Security for Business Innovation Council

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security for Business Innovation Council"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Progettazione di un team allargato all'avanguardia T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Consigli dei dirigenti Global 1000 In questo report Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer La missione in evoluzione della sicurezza delle informazioni Nuove competenze richieste Opportunità di collaborazione emergenti Informazioni approfondite su ottimizzazione nell'uso delle risorse Suggerimenti attuabili Mappa di "responsabili e mansioni" su un team allargato Iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione team in transizione 2 2. Il nuovo SOW 3 Grafico 1 - L'attuale missione della sicurezza delle informazioni>>>>>>4 3. Sfide e opportunità 6 4. Suggerimenti 7 1. Ridefinire e potenziare le competenze chiave>>>>>>>>>>>>>>>>>>7 2. Delegare le operazioni di routine>>>>>>>>>>>>>>>>>>>>>>>>>>>9 3. Richiedere esperti in prestito o assumerli a tempo determinato>>> Guidare i proprietari dei rischi nella gestione dei rischi>>>>>>>>> Assumere esperti nell'ottimizzazione dei processi>>>>>>>>>>>>> Instaurare relazioni cruciali>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Pensare out-of-the-box per talenti futuri>>>>>>>>>>>>>>>>>>>> 12 Conclusioni 13 Informazioni su Security for Business Innovation Council 13 appendice Grafico 2 - Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Autori 16 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report Che cosa serve oggi per gestire i rischi legati agli asset informatici in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. La missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere attività tecniche e businesscentric avanzate come: analisi dei rischi aziendali, valutazione degli asset, integrità della supply chain IT, cyber intelligence, security data analytics, data warehousing e ottimizzazione dei processi. Sono talmente tante le nuove competenze richieste che la vera sfida nel realizzare un team efficace è data dalla carenza di professionisti con le giuste competenze. Emerge quindi una nuova opportunità: in molte organizzazioni il personale non addetto alla sicurezza si sta rendendo conto di essere esso stesso, e non gli addetti alla sicurezza, responsabile dei rischi dei propri asset informativi, e comprende l'esigenza di stringere collaborazioni attive con la sicurezza per la gestione di questi rischi. Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato comprende il personale del reparto IT, delle business unit e di uffici come approvvigionamento, legale e marketing. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Sette suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia per gestire in modo efficace i rischi alla sicurezza informatica e ottimizzare l'uso delle risorse umane a disposizione e per garantire che il team disponga delle nuove competenze richieste. 1. Ridefinire e potenziare le competenze core - Concentrare il team core sull'incremento delle abilità in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. 2. Delegare le operazioni di routine - Assegnare processi di sicurezza ripetibili e consolidati a IT, business unit e/o service provider esterni. 3. Richiedere esperti in prestito o assunti a tempo determinato - In caso di specializzazioni particolari, estendere il team core con esperti provenienti sia dall'interno che dall'esterno dell'organizzazione. 4. Guidare i Risk Owner nella gestione dei rischi - Collaborare con l'azienda per la gestione dei rischi alla sicurezza informatica e coordinare un approccio omogeneo. Semplificare la procedura per l'azienda e renderli responsabili delle loro scelte. 5. Assumere esperti nell'ottimizzazione dei processi - Dotare il team di persone con esperienza e/o certificazioni nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi. 6. Instaurare relazioni cruciali - Conquistare una posizione adeguata per avere un impatto sulle persone chiave come gli owner dei "gioielli della corona", il middle management e i service provider esternalizzati. 7. Pensare "out-of-the-box" per talenti futuri - Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Una formazione utile può includere amministrazione di database, sviluppo software, analisi aziendale, intelligence militare, competenze in ambito legale o di privacy, data science, matematica o storia. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: team in transizione S e qualche anno fa foste entrati in un reparto di sicurezza delle informazioni, avreste probabilmente incontrato un team con competenze esclusivamente tecniche. Avreste sentito parlare di tecniche di protezione del perimetro, liste di controllo di conformità e aggiornamenti antivirus. Se varcaste ora quella stessa soglia, vi trovereste di fronte un'immagine completamente diversa. I team si stanno evolvendo in gruppi multidisciplinari che comprendono analisti delle minacce, consulenti sui rischi, Data Scientist ed esperti dei processi. Le discussioni si stanno spostando su argomenti come gestione dei rischi aziendali, analisi dei dati, assicurazione dei controlli e governance dei service provider. Organizzazioni diverse si trovano in fasi diverse del processo di trasformazione, anche se la maggior parte ha riconosciuto l'esigenza di adottare nuovi approcci alla sicurezza delle informazioni. Da un sondaggio recente sulla sicurezza è addirittura emerso che la seconda priorità di spesa in ordine di importanza per le enterprise globali è la riprogettazione fondamentale dei programmi di sicurezza delle informazioni. 1 Aggiungere semplicemente soluzioni mirate o lavorare su miglioramenti incrementali non è più sufficiente. Ma in cosa consiste esattamente un programma di sicurezza delle informazioni efficace e che guarda al futuro? Questo report è il primo di una serie sulla trasformazione dei programmi sulla sicurezza delle informazioni aziendali che si propone di rispondere a questa domanda, partendo dall'esperienza e dalla visione di alcuni dei responsabili della sicurezza delle informazioni più importanti al mondo facenti parte del Security for Business Innovation Council (SBIC). Questo primo report descrive le nuove competenze essenziali e illustra come le responsabilità della sicurezza delle informazioni vengono distribuite su tutta l'azienda. Fornisce consigli specifici e attuabili per la progettazione di un team allargato all'avanguardia. 1 E&Y Global Information Security Survey, novembre Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Il nuovo SOW L a missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere un gruppo di attività più ampio. Per realizzare un team ottimizzato con le persone migliori per il job è fondamentale comprendere l'ambito del lavoro. Che cosa serve oggi per gestire i rischi legati agli asset informativi in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. Le organizzazioni sono oggi sottoposte a una forte pressione per ottenere un atteggiamento proattivo ai rischi della sicurezza informatica. Per attuare questo cambiamento, è necessario adottare nuovi approcci nella difesa contro le minacce avanzate, integrando la sicurezza delle informazioni nelle strategie tecnologiche e di business e garantendo efficacia ed efficienza dei processi di sicurezza. Sono ora indispensabili attività avanzate incentrare su tecnologia e business, come: DDInformation Risk Management/Business Risk versus Reward Analysis Per rendere sistematico il processo decisionale sulla base di rischio/ricompensa DDInventario e valutazione degli asset Per assegnare priorità alle strategie di protezione e concentrarsi sulla salvaguardia degli asset più preziosi DDGestione dei rischi di terze parti/integrità della supply chain IT Per valutare il crescente numero di service provider e componenti di sistema reperiti a livello globale DDCyber Risk Intelligence e Threat Analysis Per comprendere il panorama conflittuale e riconoscere gli indicatori degli attacchi DDSecurity Data Analytics Per applicare tecniche di analisi avanzate nel rilevamento dei sistemi anomali o del comportamento degli utenti negli ambienti IT DDSecurity Data Management e Data Warehousing Per sviluppare una strategia e un'infrastruttura complessive per la raccolta di dati da diverse fonti da utilizzare per scopi vari come rilevamento minacce, monitoraggio controlli e conformità DDOttimizzazione dei processi di sicurezza Per formalizzare il miglioramento dell'efficienza dei processi di sicurezza DDControls Agility Per conseguire gli obiettivi per i controlli di sicurezza utilizzando metodi nuovi in risposta a tendenze come cloud e mobile computing Uno degli aspetti chiave nella strategia del team è la definizione della missione al fine di determinare "responsabili e mansioni". Il grafico 1 illustra la missione della sicurezza delle informazioni presso le più grandi organizzazioni di oggi ed elenca le attività dalle più convenzionali a quelle sempre più avanzate. Le organizzazioni dotate di un programma convergente potrebbero includere nella missione anche mansioni correlate come frode, ediscovery, privacy, qualità dei prodotti e/o sicurezza fisica. Questo report illustra i componenti della sicurezza delle informazioni, tenendo contro del coordinamento necessario con altre attività correlate. RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 Il nuovo SOW Grafico 1 l'attuale missione della sicurezza delle informazioni Le attività vengono elencate indicativamente dalle più convenzionali a quelle sempre più avanzate. Program Management Security Policy e Standard Implementazione dei controlli Determinare la strategia complessiva e il piano del programma di gestione della sicurezza delle informazioni. Controllare che il programma risponda alle esigenze aziendali più cruciali dell'organizzazione. Coordinarsi con le attività correlate come frode, ediscovery, sicurezza fisica, sicurezza dei prodotti e/o privacy. Sviluppare e documentare le direttive e le regole generali che indicano come proteggere le informazioni dell'organizzazione. Elaborare il set completo di controlli amministrativi, tecnici e fisici per la sicurezza delle informazioni applicati dall'organizzazione (ad es. framework dei controlli) compresi controlli di accesso, crittografia, identificazione e autenticazione, Configuration Management, monitoraggio, audit log, sicurezza delle applicazioni e formazione della consapevolezza (di personale e clienti). Prendere in considerazione i requisiti di varie leggi e normative (ad es. SOX, HIPAA, PCI). Verificare che in controlli siano agili e tenere traccia dei cambiamenti nel panorama del business e delle minacce. Implementare i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Operazioni dei controlli Controls Design (Security Architecture) Controls Oversight/ Assurance Mettere in funzione i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Sviluppare nuovi controlli o nuovi metodi per implementare i controlli in base ai cambiamenti nel panorama di business, IT e minacce. Include tecniche di sviluppo applicativo; definizione, implementazione, personalizzazione e/o sviluppo di nuove tecnologie di sicurezza e nuovi accordi e procedure per utente finale. Valutare tutti i controlli e garantire che siano conformi a policy e standard. Verificare che tutti i controlli siano presenti e che offrano le prestazioni previste. Verificare che tutti i controlli siano monitorati e attestati in modo omogeneo. Incident Response/ Resiliency Information Risk Assessment Information Risk Management/ Business Risk vs. Reward Analysis Coordinare e gestire la risposta dell'organizzazione agli incident di sicurezza, compresi business continuity/disaster recovery. Valutare i rischi di un programma, un processo, un progetto, un'iniziativa o un sistema in base a valore delle informazioni, data asset, minacce e vulnerabilità applicabili, probabilità di compromissione, impatto sull'organizzazione (ad es. reputazione, entrate, non conformità normativa) e perdite stimate. Stabilire la capacità del Risk Owner di assumersi i rischi e definire il livello di accettazione dei rischi autorizzato. In base all'assessment dei rischi per un particolare programma, processo, progetto, iniziativa o sistema, formulare la strategia di contenimento e risoluzione dei rischi. Attuare un processo omogeneo per valutare i rischi per la sicurezza delle informazioni rispetto alle ricompense per il business. Determinare i controlli richiesti per portare il rischio a un livello accettabile. Integrare il rischio informazioni con il framework/programma di gestione dei rischi enterprise. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 Il nuovo SOW Inventario e valutazione degli asset Delineare l'inventario completo di processi aziendali, dati sensibili e sistemi informatici utilizzati dall'organizzazione. Redigere una documentazione completa per processi aziendali e un mapping del flusso di dati al fine di comprendere i processi e i dati che devono essere protetti e formulare le strategie di protezione. Identificare gli utenti privilegiati in tutta l'extended enterprise che hanno accesso a sistemi critici. Determinare il valore degli asset per assegnare la priorità alle strategie di protezione. Third-Party Risk Management/ IT Supply Chain Integrity Accertarsi che venga eseguita una valutazione del rischio prima che l'organizzazione instauri una relazione con terzi. Sviluppare un processo di "due diligence" per valutare vendor, partner e fornitori. Valutare i rischi che caratterizzano i rapporti commerciali continuativi con vendor, partner e fornitori. Comprendere la supply chain relativa all'it e valutare la sicurezza di hardware e software utilizzati nell'ambiente IT di livello enterprise. Incrementare le efficienze per mezzo di assessment condivisi e di un monitoraggio continuo dei controlli. Cyber Risk Intelligence e Threat Analysis Comprendere il panorama conflittuale relativo agli asset aziendali (identità, capacità, motivazioni e destinazioni). Raccogliere dati di intelligence relativi alle minacce per l'organizzazione. Gestire le origini dei dati di intelligence, interpretare i dati, eseguire analisi e produrre report e alert di intelligence relativi alle minacce. Integrare creazione di modelli delle minacce e intelligence in un processo e ciclo di vita completo di gestione della sicurezza. Security Data Analytics Utilizzare tecniche di analisi avanzate e Data Science per analizzare i dati della sicurezza arricchiti da dati di intelligence. Sviluppare query, algoritmi e modelli di dati utilizzati per rilevare o prevedere attività malevole. Security Data Management e Data Warehousing Sviluppare una strategia e un'infrastruttura di gestione dei dati per aggregare e analizzare i dati sulla sicurezza provenienti da fonti diverse (sistemi di sicurezza, database, applicazioni, feed sulle minacce) con varie finalità (ad es. rilevamento delle minacce, gestione dei rischi e conformità aziendali, monitoraggio continuo dei controlli). Progettare un data warehouse per i dati sulla sicurezza. Security Process Optimization Tenere traccia e misurare in maniera uniforme l'efficienza dei processi di sicurezza e implementare i miglioramenti mediante metodologie formalizzate di gestione qualità, project management ed erogazione dei servizi. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Sviluppi tecnologici come l'"internet of Things" e l'informatica che si indossa, ad esempio, introducono nuove sfide per la sicurezza. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 3 Sfide e opportunità C reare un team efficace per la sicurezza delle informazioni pone una serie di sfide. Dave Martin Vice President e Chief Security Officer, EMC Corporation DDL'esperienza è scarsa ed è difficile trattenere i talenti Gli esperti in sicurezza e nei rischi aziendali sono molto ricercati DDIl budget è limitato DDI team di sicurezza lavorano già a pieno ritmo DDL'attenzione della sala riunioni richiede un certo acume aziendale Mentre la sicurezza delle informazioni diventa una componente di importanza maggiormente critica della strategia di business, gli addetti alla sicurezza devono contare su una conoscenza approfondita del business. La buona notizia è che stanno palesandosi alcune opportunità emergenti. DDLa consapevolezza è in espansione A ogni livello, dagli utenti finali alla leadership, la consapevolezza dei problemi di sicurezza è più alta che mai a causa dell'attenzione dei media, dell'esperienza effettiva con gli attacchi informatici o della pressione normativa. DDIl "business" sta assumendo la proprietà dei rischi In molte organizzazioni avviene un cambiamento di prospettiva in base al quale il personale non addetto alla sicurezza si sta rendendo conto di essere responsabile in prima persona dei rischi dei propri asset informativi e comprende l'esigenza di stringere collaborazioni attive con il settore della sicurezza per la gestione di questi rischi. DDAumentano i cachet dei professionisti della sicurezza Sono tempi d'oro per chi si occupa di sicurezza delle informazioni, poiché il settore si estende ora a nuovi ambiti come business risk analysis, cyber intelligence e Data Science. Tanto i notiziari quanto le rappresentazioni cinematografiche della difesa del ciberspazio non fanno che È sorprendente. Siamo passati da 'Voi addetti alla sicurezza ci siete di ostacolo, perché dobbiamo fare questa cosa?' alle business unit che utilizzano i nostri servizi centrali di consulenza per eseguire il roll out delle strategie di contenimento del rischio. Il fenomeno è inoltre in fase di accelerazione in quanto le business unit si rendono conto che devono gestire i propri rischi anziché affidarsi ad altri per risolvere i problemi o peggio nascondere la testa sotto la sabbia". incrementare l'interesse in questo ambito, contribuendo ad attirare nuovi talenti. DDLa gamma di service provider è in aumento Poiché il mercato risponde alle richieste in continuo aumento, è sempre più facile per le organizzazioni rivolgersi a service provider di sicurezza esterni per ridurre i costi, ottenere competenze specializzate, contribuire a completare una marea di attività e fornire assessment indipendenti. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 4 Suggerimenti Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato per la sicurezza delle informazioni deve includere le seguenti figure: DDPersonale addetto all'implementazione IT e alla gestione dei controlli di sicurezza. DDResponsabili dei rischi che nelle business unit rispondono ai problemi legati ai rischi. DDEsperti del settore acquisti che implementano i protocolli di assicurazione e assessment dei rischi dei vendor per la valutazione dei fornitori. DDUfficio privacy per la gestione delle normative. DDPersonale di marketing che monitora i social media alla ricerca di informazioni sulle possibili minacce. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Parte del personale addetto alle operazioni di sicurezza al di fuori del team core può essere di tipo a referente diretto o indiretto, mentre altri possono essere attivi in conformità agli standard di sicurezza o ai Service Level Agreement (SLA). Il grafico 2 dell'appendice illustra responsabili e relative mansioni in un team allargato, compresi sicurezza delle informazioni core, IT, business e service provider. I seguenti suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia in grado di gestire in modo efficace i rischi per la sicurezza delle informazioni e di ottimizzare l'uso delle risorse umane a disposizione. In base al livello di maturità raggiunto dall'organizzazione, queste indicazioni possono essere utili per avviare il processo, convalidare un approccio o velocizzare l'avanzamento in determinate aree. Ridefinire e potenziare le competenze chiave Delegare le operazioni di routine Richiedere esperti in prestito o assumerli a tempo determinato Guidare i Risk Owner nella gestione dei rischi Assumere esperti nell'ottimizzazione dei processi Instaurare relazioni cruciali Pensare "out-of-the-box" per talenti futuri 1. Ridefinire e potenziare le competenze chiave All'interno delle organizzazioni leader, i team core di sicurezza delle informazioni si dedicano attualmente a potenziare le competenze in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. In base alle dimensioni del team core e al livello di specializzazione, i singoli membri possono svolgere mansioni specifiche oppure occuparsi di più aree. Ogni area richiede un set di competenze chiave che spesso sono del tutto nuove per i membri del team. In futuro, il personale esistente dovrà sviluppare le competenze richieste per mezzo della formazione e/o il team core dovrà aggiungere nuovi membri o affidarsi a service provider. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti 1. Cyber Risk Intelligence e Security Data Analytics Alla luce del costante aumento delle minacce, migliorare il rilevamento delle minacce è di vitale importanza per la maggior parte delle organizzazioni di tutto il mondo; in particolare, è essenziale sviluppare un approccio di tipo "intelligence-driven" (leggere il report SBIC, "Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security"). Questo approccio prevede la raccolta e la fusione dei dati di intelligence informatica di origine interna (ad es. sensori nei sistemi IT e nelle applicazioni aziendali) e di origine esterna (ad es. feed sulle minacce di enti pubblici o commerciali) e l'uso di tecniche avanzate di data analytics per individuare gli indicatori degli attacchi e i pattern di comportamento anomalo. Il team core deve disporre delle capacità necessarie per arrivare a una consapevolezza della situazione in tutta l'organizzazione. Determinare le origini dei dati pertinenti ed eseguire analisi significative richiede una comprensione approfondita dell'ambiente di business effettivo, degli asset da proteggere e del panorama informatico conflittuale. I team di sicurezza stanno iniziando a orientarsi nella potenza delle tecnologie dei Big Data allo scopo non solo di individuare ma anche di prevenire gli attacchi. DDCompetenze del personale chiave: networking interno ed esterno per lo sviluppo di fonti di intelligence valide, comunicazione per lo sviluppo di report e la presentazione di relazioni sull'intelligence. DDCompetenze dei processi chiave: progettazione di un processo di intelligence end-to-end che prevede di ottenere e filtrare i dati, eseguire analisi, comunicare i risultati, prendere una decisione sui rischi e intraprendere azioni. DDCompetenze tecniche chiave: analisi (individuare collegamenti tra dati apparentemente non collegati), tecniche di data analytics e Data Science. 2. Security Data Management Nel loro tentativo di arrivare alla data analytics per il rilevamento delle minacce, le organizzazioni si stanno rendendo conto di avere bisogno di una strategia e di un'infrastruttura complessive di gestione dei dati sulla sicurezza. Ciò comprende l'unione dei dati provenienti da tutto l'ambiente IT compresi log, flussi completi di dati in pacchetti e dati non strutturati prodotti da sistemi, database e applicazioni aziendali. I dati possono essere applicati oltre il rilevamento delle minacce e utilizzati per scopi come la gestione dei rischi aziendali, la conformità e il monitoraggio continuo dei controlli. DDCompetenze del personale chiave: interfaccia con IT e business, compresi enterprise data management architect. DDCompetenze dei processi chiave: mapping dei flussi di dati sulla sicurezza in tutto l'ambiente IT dell'organizzazione. DDCompetenze tecniche chiave: competenze IT chiave come storage architecture, architettura di elaborazione, schema database, normalizzazione e gestione dei colli di bottiglia delle reti. 3. Consulenza sui rischi Il team core agisce da centro di consulenza fornendo consigli all'azienda in merito alla gestione dei rischi per gli asset informatici, compresi quelli legati a sicurezza, privacy, questioni legali, conformità normativa e ediscovery. Il team core deve conoscere in modo puntuale i processi aziendali. Deve saper collaborare con gli interessati per valutare i rischi, misurare il valore degli asset, determinare le strategie di contenimento del rischio e accertarsi che le discussioni sui rischi abbiano luogo all'avvio dei progetti. Un set di rischi in continua crescita nasce da terze parti esterni. Le strategie di global sourcing e cloud computing stanno portando le organizzazioni a incrementare ulteriormente l'utilizzo di service provider esternalizzati e ad associarsi a nuovi business partner e fornitori. È essenziale disporre delle conoscenze necessarie per eseguire la "due diligence" di terze parti in modo efficace ed efficiente, gli assessment continui e l'analisi di hardware e software. "L'esperienza core del team della sicurezza dovrebbe essere principalmente concentrata sul fornire consulenza, assicurare orientamento, stimolare la strategia, identificare e illustrare i rischi per il business, comprendere le minacce e fare avanzare l'organizzazione, senza essere gravati dalle attività operative delle routine quotidiane". Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti DDCompetenze del personale chiave: leadership, networking interno per conoscere le strategie aziendali, comunicazione (ascolto, articolazione verbale, gestione conversazioni difficili, sensibilità a sfumature di carattere culturale e organizzativo). DDCompetenze dei processi chiave: mapping e documentazione dei processi aziendali, framework di gestione dei rischi, protocolli per assessment dei rischi di terze parti e garanzia dei controlli (compresi assessment condivisi), gestione dei service provider esternalizzati e community di supply chain. DDCompetenze tecniche chiave: valutazione dei rischi, misurazione di rischi diversi e della propensione al rischio in un'organizzazione con un metodo standardizzato, automazione delle attività di gestione dei rischi e di assessment dei vendor, monitoraggio continuo dei controlli. 4. Controls Design and Assurance Una delle aree di maggior interesse per il team core potrebbe essere la progettazione di controlli innovativi allineati agli obiettivi aziendali e l'elaborazione di tecniche di verifica avanzate per l'assicurazione dei controlli. Questo lavoro prevede ricerca/sviluppo e valutazione/implementazione di nuove tecnologie di sicurezza. Gli analisti dei controlli devono progettare la raccolta di dati non solo per accertarsi che i controlli siano in funzione come previsto, ma anche per garantire che siano i migliori per difendersi contro le minacce più recenti e per garantire l'agilità del business. DDCompetenze del personale chiave: tradurre i requisiti aziendali e di conformità in requisiti di sicurezza, mettendoli in relazione con l'architettura aziendale. DDCompetenze dei processi chiave: documentare il framework dei controlli dell'organizzazione, sviluppare protocolli per l'assessment e la convalida dei controlli. DDCompetenze tecniche chiave: architettura della sicurezza, sicurezza delle applicazioni, sicurezza mobile, sicurezza del cloud, monitoraggio continuo dei controlli, test e analisi avanzati dei controlli di sicurezza. 2. Delegare le operazioni di routine I team di sicurezza tradizionali si sentono più a loro agio se si occupano personalmente di ogni mansione. Questo atteggiamento però deve cambiare. Delegare le operazioni di sicurezza di routine ad altri gruppi interni o a service provider esterni consente al team core di concentrarsi su attività più proattive e strategiche, ottimizzando la propria competenza tecnica e le capacità di gestione dei rischi aziendali. Inoltre, attraverso scalabilità e specializzazione, i service provider adatti consentono non solo di ridurre i costi ma anche di incrementare la qualità. I processi ripetibili e consolidati sono i migliori da delegare. Alcuni esempi sono l'assegnazione della gestione di firewall, autenticazione, sistemi di prevenzione delle intrusioni e/o software antivirus a gruppi del reparto IT o a provider di servizi di sicurezza gestiti. È possibile assegnare la gestione dell'accesso utente a livello di applicazione e l'amministrazione degli utenti alle business unit; formare sviluppatori nella sicurezza delle applicazioni e fornire loro gli strumenti necessari per individuare le vulnerabilità; valutare la possibilità di utilizzare soluzioni Security-as-a-Service per scansioni e verifiche. Poiché il team core distribuisce le attività, dovrà anche garantirsi un livello adeguato di comando e controllo attraverso requisiti, standard e Service Level Agreement completi. Il team core deve anche disporre di competenze tecniche sufficienti in ambito di sicurezza, oltre ad abilità nella gestione dei vendor, per assicurare una supervisione efficace. Le organizzazioni che nutrono dubbi sull'esternalizzazione della sicurezza a terze parti esterne possono spesso conseguire gli stessi obiettivi "esternalizzando" a gruppi IT interni; è richiesto comunque lo stesso livello di supervisione a prescindere dal tipo di service provider. Nel corso del tempo, il team core deve continuare a valutare cosa potrebbe essere eseguito in modo più efficace o efficiente da altri. Ad esempio, il team core può inizialmente gestire l'implementazione e il funzionamento di una nuova tecnologia di sicurezza ma, una volta standardizzata, può delegare la gestione delle operazioni in corso. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 3. Richiedere esperti in prestito o assumerli a tempo determinato Una delle maggiori problematiche è la mancanza all'interno del team core delle competenze richieste in aree specializzate. Esperti provenienti dall'esterno rispetto al reparto di sicurezza possono colmare questa lacuna. Ad esempio, alcuni team addetti alla sicurezza stanno assumendo personale di data analytics dai service provider o da altre sezioni dell'organizzazione come ufficio frodi o marketing. I Big Data possono essere una novità per la sicurezza, ma altre aree dell'azienda hanno adottato le tecniche di analisi dei dati già da anni. Quando non è praticabile o semplicemente troppo costoso disporre di determinati esperti nel proprio team a tempo pieno, come specialisti in indagini sul malware o cyber threat intelligence analyst, le organizzazioni possono rivolgersi a service provider esterni su base continua. I team core possono avvalersi di talenti ulteriori per gestire un incremento improvviso dell'attività o come supporto quando dei membri lasciano il team. Dare vita a una partnership con un'azienda di consulenza in materia di sicurezza, capace di mettere a disposizione professionisti della sicurezza multisfaccettati di alto livello a cui si versa un onorario è un'altra valida possibilità. Possono arricchire le abilità del team core e offrire un punto di vista indipendente. Per risolvere problemi particolarmente complessi, è spesso utile coinvolgere esperti del settore come un Security Architect Consultant specializzato in una determinata tecnologia. È necessario tuttavia "Tradizionalmente, il team della sicurezza delle informazioni si concentrava maggiormente sulla tecnologia. Ma uno dei ruoli che sta acquisendo un'importanza crescente consiste nell'essere un punto di collegamento con il business, per portarne i requisiti nell'organizzazione della sicurezza e quindi trasferire al business il punto di vista della sicurezza". Se non dispongo di una competenza cruciale la creo o la compro. Bisogna sapere quando creare o quando comprare in base ai costi complessivi di gestione. Per alcune competenze, potrebbe essere più logico rivolgersi a un service provider". Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson ricordare che il team core ha comunque bisogno di conoscenze interne sufficienti da applicare alle competenze esternalizzate. 4. Guidare i Risk Owner nella gestione dei rischi In genere, i manager senior all'interno dell'azienda sono i veri responsabili delle decisioni di gestione dei rischi associate a iniziative come il lancio di un nuovo prodotto o servizio, a programmi come il BYOD, ad asset informativi come siti web lato clienti o a processi aziendali come la generazione di report finanziari. Poiché i dirigenti delle aziende riconoscono con maggiore frequenza la propria responsabilità nella gestione della sicurezza informatica, un numero crescente di organizzazioni predispone "responsabili dei rischi per la sicurezza delle informazioni" dedicati nelle business unit che si occupano di correzione dei rischi. Il ruolo del team core è guidare le attività di gestione dei rischi per le informazioni e collaborare con l'azienda nella gestione di rischi per la sicurezza informatica. Sono quindi inclusi il coordinamento di un approccio omogeneo a identificazione, assessment, contenimento, correzione e segnalazione dei rischi, la valutazione dei rischi rispetto ai vantaggi, la definizione dei livelli di propensione e accettazione dei rischi e l'integrazione del rischio informazioni nel programma complessivo di gestione dei rischi di livello enterprise. Il segreto per una buona riuscita sta nel semplificare la procedura per il business e nel rendere il business stesso responsabile della gestione dei rischi fornendo strumenti selfservice, assimilando la gestione dei rischi nei processi aziendali e implementando l'automazione. Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti 5. Assumere esperti nell'ottimizzazione dei processi La competenza nei processi è un aspetto essenziale in un team all'avanguardia. È importante dotare il team di persone che hanno accumulato esperienza nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi e che possono essere formate sulla sicurezza. Prendere quindi in considerazione l'assunzione di persone con credenziali in Six Sigma Process Improvement, IT Service Management (ITSM) di ITIL, COBIT IT Governance e/o Enterprise Architecture di TOGAF. Alcuni team core sono stati capaci di sfruttare esperti dei processi o professionisti nella gestione di programmi di altre aree dell'organizzazione, come il reparto qualità o l'ufficio programmi aziendali. Poter contare su competenze nei processi contribuisce a soddisfare le crescenti esigenze in termini di miglioramenti dei processi. Ad esempio, alla luce del panorama delle minacce, alcune organizzazioni preferirebbero che l'installazione di patch in tutti i sistemi critici avvenisse nell'arco di ore e non di settimane. Le business unit desiderano limitare l'impatto della sicurezza sui processi aziendali, riducendo al minimo il disagio per gli utenti finali e i tempi di inattività dei server. Gli enti normativi desiderano controlli più rigidi sull'accesso alle informazioni, come revoca dei diritti scaduti svolta in pochi minuti e non in giorni. E crescono le aspettative nei confronti del reparto di sicurezza chiamato a misurare la produttività degli investimenti nella sicurezza e a fornire Un'extended enterprise nel settore informatico deve individuare i propri service provider di importanza critica e stabilire con loro un solido rapporto di collaborazione. Impedite ai 'cattivi' di riuscire a nascondersi perché avete alzato lo standard di conformità a una buona prassi di sicurezza su tutto il vostro ecosistema". William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA "Esiste un fondamento essenziale per l'organizzazione della nostra sicurezza che dice che 'la formalità conta'. I nostri processi devono venire rigidamente documentati e rivisti. In che modo possiamo renderli più efficienti? Più efficaci? Abbiamo trascurato qualcosa? Servono persone con una solida formazione in ambito di processi e qualità se si desidera avere credibilità con i propri leader aziendali". Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation miglioramenti quantificabili nel tempo, tra cui ripetibilità dei processi, agilità e scalabilità. 6. Instaurare relazioni cruciali È importante che il team core stringa relazioni solide in tutta l'organizzazione al fine di raccogliere un numero crescente di persone addette alla sicurezza, creare un ambiente collaborativo e garantire che i membri del team allargato comprendano ed eseguano le proprie mansioni. Il team core deve raggiungere tutte le aree dell'azienda ed essere coinvolto a tutti i livelli. Deve conquistare una posizione ottimale per poter esercitare la propria influenza sulle persone che contano, come le persone che controllano gli investimenti tecnologici e che prendono decisioni aziendali strategiche. Una delle relazioni più importanti è quella con i soggetti che sono in possesso delle risorse più preziose dell'organizzazione, ad esempio i dataset e i processi aziendali con proprietà intellettuale o dati proprietari. Un'altra è con i membri del middle management; è possibile infatti fare grandi progressi se si conquista la fiducia dei dirigenti di livello intermedio. Anche i provider di esternalizzazione dei processi aziendali sono un obiettivo strategico. Il team core dovrebbe realizzare una solida rete di contatti per la sicurezza tra questi provider e lavorare con loro per garantire alti standard di sicurezza e condivisione delle informazioni all'interno dell'intera community. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 7. Pensare "out-of-the-box" per talenti futuri L'interesse per la sicurezza delle informazioni è in aumento, ma nel breve termine si assisterà a una carenza di professionisti con competenze in ambito di sicurezza informatica "pronta all'uso" e consulenza sui rischi. È particolarmente difficile trovare persone di talento con competenze specifiche nelle tecnologie per la sicurezza emergenti. Alcune organizzazioni nel frattempo hanno iniziato a rivolgersi ai MSSP a causa della difficoltà nel riuscire ad assumere e/o a conservare personale di talento dotato di particolari competenze tecniche. Per i team di sicurezza occorrono inoltre professionisti capaci di trascendere la competenza tecnica per poter discutere proficuamente di rischio aziendale con i principali interessati. È essenziale poter contare su una strategia di recruiting continua per costruire un team di sicurezza efficace. Altrettanto essenziale è la collaborazione con le business unit e le risorse umane, per valutare le esigenze e le possibili fonti di talenti. Sono sempre più numerose le organizzazioni che assumono personale privo di una formazione in ambito di sicurezza ma che possiede preziose competenze e che può essere addestrato nel campo della sicurezza. Uno degli approcci adottati consiste nel formare una "accademia di sicurezza informatica" interna. Un altro è fornire supporto ai singoli componenti del team, affinché seguano Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. corsi di formazione esterni e conseguano le relative certificazioni, e/o istituire programmi di mentoring. Oltre ai neolaureati, i nuovi assunti possono anche essere personale interno proveniente dal settore IT o da altre aree che potrebbero essere interessati a intraprendere una carriera nella sicurezza. Spesso sono la scelta migliore poiché hanno già una conoscenza approfondita dell'organizzazione e possono contare su una rete di contatti. Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Mantenere una mentalità aperta mentre si cerca personale da formare per i ruoli del settore della sicurezza è importantissimo. Esiste un'ampia gamma di preziosi ambiti di formazione tra cui amministrazione database, sviluppo software, analisi aziendale, intelligence militare o competenze legali e nel settore della privacy. Recentemente, alcuni team core hanno assunto Data Scientist con una formazione in sequenziamento del DNA. Il personale dotato di conoscenze teoriche in aree quali l'econometria o la matematica può incrementare le proprie capacità tecniche pratiche. Chi ha invece una formazione umanistica in storia o giornalismo può offrire eccellenti competenze investigative. Poiché conservare il personale è una sfida enorme quando si impartisce formazione per trasmettere competenze altamente ricercate, è importante presentare un "Quando si inseriscono nuove persone nella propria organizzazione, la diversità di pensiero è fondamentale. La sua importanza oggi è addirittura più cruciale che mai poiché il cambiamento che interessa il lato business sta superando in velocità le capacità della sicurezza e richiederà una riflessione innovativa per risolvere questi problemi". Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. percorso professionale immaginabile e interessante per i singoli componenti del team e garantire un compenso allineato ai valori di mercato. Molte organizzazioni hanno avviato progetti di collaborazione con le università per agevolare lo sviluppo di un pool di talenti in ambito di sicurezza. In tale ottica, la collaborazione può prevedere creare programmi di sviluppo di leadership, contribuire ad orientare i piani di studio affinché soddisfino le esigenze del settore e offrire opportunità di tirocinio/ stage. Programmi di solidarietà all'università e persino a livello di scuola secondaria possono contribuire a istruire la potenziale forza lavoro su una carriera nel settore della sicurezza informatica. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Conclusioni I team di sicurezza delle informazioni si stanno evolvendo per soddisfare le richieste di un ambiente di business, un panorama delle minacce e un regime normativo sempre più complessi. La consapevolezza dei problemi legati alla sicurezza rende possibile il cambiamento nella posizione della sicurezza delle informazioni, che si allontana dall'essere un archivio tecnico per diventare un'attività genuinamente collaborativa. Le organizzazioni stanno anche scoprendo che per soddisfare i requisiti di sicurezza occorre una maggiore attenzione al processo. Un efficace team di sicurezza oggi conosce profondamene i processi di business e l'importanza di validi processi di sicurezza per il conseguimento della sua finalità. Il prossimo report di questa serie in tre parti sulla trasformazione della sicurezza delle informazioni esplorerà ulteriormente il modo in cui le organizzazioni leader stanno rivalutando e ottimizzando i processi. Il terzo report illustrerà come le nuove tecnologie si inseriscono nel quadro complessivo di un programma moderno di sicurezza delle informazioni che si fonda su un team creativo e che guarda al futuro. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel Security for Business Innovation Council. Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 A Appendice Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni Grafico 2 La dirigenza e il consiglio di amministrazione supervisionano il programma. Componenti del team Sicurezza delle informazioni core IT Business Service provider ( usi comuni) Un'ampia gamma di specialisti. I singoli possono assumere più di un ruolo. Personale coinvolto in ruoli legati alla sicurezza strategica e operativa. Linee di business e aree funzionali (ad es. privacy, risorse umane, marketing, settore legale, audit, approvvigionamento). Consulenti con SME (subject matter expertise), MSSP (managed security service provider) e cloud vendor (SAAS) Possibile convergenza con ediscovery, sicurezza fisica e/o team di sicurezza dei prodotti. Attività Responsabilità specifiche Program Management CISO conduce il programma e presiede l'"information Risk Committee" interfunzionale. Il CIO prende parte all'"information Risk Committee". Alcuni dirigenti d'azienda partecipano all'"information Risk Committee". Security Policy e Standard Sviluppare policy e standard. Conferire su policy e standard. Conferire su policy e standard. Implementazione dei controlli Gestire e supervisionare l'implementazione dei controlli. Eseguire l'implementazione dei controlli in aree più complesse Implementare i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Facilitare l'implementazione dei controlli. I MSSP assicurano servizi di implementazione dei controlli che soddisfano il Service Level Agreement della sicurezza. Operazioni dei controlli Gestire e supervisionare le operazioni dei controlli. Eseguire controlli più nuovi e complessi. Eseguire i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Accertarsi che le operazioni del business soddisfino i requisiti di sicurezza dei controlli. I MSSP assicurano servizi di esecuzione dei controlli che soddisfano il Service Level Agreement della sicurezza. Controls Assurance Eseguire un assessment dei controlli e sviluppare strumenti avanzati per il collaudo e l'analisi dei controlli. Implementare il monitoraggio continuo dei controlli. I provider di servizi di sicurezza gestiti garantiscono i servizi, come analisi del codice sorgente e scansione della vulnerabilità. Controls Design (Security Architecture) Dare impulso alla progettazione di nuovi controlli di sicurezza. Lavorare con l'architettura IT aziendale. Conferire sulla progettazione di nuovi controlli di sicurezza. Conferire sulla progettazione di nuovi controlli di sicurezza. Incident Response/ Resiliency Gestire e coordinare la risposta interaziendale. Lavorare sugli aspetti tecnici della risposta. Lavorare sugli aspetti legali, delle pubbliche relazioni e delle risorse umane della risposta. I consulenti competenti in materia forniscono indagini e analisi del malware. 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 Information Risk Assessment Gestire il programma di assessment dei rischi. Eseguire assessment dei rischi in casi più complessi. Fornire gli strumenti per facilitare gli assessment del rischio. Eseguire l'assessment del rischio con strumenti forniti dal team core. Eseguire l'assessment del rischio con strumenti forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità. La tendenza emergente sono gli assessment dei rischi eseguiti da service provider che soddisfano il Service Level Agreement della sicurezza. Information Risk Management/ Business Risk versus Reward Analysis Dare impulso alle attività di gestione dei rischi. Relazionarsi con l'it e il business. Conferire sulla gestione dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Fornire gli strumenti per facilitare la gestione dei rischi. Third- Party Risk Management/ IT Supply Chain Integrity Dare impulso alla gestione dei rischi di terze parti e al programma di integrità della supply chain. Sviluppare standard e fornire strumenti per assessment di terze parti e la valutazione di hardware e software. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. Eseguire la valutazione di hardware e software servendosi di strumenti forniti dal team core. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. L'approvvigionamento incorpora gli assessment della sicurezza nel processo di approvvigionamento stesso. I consulenti competenti in materia eseguono la "due diligence" e gli assessment di terze parti servendosi di standard forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità e per la stesura dei contratti. Inventario e valutazione degli asset Dare impulso allo sviluppo del registro. Relazionarsi con il team core per elencare e valutare gli asset. Relazionarsi con il team core per elencare e valutare gli asset. Cyber Risk Intelligence e Threat Analysis Gestire il programma di intelligence. Coordinare le fonti. Condividere i dati di intelligence come le di phishing. Condividere i dati di intelligence come il monitoraggio dei social media. I consulenti competenti in materia assicurano l'analisi delle fonti e delle minacce. Security Data Analytics Dare impulso allo sviluppo di query e modelli. Richiedere consulenza e/o fornire servizi di data analytics. Richiedere consulenza e/o fornire servizi di data analytics. Gli SME e/o MSSP garantiscono servizi di data analytics. Security Data Management e Data Warehousing Dare impulso alla strategia di sicurezza della gestione dei dati e progettare il data warehouse di sicurezza. Dare impulso alla strategia complessiva di gestione dei dati dell'organizzazione. Conferire sulla strategia di sicurezza e su origini dei dati come i registri di rete. Conferire sulle origini dei dati come registri di applicazioni e database. Gli SME forniscono feed sulle minacce. Gli MSSP ricevono dati dai registri dei sistemi di sicurezza. Security Process Optimization Dare impulso all'ottimizzazione dei processi di sicurezza su tutta l'organizzazione. Conferire e facilitare l'implementazione dei miglioramenti. Conferire e facilitare l'implementazione dei miglioramenti. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Collaborare su tendenze future e strategie proattive. Collaborare su tendenze future e strategie proattive. RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Autori report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani CISSP Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security and Privacy Officer, Intel Kenneth Haertling Vice President e Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President e Chief Security Officer, EMC Corporation Tim MCKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Per consultare le biografie complete dei membri SBIC, visitare 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council Report 17

la trasformazione dell'information security Processi a prova di futuro

la trasformazione dell'information security Processi a prova di futuro ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland,

Dettagli

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che

Dettagli

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business SOLUTION BRIEF CA ERwin Modeling Come gestire la complessità dei dati e aumentare l'agilità del business CA ERwin Modeling fornisce una visione centralizzata delle definizioni dei dati chiave per consentire

Dettagli

trasformazione della sicurezza delle informazioni

trasformazione della sicurezza delle informazioni ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Astra Zeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President,

Dettagli

Individuazione e analisi di minacce avanzate. PANORAMICA

Individuazione e analisi di minacce avanzate. PANORAMICA Individuazione e analisi di minacce avanzate. PANORAMICA DETTAGLI Presentazione delle seguenti funzionalità di RSA Security Analytics: Monitoraggio della sicurezza Indagine sugli incident Generazione di

Dettagli

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi?

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? SOLUTION BRIEF CA Business Service Insight for Service Level Management come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? agility made possible Automatizzando la gestione dei

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti?

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? SOLUTION BRIEF Soluzioni Project & Portfolio Management per l'innovazione dei prodotti siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? you can Le soluzioni Project & Portfolio

Dettagli

Ottimizzare Agile per la. agility made possible. massima innovazione

Ottimizzare Agile per la. agility made possible. massima innovazione Ottimizzare Agile per la agility made possible massima innovazione Agile accelera l'offerta di innovazione Lo scenario aziendale attuale così esigente e in rapida evoluzione ha enormemente amplificato

Dettagli

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi Sotto i riflettori: La Business Intelligence estende il valore di PLM La maturità del PLM consente di ottenere un nuovo valore dalle analisi Tech-Clarity, Inc. 2009 Sommario Sommario... 2 Presentazione...

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

Come ottenere la flessibilità aziendale con un Agile Data Center

Come ottenere la flessibilità aziendale con un Agile Data Center Come ottenere la flessibilità aziendale con un Agile Data Center Panoramica: implementare un Agile Data Center L obiettivo principale è la flessibilità del business Nello scenario economico attuale i clienti

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

IL CRM NELL ERA DEL CLIENTE. modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita.

IL CRM NELL ERA DEL CLIENTE. modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita. IL CRM NELL ERA DEL CLIENTE modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita ebook 1 SOMMARIO Introduzione Allineare meglio le vendite e il marketing Creare

Dettagli

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator

Ottimizzazione della gestione della sicurezza con McAfee epolicy Orchestrator Documentazione Ottimizzazione della gestione della sicurezza con Efficacia comprovata dalle ricerche I Chief Information Officer (CIO) delle aziende di tutto il mondo devono affrontare una sfida molto

Dettagli

Capacità di reazione alle violazioni PANORAMICA

Capacità di reazione alle violazioni PANORAMICA E U C A L E L E R COLMA I D À IT C A P A ELLA C I IO Z A L IO V E REAZIOE ALL ITY R U C E S L A D I T APPROFODIME UCIL O C IO T A V O I FOR BUSIESS PAORAMICA Questo e-book contiene informazioni dettagliate

Dettagli

Kaseya. Perché ogni azienda dovrebbe automatizzare la gestione dei sistemi IT

Kaseya. Perché ogni azienda dovrebbe automatizzare la gestione dei sistemi IT Kaseya è il software per la gestione integrata delle reti informatiche Kaseya controlla pochi o migliaia di computer con un comune browser web! Kaseya Perché ogni azienda dovrebbe automatizzare la gestione

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

Questionario Modello di Maturità di Project Management (V.1.5.0)

Questionario Modello di Maturità di Project Management (V.1.5.0) Questionario Modello di Maturità di Project Management (V.1.5.0) E necessario rispondere a tutte le domande riportate di seguito, selezionando la risposta ritenuta migliore o quella che meglio descrive

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI "BIG DATA"

ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI BIG DATA ANALISI REALE DELLA GESTIONE DELLA SICUREZZA E DEI "BIG DATA" Roadmap per i "Big Data" nell'analisi della sicurezza CONCETTI FONDAMENTALI In questo documento vengono esaminati: Crescente complessità dell'ambiente

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE

PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE PARTNER BRIEF: CA VIRTUAL FOUNDATION SUITE i clienti possono contare sull'aiuto dei partner di CA Technologies per superare il blocco verso la virtualizzazione e accelerare il passaggio a un livello di

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance CUSTOMER SUCCESS STORY Febbraio 2014 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance PROFILO DEL CLIENTE Settore: servizi IT Società: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack SERENA TEAMTRACK Serena TeamTrack è un sistema per la gestione dei processi e dei problemi basato sul Web, sicuro e altamente

Dettagli

Il segreto per un PPM semplice ed economico in sole quattro settimane

Il segreto per un PPM semplice ed economico in sole quattro settimane SOLUTION BRIEF CA Clarity PPM on Demand Essentials for 50 Users Package Il segreto per un PPM semplice ed economico in sole quattro settimane agility made possible CA Technologies offre oggi una soluzione

Dettagli

Introdurre i dati di produzione nel testing prestazionale

Introdurre i dati di produzione nel testing prestazionale Business white paper Introdurre i dati di produzione nel testing prestazionale Il valore del testing continuativo delle prestazioni applicative Le problematiche più comuni nei test prestazionali Nel corso

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

CA Clarity PPM. Panoramica. Vantaggi. agility made possible

CA Clarity PPM. Panoramica. Vantaggi. agility made possible SCHEDA PRODOTTO CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) supporta l'innovazione con agilità, trasforma il portafoglio con fiducia e sostiene il giusto

Dettagli

Le strategie e le architetture

Le strategie e le architetture MCAFEE Le strategie e le architetture McAfee è da sempre completamente dedicata alle tecnologie per la sicurezza e fornisce soluzioni e servizi proattivi che aiutano a proteggere sistemi e reti di utenti

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Pilota BIM. Manuale introduttivo. avanti

Pilota BIM. Manuale introduttivo. avanti Pilota BIM Manuale introduttivo Cos è il BIM? Struttura per l'implementazione di un progetto mirata al progetto Il passaggio al BIM può sembrare difficile, ma questo manuale vi offre una semplice struttura

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

Symantec Mobile Security

Symantec Mobile Security Protezione avanzata dalle minacce per i dispositivi mobili Data-sheet: Gestione degli endpoint e mobiltà Panoramica La combinazione di app store improvvisati, la piattaforma aperta e la consistente quota

Dettagli

Ottimizzazione della gestione del data center con Microsoft System Center

Ottimizzazione della gestione del data center con Microsoft System Center Ottimizzazione della gestione del data center con Microsoft System Center Declinazione di responsabilità e informazioni sul copyright Le informazioni contenute nel presente documento rappresentano le conoscenze

Dettagli

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Caso di successo del cliente TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Profilo del cliente Settore: telecomunicazioni Società: TelstraClear Il business

Dettagli

Architettura e valore dell'offerta

Architettura e valore dell'offerta TELECOM ITALIA Architettura e valore dell'offerta Telecom Italia fornisce servizi di sicurezza, perlopiù gestiti, da diversi anni. Recentemente, tra il 2012 e l'inizio del 2013, l'offerta è stata è stata

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Misurare il successo Guida alla valutazione dei service desk per le medie imprese:

Misurare il successo Guida alla valutazione dei service desk per le medie imprese: WHITE PAPER SULLE BEST PRACTICE Misurare il successo Guida alla valutazione dei service desk per le medie imprese: Come scegliere la soluzione ottimale per il service desk e migliorare il ROI Sommario

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Sandro Tassoni Oracle Support Director Maggio 2011 Agenda Panoramica Strategia Portafoglio ACS per Cloud

Dettagli

agility made possible

agility made possible SOLUTION BRIEF Gestione dell'infrastruttura convergente di CA Technologies come offrire servizi alla clientela innovativi su un'infrastruttura convergente sempre più complessa con meno impegno di gestione

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

Trasformare i processi e la cultura dell'it per garantire la qualità dei servizi e migliorare l'efficienza operativa

Trasformare i processi e la cultura dell'it per garantire la qualità dei servizi e migliorare l'efficienza operativa EXECUTIVE BRIEF Service Operations Management Novembre 2011 Trasformare i processi e la cultura dell'it per garantire la qualità dei servizi e migliorare l'efficienza operativa agility made possible David

Dettagli

Guida pratica alle applicazioni Smart Process

Guida pratica alle applicazioni Smart Process Guida pratica alle applicazioni Smart Process Aprile 2014 Kemsley Design Limited www.kemsleydesign.com www.column2.com Panoramica La qualità delle interazioni con clienti e partner è vitale per il successo

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

CA Configuration Automation

CA Configuration Automation PRODUCT SHEET: CA Configuration Automation CA Configuration Automation agility made possible CA Configuration Automation è stato progettato per contribuire a ridurre i costi e a migliorare l'efficienza

Dettagli

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto

SISTEMI DI SVILUPPO PRODOTTO. Realizzazione di maggiore valore. con le soluzioni di gestione del ciclo di vita del prodotto SERVIZI E SUPPORTO PROCESSI E INIZIATIVE SISTEMI DI SVILUPPO PRODOTTO PRODOTTI SOFTWARE SOLUZIONI VERTICALI Realizzazione di maggiore valore con le soluzioni di gestione del ciclo di vita del prodotto

Dettagli

Gestire il laboratorio in maniera semplice

Gestire il laboratorio in maniera semplice Gestire il laboratorio in maniera semplice Guida al LIMS Software as a Service Eusoft White Paper Introduzione La tecnologia oggi offre alle organizzazioni grandi possibilità di innovazione e trasformazione

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PUNTI ESSENZIALI Agilità Nella soluzione AppSync sono integrate le best practice delle tecnologie di replica offerte da EMC e Oracle, che consentono

Dettagli

Approvata a livello mondiale. Applicazioni leader del settore. BMC Remedy Service Desk. Un leader nel mercato

Approvata a livello mondiale. Applicazioni leader del settore. BMC Remedy Service Desk. Un leader nel mercato SCHEDA TECNICA DELLA SOLUZIONE DI PRODOTTI BMC Remedy IT Service Management Suite Le organizzazioni IT che ottengono maggiore efficienza IT, contengono efficacemente i costi, raggiungono la conformità

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Frodi dei dipendenti Metodi e strategie per affrontarle

Frodi dei dipendenti Metodi e strategie per affrontarle Frodi dei dipendenti Metodi e strategie per affrontarle Bruno Piers de Raveschoot, Managing Director, Head of Actimize Europe and Asia Pacific E un fenomeno in crescita e presenta notevoli rischi per le

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Dieci cose smart che dovresti sapere sullo storage

Dieci cose smart che dovresti sapere sullo storage Dieci cose smart che dovresti sapere sullo storage Tendenze, sviluppi e suggerimenti per rendere il tuo ambiente storage più efficiente Le decisioni intelligenti si costruiscono su Lo storage è molto più

Dettagli

LE ORGANIZZAZIONI IT ORIENTATE AI SERVIZI

LE ORGANIZZAZIONI IT ORIENTATE AI SERVIZI NUOVE COMPETENZE PER LE ORGANIZZAZIONI IT ORIENTATE AI SERVIZI Essere il responsabile IT di un'organizzazione di livello enterprise può provocare sensazioni molto simili a quelle di una persona bloccata

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Caso di successo del cliente Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Profilo del cliente Settore: servizi IT Società: Scitum Dipendenti: più di 450 IL BUSINESS Scitum

Dettagli

Per organizzazioni di medie dimensioni. Oracle Product Brief Oracle Business Intelligence Standard Edition One

Per organizzazioni di medie dimensioni. Oracle Product Brief Oracle Business Intelligence Standard Edition One Per organizzazioni di medie dimensioni Oracle Product Brief Edition One PERCHÈ LA VOSTRA ORGANIZZAZIONE NECESSITA DI UNA SOLUZIONE BI (BUSINESS INTELLIGENCE)? Quando gestire un elevato numero di dati diventa

Dettagli

Indaga. Documenta. Accerta.

Indaga. Documenta. Accerta. Indaga. Documenta. Accerta. L azienda leader in Italia nel settore investigativo 2 3 Le situazioni delicate e complesse richiedono azioni risolutive condotte con competenza e professionalità. 4 5 Axerta

Dettagli

riduzione del rischio di perdita di dati e inattività dei sistemi

riduzione del rischio di perdita di dati e inattività dei sistemi WHITE PAPER: Semplificazione della protezione dati riduzione del rischio di perdita di dati e inattività dei sistemi NOVEMBRE 2012 Bennett Klein & Jeff Drescher CA Data Management Pagina 2 Sommario Executive

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security

A Brave. Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro. Febbraio 2011. Dave Asprey, VP Cloud Security A Brave Chi detiene la sicurezza in-the-cloud? Un punto di vista di Trend Micro Febbraio 2011 Dave Asprey, VP Cloud Security I. CHI DETIENE LA SICUREZZA IN-THE-CLOUD? Il cloud computing è la parola più

Dettagli

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint?

come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? SOLUTION BRIEF La soluzione CA Technologies per la sicurezza di SharePoint come posso rendere possibile un accesso pratico e sicuro a Microsoft SharePoint? agility made possible consente di fornire un

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

Con RICOH è più facile

Con RICOH è più facile Con RICOH è più facile RICOH aiuta le aziende ad aumentare l efficienza e l efficacia della gestione documentale, dei processi informativi e dei flussi di lavoro. RICOH si propone come unico partner di

Dettagli

CYBER SECURITY COMMAND CENTER

CYBER SECURITY COMMAND CENTER CYBER COMMAND CENTER Il nuovo Cyber Security Command Center di Reply è una struttura specializzata nell erogazione di servizi di sicurezza di livello Premium, personalizzati in base ai processi del cliente,

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

CALENDARIO EVENTI 2015

CALENDARIO EVENTI 2015 CALENDARIO EVENTI 2015 Cloud Computing Summit Milano 25 Febbraio 2015 Roma 18 Marzo 2015 Mobile Summit Milano 12 Marzo 2015 Cybersecurity Summit Milano 16 Aprile 2015 Roma 20 Maggio 2015 Software Innovation

Dettagli

Trasformate la vostra visione aziendale in realtà con Microsoft Dynamics NAV

Trasformate la vostra visione aziendale in realtà con Microsoft Dynamics NAV Trasformate la vostra visione aziendale in realtà con Microsoft Dynamics NAV Avete lavorato molto per costruire una visione per la vostra azienda. Con Microsoft Dynamics NAV potrete trasformare questa

Dettagli

Sicurezza delle e-mail: guida all acquisto

Sicurezza delle e-mail: guida all acquisto Sicurezza delle e-mail: guida all acquisto Introduzione Vista la crescente quantità di dati sensibili per l azienda e di informazioni personali che consentono l identificazione (PII), inviata tramite e-mail,

Dettagli

Servizio HP Data Replication Solution per HP 3PAR Virtual Copy

Servizio HP Data Replication Solution per HP 3PAR Virtual Copy Servizio HP Data Replication Solution per HP 3PAR Virtual Copy Servizi HP Care Pack Caratteristiche tecniche Il servizio HP Data Replication Solution per HP 3PAR Virtual Copy prevede l'implementazione

Dettagli

SolarWinds Virtualization Manager

SolarWinds Virtualization Manager SolarWinds Virtualization Manager Potente gestione della virtualizzazione unificatache non prosciugherà il vostro conto in banca! In SolarWinds abbiamo migliorato la modalità con cui i professionisti IT

Dettagli

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy

Proteggete il parco dispositivi con una semplice protezione dell'ambiente di stampa basata su policy Solution brief Proteggete il parco con una semplice protezione dell'ambiente di stampa basata su policy Fate crescere il vostro business nella massima sicurezza con HP JetAdvantage Security Manager Proteggete

Dettagli

Utilizzo di ClarityTM per la gestione del portfolio di applicazioni

Utilizzo di ClarityTM per la gestione del portfolio di applicazioni WHITE PAPER: Application Portfolio Management febbraio 2012 Utilizzo di CA PPM ClarityTM per la gestione del portfolio di applicazioni David Werner CA Service & Portfolio Management agility made possible

Dettagli

IBM Tivoli Endpoint Manager for Software Use Analysis

IBM Tivoli Endpoint Manager for Software Use Analysis IBM Endpoint Manager for Software Use Analysis Informazioni dettagliate, rapide e granulari dell'inventario e gestione degli asset aggiornata per migliorare la conformità delle licenze Punti chiave Identificare

Dettagli

Talent Management 2020. Scenari e prospettive futuri

Talent Management 2020. Scenari e prospettive futuri Talent Management 2020 Scenari e prospettive futuri INTRODUZIONE Le funzioni delle Risorse Umane (Human Resources-HR) non solo forniscono molti servizi interni, come la selezione del personale, il sostegno

Dettagli

I CIO europei promuovono la generazione di valore e. vedono una miniera d'oro nei Big Data

I CIO europei promuovono la generazione di valore e. vedono una miniera d'oro nei Big Data 8 La ricerca indica che i Big Data prendono slancio; i problemi di sicurezza preoccupano, ma non quanto in altre regioni I CIO europei promuovono la generazione di valore e vedono una miniera d'oro nei

Dettagli

L evoluzione dei data center verso il cloud

L evoluzione dei data center verso il cloud DICEMBRE 2012 Nonostante la virtualizzazione abbia dato il via a una fase di investimenti nell ottica del consolidamento e della razionalizzazione dei data center, oggi molte imprese si trovano a metà

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT

AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT Caso di successo del cliente Ottobre 2013 AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT Profilo del cliente Settore: manifatturiero Società: AT&S Dipendenti:

Dettagli

Una soluzione di collaborazione completa per aziende di medie dimensioni

Una soluzione di collaborazione completa per aziende di medie dimensioni Una soluzione di collaborazione completa per aziende di medie dimensioni La tua azienda è perfettamente connessa? È questa la sfida cruciale dell attuale panorama aziendale virtuale e mobile, mentre le

Dettagli

IT GOVERNANCE & MANAGEMENT

IT GOVERNANCE & MANAGEMENT IT GOVERNANCE & MANAGEMENT BOLOGNA BUSINESS school Dal 1088, studenti da tutto il mondo vengono a studiare a Bologna dove scienza, cultura e tecnologia si uniscono a valori, stile di vita, imprenditorialità.

Dettagli

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende

L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore per le aziende MICROSOFT BUSINESS DESKTOP MICROSOFT ENTERPRISE CLUB Disponibile anche sul sito: www.microsoft.com/italy/eclub/ L ottimizzazione dei processi con Microsoft Office System: come generare e misurare il valore

Dettagli

Come affrontare le nuove sfide del business

Come affrontare le nuove sfide del business Come affrontare le nuove sfide del business Nel panorama delle minacce globali Demetrio Milea Advanced Cyber Defense - EMEA 1 Tecnologie emergenti Cloud Computing Monete Elettroniche Big Data Mobile and

Dettagli

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010 Domande frequenti per i partner www.novell.it WorkloadIQ Domande frequenti 17 agosto 2010 C h e c o s ' è i l m e r c a t o d e l l ' I n t e l l i g e n t W o r k l o a d M a n a g e m e n t? Il mercato

Dettagli

agility made possible

agility made possible SOLUTION BRIEF CA IT Asset Manager Come gestire il ciclo di vita degli asset, massimizzare il valore degli investimenti IT e ottenere una vista a portfolio di tutti gli asset? agility made possible contribuisce

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli