Il rischio informatico: quali approcci, quali soluzioni
|
|
- Michele Costantino
- 8 anni fa
- Visualizzazioni
Transcript
1 Il rischio informatico: quali approcci, quali soluzioni Ing. Andrea Agosti, Senior Manager VP Tech Seminario di studio Anssaif Roma, 26 Gennaio 2006 Gli interrogativi del seminario Come stimare la probabilità di accadimento di una determinata minaccia sui sistemi e processi ICT? Se esistesse una stima oggettiva delle probabilità di accadimento di eventi causali, le Aziende potrebbero trarne dei vantaggi? Chi è responsabile di calcolare la vulnerabilità dell ICT? Sono chiare le relazioni fra ICT Analysis, ORM e Business Continuity Management? Ha senso ipotizzare un ICT Analysis Manager? Se sì, dove collocarlo? E vero che esistono anche soluzioni di mitigazione del rischio ICT a basso costo? Ad esempio, quali? 1 1
2 Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 2 management, ICT Analysis e Business Continuity contribuiscono sinergicamente alla protezione del business Fornisce e aggiorna la mappa dei rischi ai quali l azienda è esposta e che richiedono contromisure di varia natura all interno dell organizzazione Enterprise Management ICT Analysis Protezione del business aziendale Business continuity Fornisce il legame tra i rischi aziendali e le minacce alla tutela del patrimonio informativo ed alla disponibilità del sistema informativo Fornisce le soluzioni per garantire la continuità dei processi di business a seguito di eventi di natura straordinaria e/o catastrofici L obiettivo congiunto di Management, ICT Analysis e Business Continuity è quello di guidare l azienda attraverso i rischi di natura non competitiva verso gli obiettivi di business (patrimoniali, reddituali e di creazione del valore) stabiliti dai vertici aziendali 3 2
3 Il rischio ICT costituisce un tassello all interno di una mappa più estesa dei rischi aziendali Sono rischi d azienda (business risks) ad alto livello direttamente determinati dall incertezza associa-ta ad ogni attività imprenditoriale Credit the default (or failure to fulfil obligations in a timely manner) of a borrower or a counterparts Market unexpected changes in market prices or rates (e.g. equity, commodity, interest, foreign exchange) Operational Strategic inadequate or failed internal processes, people, and systems or from external events unexpected changes in the competitive environment or trends that damage operating economics Sono rischi operativi (operational risks) determinati dalle scelte effet-tuate circa le modalità operative di gestione e conduzione del business Process People Events System ineffective or inefficient business processes staff constrains, people incompetence, dishonesty or corporate culture catastrophic single events (e.g natural or system unavailability, undercapacity, unau- man-made disasters, thorized access and internal or external use and integrity loss frauds) Sono rischi di sistema (system risks) associati alla tecnologia adottata per l automazione di determina-ti processi di business IT Security Capacity Management violations of integrity, availability and confidentiality of data and IT services inadequate capacity inadequate planning process for management IT operational operations of IT systems system 4 Il rischio ICT dovrebbe essere indirizzato da un comitato aziendale ad hoc che riunisce le principali direzioni aziendali Stakeholder Azionisti Enti normativi e regolatori Ruolo Finalità Ruolo Finalità Ruolo Finalità - Consiglio di Amministrazione - Armonizza le esigenze degli stakeholder - Verifica i risultati - Amministratore Delegato - Sicurezza di Gruppo - Fornisce visibilità e committment - Definisce il modello - Valuta le attività - Fornisce lo strumento - Comunica i risultati - Monitora i risultati - Comitato di Business Unit - Identifica le aree di criticità dei processi di business - Valuta gli impatti derivanti dalle criticità - Comitato di IS Provider - Identifica i requisiti di sicurezza - Progetta soluzioni applicative e infrastrutturali di sicurezzaù - Monitora le prestazioni delle soluzioni di sicurezza La gestione del rischio IT è un processo condiviso tra tutte le strutture aziendali e integrato all interno dei processi aziendali, in accordo ad una visione di governo dall alto (CEO e Corporate Security) e di esecu-zione dal basso (Business Unit e internal/external IS Provider) 5 3
4 Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 6 Il modello per la valutazione dei rischi ICT è ormai ben noto all interno delle organizzazioni medio/grandi pubbliche e private Rischio IT Fattori determinanti Minacce Vulnerabilità Impatti Tecnologia Processi/ organizzazione Risorse umane Brand Competitività Operatività Sanzioni Elementi caratteristici Gli elementi caratteristici relativi alle minacce ed alle vulnerabilità dei servizi IT sono specifici del rischio IT Tecnologia Processi/ organizzazione Risorse umane Gli elementi caratteristici relativi agli impatti sono da ricondursi ad una analisi preventiva dei rischi di business dell organizzazione 7 4
5 La gestione del rischio non deve essere occasionale ma deve essere inserita all interno di un processo aziendale Fasi Obiettivi Assessment Attività - Classificazione delle aree di rischio Accertamento e analisi Analysis - Valutazione delle minacce Management - Modello di propensione al rischio Gestione e controllo Monitoring - Identificare le aree di - Svolgere una analisi - Effettuare le scelte più - Monitorare lo stato dei rischio e di incertezza per il business che hanno impatto sulle tematiche di IT Security dettagliata delle cause, delle conseguenze e delle dinamiche che caratterizzano il rischio IT Security adeguate per determinare un profilo di rischio IT Security adeguato alle caratteristiche dell organizzazione rischi in esame al fine di identificare precocemente eventuali deviazioni - Definizione di Key Indicator METODOLOGIA VPTECH Mastering - Identificazione dei rischi specifici - Analisi delle vulnerabilità - Identificazione delle contromisure - Definizione di Key Security Performace Ind. - Prioritizzazione dei rischi identificati - Stima degli impatti verso il business - Piano di azione - Costruzione del Tableau de Bord Tempi di esecuzione - Tempistiche legate alla - Tempistiche legate allo - Tempistiche legate alle - Tempistiche legate pianificazione strategica (generalmente 1-3 anni) sviluppo di nuovi progetti tecnologici (generalmente inferiore all anno) dinamiche di evoluzione di minacce, vulnerabilità e impatti all identificazione precoce di deviazioni dalla norma, generalmente real-time o near real-time 8 A parte i rischi trasferibili ed eliminabili, il vero problema consiste nella convivenza con i rischi residui accettati La gestione del rischio tecnologico si deve ricondurre all interno di un framework che consenta di ricondurre i rischi individuati all interno di un sistema di supporto alle decisioni caratterizzato da quattro criteri: accettare, ridurre, trasferire oppure eliminare Effetto sorpresa : devono essere esternalizzati a società assicuratrici specializzate per la corretta gestione economica Alta Trasferisci Elimina Effetto bombardamento : devono essere eliminati dalla gestione aziendale gli elementi tecnologici che ne contribuiscono Severità dell impatto Accetta Riduci Effetto fastidio : costituiscono un fenomeno accettabile in quanto non pregiudicano il conseguimento degli obiettivi prestabiliti Bassa Effetto tarlo : devono essere opportunamente ridotti in modo da limitarne la frequenza di accadimento Bassa Frequenza di accadimento Alta 9 5
6 Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 10 La fase di accertamento e analisi dei rischi di IT Security: la metodologia online di VP Technologies STRUMENTO VPTECH 11 6
7 I benefici dello srtumento di analisi del rischio di sicurezza informatica adottata da VP Technologies Benefici Orientamento ai processi di business Metodologia - Consente di attivare ed eseguire un piano di gestione dei rischi informatici in una logica coerente con i processi di business aziendali Tecnologia na Coerenza con la Business Continuity - Consente di agganciarsi alla fase di Business Impact Analsysis di un piano preesistente di Business Continuity - Consente il porting delle informazioni di mappatura dei processi aziendali e dei risultati della Business Impact Analysis Apertura dei modelli e della tecnologia - Consente di personalizzare e tarare il modello di calcolo del rischio sulla base di esigenze, caratteristiche e obiettivi specifici del business dell organizzazione cliente - Consente di utilizzare tecnologie aperte e standard in modo da semplificare le fasi di sviluppo e manutenzione evolutiva dello strumento informatico Flessibilità di adattamento ad esigenze specifiche Approccio collaborativo - Consente di introdurre all interno della fasi della metodologia nuovi domini, contromisure, minacce, vulnerabilità e asset specifici per l organizzazione del cliente - Consente di utilizzare le conoscenze presenti all interno dell organizzazione per la costruzione di un modello del rischio condiviso e aderente alla realtà effettiva - Consente di estendere rapidamente lo strumento informatico al fine di integrare le porzioni relative alle specificità da introdurre per il cliente - Consente di semplificare la partecipazione e la collaborazione tra i diversi attori sparsi all interno dell organizzazione utilizzando tecnologie client-server basate su Web Integrazione all interno dell organizzazione - Consente di integrare l attività di analisi e gestione del rischio all interno dei processi di business dell organizzazione cliente - Consente di integrare lo strumento informatico con le tecnologie informatiche già utilizzate all interno dei processi di business dell azienda cliente 12 Le possibili evoluzioni dello strumento di base all interno delle organizzazioni più complesse IT Asset Inventory - Integrazione con gli inventory aziendali delle risorse di Information Technology (sedi, locali, reti, sistemi, applicazioni) e delle basi di dati - Realizzazione di un inventory della IT Security collegato agli altri inventory aziendali Management Interface - Definizione dei ruoli e dei diritti di accesso (role-based access) al sistema di risk management in accordo alle responsabilità in azienda - Interfaccia web-based per gestire in collaborazione e distribuzione il processo di risk management IT Management System Vulnerability Monitoring - Sistema automatico distribuito di analisi della vulnerabilità tecnologiche di reti, sistemi ed applicazioni - Analisi multidimensionale delle vulnerabilità di ogni singolo componente delle infrastruttura tecnologiche Knowledge - Base dati delle contromisure di IT security strategiche sull azienda, tecnologiche sulle infrastrutture informatiche e organizzative sulle politiche, procedure e standard di sicurezza - Base dati delle minacce interne ed esterne sulle risorse IT Una soluzione di Information Management scalabile, flessibile, enterprise-wide in grado di raccogliere e distribuire le informazioni corrette alle persone di riferimento al momento opportuno, in modalità sicura 13 7
8 Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 14 La gestione dei rischi ICT ha l obiettivo ultimo di creare valore per il business dell azienda Fase Monitorare i rischi originati dall utilizzo dell IT per informare il Top Management sui rischi d impresa e suggerire le eventuali misure da adottare Obiettivi Controllare i sistemi, i processi e le risorse allocate ai servizi di IT al fine di identificare tempestivamente e preventivamente i potenziali elementi in grado di determinare una situazione di rischio per il conseguimento degli obiettivi di business dell impresa Riportare al top management (e.g. board of director, audit committee) le informazioni necessarie e sufficienti affinché possano essere prese le decisioni ottimali per una corretta corporate governance e tutela degli interessi degli shareholder e degli stakeholder Consigliare sia il top management che gli executive/line managers sulle adeguate misure da intraprendere al fine di riportare i rischi di Information Technology all interno di una logica di gestione positiva del rischio Business s Dalla formalizzazione dei rischi di non conseguire gli obiettivi di business dell impresa IT s alla derivazione dei rischi determinati dall utilizzo delle tecnologie IT nei processi di business Key Indicator all identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio Targets e confrontarli costantemente con gli obiettivi prestazionali stabiliti in sede di pianificazione Actions al fine di intraprendere le azioni correttive opportune per ricondursi ai target pianificati 15 8
9 Le componenti non quantificabili dei rischi ICT debbono essere costantemente monitorate con i Key Indicator Business s Brand Competitività Rischio di perdita di immagine Rischio di perdita presso le differenti categorie competitivo del vantaggio di stakeholder all interno della propria industry Sanzioni Rischio di inadempimenti ad obblighi statutari, legali e/o regolamentatori Perdite Rischio di perdite finanziarie dirette e/o compromissione della posizione finanziaria ESEMPLIFICATIVO Operatività Rischio di rallentamento dei processi di business e di creazione del valore Information Technology s Misconfiguration Virus Rischio di presenza di configurazioni non sicure sui sistemi e sulle applicazioni Rischio di diffusione di virus sui server e sulle postazioni di lavoro Sniffing Rischio di intercettazione del traffico sulla rete aziendale Intrusion Rischio di accesso non autorizzato ai sistemi aziendali Staff Shortage Rischio di blocco dei sistemi per assenza di personale specializzato di supporto IT Key Indicator (IT KRI) Antivirus % postazioni di lavoro con SW antivirus aggiornato Awarness % di personale neoassunto che ha ricevuto una formazione di base sulla sicurezza Esterni % esterni che soggiornano presso le sedi aziendali al di fuori del normale orario di lavoro Etica Livello di percezione del brand PosteItaliane presso la comunità Internet Servizi % di servizi insicuri presenti sui sistemi di produzione 16 all interno di un Tableau de Bord direzionale con livelli di sintesi differenti per i vari livelli aziendali SECURITY TABLEAU DE BORD EXECUTIVE SUMMARY Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Dic 2004 RISERVATEZZA LA RISERVATEZZA DELLE INFORMAZIONI HA SUPERATO LA SOGLIA DI NORMALITA INTEGRITA LUG AGO SET OTT NOV DIC GEN FEB MAR DISPONIBILITA L INTEGRITA DELLE INFOR- MAZIONI RICHIEDE UNA ADEGUATA ATTENZIONE LUG AGO SET OTT NOV DIC GEN FEB MAR 100 Allarme Criticità Attenzione Anomalia Normalità 0 LUG AGO SET OTT NOV DIC GEN FEB MAR 17 9
10 Il tableau de bord degli indicatori di rischio deve essere costruito a partire da un knowledge management della sicurezza Dalla pianificazione delle soluzioni di sicurezza basata sull analisi del rischio al controllo dei risultati basato sulla misurazione degli indicatori di rischio (KRI) e di prestazione (KPI) Livello 1 Identificazione degli obiettivi e misurazione dei risultati in termini di rischio IT Aree di Criticità aziendale Key Indicators 2 Analizzare le dinamiche e gestire l evoluzione del rischio IT Analisi e gestione del Rischio 3 Identificare i requisiti di sicurezza e misurare i risultati in termini di prestazioni Requisiti di sicurezza Key Performance Indicators 4 Progettare le soluzioni di sicurezza e il sistema di Security Knowledge Management Soluzioni di sicurezza Security Knowledge Management 18 Grazie per l attenzione! 19 10
La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliIl modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliINTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA
INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il
DettagliNOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013
NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013 E stato introdotto nell ordinamento di vigilanza italiano il concetto di risk appetite framework (RAF). E contenuto nella
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
DettagliDirezione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE
IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata
DettagliIl Modello 231 e l integrazione con gli altri sistemi di gestione aziendali
RESPONSABILITA D IMPRESA D.lgs. 231/01 L EVOLUZIONE DEI MODELLI ORGANIZZATIVI E DI GESTIONE 27 maggio 2014 ore 14.00 Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali Ing. Gennaro
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliIl Risk Management Integrato in eni
Il Risk Integrato in eni Maria Clotilde Tondini Vice President Risk Integrato 5 Marzo 015, Milano Indice - Il Modello eni - 1 Il Modello eni Le fasi di sviluppo L avvio e l attuazione del Modello di Risk
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliRaggiungere gli obiettivi strategici e preservare il valore creato nel tempo
RISK MANAGEMENT & BUSINESS CONTINUITY Risk Management per le imprese Raggiungere gli obiettivi strategici e preservare il valore creato nel tempo PER L IMPRESA E STAKEHOLDER CHI E EXSAFE Società di consulenza
DettagliApprofondimento. Controllo Interno
Consegnato OO.SS. 20 maggio 2013 Approfondimento Controllo Interno Maggio 2013 Assetto Organizzativo Controllo Interno CONTROLLO INTERNO ASSICURAZIONE QUALITA DI AUDIT E SISTEMI ETICA DEL GOVERNO AZIENDALE
DettagliProcessi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013
Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Agenda 1. Il Gruppo Reale Mutua 2. Il progetto BPM 3. Il processo di Control Risk Self Assessment 4. Le sfide del futuro Il Gruppo Reale Mutua
DettagliImplementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231
RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA
DettagliOrganizzazione e pianificazione delle attività di marketing
Organizzazione e pianificazione delle attività di marketing Il continuum delle strutture tra efficienza ed efficacia Struttura funzionale Struttura divisionale Struttura a matrice Struttura orizzontale
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliUn approccio complessivo alla Gestione della Performance Aziendale. Sestri Levante 19-20 maggio 2003
1 Un approccio complessivo alla Gestione della Performance Aziendale Sestri Levante 19-20 maggio 2003 Performing - Mission 2 Performing opera nel mercato dell'ingegneria dell organizzazione e della revisione
DettagliLe attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono
DettagliENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS
ENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS MILANO, 16 GENNAIO 2014 Expected Revenue from Business Line XXX Expected Revenue from Business Line XXX Result at 1% Target Expected Result ENTERPRISE
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliProposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione
Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliFattori critici di successo
CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliREALIZZARE UN MODELLO DI IMPRESA
REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità
Dettagli25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo
ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliA cura di Giorgio Mezzasalma
GUIDA METODOLOGICA PER IL MONITORAGGIO E VALUTAZIONE DEL PIANO DI COMUNICAZIONE E INFORMAZIONE FSE P.O.R. 2007-2013 E DEI RELATIVI PIANI OPERATIVI DI COMUNICAZIONE ANNUALI A cura di Giorgio Mezzasalma
DettagliLa reingegnerizzazione dei processi nella Pubblica Amministrazione
La reingegnerizzazione dei processi nella Pubblica Amministrazione Dott.ssa Teresa Caltabiano Area della Ricerca Catania, 15 luglio 2011 Agenda Il contesto di riferimento Le organizzazioni I processi Il
DettagliLa Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
DettagliCreating Your Future
Creating Your Future CONSULENZA GESTIONE PROGETTI 1 Sviluppo ad-hoc della metodologia di Project Management 2 Coaching a supporto di team di progetto 3 Organizzazione del Project Management Office 4 Gestione
DettagliQUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da 3.1.1 a 3.4.
ISIPM Base Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da 3.1.1 a 3.4.1 1 Tema: Gestione degli Aspetti Legali 3.1.1 Conoscere
DettagliCAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo
CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliL internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza
L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza Forum P.A. 24 maggio 2007 Missione e Organizzazione Le competenze
DettagliIT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliPROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1
www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti Fin dalle prime indicazioni di Banca d Italia sulla Funzione di Conformità, ABIFormazione
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliStefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma
Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliMANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ
MANUALE GESTIONE QUALITÀ SEZ. 5.1 REV. 02 pagina 1/5 MANUALE DELLA QUALITÀ Rif.to: UNI EN ISO 9001:2008 PARTE 5: RESPONSABILITÀ DELLA DIREZIONE SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA
Dettaglifigure professionali software
Responsabilità del Program Manager Valuta la fattibilità tecnica delle opportunità di mercato connesse al programma; organizza la realizzazione del software in forma di progetti ed accorpa più progetti
DettagliIl mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation
Il mestiere del security manager Giorgio Ledda Senior Director Security Oracle Corporation Argomenti della discussione Il mestiere del security manager. Perché la security? Una definizione di security.
DettagliCOME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING
Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliComprendere il Cloud Computing. Maggio, 2013
Comprendere il Cloud Computing Maggio, 2013 1 Cos è il Cloud Computing Il cloud computing è un modello per consentire un comodo accesso alla rete ad un insieme condiviso di computer e risorse IT (ad esempio,
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliLinea 4. Accompagnamento alla certificazione di Qualità. - Documento operativo preliminare: struttura e attività previste -
Linea 4. Accompagnamento alla certificazione di Qualità. - Documento operativo preliminare: struttura e attività previste - Riorganizzazione dei processi lavorativi e di ottimizzazione delle risorse e
DettagliCredex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit 2003. Roma, 27 marzo 2003
LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI ABI Consumer Credit 2003 Roma, 27 marzo 2003 Questo documento è servito da supporto ad una presentazione orale ed i relativi
DettagliPresidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico
Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliControllo Interno. Aree Territoriali. RUO Sviluppo Organizzativo e Pianificazione
Controllo Interno Aree Territoriali RUO Sviluppo Organizzativo e Pianificazione Agenda 2 Il modello organizzativo : logiche e obiettivi Il perimetro organizzativo/geografico Controllo Interno: Aree Territoriali
DettagliQualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)
La Qualità secondo ISO Qualità è l insieme delle proprietà e delle caratteristiche di un prodotto o di un servizio che conferiscono ad esso la capacità di soddisfare esigenze espresse o implicite (UNI
DettagliOperational Risk Management & Business Continuity Fonti Informative e punti di contatto
Operational Risk Management & Business Continuity Fonti Informative e punti di contatto Roma 16 giugno 2005 Dr. Paolo Cruciani BNL Responsabile Rischi Operativi BNL Direzione Risk Management Agenda 1.
DettagliISO 9001:2015 e ISO 14001:2015
TÜV NORD CERT FAQ ISO 9001:2015 e ISO 14001:2015 Risposte alle principali domande sulle nuove revisioni degli standard ISO 9001 e ISO 14001 Da quando sarà possibile 1 certificarsi in accordo ai nuovi standard?
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliDEFINIO REPLY FINANCIAL PLATFORM
DEFINIO REPLY FINANCIAL PLATFORM Definio Reply è una piattaforma tecnologica in grado di indirizzare le esigenze di gestione, analisi e reporting su portafogli di strumenti finanziari (gestiti, amministrati,
DettagliInformazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di
DettagliCERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity
Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione
DettagliIl catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti
Si rivolge a: Forza vendita diretta Agenti Responsabili vendite Il catalogo MARKET Responsabili commerciali Imprenditori con responsabilità diretta sulle vendite 34 di imprese private e organizzazioni
DettagliANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager
ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società
DettagliMetodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale
Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale Prof. Valter Cantino Università degli Studi di Torino 1 IL RIFERIMENTO ALLA GESTIONE DEL RISCHIO NELLE
DettagliInformation technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
DettagliI progetti di Innovazione tecnologica del Ministero dell Economia e delle Finanze e la misurazione del loro impatto
I progetti di Innovazione tecnologica del Ministero dell Economia e delle Finanze e la misurazione del loro impatto Roma, 9 Aprile 2006 Ministero Economia e Finanze 1 Executive Summary L introduzione ed
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliREALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA
REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA PREMESSA SISTEMA DEI CONTROLLI INTERNI ORGANI E FUNZIONI DI VALUTAZIONE DEL SISTEMA DEI CONTROLLI IN AGOS AUDITING: OBIETTIVI, MODELLO
DettagliTAURUS INFORMATICA S.R.L. Area Consulenza
TAURUS INFORMATICA S.R.L. Area Consulenza LA CONSULENZA Consulenza per Taurus è conciliare le esigenze di adeguamento normativo con l organizzazione dei processi aziendali, per aiutare i propri clienti
DettagliIncentive & La soluzione per informatizzare e gestire il processo di. Performance Management
Incentive & Performance Management La soluzione per informatizzare e gestire il processo di Performance Management Il contesto di riferimento La performance, e di conseguenza la sua gestione, sono elementi
DettagliRidurre i rischi. Ridurre i costi. Migliorare i risultati.
Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Servizi di approvvigionamento professionale. Essere più informati, fare scelte migliori. Supplier Management System delle Communities (CSMS) Prequalifiche
DettagliAZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO
AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO PROCEDURA PR02 - Audit Interni Edizione 1 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente Aziendale per la Qualità
DettagliG.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni
G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,
Dettagli*(67,21(,03$77,25*$1,==$7,9,(
3,1,),=,21((21752//2, *(67,21(,0377,25*1,==7,9,( 68//(5,6256(801( 7HVWLPRQLDQ]DGHO*UXSSR%DQFD/RPEDUGD *=DQRQL 0LODQRJLXJQR Struttura del Gruppo Banca Lombarda 6WUXWWXUDGHO*UXSSR%DQFD/RPEDUGDH3LHPRQWHVH
DettagliRiunione del Comitato di gestione Monitoraggio APQ - 18/12/03
Riunione del Comitato di gestione Monitoraggio APQ - 18/12/03 Roma, 18 dicembre 2003 Agenda dell'incontro Approvazione del regolamento interno Stato di avanzamento del "Progetto Monitoraggio" Prossimi
DettagliDOCUMENTO DI VALUTAZIONE DEL RISCHIO STRESS DA LAVORO CORRELATO
«DVR _ STRESS LAVORO CORRELATO» Pagina 1 di 9 DOCUMENTO DI VALUTAZIONE DEL RISCHIO STRESS DA LAVORO CORRELATO (Art. 28 comma 1 D. Lgs. 9 aprile 2008 n.81 così come modificato dal D.Lgs. 106/09) conforme
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliLA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona
LA CERTIFICAZIONE Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona Qualità Grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000/00) Requisito Esigenza
DettagliSistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)
Sistemi di Gestione dei Dati e dei Processi Aziendali Computer-Assisted Audit Technique (CAAT) Indice degli argomenti Introduzione Metodologia Esempi Conclusioni Slide 2 Introduzione Metodologia Esempi
DettagliFunzionigramma delle Direzioni Regionali della Divisione Banca dei Territori
gramma delle Direzioni Regionali della Divisione Banca dei Territori Luglio 2010 INDICE ORGANIGRAMMA...3 FUNZIONIGRAMMA...5 DIRETTORE REGIONALE...6 COORDINAMENTO MARKETING E STRATEGIE TERRITORIALI...6
DettagliIL SISTEMA DI CONTROLLO INTERNO
http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti
DettagliIl processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane. Renzo G. Avesani, Presidente CROFI
Il processo di definizione e gestione del Risk Appetite nelle assicurazioni italiane Renzo G. Avesani, Presidente CROFI Milano, 10 07 2013 1. Che cosa è il Risk Appetite? 2. Il processo di Risk Appetite
Dettagli