La sicurezza dei sistemi informativi aziendali

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La sicurezza dei sistemi informativi aziendali"

Transcript

1 DIPSIT D i p a r t i m e n t o d i S t u d i p e r l I m p r e s a e i l T e r r i t o r i o La sicurezza dei sistemi informativi aziendali Roberto Candiotto Working paper n. 19, luglio 2006

2 Abstract L elevato sviluppo tecnologico ha reso confortevole, sicura e gradevole buona parte del mondo occidentale, ma gli stessi progressi (nel settore dell Ict, nella mobilità e nella facilità di trasporto) portano come effetto collaterale un elevata vulnerabilità. I più recenti sviluppi degli strumenti offerti dalle tecnologie della comunicazione e dell informazione hanno favorito l adozione di sistemi aziendali progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale e ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e i legami fra i processi gestionali. L imponente utilizzo di infrastrutture informatiche per creare, conservare e scambiare dati comporta, per contro, una continua e intensa esposizione a rischi. Il problema della sicurezza informatica deve essere affrontato dalle aziende secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi, economici e legali. Il «sistema di gestione per la sicurezza delle informazioni», articolato nei macroprocessi di pianificazione, implementazione, riesame e miglioramento, rappresenta un approccio idoneo per monitorare costantemente i processi aziendali e i sistemi informativi, garantendo il coinvolgimento delle risorse umane. 2

3 ROBERTO CANDIOTTO Professore associato presso la Facoltà di Economia di Novara dell Università del Piemonte Orientale LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI SOMMARIO: 1. Premessa - 2. I sistemi informativi aziendali - 3. La sicurezza dei sistemi informativi aziendali - 4. L approccio sistemico alla sicurezza delle informazioni aziendali - 5. Il sistema di gestione per la sicurezza delle informazioni 6. Conclusioni. 1. Premessa Le infrastrutture informatiche sono il mezzo più usato per creare, conservare e scambiare informazioni e una molteplicità di apparati digitali interconnessi controllano i gangli vitali dell attuale sistema sociale. Attacchi o manomissioni alle infrastrutture sulle quali sono basati i sistemi informativi possono innescare eventi negativi a catena, con conseguenze di amplissima portata. Nella «società dell informazione», aperta e interdipendente, la sicurezza è un elemento indispensabile. Attualmente, l impatto tecnologico sulla vita economico-sociale e sull ambiente di riferimento delle aziende è inevitabile. Subire passivamente questa radicale e ineluttabile evoluzione corrisponde all incapacità dei responsabili aziendali di coglierne compiutamente i molteplici vantaggi. Allo stesso tempo, occorre confrontarsi con i problemi della sicurezza informatica, considerato che le nuove tecnologie, da cui non si può più prescindere, pena una incontrovertibile perdita di competitività, oltre agli straordinari aspetti positivi, spesso implicano potenziali rischi. Il crescente ricorso alle tecnologie dell informazione e della comunicazione intrapreso dalle aziende comporta l esposizione a rischi, attacchi e minacce che, se non adeguatamente analizzati, valutati e affrontati, possono avere conseguenze negative, non soltanto in termini economici immediati, ma anche relativamente all immagine, al personale, alla perdita del patrimonio informativo e, conseguentemente, della competitività. Nasce, pertanto, la necessità per ogni organizzazione di proteggere i dati e le informazioni posseduti e trattati al fine di garantire la continuità del business e minimizzare le perdite della «non sicurezza» 1. 1 I costi della non sicurezza sono difficilmente calcolabili, ma si può facilmente stimare quanto sia oneroso per un azienda il periodo di inattività della propria rete o dei server, quanti giorni di lavoro vengono persi per controllare e rivedere dati trattati erroneamente o per fronteggiare intrusioni e 3

4 Il problema della sicurezza informatica deve essere affrontato secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi (formazione e sensibilizzazione del personale, individuazione e assegnazione dei ruoli, definizione delle procedure), economici e legali (normativa comunitaria, legislazione italiana, raccomandazioni, standard di riferimento, linee guida). Inoltre, è indispensabile che venga adottato un approccio idoneo a prevenire situazioni di vulnerabilità e pericolo (risk management), nonché ad affrontare e gestire emergenze insorte in seguito al manifestarsi di eventi dannosi per il patrimonio informativo. Infine, le aziende devono amministrare in modo sicuro il sistema delle informazioni anche in ottemperanza a specifici requisiti di legge. 2. I sistemi informativi aziendali Il sistema informativo aziendale, attraverso un processo continuo di trattamento di dati rappresentativi della realtà, fornisce informazioni qualificate al fine di soddisfare esigenze conoscitive interne ed esterne all azienda 2. Il sistema informativo favorisce la produzione e la distribuzione di informazioni a tutti i soggetti che in vario modo se ne servono per svolgere i propri compiti, razionalizzando così il processo decisionale per l assunzione di consapevoli provvedimenti. Per realizzare il processo di produzione delle informazioni, il sistema informativo si avvale di risorse umane e tecnologiche e si basa su un complesso di procedure per la rilevazione dei dati, l elaborazione e la trasmissione delle informazioni. Un sistema informativo, per risultare efficace e favorire la razionalità del processo decisionale aziendale, deve essere: - affidabile, idoneo a produrre informazioni esatte, chiare, accurate, verificabili (in relazione a tutte le fasi del processo di elaborazione) e corrispondenti alla realtà dalle stesse rappresentata; - selettivo, atto a fornire informazioni qualitativamente rilevanti per i responsabili dei centri decisionali e operativi; - flessibile, in grado di adeguarsi ai mutamenti dei fabbisogni informativi di ambienti caratterizzati da incertezza e dinamicità e di promuovere l evoluzione verso le più moderne tecniche di produzione e trasmissione delle informazioni; rimediare ai danni subiti, quanto gravi siano le conseguenze derivanti dalla sottrazione illecita di informazioni su progetti di rilevanza cruciale. 2 «L informazione è la base fondamentale per una consapevole amministrazione d azienda [...]. Essa viene prodotta nell ambito del sistema informativo e quindi distribuita alle aree utenti nel contenuto, nei modi e nei tempi richiesti dalle svariate esigenze di impiego» (G. FERRERO, Impresa e management, Giuffrè, Milano, 1987, pag. 191). 4

5 - tempestivo, in modo da rendere disponibili informazioni utili e convenienti all utente finale, in relazione alla sua natura e al suo utilizzo, e offrire immediate percezioni degli accadimenti della realtà aziendale e delle sue relazioni con l ambiente; - accettato da tutti gli utenti, anche in relazione al tipo di percezione che gli stessi manifestano nei confronti della validità delle conoscenze fornite. L efficienza del sistema informativo attiene alle relazioni istituibili fra il valore delle informazioni ottenute (attitudine a sollecitare la formulazione di decisioni rapide e coerenti con gli obiettivi prefissati) e i costi sostenuti per la loro produzione (quantificabili in rapporto alla struttura del sistema informativo, alle potenzialità e prestazioni delle apparecchiature e delle applicazioni informatiche, all entità delle risorse umane impiegate nelle varie fasi del processo di trattamento dei dati, ecc.). Per conferire efficienza a un sistema informativo è opportuno osservare il «principio dell utilizzazione plurima dei dati raccolti», che consiste nella rilevazione unica dei dati in ingresso e nell uso plurimo delle conoscenze prodotte, nell intento di evitare ogni possibile duplicazione di attività 3. Gli strumenti offerti dalle tecnologie informatiche hanno dapprima trovato applicazione nell ambito delle attività aziendali di tipo operativo; l entità dei volumi di dati da elaborare e la ripetitività delle operazioni di trattamento degli stessi hanno costituito dei validi presupposti per l automazione delle procedure operative. In seguito, sono stati raggiunti significativi miglioramenti nel coordinamento e controllo delle attività di progettazione e ingegnerizzazione dei prodotti, di programmazione della produzione, di avvio e controllo dell avanzamento di produzione. La complessità e il dinamismo del quadro competitivo hanno, poi, imposto l adozione di sistemi atti a supportare le attività direzionali (con riferimento al controllo di gestione e ai sistemi di reporting) e a favorire la pianificazione strategica; sono stati, così, realizzati i sistemi di supporto alle decisioni. I più recenti sviluppi degli strumenti offerti dall Ict hanno favorito l evoluzione verso gli Enterprise Resource Planning (ERP, in Italia anche conosciuti come «sistemi informativi integrati») progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale. Le tecnologie basate sui protocolli internet, inoltre, hanno ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e il legame fra i processi gestionali inter-organizzativi. La visione sistemica delle modalità di svolgimento della gestione aziendale, presente in un applicativo integrato, è immediatamente percepibile da ogni operatore semplicemente svolgendo le proprie attività e registrando le transazioni pertinenti; la simultanea o successiva «interrogazione» del sistema informativo mostra l avanzamento della procedura e l influenza sulle attività svolte in altre aree, facilitando la visibilità 3 Cfr. P. PISONI, Il sistema informativo dell impresa, Giuffrè, Milano, 1979, pag

6 delle norme per l attuazione delle operazioni, la condivisione delle informazioni, il lavoro in team e la responsabilizzazione di ogni operatore ai risultati di processo. L accentramento dell archiviazione dei dati prodotti dalle transazioni in un unico database arricchisce enormemente la qualità delle informazioni estraibili, a seconda delle necessità dell organo decisore. Tutti gli operatori coinvolti a vario livello nella gestione aziendale, dotati di differenti autorizzazioni per l accesso, possono ritrovare le informazioni «critiche» per elaborare il processo decisionale di competenza, adeguando in modo coerente e autonomo il grado di approfondimento e gli attributi desiderati. L introduzione di un applicativo gestionale integrato, oltre a rappresentare una leva efficace per dare inizio alla revisione dei processi aziendali e al cambiamento organizzativo, costituisce una notevole opportunità per costruire una infrastruttura tecnologica in grado di evolvere nel tempo, di supportare lo sviluppo delle nuove occasioni di business e di avviare un circolo virtuoso per la continua e progressiva ottimizzazione delle performance. La tecnologia web e l espansione del commercio elettronico hanno influenzato profondamente sia i rapporti tra aziende e clienti (mercato Business-to-Consumer, B2C) sia quelli tra produttori (Business-to-Business, B2B), sia le relazioni interne (Businessto-Employee, B2E) portando alla nascita di un tipo di impresa «collaborativa», con la possibilità di creare nuove configurazioni di catene del valore e nuove opportunità di business. Per la gestione dell azienda estesa sono, così, comparsi gli E-ERP (Extended ERP) e le Enterprise Business Applications (EBA), basati sull architettura internet, con soluzioni che, integrando tecnicamente e funzionalmente i diversi attori, assecondano le interconnessioni (fisiche e logiche) e, grazie a funzionalità applicative orientate alla pianificazione della logistica integrata e a moduli che hanno lo scopo di intensificare le opportunità di comunicazione strutturata, conseguono il coordinamento dei processi aziendali con i fornitori e altri partner di servizi strategici (Supply Chain Management, SCM), con i clienti (Customer Relationship Management, CRM) e forniscono il supporto alla forza di vendita (Sales Force Automation, SFA); le informazioni sui clienti sono disponibili e aggiornate grazie ai sistemi ERP e, inversamente, le attività di vendita e previsionali alimentano la base dei dati dell applicativo. Il patrimonio informativo aziendale, alimentato da dati operazionali amministrati dagli ERP, dalle applicazioni SCM e CRM e da altre fonti qualificate (fra cui, sempre più, siti internet per le aziende e per particolari settori) deve poi trovare ordinata archiviazione nei database e adeguata valorizzazione attraverso sistemi di Data Warehouse (DW) e Data Webhouse, «magazzini» nei quali, attraverso l integrazione e la razionalizzazione dei dati interni ed esterni, vengono predisposti e combinati gli elementi essenziali per i moduli di Business Intelligence (BI), congegnati per supportare il processo decisionale del management. 6

7 3. La sicurezza dei sistemi informativi aziendali La sicurezza in ambito aziendale viene definita, dalle norme internazionali, come «lo studio, sviluppo e attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali, organizzative e umane di cui l azienda dispone o di cui necessita per garantirsi un adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine» 4. La crescente attenzione verso i problemi della sicurezza aziendale porta ad attività finalizzate alla tutela del patrimonio aziendale, a politiche proiettate al contenimento dei rischi e delle perdite economiche o finanziarie, che indiscutibilmente contribuiscono al mantenimento e all accrescimento del valore aziendale. La sicurezza, spesso vista come un incombenza imposta, viene vissuta, in senso negativo, come mero adempimento burocratico, in quanto si ritiene sia un elemento di interferenza all efficienza ed efficacia dell attività aziendale; in realtà, una corretta analisi dei benefici derivanti da una adeguata politica di salvaguardia dell integrità del patrimonio aziendale e del regolare svolgimento della gestione, evidenzia come il raggiungimento degli obiettivi di sicurezza sia la condizione sostanziale per il conseguimento delle basilari finalità aziendali. Per sicurezza di un sistema informativo si intende sia la protezione delle informazioni da rilevazioni, alterazioni, eliminazioni non autorizzate volontarie e accidentali, che il contenimento degli effetti negativi provocati dal manifestarsi di tali eventi. La conoscenza delle informazioni e del relativo valore sono, quindi, elementi indispensabili per predisporre misure protettive e per intraprendere le idonee azioni di sicurezza. Prevenire il danneggiamento, misurare la perdita o la modificazione di informazioni e recuperare tempestivamente i dati eventualmente sottratti o alterati, costituiscono, in estrema sintesi, le fondamentali misure di sicurezza richieste per la protezione dei sistemi informativi. Un sistema dedicato alla gestione delle informazioni si definisce «sicuro» quando soddisfa le seguenti proprietà: - confidenzialità, comporta la protezione dei dati trasmessi o memorizzati per evitare l intercettazione e la lettura da parte di soggetti non autorizzati. Le tecniche utilizzate per garantire la confidenzialità possono, ad esempio, essere la crittografia o il controllo degli accessi; - integrità, implica che i dati trasmessi, ricevuti o custoditi non abbiano subito manomissioni o modifiche non autorizzate. Il sistema deve essere approntato in modo tale da poter individuare e segnalare eventuali modificazioni ed errori di trasmissione. 4 UNI 10459, Funzioni e profilo del professionista della security aziendale,

8 L integrità non certifica l origine dei dati (autenticazione) ma garantisce la validità dei dati stessi, escludendone eventuali alterazioni; - disponibilità, riguarda la capacità di un dato di essere accessibile e utilizzabile a ogni richiesta proveniente da utenti autorizzati. Salvaguardare la disponibilità significa attuare tutte le tecniche per impedire intrusioni non autorizzate e per assicurare l utilizzo dei dati e dei servizi anche in caso di interruzioni involontarie, eventi imprevisti e catastrofi naturali. Le proprietà esposte costituiscono innegabilmente il nucleo di riferimento di un sistema sicuro; altri requisiti contribuiscono, comunque, a definire la sicurezza di un sistema informativo: - autenticazione, processo che consente di verificare la veridicità dell identità conclamata da un organismo o un utente; - non ripudiabilità, proprietà che caratterizza le transazioni in rete tra due parti e consiste nell impossibilità di disconoscere la paternità di un azione; - tracciabilità degli utenti, insieme dei meccanismi che permettono di attribuire inequivocabilmente un azione a un determinato utente. La sicurezza dei sistemi informativi è una questione di ampia portata culturale, che supera i confini dell ambito propriamente informatico; il tema investe dimensioni assai diversificate e cruciali della vita e del lavoro degli individui e delle organizzazioni, spaziando dal diritto alla riservatezza, alla tutela della privacy, dalla protezione del copyright, all etica. La tutela delle informazioni è un tratto della cultura organizzativa: da un lato influenza la qualità dei processi aziendali e dei servizi erogati e dall altro condiziona l immagine e la reputazione dell impresa. La protezione dei sistemi informativi è un problema che, lungi dall essere risolto tramite l esclusivo utilizzo di strumenti tecnologici, richiede l attuazione di specifiche procedure organizzative. Le decisioni circa la sicurezza informatica non devono essere esclusiva competenza del personale tecnico (a livello di scelta e di attuazione) bensì l alta direzione aziendale deve essere coinvolta in questo processo. 4. L approccio sistemico alla sicurezza delle informazioni aziendali La corretta impostazione di un sistema globale di security richiede lo sviluppo di una proiezione strategica e rappresenta un elemento essenziale nella definizione del contesto, delle priorità e delle aree critiche di intervento, ma, soprattutto, consente di trasmettere una corretta visione alla quale si dovranno ispirare le azioni successive. La pianificazione degli obiettivi di fondo della gestione prevede che si identifichino in modo altrettanto chiaro e univoco le regole generali di comportamento rispetto alle politiche di sicurezza, con particolare attenzione a quelle relative alle informazioni critiche. L analisi del profilo competitivo e l identificazione delle alternative strategiche 8

9 i di ogni business in cui l azienda opera, comportano la formulazione di scelte che coinvolgono profondamente i piani di intervento sulla sicurezza. L analisi dell ambiente di riferimento (politico, socio-culturale, economico, tecnologico, fisico, ecc.) e la valutazione degli elementi di forza e di debolezza che condizionano le scelte strategiche, influiscono sulle opzioni e sull operatività della sicurezza aziendale; nello stesso modo le strategie di sicurezza comportano vincoli e offrono opportunità alle alternative di business, configurandosi esse stesse come fonte di vantaggio competitivo. La definizione delle politiche di gestione corrente e la stesura dei piani operativi devono includere gli orientamenti delle politiche di sicurezza e prevedere livelli di affidabilità, integrità e confidenzialità delle informazioni coerenti con i progetti strategici di cambiamento, innovazione o di mantenimento della posizione competitiva. Nella pianificazione operativa devono essere previsti orizzonti temporali, riferimenti organizzativi e disponibilità economico-finanziarie per poter predisporre budget adeguati al grado di protezione indicato nei programmi strategici. FIGURA 1 Approccio sistemico alla sicurezza delle informazioni aziendali STRATEGIA Pianificazione obiettivi Politiche di sicurezza Gestione dei rischi Budget ORGANIZZAZIONE Ruoli e responsabilità Piani formativi Regole e procedure Monitoraggio No Si Si TECNOLOGIE Sicurezza risorse tecnologiche Analisi minacce Individuazione vulnerabilità Implementazione contromisure? No Si La sicurezza delle informazioni, condizionando ogni attività aziendale, deve essere prevista nella progettazione della struttura organizzativa, delle singole posizioni di lavoro e delle relazioni che favoriscono i rapporti fra le persone. Responsabile della sicurezza, responsabili e incaricati dei trattamenti, responsabili delle infrastrutture informatiche e dei sistemi informativi, sono ruoli fondamentali che, nell attuale contesto 9

10 competitivo e normativo, devono essere chiaramente identificati e considerati nella progettazione organizzativa. Il compimento di un ampio piano di sicurezza comporta la creazione e il mantenimento di un clima organizzativo nel quale ciascun soggetto, dal top management ai livelli operativi, sia fortemente motivato a rimuovere tutti i vincoli incardinati su attività ripetitive e passive, e che porti alla condivisione degli obiettivi e alla proposizione di innovativi percorsi risolutivi. Il ruolo ricoperto dalla risorsa umana impone nuovi modelli di gestione del personale che, attraverso la diffusione di informazioni e competenze, coinvolgano tutti gli attori della sicurezza. I responsabili di alto livello devono essere formati per interpretare il ruolo di «testimoni della sicurezza»; è, inoltre, indispensabile lo sviluppo di una più attenta qualità nella gestione delle persone come prerequisito per attivare la collaborazione e responsabilizzazione diffusa sui temi della sicurezza. La sicurezza è una cultura continua e una pratica costante da affidare a responsabili in grado di impostare correttamente piani strategici e programmi operativi articolati, nella consapevolezza che, comunque, una notevole parte rimane affidata allo scrupolo e alla preparazione di tutti gli utenti. 5. Il sistema di gestione per la sicurezza delle informazioni Un «Sistema di Gestione della Sicurezza delle informazioni» (SGSI), stabilendo obiettivi e politiche di sicurezza, rappresenta un approccio sistemico alla gestione della sicurezza informatica comprendendo risorse umane, processi aziendali e sistemi informativi. Gli enti internazionali di normazione hanno individuato (in particolare nella norma BS :2002) i passi fondamentali per l attuazione di un SGSI, promuovendo l approccio basato sui processi e richiamando i principi basilari contenuti nelle norme per la gestione della qualità. L approccio per processi applicato a un SGSI consente di: - identificare le esigenze di sicurezza informatica e comprendere l importanza di stabilire gli obiettivi e di definire una politica di sicurezza; - mettere in luce la necessità di implementare e controllare la gestione del rischio globale aziendale; - comprendere la rilevanza del costante monitoraggio e riesame delle performance e dell efficacia del SGSI; - focalizzare l attenzione e l impegno sul miglioramento continuo basato su misurazioni oggettive. Il SGSI si basa sul modello Plan, Do, Check, Act (PDCA), metodologia che guida il processo di mantenimento e di miglioramento continuo applicabile a ogni livello dell azienda (in particolare al sistema dei processi e a ogni singolo processo). Il PDCA si realizza attraverso un azione ciclica basata sulla reiterazione sequenziale delle quattro 10

11 fasi, strettamente associate con la pianificazione, l attuazione, il controllo e il miglioramento continuo. Un SGSI è costituito da quattro macroprocessi fondamentali (Figura 2): 1) Pianificare e progettare un SGSI (Plan) 2) Implementare e attuare un SGSI (Do) 3) Controllare e riesaminare il SGSI (Check) 4) Mantenere e migliorare il SGSI (Act). FIGURA 2 Il modello PDCA applicato al sistema per la sicurezza delle informazioni PLAN Pianificare e progettare Requisiti delle parti interessate DO Implementare e attuare Ciclo di sviluppo, mantenimento e miglioramento del SGSI Mantenere e migliorare ACT Requisiti delle parti interessate Esigenze e aspettative della sicurezza delle informazioni Fonte: BS :2002 Controllare e riesaminare CHECK Sicurezza del sistema delle informazioni 5.1. Pianificare e progettare un SGSI (Plan) In questo primo macroprocesso è necessario definire la portata, l ambito di applicazione del SGSI, tenendo conto delle caratteristiche dell organizzazione, del business, delle risorse da proteggere e delle tecnologie. Il campo d azione del SGSI può riguardare tutta l impresa, oppure parti della stessa (specifici rami, sistemi, aree) ma, in ogni caso, deve estendersi a tutti i sistemi informativi coinvolti e alle loro vie d accesso. Determinata la politica di sicurezza delle informazioni e portata a conoscenza di tutto il personale, si individuano le responsabilità, le risorse da impiegare, il patrimonio informativo da proteggere, coerentemente con i riferimenti normativi e legislativi cui ottemperare. 11

12 Il principio che deve guidare ogni politica di sicurezza dei sistemi informativi è quello per cui le azioni intraprese e le misure adottate devono sempre essere commisurate ai danni provocati dalla perdita o alterazione del patrimonio informativo. La gestione del rischio (risk management) è un aspetto che riveste un estrema importanza nella definizione di una strategia di sicurezza; oltre a riconoscere e gestire gli eventi potenzialmente dannosi, è utile anche a individuare le eventuali opportunità che altrimenti non verrebbero riconosciute e sfruttate. La gestione dei rischi risponde, quindi, sia a esigenze esterne, quali evitare gravi difficoltà dovute a sistemi di presidio dei rischi inefficaci o esposizioni a responsabilità amministrative o penali, che a esigenze interne, quali il collegamento tra obiettivi e rischi (scoprendo, cioè, i rischi che possono impedire il raggiungimento degli obiettivi), la razionalizzazione delle risorse, l identificazione delle opportunità, la riduzione di eventuali imprevisti e perdite, la valutazione dell affidabilità delle informazioni, l ottemperanza agli adempimenti normativi. Nel processo di gestione del rischio si distinguono le fasi di: - analisi del rischio (risk assessment), a sua volta articolata nell individuazione dei processi chiave, nell inventariazione e valutazione delle risorse (asset) da proteggere, nell identificazione e valutazione delle probabili minacce (in termini di metodi, strumenti e tecniche di attacco), nel riconoscimento delle vulnerabilità del sistema in relazione a minacce note e nell accertamento dei rischi; - controllo del rischio, selezionando e attuando le contromisure di sicurezza che meglio soddisfano le esigenze messe in luce nella fase precedente, nel rispetto dei vincoli economici stabiliti. Le misure implementate consentono di limitare il rischio attraverso la minimizzazione dei punti di debolezza del sistema e degli asset aziendali e delle minacce conseguenti. Il processo si conclude con il calcolo del rischio residuo e, per la parte considerata non accettabile, si valutano diverse opzioni come, ad esempio, il trasferimento a terzi dei danni derivanti dalla manifestazione di eventi negativi attraverso la stipula di polizze assicurative L analisi del rischio L analisi del rischio è definibile come la valutazione delle minacce, degli impatti e delle vulnerabilità delle informazioni e degli strumenti informatici e della probabilità del loro verificarsi. Affinché un asset informativo sia soggetto a un rischio di sicurezza, occorre che una minaccia, tramite un agente ostile, capace di sfruttare una vulnerabilità presente nella risorsa esaminata, possa recare danno in termini di: integrità, riservatezza o disponibilità 5. 5 Cfr. R. IMPERIALI, Codice della privacy: commento alla normativa sulla protezione dei dati personali, Ed. Il Sole 24 Ore, Milano, 2004, pag

13 L analisi dei rischi assume una rilevanza fondamentale in quanto i risultati dell indagine influenzeranno profondamente le scelte da effettuare e le misure da implementare per una conforme gestione del rischio (rispetto al valore attribuito alle risorse da proteggere); tende a individuare i controlli di sicurezza da implementare attraverso l applicazione degli standard internazionali valorizzando esperienze consolidate e, nel contempo, indicare modalità operative agevolmente adattabili a contesti specifici. Un utile supporto alle diverse fasi del processo di analisi dei rischi è costituito da un aggiornato database dei rischi nel quale devono confluire i dati provenienti da metodica, costante, completa e tempestiva documentazione degli incidenti, dei luoghi e dei tempi nei quali sono avvenuti, delle ragioni per le quali si sono manifestati. Per l analisi dei rischi la prassi consolidata prevede le seguenti fasi: A) l individuazione dei processi chiave; B) l identificazione e la valutazione degli asset aziendali; C) l identificazione e la valutazione delle minacce; D) l identificazione e la valutazione delle vulnerabilità; E) l accertamento dei rischi. A) L individuazione dei processi chiave Nella prima fase occorre capire quali sono gli elementi che risultano fondamentali per lo svolgimento della gestione aziendale in condizioni di efficacia e di efficienza, quali sono i processi basilari ai fini del mantenimento e del miglioramento di un adeguata capacità competitiva e su quali informazioni critiche si deve fare affidamento per il raggiungimento degli obiettivi definiti nella pianificazione strategica. Per questa ragione, è necessario predisporre una rappresentazione dell azienda come «sistema di processi». Rappresentare i processi significa individuarne gli elementi distintivi facilitando la comprensione dello svolgimento delle attività e dell ordine con cui vengono svolte, le unità organizzative interessate, gli input e gli output del processo, le risorse impiegate e l insieme ordinato dei flussi informativi che si generano. I processi di business, costituenti la catena del valore, devono essere declinati in «processi organizzativi», per descrivere il reale funzionamento dell azienda (con particolare riferimento alle attività svolte), e in «processi informatici», per delineare il modo di operare delle soluzioni informatiche nel rispetto delle regole di gestione e il livello di cooperazione (più o meno dettagliato) dei trattamenti informatici assegnati alle risorse architetturali. Per individuare il contesto da sottoporre all analisi dei rischi è indispensabile rappresentare la mappa delle soluzioni informatiche congiunta con il sistema di processi che si svolgono in azienda. 13

14 Attraverso le attuali soluzioni informatiche si possono analizzare e modellare i sistemi informativi e le loro relazioni con i processi di business, costruendo un architettura di riferimento e definendo una mappa dei sistemi informativi e dei flussi di dati. Disponendo di una visione chiara dei componenti dell architettura e del modo in cui questi interagiscono con i processi interni ed esterni, è possibile ottimizzare le proprie risorse tecnologiche a supporto dei processi critici, organizzare i progetti di miglioramento o di nuovi servizi, gestire in modo efficace l evoluzione del sistema, sempre avendo una visione chiara e aggiornata delle possibili vulnerabilità delle risorse informative. Sotto il profilo tecnico, la definizione dei diagrammi riferiti all architettura del sistema informativo permette di identificare e rappresentare l hardware esistente (server, workstation, ecc.), le «macchine» sulle quali sono installati i database e le applicazioni, le reti che collegano le macchine e di descriverne le rispettive caratteristiche. B) L identificazione e la valutazione delle risorse aziendali Fra le risorse aziendali da proteggere particolare attenzione deve essere dedicata a quelle che hanno impatti con le problematiche di sicurezza: apparati tecnologici, software e database che intervengono nel trattamento delle informazioni. In analisi si possono distinguere: luoghi fisici (in cui si trovano i sistemi di elaborazione, si svolgono i trattamenti dei dati, in cui sono conservati i dati), risorse hardware, risorse dati (archivi in formato elettronico e archivi cartacei, procedure operative e di supporto, manuali, diritti d autore e piani di continuità), risorse software 6. Le risorse individuate devono essere valutate in ordine alla loro rilevanza rispetto al contributo al raggiungimento delle finalità strategiche proprie del sistema informativo e criticità in relazione all impatto sul business aziendale (una classificazione di tipo qualitativo può definire i beni «non critici», «scarsamente critici», «critici» e «ipercritici»). Soprattutto, è indispensabile classificare gli asset e attribuire loro un valore in riferimento alla tipologia di informazioni trattate e in base ai requisiti di riservatezza, integrità e disponibilità. Le operazioni compiute portano alla conoscenza del valore delle risorse inventariate stabilito in base alle conseguenze causate dalla perdita o alterazione dell asset o al costo per il ripristino o la sostituzione. L analisi dei rischi, dal punto di vista operativo, prosegue considerando, per ciascun elemento da proteggere, i fattori di rischio cui esso è esposto. Questi scaturiranno dall analisi delle minacce che possono insidiare i luoghi fisici, le risorse hardware, le risorse dati e le risorse software inventariate precedentemente. 6 Cfr. Garante per la protezione dei dati personali, Guida alla redazione del Dps, pag

15 C) L identificazione e la valutazione delle minacce Le minacce alle quali sono sottoposte le risorse aziendali, destinate ai processi di produzione delle informazioni, consistono nell eventuale capacità di atti o di eventi fortuiti ad arrecare danni, facendo leva su punti deboli o vulnerabili, che vadano a inficiare le proprietà basilari del sistema informativo. La valutazione delle minacce è il processo che porta al riconoscimento dei potenziali eventi che possono, a vario modo, nuocere al patrimonio informativo. La prima attività consiste nell individuazione e nella classificazione delle possibili minacce, effettuata in funzione della sorgente (ad esempio interna o esterna), della natura (volontaria o involontaria), della tipologia del danno che possono cagionare (con effetti diretti sulla risorsa, oppure indiretti e manifestati attraverso contaminazione, indisponibilità delle informazioni), delle varie modalità di attacco (social engineering, denial of services, software maliziosi, identificazione di password, accessi non autorizzati, ecc.) e della relativa complessità (articolazione, difficoltà di riconoscimento, ecc.). A ogni minaccia, potenzialmente dannosa per la sicurezza dei dati, individuata e classificata, si associano degli indicatori al fine di valutare globalmente le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. A questo punto, se si vuole avere una prima stima intorno ai pericoli più o meno imminenti e pertinenti a ogni risorsa, si possono attribuire, a ogni risorsa prima censita e valutata (in base alla classe di criticità dell informazione in funzione della riservatezza, integrità e disponibilità), gli indicatori relativi al livello di esposizione alle minacce. D) L identificazione e la valutazione delle vulnerabilità La classificazione delle possibili minacce porta alla valutazione dei punti di debolezza che possono essere illecitamente o accidentalmente utilizzati durante un attacco; la vulnerabilità, infatti, origina danni solo se vi è una corrispondente minaccia che la sfrutta. Le vulnerabilità sono fortemente riconducibili alle caratteristiche e alle proprietà delle risorse, e consistono in una condizione dell ambiente fisico e tecnologico che consente alla minaccia di concretizzarsi; si riscontrano negli aspetti tecnici e di natura organizzativa connessi allo svolgimento dei processi e delle procedure e al fattore umano che li sovraintende. Nella fase di identificazione si individuano, classificandole, le vulnerabilità che possono essere minacciate, per poi valutarle, assegnando, con coerenti criteri di misurazione, adeguati parametri riferiti alla fragilità e agevolezza con la quale possono essere scoperte e sfruttate e all impatto dannoso che ne deriverebbe. 15

16 Le vulnerabilità possono attribuirsi alla collocazione geografica delle risorse e ai luoghi fisici dove sono collocate le infrastrutture e dove si realizzano i processi aziendali, o all ambiente tecnologico. Il fattore umano rappresenta, spesso, una delle più rilevanti vulnerabilità (scarso livello di sensibilizzazione e competenza del personale, incuria nell utilizzo degli strumenti, ecc). La vulnerabilità può essere stimata secondo una scala di valori che tenga in considerazione la maggiore o minore semplicità con la quale le minacce possono introdursi. E) L accertamento dei rischi L obiettivo, e passo conclusivo della fase di analisi dei rischi, è la definizione della misura del rischio. La misura del rischio scaturisce dall effetto combinato dei suoi fattori determinanti: il valore attribuito a ogni risorsa, il livello delle minacce e l entità delle vulnerabilità correlate. Per ottenere una valutazione del rischio globale che tenga conto della probabilità che le minacce, sfruttando le vulnerabilità, provochino un impatto dannoso sulle risorse aziendali, è proficuo costruire la matrice di rischio di Tavola 1. TAVOLA 1 Matrice del rischio incombente sulle risorse Minacce Risorse Risorsa A Risorsa B Risorsa C Risorsa Minaccia 1 Minaccia 2 Minaccia Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio 16

17 L operatore che deve esprimere la valutazione ben conscio che la matrice accoglie termini quali-quantitativi di natura soggettiva se ne avvale come valido supporto per la sistematizzazione delle diverse variabili e delle stime intermedie e la considera una solida base per esprimere l apprezzamento sulla necessità di misure di sicurezza e per fornire, anche alla luce della professionalità e dell esperienza personali, una scala di priorità, che, tenute in considerazione le sempre limitate risorse, orientino la scelta dei provvedimenti da adottare Il controllo del rischio I risultati conseguiti nell analisi dei rischi portano alla determinazione di adeguate contromisure di sicurezza allo scopo di ridurre il livello delle vulnerabilità presenti e di evitare, o contenere, gli effetti dannosi dei rischi valutati e, per quanto possibile, ridurre le probabilità di manifestazione degli eventi. Una contromisura consiste in uno specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche nelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Durante la fase del controllo del rischio, intrinsecamente collegata a quella di analisi e valutazione, viene definito il livello massimo di rischio accettabile e vengono individuate le strategie da adottare per ridurre il rischio al di sotto di tale livello. Un rischio è ritenuto accettabile quando gli oneri per proteggere le risorse sono stimati eccessivi in relazione al valore della risorsa da proteggere. Nel considerare il valore della risorsa da proteggere è indispensabile contemplare non solo il valore intrinseco del bene, ma, soprattutto, l importanza della sua funzione per lo svolgimento delle attività e dei processi più o meno critici per il raggiungimento delle finalità aziendali. Le contromisure che vengono individuate rappresentano il profilo di protezione di ciascun asset. La selezione di opportune misure di sicurezza deve tener conto del livello dei rischi associati a ciascuna minaccia individuata e del grado di sicurezza che la contromisura può assicurare; la stima e il confronto con le misure già esistenti permette di riconoscere eventuali lacune o ridondanze. Concretamente il controllo del rischio può prevedere azioni proiettate a: - evitare il rischio. Pur essendo di difficile attuazione, si eludono le attività che portano ad affrontare in vario modo fattori pericolosi, eliminando, all origine, la causa del rischio; - ridurre il rischio. Essendo tutt altro che agevole eliminare sistematicamente il rischio, si agisce sulle componenti dello stesso cercando di ridurre la probabilità che si verifichi l evento dannoso e/o l impatto che questo avrebbe sulle risorse. Il rischio 17

18 residuo deve essere ricondotto a un livello minore di quello ritenuto accettabile. Ciò sottintende la scelta e l attuazione di contromisure appropriate; - accettare il rischio. Nella consapevolezza che non è possibile innalzare barriere che rendano un sistema completamente sicuro (a motivo anche dei costi per le strutture e per l eccessivo rallentamento che molte procedure operative subirebbero), bisogna prendere in considerazione l eventualità che l accadimento dannoso si verifichi e accollarsene responsabilmente le conseguenze e gli oneri derivanti; - trasferire il rischio, o meglio, le conseguenze onerose derivanti dalla manifestazione del rischio. FIGURA 3 Rappresentazione grafica dei possibili interventi per ridurre il rischio Probabilità Rischio iniziale Rischio residuo Impatto Vulnerabilità Per ridurre l esposizione al rischio si ricorre a provvedimenti concernenti la prevenzione e la protezione. Le misure di prevenzione riguardano quel complesso di interventi indirizzati a contrastare il verificarsi di accadimenti avversi, posti in essere per ridurre la probabilità dell avverarsi dell evento dannoso. La natura di salvaguardia delle misure impone che, per minimizzare i rischi, esse siano adottate in via preventiva. I meccanismi di prevenzione rafforzano la difesa durante l operatività del sistema attraverso un azione cautelativa, volta a non rendere possibili situazioni potenzialmente pericolose. 18

19 Per proteggere le risorse si ricorre a interventi al fine di rendere minimi i danni nel caso in cui l evento temuto abbia la possibilità di manifestarsi. In altri termini, si tende a ridurre l effetto dell impatto sulla risorsa. Il giusto equilibrio tra misure di prevenzione e misure di protezione va ricercato, per ogni rischio specifico o per classi omogenee di rischi, considerando se è più rilevante la componente relativa alla frequenza di manifestazione delle minacce oppure se è più opportuno incidere sulle ricadute negative che gli inconvenienti comportano. Gli aspetti da considerare per vagliare le contromisure appropriate sono: l idoneità a ostacolare i rischi individuati; la conformità agli standard di sicurezza e ai modelli di riferimento definiti dalle norme specifiche (criteri TCSEC, ITSEC, ISO 17799, BS 7799); il livello di rischio residuo considerato accettabile; l impatto economico conseguente all implementazione e al mantenimento rapportato al valore della risorsa da proteggere. Un piano per la protezione efficace e completo dovrà basarsi su interventi inerenti l organizzazione e su strumenti e tecniche per la sicurezza delle reti e delle apparecchiature per l elaborazione delle informazioni Implementare e attuare un SGSI (Do) In questo macroprocesso trovano attuazione le politiche di sicurezza definite, le contromisure selezionate, i controlli stabiliti, le procedure da seguire. L impegno dell organizzazione è, quindi, rivolto a: - formulare e implementare un piano di gestione del rischio che individui le idonee azioni da intraprendere, i ruoli e le responsabilità del personale coinvolto, le risorse necessarie; - adottare le contromisure vagliate; - sviluppare programmi per la formazione e la sensibilizzazione del personale alle problematiche della sicurezza, determinando le competenze necessarie a svolgere i diversi incarichi e compiti, provvedendo alla preparazione di personale idoneo ad assumere tali ruoli, documentando il processo di addestramento e acquisizione di capacità, esperienza e consapevolezza; - gestire le attività svolte e le risorse necessarie a implementare, governare e mantenere il SGSI, ad attuare validi metodi per garantire la sicurezza informatica, a ottemperare precise disposizioni normative e legislative, ad adempiere alle obbligazioni contrattuali, a realizzare correttamente i controlli previsti, a revisionare il sistema (in caso di necessità) e intraprendere adeguate azioni correttive; - applicare le misure e i controlli che consentano una rapida individuazione di incidenti riguardanti la sicurezza informatica e che offrano tempestive opportunità di intervento. 19

20 5.3. Controllare e riesaminare il SGSI (Check) La verifica dell efficacia e della validità nel tempo delle misure di sicurezza adottate è una fase fondamentale del processo della gestione della sicurezza; infatti, in un contesto tecnologico in rapida evoluzione è necessario avere le massime garanzie circa l adeguatezza delle difese impiegate con particolare riferimento alla varietà delle sempre nuove minacce e alla prontezza con la quale si individuano e sfruttano nuove vulnerabilità. Il costante monitoraggio permette di comprendere se le contromisure sono effettivamente in grado di ridurre il rischio fino ai livelli desiderati e di rilevare tempestivamente eventuali aggressioni che palesino vulnerabilità non considerate in fase di analisi dei rischi, sottostime degli impatti delle minacce, errori nei parametri per il calcolo del livello di rischio, oppure difetti negli strumenti di protezione o scorrettezze nell attivazione degli stessi. Il processo deve, quindi, fornire le informazioni necessarie affinché possano essere avviate idonee azioni correttive. Il processo di verifica è contemporaneamente un processo di apprendimento che dovrà avvalersi di efficaci strumenti di segnalazione degli incidenti e che richiede la creazione di una banca dati nella quale tali segnalazioni sono raccolte, insieme a ogni altra informazione ritenuta utile ai fini di una completa comprensione delle cause degli incidenti stessi. All arricchirsi della banca dati degli incidenti, le informazioni raccolte permetteranno di affinare la conoscenza statistica dei fenomeni di interesse e, sulla base del confronto tra i valori attesi del danno e l entità del danno effettivamente subito, monitorare costantemente la validità delle soluzioni adottate al variare nel tempo delle condizioni 7. Le verifiche riguardo la conformità degli standard di sicurezza fisica, logica e organizzativa e delle norme comportamentali stabilite nelle politiche di sicurezza con quanto effettivamente reso operante (audit di sicurezza), devono compiersi con periodicità fissa, richiedono competenze specifiche e l impiego di personale di elevata professionalità. L auditing richiede, come prerequisito, che l azienda si sia dotata di regole scritte e abbia definito ruoli e responsabilità; inoltre, è opportuno che tali verifiche vengano svolte da personale non direttamente responsabile del sistema informativo oggetto di verifica. Spesso l audit di sicurezza, proprio per garantire un esame imparziale e incondizionato, viene commissionato ad aziende esterne specializzate con comprovata esperienza o a enti di certificazione. Le verifiche di sicurezza forniscono una fonte oggettiva di dati che, presentati senza filtri al top management, vengono utilizzati per individuare azioni correttive. Tutte le informazioni rilevate dovranno confluire nell analisi del rischio e dovranno essere di supporto al management per poter individuare gli interventi da compiere. 7 Periodi tratti da ISCOM, La sicurezza delle reti nelle infrastrutture critiche, 2005, pag

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE Sistema di gestione UNI EN ISO 9001 MANUALE DI QUALITÀ INTRODUZIONE MAN-00 Organizzazione AZIENDA s.p.a. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 Web : www.nomeazienda.it

Dettagli

NOTE E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI STRATEGIA E FUNZIONALITÀ

NOTE E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI STRATEGIA E FUNZIONALITÀ LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) STRATEGIA E FUNZIONALITÀ L INTEGRAZIONE DELLE ATTIVITÀ LA COMUNICAZIONE TRA LE UNITA AZIENDALI I PROCESSI DECISIONALI RILEVANZA

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001 PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA BS OHSAS 18001 (ed. 2007) Rev. 0 del 13/01/09 1/10 progetto Tecnico OHSAS 18001 Premessa La norma OHSAS 18001 rappresenta uno

Dettagli

L approccio per processi è uno dei principi fondamentali per la gestione della qualità.

L approccio per processi è uno dei principi fondamentali per la gestione della qualità. Esempio 3: approfondimento gestione per processi Nell ambito di un organizzazione, l adozione di un sistema di processi, unitamente alla loro identificazione, interazione e gestione, è chiamata approccio

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Integrazione dei processi aziendali Sistemi ERP e CRM. Alice Pavarani

Integrazione dei processi aziendali Sistemi ERP e CRM. Alice Pavarani Integrazione dei processi aziendali Sistemi ERP e CRM Alice Pavarani Un ERP rappresenta la maggiore espressione dell inseparabilità tra business ed information technology: è un mega-package di applicazioni

Dettagli

Reti e sistemi informativi II Il ruolo delle IT nell organizzazione

Reti e sistemi informativi II Il ruolo delle IT nell organizzazione Reti e sistemi informativi II Il ruolo delle IT nell organizzazione Prof. Andrea Borghesan & Dr.ssa Francesca Colgato venus.unive.it/borg borg@unive.it Ricevimento: mercoledì dalle 10.00 alle 11.00 Modalità

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS

CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS CORSI E.N.E.A. DI FORMAZIONE ED AGGIORNAMENTO PROFESSIONALE PER ENERGY MANAGERS Ing. Sandro Picchiolutto IL SISTEMA DI GESTIONE DELL ENERGIA PREMESSE I Servizi costituiscono il 70% del PIL e della occupazione

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care

1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 1. B - Caratteristiche essenziali e modalità applicative del Sistema di Gestione Responsible Care 20 gennaio 2009 INDICE Sezione Contenuto 1. Il programma Responsible Care: scopo e campo di applicazione

Dettagli

Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale

Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale VERONICA PETITT Matricola 710766 Iscritta al 2 anno 2008/09 Relazione Il Sistema di Gestione Qualità nella formazione: esposizione di un caso reale Esame di: Psicologia della formazione e dell orientamento

Dettagli

REGOLAMENTO N. 41 DEL 15 MAGGIO 2012. L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

REGOLAMENTO N. 41 DEL 15 MAGGIO 2012. L ISVAP (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo) REGOLAMENTO N. 41 DEL 15 MAGGIO 2012 REGOLAMENTO CONCERNENTE DISPOSIZIONI ATTUATIVE IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L UTILIZZO DELLE IMPRESE DI ASSICURAZIONE

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

E. Struttura e organizzazione del sistema

E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E.1 Sistema di gestione L azienda dovrebbe strutturare il SGSL seguendo i contenuti espressi nel presente documento,

Dettagli

SISTEMA INFORMATIVO AZIENDALE. Definizione, classificazioni

SISTEMA INFORMATIVO AZIENDALE. Definizione, classificazioni SISTEMA INFORMATIVO AZIENDALE Definizione, classificazioni IL SISTEMA INFORMATIVO AZIENDALE A cosa serve una definizione? Esistono diverse prospettive tecnica, organizzativa, della comunicazione e quindi

Dettagli

Le sfide future per il Facility Management: l open facility management come nuova soluzione

Le sfide future per il Facility Management: l open facility management come nuova soluzione CHE COS È IL FACILITY MANAGEMENT Il Facility Management è una disciplina in continua evoluzione ed infatti in un contesto altamente dinamico, tipico della società odierna, si trova a dover interpretare

Dettagli

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo Pagina 1 di 24 INTRODUZIONE SEZ 0 Manuale Operativo DOCUMENTO TECNICO PER LA CERTIFICAZIONE DEL PROCESSO DI VENDITA DEGLI AGENTI E RAPPRESENTANTI DI COMMERCIO OPERANTI PRESSO UN AGENZIA DI RAPPRESENTANZA:

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING)

LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) LA PIANIFICAZIONE DELLE ATTIVITÀ AZIENDALI E.R.P. (ENTERPRISE RESOURCE PLANNING) L IMPATTO SULLA GESTIONE LA MISURAZIONE DELL IMPATTO IL SUPPORTO ALLA CREAZIONE DEL VALORE L INTEGRAZIONE ESIGENZE DEL BUSINESS

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

IL SISTEMA INFORMATIVO AZIENDALE

IL SISTEMA INFORMATIVO AZIENDALE IL SISTEMA INFORMATIVO AZIENDALE CL. 5ATP - A.S. 2006/2007 L azienda e i suoi elementi PERSONE AZIENDA BENI ECONOMICI ORGANIZZAZIONE L azienda è un insieme di beni organizzati e coordinati dall imprenditore

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

comune. 3 Maurizio Catino, Miopia Organizzativa. Problemi di razionalità e previsioni nelle organizzazioni, Il Mulino 2009.

comune. 3 Maurizio Catino, Miopia Organizzativa. Problemi di razionalità e previsioni nelle organizzazioni, Il Mulino 2009. Processi in Comune Il risk management e l esperienza del suo utilizzo nei progetti di reingegnerizzazione delle procedure di lavoro nei comuni di Milano, Roma e Napoli 1 Attivare processi di riorganizzazione

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno Argomenti della lezione 1 - Controllo Interno: definizione e componenti 2 - Ambiente di controllo 3 - Valutazione

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

MANUALE DELSISTEMA DI GESTIONE AMBIENTALE

MANUALE DELSISTEMA DI GESTIONE AMBIENTALE Osservatorio per il Settore Chimico Ministero dell Industria del Commercio e dell Artigianato MANUALE DELSISTEMA DI Responsabile: Aggiornamento: 2 di 49 NOME AZIENDA Manuale del sistema di Gestione Ambientale

Dettagli

ELEMENTI DI MISURAZIONE DELL EFFICACIA

ELEMENTI DI MISURAZIONE DELL EFFICACIA ELEMENTI DI MISURAZIONE DELL EFFICACIA La misurazione delle prestazioni (cd. performance) associate ad un qualsiasi processo o azione manageriale si può realizzare attraverso un sistema di indicatori predefiniti

Dettagli

L ICT e l innovazione

L ICT e l innovazione Il valore del Project Management nei Progetti di Innovazione nelle Piccole e Medie Imprese L ICT e l innovazione Milano, 15 dicembre 2006 Enrico Masciadra, PMP emasciadra@libero.it Le cinque forze competitive

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

DECRETI PRESIDENZIALI

DECRETI PRESIDENZIALI DECRETI PRESIDENZIALI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 24 gennaio 2013. Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale. IL PRESIDENTE DEL

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Il modulo formativo C1 Elementi di dettaglio

Il modulo formativo C1 Elementi di dettaglio INTRODUZIONE AI SISTEMI DI GESTIONE DELLA SICUREZZA 23-05-2013 Il modulo formativo C1 Elementi di dettaglio 1) Introduzione ai sistemi di gestione della sicurezza; 2) Le attività tecnico amministrative;

Dettagli

Il Six Sigma per la gestione della qualità in azienda

Il Six Sigma per la gestione della qualità in azienda Roberto Candiotto Il Six Sigma per la gestione della qualità in azienda ARACNE Copyright MMVIII ARACNE editrice S.r.l. www.aracneeditrice.it info@aracneeditrice.it via Raffaele Garofalo, 133 A/B 00173

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale

UNIVERSITÀ: Politecnico di Milano. FACOLTÀ: Ingegneria dei Sistemi. CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale UNIVERSITÀ: Politecnico di Milano FACOLTÀ: Ingegneria dei Sistemi CORSO DI STUDI: Laurea Magistrale in Ingegneria Gestionale INSEGNAMENTO: Global Risk Management PROFESSORE: Marco Giorgino ANNO ACCADEMICO

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

I SISTEMI DI GESTIONE DELLA SICUREZZA E SALUTE SUL LAVORO: GUIDA PRATICA PER L APPLICAZIONE IN AZIENDA

I SISTEMI DI GESTIONE DELLA SICUREZZA E SALUTE SUL LAVORO: GUIDA PRATICA PER L APPLICAZIONE IN AZIENDA Attenzione: la Guida che state stampando è aggiornata al 10/09/2007. I file allegati con estensione.doc,.xls,.pdf,.rtf, etc. non verranno stampati automaticamente; per averne copia cartacea è necessario

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

3 DECALOGO DELLA QUALITÀ

3 DECALOGO DELLA QUALITÀ GENERALITÀ 1 / 10 Sommario Generalità 1 Politica della Qualità 3 DECALOGO DELLA QUALITÀ 4 Politica Ambientale PREVENZIONE 7 FORMAZIONE CULTURA ED ATTEGGIAMENTO 8 COMUNICAZIONE 8 COLLABORAZIONE CON FORNITORI

Dettagli

ACCOUNT MANAGEMENT nell ICT

ACCOUNT MANAGEMENT nell ICT ACCOUNT MANAGEMENT nell ICT Maturità di molte applicazioni su cliente, interlocutori sempre più tecnicamente preparati e esigenti, banalizzazione di know how e di processo nelle diverse offerte spingono

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

MANUALE DI GESTIONE AMBIENTALE COMUNE DI OFFIDA

MANUALE DI GESTIONE AMBIENTALE COMUNE DI OFFIDA NOR DI RIFERIMENTO UNI EN ISO 14001:2004 Pagina 1 di 14 NUALE DI GESTIONE COMUNE DI OFFIDA COPIA CONTROLLATA N 01 COPIA NON CONTROLLATA Rev Data Descrizione Rif. Paragr. Rif. pagina Note 0 Mag.2005 Prima

Dettagli

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia con il sostegno di propongono il percorso formativo RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia sede del corso: ISFOR 2000, via Pietro Nenni 30, Brescia periodo

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Codice Etico Prima edizione

Codice Etico Prima edizione Codice Etico Prima edizione Approvato dal Consiglio di Amministrazione di Fen Energia S.p.a. del 11 ottobre 2010 Un assiduo lavoro per eccellere Le recenti evoluzioni del mondo economico avvenute in un

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

Occupational Health and Safety Assessment Series OHSAS 18001: 1999

Occupational Health and Safety Assessment Series OHSAS 18001: 1999 OHSAS 18001:1999 Sistemi di Gestione della tutela della salute e della sicurezza sul posto di lavoro Specifiche Traduzione in lingua italiana dei principali riferimenti,per esclusivo uso interno. Il presente

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085 CATALOGO CORSI 2015 INDICE CORSI APPROVATI DA ENTE DI CERTIFICAZIONE DELLE COMPETENZE ACCREDITATO ISO/IEC 17024... 3 ISO 9001:08 SISTEMI DI GESTIONE QUALITÀ... 4 ISO 22000:05 SISTEMI DI GESTIONE DELLA

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Il Ruolo Strategico dei Sistemi Informativi. vincenzo.calabro@computer.org

Il Ruolo Strategico dei Sistemi Informativi. vincenzo.calabro@computer.org Il Ruolo Strategico dei Sistemi Informativi vincenzo.calabro@computer.org Agenda Il ruolo dei Sistemi Informativi Nozioni Processi di business e SI Tipi di SI per il business Sistemi d impresa Tipi di

Dettagli

1) IL MODELLO DI VALUTAZIONE

1) IL MODELLO DI VALUTAZIONE SISTEMA DI VALUTAZIONE DELLE PRESTAZIONI DEL DIRETTORE DELL ISTITUTO DI RICERCHE ECONOMICO SOCIALI. Il sistema di valutazione si articola, dal punto di vista metodologico, in tre aspetti distinti ma tra

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

Capitolo 7 TECNOLOGIE PER LA PRODUZIONE MANIFATTURIERA E PER I SERVIZI

Capitolo 7 TECNOLOGIE PER LA PRODUZIONE MANIFATTURIERA E PER I SERVIZI Capitolo 7 TECNOLOGIE PER LA PRODUZIONE MANIFATTURIERA E PER I SERVIZI Per TECNOLOGIA si intendono i processi, le tecniche, i macchinari e le azioni utilizzati per trasformare gli input organizzativi (materiali,

Dettagli

brugherio (mb) POLITICA AZIENDALE

brugherio (mb) POLITICA AZIENDALE brugherio (mb) POLITICA AZIENDALE Brugherio, 20 gennaio 2015 piomboleghe srl via eratostene, 1-20861 brugherio (mb) tel. 039289561, fax. 039880244 info@piomboleghe.it www.piomboleghe.it cap. soc. 1.300.000,00

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

GESTIONE MAGAZZINO E SCORTE

GESTIONE MAGAZZINO E SCORTE GESTIONE MAGAZZINO E SCORTE Nozioni di base In questo modulo: La logistica aziendale Il magazzino Le scorte di magazzino La logistica integrata e la supply chain 2 1 La logistica aziendale Qualsiasi impresa

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 Sommario 1. Il Sistema di Controllo Interno e di

Dettagli

Operations Management GIA-L03

Operations Management GIA-L03 UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione Aziendale prof. Paolo Aymon Operations Management Operations Management UNIVERSITÀ DEGLI STUDI DI BERGAMO Corso di Gestione dell Informazione

Dettagli

NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE

NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE IL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX D.LGS. 231/01 NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE PER CREARE UN VANTAGGIO IN GRADO DI GESTIRE L IMPRESA CON UN APPROCCIO MULTIDISCIPLINARE

Dettagli

Le procedure semplificate per l adozione del MOG nelle PMI

Le procedure semplificate per l adozione del MOG nelle PMI Le procedure semplificate per l adozione del MOG nelle PMI Il DM 13 febbraio 2014, approvato dalla Commissione Consultiva nella seduta del 27 novembre 2013, ha lo scopo di attuare quanto previsto dal comma

Dettagli

I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08. di Paolo Bellotti

I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08. di Paolo Bellotti I SISTEMI DI GESTIONE PER LA SALUTE E SICUREZZA DEI LAVORI SECONDO QUANTO PREVISTO DALL ART. 30 DEL D.Lgs 81/08 di Paolo Bellotti Premessa In questi ultimi anni si è fatto un gran parlare dei sistemi di

Dettagli

Strumenti di Risk Management. Ing Claudia Gistri

Strumenti di Risk Management. Ing Claudia Gistri Strumenti di Risk Management Ing Claudia Gistri 1 PERCHE GESTIRE I RISCHI? Il risk management non è una novità Nato nei primi anni del 1900, nel mondo finanziario e del credito La teoria nasce negli anni

Dettagli

BILANCIO. Verifiche contabili e sistema di controllo interno. Check list e fac-simili. CONTABILITÀ. di Antonio Cavaliere

BILANCIO. Verifiche contabili e sistema di controllo interno. Check list e fac-simili. CONTABILITÀ. di Antonio Cavaliere VERIFICHE PERIODICHE per il revisore legale e per i sindaci Verifiche contabili e sistema di controllo interno. Check list e fac-simili. di Antonio Cavaliere Con le modifiche introdotte al Codice civile

Dettagli

Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi. Introduzione ai sistemi informativi. Cosa è un Sistema Informativo

Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi. Introduzione ai sistemi informativi. Cosa è un Sistema Informativo Ingegneria del Software - applicazioni: Introduzione ai Sistemi Informativi Obiettivi La struttura di un sistema informativo di una organizzazione, negli aspetti che permettono di comprenderne la relazione

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Collaborative Planning, Forecasting and Replenishment (CPFR) 1

Collaborative Planning, Forecasting and Replenishment (CPFR) 1 Collaborative Planning, Forecasting and Replenishment (CPFR) 1 Il Collaborative Planning, Forecasting and Replenishment (CPFR) è uno approccio di gestione a disposizione delle imprese che ha lo scopo di

Dettagli

Sede legale : Via G.Pansera, 17 25068 Sarezzo (BS)

Sede legale : Via G.Pansera, 17 25068 Sarezzo (BS) Gestione Strategica** Progettazione Organizzativa** Marketing & Vendite** Sistemi Informativi** Controllo di Gestione** Finanza Aziendale** Sistemi di QualitàTotale** Formazione** Sede legale : Via G.Pansera,

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

HumanWare. Sistemi Avanzati di Valutazione e Sviluppo

HumanWare. Sistemi Avanzati di Valutazione e Sviluppo HumanWare Sistemi Avanzati di Valutazione e Sviluppo Sistemi Avanzati di Valutazione e Sviluppo Aree di Intervento Sistemi di Analisi e Valutazione delle Posizioni Sistemi di Valutazione delle Prestazioni

Dettagli

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo A Conoscenze di Contesto Syllabus da 1.1.1 a 1.10.

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo A Conoscenze di Contesto Syllabus da 1.1.1 a 1.10. ISIPM Base Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo A Conoscenze di Contesto Syllabus da 1.1.1 a 1.10.1 1 Tema: Progetto 1.1.1 Conoscere la definizione di progetto e

Dettagli

La tecnologia cloud computing a supporto della gestione delle risorse umane

La tecnologia cloud computing a supporto della gestione delle risorse umane La tecnologia cloud computing a supporto della gestione delle risorse umane L importanza delle risorse umane per il successo delle strategie aziendali Il mondo delle imprese in questi ultimi anni sta rivolgendo

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

Fabio Iraldo GEO Green Economy Observatory Università Bocconi

Fabio Iraldo GEO Green Economy Observatory Università Bocconi I nuovi modelli di gestione del rischio ambientale Come le fattispecie di reato introdotte dalla Legge 68/15 modificano i modelli di prevenzione del rischio e relazione con i sistemi di gestione ambientale

Dettagli