Security for Business Innovation Council

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security for Business Innovation Council"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Progettazione di un team allargato all'avanguardia T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Consigli dei dirigenti Global 1000 In questo report Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer La missione in evoluzione della sicurezza delle informazioni Nuove competenze richieste Opportunità di collaborazione emergenti Informazioni approfondite su ottimizzazione nell'uso delle risorse Suggerimenti attuabili Mappa di "responsabili e mansioni" su un team allargato Iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione team in transizione 2 2. Il nuovo SOW 3 Grafico 1 - L'attuale missione della sicurezza delle informazioni>>>>>>4 3. Sfide e opportunità 6 4. Suggerimenti 7 1. Ridefinire e potenziare le competenze chiave>>>>>>>>>>>>>>>>>>7 2. Delegare le operazioni di routine>>>>>>>>>>>>>>>>>>>>>>>>>>>9 3. Richiedere esperti in prestito o assumerli a tempo determinato>>> Guidare i proprietari dei rischi nella gestione dei rischi>>>>>>>>> Assumere esperti nell'ottimizzazione dei processi>>>>>>>>>>>>> Instaurare relazioni cruciali>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Pensare out-of-the-box per talenti futuri>>>>>>>>>>>>>>>>>>>> 12 Conclusioni 13 Informazioni su Security for Business Innovation Council 13 appendice Grafico 2 - Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Autori 16 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report Che cosa serve oggi per gestire i rischi legati agli asset informatici in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. La missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere attività tecniche e businesscentric avanzate come: analisi dei rischi aziendali, valutazione degli asset, integrità della supply chain IT, cyber intelligence, security data analytics, data warehousing e ottimizzazione dei processi. Sono talmente tante le nuove competenze richieste che la vera sfida nel realizzare un team efficace è data dalla carenza di professionisti con le giuste competenze. Emerge quindi una nuova opportunità: in molte organizzazioni il personale non addetto alla sicurezza si sta rendendo conto di essere esso stesso, e non gli addetti alla sicurezza, responsabile dei rischi dei propri asset informativi, e comprende l'esigenza di stringere collaborazioni attive con la sicurezza per la gestione di questi rischi. Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato comprende il personale del reparto IT, delle business unit e di uffici come approvvigionamento, legale e marketing. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Sette suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia per gestire in modo efficace i rischi alla sicurezza informatica e ottimizzare l'uso delle risorse umane a disposizione e per garantire che il team disponga delle nuove competenze richieste. 1. Ridefinire e potenziare le competenze core - Concentrare il team core sull'incremento delle abilità in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. 2. Delegare le operazioni di routine - Assegnare processi di sicurezza ripetibili e consolidati a IT, business unit e/o service provider esterni. 3. Richiedere esperti in prestito o assunti a tempo determinato - In caso di specializzazioni particolari, estendere il team core con esperti provenienti sia dall'interno che dall'esterno dell'organizzazione. 4. Guidare i Risk Owner nella gestione dei rischi - Collaborare con l'azienda per la gestione dei rischi alla sicurezza informatica e coordinare un approccio omogeneo. Semplificare la procedura per l'azienda e renderli responsabili delle loro scelte. 5. Assumere esperti nell'ottimizzazione dei processi - Dotare il team di persone con esperienza e/o certificazioni nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi. 6. Instaurare relazioni cruciali - Conquistare una posizione adeguata per avere un impatto sulle persone chiave come gli owner dei "gioielli della corona", il middle management e i service provider esternalizzati. 7. Pensare "out-of-the-box" per talenti futuri - Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Una formazione utile può includere amministrazione di database, sviluppo software, analisi aziendale, intelligence militare, competenze in ambito legale o di privacy, data science, matematica o storia. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: team in transizione S e qualche anno fa foste entrati in un reparto di sicurezza delle informazioni, avreste probabilmente incontrato un team con competenze esclusivamente tecniche. Avreste sentito parlare di tecniche di protezione del perimetro, liste di controllo di conformità e aggiornamenti antivirus. Se varcaste ora quella stessa soglia, vi trovereste di fronte un'immagine completamente diversa. I team si stanno evolvendo in gruppi multidisciplinari che comprendono analisti delle minacce, consulenti sui rischi, Data Scientist ed esperti dei processi. Le discussioni si stanno spostando su argomenti come gestione dei rischi aziendali, analisi dei dati, assicurazione dei controlli e governance dei service provider. Organizzazioni diverse si trovano in fasi diverse del processo di trasformazione, anche se la maggior parte ha riconosciuto l'esigenza di adottare nuovi approcci alla sicurezza delle informazioni. Da un sondaggio recente sulla sicurezza è addirittura emerso che la seconda priorità di spesa in ordine di importanza per le enterprise globali è la riprogettazione fondamentale dei programmi di sicurezza delle informazioni. 1 Aggiungere semplicemente soluzioni mirate o lavorare su miglioramenti incrementali non è più sufficiente. Ma in cosa consiste esattamente un programma di sicurezza delle informazioni efficace e che guarda al futuro? Questo report è il primo di una serie sulla trasformazione dei programmi sulla sicurezza delle informazioni aziendali che si propone di rispondere a questa domanda, partendo dall'esperienza e dalla visione di alcuni dei responsabili della sicurezza delle informazioni più importanti al mondo facenti parte del Security for Business Innovation Council (SBIC). Questo primo report descrive le nuove competenze essenziali e illustra come le responsabilità della sicurezza delle informazioni vengono distribuite su tutta l'azienda. Fornisce consigli specifici e attuabili per la progettazione di un team allargato all'avanguardia. 1 E&Y Global Information Security Survey, novembre Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Il nuovo SOW L a missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere un gruppo di attività più ampio. Per realizzare un team ottimizzato con le persone migliori per il job è fondamentale comprendere l'ambito del lavoro. Che cosa serve oggi per gestire i rischi legati agli asset informativi in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. Le organizzazioni sono oggi sottoposte a una forte pressione per ottenere un atteggiamento proattivo ai rischi della sicurezza informatica. Per attuare questo cambiamento, è necessario adottare nuovi approcci nella difesa contro le minacce avanzate, integrando la sicurezza delle informazioni nelle strategie tecnologiche e di business e garantendo efficacia ed efficienza dei processi di sicurezza. Sono ora indispensabili attività avanzate incentrare su tecnologia e business, come: DDInformation Risk Management/Business Risk versus Reward Analysis Per rendere sistematico il processo decisionale sulla base di rischio/ricompensa DDInventario e valutazione degli asset Per assegnare priorità alle strategie di protezione e concentrarsi sulla salvaguardia degli asset più preziosi DDGestione dei rischi di terze parti/integrità della supply chain IT Per valutare il crescente numero di service provider e componenti di sistema reperiti a livello globale DDCyber Risk Intelligence e Threat Analysis Per comprendere il panorama conflittuale e riconoscere gli indicatori degli attacchi DDSecurity Data Analytics Per applicare tecniche di analisi avanzate nel rilevamento dei sistemi anomali o del comportamento degli utenti negli ambienti IT DDSecurity Data Management e Data Warehousing Per sviluppare una strategia e un'infrastruttura complessive per la raccolta di dati da diverse fonti da utilizzare per scopi vari come rilevamento minacce, monitoraggio controlli e conformità DDOttimizzazione dei processi di sicurezza Per formalizzare il miglioramento dell'efficienza dei processi di sicurezza DDControls Agility Per conseguire gli obiettivi per i controlli di sicurezza utilizzando metodi nuovi in risposta a tendenze come cloud e mobile computing Uno degli aspetti chiave nella strategia del team è la definizione della missione al fine di determinare "responsabili e mansioni". Il grafico 1 illustra la missione della sicurezza delle informazioni presso le più grandi organizzazioni di oggi ed elenca le attività dalle più convenzionali a quelle sempre più avanzate. Le organizzazioni dotate di un programma convergente potrebbero includere nella missione anche mansioni correlate come frode, ediscovery, privacy, qualità dei prodotti e/o sicurezza fisica. Questo report illustra i componenti della sicurezza delle informazioni, tenendo contro del coordinamento necessario con altre attività correlate. RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 Il nuovo SOW Grafico 1 l'attuale missione della sicurezza delle informazioni Le attività vengono elencate indicativamente dalle più convenzionali a quelle sempre più avanzate. Program Management Security Policy e Standard Implementazione dei controlli Determinare la strategia complessiva e il piano del programma di gestione della sicurezza delle informazioni. Controllare che il programma risponda alle esigenze aziendali più cruciali dell'organizzazione. Coordinarsi con le attività correlate come frode, ediscovery, sicurezza fisica, sicurezza dei prodotti e/o privacy. Sviluppare e documentare le direttive e le regole generali che indicano come proteggere le informazioni dell'organizzazione. Elaborare il set completo di controlli amministrativi, tecnici e fisici per la sicurezza delle informazioni applicati dall'organizzazione (ad es. framework dei controlli) compresi controlli di accesso, crittografia, identificazione e autenticazione, Configuration Management, monitoraggio, audit log, sicurezza delle applicazioni e formazione della consapevolezza (di personale e clienti). Prendere in considerazione i requisiti di varie leggi e normative (ad es. SOX, HIPAA, PCI). Verificare che in controlli siano agili e tenere traccia dei cambiamenti nel panorama del business e delle minacce. Implementare i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Operazioni dei controlli Controls Design (Security Architecture) Controls Oversight/ Assurance Mettere in funzione i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Sviluppare nuovi controlli o nuovi metodi per implementare i controlli in base ai cambiamenti nel panorama di business, IT e minacce. Include tecniche di sviluppo applicativo; definizione, implementazione, personalizzazione e/o sviluppo di nuove tecnologie di sicurezza e nuovi accordi e procedure per utente finale. Valutare tutti i controlli e garantire che siano conformi a policy e standard. Verificare che tutti i controlli siano presenti e che offrano le prestazioni previste. Verificare che tutti i controlli siano monitorati e attestati in modo omogeneo. Incident Response/ Resiliency Information Risk Assessment Information Risk Management/ Business Risk vs. Reward Analysis Coordinare e gestire la risposta dell'organizzazione agli incident di sicurezza, compresi business continuity/disaster recovery. Valutare i rischi di un programma, un processo, un progetto, un'iniziativa o un sistema in base a valore delle informazioni, data asset, minacce e vulnerabilità applicabili, probabilità di compromissione, impatto sull'organizzazione (ad es. reputazione, entrate, non conformità normativa) e perdite stimate. Stabilire la capacità del Risk Owner di assumersi i rischi e definire il livello di accettazione dei rischi autorizzato. In base all'assessment dei rischi per un particolare programma, processo, progetto, iniziativa o sistema, formulare la strategia di contenimento e risoluzione dei rischi. Attuare un processo omogeneo per valutare i rischi per la sicurezza delle informazioni rispetto alle ricompense per il business. Determinare i controlli richiesti per portare il rischio a un livello accettabile. Integrare il rischio informazioni con il framework/programma di gestione dei rischi enterprise. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 Il nuovo SOW Inventario e valutazione degli asset Delineare l'inventario completo di processi aziendali, dati sensibili e sistemi informatici utilizzati dall'organizzazione. Redigere una documentazione completa per processi aziendali e un mapping del flusso di dati al fine di comprendere i processi e i dati che devono essere protetti e formulare le strategie di protezione. Identificare gli utenti privilegiati in tutta l'extended enterprise che hanno accesso a sistemi critici. Determinare il valore degli asset per assegnare la priorità alle strategie di protezione. Third-Party Risk Management/ IT Supply Chain Integrity Accertarsi che venga eseguita una valutazione del rischio prima che l'organizzazione instauri una relazione con terzi. Sviluppare un processo di "due diligence" per valutare vendor, partner e fornitori. Valutare i rischi che caratterizzano i rapporti commerciali continuativi con vendor, partner e fornitori. Comprendere la supply chain relativa all'it e valutare la sicurezza di hardware e software utilizzati nell'ambiente IT di livello enterprise. Incrementare le efficienze per mezzo di assessment condivisi e di un monitoraggio continuo dei controlli. Cyber Risk Intelligence e Threat Analysis Comprendere il panorama conflittuale relativo agli asset aziendali (identità, capacità, motivazioni e destinazioni). Raccogliere dati di intelligence relativi alle minacce per l'organizzazione. Gestire le origini dei dati di intelligence, interpretare i dati, eseguire analisi e produrre report e alert di intelligence relativi alle minacce. Integrare creazione di modelli delle minacce e intelligence in un processo e ciclo di vita completo di gestione della sicurezza. Security Data Analytics Utilizzare tecniche di analisi avanzate e Data Science per analizzare i dati della sicurezza arricchiti da dati di intelligence. Sviluppare query, algoritmi e modelli di dati utilizzati per rilevare o prevedere attività malevole. Security Data Management e Data Warehousing Sviluppare una strategia e un'infrastruttura di gestione dei dati per aggregare e analizzare i dati sulla sicurezza provenienti da fonti diverse (sistemi di sicurezza, database, applicazioni, feed sulle minacce) con varie finalità (ad es. rilevamento delle minacce, gestione dei rischi e conformità aziendali, monitoraggio continuo dei controlli). Progettare un data warehouse per i dati sulla sicurezza. Security Process Optimization Tenere traccia e misurare in maniera uniforme l'efficienza dei processi di sicurezza e implementare i miglioramenti mediante metodologie formalizzate di gestione qualità, project management ed erogazione dei servizi. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Sviluppi tecnologici come l'"internet of Things" e l'informatica che si indossa, ad esempio, introducono nuove sfide per la sicurezza. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 3 Sfide e opportunità C reare un team efficace per la sicurezza delle informazioni pone una serie di sfide. Dave Martin Vice President e Chief Security Officer, EMC Corporation DDL'esperienza è scarsa ed è difficile trattenere i talenti Gli esperti in sicurezza e nei rischi aziendali sono molto ricercati DDIl budget è limitato DDI team di sicurezza lavorano già a pieno ritmo DDL'attenzione della sala riunioni richiede un certo acume aziendale Mentre la sicurezza delle informazioni diventa una componente di importanza maggiormente critica della strategia di business, gli addetti alla sicurezza devono contare su una conoscenza approfondita del business. La buona notizia è che stanno palesandosi alcune opportunità emergenti. DDLa consapevolezza è in espansione A ogni livello, dagli utenti finali alla leadership, la consapevolezza dei problemi di sicurezza è più alta che mai a causa dell'attenzione dei media, dell'esperienza effettiva con gli attacchi informatici o della pressione normativa. DDIl "business" sta assumendo la proprietà dei rischi In molte organizzazioni avviene un cambiamento di prospettiva in base al quale il personale non addetto alla sicurezza si sta rendendo conto di essere responsabile in prima persona dei rischi dei propri asset informativi e comprende l'esigenza di stringere collaborazioni attive con il settore della sicurezza per la gestione di questi rischi. DDAumentano i cachet dei professionisti della sicurezza Sono tempi d'oro per chi si occupa di sicurezza delle informazioni, poiché il settore si estende ora a nuovi ambiti come business risk analysis, cyber intelligence e Data Science. Tanto i notiziari quanto le rappresentazioni cinematografiche della difesa del ciberspazio non fanno che È sorprendente. Siamo passati da 'Voi addetti alla sicurezza ci siete di ostacolo, perché dobbiamo fare questa cosa?' alle business unit che utilizzano i nostri servizi centrali di consulenza per eseguire il roll out delle strategie di contenimento del rischio. Il fenomeno è inoltre in fase di accelerazione in quanto le business unit si rendono conto che devono gestire i propri rischi anziché affidarsi ad altri per risolvere i problemi o peggio nascondere la testa sotto la sabbia". incrementare l'interesse in questo ambito, contribuendo ad attirare nuovi talenti. DDLa gamma di service provider è in aumento Poiché il mercato risponde alle richieste in continuo aumento, è sempre più facile per le organizzazioni rivolgersi a service provider di sicurezza esterni per ridurre i costi, ottenere competenze specializzate, contribuire a completare una marea di attività e fornire assessment indipendenti. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 4 Suggerimenti Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato per la sicurezza delle informazioni deve includere le seguenti figure: DDPersonale addetto all'implementazione IT e alla gestione dei controlli di sicurezza. DDResponsabili dei rischi che nelle business unit rispondono ai problemi legati ai rischi. DDEsperti del settore acquisti che implementano i protocolli di assicurazione e assessment dei rischi dei vendor per la valutazione dei fornitori. DDUfficio privacy per la gestione delle normative. DDPersonale di marketing che monitora i social media alla ricerca di informazioni sulle possibili minacce. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Parte del personale addetto alle operazioni di sicurezza al di fuori del team core può essere di tipo a referente diretto o indiretto, mentre altri possono essere attivi in conformità agli standard di sicurezza o ai Service Level Agreement (SLA). Il grafico 2 dell'appendice illustra responsabili e relative mansioni in un team allargato, compresi sicurezza delle informazioni core, IT, business e service provider. I seguenti suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia in grado di gestire in modo efficace i rischi per la sicurezza delle informazioni e di ottimizzare l'uso delle risorse umane a disposizione. In base al livello di maturità raggiunto dall'organizzazione, queste indicazioni possono essere utili per avviare il processo, convalidare un approccio o velocizzare l'avanzamento in determinate aree. Ridefinire e potenziare le competenze chiave Delegare le operazioni di routine Richiedere esperti in prestito o assumerli a tempo determinato Guidare i Risk Owner nella gestione dei rischi Assumere esperti nell'ottimizzazione dei processi Instaurare relazioni cruciali Pensare "out-of-the-box" per talenti futuri 1. Ridefinire e potenziare le competenze chiave All'interno delle organizzazioni leader, i team core di sicurezza delle informazioni si dedicano attualmente a potenziare le competenze in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. In base alle dimensioni del team core e al livello di specializzazione, i singoli membri possono svolgere mansioni specifiche oppure occuparsi di più aree. Ogni area richiede un set di competenze chiave che spesso sono del tutto nuove per i membri del team. In futuro, il personale esistente dovrà sviluppare le competenze richieste per mezzo della formazione e/o il team core dovrà aggiungere nuovi membri o affidarsi a service provider. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti 1. Cyber Risk Intelligence e Security Data Analytics Alla luce del costante aumento delle minacce, migliorare il rilevamento delle minacce è di vitale importanza per la maggior parte delle organizzazioni di tutto il mondo; in particolare, è essenziale sviluppare un approccio di tipo "intelligence-driven" (leggere il report SBIC, "Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security"). Questo approccio prevede la raccolta e la fusione dei dati di intelligence informatica di origine interna (ad es. sensori nei sistemi IT e nelle applicazioni aziendali) e di origine esterna (ad es. feed sulle minacce di enti pubblici o commerciali) e l'uso di tecniche avanzate di data analytics per individuare gli indicatori degli attacchi e i pattern di comportamento anomalo. Il team core deve disporre delle capacità necessarie per arrivare a una consapevolezza della situazione in tutta l'organizzazione. Determinare le origini dei dati pertinenti ed eseguire analisi significative richiede una comprensione approfondita dell'ambiente di business effettivo, degli asset da proteggere e del panorama informatico conflittuale. I team di sicurezza stanno iniziando a orientarsi nella potenza delle tecnologie dei Big Data allo scopo non solo di individuare ma anche di prevenire gli attacchi. DDCompetenze del personale chiave: networking interno ed esterno per lo sviluppo di fonti di intelligence valide, comunicazione per lo sviluppo di report e la presentazione di relazioni sull'intelligence. DDCompetenze dei processi chiave: progettazione di un processo di intelligence end-to-end che prevede di ottenere e filtrare i dati, eseguire analisi, comunicare i risultati, prendere una decisione sui rischi e intraprendere azioni. DDCompetenze tecniche chiave: analisi (individuare collegamenti tra dati apparentemente non collegati), tecniche di data analytics e Data Science. 2. Security Data Management Nel loro tentativo di arrivare alla data analytics per il rilevamento delle minacce, le organizzazioni si stanno rendendo conto di avere bisogno di una strategia e di un'infrastruttura complessive di gestione dei dati sulla sicurezza. Ciò comprende l'unione dei dati provenienti da tutto l'ambiente IT compresi log, flussi completi di dati in pacchetti e dati non strutturati prodotti da sistemi, database e applicazioni aziendali. I dati possono essere applicati oltre il rilevamento delle minacce e utilizzati per scopi come la gestione dei rischi aziendali, la conformità e il monitoraggio continuo dei controlli. DDCompetenze del personale chiave: interfaccia con IT e business, compresi enterprise data management architect. DDCompetenze dei processi chiave: mapping dei flussi di dati sulla sicurezza in tutto l'ambiente IT dell'organizzazione. DDCompetenze tecniche chiave: competenze IT chiave come storage architecture, architettura di elaborazione, schema database, normalizzazione e gestione dei colli di bottiglia delle reti. 3. Consulenza sui rischi Il team core agisce da centro di consulenza fornendo consigli all'azienda in merito alla gestione dei rischi per gli asset informatici, compresi quelli legati a sicurezza, privacy, questioni legali, conformità normativa e ediscovery. Il team core deve conoscere in modo puntuale i processi aziendali. Deve saper collaborare con gli interessati per valutare i rischi, misurare il valore degli asset, determinare le strategie di contenimento del rischio e accertarsi che le discussioni sui rischi abbiano luogo all'avvio dei progetti. Un set di rischi in continua crescita nasce da terze parti esterni. Le strategie di global sourcing e cloud computing stanno portando le organizzazioni a incrementare ulteriormente l'utilizzo di service provider esternalizzati e ad associarsi a nuovi business partner e fornitori. È essenziale disporre delle conoscenze necessarie per eseguire la "due diligence" di terze parti in modo efficace ed efficiente, gli assessment continui e l'analisi di hardware e software. "L'esperienza core del team della sicurezza dovrebbe essere principalmente concentrata sul fornire consulenza, assicurare orientamento, stimolare la strategia, identificare e illustrare i rischi per il business, comprendere le minacce e fare avanzare l'organizzazione, senza essere gravati dalle attività operative delle routine quotidiane". Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti DDCompetenze del personale chiave: leadership, networking interno per conoscere le strategie aziendali, comunicazione (ascolto, articolazione verbale, gestione conversazioni difficili, sensibilità a sfumature di carattere culturale e organizzativo). DDCompetenze dei processi chiave: mapping e documentazione dei processi aziendali, framework di gestione dei rischi, protocolli per assessment dei rischi di terze parti e garanzia dei controlli (compresi assessment condivisi), gestione dei service provider esternalizzati e community di supply chain. DDCompetenze tecniche chiave: valutazione dei rischi, misurazione di rischi diversi e della propensione al rischio in un'organizzazione con un metodo standardizzato, automazione delle attività di gestione dei rischi e di assessment dei vendor, monitoraggio continuo dei controlli. 4. Controls Design and Assurance Una delle aree di maggior interesse per il team core potrebbe essere la progettazione di controlli innovativi allineati agli obiettivi aziendali e l'elaborazione di tecniche di verifica avanzate per l'assicurazione dei controlli. Questo lavoro prevede ricerca/sviluppo e valutazione/implementazione di nuove tecnologie di sicurezza. Gli analisti dei controlli devono progettare la raccolta di dati non solo per accertarsi che i controlli siano in funzione come previsto, ma anche per garantire che siano i migliori per difendersi contro le minacce più recenti e per garantire l'agilità del business. DDCompetenze del personale chiave: tradurre i requisiti aziendali e di conformità in requisiti di sicurezza, mettendoli in relazione con l'architettura aziendale. DDCompetenze dei processi chiave: documentare il framework dei controlli dell'organizzazione, sviluppare protocolli per l'assessment e la convalida dei controlli. DDCompetenze tecniche chiave: architettura della sicurezza, sicurezza delle applicazioni, sicurezza mobile, sicurezza del cloud, monitoraggio continuo dei controlli, test e analisi avanzati dei controlli di sicurezza. 2. Delegare le operazioni di routine I team di sicurezza tradizionali si sentono più a loro agio se si occupano personalmente di ogni mansione. Questo atteggiamento però deve cambiare. Delegare le operazioni di sicurezza di routine ad altri gruppi interni o a service provider esterni consente al team core di concentrarsi su attività più proattive e strategiche, ottimizzando la propria competenza tecnica e le capacità di gestione dei rischi aziendali. Inoltre, attraverso scalabilità e specializzazione, i service provider adatti consentono non solo di ridurre i costi ma anche di incrementare la qualità. I processi ripetibili e consolidati sono i migliori da delegare. Alcuni esempi sono l'assegnazione della gestione di firewall, autenticazione, sistemi di prevenzione delle intrusioni e/o software antivirus a gruppi del reparto IT o a provider di servizi di sicurezza gestiti. È possibile assegnare la gestione dell'accesso utente a livello di applicazione e l'amministrazione degli utenti alle business unit; formare sviluppatori nella sicurezza delle applicazioni e fornire loro gli strumenti necessari per individuare le vulnerabilità; valutare la possibilità di utilizzare soluzioni Security-as-a-Service per scansioni e verifiche. Poiché il team core distribuisce le attività, dovrà anche garantirsi un livello adeguato di comando e controllo attraverso requisiti, standard e Service Level Agreement completi. Il team core deve anche disporre di competenze tecniche sufficienti in ambito di sicurezza, oltre ad abilità nella gestione dei vendor, per assicurare una supervisione efficace. Le organizzazioni che nutrono dubbi sull'esternalizzazione della sicurezza a terze parti esterne possono spesso conseguire gli stessi obiettivi "esternalizzando" a gruppi IT interni; è richiesto comunque lo stesso livello di supervisione a prescindere dal tipo di service provider. Nel corso del tempo, il team core deve continuare a valutare cosa potrebbe essere eseguito in modo più efficace o efficiente da altri. Ad esempio, il team core può inizialmente gestire l'implementazione e il funzionamento di una nuova tecnologia di sicurezza ma, una volta standardizzata, può delegare la gestione delle operazioni in corso. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 3. Richiedere esperti in prestito o assumerli a tempo determinato Una delle maggiori problematiche è la mancanza all'interno del team core delle competenze richieste in aree specializzate. Esperti provenienti dall'esterno rispetto al reparto di sicurezza possono colmare questa lacuna. Ad esempio, alcuni team addetti alla sicurezza stanno assumendo personale di data analytics dai service provider o da altre sezioni dell'organizzazione come ufficio frodi o marketing. I Big Data possono essere una novità per la sicurezza, ma altre aree dell'azienda hanno adottato le tecniche di analisi dei dati già da anni. Quando non è praticabile o semplicemente troppo costoso disporre di determinati esperti nel proprio team a tempo pieno, come specialisti in indagini sul malware o cyber threat intelligence analyst, le organizzazioni possono rivolgersi a service provider esterni su base continua. I team core possono avvalersi di talenti ulteriori per gestire un incremento improvviso dell'attività o come supporto quando dei membri lasciano il team. Dare vita a una partnership con un'azienda di consulenza in materia di sicurezza, capace di mettere a disposizione professionisti della sicurezza multisfaccettati di alto livello a cui si versa un onorario è un'altra valida possibilità. Possono arricchire le abilità del team core e offrire un punto di vista indipendente. Per risolvere problemi particolarmente complessi, è spesso utile coinvolgere esperti del settore come un Security Architect Consultant specializzato in una determinata tecnologia. È necessario tuttavia "Tradizionalmente, il team della sicurezza delle informazioni si concentrava maggiormente sulla tecnologia. Ma uno dei ruoli che sta acquisendo un'importanza crescente consiste nell'essere un punto di collegamento con il business, per portarne i requisiti nell'organizzazione della sicurezza e quindi trasferire al business il punto di vista della sicurezza". Se non dispongo di una competenza cruciale la creo o la compro. Bisogna sapere quando creare o quando comprare in base ai costi complessivi di gestione. Per alcune competenze, potrebbe essere più logico rivolgersi a un service provider". Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson ricordare che il team core ha comunque bisogno di conoscenze interne sufficienti da applicare alle competenze esternalizzate. 4. Guidare i Risk Owner nella gestione dei rischi In genere, i manager senior all'interno dell'azienda sono i veri responsabili delle decisioni di gestione dei rischi associate a iniziative come il lancio di un nuovo prodotto o servizio, a programmi come il BYOD, ad asset informativi come siti web lato clienti o a processi aziendali come la generazione di report finanziari. Poiché i dirigenti delle aziende riconoscono con maggiore frequenza la propria responsabilità nella gestione della sicurezza informatica, un numero crescente di organizzazioni predispone "responsabili dei rischi per la sicurezza delle informazioni" dedicati nelle business unit che si occupano di correzione dei rischi. Il ruolo del team core è guidare le attività di gestione dei rischi per le informazioni e collaborare con l'azienda nella gestione di rischi per la sicurezza informatica. Sono quindi inclusi il coordinamento di un approccio omogeneo a identificazione, assessment, contenimento, correzione e segnalazione dei rischi, la valutazione dei rischi rispetto ai vantaggi, la definizione dei livelli di propensione e accettazione dei rischi e l'integrazione del rischio informazioni nel programma complessivo di gestione dei rischi di livello enterprise. Il segreto per una buona riuscita sta nel semplificare la procedura per il business e nel rendere il business stesso responsabile della gestione dei rischi fornendo strumenti selfservice, assimilando la gestione dei rischi nei processi aziendali e implementando l'automazione. Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti 5. Assumere esperti nell'ottimizzazione dei processi La competenza nei processi è un aspetto essenziale in un team all'avanguardia. È importante dotare il team di persone che hanno accumulato esperienza nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi e che possono essere formate sulla sicurezza. Prendere quindi in considerazione l'assunzione di persone con credenziali in Six Sigma Process Improvement, IT Service Management (ITSM) di ITIL, COBIT IT Governance e/o Enterprise Architecture di TOGAF. Alcuni team core sono stati capaci di sfruttare esperti dei processi o professionisti nella gestione di programmi di altre aree dell'organizzazione, come il reparto qualità o l'ufficio programmi aziendali. Poter contare su competenze nei processi contribuisce a soddisfare le crescenti esigenze in termini di miglioramenti dei processi. Ad esempio, alla luce del panorama delle minacce, alcune organizzazioni preferirebbero che l'installazione di patch in tutti i sistemi critici avvenisse nell'arco di ore e non di settimane. Le business unit desiderano limitare l'impatto della sicurezza sui processi aziendali, riducendo al minimo il disagio per gli utenti finali e i tempi di inattività dei server. Gli enti normativi desiderano controlli più rigidi sull'accesso alle informazioni, come revoca dei diritti scaduti svolta in pochi minuti e non in giorni. E crescono le aspettative nei confronti del reparto di sicurezza chiamato a misurare la produttività degli investimenti nella sicurezza e a fornire Un'extended enterprise nel settore informatico deve individuare i propri service provider di importanza critica e stabilire con loro un solido rapporto di collaborazione. Impedite ai 'cattivi' di riuscire a nascondersi perché avete alzato lo standard di conformità a una buona prassi di sicurezza su tutto il vostro ecosistema". William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA "Esiste un fondamento essenziale per l'organizzazione della nostra sicurezza che dice che 'la formalità conta'. I nostri processi devono venire rigidamente documentati e rivisti. In che modo possiamo renderli più efficienti? Più efficaci? Abbiamo trascurato qualcosa? Servono persone con una solida formazione in ambito di processi e qualità se si desidera avere credibilità con i propri leader aziendali". Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation miglioramenti quantificabili nel tempo, tra cui ripetibilità dei processi, agilità e scalabilità. 6. Instaurare relazioni cruciali È importante che il team core stringa relazioni solide in tutta l'organizzazione al fine di raccogliere un numero crescente di persone addette alla sicurezza, creare un ambiente collaborativo e garantire che i membri del team allargato comprendano ed eseguano le proprie mansioni. Il team core deve raggiungere tutte le aree dell'azienda ed essere coinvolto a tutti i livelli. Deve conquistare una posizione ottimale per poter esercitare la propria influenza sulle persone che contano, come le persone che controllano gli investimenti tecnologici e che prendono decisioni aziendali strategiche. Una delle relazioni più importanti è quella con i soggetti che sono in possesso delle risorse più preziose dell'organizzazione, ad esempio i dataset e i processi aziendali con proprietà intellettuale o dati proprietari. Un'altra è con i membri del middle management; è possibile infatti fare grandi progressi se si conquista la fiducia dei dirigenti di livello intermedio. Anche i provider di esternalizzazione dei processi aziendali sono un obiettivo strategico. Il team core dovrebbe realizzare una solida rete di contatti per la sicurezza tra questi provider e lavorare con loro per garantire alti standard di sicurezza e condivisione delle informazioni all'interno dell'intera community. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 7. Pensare "out-of-the-box" per talenti futuri L'interesse per la sicurezza delle informazioni è in aumento, ma nel breve termine si assisterà a una carenza di professionisti con competenze in ambito di sicurezza informatica "pronta all'uso" e consulenza sui rischi. È particolarmente difficile trovare persone di talento con competenze specifiche nelle tecnologie per la sicurezza emergenti. Alcune organizzazioni nel frattempo hanno iniziato a rivolgersi ai MSSP a causa della difficoltà nel riuscire ad assumere e/o a conservare personale di talento dotato di particolari competenze tecniche. Per i team di sicurezza occorrono inoltre professionisti capaci di trascendere la competenza tecnica per poter discutere proficuamente di rischio aziendale con i principali interessati. È essenziale poter contare su una strategia di recruiting continua per costruire un team di sicurezza efficace. Altrettanto essenziale è la collaborazione con le business unit e le risorse umane, per valutare le esigenze e le possibili fonti di talenti. Sono sempre più numerose le organizzazioni che assumono personale privo di una formazione in ambito di sicurezza ma che possiede preziose competenze e che può essere addestrato nel campo della sicurezza. Uno degli approcci adottati consiste nel formare una "accademia di sicurezza informatica" interna. Un altro è fornire supporto ai singoli componenti del team, affinché seguano Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. corsi di formazione esterni e conseguano le relative certificazioni, e/o istituire programmi di mentoring. Oltre ai neolaureati, i nuovi assunti possono anche essere personale interno proveniente dal settore IT o da altre aree che potrebbero essere interessati a intraprendere una carriera nella sicurezza. Spesso sono la scelta migliore poiché hanno già una conoscenza approfondita dell'organizzazione e possono contare su una rete di contatti. Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Mantenere una mentalità aperta mentre si cerca personale da formare per i ruoli del settore della sicurezza è importantissimo. Esiste un'ampia gamma di preziosi ambiti di formazione tra cui amministrazione database, sviluppo software, analisi aziendale, intelligence militare o competenze legali e nel settore della privacy. Recentemente, alcuni team core hanno assunto Data Scientist con una formazione in sequenziamento del DNA. Il personale dotato di conoscenze teoriche in aree quali l'econometria o la matematica può incrementare le proprie capacità tecniche pratiche. Chi ha invece una formazione umanistica in storia o giornalismo può offrire eccellenti competenze investigative. Poiché conservare il personale è una sfida enorme quando si impartisce formazione per trasmettere competenze altamente ricercate, è importante presentare un "Quando si inseriscono nuove persone nella propria organizzazione, la diversità di pensiero è fondamentale. La sua importanza oggi è addirittura più cruciale che mai poiché il cambiamento che interessa il lato business sta superando in velocità le capacità della sicurezza e richiederà una riflessione innovativa per risolvere questi problemi". Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. percorso professionale immaginabile e interessante per i singoli componenti del team e garantire un compenso allineato ai valori di mercato. Molte organizzazioni hanno avviato progetti di collaborazione con le università per agevolare lo sviluppo di un pool di talenti in ambito di sicurezza. In tale ottica, la collaborazione può prevedere creare programmi di sviluppo di leadership, contribuire ad orientare i piani di studio affinché soddisfino le esigenze del settore e offrire opportunità di tirocinio/ stage. Programmi di solidarietà all'università e persino a livello di scuola secondaria possono contribuire a istruire la potenziale forza lavoro su una carriera nel settore della sicurezza informatica. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Conclusioni I team di sicurezza delle informazioni si stanno evolvendo per soddisfare le richieste di un ambiente di business, un panorama delle minacce e un regime normativo sempre più complessi. La consapevolezza dei problemi legati alla sicurezza rende possibile il cambiamento nella posizione della sicurezza delle informazioni, che si allontana dall'essere un archivio tecnico per diventare un'attività genuinamente collaborativa. Le organizzazioni stanno anche scoprendo che per soddisfare i requisiti di sicurezza occorre una maggiore attenzione al processo. Un efficace team di sicurezza oggi conosce profondamene i processi di business e l'importanza di validi processi di sicurezza per il conseguimento della sua finalità. Il prossimo report di questa serie in tre parti sulla trasformazione della sicurezza delle informazioni esplorerà ulteriormente il modo in cui le organizzazioni leader stanno rivalutando e ottimizzando i processi. Il terzo report illustrerà come le nuove tecnologie si inseriscono nel quadro complessivo di un programma moderno di sicurezza delle informazioni che si fonda su un team creativo e che guarda al futuro. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel Security for Business Innovation Council. Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 A Appendice Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni Grafico 2 La dirigenza e il consiglio di amministrazione supervisionano il programma. Componenti del team Sicurezza delle informazioni core IT Business Service provider ( usi comuni) Un'ampia gamma di specialisti. I singoli possono assumere più di un ruolo. Personale coinvolto in ruoli legati alla sicurezza strategica e operativa. Linee di business e aree funzionali (ad es. privacy, risorse umane, marketing, settore legale, audit, approvvigionamento). Consulenti con SME (subject matter expertise), MSSP (managed security service provider) e cloud vendor (SAAS) Possibile convergenza con ediscovery, sicurezza fisica e/o team di sicurezza dei prodotti. Attività Responsabilità specifiche Program Management CISO conduce il programma e presiede l'"information Risk Committee" interfunzionale. Il CIO prende parte all'"information Risk Committee". Alcuni dirigenti d'azienda partecipano all'"information Risk Committee". Security Policy e Standard Sviluppare policy e standard. Conferire su policy e standard. Conferire su policy e standard. Implementazione dei controlli Gestire e supervisionare l'implementazione dei controlli. Eseguire l'implementazione dei controlli in aree più complesse Implementare i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Facilitare l'implementazione dei controlli. I MSSP assicurano servizi di implementazione dei controlli che soddisfano il Service Level Agreement della sicurezza. Operazioni dei controlli Gestire e supervisionare le operazioni dei controlli. Eseguire controlli più nuovi e complessi. Eseguire i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Accertarsi che le operazioni del business soddisfino i requisiti di sicurezza dei controlli. I MSSP assicurano servizi di esecuzione dei controlli che soddisfano il Service Level Agreement della sicurezza. Controls Assurance Eseguire un assessment dei controlli e sviluppare strumenti avanzati per il collaudo e l'analisi dei controlli. Implementare il monitoraggio continuo dei controlli. I provider di servizi di sicurezza gestiti garantiscono i servizi, come analisi del codice sorgente e scansione della vulnerabilità. Controls Design (Security Architecture) Dare impulso alla progettazione di nuovi controlli di sicurezza. Lavorare con l'architettura IT aziendale. Conferire sulla progettazione di nuovi controlli di sicurezza. Conferire sulla progettazione di nuovi controlli di sicurezza. Incident Response/ Resiliency Gestire e coordinare la risposta interaziendale. Lavorare sugli aspetti tecnici della risposta. Lavorare sugli aspetti legali, delle pubbliche relazioni e delle risorse umane della risposta. I consulenti competenti in materia forniscono indagini e analisi del malware. 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 Information Risk Assessment Gestire il programma di assessment dei rischi. Eseguire assessment dei rischi in casi più complessi. Fornire gli strumenti per facilitare gli assessment del rischio. Eseguire l'assessment del rischio con strumenti forniti dal team core. Eseguire l'assessment del rischio con strumenti forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità. La tendenza emergente sono gli assessment dei rischi eseguiti da service provider che soddisfano il Service Level Agreement della sicurezza. Information Risk Management/ Business Risk versus Reward Analysis Dare impulso alle attività di gestione dei rischi. Relazionarsi con l'it e il business. Conferire sulla gestione dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Fornire gli strumenti per facilitare la gestione dei rischi. Third- Party Risk Management/ IT Supply Chain Integrity Dare impulso alla gestione dei rischi di terze parti e al programma di integrità della supply chain. Sviluppare standard e fornire strumenti per assessment di terze parti e la valutazione di hardware e software. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. Eseguire la valutazione di hardware e software servendosi di strumenti forniti dal team core. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. L'approvvigionamento incorpora gli assessment della sicurezza nel processo di approvvigionamento stesso. I consulenti competenti in materia eseguono la "due diligence" e gli assessment di terze parti servendosi di standard forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità e per la stesura dei contratti. Inventario e valutazione degli asset Dare impulso allo sviluppo del registro. Relazionarsi con il team core per elencare e valutare gli asset. Relazionarsi con il team core per elencare e valutare gli asset. Cyber Risk Intelligence e Threat Analysis Gestire il programma di intelligence. Coordinare le fonti. Condividere i dati di intelligence come le di phishing. Condividere i dati di intelligence come il monitoraggio dei social media. I consulenti competenti in materia assicurano l'analisi delle fonti e delle minacce. Security Data Analytics Dare impulso allo sviluppo di query e modelli. Richiedere consulenza e/o fornire servizi di data analytics. Richiedere consulenza e/o fornire servizi di data analytics. Gli SME e/o MSSP garantiscono servizi di data analytics. Security Data Management e Data Warehousing Dare impulso alla strategia di sicurezza della gestione dei dati e progettare il data warehouse di sicurezza. Dare impulso alla strategia complessiva di gestione dei dati dell'organizzazione. Conferire sulla strategia di sicurezza e su origini dei dati come i registri di rete. Conferire sulle origini dei dati come registri di applicazioni e database. Gli SME forniscono feed sulle minacce. Gli MSSP ricevono dati dai registri dei sistemi di sicurezza. Security Process Optimization Dare impulso all'ottimizzazione dei processi di sicurezza su tutta l'organizzazione. Conferire e facilitare l'implementazione dei miglioramenti. Conferire e facilitare l'implementazione dei miglioramenti. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Collaborare su tendenze future e strategie proattive. Collaborare su tendenze future e strategie proattive. RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Autori report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani CISSP Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security and Privacy Officer, Intel Kenneth Haertling Vice President e Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President e Chief Security Officer, EMC Corporation Tim MCKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Per consultare le biografie complete dei membri SBIC, visitare 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council Report 17

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

IT Service Management

IT Service Management IT Service Management ITIL: I concetti chiave ed il livello di adozione nelle aziende italiane Matteo De Angelis, itsmf Italia (I) 1 Chi è itsmf italia 12 th May 2011 - Bolzano itsmf (IT Service Management

Dettagli

IT FINANCIAL MANAGEMENT

IT FINANCIAL MANAGEMENT IT FINANCIAL MANAGEMENT L IT Financial Management è una disciplina per la pianificazione e il controllo economico-finanziario, di carattere sia strategico sia operativo, basata su un ampio insieme di metodologie

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

PLM Software. Answers for industry. Siemens PLM Software

PLM Software. Answers for industry. Siemens PLM Software Siemens PLM Software Monitoraggio e reporting delle prestazioni di prodotti e programmi Sfruttare le funzionalità di reporting e analisi delle soluzioni PLM per gestire in modo più efficace i complessi

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi

Analisi per tutti. Panoramica. Considerazioni principali. Business Analytics Scheda tecnica. Software per analisi Analisi per tutti Considerazioni principali Soddisfare le esigenze di una vasta gamma di utenti con analisi semplici e avanzate Coinvolgere le persone giuste nei processi decisionali Consentire l'analisi

Dettagli

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE

ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE ORACLE BUSINESS INTELLIGENCE STANDARD EDITION ONE A WORLD CLASS PERFORMANCE Oracle Business Intelligence Standard Edition One è una soluzione BI completa, integrata destinata alle piccole e medie imprese.oracle

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita;

Supporto alle decisioni e strategie commerciali/mercati/prodotti/forza vendita; .netbin. è un potentissimo strumento SVILUPPATO DA GIEMME INFORMATICA di analisi dei dati con esposizione dei dati in forma numerica e grafica con un interfaccia visuale di facile utilizzo, organizzata

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

Come evitare i rischi di una due diligence tradizionale

Come evitare i rischi di una due diligence tradizionale Mergers & Acquisitions Come evitare i rischi di una due diligence tradizionale Di Michael May, Patricia Anslinger e Justin Jenk Un controllo troppo affrettato e una focalizzazione troppo rigida sono la

Dettagli

Iniziativa : "Sessione di Studio" a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30

Iniziativa : Sessione di Studio a Vicenza. Vicenza, venerdì 24 novembre 2006, ore 9.00-13.30 Iniziativa : "Sessione di Studio" a Vicenza Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Asset sotto controllo... in un TAC. Latitudo Total Asset Control Asset sotto controllo... in un TAC Latitudo Total Asset Control Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management hanno dimostrato un significativo risparmio

Dettagli

Quanto sono al sicuro i vostri dati riservati?

Quanto sono al sicuro i vostri dati riservati? Articolo pubblicato sul numero di febbraio 2010 di La rivista del business ad alte performance Information Technology Quanto sono al sicuro i vostri dati riservati? di Alastair MacWillson L'approccio aziendale

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

CORPORATE OVERVIEW. www.akhela.com

CORPORATE OVERVIEW. www.akhela.com CORPORATE OVERVIEW www.akhela.com BRIDGE THE GAP CORPORATE OVERVIEW Bridge the gap Akhela è un azienda IT innovativa che offre al mercato servizi e soluzioni Cloud Based che aiutano le aziende a colmare

Dettagli

Il Business Process Management: nuova via verso la competitività aziendale

Il Business Process Management: nuova via verso la competitività aziendale Il Business Process Management: nuova via verso la competitività Renata Bortolin Che cosa significa Business Process Management? In che cosa si distingue dal Business Process Reingeneering? Cosa ha a che

Dettagli

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM Andrea Mannara Business Unit Manager ManageEngine Portfolio Network Data Center Desktop & MDM ServiceDesk & Asset Active Directory Log &

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

Il CIO del futuro Report sulla ricerca

Il CIO del futuro Report sulla ricerca Il CIO del futuro Report sulla ricerca Diventare un promotore di cambiamento Condividi questo report Il CIO del futuro: Diventare un promotore di cambiamento Secondo un nuovo studio realizzato da Emerson

Dettagli

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e'

ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il continuous improvement ed e' ITIL v3 ITIL v3 e' parte di un processo teso a migliorare le best practices ITIL. In effetti, ITIL predica il "continuous improvement" ed e' giusto che lo applichi anche a se' stessa... Naturalmente una

Dettagli

ITIL Versione 3: un contributo all importanza crescente del Business Service Management

ITIL Versione 3: un contributo all importanza crescente del Business Service Management BEST PRACTICES WHITE PAPER ITIL Versione 3: un contributo all importanza crescente del Business Service Management Sharon Taylor, Presidente di Aspect Group, Chief Architect e Chief Examiner per ITIL Ken

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

I Valori del Manifesto Agile sono direttamente applicabili a Scrum:!

I Valori del Manifesto Agile sono direttamente applicabili a Scrum:! Scrum descrizione I Principi di Scrum I Valori dal Manifesto Agile Scrum è il framework Agile più noto. E la sorgente di molte delle idee che si trovano oggi nei Principi e nei Valori del Manifesto Agile,

Dettagli

White Paper. Operational DashBoard. per una Business Intelligence. in real-time

White Paper. Operational DashBoard. per una Business Intelligence. in real-time White Paper Operational DashBoard per una Business Intelligence in real-time Settembre 2011 www.axiante.com A Paper Published by Axiante CAMBIARE LE TRADIZIONI C'è stato un tempo in cui la Business Intelligence

Dettagli

IL PROGETTO MINDSH@RE

IL PROGETTO MINDSH@RE IL PROGETTO MINDSH@RE Gruppo Finmeccanica Attilio Di Giovanni V.P.Technology Innovation & IP Mngt L'innovazione e la Ricerca sono due dei punti di eccellenza di Finmeccanica. Lo scorso anno il Gruppo ha

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

La piattaforma IBM Cognos

La piattaforma IBM Cognos La piattaforma IBM Cognos Fornire informazioni complete, coerenti e puntuali a tutti gli utenti, con una soluzione economicamente scalabile Caratteristiche principali Accedere a tutte le informazioni in

Dettagli

Servizi di consulenza e soluzioni ICT

Servizi di consulenza e soluzioni ICT Servizi di consulenza e soluzioni ICT Juniortek S.r.l. Fondata nell'anno 2004, Juniortek offre consulenza e servizi nell ambito dell informatica ad imprese e professionisti. L'organizzazione dell'azienda

Dettagli

I N F I N I T Y Z U C C H E T T I WORKFLOW HR

I N F I N I T Y Z U C C H E T T I WORKFLOW HR I N F I N I T Y Z U C C H E T T I WORKFLOW HR WORKFLOW HR Zucchetti, nell ambito delle proprie soluzioni per la gestione del personale, ha realizzato una serie di moduli di Workflow in grado di informatizzare

Dettagli

Formazione Su Misura

Formazione Su Misura Formazione Su Misura Contattateci per un incontro di presentazione inviando una mail a formazione@assoservizi.it o telefonando ai nostri uffici: Servizi alle Imprese 0258370-644.605 Chi siamo Assoservizi

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

ITIL. Introduzione. Mariosa Pietro

ITIL. Introduzione. Mariosa Pietro ITIL Introduzione Contenuti ITIL IT Service Management Il Servizio Perchè ITIL ITIL Service Management life cycle ITIL ITIL (Information Technology Infrastructure Library) è una raccolta di linee guida,

Dettagli

***** Il software IBM e semplice *****

***** Il software IBM e semplice ***** Il IBM e semplice ***** ***** Tutto quello che hai sempre voluto sapere sui prodotti IBM per qualificare i potenziali clienti, sensibilizzarli sulle nostre offerte e riuscire a convincerli. WebSphere IL

Dettagli

Schema Professionista della Security Profilo Senior Security Manager - III Livello

Schema Professionista della Security Profilo Senior Security Manager - III Livello STATO DELLE REVISIONI rev. n SINTESI DELLA MODIFICA DATA 0 05-05-2015 VERIFICA Direttore Qualità & Industrializzazione Maria Anzilotta APPROVAZIONE Direttore Generale Giampiero Belcredi rev. 0 del 2015-05-05

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy

IT Service Management: il Framework ITIL. Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy IT Service Management: il Framework ITIL Dalmine, 20 Gennaio 2012 Deborah Meoli, Senior Consultant Quint Italy Quint Wellington Redwood 2007 Agenda Quint Wellington Redwood Italia IT Service Management

Dettagli

La politica Nestlé per la Salute e la Sicurezza sul Lavoro

La politica Nestlé per la Salute e la Sicurezza sul Lavoro La politica Nestlé per la Salute e la Sicurezza sul Lavoro La sicurezza non è negoziabile Nestlé è convinta che il successo a lungo termine possa essere raggiunto soltanto grazie alle sue persone. Nessun

Dettagli

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER Alessio Cuppari Presidente itsmf Italia itsmf International 6000 Aziende - 40000 Individui itsmf Italia Comunità di Soci Base di conoscenze e di risorse Forum

Dettagli

DALLA RICERCA & SVILUPPO SIAV. Ecco i prodotti e le applicazioni. per innovare le imprese italiane

DALLA RICERCA & SVILUPPO SIAV. Ecco i prodotti e le applicazioni. per innovare le imprese italiane Comunicato stampa aprile 2015 DALLA RICERCA & SVILUPPO SIAV Ecco i prodotti e le applicazioni per innovare le imprese italiane Rubàno (PD). Core business di, nota sul mercato ECM per la piattaforma Archiflow,

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

DigitPA egovernment e Cloud computing

DigitPA egovernment e Cloud computing DigitPA egovernment e Cloud computing Esigenze ed esperienze dal punto di vista della domanda RELATORE: Francesco GERBINO 5 ottobre 2010 Agenda Presentazione della Società Le infrastrutture elaborative

Dettagli

Acronis Backup & Recovery 11. Affidabilità dei dati un requisito essenziale

Acronis Backup & Recovery 11. Affidabilità dei dati un requisito essenziale Protezio Protezione Protezione Protezione di tutti i dati in ogni momento Acronis Backup & Recovery 11 Affidabilità dei dati un requisito essenziale I dati sono molto più che una serie di uno e zero. Sono

Dettagli

19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015

19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015 19/01/2015 La Repubblica - Affari Finanza - N.2-19 Gennaio 2015 Pag. 33 (diffusione:581000) La proprietà intellettuale è riconducibile alla fonte specificata in testa alla pagina. Il ritaglio stampa è

Dettagli

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis 2 Intervento immediato con Bosch Intelligent Video Analysis Indipendentemente da quante telecamere il sistema utilizza, la sorveglianza

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

Il Progetto People: talent management e succession planning nel Gruppo Generali

Il Progetto People: talent management e succession planning nel Gruppo Generali 1 Il Progetto People: talent management e succession planning nel Gruppo Generali CRISTIANA D AGOSTINI Milano, 17 maggio 2012 Il Gruppo Generali nel mondo 2 Oltre 60 paesi nel mondo in 5 continenti 65

Dettagli

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI.

SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. SYSKOPLAN REPLY IMPLEMENTA PER IL GRUPPO INDUSTRIALE SCHOTT UNA SOLUZIONE SAP CRM SU BASE SAP HANA E OPERATIVA IN 35 PAESI. Come gruppo industriale tecnologico leader nel settore del vetro e dei materiali

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

GAM. I nostri servizi di società di gestione

GAM. I nostri servizi di società di gestione GAM I nostri servizi di società di gestione Una partnership con GAM assicura i seguenti vantaggi: Forniamo sostanza e servizi di società di gestione in Lussemburgo Offriamo servizi di alta qualità abbinati

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI

Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI Business Intelligence RENDE STRATEGICHE LE INFORMAZIONI CSC ritiene che la Business Intelligence sia un elemento strategico e fondamentale che, seguendo

Dettagli

BUSINESS INTELLIGENCE & PERFORMANCE MANAGEMENT

BUSINESS INTELLIGENCE & PERFORMANCE MANAGEMENT BUSINESS INTELLIGENCE & PERFORMANCE MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget

IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Data Sheet IBM Cognos 8 BI Midmarket Reporting Packages Per soddisfare tutte le vostre esigenze di reporting restando nel budget Panoramica Le medie aziende devono migliorare nettamente le loro capacità

Dettagli

V I V E R E L ' E C C E L L E N Z A

V I V E R E L ' E C C E L L E N Z A VIVERE L'ECCELLENZA L'ECCELLENZA PLURIMA Le domande, come le risposte, cambiano. Gli obiettivi restano, quelli dell eccellenza. 1995-2015 Venti anni di successi dal primo contratto sottoscritto con l Istituto

Dettagli

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969

Curriculum Vitae INFORMAZIONI PERSONALI FARHANG DAREHSHURI, NUSHIN ESPERIENZA LAVORATIVA. Nome. Data di nascita 28 gennaio 1969 Curriculum Vitae INFORMAZIONI PERSONALI Nome FARHANG DAREHSHURI, NUSHIN Nazionalità Italiana Data di nascita 28 gennaio 1969 Titolo di studio Laurea in Ingegneria Elettronica conseguita presso il politecnico

Dettagli

IT Service Management

IT Service Management IT Service Management L'importanza dell'analisi dei processi nelle grandi e medie realtà italiane Evento Business Strategy 2.0 Firenze 25 settembre 2012 Giovanni Sadun Agenda ITSM: Contesto di riferimento

Dettagli

Le Dashboard di cui non si può fare a meno

Le Dashboard di cui non si può fare a meno Le Dashboard di cui non si può fare a meno Le aziende più sensibili ai cambiamenti stanno facendo di tutto per cogliere qualsiasi opportunità che consenta loro di incrementare il business e di battere

Dettagli

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA

THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA SAP World Tour 2007 - Milano 11-12 Luglio 2007 THUN con ARIS: dall'ottimizzazione dei processi verso l enterprise SOA Agenda Presentazione Derga Consulting Enterprise SOA Allineamento Processi & IT Il

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Dalla Mappatura dei Processi al Business Process Management

Dalla Mappatura dei Processi al Business Process Management Dalla Mappatura dei Processi al Business Process Management Romano Stasi Responsabile Segreteria Tecnica ABI Lab Roma, 4 dicembre 2007 Agenda Il percorso metodologico Analizzare per conoscere: la mappatura

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Gli Standard hanno lo scopo di:

Gli Standard hanno lo scopo di: STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL INTERNAL AUDITING (STANDARD) Introduzione agli Standard L attività di Internal audit è svolta in contesti giuridici e culturali diversi, all interno

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Guida alle offerte di finanziamento per le medie imprese

Guida alle offerte di finanziamento per le medie imprese IBM Global Financing Guida alle offerte di finanziamento per le medie imprese Realizzata da IBM Global Financing ibm.com/financing/it Guida alle offerte di finanziamento per le medie imprese La gestione

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence.

t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. t.fabrica wanna be smarter? smart, simple, cost effectiveness solutions for manufactoring operational excellence. Per le aziende manifatturiere, oggi e sempre più nel futuro individuare ed eliminare gli

Dettagli

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia

Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Il presente documento è conforme all'originale contenuto negli archivi della Banca d'italia Firmato digitalmente da Sede legale Via Nazionale, 91 - Casella Postale 2484-00100 Roma - Capitale versato Euro

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE

END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE DEL CLIENTE END-TO-END SERVICE QUALITY. LA CULTURA DELLA QUALITÀ DAL CONTROLLO DELLE RISORSE ALLA SODDISFAZIONE In un mercato delle Telecomunicazioni sempre più orientato alla riduzione delle tariffe e dei costi di

Dettagli

Orientamenti sulla valutazione ex ante dei Programmi 2014-2020. Il sistema di indicatori nella programmazione 2014-2020

Orientamenti sulla valutazione ex ante dei Programmi 2014-2020. Il sistema di indicatori nella programmazione 2014-2020 Orientamenti sulla valutazione ex ante dei Programmi 2014-2020 Il sistema di indicatori nella programmazione 2014-2020 Simona De Luca, Anna Ceci UVAL DPS Roma 11 luglio 2013 Indice 1. Indicatori: un modo

Dettagli

Scheda di valutazione individuale area dirigenza. Competenze e comportamenti Leggenda: 0,5=molto indoddisfacente 1=insoddisfacente

Scheda di valutazione individuale area dirigenza. Competenze e comportamenti Leggenda: 0,5=molto indoddisfacente 1=insoddisfacente Scheda di valutazione individuale area dirigenza Sessione di valutazione Nome e Cognome Valutatore Competenze e comportamenti Leggenda:,=molto indoddisfacente =insoddisfacente anno Incarico: PESATURA:

Dettagli

Pronti per la Voluntary Disclosure?

Pronti per la Voluntary Disclosure? Best Vision GROUP The Swiss hub in the financial business network Pronti per la Voluntary Disclosure? Hotel de la Paix, 21 aprile 2015, ore 18:00 Hotel Lugano Dante, 22 aprile 2015, ore 17:00 Best Vision

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010

voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010 Grazie per il suo interesse alla nuova tecnologia voce dei cittadini in tempo reale OpinionMeter Chieda la sua prova personalizzata senza impegno entro il 15 ottobre 2010 Cristina Brambilla Telefono 348.9897.337,

Dettagli

ingbenchmark ingbenchmarking benchmarkingbench marking

ingbenchmark ingbenchmarking benchmarkingbench marking INFORMAZIONE FORMAZIONE E CONSULENZA benchmark ingbenchmark ingbenchmarking benchmarkingbench marking ACQUISTO DI SERVIZI DI TRASPORTO MERCI E DI LOGISTICA DI MAGAZZINO In collaborazione con Acquisto di

Dettagli

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu

2.0 DAL WEB. social. tecnologico, 2006. Reply www.reply.eu ALL INTERNO DEL FIREWALL: ENI 2.0 Il modo di lavorare è soggetto a rapidi cambiamenti; pertanto le aziende che adottano nuovi tool che consentono uno scambio di informazioni contestuale, rapido e semplificato

Dettagli

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI È ora di pensare ad una nuova soluzione. I contenuti sono la linfa vitale di ogni azienda. Il modo in cui li creiamo, li utiliziamo e

Dettagli

Tutela dei dati personali Vi ringraziamo per aver visitato il nostro sito web e per l'interesse nella nostra società. La tutela dei vostri dati privati riveste per noi grande importanza e vogliamo quindi

Dettagli

Report di The Economist Intelligence Unit. Il CIO strategico. Rischi, opportunità e risultati. Sponsorizzato da

Report di The Economist Intelligence Unit. Il CIO strategico. Rischi, opportunità e risultati. Sponsorizzato da Report di The Economist Intelligence Unit Il CIO strategico Rischi, opportunità e risultati Sponsorizzato da Sommario Informazioni sul report 2 Executive Summary Introduzione 5 Il CIO strategico: un ruolo

Dettagli

SALARY SURVEY 2015. Technology. Specialists in technology recruitment www.michaelpage.it. Technology

SALARY SURVEY 2015. Technology. Specialists in technology recruitment www.michaelpage.it. Technology SALARY SURVEY 2015 Specialists in technology recruitment www.michaelpage.it Salary Survey 2015 Gentili clienti, abbiamo il piacere di presentarvi i nuovi studi di retribuzione relativi all anno 2015. Michael

Dettagli