La sicurezza dei sistemi informativi aziendali

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La sicurezza dei sistemi informativi aziendali"

Transcript

1 DIPSIT D i p a r t i m e n t o d i S t u d i p e r l I m p r e s a e i l T e r r i t o r i o La sicurezza dei sistemi informativi aziendali Roberto Candiotto Working paper n. 19, luglio 2006

2 Abstract L elevato sviluppo tecnologico ha reso confortevole, sicura e gradevole buona parte del mondo occidentale, ma gli stessi progressi (nel settore dell Ict, nella mobilità e nella facilità di trasporto) portano come effetto collaterale un elevata vulnerabilità. I più recenti sviluppi degli strumenti offerti dalle tecnologie della comunicazione e dell informazione hanno favorito l adozione di sistemi aziendali progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale e ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e i legami fra i processi gestionali. L imponente utilizzo di infrastrutture informatiche per creare, conservare e scambiare dati comporta, per contro, una continua e intensa esposizione a rischi. Il problema della sicurezza informatica deve essere affrontato dalle aziende secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi, economici e legali. Il «sistema di gestione per la sicurezza delle informazioni», articolato nei macroprocessi di pianificazione, implementazione, riesame e miglioramento, rappresenta un approccio idoneo per monitorare costantemente i processi aziendali e i sistemi informativi, garantendo il coinvolgimento delle risorse umane. 2

3 ROBERTO CANDIOTTO Professore associato presso la Facoltà di Economia di Novara dell Università del Piemonte Orientale LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI SOMMARIO: 1. Premessa - 2. I sistemi informativi aziendali - 3. La sicurezza dei sistemi informativi aziendali - 4. L approccio sistemico alla sicurezza delle informazioni aziendali - 5. Il sistema di gestione per la sicurezza delle informazioni 6. Conclusioni. 1. Premessa Le infrastrutture informatiche sono il mezzo più usato per creare, conservare e scambiare informazioni e una molteplicità di apparati digitali interconnessi controllano i gangli vitali dell attuale sistema sociale. Attacchi o manomissioni alle infrastrutture sulle quali sono basati i sistemi informativi possono innescare eventi negativi a catena, con conseguenze di amplissima portata. Nella «società dell informazione», aperta e interdipendente, la sicurezza è un elemento indispensabile. Attualmente, l impatto tecnologico sulla vita economico-sociale e sull ambiente di riferimento delle aziende è inevitabile. Subire passivamente questa radicale e ineluttabile evoluzione corrisponde all incapacità dei responsabili aziendali di coglierne compiutamente i molteplici vantaggi. Allo stesso tempo, occorre confrontarsi con i problemi della sicurezza informatica, considerato che le nuove tecnologie, da cui non si può più prescindere, pena una incontrovertibile perdita di competitività, oltre agli straordinari aspetti positivi, spesso implicano potenziali rischi. Il crescente ricorso alle tecnologie dell informazione e della comunicazione intrapreso dalle aziende comporta l esposizione a rischi, attacchi e minacce che, se non adeguatamente analizzati, valutati e affrontati, possono avere conseguenze negative, non soltanto in termini economici immediati, ma anche relativamente all immagine, al personale, alla perdita del patrimonio informativo e, conseguentemente, della competitività. Nasce, pertanto, la necessità per ogni organizzazione di proteggere i dati e le informazioni posseduti e trattati al fine di garantire la continuità del business e minimizzare le perdite della «non sicurezza» 1. 1 I costi della non sicurezza sono difficilmente calcolabili, ma si può facilmente stimare quanto sia oneroso per un azienda il periodo di inattività della propria rete o dei server, quanti giorni di lavoro vengono persi per controllare e rivedere dati trattati erroneamente o per fronteggiare intrusioni e 3

4 Il problema della sicurezza informatica deve essere affrontato secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi (formazione e sensibilizzazione del personale, individuazione e assegnazione dei ruoli, definizione delle procedure), economici e legali (normativa comunitaria, legislazione italiana, raccomandazioni, standard di riferimento, linee guida). Inoltre, è indispensabile che venga adottato un approccio idoneo a prevenire situazioni di vulnerabilità e pericolo (risk management), nonché ad affrontare e gestire emergenze insorte in seguito al manifestarsi di eventi dannosi per il patrimonio informativo. Infine, le aziende devono amministrare in modo sicuro il sistema delle informazioni anche in ottemperanza a specifici requisiti di legge. 2. I sistemi informativi aziendali Il sistema informativo aziendale, attraverso un processo continuo di trattamento di dati rappresentativi della realtà, fornisce informazioni qualificate al fine di soddisfare esigenze conoscitive interne ed esterne all azienda 2. Il sistema informativo favorisce la produzione e la distribuzione di informazioni a tutti i soggetti che in vario modo se ne servono per svolgere i propri compiti, razionalizzando così il processo decisionale per l assunzione di consapevoli provvedimenti. Per realizzare il processo di produzione delle informazioni, il sistema informativo si avvale di risorse umane e tecnologiche e si basa su un complesso di procedure per la rilevazione dei dati, l elaborazione e la trasmissione delle informazioni. Un sistema informativo, per risultare efficace e favorire la razionalità del processo decisionale aziendale, deve essere: - affidabile, idoneo a produrre informazioni esatte, chiare, accurate, verificabili (in relazione a tutte le fasi del processo di elaborazione) e corrispondenti alla realtà dalle stesse rappresentata; - selettivo, atto a fornire informazioni qualitativamente rilevanti per i responsabili dei centri decisionali e operativi; - flessibile, in grado di adeguarsi ai mutamenti dei fabbisogni informativi di ambienti caratterizzati da incertezza e dinamicità e di promuovere l evoluzione verso le più moderne tecniche di produzione e trasmissione delle informazioni; rimediare ai danni subiti, quanto gravi siano le conseguenze derivanti dalla sottrazione illecita di informazioni su progetti di rilevanza cruciale. 2 «L informazione è la base fondamentale per una consapevole amministrazione d azienda [...]. Essa viene prodotta nell ambito del sistema informativo e quindi distribuita alle aree utenti nel contenuto, nei modi e nei tempi richiesti dalle svariate esigenze di impiego» (G. FERRERO, Impresa e management, Giuffrè, Milano, 1987, pag. 191). 4

5 - tempestivo, in modo da rendere disponibili informazioni utili e convenienti all utente finale, in relazione alla sua natura e al suo utilizzo, e offrire immediate percezioni degli accadimenti della realtà aziendale e delle sue relazioni con l ambiente; - accettato da tutti gli utenti, anche in relazione al tipo di percezione che gli stessi manifestano nei confronti della validità delle conoscenze fornite. L efficienza del sistema informativo attiene alle relazioni istituibili fra il valore delle informazioni ottenute (attitudine a sollecitare la formulazione di decisioni rapide e coerenti con gli obiettivi prefissati) e i costi sostenuti per la loro produzione (quantificabili in rapporto alla struttura del sistema informativo, alle potenzialità e prestazioni delle apparecchiature e delle applicazioni informatiche, all entità delle risorse umane impiegate nelle varie fasi del processo di trattamento dei dati, ecc.). Per conferire efficienza a un sistema informativo è opportuno osservare il «principio dell utilizzazione plurima dei dati raccolti», che consiste nella rilevazione unica dei dati in ingresso e nell uso plurimo delle conoscenze prodotte, nell intento di evitare ogni possibile duplicazione di attività 3. Gli strumenti offerti dalle tecnologie informatiche hanno dapprima trovato applicazione nell ambito delle attività aziendali di tipo operativo; l entità dei volumi di dati da elaborare e la ripetitività delle operazioni di trattamento degli stessi hanno costituito dei validi presupposti per l automazione delle procedure operative. In seguito, sono stati raggiunti significativi miglioramenti nel coordinamento e controllo delle attività di progettazione e ingegnerizzazione dei prodotti, di programmazione della produzione, di avvio e controllo dell avanzamento di produzione. La complessità e il dinamismo del quadro competitivo hanno, poi, imposto l adozione di sistemi atti a supportare le attività direzionali (con riferimento al controllo di gestione e ai sistemi di reporting) e a favorire la pianificazione strategica; sono stati, così, realizzati i sistemi di supporto alle decisioni. I più recenti sviluppi degli strumenti offerti dall Ict hanno favorito l evoluzione verso gli Enterprise Resource Planning (ERP, in Italia anche conosciuti come «sistemi informativi integrati») progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale. Le tecnologie basate sui protocolli internet, inoltre, hanno ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e il legame fra i processi gestionali inter-organizzativi. La visione sistemica delle modalità di svolgimento della gestione aziendale, presente in un applicativo integrato, è immediatamente percepibile da ogni operatore semplicemente svolgendo le proprie attività e registrando le transazioni pertinenti; la simultanea o successiva «interrogazione» del sistema informativo mostra l avanzamento della procedura e l influenza sulle attività svolte in altre aree, facilitando la visibilità 3 Cfr. P. PISONI, Il sistema informativo dell impresa, Giuffrè, Milano, 1979, pag

6 delle norme per l attuazione delle operazioni, la condivisione delle informazioni, il lavoro in team e la responsabilizzazione di ogni operatore ai risultati di processo. L accentramento dell archiviazione dei dati prodotti dalle transazioni in un unico database arricchisce enormemente la qualità delle informazioni estraibili, a seconda delle necessità dell organo decisore. Tutti gli operatori coinvolti a vario livello nella gestione aziendale, dotati di differenti autorizzazioni per l accesso, possono ritrovare le informazioni «critiche» per elaborare il processo decisionale di competenza, adeguando in modo coerente e autonomo il grado di approfondimento e gli attributi desiderati. L introduzione di un applicativo gestionale integrato, oltre a rappresentare una leva efficace per dare inizio alla revisione dei processi aziendali e al cambiamento organizzativo, costituisce una notevole opportunità per costruire una infrastruttura tecnologica in grado di evolvere nel tempo, di supportare lo sviluppo delle nuove occasioni di business e di avviare un circolo virtuoso per la continua e progressiva ottimizzazione delle performance. La tecnologia web e l espansione del commercio elettronico hanno influenzato profondamente sia i rapporti tra aziende e clienti (mercato Business-to-Consumer, B2C) sia quelli tra produttori (Business-to-Business, B2B), sia le relazioni interne (Businessto-Employee, B2E) portando alla nascita di un tipo di impresa «collaborativa», con la possibilità di creare nuove configurazioni di catene del valore e nuove opportunità di business. Per la gestione dell azienda estesa sono, così, comparsi gli E-ERP (Extended ERP) e le Enterprise Business Applications (EBA), basati sull architettura internet, con soluzioni che, integrando tecnicamente e funzionalmente i diversi attori, assecondano le interconnessioni (fisiche e logiche) e, grazie a funzionalità applicative orientate alla pianificazione della logistica integrata e a moduli che hanno lo scopo di intensificare le opportunità di comunicazione strutturata, conseguono il coordinamento dei processi aziendali con i fornitori e altri partner di servizi strategici (Supply Chain Management, SCM), con i clienti (Customer Relationship Management, CRM) e forniscono il supporto alla forza di vendita (Sales Force Automation, SFA); le informazioni sui clienti sono disponibili e aggiornate grazie ai sistemi ERP e, inversamente, le attività di vendita e previsionali alimentano la base dei dati dell applicativo. Il patrimonio informativo aziendale, alimentato da dati operazionali amministrati dagli ERP, dalle applicazioni SCM e CRM e da altre fonti qualificate (fra cui, sempre più, siti internet per le aziende e per particolari settori) deve poi trovare ordinata archiviazione nei database e adeguata valorizzazione attraverso sistemi di Data Warehouse (DW) e Data Webhouse, «magazzini» nei quali, attraverso l integrazione e la razionalizzazione dei dati interni ed esterni, vengono predisposti e combinati gli elementi essenziali per i moduli di Business Intelligence (BI), congegnati per supportare il processo decisionale del management. 6

7 3. La sicurezza dei sistemi informativi aziendali La sicurezza in ambito aziendale viene definita, dalle norme internazionali, come «lo studio, sviluppo e attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali, organizzative e umane di cui l azienda dispone o di cui necessita per garantirsi un adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine» 4. La crescente attenzione verso i problemi della sicurezza aziendale porta ad attività finalizzate alla tutela del patrimonio aziendale, a politiche proiettate al contenimento dei rischi e delle perdite economiche o finanziarie, che indiscutibilmente contribuiscono al mantenimento e all accrescimento del valore aziendale. La sicurezza, spesso vista come un incombenza imposta, viene vissuta, in senso negativo, come mero adempimento burocratico, in quanto si ritiene sia un elemento di interferenza all efficienza ed efficacia dell attività aziendale; in realtà, una corretta analisi dei benefici derivanti da una adeguata politica di salvaguardia dell integrità del patrimonio aziendale e del regolare svolgimento della gestione, evidenzia come il raggiungimento degli obiettivi di sicurezza sia la condizione sostanziale per il conseguimento delle basilari finalità aziendali. Per sicurezza di un sistema informativo si intende sia la protezione delle informazioni da rilevazioni, alterazioni, eliminazioni non autorizzate volontarie e accidentali, che il contenimento degli effetti negativi provocati dal manifestarsi di tali eventi. La conoscenza delle informazioni e del relativo valore sono, quindi, elementi indispensabili per predisporre misure protettive e per intraprendere le idonee azioni di sicurezza. Prevenire il danneggiamento, misurare la perdita o la modificazione di informazioni e recuperare tempestivamente i dati eventualmente sottratti o alterati, costituiscono, in estrema sintesi, le fondamentali misure di sicurezza richieste per la protezione dei sistemi informativi. Un sistema dedicato alla gestione delle informazioni si definisce «sicuro» quando soddisfa le seguenti proprietà: - confidenzialità, comporta la protezione dei dati trasmessi o memorizzati per evitare l intercettazione e la lettura da parte di soggetti non autorizzati. Le tecniche utilizzate per garantire la confidenzialità possono, ad esempio, essere la crittografia o il controllo degli accessi; - integrità, implica che i dati trasmessi, ricevuti o custoditi non abbiano subito manomissioni o modifiche non autorizzate. Il sistema deve essere approntato in modo tale da poter individuare e segnalare eventuali modificazioni ed errori di trasmissione. 4 UNI 10459, Funzioni e profilo del professionista della security aziendale,

8 L integrità non certifica l origine dei dati (autenticazione) ma garantisce la validità dei dati stessi, escludendone eventuali alterazioni; - disponibilità, riguarda la capacità di un dato di essere accessibile e utilizzabile a ogni richiesta proveniente da utenti autorizzati. Salvaguardare la disponibilità significa attuare tutte le tecniche per impedire intrusioni non autorizzate e per assicurare l utilizzo dei dati e dei servizi anche in caso di interruzioni involontarie, eventi imprevisti e catastrofi naturali. Le proprietà esposte costituiscono innegabilmente il nucleo di riferimento di un sistema sicuro; altri requisiti contribuiscono, comunque, a definire la sicurezza di un sistema informativo: - autenticazione, processo che consente di verificare la veridicità dell identità conclamata da un organismo o un utente; - non ripudiabilità, proprietà che caratterizza le transazioni in rete tra due parti e consiste nell impossibilità di disconoscere la paternità di un azione; - tracciabilità degli utenti, insieme dei meccanismi che permettono di attribuire inequivocabilmente un azione a un determinato utente. La sicurezza dei sistemi informativi è una questione di ampia portata culturale, che supera i confini dell ambito propriamente informatico; il tema investe dimensioni assai diversificate e cruciali della vita e del lavoro degli individui e delle organizzazioni, spaziando dal diritto alla riservatezza, alla tutela della privacy, dalla protezione del copyright, all etica. La tutela delle informazioni è un tratto della cultura organizzativa: da un lato influenza la qualità dei processi aziendali e dei servizi erogati e dall altro condiziona l immagine e la reputazione dell impresa. La protezione dei sistemi informativi è un problema che, lungi dall essere risolto tramite l esclusivo utilizzo di strumenti tecnologici, richiede l attuazione di specifiche procedure organizzative. Le decisioni circa la sicurezza informatica non devono essere esclusiva competenza del personale tecnico (a livello di scelta e di attuazione) bensì l alta direzione aziendale deve essere coinvolta in questo processo. 4. L approccio sistemico alla sicurezza delle informazioni aziendali La corretta impostazione di un sistema globale di security richiede lo sviluppo di una proiezione strategica e rappresenta un elemento essenziale nella definizione del contesto, delle priorità e delle aree critiche di intervento, ma, soprattutto, consente di trasmettere una corretta visione alla quale si dovranno ispirare le azioni successive. La pianificazione degli obiettivi di fondo della gestione prevede che si identifichino in modo altrettanto chiaro e univoco le regole generali di comportamento rispetto alle politiche di sicurezza, con particolare attenzione a quelle relative alle informazioni critiche. L analisi del profilo competitivo e l identificazione delle alternative strategiche 8

9 i di ogni business in cui l azienda opera, comportano la formulazione di scelte che coinvolgono profondamente i piani di intervento sulla sicurezza. L analisi dell ambiente di riferimento (politico, socio-culturale, economico, tecnologico, fisico, ecc.) e la valutazione degli elementi di forza e di debolezza che condizionano le scelte strategiche, influiscono sulle opzioni e sull operatività della sicurezza aziendale; nello stesso modo le strategie di sicurezza comportano vincoli e offrono opportunità alle alternative di business, configurandosi esse stesse come fonte di vantaggio competitivo. La definizione delle politiche di gestione corrente e la stesura dei piani operativi devono includere gli orientamenti delle politiche di sicurezza e prevedere livelli di affidabilità, integrità e confidenzialità delle informazioni coerenti con i progetti strategici di cambiamento, innovazione o di mantenimento della posizione competitiva. Nella pianificazione operativa devono essere previsti orizzonti temporali, riferimenti organizzativi e disponibilità economico-finanziarie per poter predisporre budget adeguati al grado di protezione indicato nei programmi strategici. FIGURA 1 Approccio sistemico alla sicurezza delle informazioni aziendali STRATEGIA Pianificazione obiettivi Politiche di sicurezza Gestione dei rischi Budget ORGANIZZAZIONE Ruoli e responsabilità Piani formativi Regole e procedure Monitoraggio No Si Si TECNOLOGIE Sicurezza risorse tecnologiche Analisi minacce Individuazione vulnerabilità Implementazione contromisure? No Si La sicurezza delle informazioni, condizionando ogni attività aziendale, deve essere prevista nella progettazione della struttura organizzativa, delle singole posizioni di lavoro e delle relazioni che favoriscono i rapporti fra le persone. Responsabile della sicurezza, responsabili e incaricati dei trattamenti, responsabili delle infrastrutture informatiche e dei sistemi informativi, sono ruoli fondamentali che, nell attuale contesto 9

10 competitivo e normativo, devono essere chiaramente identificati e considerati nella progettazione organizzativa. Il compimento di un ampio piano di sicurezza comporta la creazione e il mantenimento di un clima organizzativo nel quale ciascun soggetto, dal top management ai livelli operativi, sia fortemente motivato a rimuovere tutti i vincoli incardinati su attività ripetitive e passive, e che porti alla condivisione degli obiettivi e alla proposizione di innovativi percorsi risolutivi. Il ruolo ricoperto dalla risorsa umana impone nuovi modelli di gestione del personale che, attraverso la diffusione di informazioni e competenze, coinvolgano tutti gli attori della sicurezza. I responsabili di alto livello devono essere formati per interpretare il ruolo di «testimoni della sicurezza»; è, inoltre, indispensabile lo sviluppo di una più attenta qualità nella gestione delle persone come prerequisito per attivare la collaborazione e responsabilizzazione diffusa sui temi della sicurezza. La sicurezza è una cultura continua e una pratica costante da affidare a responsabili in grado di impostare correttamente piani strategici e programmi operativi articolati, nella consapevolezza che, comunque, una notevole parte rimane affidata allo scrupolo e alla preparazione di tutti gli utenti. 5. Il sistema di gestione per la sicurezza delle informazioni Un «Sistema di Gestione della Sicurezza delle informazioni» (SGSI), stabilendo obiettivi e politiche di sicurezza, rappresenta un approccio sistemico alla gestione della sicurezza informatica comprendendo risorse umane, processi aziendali e sistemi informativi. Gli enti internazionali di normazione hanno individuato (in particolare nella norma BS :2002) i passi fondamentali per l attuazione di un SGSI, promuovendo l approccio basato sui processi e richiamando i principi basilari contenuti nelle norme per la gestione della qualità. L approccio per processi applicato a un SGSI consente di: - identificare le esigenze di sicurezza informatica e comprendere l importanza di stabilire gli obiettivi e di definire una politica di sicurezza; - mettere in luce la necessità di implementare e controllare la gestione del rischio globale aziendale; - comprendere la rilevanza del costante monitoraggio e riesame delle performance e dell efficacia del SGSI; - focalizzare l attenzione e l impegno sul miglioramento continuo basato su misurazioni oggettive. Il SGSI si basa sul modello Plan, Do, Check, Act (PDCA), metodologia che guida il processo di mantenimento e di miglioramento continuo applicabile a ogni livello dell azienda (in particolare al sistema dei processi e a ogni singolo processo). Il PDCA si realizza attraverso un azione ciclica basata sulla reiterazione sequenziale delle quattro 10

11 fasi, strettamente associate con la pianificazione, l attuazione, il controllo e il miglioramento continuo. Un SGSI è costituito da quattro macroprocessi fondamentali (Figura 2): 1) Pianificare e progettare un SGSI (Plan) 2) Implementare e attuare un SGSI (Do) 3) Controllare e riesaminare il SGSI (Check) 4) Mantenere e migliorare il SGSI (Act). FIGURA 2 Il modello PDCA applicato al sistema per la sicurezza delle informazioni PLAN Pianificare e progettare Requisiti delle parti interessate DO Implementare e attuare Ciclo di sviluppo, mantenimento e miglioramento del SGSI Mantenere e migliorare ACT Requisiti delle parti interessate Esigenze e aspettative della sicurezza delle informazioni Fonte: BS :2002 Controllare e riesaminare CHECK Sicurezza del sistema delle informazioni 5.1. Pianificare e progettare un SGSI (Plan) In questo primo macroprocesso è necessario definire la portata, l ambito di applicazione del SGSI, tenendo conto delle caratteristiche dell organizzazione, del business, delle risorse da proteggere e delle tecnologie. Il campo d azione del SGSI può riguardare tutta l impresa, oppure parti della stessa (specifici rami, sistemi, aree) ma, in ogni caso, deve estendersi a tutti i sistemi informativi coinvolti e alle loro vie d accesso. Determinata la politica di sicurezza delle informazioni e portata a conoscenza di tutto il personale, si individuano le responsabilità, le risorse da impiegare, il patrimonio informativo da proteggere, coerentemente con i riferimenti normativi e legislativi cui ottemperare. 11

12 Il principio che deve guidare ogni politica di sicurezza dei sistemi informativi è quello per cui le azioni intraprese e le misure adottate devono sempre essere commisurate ai danni provocati dalla perdita o alterazione del patrimonio informativo. La gestione del rischio (risk management) è un aspetto che riveste un estrema importanza nella definizione di una strategia di sicurezza; oltre a riconoscere e gestire gli eventi potenzialmente dannosi, è utile anche a individuare le eventuali opportunità che altrimenti non verrebbero riconosciute e sfruttate. La gestione dei rischi risponde, quindi, sia a esigenze esterne, quali evitare gravi difficoltà dovute a sistemi di presidio dei rischi inefficaci o esposizioni a responsabilità amministrative o penali, che a esigenze interne, quali il collegamento tra obiettivi e rischi (scoprendo, cioè, i rischi che possono impedire il raggiungimento degli obiettivi), la razionalizzazione delle risorse, l identificazione delle opportunità, la riduzione di eventuali imprevisti e perdite, la valutazione dell affidabilità delle informazioni, l ottemperanza agli adempimenti normativi. Nel processo di gestione del rischio si distinguono le fasi di: - analisi del rischio (risk assessment), a sua volta articolata nell individuazione dei processi chiave, nell inventariazione e valutazione delle risorse (asset) da proteggere, nell identificazione e valutazione delle probabili minacce (in termini di metodi, strumenti e tecniche di attacco), nel riconoscimento delle vulnerabilità del sistema in relazione a minacce note e nell accertamento dei rischi; - controllo del rischio, selezionando e attuando le contromisure di sicurezza che meglio soddisfano le esigenze messe in luce nella fase precedente, nel rispetto dei vincoli economici stabiliti. Le misure implementate consentono di limitare il rischio attraverso la minimizzazione dei punti di debolezza del sistema e degli asset aziendali e delle minacce conseguenti. Il processo si conclude con il calcolo del rischio residuo e, per la parte considerata non accettabile, si valutano diverse opzioni come, ad esempio, il trasferimento a terzi dei danni derivanti dalla manifestazione di eventi negativi attraverso la stipula di polizze assicurative L analisi del rischio L analisi del rischio è definibile come la valutazione delle minacce, degli impatti e delle vulnerabilità delle informazioni e degli strumenti informatici e della probabilità del loro verificarsi. Affinché un asset informativo sia soggetto a un rischio di sicurezza, occorre che una minaccia, tramite un agente ostile, capace di sfruttare una vulnerabilità presente nella risorsa esaminata, possa recare danno in termini di: integrità, riservatezza o disponibilità 5. 5 Cfr. R. IMPERIALI, Codice della privacy: commento alla normativa sulla protezione dei dati personali, Ed. Il Sole 24 Ore, Milano, 2004, pag

13 L analisi dei rischi assume una rilevanza fondamentale in quanto i risultati dell indagine influenzeranno profondamente le scelte da effettuare e le misure da implementare per una conforme gestione del rischio (rispetto al valore attribuito alle risorse da proteggere); tende a individuare i controlli di sicurezza da implementare attraverso l applicazione degli standard internazionali valorizzando esperienze consolidate e, nel contempo, indicare modalità operative agevolmente adattabili a contesti specifici. Un utile supporto alle diverse fasi del processo di analisi dei rischi è costituito da un aggiornato database dei rischi nel quale devono confluire i dati provenienti da metodica, costante, completa e tempestiva documentazione degli incidenti, dei luoghi e dei tempi nei quali sono avvenuti, delle ragioni per le quali si sono manifestati. Per l analisi dei rischi la prassi consolidata prevede le seguenti fasi: A) l individuazione dei processi chiave; B) l identificazione e la valutazione degli asset aziendali; C) l identificazione e la valutazione delle minacce; D) l identificazione e la valutazione delle vulnerabilità; E) l accertamento dei rischi. A) L individuazione dei processi chiave Nella prima fase occorre capire quali sono gli elementi che risultano fondamentali per lo svolgimento della gestione aziendale in condizioni di efficacia e di efficienza, quali sono i processi basilari ai fini del mantenimento e del miglioramento di un adeguata capacità competitiva e su quali informazioni critiche si deve fare affidamento per il raggiungimento degli obiettivi definiti nella pianificazione strategica. Per questa ragione, è necessario predisporre una rappresentazione dell azienda come «sistema di processi». Rappresentare i processi significa individuarne gli elementi distintivi facilitando la comprensione dello svolgimento delle attività e dell ordine con cui vengono svolte, le unità organizzative interessate, gli input e gli output del processo, le risorse impiegate e l insieme ordinato dei flussi informativi che si generano. I processi di business, costituenti la catena del valore, devono essere declinati in «processi organizzativi», per descrivere il reale funzionamento dell azienda (con particolare riferimento alle attività svolte), e in «processi informatici», per delineare il modo di operare delle soluzioni informatiche nel rispetto delle regole di gestione e il livello di cooperazione (più o meno dettagliato) dei trattamenti informatici assegnati alle risorse architetturali. Per individuare il contesto da sottoporre all analisi dei rischi è indispensabile rappresentare la mappa delle soluzioni informatiche congiunta con il sistema di processi che si svolgono in azienda. 13

14 Attraverso le attuali soluzioni informatiche si possono analizzare e modellare i sistemi informativi e le loro relazioni con i processi di business, costruendo un architettura di riferimento e definendo una mappa dei sistemi informativi e dei flussi di dati. Disponendo di una visione chiara dei componenti dell architettura e del modo in cui questi interagiscono con i processi interni ed esterni, è possibile ottimizzare le proprie risorse tecnologiche a supporto dei processi critici, organizzare i progetti di miglioramento o di nuovi servizi, gestire in modo efficace l evoluzione del sistema, sempre avendo una visione chiara e aggiornata delle possibili vulnerabilità delle risorse informative. Sotto il profilo tecnico, la definizione dei diagrammi riferiti all architettura del sistema informativo permette di identificare e rappresentare l hardware esistente (server, workstation, ecc.), le «macchine» sulle quali sono installati i database e le applicazioni, le reti che collegano le macchine e di descriverne le rispettive caratteristiche. B) L identificazione e la valutazione delle risorse aziendali Fra le risorse aziendali da proteggere particolare attenzione deve essere dedicata a quelle che hanno impatti con le problematiche di sicurezza: apparati tecnologici, software e database che intervengono nel trattamento delle informazioni. In analisi si possono distinguere: luoghi fisici (in cui si trovano i sistemi di elaborazione, si svolgono i trattamenti dei dati, in cui sono conservati i dati), risorse hardware, risorse dati (archivi in formato elettronico e archivi cartacei, procedure operative e di supporto, manuali, diritti d autore e piani di continuità), risorse software 6. Le risorse individuate devono essere valutate in ordine alla loro rilevanza rispetto al contributo al raggiungimento delle finalità strategiche proprie del sistema informativo e criticità in relazione all impatto sul business aziendale (una classificazione di tipo qualitativo può definire i beni «non critici», «scarsamente critici», «critici» e «ipercritici»). Soprattutto, è indispensabile classificare gli asset e attribuire loro un valore in riferimento alla tipologia di informazioni trattate e in base ai requisiti di riservatezza, integrità e disponibilità. Le operazioni compiute portano alla conoscenza del valore delle risorse inventariate stabilito in base alle conseguenze causate dalla perdita o alterazione dell asset o al costo per il ripristino o la sostituzione. L analisi dei rischi, dal punto di vista operativo, prosegue considerando, per ciascun elemento da proteggere, i fattori di rischio cui esso è esposto. Questi scaturiranno dall analisi delle minacce che possono insidiare i luoghi fisici, le risorse hardware, le risorse dati e le risorse software inventariate precedentemente. 6 Cfr. Garante per la protezione dei dati personali, Guida alla redazione del Dps, pag

15 C) L identificazione e la valutazione delle minacce Le minacce alle quali sono sottoposte le risorse aziendali, destinate ai processi di produzione delle informazioni, consistono nell eventuale capacità di atti o di eventi fortuiti ad arrecare danni, facendo leva su punti deboli o vulnerabili, che vadano a inficiare le proprietà basilari del sistema informativo. La valutazione delle minacce è il processo che porta al riconoscimento dei potenziali eventi che possono, a vario modo, nuocere al patrimonio informativo. La prima attività consiste nell individuazione e nella classificazione delle possibili minacce, effettuata in funzione della sorgente (ad esempio interna o esterna), della natura (volontaria o involontaria), della tipologia del danno che possono cagionare (con effetti diretti sulla risorsa, oppure indiretti e manifestati attraverso contaminazione, indisponibilità delle informazioni), delle varie modalità di attacco (social engineering, denial of services, software maliziosi, identificazione di password, accessi non autorizzati, ecc.) e della relativa complessità (articolazione, difficoltà di riconoscimento, ecc.). A ogni minaccia, potenzialmente dannosa per la sicurezza dei dati, individuata e classificata, si associano degli indicatori al fine di valutare globalmente le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. A questo punto, se si vuole avere una prima stima intorno ai pericoli più o meno imminenti e pertinenti a ogni risorsa, si possono attribuire, a ogni risorsa prima censita e valutata (in base alla classe di criticità dell informazione in funzione della riservatezza, integrità e disponibilità), gli indicatori relativi al livello di esposizione alle minacce. D) L identificazione e la valutazione delle vulnerabilità La classificazione delle possibili minacce porta alla valutazione dei punti di debolezza che possono essere illecitamente o accidentalmente utilizzati durante un attacco; la vulnerabilità, infatti, origina danni solo se vi è una corrispondente minaccia che la sfrutta. Le vulnerabilità sono fortemente riconducibili alle caratteristiche e alle proprietà delle risorse, e consistono in una condizione dell ambiente fisico e tecnologico che consente alla minaccia di concretizzarsi; si riscontrano negli aspetti tecnici e di natura organizzativa connessi allo svolgimento dei processi e delle procedure e al fattore umano che li sovraintende. Nella fase di identificazione si individuano, classificandole, le vulnerabilità che possono essere minacciate, per poi valutarle, assegnando, con coerenti criteri di misurazione, adeguati parametri riferiti alla fragilità e agevolezza con la quale possono essere scoperte e sfruttate e all impatto dannoso che ne deriverebbe. 15

16 Le vulnerabilità possono attribuirsi alla collocazione geografica delle risorse e ai luoghi fisici dove sono collocate le infrastrutture e dove si realizzano i processi aziendali, o all ambiente tecnologico. Il fattore umano rappresenta, spesso, una delle più rilevanti vulnerabilità (scarso livello di sensibilizzazione e competenza del personale, incuria nell utilizzo degli strumenti, ecc). La vulnerabilità può essere stimata secondo una scala di valori che tenga in considerazione la maggiore o minore semplicità con la quale le minacce possono introdursi. E) L accertamento dei rischi L obiettivo, e passo conclusivo della fase di analisi dei rischi, è la definizione della misura del rischio. La misura del rischio scaturisce dall effetto combinato dei suoi fattori determinanti: il valore attribuito a ogni risorsa, il livello delle minacce e l entità delle vulnerabilità correlate. Per ottenere una valutazione del rischio globale che tenga conto della probabilità che le minacce, sfruttando le vulnerabilità, provochino un impatto dannoso sulle risorse aziendali, è proficuo costruire la matrice di rischio di Tavola 1. TAVOLA 1 Matrice del rischio incombente sulle risorse Minacce Risorse Risorsa A Risorsa B Risorsa C Risorsa Minaccia 1 Minaccia 2 Minaccia Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio 16

17 L operatore che deve esprimere la valutazione ben conscio che la matrice accoglie termini quali-quantitativi di natura soggettiva se ne avvale come valido supporto per la sistematizzazione delle diverse variabili e delle stime intermedie e la considera una solida base per esprimere l apprezzamento sulla necessità di misure di sicurezza e per fornire, anche alla luce della professionalità e dell esperienza personali, una scala di priorità, che, tenute in considerazione le sempre limitate risorse, orientino la scelta dei provvedimenti da adottare Il controllo del rischio I risultati conseguiti nell analisi dei rischi portano alla determinazione di adeguate contromisure di sicurezza allo scopo di ridurre il livello delle vulnerabilità presenti e di evitare, o contenere, gli effetti dannosi dei rischi valutati e, per quanto possibile, ridurre le probabilità di manifestazione degli eventi. Una contromisura consiste in uno specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche nelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Durante la fase del controllo del rischio, intrinsecamente collegata a quella di analisi e valutazione, viene definito il livello massimo di rischio accettabile e vengono individuate le strategie da adottare per ridurre il rischio al di sotto di tale livello. Un rischio è ritenuto accettabile quando gli oneri per proteggere le risorse sono stimati eccessivi in relazione al valore della risorsa da proteggere. Nel considerare il valore della risorsa da proteggere è indispensabile contemplare non solo il valore intrinseco del bene, ma, soprattutto, l importanza della sua funzione per lo svolgimento delle attività e dei processi più o meno critici per il raggiungimento delle finalità aziendali. Le contromisure che vengono individuate rappresentano il profilo di protezione di ciascun asset. La selezione di opportune misure di sicurezza deve tener conto del livello dei rischi associati a ciascuna minaccia individuata e del grado di sicurezza che la contromisura può assicurare; la stima e il confronto con le misure già esistenti permette di riconoscere eventuali lacune o ridondanze. Concretamente il controllo del rischio può prevedere azioni proiettate a: - evitare il rischio. Pur essendo di difficile attuazione, si eludono le attività che portano ad affrontare in vario modo fattori pericolosi, eliminando, all origine, la causa del rischio; - ridurre il rischio. Essendo tutt altro che agevole eliminare sistematicamente il rischio, si agisce sulle componenti dello stesso cercando di ridurre la probabilità che si verifichi l evento dannoso e/o l impatto che questo avrebbe sulle risorse. Il rischio 17

18 residuo deve essere ricondotto a un livello minore di quello ritenuto accettabile. Ciò sottintende la scelta e l attuazione di contromisure appropriate; - accettare il rischio. Nella consapevolezza che non è possibile innalzare barriere che rendano un sistema completamente sicuro (a motivo anche dei costi per le strutture e per l eccessivo rallentamento che molte procedure operative subirebbero), bisogna prendere in considerazione l eventualità che l accadimento dannoso si verifichi e accollarsene responsabilmente le conseguenze e gli oneri derivanti; - trasferire il rischio, o meglio, le conseguenze onerose derivanti dalla manifestazione del rischio. FIGURA 3 Rappresentazione grafica dei possibili interventi per ridurre il rischio Probabilità Rischio iniziale Rischio residuo Impatto Vulnerabilità Per ridurre l esposizione al rischio si ricorre a provvedimenti concernenti la prevenzione e la protezione. Le misure di prevenzione riguardano quel complesso di interventi indirizzati a contrastare il verificarsi di accadimenti avversi, posti in essere per ridurre la probabilità dell avverarsi dell evento dannoso. La natura di salvaguardia delle misure impone che, per minimizzare i rischi, esse siano adottate in via preventiva. I meccanismi di prevenzione rafforzano la difesa durante l operatività del sistema attraverso un azione cautelativa, volta a non rendere possibili situazioni potenzialmente pericolose. 18

19 Per proteggere le risorse si ricorre a interventi al fine di rendere minimi i danni nel caso in cui l evento temuto abbia la possibilità di manifestarsi. In altri termini, si tende a ridurre l effetto dell impatto sulla risorsa. Il giusto equilibrio tra misure di prevenzione e misure di protezione va ricercato, per ogni rischio specifico o per classi omogenee di rischi, considerando se è più rilevante la componente relativa alla frequenza di manifestazione delle minacce oppure se è più opportuno incidere sulle ricadute negative che gli inconvenienti comportano. Gli aspetti da considerare per vagliare le contromisure appropriate sono: l idoneità a ostacolare i rischi individuati; la conformità agli standard di sicurezza e ai modelli di riferimento definiti dalle norme specifiche (criteri TCSEC, ITSEC, ISO 17799, BS 7799); il livello di rischio residuo considerato accettabile; l impatto economico conseguente all implementazione e al mantenimento rapportato al valore della risorsa da proteggere. Un piano per la protezione efficace e completo dovrà basarsi su interventi inerenti l organizzazione e su strumenti e tecniche per la sicurezza delle reti e delle apparecchiature per l elaborazione delle informazioni Implementare e attuare un SGSI (Do) In questo macroprocesso trovano attuazione le politiche di sicurezza definite, le contromisure selezionate, i controlli stabiliti, le procedure da seguire. L impegno dell organizzazione è, quindi, rivolto a: - formulare e implementare un piano di gestione del rischio che individui le idonee azioni da intraprendere, i ruoli e le responsabilità del personale coinvolto, le risorse necessarie; - adottare le contromisure vagliate; - sviluppare programmi per la formazione e la sensibilizzazione del personale alle problematiche della sicurezza, determinando le competenze necessarie a svolgere i diversi incarichi e compiti, provvedendo alla preparazione di personale idoneo ad assumere tali ruoli, documentando il processo di addestramento e acquisizione di capacità, esperienza e consapevolezza; - gestire le attività svolte e le risorse necessarie a implementare, governare e mantenere il SGSI, ad attuare validi metodi per garantire la sicurezza informatica, a ottemperare precise disposizioni normative e legislative, ad adempiere alle obbligazioni contrattuali, a realizzare correttamente i controlli previsti, a revisionare il sistema (in caso di necessità) e intraprendere adeguate azioni correttive; - applicare le misure e i controlli che consentano una rapida individuazione di incidenti riguardanti la sicurezza informatica e che offrano tempestive opportunità di intervento. 19

20 5.3. Controllare e riesaminare il SGSI (Check) La verifica dell efficacia e della validità nel tempo delle misure di sicurezza adottate è una fase fondamentale del processo della gestione della sicurezza; infatti, in un contesto tecnologico in rapida evoluzione è necessario avere le massime garanzie circa l adeguatezza delle difese impiegate con particolare riferimento alla varietà delle sempre nuove minacce e alla prontezza con la quale si individuano e sfruttano nuove vulnerabilità. Il costante monitoraggio permette di comprendere se le contromisure sono effettivamente in grado di ridurre il rischio fino ai livelli desiderati e di rilevare tempestivamente eventuali aggressioni che palesino vulnerabilità non considerate in fase di analisi dei rischi, sottostime degli impatti delle minacce, errori nei parametri per il calcolo del livello di rischio, oppure difetti negli strumenti di protezione o scorrettezze nell attivazione degli stessi. Il processo deve, quindi, fornire le informazioni necessarie affinché possano essere avviate idonee azioni correttive. Il processo di verifica è contemporaneamente un processo di apprendimento che dovrà avvalersi di efficaci strumenti di segnalazione degli incidenti e che richiede la creazione di una banca dati nella quale tali segnalazioni sono raccolte, insieme a ogni altra informazione ritenuta utile ai fini di una completa comprensione delle cause degli incidenti stessi. All arricchirsi della banca dati degli incidenti, le informazioni raccolte permetteranno di affinare la conoscenza statistica dei fenomeni di interesse e, sulla base del confronto tra i valori attesi del danno e l entità del danno effettivamente subito, monitorare costantemente la validità delle soluzioni adottate al variare nel tempo delle condizioni 7. Le verifiche riguardo la conformità degli standard di sicurezza fisica, logica e organizzativa e delle norme comportamentali stabilite nelle politiche di sicurezza con quanto effettivamente reso operante (audit di sicurezza), devono compiersi con periodicità fissa, richiedono competenze specifiche e l impiego di personale di elevata professionalità. L auditing richiede, come prerequisito, che l azienda si sia dotata di regole scritte e abbia definito ruoli e responsabilità; inoltre, è opportuno che tali verifiche vengano svolte da personale non direttamente responsabile del sistema informativo oggetto di verifica. Spesso l audit di sicurezza, proprio per garantire un esame imparziale e incondizionato, viene commissionato ad aziende esterne specializzate con comprovata esperienza o a enti di certificazione. Le verifiche di sicurezza forniscono una fonte oggettiva di dati che, presentati senza filtri al top management, vengono utilizzati per individuare azioni correttive. Tutte le informazioni rilevate dovranno confluire nell analisi del rischio e dovranno essere di supporto al management per poter individuare gli interventi da compiere. 7 Periodi tratti da ISCOM, La sicurezza delle reti nelle infrastrutture critiche, 2005, pag

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE PREMESSA Il tema della Sicurezza dei Sistemi Informativi Automatizzati è un tema di fondamentale importanza e la recente

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001 PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA BS OHSAS 18001 (ed. 2007) Rev. 0 del 13/01/09 1/10 progetto Tecnico OHSAS 18001 Premessa La norma OHSAS 18001 rappresenta uno

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 20 gennaio 2009 INDICE Sezione Contenuto 1. Il programma Responsible Care: scopo e campo di applicazione

Dettagli

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE Sistema di gestione UNI EN ISO 9001 MANUALE DI QUALITÀ INTRODUZIONE MAN-00 Organizzazione AZIENDA s.p.a. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 Web : www.nomeazienda.it

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011 Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo 14 Aprile 2011 LA COMPLIANCE : DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO 1. Il tema della

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

I Sistemi di Gestione per la Sicurezza

I Sistemi di Gestione per la Sicurezza I Sistemi di Gestione per la Sicurezza OHSAS 18001, Rischi Rilevanti, Antincendio, Sistemi di Gestione Integrati Luca Fiorentini TECSA Sommario Presentazione... 9 1. INTRODUZIONE 15 2. SCOPO E CAMPO DI

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

L approccio per processi è uno dei principi fondamentali per la gestione della qualità.

L approccio per processi è uno dei principi fondamentali per la gestione della qualità. Esempio 3: approfondimento gestione per processi Nell ambito di un organizzazione, l adozione di un sistema di processi, unitamente alla loro identificazione, interazione e gestione, è chiamata approccio

Dettagli

NOTE E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI STRATEGIA E FUNZIONALITÀ

NOTE E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI STRATEGIA E FUNZIONALITÀ LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) STRATEGIA E FUNZIONALITÀ L INTEGRAZIONE DELLE ATTIVITÀ LA COMUNICAZIONE TRA LE UNITA AZIENDALI I PROCESSI DECISIONALI RILEVANZA

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Reti e sistemi informativi II Il ruolo delle IT nell organizzazione

Reti e sistemi informativi II Il ruolo delle IT nell organizzazione Reti e sistemi informativi II Il ruolo delle IT nell organizzazione Prof. Andrea Borghesan & Dr.ssa Francesca Colgato venus.unive.it/borg borg@unive.it Ricevimento: mercoledì dalle 10.00 alle 11.00 Modalità

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Le sfide future per il Facility Management: l open facility management come nuova soluzione

Le sfide future per il Facility Management: l open facility management come nuova soluzione CHE COS È IL FACILITY MANAGEMENT Il Facility Management è una disciplina in continua evoluzione ed infatti in un contesto altamente dinamico, tipico della società odierna, si trova a dover interpretare

Dettagli

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO Pag. 1 di 8 Consorzio Train Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO conforme ai requisiti del D.lgs. 8 giugno 2001, n. 231, e smi Codice Etico Pag. 2 di 8 CAPITOLO 1 INTRODUZIONE 1.1 FINALITA, CONTENUTI

Dettagli

E. Struttura e organizzazione del sistema

E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E.1 Sistema di gestione L azienda dovrebbe strutturare il SGSL seguendo i contenuti espressi nel presente documento,

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

I riflessi sugli assetti gestionali e organizzativi

I riflessi sugli assetti gestionali e organizzativi I riflessi sugli assetti gestionali e organizzativi III 1 La sostenibilità del piano strategico e i riflessi sul finanziamento dell Istituto Come sottolineato nella Premessa, la capacità della Consob di

Dettagli

PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM. I.C. San Francesco di Paola Messina MEIC86500V

PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM. I.C. San Francesco di Paola Messina MEIC86500V PERCORSO FACILE CAF FEEDBACK REPORT INTEGRATO RAV E PDM CODICE MECCANOGRAFICO SCUOLA AMBITO DI AV DELLA SCUOLA* MEIC86500V I.C. San Francesco di Paola Messina (X ) COMPLETO - ( ) PARZIALE MARZO 2015 1

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

OH&SAS Requisiti. 1. Scopo e Campo di Applicazione. 2 Riferimenti. 3 Termini e definizioni. 3.1 rischio accettabile (acceptable risk) 3.

OH&SAS Requisiti. 1. Scopo e Campo di Applicazione. 2 Riferimenti. 3 Termini e definizioni. 3.1 rischio accettabile (acceptable risk) 3. OH&SAS Requisiti 1. Scopo e Campo di Applicazione Questa Norma della serie Occupational Healt and Safety Assessment (OHSAS) specifica i requisiti per un Sistema di Gestione della Salute e della Sicurezza

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA. UNI EN ISO 14001 (ed. 2004) 1/9 progetto Tecnico ISO 14001-2004

PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA. UNI EN ISO 14001 (ed. 2004) 1/9 progetto Tecnico ISO 14001-2004 PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA UNI EN ISO 14001 (ed. 2004) Rev. 01 del 30/09/06 1/9 progetto Tecnico ISO 14001-2004 La Norma Internazionale UNI EN ISO 14001 specifica

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA

TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE INDUSTRIA E ARTIGIANATO TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

brugherio (mb) POLITICA AZIENDALE

brugherio (mb) POLITICA AZIENDALE brugherio (mb) POLITICA AZIENDALE Brugherio, 20 gennaio 2015 piomboleghe srl via eratostene, 1-20861 brugherio (mb) tel. 039289561, fax. 039880244 info@piomboleghe.it www.piomboleghe.it cap. soc. 1.300.000,00

Dettagli

IL SISTEMA INFORMATIVO AZIENDALE

IL SISTEMA INFORMATIVO AZIENDALE IL SISTEMA INFORMATIVO AZIENDALE CL. 5ATP - A.S. 2006/2007 L azienda e i suoi elementi PERSONE AZIENDA BENI ECONOMICI ORGANIZZAZIONE L azienda è un insieme di beni organizzati e coordinati dall imprenditore

Dettagli

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING)

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) L IMPATTO SULLA GESTIONE LA MISURAZIONE DELL IMPATTO IL SUPPORTO ALLA CREAZIONE DEL VALORE L INTEGRAZIONE ESIGENZE DEL BUSINESS

Dettagli

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA

Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 GOVERNANCE ORGANIZZATIVA Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 Rev. 1-20/10/2010 GOVERNANCE ORGANIZZATIVA 1. Sistema di governance organizzativa L assetto organizzativo, amministrativo e contabile

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno Argomenti della lezione 1 - Controllo Interno: definizione e componenti 2 - Ambiente di controllo 3 - Valutazione

Dettagli

SISTEMI INFORMATIVI. Definizione, classificazioni

SISTEMI INFORMATIVI. Definizione, classificazioni SISTEMI INFORMATIVI Definizione, classificazioni IL SISTEMA INFORMATIVO AZIENDALE A cosa serve una definizione? a identificare i confini del SI a identificarne le componenti a chiarire le variabili progettuali

Dettagli

Integrazione dei processi aziendali Sistemi ERP e CRM. Alice Pavarani

Integrazione dei processi aziendali Sistemi ERP e CRM. Alice Pavarani Integrazione dei processi aziendali Sistemi ERP e CRM Alice Pavarani Un ERP rappresenta la maggiore espressione dell inseparabilità tra business ed information technology: è un mega-package di applicazioni

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

L ICT e l innovazione

L ICT e l innovazione Il valore del Project Management nei Progetti di Innovazione nelle Piccole e Medie Imprese L ICT e l innovazione Milano, 15 dicembre 2006 Enrico Masciadra, PMP emasciadra@libero.it Le cinque forze competitive

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

IL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 LA RESPONSABILITA DEGLI ENTI

IL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 LA RESPONSABILITA DEGLI ENTI Cinzia Dalla Riva IL DECRETO LEGISLATIVO 8 GIUGNO 2001, N 231 LA RESPONSABILITA DEGLI ENTI Disciplina la responsabilità amministrativa degli enti per gli illeciti amministrativi dipendenti da reato (reato

Dettagli

ELEMENTI DI MISURAZIONE DELL EFFICACIA

ELEMENTI DI MISURAZIONE DELL EFFICACIA ELEMENTI DI MISURAZIONE DELL EFFICACIA La misurazione delle prestazioni (cd. performance) associate ad un qualsiasi processo o azione manageriale si può realizzare attraverso un sistema di indicatori predefiniti

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

DECRETI PRESIDENZIALI

DECRETI PRESIDENZIALI DECRETI PRESIDENZIALI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013. Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. IL PRESIDENTE DEL

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo Pagina 1 di 24 INTRODUZIONE SEZ 0 Manuale Operativo DOCUMENTO TECNICO PER LA CERTIFICAZIONE DEL PROCESSO DI VENDITA DEGLI AGENTI E RAPPRESENTANTI DI COMMERCIO OPERANTI PRESSO UN AGENZIA DI RAPPRESENTANZA:

Dettagli

La norma UNI ISO 31000:2010 Gestione del rischio

La norma UNI ISO 31000:2010 Gestione del rischio La norma UNI ISO 31000:2010 Gestione del rischio Principi e linee guida La gestione del rischio è un obiettivo a cui ogni impresa attenta agli aspetti preventivi dovrebbe tendere e che ogni cliente dovrebbe

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

SISTEMA INFORMATIVO AZIENDALE. Definizione, classificazioni

SISTEMA INFORMATIVO AZIENDALE. Definizione, classificazioni SISTEMA INFORMATIVO AZIENDALE Definizione, classificazioni IL SISTEMA INFORMATIVO AZIENDALE A cosa serve una definizione? Esistono diverse prospettive tecnica, organizzativa, della comunicazione e quindi

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS

CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS Ing. Sandro Picchiolutto IL SISTEMA DI GESTIONE DELL ENERGIA PREMESSE I Servizi costituiscono il 70% del PIL e della occupazione

Dettagli

Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale

Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale VERONICA PETITT Matricola 710766 Iscritta al 2 anno 2008/09 Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale Esame di: Psicologia della formazione e dell orientamento

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

DOCUMENTO SULLA POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI E DI TUTELA DELLA SALUTE E SICUREZZA DEI LAVORATORI E DELL AMBIENTE

DOCUMENTO SULLA POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI E DI TUTELA DELLA SALUTE E SICUREZZA DEI LAVORATORI E DELL AMBIENTE 0 PREMESSA La scienza dei trattamenti galvanici e di verniciatura e le attinenti applicazioni industriali sono relativamente antiche. Il progresso delle conoscenze in campo medico e scientifico ha evidenziato

Dettagli

DALLERA BIGLIERI RECUPERI SRL

DALLERA BIGLIERI RECUPERI SRL Edizione nr. 02 Revisione nr. 01 Data: 26 / 08 / 2010 DALLERA BIGLIERI SRL MANUALE SISTEMA DI GESTIONE INTEGRATO PER LA QUALITÀ E L AMBIENTE DISTRIBUZIONE REDATTO IN CONFORMITÀ ALLE NORME UNI EN ISO 9001:2008

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale Pianificare Sicurezza e Privacy Dott.ssa Priscilla Dusi Consulente Aziendale La sicurezza è il cardine della tutela dei dati personali. E non è tema su cui è possibile improvvisare. Le implicazioni sono

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

La Politica Integrata del Gruppo Terna

La Politica Integrata del Gruppo Terna La Politica Integrata del Gruppo Terna Il Gruppo Terna ritiene indispensabili per lo sviluppo delle proprie attività, la qualità dei propri processi, la tutela dell ambiente, la salute e la sicurezza dei

Dettagli

Verifica dei Risultati Analisi e Miglioramento della Qualità

Verifica dei Risultati Analisi e Miglioramento della Qualità Supporto ad azioni di miglioramento del sistema di gestione qualità di SerT e strutture accreditate per soggetti dipendenti da sostanze d abuso Verifica dei Risultati Analisi e Miglioramento della Qualità

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto

Dettagli

IL PROGETTO QUALITA TOTALE 2007-2013

IL PROGETTO QUALITA TOTALE 2007-2013 UNIONE EUROPEA IL PROGETTO QUALITA TOTALE 2007-2013 Sentirsi protagonisti per il successo del progetto MODULO II Strumenti e iniziative per lo sviluppo del progetto 16 luglio 2009 Indice Il percorso nell

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE

PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE PIANIFICAZIONE STRATEGICA, QUALITA, CONTROLLO DI GESTIONE Alessandra Damiani Managing Partner di Barbieri & Associati Dottori Commercialisti Consulente per l Organizzazione degli Studi professionali 1

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi. Introduzione ai sistemi informativi. Cosa è un Sistema Informativo

Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi. Introduzione ai sistemi informativi. Cosa è un Sistema Informativo Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi Obiettivi La struttura di un sistema informativo di una organizzazione, negli aspetti che permettono di comprenderne la relazione

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Psicologa, Psicoterapeuta, Antropologa Articolo scaricato da HT Psicologia PROJECT MANAGEMENT PROJECT MANAGEMENT: CARATTERISTICHE GENERALI

Psicologa, Psicoterapeuta, Antropologa Articolo scaricato da HT Psicologia PROJECT MANAGEMENT PROJECT MANAGEMENT: CARATTERISTICHE GENERALI Project management Pag. 1 di 5 PROJECT MANAGEMENT PROJECT MANAGEMENT: CARATTERISTICHE GENERALI I motivi per cui la metodologia di project management è attualmente ritenuta uno strumento vincente nella

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Il Regolamento si compone di 41 articoli, suddivisi in nove capi.

Il Regolamento si compone di 41 articoli, suddivisi in nove capi. RELAZIONE REGOLAMENTO N. 20 DEL 26 MARZO 2008 RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE, AI

Dettagli

Introduzione alla norma UNI EN CEI ISO 50001:2011

Introduzione alla norma UNI EN CEI ISO 50001:2011 Ordine degli Ingegneri della Provincia di Roma Seminario di introduzione alla norma ISO 50001 ed ai Sistemi di Gestione per l Energia Integrazione con la legislazione Roma, 16/03/2016 Introduzione alla

Dettagli

3 DECALOGO DELLA QUALITÀ

3 DECALOGO DELLA QUALITÀ GENERALITÀ 1 / 10 Sommario Generalità 1 Politica della Qualità 3 DECALOGO DELLA QUALITÀ 4 Politica Ambientale PREVENZIONE 7 FORMAZIONE CULTURA ED ATTEGGIAMENTO 8 COMUNICAZIONE 8 COLLABORAZIONE CON FORNITORI

Dettagli

Processi di Business e Sistemi di Gestione di Workflow: concetti di base. Prof. Giancarlo Fortino g.fortino@unical.it

Processi di Business e Sistemi di Gestione di Workflow: concetti di base. Prof. Giancarlo Fortino g.fortino@unical.it Processi di Business e Sistemi di Gestione di Workflow: concetti di base Prof. Giancarlo Fortino g.fortino@unical.it Introduzione Le aziende devono modificare la loro organizzazione per cogliere le nuove

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08. di Paolo Bellotti

I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08. di Paolo Bellotti I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08 di Paolo Bellotti Premessa In questi ultimi anni si è fatto un gran parlare dei sistemi di

Dettagli

Fabio Iraldo GEO Green Economy Observatory Università Bocconi

Fabio Iraldo GEO Green Economy Observatory Università Bocconi I nuovi modelli di gestione del rischio ambientale Come le fattispecie di reato introdotte dalla Legge 68/15 modificano i modelli di prevenzione del rischio e relazione con i sistemi di gestione ambientale

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ

PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ PER UNA PUBBLICA AMMINISTRAZIONE DI QUALITÀ La qualità dei servizi e delle politiche pubbliche è essenziale per la competitività del sistema economico e per il miglioramento delle condizioni di vita dei

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli