La sicurezza dei sistemi informativi aziendali

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La sicurezza dei sistemi informativi aziendali"

Transcript

1 DIPSIT D i p a r t i m e n t o d i S t u d i p e r l I m p r e s a e i l T e r r i t o r i o La sicurezza dei sistemi informativi aziendali Roberto Candiotto Working paper n. 19, luglio 2006

2 Abstract L elevato sviluppo tecnologico ha reso confortevole, sicura e gradevole buona parte del mondo occidentale, ma gli stessi progressi (nel settore dell Ict, nella mobilità e nella facilità di trasporto) portano come effetto collaterale un elevata vulnerabilità. I più recenti sviluppi degli strumenti offerti dalle tecnologie della comunicazione e dell informazione hanno favorito l adozione di sistemi aziendali progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale e ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e i legami fra i processi gestionali. L imponente utilizzo di infrastrutture informatiche per creare, conservare e scambiare dati comporta, per contro, una continua e intensa esposizione a rischi. Il problema della sicurezza informatica deve essere affrontato dalle aziende secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi, economici e legali. Il «sistema di gestione per la sicurezza delle informazioni», articolato nei macroprocessi di pianificazione, implementazione, riesame e miglioramento, rappresenta un approccio idoneo per monitorare costantemente i processi aziendali e i sistemi informativi, garantendo il coinvolgimento delle risorse umane. 2

3 ROBERTO CANDIOTTO Professore associato presso la Facoltà di Economia di Novara dell Università del Piemonte Orientale LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI SOMMARIO: 1. Premessa - 2. I sistemi informativi aziendali - 3. La sicurezza dei sistemi informativi aziendali - 4. L approccio sistemico alla sicurezza delle informazioni aziendali - 5. Il sistema di gestione per la sicurezza delle informazioni 6. Conclusioni. 1. Premessa Le infrastrutture informatiche sono il mezzo più usato per creare, conservare e scambiare informazioni e una molteplicità di apparati digitali interconnessi controllano i gangli vitali dell attuale sistema sociale. Attacchi o manomissioni alle infrastrutture sulle quali sono basati i sistemi informativi possono innescare eventi negativi a catena, con conseguenze di amplissima portata. Nella «società dell informazione», aperta e interdipendente, la sicurezza è un elemento indispensabile. Attualmente, l impatto tecnologico sulla vita economico-sociale e sull ambiente di riferimento delle aziende è inevitabile. Subire passivamente questa radicale e ineluttabile evoluzione corrisponde all incapacità dei responsabili aziendali di coglierne compiutamente i molteplici vantaggi. Allo stesso tempo, occorre confrontarsi con i problemi della sicurezza informatica, considerato che le nuove tecnologie, da cui non si può più prescindere, pena una incontrovertibile perdita di competitività, oltre agli straordinari aspetti positivi, spesso implicano potenziali rischi. Il crescente ricorso alle tecnologie dell informazione e della comunicazione intrapreso dalle aziende comporta l esposizione a rischi, attacchi e minacce che, se non adeguatamente analizzati, valutati e affrontati, possono avere conseguenze negative, non soltanto in termini economici immediati, ma anche relativamente all immagine, al personale, alla perdita del patrimonio informativo e, conseguentemente, della competitività. Nasce, pertanto, la necessità per ogni organizzazione di proteggere i dati e le informazioni posseduti e trattati al fine di garantire la continuità del business e minimizzare le perdite della «non sicurezza» 1. 1 I costi della non sicurezza sono difficilmente calcolabili, ma si può facilmente stimare quanto sia oneroso per un azienda il periodo di inattività della propria rete o dei server, quanti giorni di lavoro vengono persi per controllare e rivedere dati trattati erroneamente o per fronteggiare intrusioni e 3

4 Il problema della sicurezza informatica deve essere affrontato secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi (formazione e sensibilizzazione del personale, individuazione e assegnazione dei ruoli, definizione delle procedure), economici e legali (normativa comunitaria, legislazione italiana, raccomandazioni, standard di riferimento, linee guida). Inoltre, è indispensabile che venga adottato un approccio idoneo a prevenire situazioni di vulnerabilità e pericolo (risk management), nonché ad affrontare e gestire emergenze insorte in seguito al manifestarsi di eventi dannosi per il patrimonio informativo. Infine, le aziende devono amministrare in modo sicuro il sistema delle informazioni anche in ottemperanza a specifici requisiti di legge. 2. I sistemi informativi aziendali Il sistema informativo aziendale, attraverso un processo continuo di trattamento di dati rappresentativi della realtà, fornisce informazioni qualificate al fine di soddisfare esigenze conoscitive interne ed esterne all azienda 2. Il sistema informativo favorisce la produzione e la distribuzione di informazioni a tutti i soggetti che in vario modo se ne servono per svolgere i propri compiti, razionalizzando così il processo decisionale per l assunzione di consapevoli provvedimenti. Per realizzare il processo di produzione delle informazioni, il sistema informativo si avvale di risorse umane e tecnologiche e si basa su un complesso di procedure per la rilevazione dei dati, l elaborazione e la trasmissione delle informazioni. Un sistema informativo, per risultare efficace e favorire la razionalità del processo decisionale aziendale, deve essere: - affidabile, idoneo a produrre informazioni esatte, chiare, accurate, verificabili (in relazione a tutte le fasi del processo di elaborazione) e corrispondenti alla realtà dalle stesse rappresentata; - selettivo, atto a fornire informazioni qualitativamente rilevanti per i responsabili dei centri decisionali e operativi; - flessibile, in grado di adeguarsi ai mutamenti dei fabbisogni informativi di ambienti caratterizzati da incertezza e dinamicità e di promuovere l evoluzione verso le più moderne tecniche di produzione e trasmissione delle informazioni; rimediare ai danni subiti, quanto gravi siano le conseguenze derivanti dalla sottrazione illecita di informazioni su progetti di rilevanza cruciale. 2 «L informazione è la base fondamentale per una consapevole amministrazione d azienda [...]. Essa viene prodotta nell ambito del sistema informativo e quindi distribuita alle aree utenti nel contenuto, nei modi e nei tempi richiesti dalle svariate esigenze di impiego» (G. FERRERO, Impresa e management, Giuffrè, Milano, 1987, pag. 191). 4

5 - tempestivo, in modo da rendere disponibili informazioni utili e convenienti all utente finale, in relazione alla sua natura e al suo utilizzo, e offrire immediate percezioni degli accadimenti della realtà aziendale e delle sue relazioni con l ambiente; - accettato da tutti gli utenti, anche in relazione al tipo di percezione che gli stessi manifestano nei confronti della validità delle conoscenze fornite. L efficienza del sistema informativo attiene alle relazioni istituibili fra il valore delle informazioni ottenute (attitudine a sollecitare la formulazione di decisioni rapide e coerenti con gli obiettivi prefissati) e i costi sostenuti per la loro produzione (quantificabili in rapporto alla struttura del sistema informativo, alle potenzialità e prestazioni delle apparecchiature e delle applicazioni informatiche, all entità delle risorse umane impiegate nelle varie fasi del processo di trattamento dei dati, ecc.). Per conferire efficienza a un sistema informativo è opportuno osservare il «principio dell utilizzazione plurima dei dati raccolti», che consiste nella rilevazione unica dei dati in ingresso e nell uso plurimo delle conoscenze prodotte, nell intento di evitare ogni possibile duplicazione di attività 3. Gli strumenti offerti dalle tecnologie informatiche hanno dapprima trovato applicazione nell ambito delle attività aziendali di tipo operativo; l entità dei volumi di dati da elaborare e la ripetitività delle operazioni di trattamento degli stessi hanno costituito dei validi presupposti per l automazione delle procedure operative. In seguito, sono stati raggiunti significativi miglioramenti nel coordinamento e controllo delle attività di progettazione e ingegnerizzazione dei prodotti, di programmazione della produzione, di avvio e controllo dell avanzamento di produzione. La complessità e il dinamismo del quadro competitivo hanno, poi, imposto l adozione di sistemi atti a supportare le attività direzionali (con riferimento al controllo di gestione e ai sistemi di reporting) e a favorire la pianificazione strategica; sono stati, così, realizzati i sistemi di supporto alle decisioni. I più recenti sviluppi degli strumenti offerti dall Ict hanno favorito l evoluzione verso gli Enterprise Resource Planning (ERP, in Italia anche conosciuti come «sistemi informativi integrati») progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale. Le tecnologie basate sui protocolli internet, inoltre, hanno ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e il legame fra i processi gestionali inter-organizzativi. La visione sistemica delle modalità di svolgimento della gestione aziendale, presente in un applicativo integrato, è immediatamente percepibile da ogni operatore semplicemente svolgendo le proprie attività e registrando le transazioni pertinenti; la simultanea o successiva «interrogazione» del sistema informativo mostra l avanzamento della procedura e l influenza sulle attività svolte in altre aree, facilitando la visibilità 3 Cfr. P. PISONI, Il sistema informativo dell impresa, Giuffrè, Milano, 1979, pag

6 delle norme per l attuazione delle operazioni, la condivisione delle informazioni, il lavoro in team e la responsabilizzazione di ogni operatore ai risultati di processo. L accentramento dell archiviazione dei dati prodotti dalle transazioni in un unico database arricchisce enormemente la qualità delle informazioni estraibili, a seconda delle necessità dell organo decisore. Tutti gli operatori coinvolti a vario livello nella gestione aziendale, dotati di differenti autorizzazioni per l accesso, possono ritrovare le informazioni «critiche» per elaborare il processo decisionale di competenza, adeguando in modo coerente e autonomo il grado di approfondimento e gli attributi desiderati. L introduzione di un applicativo gestionale integrato, oltre a rappresentare una leva efficace per dare inizio alla revisione dei processi aziendali e al cambiamento organizzativo, costituisce una notevole opportunità per costruire una infrastruttura tecnologica in grado di evolvere nel tempo, di supportare lo sviluppo delle nuove occasioni di business e di avviare un circolo virtuoso per la continua e progressiva ottimizzazione delle performance. La tecnologia web e l espansione del commercio elettronico hanno influenzato profondamente sia i rapporti tra aziende e clienti (mercato Business-to-Consumer, B2C) sia quelli tra produttori (Business-to-Business, B2B), sia le relazioni interne (Businessto-Employee, B2E) portando alla nascita di un tipo di impresa «collaborativa», con la possibilità di creare nuove configurazioni di catene del valore e nuove opportunità di business. Per la gestione dell azienda estesa sono, così, comparsi gli E-ERP (Extended ERP) e le Enterprise Business Applications (EBA), basati sull architettura internet, con soluzioni che, integrando tecnicamente e funzionalmente i diversi attori, assecondano le interconnessioni (fisiche e logiche) e, grazie a funzionalità applicative orientate alla pianificazione della logistica integrata e a moduli che hanno lo scopo di intensificare le opportunità di comunicazione strutturata, conseguono il coordinamento dei processi aziendali con i fornitori e altri partner di servizi strategici (Supply Chain Management, SCM), con i clienti (Customer Relationship Management, CRM) e forniscono il supporto alla forza di vendita (Sales Force Automation, SFA); le informazioni sui clienti sono disponibili e aggiornate grazie ai sistemi ERP e, inversamente, le attività di vendita e previsionali alimentano la base dei dati dell applicativo. Il patrimonio informativo aziendale, alimentato da dati operazionali amministrati dagli ERP, dalle applicazioni SCM e CRM e da altre fonti qualificate (fra cui, sempre più, siti internet per le aziende e per particolari settori) deve poi trovare ordinata archiviazione nei database e adeguata valorizzazione attraverso sistemi di Data Warehouse (DW) e Data Webhouse, «magazzini» nei quali, attraverso l integrazione e la razionalizzazione dei dati interni ed esterni, vengono predisposti e combinati gli elementi essenziali per i moduli di Business Intelligence (BI), congegnati per supportare il processo decisionale del management. 6

7 3. La sicurezza dei sistemi informativi aziendali La sicurezza in ambito aziendale viene definita, dalle norme internazionali, come «lo studio, sviluppo e attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali, organizzative e umane di cui l azienda dispone o di cui necessita per garantirsi un adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine» 4. La crescente attenzione verso i problemi della sicurezza aziendale porta ad attività finalizzate alla tutela del patrimonio aziendale, a politiche proiettate al contenimento dei rischi e delle perdite economiche o finanziarie, che indiscutibilmente contribuiscono al mantenimento e all accrescimento del valore aziendale. La sicurezza, spesso vista come un incombenza imposta, viene vissuta, in senso negativo, come mero adempimento burocratico, in quanto si ritiene sia un elemento di interferenza all efficienza ed efficacia dell attività aziendale; in realtà, una corretta analisi dei benefici derivanti da una adeguata politica di salvaguardia dell integrità del patrimonio aziendale e del regolare svolgimento della gestione, evidenzia come il raggiungimento degli obiettivi di sicurezza sia la condizione sostanziale per il conseguimento delle basilari finalità aziendali. Per sicurezza di un sistema informativo si intende sia la protezione delle informazioni da rilevazioni, alterazioni, eliminazioni non autorizzate volontarie e accidentali, che il contenimento degli effetti negativi provocati dal manifestarsi di tali eventi. La conoscenza delle informazioni e del relativo valore sono, quindi, elementi indispensabili per predisporre misure protettive e per intraprendere le idonee azioni di sicurezza. Prevenire il danneggiamento, misurare la perdita o la modificazione di informazioni e recuperare tempestivamente i dati eventualmente sottratti o alterati, costituiscono, in estrema sintesi, le fondamentali misure di sicurezza richieste per la protezione dei sistemi informativi. Un sistema dedicato alla gestione delle informazioni si definisce «sicuro» quando soddisfa le seguenti proprietà: - confidenzialità, comporta la protezione dei dati trasmessi o memorizzati per evitare l intercettazione e la lettura da parte di soggetti non autorizzati. Le tecniche utilizzate per garantire la confidenzialità possono, ad esempio, essere la crittografia o il controllo degli accessi; - integrità, implica che i dati trasmessi, ricevuti o custoditi non abbiano subito manomissioni o modifiche non autorizzate. Il sistema deve essere approntato in modo tale da poter individuare e segnalare eventuali modificazioni ed errori di trasmissione. 4 UNI 10459, Funzioni e profilo del professionista della security aziendale,

8 L integrità non certifica l origine dei dati (autenticazione) ma garantisce la validità dei dati stessi, escludendone eventuali alterazioni; - disponibilità, riguarda la capacità di un dato di essere accessibile e utilizzabile a ogni richiesta proveniente da utenti autorizzati. Salvaguardare la disponibilità significa attuare tutte le tecniche per impedire intrusioni non autorizzate e per assicurare l utilizzo dei dati e dei servizi anche in caso di interruzioni involontarie, eventi imprevisti e catastrofi naturali. Le proprietà esposte costituiscono innegabilmente il nucleo di riferimento di un sistema sicuro; altri requisiti contribuiscono, comunque, a definire la sicurezza di un sistema informativo: - autenticazione, processo che consente di verificare la veridicità dell identità conclamata da un organismo o un utente; - non ripudiabilità, proprietà che caratterizza le transazioni in rete tra due parti e consiste nell impossibilità di disconoscere la paternità di un azione; - tracciabilità degli utenti, insieme dei meccanismi che permettono di attribuire inequivocabilmente un azione a un determinato utente. La sicurezza dei sistemi informativi è una questione di ampia portata culturale, che supera i confini dell ambito propriamente informatico; il tema investe dimensioni assai diversificate e cruciali della vita e del lavoro degli individui e delle organizzazioni, spaziando dal diritto alla riservatezza, alla tutela della privacy, dalla protezione del copyright, all etica. La tutela delle informazioni è un tratto della cultura organizzativa: da un lato influenza la qualità dei processi aziendali e dei servizi erogati e dall altro condiziona l immagine e la reputazione dell impresa. La protezione dei sistemi informativi è un problema che, lungi dall essere risolto tramite l esclusivo utilizzo di strumenti tecnologici, richiede l attuazione di specifiche procedure organizzative. Le decisioni circa la sicurezza informatica non devono essere esclusiva competenza del personale tecnico (a livello di scelta e di attuazione) bensì l alta direzione aziendale deve essere coinvolta in questo processo. 4. L approccio sistemico alla sicurezza delle informazioni aziendali La corretta impostazione di un sistema globale di security richiede lo sviluppo di una proiezione strategica e rappresenta un elemento essenziale nella definizione del contesto, delle priorità e delle aree critiche di intervento, ma, soprattutto, consente di trasmettere una corretta visione alla quale si dovranno ispirare le azioni successive. La pianificazione degli obiettivi di fondo della gestione prevede che si identifichino in modo altrettanto chiaro e univoco le regole generali di comportamento rispetto alle politiche di sicurezza, con particolare attenzione a quelle relative alle informazioni critiche. L analisi del profilo competitivo e l identificazione delle alternative strategiche 8

9 i di ogni business in cui l azienda opera, comportano la formulazione di scelte che coinvolgono profondamente i piani di intervento sulla sicurezza. L analisi dell ambiente di riferimento (politico, socio-culturale, economico, tecnologico, fisico, ecc.) e la valutazione degli elementi di forza e di debolezza che condizionano le scelte strategiche, influiscono sulle opzioni e sull operatività della sicurezza aziendale; nello stesso modo le strategie di sicurezza comportano vincoli e offrono opportunità alle alternative di business, configurandosi esse stesse come fonte di vantaggio competitivo. La definizione delle politiche di gestione corrente e la stesura dei piani operativi devono includere gli orientamenti delle politiche di sicurezza e prevedere livelli di affidabilità, integrità e confidenzialità delle informazioni coerenti con i progetti strategici di cambiamento, innovazione o di mantenimento della posizione competitiva. Nella pianificazione operativa devono essere previsti orizzonti temporali, riferimenti organizzativi e disponibilità economico-finanziarie per poter predisporre budget adeguati al grado di protezione indicato nei programmi strategici. FIGURA 1 Approccio sistemico alla sicurezza delle informazioni aziendali STRATEGIA Pianificazione obiettivi Politiche di sicurezza Gestione dei rischi Budget ORGANIZZAZIONE Ruoli e responsabilità Piani formativi Regole e procedure Monitoraggio No Si Si TECNOLOGIE Sicurezza risorse tecnologiche Analisi minacce Individuazione vulnerabilità Implementazione contromisure? No Si La sicurezza delle informazioni, condizionando ogni attività aziendale, deve essere prevista nella progettazione della struttura organizzativa, delle singole posizioni di lavoro e delle relazioni che favoriscono i rapporti fra le persone. Responsabile della sicurezza, responsabili e incaricati dei trattamenti, responsabili delle infrastrutture informatiche e dei sistemi informativi, sono ruoli fondamentali che, nell attuale contesto 9

10 competitivo e normativo, devono essere chiaramente identificati e considerati nella progettazione organizzativa. Il compimento di un ampio piano di sicurezza comporta la creazione e il mantenimento di un clima organizzativo nel quale ciascun soggetto, dal top management ai livelli operativi, sia fortemente motivato a rimuovere tutti i vincoli incardinati su attività ripetitive e passive, e che porti alla condivisione degli obiettivi e alla proposizione di innovativi percorsi risolutivi. Il ruolo ricoperto dalla risorsa umana impone nuovi modelli di gestione del personale che, attraverso la diffusione di informazioni e competenze, coinvolgano tutti gli attori della sicurezza. I responsabili di alto livello devono essere formati per interpretare il ruolo di «testimoni della sicurezza»; è, inoltre, indispensabile lo sviluppo di una più attenta qualità nella gestione delle persone come prerequisito per attivare la collaborazione e responsabilizzazione diffusa sui temi della sicurezza. La sicurezza è una cultura continua e una pratica costante da affidare a responsabili in grado di impostare correttamente piani strategici e programmi operativi articolati, nella consapevolezza che, comunque, una notevole parte rimane affidata allo scrupolo e alla preparazione di tutti gli utenti. 5. Il sistema di gestione per la sicurezza delle informazioni Un «Sistema di Gestione della Sicurezza delle informazioni» (SGSI), stabilendo obiettivi e politiche di sicurezza, rappresenta un approccio sistemico alla gestione della sicurezza informatica comprendendo risorse umane, processi aziendali e sistemi informativi. Gli enti internazionali di normazione hanno individuato (in particolare nella norma BS :2002) i passi fondamentali per l attuazione di un SGSI, promuovendo l approccio basato sui processi e richiamando i principi basilari contenuti nelle norme per la gestione della qualità. L approccio per processi applicato a un SGSI consente di: - identificare le esigenze di sicurezza informatica e comprendere l importanza di stabilire gli obiettivi e di definire una politica di sicurezza; - mettere in luce la necessità di implementare e controllare la gestione del rischio globale aziendale; - comprendere la rilevanza del costante monitoraggio e riesame delle performance e dell efficacia del SGSI; - focalizzare l attenzione e l impegno sul miglioramento continuo basato su misurazioni oggettive. Il SGSI si basa sul modello Plan, Do, Check, Act (PDCA), metodologia che guida il processo di mantenimento e di miglioramento continuo applicabile a ogni livello dell azienda (in particolare al sistema dei processi e a ogni singolo processo). Il PDCA si realizza attraverso un azione ciclica basata sulla reiterazione sequenziale delle quattro 10

11 fasi, strettamente associate con la pianificazione, l attuazione, il controllo e il miglioramento continuo. Un SGSI è costituito da quattro macroprocessi fondamentali (Figura 2): 1) Pianificare e progettare un SGSI (Plan) 2) Implementare e attuare un SGSI (Do) 3) Controllare e riesaminare il SGSI (Check) 4) Mantenere e migliorare il SGSI (Act). FIGURA 2 Il modello PDCA applicato al sistema per la sicurezza delle informazioni PLAN Pianificare e progettare Requisiti delle parti interessate DO Implementare e attuare Ciclo di sviluppo, mantenimento e miglioramento del SGSI Mantenere e migliorare ACT Requisiti delle parti interessate Esigenze e aspettative della sicurezza delle informazioni Fonte: BS :2002 Controllare e riesaminare CHECK Sicurezza del sistema delle informazioni 5.1. Pianificare e progettare un SGSI (Plan) In questo primo macroprocesso è necessario definire la portata, l ambito di applicazione del SGSI, tenendo conto delle caratteristiche dell organizzazione, del business, delle risorse da proteggere e delle tecnologie. Il campo d azione del SGSI può riguardare tutta l impresa, oppure parti della stessa (specifici rami, sistemi, aree) ma, in ogni caso, deve estendersi a tutti i sistemi informativi coinvolti e alle loro vie d accesso. Determinata la politica di sicurezza delle informazioni e portata a conoscenza di tutto il personale, si individuano le responsabilità, le risorse da impiegare, il patrimonio informativo da proteggere, coerentemente con i riferimenti normativi e legislativi cui ottemperare. 11

12 Il principio che deve guidare ogni politica di sicurezza dei sistemi informativi è quello per cui le azioni intraprese e le misure adottate devono sempre essere commisurate ai danni provocati dalla perdita o alterazione del patrimonio informativo. La gestione del rischio (risk management) è un aspetto che riveste un estrema importanza nella definizione di una strategia di sicurezza; oltre a riconoscere e gestire gli eventi potenzialmente dannosi, è utile anche a individuare le eventuali opportunità che altrimenti non verrebbero riconosciute e sfruttate. La gestione dei rischi risponde, quindi, sia a esigenze esterne, quali evitare gravi difficoltà dovute a sistemi di presidio dei rischi inefficaci o esposizioni a responsabilità amministrative o penali, che a esigenze interne, quali il collegamento tra obiettivi e rischi (scoprendo, cioè, i rischi che possono impedire il raggiungimento degli obiettivi), la razionalizzazione delle risorse, l identificazione delle opportunità, la riduzione di eventuali imprevisti e perdite, la valutazione dell affidabilità delle informazioni, l ottemperanza agli adempimenti normativi. Nel processo di gestione del rischio si distinguono le fasi di: - analisi del rischio (risk assessment), a sua volta articolata nell individuazione dei processi chiave, nell inventariazione e valutazione delle risorse (asset) da proteggere, nell identificazione e valutazione delle probabili minacce (in termini di metodi, strumenti e tecniche di attacco), nel riconoscimento delle vulnerabilità del sistema in relazione a minacce note e nell accertamento dei rischi; - controllo del rischio, selezionando e attuando le contromisure di sicurezza che meglio soddisfano le esigenze messe in luce nella fase precedente, nel rispetto dei vincoli economici stabiliti. Le misure implementate consentono di limitare il rischio attraverso la minimizzazione dei punti di debolezza del sistema e degli asset aziendali e delle minacce conseguenti. Il processo si conclude con il calcolo del rischio residuo e, per la parte considerata non accettabile, si valutano diverse opzioni come, ad esempio, il trasferimento a terzi dei danni derivanti dalla manifestazione di eventi negativi attraverso la stipula di polizze assicurative L analisi del rischio L analisi del rischio è definibile come la valutazione delle minacce, degli impatti e delle vulnerabilità delle informazioni e degli strumenti informatici e della probabilità del loro verificarsi. Affinché un asset informativo sia soggetto a un rischio di sicurezza, occorre che una minaccia, tramite un agente ostile, capace di sfruttare una vulnerabilità presente nella risorsa esaminata, possa recare danno in termini di: integrità, riservatezza o disponibilità 5. 5 Cfr. R. IMPERIALI, Codice della privacy: commento alla normativa sulla protezione dei dati personali, Ed. Il Sole 24 Ore, Milano, 2004, pag

13 L analisi dei rischi assume una rilevanza fondamentale in quanto i risultati dell indagine influenzeranno profondamente le scelte da effettuare e le misure da implementare per una conforme gestione del rischio (rispetto al valore attribuito alle risorse da proteggere); tende a individuare i controlli di sicurezza da implementare attraverso l applicazione degli standard internazionali valorizzando esperienze consolidate e, nel contempo, indicare modalità operative agevolmente adattabili a contesti specifici. Un utile supporto alle diverse fasi del processo di analisi dei rischi è costituito da un aggiornato database dei rischi nel quale devono confluire i dati provenienti da metodica, costante, completa e tempestiva documentazione degli incidenti, dei luoghi e dei tempi nei quali sono avvenuti, delle ragioni per le quali si sono manifestati. Per l analisi dei rischi la prassi consolidata prevede le seguenti fasi: A) l individuazione dei processi chiave; B) l identificazione e la valutazione degli asset aziendali; C) l identificazione e la valutazione delle minacce; D) l identificazione e la valutazione delle vulnerabilità; E) l accertamento dei rischi. A) L individuazione dei processi chiave Nella prima fase occorre capire quali sono gli elementi che risultano fondamentali per lo svolgimento della gestione aziendale in condizioni di efficacia e di efficienza, quali sono i processi basilari ai fini del mantenimento e del miglioramento di un adeguata capacità competitiva e su quali informazioni critiche si deve fare affidamento per il raggiungimento degli obiettivi definiti nella pianificazione strategica. Per questa ragione, è necessario predisporre una rappresentazione dell azienda come «sistema di processi». Rappresentare i processi significa individuarne gli elementi distintivi facilitando la comprensione dello svolgimento delle attività e dell ordine con cui vengono svolte, le unità organizzative interessate, gli input e gli output del processo, le risorse impiegate e l insieme ordinato dei flussi informativi che si generano. I processi di business, costituenti la catena del valore, devono essere declinati in «processi organizzativi», per descrivere il reale funzionamento dell azienda (con particolare riferimento alle attività svolte), e in «processi informatici», per delineare il modo di operare delle soluzioni informatiche nel rispetto delle regole di gestione e il livello di cooperazione (più o meno dettagliato) dei trattamenti informatici assegnati alle risorse architetturali. Per individuare il contesto da sottoporre all analisi dei rischi è indispensabile rappresentare la mappa delle soluzioni informatiche congiunta con il sistema di processi che si svolgono in azienda. 13

14 Attraverso le attuali soluzioni informatiche si possono analizzare e modellare i sistemi informativi e le loro relazioni con i processi di business, costruendo un architettura di riferimento e definendo una mappa dei sistemi informativi e dei flussi di dati. Disponendo di una visione chiara dei componenti dell architettura e del modo in cui questi interagiscono con i processi interni ed esterni, è possibile ottimizzare le proprie risorse tecnologiche a supporto dei processi critici, organizzare i progetti di miglioramento o di nuovi servizi, gestire in modo efficace l evoluzione del sistema, sempre avendo una visione chiara e aggiornata delle possibili vulnerabilità delle risorse informative. Sotto il profilo tecnico, la definizione dei diagrammi riferiti all architettura del sistema informativo permette di identificare e rappresentare l hardware esistente (server, workstation, ecc.), le «macchine» sulle quali sono installati i database e le applicazioni, le reti che collegano le macchine e di descriverne le rispettive caratteristiche. B) L identificazione e la valutazione delle risorse aziendali Fra le risorse aziendali da proteggere particolare attenzione deve essere dedicata a quelle che hanno impatti con le problematiche di sicurezza: apparati tecnologici, software e database che intervengono nel trattamento delle informazioni. In analisi si possono distinguere: luoghi fisici (in cui si trovano i sistemi di elaborazione, si svolgono i trattamenti dei dati, in cui sono conservati i dati), risorse hardware, risorse dati (archivi in formato elettronico e archivi cartacei, procedure operative e di supporto, manuali, diritti d autore e piani di continuità), risorse software 6. Le risorse individuate devono essere valutate in ordine alla loro rilevanza rispetto al contributo al raggiungimento delle finalità strategiche proprie del sistema informativo e criticità in relazione all impatto sul business aziendale (una classificazione di tipo qualitativo può definire i beni «non critici», «scarsamente critici», «critici» e «ipercritici»). Soprattutto, è indispensabile classificare gli asset e attribuire loro un valore in riferimento alla tipologia di informazioni trattate e in base ai requisiti di riservatezza, integrità e disponibilità. Le operazioni compiute portano alla conoscenza del valore delle risorse inventariate stabilito in base alle conseguenze causate dalla perdita o alterazione dell asset o al costo per il ripristino o la sostituzione. L analisi dei rischi, dal punto di vista operativo, prosegue considerando, per ciascun elemento da proteggere, i fattori di rischio cui esso è esposto. Questi scaturiranno dall analisi delle minacce che possono insidiare i luoghi fisici, le risorse hardware, le risorse dati e le risorse software inventariate precedentemente. 6 Cfr. Garante per la protezione dei dati personali, Guida alla redazione del Dps, pag

15 C) L identificazione e la valutazione delle minacce Le minacce alle quali sono sottoposte le risorse aziendali, destinate ai processi di produzione delle informazioni, consistono nell eventuale capacità di atti o di eventi fortuiti ad arrecare danni, facendo leva su punti deboli o vulnerabili, che vadano a inficiare le proprietà basilari del sistema informativo. La valutazione delle minacce è il processo che porta al riconoscimento dei potenziali eventi che possono, a vario modo, nuocere al patrimonio informativo. La prima attività consiste nell individuazione e nella classificazione delle possibili minacce, effettuata in funzione della sorgente (ad esempio interna o esterna), della natura (volontaria o involontaria), della tipologia del danno che possono cagionare (con effetti diretti sulla risorsa, oppure indiretti e manifestati attraverso contaminazione, indisponibilità delle informazioni), delle varie modalità di attacco (social engineering, denial of services, software maliziosi, identificazione di password, accessi non autorizzati, ecc.) e della relativa complessità (articolazione, difficoltà di riconoscimento, ecc.). A ogni minaccia, potenzialmente dannosa per la sicurezza dei dati, individuata e classificata, si associano degli indicatori al fine di valutare globalmente le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. A questo punto, se si vuole avere una prima stima intorno ai pericoli più o meno imminenti e pertinenti a ogni risorsa, si possono attribuire, a ogni risorsa prima censita e valutata (in base alla classe di criticità dell informazione in funzione della riservatezza, integrità e disponibilità), gli indicatori relativi al livello di esposizione alle minacce. D) L identificazione e la valutazione delle vulnerabilità La classificazione delle possibili minacce porta alla valutazione dei punti di debolezza che possono essere illecitamente o accidentalmente utilizzati durante un attacco; la vulnerabilità, infatti, origina danni solo se vi è una corrispondente minaccia che la sfrutta. Le vulnerabilità sono fortemente riconducibili alle caratteristiche e alle proprietà delle risorse, e consistono in una condizione dell ambiente fisico e tecnologico che consente alla minaccia di concretizzarsi; si riscontrano negli aspetti tecnici e di natura organizzativa connessi allo svolgimento dei processi e delle procedure e al fattore umano che li sovraintende. Nella fase di identificazione si individuano, classificandole, le vulnerabilità che possono essere minacciate, per poi valutarle, assegnando, con coerenti criteri di misurazione, adeguati parametri riferiti alla fragilità e agevolezza con la quale possono essere scoperte e sfruttate e all impatto dannoso che ne deriverebbe. 15

16 Le vulnerabilità possono attribuirsi alla collocazione geografica delle risorse e ai luoghi fisici dove sono collocate le infrastrutture e dove si realizzano i processi aziendali, o all ambiente tecnologico. Il fattore umano rappresenta, spesso, una delle più rilevanti vulnerabilità (scarso livello di sensibilizzazione e competenza del personale, incuria nell utilizzo degli strumenti, ecc). La vulnerabilità può essere stimata secondo una scala di valori che tenga in considerazione la maggiore o minore semplicità con la quale le minacce possono introdursi. E) L accertamento dei rischi L obiettivo, e passo conclusivo della fase di analisi dei rischi, è la definizione della misura del rischio. La misura del rischio scaturisce dall effetto combinato dei suoi fattori determinanti: il valore attribuito a ogni risorsa, il livello delle minacce e l entità delle vulnerabilità correlate. Per ottenere una valutazione del rischio globale che tenga conto della probabilità che le minacce, sfruttando le vulnerabilità, provochino un impatto dannoso sulle risorse aziendali, è proficuo costruire la matrice di rischio di Tavola 1. TAVOLA 1 Matrice del rischio incombente sulle risorse Minacce Risorse Risorsa A Risorsa B Risorsa C Risorsa Minaccia 1 Minaccia 2 Minaccia Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio 16

17 L operatore che deve esprimere la valutazione ben conscio che la matrice accoglie termini quali-quantitativi di natura soggettiva se ne avvale come valido supporto per la sistematizzazione delle diverse variabili e delle stime intermedie e la considera una solida base per esprimere l apprezzamento sulla necessità di misure di sicurezza e per fornire, anche alla luce della professionalità e dell esperienza personali, una scala di priorità, che, tenute in considerazione le sempre limitate risorse, orientino la scelta dei provvedimenti da adottare Il controllo del rischio I risultati conseguiti nell analisi dei rischi portano alla determinazione di adeguate contromisure di sicurezza allo scopo di ridurre il livello delle vulnerabilità presenti e di evitare, o contenere, gli effetti dannosi dei rischi valutati e, per quanto possibile, ridurre le probabilità di manifestazione degli eventi. Una contromisura consiste in uno specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche nelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Durante la fase del controllo del rischio, intrinsecamente collegata a quella di analisi e valutazione, viene definito il livello massimo di rischio accettabile e vengono individuate le strategie da adottare per ridurre il rischio al di sotto di tale livello. Un rischio è ritenuto accettabile quando gli oneri per proteggere le risorse sono stimati eccessivi in relazione al valore della risorsa da proteggere. Nel considerare il valore della risorsa da proteggere è indispensabile contemplare non solo il valore intrinseco del bene, ma, soprattutto, l importanza della sua funzione per lo svolgimento delle attività e dei processi più o meno critici per il raggiungimento delle finalità aziendali. Le contromisure che vengono individuate rappresentano il profilo di protezione di ciascun asset. La selezione di opportune misure di sicurezza deve tener conto del livello dei rischi associati a ciascuna minaccia individuata e del grado di sicurezza che la contromisura può assicurare; la stima e il confronto con le misure già esistenti permette di riconoscere eventuali lacune o ridondanze. Concretamente il controllo del rischio può prevedere azioni proiettate a: - evitare il rischio. Pur essendo di difficile attuazione, si eludono le attività che portano ad affrontare in vario modo fattori pericolosi, eliminando, all origine, la causa del rischio; - ridurre il rischio. Essendo tutt altro che agevole eliminare sistematicamente il rischio, si agisce sulle componenti dello stesso cercando di ridurre la probabilità che si verifichi l evento dannoso e/o l impatto che questo avrebbe sulle risorse. Il rischio 17

18 residuo deve essere ricondotto a un livello minore di quello ritenuto accettabile. Ciò sottintende la scelta e l attuazione di contromisure appropriate; - accettare il rischio. Nella consapevolezza che non è possibile innalzare barriere che rendano un sistema completamente sicuro (a motivo anche dei costi per le strutture e per l eccessivo rallentamento che molte procedure operative subirebbero), bisogna prendere in considerazione l eventualità che l accadimento dannoso si verifichi e accollarsene responsabilmente le conseguenze e gli oneri derivanti; - trasferire il rischio, o meglio, le conseguenze onerose derivanti dalla manifestazione del rischio. FIGURA 3 Rappresentazione grafica dei possibili interventi per ridurre il rischio Probabilità Rischio iniziale Rischio residuo Impatto Vulnerabilità Per ridurre l esposizione al rischio si ricorre a provvedimenti concernenti la prevenzione e la protezione. Le misure di prevenzione riguardano quel complesso di interventi indirizzati a contrastare il verificarsi di accadimenti avversi, posti in essere per ridurre la probabilità dell avverarsi dell evento dannoso. La natura di salvaguardia delle misure impone che, per minimizzare i rischi, esse siano adottate in via preventiva. I meccanismi di prevenzione rafforzano la difesa durante l operatività del sistema attraverso un azione cautelativa, volta a non rendere possibili situazioni potenzialmente pericolose. 18

19 Per proteggere le risorse si ricorre a interventi al fine di rendere minimi i danni nel caso in cui l evento temuto abbia la possibilità di manifestarsi. In altri termini, si tende a ridurre l effetto dell impatto sulla risorsa. Il giusto equilibrio tra misure di prevenzione e misure di protezione va ricercato, per ogni rischio specifico o per classi omogenee di rischi, considerando se è più rilevante la componente relativa alla frequenza di manifestazione delle minacce oppure se è più opportuno incidere sulle ricadute negative che gli inconvenienti comportano. Gli aspetti da considerare per vagliare le contromisure appropriate sono: l idoneità a ostacolare i rischi individuati; la conformità agli standard di sicurezza e ai modelli di riferimento definiti dalle norme specifiche (criteri TCSEC, ITSEC, ISO 17799, BS 7799); il livello di rischio residuo considerato accettabile; l impatto economico conseguente all implementazione e al mantenimento rapportato al valore della risorsa da proteggere. Un piano per la protezione efficace e completo dovrà basarsi su interventi inerenti l organizzazione e su strumenti e tecniche per la sicurezza delle reti e delle apparecchiature per l elaborazione delle informazioni Implementare e attuare un SGSI (Do) In questo macroprocesso trovano attuazione le politiche di sicurezza definite, le contromisure selezionate, i controlli stabiliti, le procedure da seguire. L impegno dell organizzazione è, quindi, rivolto a: - formulare e implementare un piano di gestione del rischio che individui le idonee azioni da intraprendere, i ruoli e le responsabilità del personale coinvolto, le risorse necessarie; - adottare le contromisure vagliate; - sviluppare programmi per la formazione e la sensibilizzazione del personale alle problematiche della sicurezza, determinando le competenze necessarie a svolgere i diversi incarichi e compiti, provvedendo alla preparazione di personale idoneo ad assumere tali ruoli, documentando il processo di addestramento e acquisizione di capacità, esperienza e consapevolezza; - gestire le attività svolte e le risorse necessarie a implementare, governare e mantenere il SGSI, ad attuare validi metodi per garantire la sicurezza informatica, a ottemperare precise disposizioni normative e legislative, ad adempiere alle obbligazioni contrattuali, a realizzare correttamente i controlli previsti, a revisionare il sistema (in caso di necessità) e intraprendere adeguate azioni correttive; - applicare le misure e i controlli che consentano una rapida individuazione di incidenti riguardanti la sicurezza informatica e che offrano tempestive opportunità di intervento. 19

20 5.3. Controllare e riesaminare il SGSI (Check) La verifica dell efficacia e della validità nel tempo delle misure di sicurezza adottate è una fase fondamentale del processo della gestione della sicurezza; infatti, in un contesto tecnologico in rapida evoluzione è necessario avere le massime garanzie circa l adeguatezza delle difese impiegate con particolare riferimento alla varietà delle sempre nuove minacce e alla prontezza con la quale si individuano e sfruttano nuove vulnerabilità. Il costante monitoraggio permette di comprendere se le contromisure sono effettivamente in grado di ridurre il rischio fino ai livelli desiderati e di rilevare tempestivamente eventuali aggressioni che palesino vulnerabilità non considerate in fase di analisi dei rischi, sottostime degli impatti delle minacce, errori nei parametri per il calcolo del livello di rischio, oppure difetti negli strumenti di protezione o scorrettezze nell attivazione degli stessi. Il processo deve, quindi, fornire le informazioni necessarie affinché possano essere avviate idonee azioni correttive. Il processo di verifica è contemporaneamente un processo di apprendimento che dovrà avvalersi di efficaci strumenti di segnalazione degli incidenti e che richiede la creazione di una banca dati nella quale tali segnalazioni sono raccolte, insieme a ogni altra informazione ritenuta utile ai fini di una completa comprensione delle cause degli incidenti stessi. All arricchirsi della banca dati degli incidenti, le informazioni raccolte permetteranno di affinare la conoscenza statistica dei fenomeni di interesse e, sulla base del confronto tra i valori attesi del danno e l entità del danno effettivamente subito, monitorare costantemente la validità delle soluzioni adottate al variare nel tempo delle condizioni 7. Le verifiche riguardo la conformità degli standard di sicurezza fisica, logica e organizzativa e delle norme comportamentali stabilite nelle politiche di sicurezza con quanto effettivamente reso operante (audit di sicurezza), devono compiersi con periodicità fissa, richiedono competenze specifiche e l impiego di personale di elevata professionalità. L auditing richiede, come prerequisito, che l azienda si sia dotata di regole scritte e abbia definito ruoli e responsabilità; inoltre, è opportuno che tali verifiche vengano svolte da personale non direttamente responsabile del sistema informativo oggetto di verifica. Spesso l audit di sicurezza, proprio per garantire un esame imparziale e incondizionato, viene commissionato ad aziende esterne specializzate con comprovata esperienza o a enti di certificazione. Le verifiche di sicurezza forniscono una fonte oggettiva di dati che, presentati senza filtri al top management, vengono utilizzati per individuare azioni correttive. Tutte le informazioni rilevate dovranno confluire nell analisi del rischio e dovranno essere di supporto al management per poter individuare gli interventi da compiere. 7 Periodi tratti da ISCOM, La sicurezza delle reti nelle infrastrutture critiche, 2005, pag

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo

MANUALE OPERATIVO INTRODUZIONE. Manuale Operativo Pagina 1 di 24 INTRODUZIONE SEZ 0 Manuale Operativo DOCUMENTO TECNICO PER LA CERTIFICAZIONE DEL PROCESSO DI VENDITA DEGLI AGENTI E RAPPRESENTANTI DI COMMERCIO OPERANTI PRESSO UN AGENZIA DI RAPPRESENTANZA:

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI

CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E CONSIGLIO NAZIONALE DEI RAGIONIERI COMMISSIONE PARITETICA PER I PRINCIPI DI REVISIONE LA COMPRENSIONE DELL IMPRESA E DEL SUO CONTESTO E LA VALUTAZIONE DEI

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

La politica Nestlé per la Salute e la Sicurezza sul Lavoro

La politica Nestlé per la Salute e la Sicurezza sul Lavoro La politica Nestlé per la Salute e la Sicurezza sul Lavoro La sicurezza non è negoziabile Nestlé è convinta che il successo a lungo termine possa essere raggiunto soltanto grazie alle sue persone. Nessun

Dettagli

Rischio impresa. Rischio di revisione

Rischio impresa. Rischio di revisione Guida alla revisione legale PIANIFICAZIONE del LAVORO di REVISIONE LEGALE dei CONTI Formalizzazione delle attività da svolgere nelle carte di lavoro: determinazione del rischio di revisione, calcolo della

Dettagli

1. Premessa. Il contesto generale.

1. Premessa. Il contesto generale. Linee di indirizzo del Comitato interministeriale (d.p.c.m. 16 gennaio 2013) per la predisposizione, da parte del Dipartimento della funzione pubblica, del PIANO NAZIONALE ANTICORRUZIONE di cui alla legge

Dettagli

REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N.

REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N. REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N. 81/2008 Il Consiglio di Amministrazione della Società ha approvato le

Dettagli

La Valutazione degli Asset Intangibili

La Valutazione degli Asset Intangibili La Valutazione degli Asset Intangibili Chiara Fratini Gli asset intangibili rappresentano il patrimonio di conoscenza di un organizzazione. In un accezione ampia del concetto di conoscenza, questo patrimonio

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza

Codice di Comportamento Genesi Uno. Linee Guida e Normative di Integrità e Trasparenza Codice di Comportamento Genesi Uno Linee Guida e Normative di Integrità e Trasparenza Caro Collaboratore, vorrei sollecitare la tua attenzione sulle linee guida ed i valori di integrità e trasparenza che

Dettagli

PROCEDURA DI AUDIT AI TEST CENTER AICA

PROCEDURA DI AUDIT AI TEST CENTER AICA Pag. 1 di 14 PROCEDURA DI AUDIT REVISIONI 1 19/12/2002 Prima revisione 2 07/01/2004 Seconda revisione 3 11/01/2005 Terza revisione 4 12/01/2006 Quarta revisione 5 09/12/2013 Quinta revisione Adeguamenti

Dettagli

Business Process Management

Business Process Management Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un

Dettagli

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita;

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita; .netbin. è un potentissimo strumento SVILUPPATO DA GIEMME INFORMATICA di analisi dei dati con esposizione dei dati in forma numerica e grafica con un interfaccia visuale di facile utilizzo, organizzata

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

1 BI Business Intelligence

1 BI Business Intelligence K Venture Corporate Finance Srl Via Papa Giovanni XXIII, 40F - 56025 Pontedera (PI) Tel/Fax 0587 482164 - Mail: info@kventure.it www.kventure.it 1 BI Business Intelligence Il futuro che vuoi. Sotto controllo!

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

Project Management Office per centrare tempi e costi

Project Management Office per centrare tempi e costi Project Management Office per centrare tempi e costi Il Project Management Office (PMO) rappresenta l insieme di attività e strumenti per mantenere efficacemente gli obiettivi di tempi, costi e qualità

Dettagli

DIRITTI DEI CONSUMATORI

DIRITTI DEI CONSUMATORI DIRITTI DEI CONSUMATORI 1. Quali sono i diritti dei consumatori stabiliti dal Codice del Consumo 2. Qual è la portata della disposizione? 3. Qual è l origine dell elencazione? 4. In che cosa consiste il

Dettagli

REGOLAMENTO N. 20 DEL 26 MARZO 2008 L ISVAP. (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo)

REGOLAMENTO N. 20 DEL 26 MARZO 2008 L ISVAP. (Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo) REGOLAMENTO N. 20 DEL 26 MARZO 2008 REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE,

Dettagli

Università degli Studi del Sannio NUCLEO DI VALUTAZIONE RIUNIONE NUCLEO DI VALUTAZIONE

Università degli Studi del Sannio NUCLEO DI VALUTAZIONE RIUNIONE NUCLEO DI VALUTAZIONE Verbale n. 10 del 5 Novembre 2014 RIUNIONE Il giorno 5 Novembre 2014, alle ore 10.40, il Nucleo di Valutazione dell Università degli Studi del Sannio, si è riunito per discutere sugli argomenti iscritti

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Energy risk management

Energy risk management Il sistema di supporto alle tue decisioni Energy risk management Un approccio orientato agli attori M.B.I. Srl, Via Francesco Squartini 7-56121 Pisa, Italia - tel. 050 3870888 - fax. 050 3870808 www.powerschedo.it

Dettagli

REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA

REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA REGOLAMENTO DI ORGANIZZAZIONE E FUNZIONAMENTO DEL DIPARTIMENTO AD ATTIVITA INTEGRATA (DAI) DI MEDICINA INTERNA Art. 1 Finalità e compiti del Dipartimento ad attività integrata (DAI) di Medicina Interna

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

Business Process Management

Business Process Management Corso di Certificazione in Business Process Management Progetto Didattico 2015 con la supervisione scientifica del Dipartimento di Informatica Università degli Studi di Torino Responsabile scientifico

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

SPAI di Puclini Carlo

SPAI di Puclini Carlo CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA INDICE 1. LIVELLO STRATEGICO 1.1 Politica della Qualità 2. LIVELLO ORGANIZZATIVO 2.1 Servizi formativi offerti 2.2 Dotazione di risorse professionali e logistico

Dettagli

Progetto VALUTAZIONE DELLE PERFORMANCE

Progetto VALUTAZIONE DELLE PERFORMANCE Direzione Generale per le Politiche Attive e Passive del Lavoro Progetto VALUTAZIONE DELLE PERFORMANCE Controlli interni e Ciclo della performance alla luce dell art.3 del D.L. 174/2012 Position Paper

Dettagli

PLM Software. Answers for industry. Siemens PLM Software

PLM Software. Answers for industry. Siemens PLM Software Siemens PLM Software Monitoraggio e reporting delle prestazioni di prodotti e programmi Sfruttare le funzionalità di reporting e analisi delle soluzioni PLM per gestire in modo più efficace i complessi

Dettagli

Costi della Qualità. La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro.

Costi della Qualità. La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro. Costi della Qualità La Qualità costa! Ma quanto costa la non Qualità? La Qualità fa risparmiare denaro. La non Qualità fa perdere denaro. Per anni le aziende, in particolare quelle di produzione, hanno

Dettagli

POLICY SUI CONFLITTI DI INTERESSI. Versione 9.0 del 9/03/2015. Approvata dal CDA nella seduta del 7/04/2015

POLICY SUI CONFLITTI DI INTERESSI. Versione 9.0 del 9/03/2015. Approvata dal CDA nella seduta del 7/04/2015 POLICY SUI CONFLITTI DI INTERESSI Versione 9.0 del 9/03/2015 Approvata dal CDA nella seduta del 7/04/2015 Policy conflitti di interesse Pag. 1 di 14 INDICE 1. PREMESSA... 3 1.1 Definizioni... 4 2. OBIETTIVI...

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

CONCILIAZIONE FAMIGLIA & LAVORO IN IMPRESA

CONCILIAZIONE FAMIGLIA & LAVORO IN IMPRESA CONCILIAZIONE FAMIGLIA & LAVORO IN IMPRESA (Operazione 2011-796/PR - approvata con Delibera di Giunta Provinciale n. 608 del 01/12/2011) BANDO DI SELEZIONE DOCENTI E CONSULENTI La Provincia di Parma ha

Dettagli

Vivere bene entro i limiti del nostro pianeta

Vivere bene entro i limiti del nostro pianeta isstock Vivere bene entro i limiti del nostro pianeta 7 PAA Programma generale di azione dell Unione in materia di ambiente fino al 2020 A partire dalla metà degli anni 70 del secolo scorso, la politica

Dettagli

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni:

Utilizzato con successo nei più svariati settori aziendali, Passepartout Mexal BP è disponibile in diverse versioni e configurazioni: Passepartout Mexal BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE

DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE REGOLAMENTO DI FUNZIONAMENTO DELL ORGANISMO DI VIGILANZA D.LGS 231/01 DI GALA S.P.A. DOCUMENTO APPROVATO DAL CONSIGLIO DI AMMINISTRAZIONE DEL 12 DICEMBRE 2013 INDICE ARTICOLO 1 SCOPO E AMBITO DI APPLICAZIONE..3

Dettagli

Sistemi di supporto alle decisioni

Sistemi di supporto alle decisioni Sistemi di supporto alle decisioni Introduzione I sistemi di supporto alle decisioni, DSS (decision support system), sono strumenti informatici che utilizzano dati e modelli matematici a supporto del decision

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

PROCEDURE DEL MODELLO ORGANIZZATIVO 231 PROCEDURE DI CONTROLLO INTERNO (PCI)

PROCEDURE DEL MODELLO ORGANIZZATIVO 231 PROCEDURE DI CONTROLLO INTERNO (PCI) Pag. 1 di 16 PROCEDURE DEL MODELLO Pag. 2 di 16 Indice PROCEDURE DEL MODELLO... 1 PCI 01 - VENDITA DI SERVIZI... 3 PCI 02 PROCEDIMENTI GIUDIZIALI ED ARBITRALI... 5 PCI 03 AUTORIZZAZIONI E RAPPORTI CON

Dettagli

Alberta Riccio (Responsabile Qualità, Ambiente, Sicurezza e Risorse Umane)

Alberta Riccio (Responsabile Qualità, Ambiente, Sicurezza e Risorse Umane) ESEMPI DI BUONA PRASSI TEMA Sistema di Gestione per la Sicurezza TITOLO DELLA SOLUZIONE Pianificazione della Manutenzione, Utilizzo di Software dedicato e Formazione per Addetti Manutenzione AZIENDA/ORGANIZZAZIONE

Dettagli

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane L esperienza di ATM Il Sistema di Sicurezza nell ambito del Trasporto Pubblico Locale Claudio Pantaleo Direttore Sistemi e Tecnologie Protezione

Dettagli

VALUTAZIONE DI RISULTATO E DI IMPATTO del progetto Diesis

VALUTAZIONE DI RISULTATO E DI IMPATTO del progetto Diesis Obiettivo Competitività Regionale e Occupazione Programma Operativo Nazionale Azioni di Sistema (FSE) 2007-2013 [IT052PO017] Obiettivo Convergenza Programma Operativo Nazionale Governance e Azioni di Sistema

Dettagli

L attività di ricerca e sviluppo nell organizzazione aziendale

L attività di ricerca e sviluppo nell organizzazione aziendale CAPITOLO PRIMO L attività di ricerca e sviluppo nell organizzazione aziendale SOMMARIO * : 1. Il ruolo dell innovazione tecnologica 2. L attività di ricerca e sviluppo: contenuti 3. L area funzionale della

Dettagli

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità

Utilizzato con successo nei più svariati settori aziendali, con Passepartout Mexal BP ogni utente può disporre di funzionalità PASSEPARTOUT MEXAL BP è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente flessibile, sia dal punto di vista tecnologico sia funzionale. Con più di

Dettagli

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08

Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Il sistema di gestione della sicurezza: cos è, a cosa serve, i rapporti delle norme tecniche con il D.Lgs. 81/08 Firenze 15 febbraio 2010 Pisa 1 marzo 2010 Siena 29 marzo 2010 Dott. Ing. Daniele Novelli

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Struttura di un PEC: dal piano energetico di riferimento alle azioni di piano

Struttura di un PEC: dal piano energetico di riferimento alle azioni di piano Enti locali per Kyoto Struttura di un PEC: dal piano energetico di riferimento alle azioni di piano Rodolfo Pasinetti Ambiente Italia srl Milano, 15 dicembre 2006 Contesto Politiche energetiche Nel passato

Dettagli

Accademia Beauty and Hair

Accademia Beauty and Hair INDICE CARTA DELLA QUALITÀ DELL OFFERTA FORMATIVA 1. LIVELLO STRATEGICO 1.1 Politica della Qualità 2. LIVELLO ORGANIZZATIVO 2.1 Servizi formativi offerti 2.2 Dotazione di risorse professionali e logistico

Dettagli

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014 Processi di business sovra-regionali relativi ai sistemi regionali di FSE Versione 1.0 24 Giugno 2014 1 Indice Indice... 2 Indice delle figure... 3 Indice delle tabelle... 4 Obiettivi del documento...

Dettagli

IT Plant Solutions Soluzioni MES e IT per l Industria

IT Plant Solutions Soluzioni MES e IT per l Industria IT Plant Solutions IT Plant Solutions Soluzioni MES e IT per l Industria s Industrial Solutions and Services Your Success is Our Goal Soluzioni MES e IT per integrare e sincronizzare i processi Prendi

Dettagli

CERVED RATING AGENCY. Politica in materia di conflitti di interesse

CERVED RATING AGENCY. Politica in materia di conflitti di interesse CERVED RATING AGENCY Politica in materia di conflitti di interesse maggio 2014 1 Cerved Rating Agency S.p.A. è specializzata nella valutazione del merito creditizio di imprese non finanziarie di grandi,

Dettagli

BRM. Tutte le soluzioni. per la gestione delle informazioni aziendali. BusinessRelationshipManagement

BRM. Tutte le soluzioni. per la gestione delle informazioni aziendali. BusinessRelationshipManagement BRM BusinessRelationshipManagement Tutte le soluzioni per la gestione delle informazioni aziendali - Business Intelligence - Office Automation - Sistemi C.R.M. I benefici di BRM Garantisce la sicurezza

Dettagli

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA DIRETTIVA DEL MINISTRO DELLA FUNZIONE PUBBLICA SULLA RILEVAZIONE DELLA QUALITA PERCEPITA DAI CITTADINI A tutti i Ministeri - Uffici

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO

CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO CODICE DI COMPORTAMENTO INTEGRATIVO ARTICOLO 1 OGGETTO 1. Il presente Codice di Comportamento integrativo definisce, in applicazione dell'art. 54 del DLgs. n. 165/2001 come riformulato dall'art.1, comma

Dettagli

Relazione sul data warehouse e sul data mining

Relazione sul data warehouse e sul data mining Relazione sul data warehouse e sul data mining INTRODUZIONE Inquadrando il sistema informativo aziendale automatizzato come costituito dall insieme delle risorse messe a disposizione della tecnologia,

Dettagli

Il Comitato dei Ministri, ai sensi dell'articolo 15.b dello Statuto del Consiglio d'europa,

Il Comitato dei Ministri, ai sensi dell'articolo 15.b dello Statuto del Consiglio d'europa, CONSIGLIO D EUROPA Raccomandazione CM/REC(2014) 3 del Comitato dei Ministri agli Stati Membri relativa ai delinquenti pericolosi (adottata dal Comitato dei Ministri il 19 febbraio 2014 nel corso della

Dettagli

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni A cura di Bernardo Puccetti Il Business Process Management nella PA Presentazione SOFTLAB

Dettagli

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare 1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema

Dettagli

Organizzazione: teoria, progettazione e cambiamento

Organizzazione: teoria, progettazione e cambiamento Organizzazione: teoria, progettazione e cambiamento Edizione italiana a cura di G. Soda Capitolo 6 La progettazione della struttura organizzativa: specializzazione e coordinamento Jones, Organizzazione

Dettagli

L attuazione della Legge 162/98 in Sardegna

L attuazione della Legge 162/98 in Sardegna A cura dell ABC Sardegna, ediz. rivista in ottobre 2005 L attuazione della Legge 162/98 in Sardegna La Legge Nazionale 162/98 ha apportato modifiche alla legge quadro sull handicap L.104/1992, concernenti

Dettagli

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano

Dettagli

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali

ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali ATTUAZIONE DEL PROGETTO E IL MANAGEMENT: alcune definizioni e indicazioni generali Cos è un progetto? Un iniziativa temporanea intrapresa per creare un prodotto o un servizio univoco (PMI - Project Management

Dettagli

Orientamenti sulla valutazione ex ante dei Programmi 2014-2020. Il sistema di indicatori nella programmazione 2014-2020

Orientamenti sulla valutazione ex ante dei Programmi 2014-2020. Il sistema di indicatori nella programmazione 2014-2020 Orientamenti sulla valutazione ex ante dei Programmi 2014-2020 Il sistema di indicatori nella programmazione 2014-2020 Simona De Luca, Anna Ceci UVAL DPS Roma 11 luglio 2013 Indice 1. Indicatori: un modo

Dettagli

Sistema Qualità di Ateneo Modello di Ateneo MODELLO DI ATENEO PER L ACCREDITAMENTO INTERNO IN QUALITÀ DEI CORSI DI STUDIO UNIVERSITARI

Sistema Qualità di Ateneo Modello di Ateneo MODELLO DI ATENEO PER L ACCREDITAMENTO INTERNO IN QUALITÀ DEI CORSI DI STUDIO UNIVERSITARI MODELLO DI ATENEO PER L ACCREDITAMENTO INTERNO IN QUALITÀ DEI CORSI DI STUDIO UNIVERSITARI Requisiti di valutazione per un percorso di Ateneo finalizzato all accreditamento in qualità dei Corsi di Studio:

Dettagli

Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS)

Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS) Il modello metodologico del Sistema di Misurazione e Valutazione della sicurezza aziendale (MVS) >> Il Sistema MVS permette di misurare e valutare la sicurezza aziendale (nell accezione di Security) nei

Dettagli

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence?

www.bistrategy.it In un momento di crisi perché scegliere di investire sulla Business Intelligence? In un momento di crisi perché scegliere di investire sulla Business Intelligence? Cos è? Per definizione, la Business Intelligence è: la trasformazione dei dati in INFORMAZIONI messe a supporto delle decisioni

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI dalla G.U. n. 59 del 12 marzo 2014 (s.o. n. 20) DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013 Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi

Dettagli

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice

Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI. Indice Pagine romane (I-XVIII) OK.qxd:romane.qxd 7-09-2009 16:23 Pagina VI Prefazione Autori XIII XVII Capitolo 1 Sistemi informativi aziendali 1 1.1 Introduzione 1 1.2 Modello organizzativo 3 1.2.1 Sistemi informativi

Dettagli

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET

LE ESIGENZE INFORMATICHE NELL ERA di INTERNET LE ESIGENZE INFORMATICHE NELL ERA di INTERNET Internet una finestra sul mondo... Un azienda moderna non puo negarsi ad Internet, ma.. Per attivare un reale business con transazioni commerciali via Internet

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

Gruppo PRADA. Codice etico

Gruppo PRADA. Codice etico Gruppo PRADA Codice etico Indice Introduzione 2 1. Ambito di applicazione e destinatari 3 2. Principi etici 3 2.1 Applicazione dei Principi etici: obblighi dei Destinatari 4 2.2 Valore della persona e

Dettagli

Realizzare un architettura integrata di Business Intelligence

Realizzare un architettura integrata di Business Intelligence Realizzare un architettura integrata di Business Intelligence Un sistema integrato di Business Intelligence consente all azienda customer oriented una gestione efficace ed efficiente della conoscenza del

Dettagli

PROCEDURA PER OPERAZIONI CON PARTI CORRELATE

PROCEDURA PER OPERAZIONI CON PARTI CORRELATE PROCEDURA PER OPERAZIONI CON PARTI CORRELATE (ai sensi dell art. 4 del Regolamento adottato da Consob con delibera n. 17221 del 12 marzo 2010, come successivamente modificato ed integrato) INDICE 1. OBIETTIVI

Dettagli

Strategia di Esecuzione e Trasmissione degli ordini. (ai sensi degli artt. 45-46-47-48 del Regolamento Intermediari Consob)

Strategia di Esecuzione e Trasmissione degli ordini. (ai sensi degli artt. 45-46-47-48 del Regolamento Intermediari Consob) Strategia di Esecuzione e Trasmissione degli ordini (ai sensi degli artt. 45-46-47-48 del Regolamento Intermediari Consob) Novembre 2011 1 Indice PREMESSA ALLE LINEE GUIDA... 3 1 PRINCIPI GENERALI... 3

Dettagli

VERSO UN SISTEMA NAZIONALE INFEA COME INTEGRAZIONE DEI SISTEMI A SCALA REGIONALE

VERSO UN SISTEMA NAZIONALE INFEA COME INTEGRAZIONE DEI SISTEMI A SCALA REGIONALE LINEE DI INDIRIZZO PER UNA NUOVA PROGRAMMAZIONE CONCERTATA TRA LO STATO, LE REGIONI E LE PROVINCE AUTONOME DI TRENTO E BOLZANO IN MATERIA IN.F.E.A. (INFORMAZIONE-FORMAZIONE-EDUCAZIONE AMBIENTALE) VERSO

Dettagli

Raccordo tra VAS-VIA-VIC (Valutazione ambientale, Valutazione di impatto ambientale, Valutazione di incidenza)

Raccordo tra VAS-VIA-VIC (Valutazione ambientale, Valutazione di impatto ambientale, Valutazione di incidenza) Allegato 2 Raccordo tra VAS-VIA-VIC (Valutazione ambientale, Valutazione di impatto ambientale, Valutazione di incidenza) Sono molto frequenti le situazioni in cui l obbligo di effettuare valutazioni ambientali

Dettagli

LA PROGETTAZIONE Come fare un progetto. LA PROGETTAZIONE Come fare un progetto

LA PROGETTAZIONE Come fare un progetto. LA PROGETTAZIONE Come fare un progetto LA PROGETTAZIONE 1 LA PROGETTAZIONE Oggi il raggiungimento di un obiettivo passa per la predisposizione di un progetto. Dal mercato al terzo settore passando per lo Stato: aziende, imprese, organizzazioni,

Dettagli

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade)

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade) AGENDA DIGITALE ITALIANA 1. Struttura dell Agenda Italia, confronto con quella Europea La cabina di regia parte con il piede sbagliato poiché ridisegna l Agenda Europea modificandone l organizzazione e

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

Programma di Compliance Antitrust. Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001

Programma di Compliance Antitrust. Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001 Programma di Compliance Antitrust Allegato B al Modello di Organizzazione, Gestione e Controllo ex D. LGS. 231/2001 Approvato dal Consiglio di Amministrazione in data 19 febbraio 2015 Rev 0 del 19 febbraio

Dettagli

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione

Piazza delle Imprese alimentari. Viale delle Manifatture. Via della Produzione Piazza delle Imprese alimentari Viale delle Manifatture Via della Produzione PASSEPARTOUT MEXAL è una soluzione gestionale potente e completa per le imprese che necessitano di un prodotto estremamente

Dettagli

DAT@GON. Gestione Gare e Offerte

DAT@GON. Gestione Gare e Offerte DAT@GON Gestione Gare e Offerte DAT@GON partecipare e vincere nel settore pubblico La soluzione sviluppata da Revorg per il settore farmaceutico, diagnostico e di strumentazione medicale, copre l intero

Dettagli