Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC"

Transcript

1

2 Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF, ANSSAIF, ISACA Roma CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA Team Manager, Senior Security Mediaservice.net

3 Sicurezza delle informazioni Conservazione della riservatezza, dell'integrità e della disponibilità delle informazioni; inoltre, possono essere coinvolte altre proprietà quali l'autenticità, la responsabilità, il non ripudio e l'affidabilità. Le nuove prescrizioni sono solo parte della sicurezza delle informazioni

4 Situazione ideale 1: Need to know i dati sono visibili solo a chi ha una necessità lavorativa per accederli e solo nel momento in cui deve accederli 2: Tracciabilità le operazioni effettuate sui dati devono essere tracciabili senza dubbio alla persona che le ha effettuate e al momento in cui sono state effettuate 3: Monitoraggio accessi anomali devono essere segnalati immediatamente in modo da attuare le misure di contenimento per limitare eventuali incidenti

5 Situazione attuale 1: Need to know Gli operatori di filiale / sede centrale hanno molti più dati a disposizone del necessario "per non legare l operatività" 2: Tracciabilità Sono tracciate solo le operazioni dispositive, a volte anche quelle di modifica di dati anagrafici 3: Monitoraggio Pochissimo monitoraggio sulle attività degli incaricati, eventualmente utilizzato solo in caso di incidente

6 Come soddisfare il Garante Misure necessarie Designazione dell'outsourcer quale responsabile del trattamento Tracciamento delle operazioni Conservazione dei log di tracciamento delle operazioni Implementazione di alert Audit interno di controllo Rapporti periodici Soluzioni Accordi contrattuali con gli outsourcer Configurazione del logging opportuno sui DB / sulle applicazioni (registriamo tutto?) Impostazione locale / centrale del retention time per 24 mesi Definizione di cosa deve generare un alert e del suo uso Regolamentazione dell attività da effettuarsi

7 Come soddisfare il Garante Misure opportune Informativa all'interessato Informazioni all'interessato Comunicazioni al Garante Soluzioni Aggiornamento delle informative Estrazione dai report di audit (servizio a pagamento?) Notifica al Garante in caso di incidente fraudolento, quando si coinvolgono le autorità

8 Come soddisfare il Garante Bisogna aggiungere "per ora"? Ci sono 30 (25!) mesi di tempo per iniziare a lavorare e portare a termine un progetto complesso per chiarificare i requisiti sulla base delle domande che arriveranno per cambiare idea sui requisiti, sui tempi etc. L esperienza passata non è una buona testimone ma prevenire è sempre meglio che curare.

9 Punti di poca chiarezza? "Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database." Sui singoli campi? Una query complessa può generare molti log, eventualmente si possono aggregare? "Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi." A parte la correttezza della dicitura, se non sono già adottati strumenti di questo tipo?

10 Norme internazionali ISO/IEC Accessi riusciti e tentati Tutte le operazioni privilegiate Alert o errori di sistema Cambiamenti tentati o riusciti delle impostazioni di sicurezza PCI-DSS Accessi riusciti e tentati Tutte le operazioni privilegiate Reinizializzazione dei log Creazione e rimozione di oggetti a livello di sistema

11 Tipico sistema bancario Filiale / Call center Area territoriale Sede centrale Terminale 3270 Procedure Mainframe Database

12 Sistema centralizzato o locale? La scelta dipende dalla realtà tecnologica ma può essere in entrambi casi accettabile sotto la lente delle nuove prescrizioni Sistema Centralizzato + Serve per fare correlazioni complesse + Permette di gestire più efficacemente una grande mole di dati - Se non si è già implementato è un costo significativo Sistema Locale (DB) + Costi più contenuti - E meno efficace per individuare incidenti

13 Domande "calde" Bisogna riscrivere tutto il software che tratta i dati personali? Non necessariamente, dipende dall architettura IT Le richieste via posta elettronica vanno considerate? E le informazioni mantenute in forma non strutturata come sono gestite? Possibile inclusione, necessario verificare se ci sono processi che le usano o se sono attività occasionali La consultazione di stampe e report elettronici è considerata? Le stampe non ricadono in ambito, i report elettronici devono essere considerati secondo la loro specificità, potrebbero essere esclusi in quanto non consistono o derivano dall uso interattivo di sistemi Chi può utilizzare i log? L area di compliance, gli auditor non normato!

14 Sommario degli interventi sul campo 1. Profilo "low cost" Solo i DB Niente «business intelligence» Alert interni VS 2. Profilo "high performance" DB, applicazioni, dati non strutturati «Business intelligence» Alert interni ed esterni

15 Way forward 1. Analisi di processi e strumenti 2. Razionalizzazione VS 3. Implementazione delle soluzioni

16 Side effects Capacità di storage per i log facilmente moltiplicate in modo consistente (da considerare eventuali backup) Maggior effort per la gestione del quotidiano Focalizzazione dell attenzione sull aspetto dei log (meno attenzione sul resto delle tematiche legate alla sicurezza) Adozione di sistemi di correlazione di eventi Opportunità per rivedere processi e applicazioni legacy Orientamento alla notifica degli incidenti

17 Si può fare di più? Riutilizzando (con attenzione al nuovo carico!) Sistema di centralizzazione dei log per gli AdS Sottosistemi di logging del DBMS Sistema di correlazione degli eventi Struttura per la gestione degli incidenti Procedure di audit dei log Andando oltre i requisiti per raggiungere migliori livelli di sicurezza Per avere meno incidenti da notificare? (guadagno d immagine) O ne riparliamo un altra volta

18 Cosa ha "dimenticato" il Garante Alcuni dettagli I time server e la sincronizzazione dei log (mancanza recidiva) Protezione dei log: l integrità magari è stata trascurata volontariamente ma riservatezza (chi può accedere) e disponibilità (come garantirla e.g. backup)? Reazione agli incidenti individuati, al di là della loro comunicazione Una data retention policy?

19 Sicurezza delle informazioni: Risk Assessment Logging Policy & Requisiti Plan Do Contromisure Annex A Act Check Miglioramento Efficacia Audit

20 Question time

21 Riferimenti (doc web ) NIST SP Guide to computer security log management PCI-DSS 2.0 Payment Card Industry Data Security Standard ISO/IEC 27002:2005 Code of practice for information security management

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Privacy: Circolazione e tracciabilità delle informazioni in ambito bancario. Milano 12 Marzo 2014

Privacy: Circolazione e tracciabilità delle informazioni in ambito bancario. Milano 12 Marzo 2014 Privacy: Circolazione e tracciabilità delle informazioni in ambito bancario Milano 12 Marzo 2014 L azienda HTS Hi-Tech Services è un'azienda italiana che deriva dall'esperienza decennale dei suoi fondatori

Dettagli

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI

Dettagli

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010 Come affrontare le minacce alla sicurezza IT Roma, 16 Giugno 2010 Fabio Guasconi Introduzione Presidente del SC27 di UNINFO Chief of Italian Delegation for JTC1/SC27 (ISO/IEC) Socio CLUSIT, ITSMF, ISACA

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Piattaforma Informatica di Knowledge Risk

Piattaforma Informatica di Knowledge Risk Piattaforma Informatica di Knowledge Risk La guida sicura per la certificazione e la conformità 2013 1 Chi siamo Cosa facciamo KD Consulting KD Solution Progetti Collaborazioni LA NOSTRA MISSIONE Supportare

Dettagli

Piattaforma Informatica di Knowledge Risk

Piattaforma Informatica di Knowledge Risk Piattaforma Informatica di Knowledge Risk La guida sicura per la certificazione e la conformità 2012 1 IL CONCETTO INNOVATIVO PI-KR E UNA SOLUZIONE INTEGRATA PER I SISTEMI DI GESTIONE E DI GOVERNO AZIENDALE

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Catalogo corsi di formazione

Catalogo corsi di formazione nno 2015 utore F. Guasconi Revisore F. Morini Data 27/05/2015 Classificazione Corsi di formazione BL4CKSWN La nostra offerta formativa ricalca le linee di eccellenza su cui siamo attivi nell erogazione

Dettagli

Sicurezza dei Sistemi Informativi

Sicurezza dei Sistemi Informativi francesco moroncini Sicurezza dei Sistemi Informativi Quanto è importante la sicurezza informatica in azienda? Quanto considerate importante il vostro sistema informativo? Si sono mai verificati incidenti?

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema la normativa: http://www.garanteprivacy.it/garante/doc.jsp?id=1577499

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Tecniche e Strategie per misurare e migliorare le performance del servizio di telefonia fissa. Application Monitoring Broadband Report Analysis

Tecniche e Strategie per misurare e migliorare le performance del servizio di telefonia fissa. Application Monitoring Broadband Report Analysis Tecniche e Strategie per misurare e migliorare le performance del servizio di telefonia fissa Application Monitoring Broadband Report Analysis Le necessità tipiche del servizio di telefonia Maggiore sicurezza

Dettagli

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper Gestione Proattiva di Minacce di Sicurezza StoneGate Management Center White Paper Marco Rottigni 4/27/2007 Pag. 2 di 8 Sommario Capitolo 1 Introduzione 3 Capitolo 2 StoneGate Management Center Security

Dettagli

SOLUTION ACHIEVEMENTS. KEISDATA solution Knowledge Engineering Information System. Knowledge, Risk and Compliance

SOLUTION ACHIEVEMENTS. KEISDATA solution Knowledge Engineering Information System. Knowledge, Risk and Compliance Knowledge, Risk and Compliance La gestione dei rischi è un processo essenziale per il miglioramento delle performance aziendali e della loro sostenibilità nel tempo. L esigenza è quella di sviluppare,

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Log Management per il Risk e la compliance F. Pierri - Xech Risk e Compliance La continua ricerca alla conformità attira l'attenzione dei CFO, CEO, CIO e delle

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Compliance Sistema di Governo Il Sistema di Compliance di SIA

Compliance Sistema di Governo Il Sistema di Compliance di SIA Compliance Sistema di Governo Il Sistema di Compliance di SIA Pagina 1 di 6 SOMMARIO 1. INTRODUZIONE... 3 2. LA FUNZIONE DI COMPLIANCE IN SIA... 3 3. IL SISTEMA DI COMPLIANCE DI SIA... 4 3.1 Ricognizione...

Dettagli

nova systems roma Company Profile Business & Values

nova systems roma Company Profile Business & Values nova systems roma Company Profile Business & Values Indice 1. CHI SIAMO... 3 2. I SERVIZI... 3 3. PARTNERS... 3 4. REFERENZE... 4 4.1. Pubblica Amministrazione... 4 4.2. Settore bancario... 7 4.3. Servizi

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Iniziativa : "Sessione di Studio" a Milano. 19 Maggio 2010 presso Unicredit Global Information Services via Livio Cambi, 1 (MM1 - Lampugnano)

Iniziativa : Sessione di Studio a Milano. 19 Maggio 2010 presso Unicredit Global Information Services via Livio Cambi, 1 (MM1 - Lampugnano) Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS www.btoweb.it L unione tra il know-how gestionale e organizzativo maturato in oltre 12 anni di consulenza e l esperienza nell ambito dell informatizzazione dei processi ha consentito a Sinergest lo sviluppo

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Brochure Internet. Versione 2010.1 The Keyrules Company s.r.l. Pagina 2 di 8

Brochure Internet. Versione 2010.1 The Keyrules Company s.r.l. Pagina 2 di 8 Ogni organizzazione possiede un sistema di regole che la caratterizzano e che ne assicurano il funzionamento. Le regole sono l insieme coordinato delle norme che stabiliscono come deve o dovrebbe funzionare

Dettagli

PCI-DSS. Sicurezza dei dati delle carte di pagamento

PCI-DSS. Sicurezza dei dati delle carte di pagamento PCI-DSS Sicurezza dei dati delle carte di pagamento Torino, 19 Aprile 2012 Agenda PCI Council e Standard collegati Storia e life-cycle della PCI-DSS Applicabilità, soggetti e ruoli Adempimenti, "incentivi"

Dettagli

Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate

Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate Alfonso Ponticelli Una gestione ottimale delle utenze privilegiate Log Management: necessita un approccio strutturato e consistente 1. Configurare i sistemi per generare eventi definire la tipologia di

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Usare il Cloud in sicurezza: spunti tecnici

Usare il Cloud in sicurezza: spunti tecnici Usare il Cloud in sicurezza: spunti tecnici Cesare Gallotti Milano, 24 gennaio 2012 Sotto licenza Creative Commons creativecommons.org/licenses/by-nc/2.5/it/ 1 Agenda Presentazione relatore Definizioni

Dettagli

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy http://www.bludis.it/prodotti/manageengine/event_log/pagine/default.aspx Pag. 1

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

RISCOM. Track Your Company,.. Check by isecurity

RISCOM. Track Your Company,.. Check by isecurity RISCOM (Regia & isecurity Open Monitor) Soluzione software per la Registrazione degli accessi e la Sicurezza dei dati sulla piattaforma IBM AS400 e Sistemi Open Track Your Company,.. Check by isecurity

Dettagli

IT Risk Management a 360

IT Risk Management a 360 IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle

Dettagli

Sicurezza delle utenze privilegiate

Sicurezza delle utenze privilegiate Sicurezza delle utenze privilegiate L esperienza Sogei Paolo Schintu Responsabile Sistemi e Standard di Sicurezza IT 26 novembre 2014 Sogei Sogei nasce nel 1976 per realizzare una moderna Anagrafe Tributaria

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

T 2 M 6 P 3 C 8 1 K 5 R SUITE. Rilevazione e Gestione avanzata delle presenze

T 2 M 6 P 3 C 8 1 K 5 R SUITE. Rilevazione e Gestione avanzata delle presenze 45 T 2 M 6 i P 3 C 8 i 1 K 5 R x x x e e x x SUITE 60 45 Rilevazione e Gestione avanzata delle presenze SUITE TIMEPICKER RILEVAZIONE E GESTIONE AVANZATA DELLE PRESENZE La soluzione al passo coi tempi

Dettagli

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM La certificazione CGEIT 2 A I E A Costituita

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Attività: 3.d Test e sperimentazione

Attività: 3.d Test e sperimentazione UNIONE EUROPEA FONDO EUROPEO DI SVILUPPO REGIONALE. REGIONE PUGLIA AREA POLITICHE PER LO SVILUPPO, IL LAVORO E L INNOVAZIONE "Living Labs Smartpuglia 2020" P.O. FESR Puglia 2007-13 - Asse I - Linea di

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business

Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business Matteo Perazzo BU Security - Manager matteo.perazzo@digi.it Mauro Cicognini Tech Director

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

Integrazione sicurezza fisica e logica: strategie e benefici per la banca Integrazione sicurezza fisica e logica: strategie e benefici per la banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2009 Roma, 9 giugno 2009 Agenda Gli orientamenti

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

Iniziativa : "Sessione di Studio" a Torino. Torino, 17 dicembre 2009

Iniziativa : Sessione di Studio a Torino. Torino, 17 dicembre 2009 Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt Trouble Ticketing Contesto di riferimento I benefici del Trouble Ticketing Nell area Operations Support si collocano le varie fasi della gestione di un infrastruttura IT: a tale area è strettamente correlata

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

Verbale di accordo. tra. premesso che:

Verbale di accordo. tra. premesso che: Verbale di accordo In Padova, in data 28 maggio 2014 tra Cassa di Risparmio del Veneto S.p.A. e le OO.SS. di Cassa di Risparmio del Veneto premesso che: - il d.lgs. 30 giugno 2003, n. 196, rubricato Codice

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group

ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group Marco Deidda, Head of Data Access Management UniCredit Business Integrated Solutions UniCredit Group

Dettagli

Data Privacy Policy. Novembre 2013. Pagina 1 di 10

Data Privacy Policy. Novembre 2013. Pagina 1 di 10 Data Privacy Policy Novembre 2013 Pagina 1 di 10 INDICE I) PRINCIPI... 3 1 Obiettivi... 3 2 Requisiti e Standards minimi... 3 3 Ruoli e Responsabilità... 4 4 Consapevolezza e formazione... 5 5 Processi

Dettagli

COMPLIANCE E ORGANIZZAZIONE (con norme ISO di riferimento) Cesare Gallotti Pescara, 19 giugno 2009

COMPLIANCE E ORGANIZZAZIONE (con norme ISO di riferimento) Cesare Gallotti Pescara, 19 giugno 2009 COMPLIANCE E ORGANIZZAZIONE (con norme ISO di riferimento) Cesare Gallotti Pescara, 19 giugno 2009 1 I principi di riferimento delle norme ISO (9001 e 27001) a) Orientamento al cliente b) Leadership c)

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Mi sono impazziti i log! Cosa potevo fare?

Mi sono impazziti i log! Cosa potevo fare? Mi sono impazziti i log! Cosa potevo fare? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Summit 16 Marzo 2010 ATA Hotel Executive, Milano Alessio L.R. Pennasilico Security Evangelist @ Board

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sicurezza, Rischio e Business Continuity Quali sinergie? Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni

Dettagli

Ciclo di vita dimensionale

Ciclo di vita dimensionale aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

ISO Revisions Whitepaper

ISO Revisions Whitepaper ISO Revisions ISO Revisions ISO Revisions Whitepaper Processi e procedure Verso il cambiamento Processo vs procedura Cosa vuol dire? Il concetto di gestione per processi è stato introdotto nella versione

Dettagli

SimplERP in sintesi. Open Source SimplERP è un progetto Open Source. Il software è pubblicato sotto licenza AGPL ed AGPL + Uso Privato.

SimplERP in sintesi. Open Source SimplERP è un progetto Open Source. Il software è pubblicato sotto licenza AGPL ed AGPL + Uso Privato. SimplERP in sintesi SimplERP è una suite completa di applicazioni aziendali dedicate alla gestione delle vendite, dei clienti, dei progetti, del magazzino, della produzione, della contabilità e delle risorse

Dettagli

measures to ensure a high common level of network and information security across the Union 3

measures to ensure a high common level of network and information security across the Union 3 Legislazione CYBER SECURITY: il nuovo ordine esecutivo del Presidente americano Obama e la recente proposta di direttiva UE Network and Information Security (NIS) Marcoccio Gloria Diritto.it La sicurezza

Dettagli

231 e Reati ambientali. HSE Management: reati ambientali e sistemi informativi a supporto

231 e Reati ambientali. HSE Management: reati ambientali e sistemi informativi a supporto 231 e Reati ambientali HSE Management: reati ambientali e sistemi informativi a supporto Indice Sistemi informativi - dalle esigenze alla selezione Sistemi informativi - requisiti HSE Scenari di selezione

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli