Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget
|
|
- Claudio Festa
- 8 anni fa
- Visualizzazioni
Transcript
1 <Insert Picture Here> Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget Andrea Gaglietto Protiviti andrea.gaglietto@protiviti.it Luca Mazzocchi Saipem luca.mazzocchi@saipem.com Andrea Goisis Zeropiu andrea.goisis@zeropiu.it
2 Agenda Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza Database Security Criticità nella sicurezza del dato L approccio metodologico Un caso concreto: SAIPEM Declinazione dell approccio Il piano di intervento Risultati e benefici attesi
3 Introduzione...L Incremento del volume dei dati gestiti dalle aziende e dei canali a disposizione per accedervi hanno portato nuove e interessanti opportunità......e al contempo, una crescita delle potenziali minacce ai requisiti di confidenzialità, integrità e disponibilità delle informazioni......diventa rilevante definire un approccio strutturato alla gestione delle informazioni, che permetta di mitigare il rischio di compromissione dell informazioni e di subire un Data Breach... Security Risk Process Data
4 Data Breach Alcune Statistiche: Circa 1 miliardo di utenti/records hanno subito data breach nel periodo I casi di data breach malevoli hanno determinato un costo medio di $160 per record; gli attacchi malevoli hanno causato il costo più elevato Data breaches - Alcuni Esempi Aprile Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con conseguente accesso non autorizzato ad alcuni dati di clienti. L attacco ha coinvolto nome, , data di nascita e password criptate, impattando su 50 milioni di utenti. Luglio Dicembre Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo database, che includeva il nome degli utenti, l indirizzo e password criptate. Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini turchi. Il comitato Turkey s Supreme Election aveva inizialmente condiviso questi dati con le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile preda degli hacker.
5 Data Breach - Benchmark Distribuzione dei costi del Data Breach per settori industriali (US$) 2013 (relativo al singolo record) Costo medio per Paese delle tre principali cause del Data Breach (US$) 2013 (relativo al singolo record) Sources: Ponemon Institute. Ricerca di benchmark sponsorizzata da Symantec
6 Data Governance - Minacce La Data Governance è l insieme di processi e di strumenti tesi a garantire l efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Persone Asset informativi strategici incustoditi Dipendenti infedeli Disattenzione/incuria nel modificare i dati Hacking Social Engineering Relative al sito Tecnologiche Minacce Malfunzionamento/ compromissione Hw e SW Malicious Codes
7 Data Governance - Le esigenze Indicatori di esigenza di un programma di Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l adempimento degli obblighi di compliance Identificazione di criticità o di rischi nell accesso, nella conservazione e nel trattamento delle informazioni Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all infrastruttura per il monitoraggio e per il controllo dell accesso alle informazioni (staffing, strumenti, etc.)
8 Data Governance - Il modello Implementazione delle misure di sicurezza Data Governance Model Security Risk Process Rilevazione delle informazioni e dell architettura dei dati Definizione Remediation Plan Data Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi
9 Il Processo di Data Breach Scoperta dell Incidente di Data Breach: necessaria la definizione di misure organizzative e tecnologiche a supporto della rilevazione tempestiva dell evento di data breach Escalation Notifica Risposta ex-post: organizzare e coordinare le attività del Team di risposta all incidente di data breach definire il piano di comunicazione per la sua gestione predisporre documenti (richiesti dalle normative vigenti) da inviare al target dell incidente
10 Normative e Standard Circolare n. 263 di Banca d Italia...É definito uno standard aziendale di data governance che individua ruoli e responsabilità delle funzioni coinvolte nell utilizzo e nel trattamento, al fine di assicurare nel continuo l integrità, completezza e correttezza dei dati conservati e delle informazioni... PCI DSS 3.0 Aggiornamento dello standard PCI per rispondere in modo più efficace alle nuove minacce e ai cambiamenti associati all evoluzione del mercato. Ad esempio: Gestione delle terze parti Sicurezza fisica dei terminali Gestione account e password Normative e Standard ISO 27001:2013 Aggiornamento dello standard per la gestione sicura delle informazioni, ad esempio: Valutazione dei rischi sulla base dell impatto derivante dalla compromissione della confidenzialità, dell integrità e della disponibilità delle informazioni Domini specifici relativi alla gestione della crittografia e della sicurezza delle informazioni nei rapporti con le terze parti Privacy Regolamento UE n. 611/2013 «il fornitore notifica all autorità nazionale competente la violazione di dati personali entro un termine di 24 ore...» Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. Data breach) - 4 Aprile 2013
11 Le misure di sicurezza Modello di Security Data Governance Policy e Procedure di Sicurezza Programma di comunicazione e sensibilizzazione MISURE ORGANIZZATIVE Training Newsletter Workshop E-Learning Soluzioni di sicurezza perimetrale / infrastrutturale Data Loss Prevention Crittografia MISURE TECNOLOGICHE Gestione accessi e profili (IAM) Log & Monitoring DRM / IRM Disaster Recovery Classificazione delle informazioni SEGRETO RISERVATO Database Security INTERNO PUBBLICO
12 Agenda Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza Database Security Criticità nella sicurezza del dato L approccio metodologico Un caso concreto: SAIPEM Declinazione dell approccio Il piano di intervento Risultati e benefici attesi
13 Zeropiu ZEROPIU System integrator attivo nel campo della sicurezza logica, con focalizzazione su: Role, Identity and Access Management Information security Mobile security Infrastructure security Servizi operativi specialistici, basati su SLA e best practice ITIL Audit e consulenza Privacy Società certificata ISO 9001:2008 per sviluppo e servizi in ambito IT Consulenza Servizi operativi Sicurezza di: Identità digitali, Informazioni, Infrastruttura, mobile. Progetti
14 Il contesto Criticità Vincoli Velocità di crescita dei dati Espansione data breach Overall Exabytes * + Budget Compliance Reazione = Aumento investimenti sicurezza E i dati?? * Data Breach Investigation Report 2013 Verizon Risk Team
15 E i dati?? La protezione del perimetro forse non basta più: Ambienti eterogenei e poco monitorati Informazioni sensibili non cifrate Password condivise Procedure di sicurezza insufficienti Condivisione di dati sensibili con terze parti Sviluppatori lavorano su dati reali Fase 1: Necessità di un approccio strutturato Kickoff meeting Fase 2: Interviste iterative Fase 3: Elaborazione risultati interviste Implementazione delle misure di sicurezza Data Governance Model Security Risk Process Data Rilevazione delle informazioni e dell architettur a dei dati Fase 4: Presentazione risultati Assessment Definizione Remediation Plan Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi
16 3-8 settimane Approccio strutturato: la metodologia Fase 1: Kickoff meeting Fase 2: Interviste iterative Fase 3: Elaborazione risultati interviste Fase 4: Presentazione risultati
17 Il metodo Fase 1 Kickoff Meeting Presentazione metodo; Definizione perimetro; Profondità dell assessment: di dettaglio; per classe di servizi, analisi di alto livello; Pianificazione attività; Presentazione obiettivi / risultati; Attori coinvolti: CIO, CISO, Compliance, DBA, Application Manager;
18 Il metodo Fase 2 (Interviste) Business Context: Dettaglio dei servizi a supporto del business, processi critici e relativi dati Analisi dell impatto derivante da perdita di sicurezza (riservatezza, disponibilità, integrità) Rischi inerenti per mancata conformità, di immagine o operativi Attori: CISO, Compliance, AM Technical Context: Numero database; Architettura data center; Tecnologie database, erogazione servizi, ecc.. Storage, Sistemi operativi, ecc.. Metodologie di accesso ai servizi Log, SIEM Sicurezza DB: DB Access, Server Access, Firewall & Log Manager, Data protection, Secure Configuration (SOD, patches ) Attori: DBA, Infrastrutture, CISO
19 Il metodo - Fasi 3 e 4 Fase 3: Elaborazione risultati interviste Elaborazione dati raccolti; Raggruppamento database per classi omogenee (tipologia, versione, ecc..) Analisi del livello di maturità Ipotesi di modello to be Attori: Consulenti, CISO Fase 4: Presentazione risultati Assessment Presentazione as is - Maturity evaluation data security Opportunità di miglioramento della sicurezza Benefici attesi e tecnologie abilitanti Matrice di fattibilità e priorità di intervento Attori: CIO, CISO;
20 Deliverables: maturity evaluation & priority matrix Feasibility Secure Level of Configuration simplicity Transformation speed Access Control Data Protection DB Activity Monitoring& Blocking and Audit Product/Capability High Maturity Evaluation Data As Is Encryption Recommended DB Firewalling & Logging Un-formal change process and Force Named Production environment policy; security patches are not separated from development & regularly applied and Accounts Access test; policy and procedures for configuration management is not change and patch management regulated Implement SYS / SYSTEM Control passwords Privileged SOD for DBA widely used by a small Account number Named account and privileged of DBA; systematic use of access Data management application passwords. Masking Formal DB backup implemented. DB Upgrade Segregate No other data protection at rest, Use of encryption of Enviroments DB data. in transit, on exports; production Test and development data deidentified. database is used for development Low Low No log management. Some applicative PHP controls via self developed classes. Absence of real time alerting. Protect database connection from malicious SQL injections both from applications, and from direct access tools. Implement formal logging and auditing/alerting procedures. Priority/Urgence Gap recovery opportunities between As Is and Recommended Potential impact generated High
21 Un caso concreto
22 Saipem: A Leading Global EP(I)C General Contractor Revenues (2012) Backlog (31st December, 2012) Employees (31st December, 2013) Engineers & Project Managers 13.4 B 19.7 B 48,600 > 7,000 Operating in more than 60 countries, more than 50 permanent establishments, employees from 127 nationalities Drilling High quality player onshore and in niches offshore Engineering & Construction Full service EP(I)C provider Distinctive frontier focus in Oil & Gas industries Most modern, technologically advanced offshore construction fleet
23 Saipem: l ICT Security Sviluppa su base pluriennale iniziative e progetti finalizzati ad un progressivo sviluppo della sicurezza, lavorando su processi e tecnologie User EndPoint Network Service Application Data
24 Obiettivi e vincoli Riferimenti normativi SOX l. 262/05 Informazione al mercato Responsbilità amministrativa (231/01) Disponibilità Riferimenti di contesto Perimetro aziendale variabile Sicurezza del contesto operativo Diverse tutele legislative Integrità Dati strutturati Criticità Esposizione a: frodi sabotaggio attacchi informatici Operatività 24x7 Riservatezza
25 Saipem: applicazione metodo Settembre 2013 Ottobre 2013 Ottobre 2013 Novembre 2013 Inizio 2014 Fase 1: Kickoff Meeting Presentazione metodo Definizione perimetro: tutti i database Modalità di analisi generale tutti i database; dettagliata per i database soggetti a compliance SOX Stakeholders: CIO, CISO,Compliance Ref. Infrastrutture e DB, AM; Fase 3: Elaborazione risultati interviste Elaborazione dati raccolti Raggruppamento database Oracle (ver 9-11), MS Sql Server, Sybase Criticità: SOX (Priorità 1), Priorità 2, Priorità 3 Maturity Model: posizionamento rispetto alla metodologia Preparazione modello to be Stakeholders: Zeropiu, CISO Fase 2: Interviste Infrastruttura (CISO + Ref. infrastrutture e DB): Numero di database database Tipologie: Oracle, MS SQL Server, Sybase Infrastrutture: virtualizzata, linux oriented, business continuity Procedure di sicurezza (CISO + Ref. infrastrutture e DB): Patch Management, Access Management, Procedure di hardening, Sistemi di controllo Compliance (CISO, Compliance, Ref. infrastrutture e DB, AM): Servizi / Database soggetti a SOX Stakeholders: CISO, Compliance, Ref. Infrastrutture e DB, AM Fase 4: Presentazione risultati Assessment Presentazione as is - Maturity evaluation data security Opportunità di miglioramento della sicurezza Benefici attesi e tecnologie abilitanti: EUS - Vault - Masking Matrice di fattibilità e priorità di intervento Stakeholders: CIO, CISO, Compliance, Responsabile DBA, AM;
26 Saipem: dal metodo ai progetti Settembre 2013 Ottobre 2013 Ottobre 2013 Novembre 2013 Inizio 2014 Vision Action Metodo Misurazione gap Definizione della roadmap Priorità Action Verifica improvement Individuare gli obiettivi intermedi Progetto Priorità di investimento Solution Selection Scope Stakeholder analysis Comunicazione Priorità 1: Priorità 2: Priorità 3: Segregazione dei ruoli Oracle database vault Accesso nominale Enterprise User Security Mascheramento dati Oracle Data Masking 3 mesi 4 mesi 3 mesi Elapsed
Information technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
DettagliISACA VENICE MEETING 2014
Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliNuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS
Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
Dettagliwww.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl
www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
Dettagli<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti
Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliBOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS
Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT
DettagliLa Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
DettagliBUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.
BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione
DettagliUniversità di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale
DettagliXXVII Convegno Nazionale AIEA
XXVII Convegno Nazionale AIEA Classificazione delle Informazioni e Data Loss Prevention Impatti normativi da governare Milano, 3 Ottobre 2013 Giuseppe Blasi Alessandro Santacroce 0 2013 Protiviti S.r.l.
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliService Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014
Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014 1. Il contesto INAIL 2. Perché una Service Control Room 3. Il modello di funzionamento definito 4. I primi risultati del
DettagliCloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010
Cloud Computing - Soluzioni IBM per Speaker l Homeland Name Security Giovanni De Paola IBM Senior Consultant 17 Maggio 2010 Agenda 2 Il valore aggiunto del Cloud Computing per Homeland Security e Difesa
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliIl Risk Management Integrato in eni
Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliInformazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di
DettagliVision strategica della BCM
Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliIT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
DettagliANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager
ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società
DettagliICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group
ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group Marco Deidda, Head of Data Access Management UniCredit Business Integrated Solutions UniCredit Group
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliL esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT
L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
DettagliGiovanni Belluzzo. Riepilogo. Esperienza. Head of Project & Portfolio Management Office giovanni.belluzzo@infocert.it
Giovanni Belluzzo Head of Project & Portfolio Management Office giovanni.belluzzo@infocert.it Riepilogo Ingegnere Elettronico, da circa 25 anni opero nel mondo ICT. Nel corso della mia carriera ho condotto
DettagliIl modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
DettagliSOLUZIONI E SERVIZI ICT
SOLUZIONI E SERVIZI ICT Chi siamo Cosa facciamo? In quindici parole : facciamo consulenza, assistenza, manutenzione, gestione e monitoraggio delle infrastrutture dei nostri clienti sul cablaggio, sulla
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliSERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)
SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliStefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma
Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti
DettagliMERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE
MERCATO BUSINESS E PUBBLICA AMMINISTRAZIONE L attuale contesto economico e di mercato richiede l implementazione di un nuovo modello di presidio della clientela business e pubblica amministrazione finalizzato
DettagliCatalogo Corsi. Aggiornato il 16/09/2013
Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...
DettagliPanoramica su ITIL V3 ed esempio di implementazione del Service Design
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico
DettagliMetodologia TenStep. Maggio 2014 Vito Madaio - TenStep Italia
Metodologia TenStep Maggio 2014 Vito Madaio - TenStep Italia Livello di Complessità Processo di Project Management TenStep Pianificare il Lavoro Definire il Lavoro Sviluppare Schedulazione e Budget Gestire
DettagliAllegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio
Allegato Servizio Hosting Virtual DataCenter di Regione Lombardia per l ENTE UCL Asta del Serio Contesto Il percorso condotto da Regione Lombardia (RL) per la razionalizzazione dei CED degli ENTI si inserisce
DettagliSOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.
Dettagli<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)
Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Sandro Tassoni Oracle Support Director Maggio 2011 Agenda Panoramica Strategia Portafoglio ACS per Cloud
DettagliLA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE
LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE LA FORMAZIONE COME STRUMENTO DEL MIGLIORAMENTO DEI PROCESSI PRODUTTIVI E LA VALORIZZAZIONE
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
DettagliClaudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008
Gestione dell emergenza nel processo di integrazione SIA-SSB Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 sia ssb 2008 Agenda Il Gruppo SIA-SSB - Aree di Business La struttura di Risk
DettagliIT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
DettagliSicurezza, Rischio e Business Continuity Quali sinergie?
Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliUTILIZZO DELL INFORMATICA NELLA PROFESSIONE ASPETTI TECNICI E LEGALI
Seminario IF UTILIZZO DELL INFORMATICA NELLA PROFESSIONE ASPETTI TECNICI E LEGALI Milano, 29 settembre 2011 Ing. Alessandra Patriarca 1 I contratti informatici nel mondo aziendale Milano, 29 settembre
DettagliLista delle descrizioni dei Profili
Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno
DettagliServices Portfolio «Energy Management» Servizi per l implementazione dell Energy Management
Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliInformation Systems Audit and Control Association
Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone
DettagliProcessi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013
Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Agenda 1. Il Gruppo Reale Mutua 2. Il progetto BPM 3. Il processo di Control Risk Self Assessment 4. Le sfide del futuro Il Gruppo Reale Mutua
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliIl Project Management nell Implementazione dell'it Service Operations
Con il patrocinio di: Sponsorizzato da: Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 Il Project Management nell Implementazione dell'it Service Operations
DettagliSupporto attivo alla conduzione dei progetti, pianificazione, esposizione dei risultati. Group
powered by Supporto attivo alla conduzione dei progetti, pianificazione, esposizione dei risultati Un Processo di Comunicazione a supporto dei team di lavoro Tecniche e Strumenti di lavoro (utilities)
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliOsservatorio ICT nel NonProfit. Claudio Tancini Novembre 2009
Osservatorio ICT nel NonProfit Claudio Tancini Novembre 2009 1 Premessa (1/2): Il mercato ICT non ha focalizzato il NonProfit come un segmento specifico, da seguire con le sue peculiarità. In alcuni casi
DettagliSymantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting
Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliSoftware. Engineering
Software Engineering Agenda Scenario nel quale matura la necessità di esternalizzare Modalità conrattuali, ambito, livelli di servizio Modalità di governo del contratto e di erogazione dei servizi Metodologia
DettagliServizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI
Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare
DettagliLe principali evidenze emerse Giancarlo Capitani Presidente NetConsulting cube
Le principali evidenze emerse Giancarlo Capitani Presidente NetConsulting cube Roma, 15 gennaio 2016 La Digital Transformation è la principale sfida per le aziende italiane Stakeholder interni Stakeholder
DettagliSystem & Network Integrator. Rap 3 : suite di Identity & Access Management
System & Network Integrator Rap 3 : suite di Identity & Access Management Agenda Contesto Legislativo per i progetti IAM Impatto di una soluzione IAM in azienda La soluzione di SysNet: Rap 3 I moduli l
DettagliDBA Group DIAGNOSI ENERGETICHE
DBA Group DIAGNOSI ENERGETICHE Settembre 2015 OBBLIGHI DERIVANTI DAL DECRETO 102 SULL EFFICIENZA ENERGETICA DELLE AZIENDE SETTORE EFFICIENZA ENERGETICA Referenze Diagnosi Energetiche 2 OBBLIGHI DERIVANTI
DettagliFocus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption
Cybercrime e Data Security Banche e aziende come proteggono i clienti? Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption Alessandro Piva Direttore dell Osservatorio
Dettagli<Insert Picture Here> Gli aspetti di sicurezza nella gestione documentale
1 Gli aspetti di sicurezza nella gestione documentale Riccardo Baldini EMEA Oracle UCM Sales Consultant La tutela della sicurezza Perdita di informazioni Assicurazione della privacy
DettagliDirezione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
Dettagli2 Giornata sul G Cloud Introduzione
Roberto Masiero Presidente THINK! The Innovation Knowledge Foundation 2 Giornata sul G Cloud Introduzione Forum PA Roma, 18 Maggio 2012 THINK! The Innovation Knowledge Foundation Agenda Cloud: I benefici
DettagliLa Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server
La Soluzione per Fusioni e acquisizioni, changing management, pianificazione e sviluppo del business, la documentazione correlata ai consigli di amministrazione, il corretto utilizzo dei documenti riservati
DettagliAllegato Tecnico Database As A Service
Allegato Tecnico Database As A Service Nota di lettura 1 Descrizione del servizio 1.1 Definizioni e acronimi 1.2 Oracle DATABASE AS A SERVICE 1.3 Attivazione del servizio Configurazione Network Configurazione
DettagliZerouno IBM IT Maintenance
Zerouno IBM IT Maintenance Affidabilità e flessibilità dei servizi per supportare l innovazione d impresa Riccardo Zanchi Partner NetConsulting Roma, 30 novembre 2010 Il mercato dell ICT in Italia (2008-2010P)
DettagliSAIPEM: gestione efficiente delle performance. CST TPO Service per monitorare proattivamente i sistemi SAP
Grandi Navi Veloci. Utilizzata con concessione dell autore. SAIPEM: gestione efficiente delle performance CST TPO Service per monitorare proattivamente i sistemi SAP Partner Nome dell azienda SAIPEM Settore
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliXXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di
DettagliLINEA PROJECT MANAGEMENT
LINEA PROJECT MANAGEMENT ITIL FOUNDATION V3 46.10.3 3 giorni Il corso, nell ambito della Gestione dei Servizi IT, mira a: 1. Comprendere Struttura e Processi di ITIL V3 - Information Technology Infrastructure
DettagliLa Business Unit Sistemi
La Business Unit Sistemi Roma, 22 Febbraio 2007 Chi siamo il gruppo rappresenta un marchio che identifica un pool aziende specializzate nella progettazione e realizzazione Sistemi Informativi Chi siamo
DettagliPROFILO FORMATIVO Profilo professionale e percorso formativo
Agenzia del Lavoro Provincia Autonoma di Trento PROFILO FORMATIVO Profilo professionale e percorso formativo DENOMINAZIONE FIGURA PROFESSIONALE - TECNICO INFORMATICO SISTEMA INFORMATIVO AZIENDALE CED-EDP
DettagliDal mainframe al Cloud, attraverso l hosting e l ASP. Il Capo V del C.A.D.
Dal mainframe al Cloud, attraverso l hosting e l ASP Milano, 24 maggio 2012 Prof. Avv. Alessandro Mantelero Politecnico di Torino IV Facoltà I. Il valore dei dati pubblici Dati pubblici: - patrimonio dell'ente
DettagliSOGEI E L AGENZIA DEL TERRITORIO
SOGEI E L AGENZIA DEL TERRITORIO CHI SIAMO Sogei è la società di ICT, a capitale interamente pubblico, partner tecnologico del Ministero dell Economia e delle Finanze italiano. Progettiamo, realizziamo,
DettagliProgetto AURELIA: la via verso il miglioramento dei processi IT
Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce
DettagliSoluzioni di business per le imprese
Soluzioni di business per le imprese Esperti in Innovazione Chi siamo SICHEO nasce per volontà di un gruppo di manager con ampia esperienza nel business ICT e nell innovazione Tecnologica applicata ai
DettagliCertificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliSistemi Qualità Certificazione ISO9001
Certificazioni Qualità Sicurezza CQS Consulting Via A. G. Amatucci, 10 00151 Roma Tel. 06-58310622 Fax 06-5895270 Cell. 335-7759250/348-8744717 Email fabbretti.massimo@hotmail.it Sito Internet www.cqsconsulting.it
DettagliSIRED Sistema informativo di raccolta ed elaborazione dati sul movimento turistico
SIRED Sistema informativo di raccolta ed elaborazione dati sul movimento turistico Il sistema della Regione Autonoma della Sardegna per la raccolta, gestione ed elaborazione di dati statistici sul turismo
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
Dettagli