema dopo un disastro naturale o artificiale Un incidente diventa un disastro quando: L organizzazione non è in grado di controllare o contenere gli effetti dell attacco Il livello di danno e distruzione dell attacco è così severo che l organizzazione non è nemmeno in grado di mettere in atto le procedure di recovery Scopo primario del DRP: ristabilire l operatività del sistema danneggiato 80
81 Classificazione dei disastri Naturali vs. generati dall uomo (la più comune) Velocità di propagazione: Rapidi: terremoti, incendi, alluvioni, black-out Lenti: degrado ambientale, deforestazione, carestie, ecc 81
82 Pianificare i disastri Classificare i potenziali disastri in funzione dell impatto Esistono a questo proposito opportune metodologie di impact analysis Punti chiave di un DRP: Chiara definizione di ruoli e responsabilità Elenco delle entità da allertare e coinvolgere Chiara definizione delle priorità Documentazione del disastro Attività di mitigazione dell impatto Alternative implementative dei sistemi critici Il DRP va testato periodicamente 82
83 Crisis Management DRP potrebbe fare riferimento ad un processo di CM Insieme di attività intraprese durante e dopo il disastro per assistere le persone coinvolte Attività tipiche di un team di crisis management: Supporto a persone e loro familiari durante la crisi Stabilire l impatto del disastro sulle normali attività ed eventualmente dichiarare lo stato di crisi Comunicare con il mondo esterno 83
84 Respondere al disastro Nella realtà gli eventi catastrofici possono superare ogni previsione DRP deve essere flessibile a configurabile a situazioni non previste Quando un disastro minaccia le sedi operative e più importanti di un organizzazione DRP diventa anche BCP 84
85 Business Continuity Planning (BCP) Garantire che un organizzazione possa continuare ad erogare e svolgere le sue funzioni primarie anche a fronte di un disastro È necessaria quindi un analisi preliminare per l identificazione di queste funzionalità e delle infrastrutture di supporto Solitamente effettuato di concerto con CEO Si attiva e viene eseguito concorrentemente con DRP Ristabilisce le funzioni primarie in siti alternativi (DRP è invece concentrato sul recupero delle funzioni sul luogo in cui avviene il disastro) 85
86 BCP: problematiche I costi sono sempre un fattore determinante per la selezione della soluzione più appropriata Opzioni per siti alternativi ad uso esclusivo: Hot site Warm site Cold site Opzioni per siti alternativi ad uso condiviso : Timeshare Service bureau Mutual agreement 86
87 Hot Sites Uso esclusivo Computer facility completamente configurate a replica dei servizi da rimpiazzare Warm Sites Come sopra, ma con servizi sw non completamente allineati Cold Sites Si predispone un sotto insieme di sistemi in grado di ospitare, quando necessario, i servizi da rimpiazzare 87
88 Uso condiviso Timeshare Sito dedicato ma preso in affitto Service Bureau Agenzie che forniscono HW su richiesta Mutual Agreement Contratti con altre organizzazioni per mutua assistenza in caso di disastro Altre soluzioni: Siti mobili Risorse di memorizzazione esterne 88
89 Dati Affinché un BCP possa entrare in azione il più velocemente possibile, è necessario che l organizzazione coinvolta disponga nel sito remoto dei dati necessari Le possibili opzioni sono: Electronic vaulting: batch-transfer dei dati al sito remoto, anche su base periodica Remote Journaling: trasferimento in tempo reale delle transazioni, sul sito remoto Database shadowing: copia integrale e in tempo reale dei dati critici 89
90 Standard Per facilitare la realizzazione dei documenti legati ad un piano della sicurezza, sono state proposte e sono in continua revisione una serie di metodologie ISO RFC 2196 NIST SP 90
91 STANDARD 91
92 ISO Nasce a partire da una metodologia molto discussa e molto diffusa in Europa BS 7799:1 Information Technology Code of Practice for Information Security Management, Originariamente nota come British Standard BS 7799 Ora ISO 27001:2005 BS 7799:2 Information Security Management: Specification with Guidance for Use, ora ISO 17799:1 Scopo: Fornire raccomandazione a tutti coloro che devono predisporre, implementare o gestire un sistema per la gestione della sicurezza delle informazioni e dei sistemi in una organizzazione 92
93 BS 7799 (II) Volume 2 Fornisce indicazioni su come implementare effettivamente quanto descritto nel volume I Come predisporre una Information Security Management Structure (ISMS) Noto anche come ISO Questo standard non è stato adottato tra gli altri, da USA, Germania, Giappone 93
94 RFC 2196 Site Security Handbook RFC 2196 Creato dal Security Area Working Group di IETF Contiene discussione e suggerimenti sulle più importanti problematiche relative alla sicurezza, con suggerimenti in merito alla loro implementazione Aspetti considerati security policies, security technical architecture, security services, and security incident handling 94
95 NIST Security Models Il NIST ha predisposto una serie di documenti pubblici che affrontano con diversi livelli di approfondimento diverse tematiche: SP , Computer Security Handbook SP , Generally Accepted Security Principles & Practices SP , Guide for Developing Security Plans SP , Security Self-Assessment Guide-IT Systems SP , Risk Management for Information Technology Systems SP , Recommended Security controls for. La standard de facto per la PA statunitense 95
96 ISO 27002:2005 (EX ISO 17799) 96
97 Le dieci sezioni di ISO/IEC Organizational Security Policy 2. Organizational Security Infrastructure objectives 3. Asset Classification and Control 4. Personnel Security objectives 5. Physical and Environmental Security objectives 6. Communications and Operations Management objectives 7. System Access Control objectives 8. System Development and Maintenance objectives 9. Business Continuity Planning 10. Compliance objectives 97
98 Organizational security policy 5.1 POLITICHE DI SICUREZZA INFORMATICA Documentazione sulle politiche di Sicurezza Informatica Revisione delle informazioni sulla Sicurezza Informatica 98
99 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.1 ORGANIZZAZIONE INTERNA Impegni del management per la sicurezza informatica Coordinamento delle attività di sicurezza informatica Allocazione delle responsabilità di sicurezza informatica Processo di autorizzazione per gestire le strutture di sicurezza informatica Accordi di confidenzialità Contatti con le Autorità Contatti con gruppi si interesse speciale Revisioni indipendenti della sicurezza informatica 99
100 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.2 ENTITA ESTERNE ALL ORGANIZZAZIONE Identificazione dei rischi collegati a entità esterne Definire le problematiche di sicurezza delle informazioni nel caso di rapporti con i clienti Definire le problematiche di sicurezza delle informazioni nel caso di accordi con terze parti 100
101 7 GESTIONE DEGLI ASSET 7.1 RESPONSIBILITA PER GLI ASSETS Inventario degli asset Possesso degli asset Uso accettabile degli asset 7.2 CLASSIFICAZIONE DELLE INFORMAZIONI Linee guida sulla Classificazione Etichettatura e gestione delle informazioni 101
102 8 SICUREZZA DELLE RISORSE UMANE 8.1 PRIMA DELL ASSUNZIONE Ruoli e Responsabilità Selezione Termini e condizioni di assunzione 8.2 DURANTE L IMPIEGO Responsabilità di Management Consapevolezza, educazione ed addestramento sulla Sicurezza Informatica Processi disciplinari 102
103 8 SICUREZZA DELLE RISORSE UMANE 8.3 FINE O CAMBIO DI IMPIEGO Responsabilità per interruzione del rapporto lavorativo Restituzione dei beni aziendali Revoca dei diritti di accesso 103
104 9 SICUREZZA FISICA ED AMBIENTALE 9.1 AREE SICURE Sicurezza fisica perimetrale Controllo fisico degli accessi Rendere sicuri uffici, stanze e strutture Proteggersi contro pericoli esterni ed ambientali Lavorare in aree sicure Accesso pubblico ad aree di carico e scarico 104
105 9 SICUREZZA FISICA ED AMBIENTALE 9.2 SICUREZZA DELLE APPARECCHIATURE Posizionamento e protezione delle apparecchiature Utilità di supporto Sicurezza dei cavi Manutenzione degli apparati Sicurezza degli apparati esterni ai locali dell organizzazione Smaltimento sicuro o riuso di apparecchiature Rimozione di proprietà 105
106 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.1 PROCEDURE OPERATIVE E RESPONSABILITÀ procedure operative documentate Gestione dei cambiamenti Separazione dei compiti Separazione delle strutture di sviluppo, test ed utilizzo 106
107 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.2 Gestione dei Servizi effettuati da Terze Parti Classificazione dei Servizi Monitoraggio e revisione dei servi offerti da terze parti Gestione dei cambiamenti nei servizi offerti da terze parti 10.3 Pianificazione e approvazione dei sistemi Capacità Manageriale Approvazione dei Sistemi 107
108 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.4 PROTEZIONE CONTRO CODICE MALEVOLO E MOBILE Controllo del codice malevolo Controllo contro il codice mobile 10.5 BACK-UP Back-up delle informazioni 10.6 GESTIONE DELLA SICUREZZA DELLA RETE Controllo della Rete Sicurezza dei servizi di rete 108
109 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.7 GESTIONE DEI SUPPORTI Gestione dei supporti removibili Disposizione dei supporti Procedura per maneggiare le informazioni Sicurezza della documentazione del sistema 10.8 SCAMBIO DI INFORMAZIONI Procedure e politiche di scambio di informazioni Accordi di scambio Trasporto di supporti fisici Messaggistica elettronica Sistemi di informazioni di business 109
110 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.9 SERVIZI DI COMMERCIO ELETTRONICO Commercio Elettronico Transazioni On-Line Informazioni pubblicamente disponibili MONITORAGGIO Log delle Audit Monitoraggio dell uso del sistema Protezione delle informazioni di log Log degli operatori e dell amministratore Log degli errori Sincronizzazione degli orologi 110
111 11 CONTROLLO DEGLI ACCESSI 11.1 REQUISITI DI BUSINESS PER IL CONTROLLO DEGLI ACCESSI Politiche di controllo degli accessi 11.2 GESTIONE DELL ACCESSO UTENTI Registrazione utente Gestione dei privilegi Gestione della password utente Revisione dei diritti di accesso utente 11.3 RESPONSABILITÀ UTENTE Uso della password Apparecchiature utente non vigilate Politica della scrivania pulita e dello schermo pulito 111
112 11 CONTROLLO DEGLI ACCESSI 11.4 CONTROLLO DI ACCESSO ALLA RETE Politica sull uso dei servizi di rete Autenticazione utente per connessioni esterne Identificazione degli appartati sulla rete Protezione dalla diagnostica remota e dalla configurazione delle porte Segregazione delle reti Controllo delle connessioni di rete Controllo dell indirizzamento di rete 112
113 11 CONTROLLO DEGLI ACCESSI 11.5 CONTROLLO DI ACCESSO AL SISTEMA OPERATIVO Procedure sicure di log-on Identificazione ed autenticazione utente Sistemi di gestione delle password Uso di utility di sistema Time-out di sessione Limitazione sul tempo di connessione 11.6 CONTROLLO DI ACCESSO AD APPLICAZIONI ED INFORMAZIONI Restrizione di accesso alle informazioni Isolamento di sistemi sensibili 11.7 MOBILE COMPUTING E TELELAVORO Mobile computing e comunicazioni Telelavoro 113
Elementi di Sicurezza e Privatezza
Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez. 15-16 1 I documenti di riferimento 2 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliL importanza di una corretta impostazione delle politiche di sicurezza
La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliDM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI
DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si
DettagliUniversità di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale
DettagliG.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni
G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,
DettagliLA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO
LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO Studio Candussi & Partners novembre 2008 Lo Studio Candussi & Partners Lo Studio opera dal 1998 con consulenti
DettagliProgetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl
Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliSISTEMA DI GESTIONE PER LA QUALITA Capitolo 4
1. REQUISITI GENERALI L Azienda DSU Toscana si è dotata di un Sistema di gestione per la qualità disegnato in accordo con la normativa UNI EN ISO 9001:2008. Tutto il personale del DSU Toscana è impegnato
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliProvincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta
Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta elettronica, da parte degli uffici provinciali e dell amministrazione
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliLe attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliSCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT
srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliQualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliI Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001
I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001 Percorsi di ampliamento dei campi di applicazione gestiti in modo
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliCERTIFICAZIONE ISO 14001
CERTIFICAZIONE ISO 14001 Il Comune di Mozzate ha ottenuto la certificazione ambientale ISO 14001 in data 30.04.2003, ha difatti impostato e mantiene attivo un Sistema di Gestione Ambientale in linea con
DettagliISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
DettagliViolazione dei dati aziendali
Competenze e Soluzioni Violazione dei dati aziendali Questionario per le aziende ISTRUZIONI PER L UTILIZZO Il presente questionario è parte dei servizi che la Project++ dedica ai propri clienti relativamente
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliPO 01 Rev. 0. Azienda S.p.A.
INDICE 1 GENERALITA... 2 2 RESPONSABILITA... 2 3 MODALITA DI GESTIONE DELLA... 2 3.1 DEI NEOASSUNTI... 3 3.2 MANSIONI SPECIFICHE... 4 3.3 PREPOSTI... 4 3.4 ALTRI INTERVENTI FORMATIVI... 4 3.5 DOCUMENTAZIONE
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliIT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliProgramma di risparmio energetico
Programma di risparmio energetico Ridurre gli sprechi per ottenere risparmi CO2save per UNI CEI EN ISO 50001 Premessa La norma ISO 50001 definisce gli standard internazionali per la gestione dell'energia
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliRichiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari
Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari Nome Cognome Nome del referente presso la Sezione di Cagliari Username Occupazione disco MB Password (min 6 car) Scadenza
DettagliEffettuare gli audit interni
Scopo Definire le modalità per la gestione delle verifiche ispettive interne Fornitore del Processo Input Cliente del Processo Qualità (centrale) e Referenti Qualità delle sedi territoriali Direzione Qualità
DettagliIn questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
LE POLICY SULLA PRIVACY DI QUESTO SITO PERCHE QUESTO AVVISO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
DettagliAZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO
AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO PROCEDURA PR02 - Audit Interni Edizione 1 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente Aziendale per la Qualità
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliInformation technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliA.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 3. INFRASTRUTTURE...
Pagina 1 di 6 INDICE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 2.1. GENERALITÀ... 2 2.2. COMPETENZA, CONSAPEVOLEZZA E ADDESTRAMENTO... 2 3. INFRASTRUTTURE...3 4. AMBIENTE DI LAVORO...6
DettagliSISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING
SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING OUTSOURCING OUSOURCING: affidamento a terzi dell attività di sviluppo e/o esercizio e/o assistenza/manutenzione del sistema informativo o di sue parti Scelta
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliProposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione
Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato
DettagliNormativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia. ABB Group September 29, 2010 Slide 1
Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia September 29, 2010 Slide 1 Sommario La norma UNI CEI EN 16001:2009 Definizioni Approccio al sistema di gestione
DettagliPROFILO FORMATIVO Profilo professionale e percorso formativo
Agenzia del Lavoro Provincia Autonoma di Trento PROFILO FORMATIVO Profilo professionale e percorso formativo DENOMINAZIONE FIGURA PROFESSIONALE - TECNICO INFORMATICO SISTEMA INFORMATIVO AZIENDALE CED-EDP
DettagliLa Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA
La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliI COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.
I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle
DettagliDr. Giovanni MACORETTA Tecnico della Prevenzione nell Ambiente e nei Luoghi di Lavoro Dipartimento di Sanità Pubblica
Dr. Giovanni MACORETTA Tecnico della Prevenzione nell Ambiente e nei Luoghi di Lavoro Dipartimento di Sanità Pubblica CONTROLLI INTERNI I CONTROLLI INTERNI sono un obbligo a carico del gestore e hanno
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
DettagliMANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO
INDICE 8.1 Generalità 8.2 Monitoraggi e Misurazione 8.2.1 Soddisfazione del cliente 8.2.2 Verifiche Ispettive Interne 8.2.3 Monitoraggio e misurazione dei processi 8.2.4 Monitoraggio e misurazione dei
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliComprendere il Cloud Computing. Maggio, 2013
Comprendere il Cloud Computing Maggio, 2013 1 Cos è il Cloud Computing Il cloud computing è un modello per consentire un comodo accesso alla rete ad un insieme condiviso di computer e risorse IT (ad esempio,
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliIdentità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
Dettagli4.5 CONTROLLO DEI DOCUMENTI E DEI DATI
Unione Industriale 35 di 94 4.5 CONTROLLO DEI DOCUMENTI E DEI DATI 4.5.1 Generalità La documentazione, per una filatura conto terzi che opera nell ambito di un Sistema qualità, rappresenta l evidenza oggettiva
DettagliMService La soluzione per ottimizzare le prestazioni dell impianto
MService La soluzione per ottimizzare le prestazioni dell impianto Il segreto del successo di un azienda sta nel tenere sotto controllo lo stato di salute delle apparecchiature degli impianti. Dati industriali
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliA cura di Giorgio Mezzasalma
GUIDA METODOLOGICA PER IL MONITORAGGIO E VALUTAZIONE DEL PIANO DI COMUNICAZIONE E INFORMAZIONE FSE P.O.R. 2007-2013 E DEI RELATIVI PIANI OPERATIVI DI COMUNICAZIONE ANNUALI A cura di Giorgio Mezzasalma
DettagliGovernare il processo della sicurezza
Governare il processo della sicurezza Michele Marchini PIACENZA 20 febbraio 2014 SOMMARIO Argomenti trattati Governo del processo gestione della sicurezza I processi aziendali Il processo della sicurezza
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliAltre misure di sicurezza
Altre misure di sicurezza Prevenzione dei danni e backup Ombretta Pinazza Altre misure di sicurezza Prevenzione dei danni e backup : Strumenti di protezione hardware Sistemi anti intrusione Backup: supporti
DettagliSoftware per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
DettagliAUDIT. 2. Processo di valutazione
AUDIT 2. Processo di valutazione FASE ATTIVITA DESCRIZIONE Inizio dell'audit Inizio dell attività Costituzione del gruppo di valutazione sulla base delle competenze generali e specifiche e dei differenti
Dettagli