Security for Business Innovation Council

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security for Business Innovation Council"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Progettazione di un team allargato all'avanguardia T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Consigli dei dirigenti Global 1000 In questo report Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer La missione in evoluzione della sicurezza delle informazioni Nuove competenze richieste Opportunità di collaborazione emergenti Informazioni approfondite su ottimizzazione nell'uso delle risorse Suggerimenti attuabili Mappa di "responsabili e mansioni" su un team allargato Iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione team in transizione 2 2. Il nuovo SOW 3 Grafico 1 - L'attuale missione della sicurezza delle informazioni>>>>>>4 3. Sfide e opportunità 6 4. Suggerimenti 7 1. Ridefinire e potenziare le competenze chiave>>>>>>>>>>>>>>>>>>7 2. Delegare le operazioni di routine>>>>>>>>>>>>>>>>>>>>>>>>>>>9 3. Richiedere esperti in prestito o assumerli a tempo determinato>>> Guidare i proprietari dei rischi nella gestione dei rischi>>>>>>>>> Assumere esperti nell'ottimizzazione dei processi>>>>>>>>>>>>> Instaurare relazioni cruciali>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Pensare out-of-the-box per talenti futuri>>>>>>>>>>>>>>>>>>>> 12 Conclusioni 13 Informazioni su Security for Business Innovation Council 13 appendice Grafico 2 - Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Autori 16 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report Che cosa serve oggi per gestire i rischi legati agli asset informatici in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. La missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere attività tecniche e businesscentric avanzate come: analisi dei rischi aziendali, valutazione degli asset, integrità della supply chain IT, cyber intelligence, security data analytics, data warehousing e ottimizzazione dei processi. Sono talmente tante le nuove competenze richieste che la vera sfida nel realizzare un team efficace è data dalla carenza di professionisti con le giuste competenze. Emerge quindi una nuova opportunità: in molte organizzazioni il personale non addetto alla sicurezza si sta rendendo conto di essere esso stesso, e non gli addetti alla sicurezza, responsabile dei rischi dei propri asset informativi, e comprende l'esigenza di stringere collaborazioni attive con la sicurezza per la gestione di questi rischi. Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato comprende il personale del reparto IT, delle business unit e di uffici come approvvigionamento, legale e marketing. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Sette suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia per gestire in modo efficace i rischi alla sicurezza informatica e ottimizzare l'uso delle risorse umane a disposizione e per garantire che il team disponga delle nuove competenze richieste. 1. Ridefinire e potenziare le competenze core - Concentrare il team core sull'incremento delle abilità in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. 2. Delegare le operazioni di routine - Assegnare processi di sicurezza ripetibili e consolidati a IT, business unit e/o service provider esterni. 3. Richiedere esperti in prestito o assunti a tempo determinato - In caso di specializzazioni particolari, estendere il team core con esperti provenienti sia dall'interno che dall'esterno dell'organizzazione. 4. Guidare i Risk Owner nella gestione dei rischi - Collaborare con l'azienda per la gestione dei rischi alla sicurezza informatica e coordinare un approccio omogeneo. Semplificare la procedura per l'azienda e renderli responsabili delle loro scelte. 5. Assumere esperti nell'ottimizzazione dei processi - Dotare il team di persone con esperienza e/o certificazioni nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi. 6. Instaurare relazioni cruciali - Conquistare una posizione adeguata per avere un impatto sulle persone chiave come gli owner dei "gioielli della corona", il middle management e i service provider esternalizzati. 7. Pensare "out-of-the-box" per talenti futuri - Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Una formazione utile può includere amministrazione di database, sviluppo software, analisi aziendale, intelligence militare, competenze in ambito legale o di privacy, data science, matematica o storia. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: team in transizione S e qualche anno fa foste entrati in un reparto di sicurezza delle informazioni, avreste probabilmente incontrato un team con competenze esclusivamente tecniche. Avreste sentito parlare di tecniche di protezione del perimetro, liste di controllo di conformità e aggiornamenti antivirus. Se varcaste ora quella stessa soglia, vi trovereste di fronte un'immagine completamente diversa. I team si stanno evolvendo in gruppi multidisciplinari che comprendono analisti delle minacce, consulenti sui rischi, Data Scientist ed esperti dei processi. Le discussioni si stanno spostando su argomenti come gestione dei rischi aziendali, analisi dei dati, assicurazione dei controlli e governance dei service provider. Organizzazioni diverse si trovano in fasi diverse del processo di trasformazione, anche se la maggior parte ha riconosciuto l'esigenza di adottare nuovi approcci alla sicurezza delle informazioni. Da un sondaggio recente sulla sicurezza è addirittura emerso che la seconda priorità di spesa in ordine di importanza per le enterprise globali è la riprogettazione fondamentale dei programmi di sicurezza delle informazioni. 1 Aggiungere semplicemente soluzioni mirate o lavorare su miglioramenti incrementali non è più sufficiente. Ma in cosa consiste esattamente un programma di sicurezza delle informazioni efficace e che guarda al futuro? Questo report è il primo di una serie sulla trasformazione dei programmi sulla sicurezza delle informazioni aziendali che si propone di rispondere a questa domanda, partendo dall'esperienza e dalla visione di alcuni dei responsabili della sicurezza delle informazioni più importanti al mondo facenti parte del Security for Business Innovation Council (SBIC). Questo primo report descrive le nuove competenze essenziali e illustra come le responsabilità della sicurezza delle informazioni vengono distribuite su tutta l'azienda. Fornisce consigli specifici e attuabili per la progettazione di un team allargato all'avanguardia. 1 E&Y Global Information Security Survey, novembre Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Il nuovo SOW L a missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere un gruppo di attività più ampio. Per realizzare un team ottimizzato con le persone migliori per il job è fondamentale comprendere l'ambito del lavoro. Che cosa serve oggi per gestire i rischi legati agli asset informativi in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. Le organizzazioni sono oggi sottoposte a una forte pressione per ottenere un atteggiamento proattivo ai rischi della sicurezza informatica. Per attuare questo cambiamento, è necessario adottare nuovi approcci nella difesa contro le minacce avanzate, integrando la sicurezza delle informazioni nelle strategie tecnologiche e di business e garantendo efficacia ed efficienza dei processi di sicurezza. Sono ora indispensabili attività avanzate incentrare su tecnologia e business, come: DDInformation Risk Management/Business Risk versus Reward Analysis Per rendere sistematico il processo decisionale sulla base di rischio/ricompensa DDInventario e valutazione degli asset Per assegnare priorità alle strategie di protezione e concentrarsi sulla salvaguardia degli asset più preziosi DDGestione dei rischi di terze parti/integrità della supply chain IT Per valutare il crescente numero di service provider e componenti di sistema reperiti a livello globale DDCyber Risk Intelligence e Threat Analysis Per comprendere il panorama conflittuale e riconoscere gli indicatori degli attacchi DDSecurity Data Analytics Per applicare tecniche di analisi avanzate nel rilevamento dei sistemi anomali o del comportamento degli utenti negli ambienti IT DDSecurity Data Management e Data Warehousing Per sviluppare una strategia e un'infrastruttura complessive per la raccolta di dati da diverse fonti da utilizzare per scopi vari come rilevamento minacce, monitoraggio controlli e conformità DDOttimizzazione dei processi di sicurezza Per formalizzare il miglioramento dell'efficienza dei processi di sicurezza DDControls Agility Per conseguire gli obiettivi per i controlli di sicurezza utilizzando metodi nuovi in risposta a tendenze come cloud e mobile computing Uno degli aspetti chiave nella strategia del team è la definizione della missione al fine di determinare "responsabili e mansioni". Il grafico 1 illustra la missione della sicurezza delle informazioni presso le più grandi organizzazioni di oggi ed elenca le attività dalle più convenzionali a quelle sempre più avanzate. Le organizzazioni dotate di un programma convergente potrebbero includere nella missione anche mansioni correlate come frode, ediscovery, privacy, qualità dei prodotti e/o sicurezza fisica. Questo report illustra i componenti della sicurezza delle informazioni, tenendo contro del coordinamento necessario con altre attività correlate. RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 Il nuovo SOW Grafico 1 l'attuale missione della sicurezza delle informazioni Le attività vengono elencate indicativamente dalle più convenzionali a quelle sempre più avanzate. Program Management Security Policy e Standard Implementazione dei controlli Determinare la strategia complessiva e il piano del programma di gestione della sicurezza delle informazioni. Controllare che il programma risponda alle esigenze aziendali più cruciali dell'organizzazione. Coordinarsi con le attività correlate come frode, ediscovery, sicurezza fisica, sicurezza dei prodotti e/o privacy. Sviluppare e documentare le direttive e le regole generali che indicano come proteggere le informazioni dell'organizzazione. Elaborare il set completo di controlli amministrativi, tecnici e fisici per la sicurezza delle informazioni applicati dall'organizzazione (ad es. framework dei controlli) compresi controlli di accesso, crittografia, identificazione e autenticazione, Configuration Management, monitoraggio, audit log, sicurezza delle applicazioni e formazione della consapevolezza (di personale e clienti). Prendere in considerazione i requisiti di varie leggi e normative (ad es. SOX, HIPAA, PCI). Verificare che in controlli siano agili e tenere traccia dei cambiamenti nel panorama del business e delle minacce. Implementare i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Operazioni dei controlli Controls Design (Security Architecture) Controls Oversight/ Assurance Mettere in funzione i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Sviluppare nuovi controlli o nuovi metodi per implementare i controlli in base ai cambiamenti nel panorama di business, IT e minacce. Include tecniche di sviluppo applicativo; definizione, implementazione, personalizzazione e/o sviluppo di nuove tecnologie di sicurezza e nuovi accordi e procedure per utente finale. Valutare tutti i controlli e garantire che siano conformi a policy e standard. Verificare che tutti i controlli siano presenti e che offrano le prestazioni previste. Verificare che tutti i controlli siano monitorati e attestati in modo omogeneo. Incident Response/ Resiliency Information Risk Assessment Information Risk Management/ Business Risk vs. Reward Analysis Coordinare e gestire la risposta dell'organizzazione agli incident di sicurezza, compresi business continuity/disaster recovery. Valutare i rischi di un programma, un processo, un progetto, un'iniziativa o un sistema in base a valore delle informazioni, data asset, minacce e vulnerabilità applicabili, probabilità di compromissione, impatto sull'organizzazione (ad es. reputazione, entrate, non conformità normativa) e perdite stimate. Stabilire la capacità del Risk Owner di assumersi i rischi e definire il livello di accettazione dei rischi autorizzato. In base all'assessment dei rischi per un particolare programma, processo, progetto, iniziativa o sistema, formulare la strategia di contenimento e risoluzione dei rischi. Attuare un processo omogeneo per valutare i rischi per la sicurezza delle informazioni rispetto alle ricompense per il business. Determinare i controlli richiesti per portare il rischio a un livello accettabile. Integrare il rischio informazioni con il framework/programma di gestione dei rischi enterprise. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 Il nuovo SOW Inventario e valutazione degli asset Delineare l'inventario completo di processi aziendali, dati sensibili e sistemi informatici utilizzati dall'organizzazione. Redigere una documentazione completa per processi aziendali e un mapping del flusso di dati al fine di comprendere i processi e i dati che devono essere protetti e formulare le strategie di protezione. Identificare gli utenti privilegiati in tutta l'extended enterprise che hanno accesso a sistemi critici. Determinare il valore degli asset per assegnare la priorità alle strategie di protezione. Third-Party Risk Management/ IT Supply Chain Integrity Accertarsi che venga eseguita una valutazione del rischio prima che l'organizzazione instauri una relazione con terzi. Sviluppare un processo di "due diligence" per valutare vendor, partner e fornitori. Valutare i rischi che caratterizzano i rapporti commerciali continuativi con vendor, partner e fornitori. Comprendere la supply chain relativa all'it e valutare la sicurezza di hardware e software utilizzati nell'ambiente IT di livello enterprise. Incrementare le efficienze per mezzo di assessment condivisi e di un monitoraggio continuo dei controlli. Cyber Risk Intelligence e Threat Analysis Comprendere il panorama conflittuale relativo agli asset aziendali (identità, capacità, motivazioni e destinazioni). Raccogliere dati di intelligence relativi alle minacce per l'organizzazione. Gestire le origini dei dati di intelligence, interpretare i dati, eseguire analisi e produrre report e alert di intelligence relativi alle minacce. Integrare creazione di modelli delle minacce e intelligence in un processo e ciclo di vita completo di gestione della sicurezza. Security Data Analytics Utilizzare tecniche di analisi avanzate e Data Science per analizzare i dati della sicurezza arricchiti da dati di intelligence. Sviluppare query, algoritmi e modelli di dati utilizzati per rilevare o prevedere attività malevole. Security Data Management e Data Warehousing Sviluppare una strategia e un'infrastruttura di gestione dei dati per aggregare e analizzare i dati sulla sicurezza provenienti da fonti diverse (sistemi di sicurezza, database, applicazioni, feed sulle minacce) con varie finalità (ad es. rilevamento delle minacce, gestione dei rischi e conformità aziendali, monitoraggio continuo dei controlli). Progettare un data warehouse per i dati sulla sicurezza. Security Process Optimization Tenere traccia e misurare in maniera uniforme l'efficienza dei processi di sicurezza e implementare i miglioramenti mediante metodologie formalizzate di gestione qualità, project management ed erogazione dei servizi. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Sviluppi tecnologici come l'"internet of Things" e l'informatica che si indossa, ad esempio, introducono nuove sfide per la sicurezza. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 3 Sfide e opportunità C reare un team efficace per la sicurezza delle informazioni pone una serie di sfide. Dave Martin Vice President e Chief Security Officer, EMC Corporation DDL'esperienza è scarsa ed è difficile trattenere i talenti Gli esperti in sicurezza e nei rischi aziendali sono molto ricercati DDIl budget è limitato DDI team di sicurezza lavorano già a pieno ritmo DDL'attenzione della sala riunioni richiede un certo acume aziendale Mentre la sicurezza delle informazioni diventa una componente di importanza maggiormente critica della strategia di business, gli addetti alla sicurezza devono contare su una conoscenza approfondita del business. La buona notizia è che stanno palesandosi alcune opportunità emergenti. DDLa consapevolezza è in espansione A ogni livello, dagli utenti finali alla leadership, la consapevolezza dei problemi di sicurezza è più alta che mai a causa dell'attenzione dei media, dell'esperienza effettiva con gli attacchi informatici o della pressione normativa. DDIl "business" sta assumendo la proprietà dei rischi In molte organizzazioni avviene un cambiamento di prospettiva in base al quale il personale non addetto alla sicurezza si sta rendendo conto di essere responsabile in prima persona dei rischi dei propri asset informativi e comprende l'esigenza di stringere collaborazioni attive con il settore della sicurezza per la gestione di questi rischi. DDAumentano i cachet dei professionisti della sicurezza Sono tempi d'oro per chi si occupa di sicurezza delle informazioni, poiché il settore si estende ora a nuovi ambiti come business risk analysis, cyber intelligence e Data Science. Tanto i notiziari quanto le rappresentazioni cinematografiche della difesa del ciberspazio non fanno che È sorprendente. Siamo passati da 'Voi addetti alla sicurezza ci siete di ostacolo, perché dobbiamo fare questa cosa?' alle business unit che utilizzano i nostri servizi centrali di consulenza per eseguire il roll out delle strategie di contenimento del rischio. Il fenomeno è inoltre in fase di accelerazione in quanto le business unit si rendono conto che devono gestire i propri rischi anziché affidarsi ad altri per risolvere i problemi o peggio nascondere la testa sotto la sabbia". incrementare l'interesse in questo ambito, contribuendo ad attirare nuovi talenti. DDLa gamma di service provider è in aumento Poiché il mercato risponde alle richieste in continuo aumento, è sempre più facile per le organizzazioni rivolgersi a service provider di sicurezza esterni per ridurre i costi, ottenere competenze specializzate, contribuire a completare una marea di attività e fornire assessment indipendenti. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 4 Suggerimenti Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato per la sicurezza delle informazioni deve includere le seguenti figure: DDPersonale addetto all'implementazione IT e alla gestione dei controlli di sicurezza. DDResponsabili dei rischi che nelle business unit rispondono ai problemi legati ai rischi. DDEsperti del settore acquisti che implementano i protocolli di assicurazione e assessment dei rischi dei vendor per la valutazione dei fornitori. DDUfficio privacy per la gestione delle normative. DDPersonale di marketing che monitora i social media alla ricerca di informazioni sulle possibili minacce. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Parte del personale addetto alle operazioni di sicurezza al di fuori del team core può essere di tipo a referente diretto o indiretto, mentre altri possono essere attivi in conformità agli standard di sicurezza o ai Service Level Agreement (SLA). Il grafico 2 dell'appendice illustra responsabili e relative mansioni in un team allargato, compresi sicurezza delle informazioni core, IT, business e service provider. I seguenti suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia in grado di gestire in modo efficace i rischi per la sicurezza delle informazioni e di ottimizzare l'uso delle risorse umane a disposizione. In base al livello di maturità raggiunto dall'organizzazione, queste indicazioni possono essere utili per avviare il processo, convalidare un approccio o velocizzare l'avanzamento in determinate aree. Ridefinire e potenziare le competenze chiave Delegare le operazioni di routine Richiedere esperti in prestito o assumerli a tempo determinato Guidare i Risk Owner nella gestione dei rischi Assumere esperti nell'ottimizzazione dei processi Instaurare relazioni cruciali Pensare "out-of-the-box" per talenti futuri 1. Ridefinire e potenziare le competenze chiave All'interno delle organizzazioni leader, i team core di sicurezza delle informazioni si dedicano attualmente a potenziare le competenze in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. In base alle dimensioni del team core e al livello di specializzazione, i singoli membri possono svolgere mansioni specifiche oppure occuparsi di più aree. Ogni area richiede un set di competenze chiave che spesso sono del tutto nuove per i membri del team. In futuro, il personale esistente dovrà sviluppare le competenze richieste per mezzo della formazione e/o il team core dovrà aggiungere nuovi membri o affidarsi a service provider. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti 1. Cyber Risk Intelligence e Security Data Analytics Alla luce del costante aumento delle minacce, migliorare il rilevamento delle minacce è di vitale importanza per la maggior parte delle organizzazioni di tutto il mondo; in particolare, è essenziale sviluppare un approccio di tipo "intelligence-driven" (leggere il report SBIC, "Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security"). Questo approccio prevede la raccolta e la fusione dei dati di intelligence informatica di origine interna (ad es. sensori nei sistemi IT e nelle applicazioni aziendali) e di origine esterna (ad es. feed sulle minacce di enti pubblici o commerciali) e l'uso di tecniche avanzate di data analytics per individuare gli indicatori degli attacchi e i pattern di comportamento anomalo. Il team core deve disporre delle capacità necessarie per arrivare a una consapevolezza della situazione in tutta l'organizzazione. Determinare le origini dei dati pertinenti ed eseguire analisi significative richiede una comprensione approfondita dell'ambiente di business effettivo, degli asset da proteggere e del panorama informatico conflittuale. I team di sicurezza stanno iniziando a orientarsi nella potenza delle tecnologie dei Big Data allo scopo non solo di individuare ma anche di prevenire gli attacchi. DDCompetenze del personale chiave: networking interno ed esterno per lo sviluppo di fonti di intelligence valide, comunicazione per lo sviluppo di report e la presentazione di relazioni sull'intelligence. DDCompetenze dei processi chiave: progettazione di un processo di intelligence end-to-end che prevede di ottenere e filtrare i dati, eseguire analisi, comunicare i risultati, prendere una decisione sui rischi e intraprendere azioni. DDCompetenze tecniche chiave: analisi (individuare collegamenti tra dati apparentemente non collegati), tecniche di data analytics e Data Science. 2. Security Data Management Nel loro tentativo di arrivare alla data analytics per il rilevamento delle minacce, le organizzazioni si stanno rendendo conto di avere bisogno di una strategia e di un'infrastruttura complessive di gestione dei dati sulla sicurezza. Ciò comprende l'unione dei dati provenienti da tutto l'ambiente IT compresi log, flussi completi di dati in pacchetti e dati non strutturati prodotti da sistemi, database e applicazioni aziendali. I dati possono essere applicati oltre il rilevamento delle minacce e utilizzati per scopi come la gestione dei rischi aziendali, la conformità e il monitoraggio continuo dei controlli. DDCompetenze del personale chiave: interfaccia con IT e business, compresi enterprise data management architect. DDCompetenze dei processi chiave: mapping dei flussi di dati sulla sicurezza in tutto l'ambiente IT dell'organizzazione. DDCompetenze tecniche chiave: competenze IT chiave come storage architecture, architettura di elaborazione, schema database, normalizzazione e gestione dei colli di bottiglia delle reti. 3. Consulenza sui rischi Il team core agisce da centro di consulenza fornendo consigli all'azienda in merito alla gestione dei rischi per gli asset informatici, compresi quelli legati a sicurezza, privacy, questioni legali, conformità normativa e ediscovery. Il team core deve conoscere in modo puntuale i processi aziendali. Deve saper collaborare con gli interessati per valutare i rischi, misurare il valore degli asset, determinare le strategie di contenimento del rischio e accertarsi che le discussioni sui rischi abbiano luogo all'avvio dei progetti. Un set di rischi in continua crescita nasce da terze parti esterni. Le strategie di global sourcing e cloud computing stanno portando le organizzazioni a incrementare ulteriormente l'utilizzo di service provider esternalizzati e ad associarsi a nuovi business partner e fornitori. È essenziale disporre delle conoscenze necessarie per eseguire la "due diligence" di terze parti in modo efficace ed efficiente, gli assessment continui e l'analisi di hardware e software. "L'esperienza core del team della sicurezza dovrebbe essere principalmente concentrata sul fornire consulenza, assicurare orientamento, stimolare la strategia, identificare e illustrare i rischi per il business, comprendere le minacce e fare avanzare l'organizzazione, senza essere gravati dalle attività operative delle routine quotidiane". Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti DDCompetenze del personale chiave: leadership, networking interno per conoscere le strategie aziendali, comunicazione (ascolto, articolazione verbale, gestione conversazioni difficili, sensibilità a sfumature di carattere culturale e organizzativo). DDCompetenze dei processi chiave: mapping e documentazione dei processi aziendali, framework di gestione dei rischi, protocolli per assessment dei rischi di terze parti e garanzia dei controlli (compresi assessment condivisi), gestione dei service provider esternalizzati e community di supply chain. DDCompetenze tecniche chiave: valutazione dei rischi, misurazione di rischi diversi e della propensione al rischio in un'organizzazione con un metodo standardizzato, automazione delle attività di gestione dei rischi e di assessment dei vendor, monitoraggio continuo dei controlli. 4. Controls Design and Assurance Una delle aree di maggior interesse per il team core potrebbe essere la progettazione di controlli innovativi allineati agli obiettivi aziendali e l'elaborazione di tecniche di verifica avanzate per l'assicurazione dei controlli. Questo lavoro prevede ricerca/sviluppo e valutazione/implementazione di nuove tecnologie di sicurezza. Gli analisti dei controlli devono progettare la raccolta di dati non solo per accertarsi che i controlli siano in funzione come previsto, ma anche per garantire che siano i migliori per difendersi contro le minacce più recenti e per garantire l'agilità del business. DDCompetenze del personale chiave: tradurre i requisiti aziendali e di conformità in requisiti di sicurezza, mettendoli in relazione con l'architettura aziendale. DDCompetenze dei processi chiave: documentare il framework dei controlli dell'organizzazione, sviluppare protocolli per l'assessment e la convalida dei controlli. DDCompetenze tecniche chiave: architettura della sicurezza, sicurezza delle applicazioni, sicurezza mobile, sicurezza del cloud, monitoraggio continuo dei controlli, test e analisi avanzati dei controlli di sicurezza. 2. Delegare le operazioni di routine I team di sicurezza tradizionali si sentono più a loro agio se si occupano personalmente di ogni mansione. Questo atteggiamento però deve cambiare. Delegare le operazioni di sicurezza di routine ad altri gruppi interni o a service provider esterni consente al team core di concentrarsi su attività più proattive e strategiche, ottimizzando la propria competenza tecnica e le capacità di gestione dei rischi aziendali. Inoltre, attraverso scalabilità e specializzazione, i service provider adatti consentono non solo di ridurre i costi ma anche di incrementare la qualità. I processi ripetibili e consolidati sono i migliori da delegare. Alcuni esempi sono l'assegnazione della gestione di firewall, autenticazione, sistemi di prevenzione delle intrusioni e/o software antivirus a gruppi del reparto IT o a provider di servizi di sicurezza gestiti. È possibile assegnare la gestione dell'accesso utente a livello di applicazione e l'amministrazione degli utenti alle business unit; formare sviluppatori nella sicurezza delle applicazioni e fornire loro gli strumenti necessari per individuare le vulnerabilità; valutare la possibilità di utilizzare soluzioni Security-as-a-Service per scansioni e verifiche. Poiché il team core distribuisce le attività, dovrà anche garantirsi un livello adeguato di comando e controllo attraverso requisiti, standard e Service Level Agreement completi. Il team core deve anche disporre di competenze tecniche sufficienti in ambito di sicurezza, oltre ad abilità nella gestione dei vendor, per assicurare una supervisione efficace. Le organizzazioni che nutrono dubbi sull'esternalizzazione della sicurezza a terze parti esterne possono spesso conseguire gli stessi obiettivi "esternalizzando" a gruppi IT interni; è richiesto comunque lo stesso livello di supervisione a prescindere dal tipo di service provider. Nel corso del tempo, il team core deve continuare a valutare cosa potrebbe essere eseguito in modo più efficace o efficiente da altri. Ad esempio, il team core può inizialmente gestire l'implementazione e il funzionamento di una nuova tecnologia di sicurezza ma, una volta standardizzata, può delegare la gestione delle operazioni in corso. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 3. Richiedere esperti in prestito o assumerli a tempo determinato Una delle maggiori problematiche è la mancanza all'interno del team core delle competenze richieste in aree specializzate. Esperti provenienti dall'esterno rispetto al reparto di sicurezza possono colmare questa lacuna. Ad esempio, alcuni team addetti alla sicurezza stanno assumendo personale di data analytics dai service provider o da altre sezioni dell'organizzazione come ufficio frodi o marketing. I Big Data possono essere una novità per la sicurezza, ma altre aree dell'azienda hanno adottato le tecniche di analisi dei dati già da anni. Quando non è praticabile o semplicemente troppo costoso disporre di determinati esperti nel proprio team a tempo pieno, come specialisti in indagini sul malware o cyber threat intelligence analyst, le organizzazioni possono rivolgersi a service provider esterni su base continua. I team core possono avvalersi di talenti ulteriori per gestire un incremento improvviso dell'attività o come supporto quando dei membri lasciano il team. Dare vita a una partnership con un'azienda di consulenza in materia di sicurezza, capace di mettere a disposizione professionisti della sicurezza multisfaccettati di alto livello a cui si versa un onorario è un'altra valida possibilità. Possono arricchire le abilità del team core e offrire un punto di vista indipendente. Per risolvere problemi particolarmente complessi, è spesso utile coinvolgere esperti del settore come un Security Architect Consultant specializzato in una determinata tecnologia. È necessario tuttavia "Tradizionalmente, il team della sicurezza delle informazioni si concentrava maggiormente sulla tecnologia. Ma uno dei ruoli che sta acquisendo un'importanza crescente consiste nell'essere un punto di collegamento con il business, per portarne i requisiti nell'organizzazione della sicurezza e quindi trasferire al business il punto di vista della sicurezza". Se non dispongo di una competenza cruciale la creo o la compro. Bisogna sapere quando creare o quando comprare in base ai costi complessivi di gestione. Per alcune competenze, potrebbe essere più logico rivolgersi a un service provider". Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson ricordare che il team core ha comunque bisogno di conoscenze interne sufficienti da applicare alle competenze esternalizzate. 4. Guidare i Risk Owner nella gestione dei rischi In genere, i manager senior all'interno dell'azienda sono i veri responsabili delle decisioni di gestione dei rischi associate a iniziative come il lancio di un nuovo prodotto o servizio, a programmi come il BYOD, ad asset informativi come siti web lato clienti o a processi aziendali come la generazione di report finanziari. Poiché i dirigenti delle aziende riconoscono con maggiore frequenza la propria responsabilità nella gestione della sicurezza informatica, un numero crescente di organizzazioni predispone "responsabili dei rischi per la sicurezza delle informazioni" dedicati nelle business unit che si occupano di correzione dei rischi. Il ruolo del team core è guidare le attività di gestione dei rischi per le informazioni e collaborare con l'azienda nella gestione di rischi per la sicurezza informatica. Sono quindi inclusi il coordinamento di un approccio omogeneo a identificazione, assessment, contenimento, correzione e segnalazione dei rischi, la valutazione dei rischi rispetto ai vantaggi, la definizione dei livelli di propensione e accettazione dei rischi e l'integrazione del rischio informazioni nel programma complessivo di gestione dei rischi di livello enterprise. Il segreto per una buona riuscita sta nel semplificare la procedura per il business e nel rendere il business stesso responsabile della gestione dei rischi fornendo strumenti selfservice, assimilando la gestione dei rischi nei processi aziendali e implementando l'automazione. Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti 5. Assumere esperti nell'ottimizzazione dei processi La competenza nei processi è un aspetto essenziale in un team all'avanguardia. È importante dotare il team di persone che hanno accumulato esperienza nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi e che possono essere formate sulla sicurezza. Prendere quindi in considerazione l'assunzione di persone con credenziali in Six Sigma Process Improvement, IT Service Management (ITSM) di ITIL, COBIT IT Governance e/o Enterprise Architecture di TOGAF. Alcuni team core sono stati capaci di sfruttare esperti dei processi o professionisti nella gestione di programmi di altre aree dell'organizzazione, come il reparto qualità o l'ufficio programmi aziendali. Poter contare su competenze nei processi contribuisce a soddisfare le crescenti esigenze in termini di miglioramenti dei processi. Ad esempio, alla luce del panorama delle minacce, alcune organizzazioni preferirebbero che l'installazione di patch in tutti i sistemi critici avvenisse nell'arco di ore e non di settimane. Le business unit desiderano limitare l'impatto della sicurezza sui processi aziendali, riducendo al minimo il disagio per gli utenti finali e i tempi di inattività dei server. Gli enti normativi desiderano controlli più rigidi sull'accesso alle informazioni, come revoca dei diritti scaduti svolta in pochi minuti e non in giorni. E crescono le aspettative nei confronti del reparto di sicurezza chiamato a misurare la produttività degli investimenti nella sicurezza e a fornire Un'extended enterprise nel settore informatico deve individuare i propri service provider di importanza critica e stabilire con loro un solido rapporto di collaborazione. Impedite ai 'cattivi' di riuscire a nascondersi perché avete alzato lo standard di conformità a una buona prassi di sicurezza su tutto il vostro ecosistema". William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA "Esiste un fondamento essenziale per l'organizzazione della nostra sicurezza che dice che 'la formalità conta'. I nostri processi devono venire rigidamente documentati e rivisti. In che modo possiamo renderli più efficienti? Più efficaci? Abbiamo trascurato qualcosa? Servono persone con una solida formazione in ambito di processi e qualità se si desidera avere credibilità con i propri leader aziendali". Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation miglioramenti quantificabili nel tempo, tra cui ripetibilità dei processi, agilità e scalabilità. 6. Instaurare relazioni cruciali È importante che il team core stringa relazioni solide in tutta l'organizzazione al fine di raccogliere un numero crescente di persone addette alla sicurezza, creare un ambiente collaborativo e garantire che i membri del team allargato comprendano ed eseguano le proprie mansioni. Il team core deve raggiungere tutte le aree dell'azienda ed essere coinvolto a tutti i livelli. Deve conquistare una posizione ottimale per poter esercitare la propria influenza sulle persone che contano, come le persone che controllano gli investimenti tecnologici e che prendono decisioni aziendali strategiche. Una delle relazioni più importanti è quella con i soggetti che sono in possesso delle risorse più preziose dell'organizzazione, ad esempio i dataset e i processi aziendali con proprietà intellettuale o dati proprietari. Un'altra è con i membri del middle management; è possibile infatti fare grandi progressi se si conquista la fiducia dei dirigenti di livello intermedio. Anche i provider di esternalizzazione dei processi aziendali sono un obiettivo strategico. Il team core dovrebbe realizzare una solida rete di contatti per la sicurezza tra questi provider e lavorare con loro per garantire alti standard di sicurezza e condivisione delle informazioni all'interno dell'intera community. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 7. Pensare "out-of-the-box" per talenti futuri L'interesse per la sicurezza delle informazioni è in aumento, ma nel breve termine si assisterà a una carenza di professionisti con competenze in ambito di sicurezza informatica "pronta all'uso" e consulenza sui rischi. È particolarmente difficile trovare persone di talento con competenze specifiche nelle tecnologie per la sicurezza emergenti. Alcune organizzazioni nel frattempo hanno iniziato a rivolgersi ai MSSP a causa della difficoltà nel riuscire ad assumere e/o a conservare personale di talento dotato di particolari competenze tecniche. Per i team di sicurezza occorrono inoltre professionisti capaci di trascendere la competenza tecnica per poter discutere proficuamente di rischio aziendale con i principali interessati. È essenziale poter contare su una strategia di recruiting continua per costruire un team di sicurezza efficace. Altrettanto essenziale è la collaborazione con le business unit e le risorse umane, per valutare le esigenze e le possibili fonti di talenti. Sono sempre più numerose le organizzazioni che assumono personale privo di una formazione in ambito di sicurezza ma che possiede preziose competenze e che può essere addestrato nel campo della sicurezza. Uno degli approcci adottati consiste nel formare una "accademia di sicurezza informatica" interna. Un altro è fornire supporto ai singoli componenti del team, affinché seguano Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. corsi di formazione esterni e conseguano le relative certificazioni, e/o istituire programmi di mentoring. Oltre ai neolaureati, i nuovi assunti possono anche essere personale interno proveniente dal settore IT o da altre aree che potrebbero essere interessati a intraprendere una carriera nella sicurezza. Spesso sono la scelta migliore poiché hanno già una conoscenza approfondita dell'organizzazione e possono contare su una rete di contatti. Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Mantenere una mentalità aperta mentre si cerca personale da formare per i ruoli del settore della sicurezza è importantissimo. Esiste un'ampia gamma di preziosi ambiti di formazione tra cui amministrazione database, sviluppo software, analisi aziendale, intelligence militare o competenze legali e nel settore della privacy. Recentemente, alcuni team core hanno assunto Data Scientist con una formazione in sequenziamento del DNA. Il personale dotato di conoscenze teoriche in aree quali l'econometria o la matematica può incrementare le proprie capacità tecniche pratiche. Chi ha invece una formazione umanistica in storia o giornalismo può offrire eccellenti competenze investigative. Poiché conservare il personale è una sfida enorme quando si impartisce formazione per trasmettere competenze altamente ricercate, è importante presentare un "Quando si inseriscono nuove persone nella propria organizzazione, la diversità di pensiero è fondamentale. La sua importanza oggi è addirittura più cruciale che mai poiché il cambiamento che interessa il lato business sta superando in velocità le capacità della sicurezza e richiederà una riflessione innovativa per risolvere questi problemi". Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. percorso professionale immaginabile e interessante per i singoli componenti del team e garantire un compenso allineato ai valori di mercato. Molte organizzazioni hanno avviato progetti di collaborazione con le università per agevolare lo sviluppo di un pool di talenti in ambito di sicurezza. In tale ottica, la collaborazione può prevedere creare programmi di sviluppo di leadership, contribuire ad orientare i piani di studio affinché soddisfino le esigenze del settore e offrire opportunità di tirocinio/ stage. Programmi di solidarietà all'università e persino a livello di scuola secondaria possono contribuire a istruire la potenziale forza lavoro su una carriera nel settore della sicurezza informatica. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Conclusioni I team di sicurezza delle informazioni si stanno evolvendo per soddisfare le richieste di un ambiente di business, un panorama delle minacce e un regime normativo sempre più complessi. La consapevolezza dei problemi legati alla sicurezza rende possibile il cambiamento nella posizione della sicurezza delle informazioni, che si allontana dall'essere un archivio tecnico per diventare un'attività genuinamente collaborativa. Le organizzazioni stanno anche scoprendo che per soddisfare i requisiti di sicurezza occorre una maggiore attenzione al processo. Un efficace team di sicurezza oggi conosce profondamene i processi di business e l'importanza di validi processi di sicurezza per il conseguimento della sua finalità. Il prossimo report di questa serie in tre parti sulla trasformazione della sicurezza delle informazioni esplorerà ulteriormente il modo in cui le organizzazioni leader stanno rivalutando e ottimizzando i processi. Il terzo report illustrerà come le nuove tecnologie si inseriscono nel quadro complessivo di un programma moderno di sicurezza delle informazioni che si fonda su un team creativo e che guarda al futuro. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel Security for Business Innovation Council. Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 A Appendice Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni Grafico 2 La dirigenza e il consiglio di amministrazione supervisionano il programma. Componenti del team Sicurezza delle informazioni core IT Business Service provider ( usi comuni) Un'ampia gamma di specialisti. I singoli possono assumere più di un ruolo. Personale coinvolto in ruoli legati alla sicurezza strategica e operativa. Linee di business e aree funzionali (ad es. privacy, risorse umane, marketing, settore legale, audit, approvvigionamento). Consulenti con SME (subject matter expertise), MSSP (managed security service provider) e cloud vendor (SAAS) Possibile convergenza con ediscovery, sicurezza fisica e/o team di sicurezza dei prodotti. Attività Responsabilità specifiche Program Management CISO conduce il programma e presiede l'"information Risk Committee" interfunzionale. Il CIO prende parte all'"information Risk Committee". Alcuni dirigenti d'azienda partecipano all'"information Risk Committee". Security Policy e Standard Sviluppare policy e standard. Conferire su policy e standard. Conferire su policy e standard. Implementazione dei controlli Gestire e supervisionare l'implementazione dei controlli. Eseguire l'implementazione dei controlli in aree più complesse Implementare i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Facilitare l'implementazione dei controlli. I MSSP assicurano servizi di implementazione dei controlli che soddisfano il Service Level Agreement della sicurezza. Operazioni dei controlli Gestire e supervisionare le operazioni dei controlli. Eseguire controlli più nuovi e complessi. Eseguire i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Accertarsi che le operazioni del business soddisfino i requisiti di sicurezza dei controlli. I MSSP assicurano servizi di esecuzione dei controlli che soddisfano il Service Level Agreement della sicurezza. Controls Assurance Eseguire un assessment dei controlli e sviluppare strumenti avanzati per il collaudo e l'analisi dei controlli. Implementare il monitoraggio continuo dei controlli. I provider di servizi di sicurezza gestiti garantiscono i servizi, come analisi del codice sorgente e scansione della vulnerabilità. Controls Design (Security Architecture) Dare impulso alla progettazione di nuovi controlli di sicurezza. Lavorare con l'architettura IT aziendale. Conferire sulla progettazione di nuovi controlli di sicurezza. Conferire sulla progettazione di nuovi controlli di sicurezza. Incident Response/ Resiliency Gestire e coordinare la risposta interaziendale. Lavorare sugli aspetti tecnici della risposta. Lavorare sugli aspetti legali, delle pubbliche relazioni e delle risorse umane della risposta. I consulenti competenti in materia forniscono indagini e analisi del malware. 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 Information Risk Assessment Gestire il programma di assessment dei rischi. Eseguire assessment dei rischi in casi più complessi. Fornire gli strumenti per facilitare gli assessment del rischio. Eseguire l'assessment del rischio con strumenti forniti dal team core. Eseguire l'assessment del rischio con strumenti forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità. La tendenza emergente sono gli assessment dei rischi eseguiti da service provider che soddisfano il Service Level Agreement della sicurezza. Information Risk Management/ Business Risk versus Reward Analysis Dare impulso alle attività di gestione dei rischi. Relazionarsi con l'it e il business. Conferire sulla gestione dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Fornire gli strumenti per facilitare la gestione dei rischi. Third- Party Risk Management/ IT Supply Chain Integrity Dare impulso alla gestione dei rischi di terze parti e al programma di integrità della supply chain. Sviluppare standard e fornire strumenti per assessment di terze parti e la valutazione di hardware e software. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. Eseguire la valutazione di hardware e software servendosi di strumenti forniti dal team core. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. L'approvvigionamento incorpora gli assessment della sicurezza nel processo di approvvigionamento stesso. I consulenti competenti in materia eseguono la "due diligence" e gli assessment di terze parti servendosi di standard forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità e per la stesura dei contratti. Inventario e valutazione degli asset Dare impulso allo sviluppo del registro. Relazionarsi con il team core per elencare e valutare gli asset. Relazionarsi con il team core per elencare e valutare gli asset. Cyber Risk Intelligence e Threat Analysis Gestire il programma di intelligence. Coordinare le fonti. Condividere i dati di intelligence come le di phishing. Condividere i dati di intelligence come il monitoraggio dei social media. I consulenti competenti in materia assicurano l'analisi delle fonti e delle minacce. Security Data Analytics Dare impulso allo sviluppo di query e modelli. Richiedere consulenza e/o fornire servizi di data analytics. Richiedere consulenza e/o fornire servizi di data analytics. Gli SME e/o MSSP garantiscono servizi di data analytics. Security Data Management e Data Warehousing Dare impulso alla strategia di sicurezza della gestione dei dati e progettare il data warehouse di sicurezza. Dare impulso alla strategia complessiva di gestione dei dati dell'organizzazione. Conferire sulla strategia di sicurezza e su origini dei dati come i registri di rete. Conferire sulle origini dei dati come registri di applicazioni e database. Gli SME forniscono feed sulle minacce. Gli MSSP ricevono dati dai registri dei sistemi di sicurezza. Security Process Optimization Dare impulso all'ottimizzazione dei processi di sicurezza su tutta l'organizzazione. Conferire e facilitare l'implementazione dei miglioramenti. Conferire e facilitare l'implementazione dei miglioramenti. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Collaborare su tendenze future e strategie proattive. Collaborare su tendenze future e strategie proattive. RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Autori report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani CISSP Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security and Privacy Officer, Intel Kenneth Haertling Vice President e Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President e Chief Security Officer, EMC Corporation Tim MCKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Per consultare le biografie complete dei membri SBIC, visitare 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council Report 17

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi?

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? SOLUTION BRIEF CA Business Service Insight for Service Level Management come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? agility made possible Automatizzando la gestione dei

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6 Pag. 1 di 6 L Informedica è una giovane società fondata nel 2004 che opera nel settore dell'information Technology per il settore medicale. Negli ultimi anni attraverso il continuo monitoraggio delle tecnologie

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Consulenza, servizi su misura e tecnologia a supporto del business.

Consulenza, servizi su misura e tecnologia a supporto del business. Consulenza, servizi su misura e tecnologia a supporto del business. ACCREDITED PARTNER 2014 Consulenza, servizi su misura e tecnologia a supporto del business. Gariboldi Alberto Group Srl è una realtà

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance CUSTOMER SUCCESS STORY Febbraio 2014 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance PROFILO DEL CLIENTE Settore: servizi IT Società: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI COACHING LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI I N D I C E 1 [CHE COSA E IL COACHING] 2 [UN OPPORTUNITA DI CRESCITA PER L AZIENDA] 3 [ COME SI SVOLGE UN INTERVENTO DI COACHING ]

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

CA Clarity PPM. Panoramica. Vantaggi. agility made possible

CA Clarity PPM. Panoramica. Vantaggi. agility made possible SCHEDA PRODOTTO CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) supporta l'innovazione con agilità, trasforma il portafoglio con fiducia e sostiene il giusto

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni: copertina pg. 1 immagine pg. 2 Easytech è un gruppo di giovani professionisti uniti da un obiettivo comune: proporre le migliori soluzioni per rendere le imprese leggere e pronte a sostenere la competizione

Dettagli

La tecnologia cloud computing a supporto della gestione delle risorse umane

La tecnologia cloud computing a supporto della gestione delle risorse umane La tecnologia cloud computing a supporto della gestione delle risorse umane L importanza delle risorse umane per il successo delle strategie aziendali Il mondo delle imprese in questi ultimi anni sta rivolgendo

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

HR Primo Business Partner Aziendale

HR Primo Business Partner Aziendale HR Primo Business Partner Aziendale di Luca Battistini Direttore HR Phone & Go Spa; Presidente della web community Fior di Risorse Le persone al centro. H1 Hrms sistema integrato di gestione del personale

Dettagli

Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Sandro Tassoni Oracle Support Director Maggio 2011 Agenda Panoramica Strategia Portafoglio ACS per Cloud

Dettagli

Symantec Insight e SONAR

Symantec Insight e SONAR Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

PROFILO AZIENDALE NET STUDIO 2015

PROFILO AZIENDALE NET STUDIO 2015 PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,

Dettagli

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

DISPORRE DEL CAPITALE UMANO ADEGUATO PER COGLIERE GLI OBIETTIVI DELL AZIENDA

DISPORRE DEL CAPITALE UMANO ADEGUATO PER COGLIERE GLI OBIETTIVI DELL AZIENDA DISPORRE DEL CAPITALE UMANO ADEGUATO PER COGLIERE GLI OBIETTIVI DELL AZIENDA LA FORMAZIONE MANAGERIALE 1. [ GLI OBIETTIVI ] PERCHÉ PROGETTARE E REALIZZARE PERCORSI DI CRESCITA MANAGERIALE E PROFESSIONALE?

Dettagli

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio Allegato 1 REVISIONE DEL SISTEMA DI VALUTAZIONE DEL COMPARTO Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio SINTESI DEI COMPORTAMENTI ORGANIZZATIVI

Dettagli

SERVER E VIRTUALIZZAZIONE. Windows Server 2012. Guida alle edizioni

SERVER E VIRTUALIZZAZIONE. Windows Server 2012. Guida alle edizioni SERVER E VIRTUALIZZAZIONE Windows Server 2012 Guida alle edizioni 1 1 Informazioni sul copyright 2012 Microsoft Corporation. Tutti i diritti sono riservati. Il presente documento viene fornito così come

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

METODOLOGIA DELL ASSESSMENT

METODOLOGIA DELL ASSESSMENT METODOLOGIA DELL ASSESSMENT Chi siamo HR RiPsi nasce come divisione specializzata di Studio RiPsi grazie alla collaborazione di Psicologi e Direttori del Personale che hanno maturato consolidata esperienza

Dettagli

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

QUESTIONARIO 3: MATURITA ORGANIZZATIVA QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager

Dettagli

Sicuritalia e la soluzione di SAP per la Field Force.

Sicuritalia e la soluzione di SAP per la Field Force. Sicuritalia S.p.A. Utilizzata con concessione dell autore. SAP Customer Success Story Sicurezza e servizi fiduciari Sicuritalia S.p.A Sicuritalia e la soluzione di SAP per la Field Force. Partner Nome

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

Mappatura della supply chain. Soluzioni Clienti

Mappatura della supply chain. Soluzioni Clienti Mappatura della supply chain Soluzioni Clienti Mappatura della supply chain State cercando di migliorare la gestione della supply chain della vostra organizzazione? Mappare i processi rappresenta una modalità

Dettagli

Il Piano di comunicazione

Il Piano di comunicazione Il Piano di comunicazione 23 lezione 11 novembre 2011 Cosa è un piano di comunicazione Il piano di comunicazione è uno strumento utilizzato da un organizzazione per programmare le proprie azioni di comunicazione

Dettagli

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

LA BANCA FORMAZIONE DEL TEAM PER L INNOVAZIONE ED IL CAMBIAMENTO. Programma di sviluppo continuo dell innovazione

LA BANCA FORMAZIONE DEL TEAM PER L INNOVAZIONE ED IL CAMBIAMENTO. Programma di sviluppo continuo dell innovazione LA BANCA FORMAZIONE DEL TEAM PER L INNOVAZIONE ED IL CAMBIAMENTO Programma di sviluppo continuo dell innovazione LA REALTÀ CORRENTE INNOVATION & CHANGE OGGI IL CLIMA GENERALE È CARATTERIZZATO DA CONTINUI

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

MANDATO DI AUDIT DI GRUPPO

MANDATO DI AUDIT DI GRUPPO MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte

Dettagli

...competenza ASSISTENZA TECNICA SISTEMISTICA

...competenza ASSISTENZA TECNICA SISTEMISTICA Sinapsi è... MISSION Ci occupiamo di servizi sistemistici avanzati. Forniamo consulenza e assistenza tecnica su sistemi informatici evoluti. Ci rivolgiamo ad Imprese e Pubbliche Amministrazioni. La qualità

Dettagli

Chi siamo. vettori energetici (elettrico, termico ed energia prodotta da fonti tradizionali e rinnovabili) presenti nelle aziende pubbliche e private.

Chi siamo. vettori energetici (elettrico, termico ed energia prodotta da fonti tradizionali e rinnovabili) presenti nelle aziende pubbliche e private. Chi siamo Nata nel 1999, Energy Consulting si è affermata sul territorio nazionale fra i protagonisti della consulenza strategica integrata nel settore delle energie con servizi di Strategic Energy Management

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

fornitore globale per la GDO

fornitore globale per la GDO fornitore globale per la GDO evision srl è specializzata in soluzioni software per le aziende della Grande Distribuzione (alimentare e non), per le piattaforme ortofrutticole e per le aziende manifatturiere.

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations CUSTOMER SUCCESS STORY LUGLIO 2015 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Agile Operations PROFILO DEL CLIENTE Settore: servizi IT Azienda: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

AT&S Aumenta l Efficienza e l Agilità del Business Tramite il Miglioramento della Gestione IT

AT&S Aumenta l Efficienza e l Agilità del Business Tramite il Miglioramento della Gestione IT CUSTOMER SUCCESS STORY Ottobre 2013 AT&S Aumenta l Efficienza e l Agilità del Business Tramite il Miglioramento della Gestione IT PROFILO DEL CLIENTE Settore: Manifatturiero Azienda: AT&S Dipendenti: 7500

Dettagli

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali Supply Intelligence Informazioni rapide e approfondite sui fornitori potenziali Ancora in alto mare? Le forniture, specialmente se effettuate a livello globale, possono rivelarsi un vero e proprio viaggio

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

L AZIENDA Competenza e qualità per la soddisfazione del cliente

L AZIENDA Competenza e qualità per la soddisfazione del cliente coordina le tue risorse umane L AZIENDA Competenza e qualità per la soddisfazione del cliente Soluzioni e servizi Gea è una società che opera nel settore dei servizi avanzati per le imprese e per gli enti

Dettagli

4 Implenia Development SA. 6 Implenia Impresa Generale SA. 10 Reuss Engineering SA. 12 Sostenibilità

4 Implenia Development SA. 6 Implenia Impresa Generale SA. 10 Reuss Engineering SA. 12 Sostenibilità Implenia Real Estate In qualità di fornitore globale di servizi, vi affianchiamo durante l intero ciclo di vita del vostro bene immobiliare. Con costanza e vicinanza al cliente. 2 4 Implenia Development

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

POLITICA DELLA QUALITA DELL AMBIENTE E DELLA SICUREZZA ALIMENTARE

POLITICA DELLA QUALITA DELL AMBIENTE E DELLA SICUREZZA ALIMENTARE POLITICA DELLA QUALITA DELL AMBIENTE E DELLA SICUREZZA ALIMENTARE 1. SCOPO E CAMPO DI APPLICAZIONE Questo documento descrive le responsabilità della Direzione. Responsabilità che si esplicano nel comunicare

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

NUMERO 1O l esperienza migliora il business

NUMERO 1O l esperienza migliora il business NUMERO 1O l esperienza migliora il business Dal 1986 al vostro fianco NUMERO 1O, a più di vent anni dalla sua nascita, rappresenta il polo di riferimento nell esperienza informatica legata al business.

Dettagli

Your business to the next level

Your business to the next level Your business to the next level 1 2 Your business to the next level Soluzioni B2B per le costruzioni e il Real Estate New way of working 3 01 02 03 04 BIM Cloud Multi-Platform SaaS La rivoluzione digitale

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 12

MANUALE DELLA QUALITÀ Pag. 1 di 12 MANUALE DELLA QUALITÀ Pag. 1 di 12 INDICE RESPONSABILITÀ DELLA DIREZIONE Impegno della Direzione Attenzione focalizzata al cliente Politica della Qualità Obiettivi della Qualità Soddisfazione del cliente

Dettagli

La Gestione delle Risorse Umane nello Studio Professionale. Dott. Simone Cavestro Sinthema Professionisti Associati

La Gestione delle Risorse Umane nello Studio Professionale. Dott. Simone Cavestro Sinthema Professionisti Associati La Gestione delle Risorse Umane nello Studio Professionale Dott. Simone Cavestro La Sfida attuale In uno scenario in continua evoluzione, dove si sviluppano con velocità crescente Organizzazione Tecnologie

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che

Dettagli

TU METTI LE IDEE.. NOI LE SOLUZIONI!!

TU METTI LE IDEE.. NOI LE SOLUZIONI!! TU METTI LE IDEE.. NOI LE SOLUZIONI!! MISSION La mission di CSR Solution è quella di supportare soluzioni software avanzate nei settori della progettazione e della produzione industriale per le aziende

Dettagli

Indagine sull HR Transformation nelle Banche Italiane

Indagine sull HR Transformation nelle Banche Italiane Indagine sull HR Transformation nelle Banche Italiane integrazione con il business e le strategie eccellenza dei servizi hr HR Transformation efficienza e le tecnologie sourcing Premessa La profonda complessità

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Analisi e gestione dei rischi. in TBS Group

Analisi e gestione dei rischi. in TBS Group 18 ottobre 2012 Analisi e gestione dei rischi in TBS Group Avv. Aldo Cappuccio (presidente del Comitato di Controllo Interno) 1 TBS Group S.p.A. TBS Group S.p.A. nasce e si sviluppa, agli inizi degli anni

Dettagli

METODO_ SOLUZIONI_ DIALOGO_ MANAGEMENT_ COMPETENZE_ ASSISTENZA_ SERVIZI_ MISSION_ TECNOLOGIE_

METODO_ SOLUZIONI_ DIALOGO_ MANAGEMENT_ COMPETENZE_ ASSISTENZA_ SERVIZI_ MISSION_ TECNOLOGIE_ DIALOGO_ METODO_ SOLUZIONI_ COMPETENZE_ MISSION_ TECNOLOGIE_ ASSISTENZA_ MANAGEMENT_ SERVIZI_ GEWIN La combinazione di professionalità e know how tecnologico per la gestione aziendale_ L efficienza per

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

STATISTICA e STATISTICO

STATISTICA e STATISTICO STATISTICA e STATISTICO Aggiornato il 17 dicembre 2009 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Che cosa deve essere in grado di

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001

Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Energy Data Management System (EDMS): la soluzione software per una gestione efficiente dell energia secondo lo standard ISO 50001 Oggi più che mai, le aziende italiane sentono la necessità di raccogliere,

Dettagli

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010 Domande frequenti per i partner www.novell.it WorkloadIQ Domande frequenti 17 agosto 2010 C h e c o s ' è i l m e r c a t o d e l l ' I n t e l l i g e n t W o r k l o a d M a n a g e m e n t? Il mercato

Dettagli

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Caso di successo del cliente TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Profilo del cliente Settore: telecomunicazioni Società: TelstraClear Il business

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N.

REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N. REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N. 81/2008 Il Consiglio di Amministrazione della Società ha approvato le

Dettagli

Il Segretariato Sociale: uno strumento in via di estinzione? di Silvia Clementi*

Il Segretariato Sociale: uno strumento in via di estinzione? di Silvia Clementi* Il Segretariato Sociale: uno strumento in via di estinzione? di Silvia Clementi* Il segretariato sociale ha una storia e una tradizione che hanno accompagnato la professione dalla sua nascita, e pertanto

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

Gestione Crediti. verso. PA e SSN

Gestione Crediti. verso. PA e SSN Gestione Crediti verso PA e SSN Credit Management Sei ottimi motivi per terziarizzare la gestione dei crediti 6 Per concentrarsi sul core business 1 Per alleggerire i costi fissi 5 Per massimizzare il

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

BUSINESSOBJECTS EDGE STANDARD

BUSINESSOBJECTS EDGE STANDARD PRODOTTI BUSINESSOBJECTS EDGE STANDARD La business intelligence consente di: Conoscere meglio le attività Scoprire nuove opportunità. Individuare e risolvere tempestivamente problematiche importanti. Avvalersi

Dettagli

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009

Annuncio software IBM per Europa, Medio Oriente e Africa ZP09-0108, 5 maggio 2009 ZP09-0108, 5 maggio 2009 I prodotti aggiuntivi IBM Tivoli Storage Manager 6.1 offrono una protezione dei dati e una gestione dello spazio migliorate per ambienti Microsoft Windows Indice 1 In sintesi 2

Dettagli

la trasformazione dell'information security Processi a prova di futuro

la trasformazione dell'information security Processi a prova di futuro ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland,

Dettagli

Facciamo emergere i vostri valori.

Facciamo emergere i vostri valori. Facciamo emergere i vostri valori. www.arnerbank.ch BANCA ARNER SA Piazza Manzoni 8 6901 Lugano Switzerland P. +41 (0)91 912 62 22 F. +41 (0)91 912 61 20 www.arnerbank.ch Indice Banca: gli obiettivi Clienti:

Dettagli

Utilizzare la soluzione giusta, semplicemente.

Utilizzare la soluzione giusta, semplicemente. Grandi Aziende Utilizzare la soluzione giusta, semplicemente. Nuove prospettive per la vostra azienda. Sempre in buona compagnia con la nostra gamma di servizi. Consulting Benvenuti al «think tank»! Qui

Dettagli

LAUREA SPECIALISTICA IN SCIENZE, TECNOLOGIE E GESTIONE DEL SISTEMA AGRO-ALIMENTARE

LAUREA SPECIALISTICA IN SCIENZE, TECNOLOGIE E GESTIONE DEL SISTEMA AGRO-ALIMENTARE LAUREA SPECIALISTICA IN SCIENZE, TECNOLOGIE E GESTIONE DEL SISTEMA AGRO-ALIMENTARE Classe 78/S - Scienze e Tecnologie agroalimentari Coordinatore: prof. Marco Gobbetti Tel. 0805442949; e-mail: gobbetti@ateneo.uniba.it

Dettagli

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER

LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER LE COMPETENZE DI FUNDRAISING (CF) INSEGNATE AL MASTER Indice INTRODUZIONE... 3 CF1 - SVILUPPARE IL CASO PER IL FUNDRAISING... 4 CF 1.1 : INDIVIDUARE LE NECESSITÀ DI FUNDRAISING DI UN ORGANIZZAZIONE NONPROFIT;...

Dettagli

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration COSA FACCIAMO SEMPLIFICHIAMO I PROCESSI DEL TUO BUSINESS CON SOLUZIONI SU MISURA EXTRA supporta lo sviluppo

Dettagli

Infor Ming.le Social Business

Infor Ming.le Social Business TM Social Business 1 Nuove modalità per risolvere vecchi problemi Una singola piattaforma per social collaboration e business process management I mezzi che utilizziamo per comunicare non sono perfetti.

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

DELL e Project Milano

DELL e Project Milano DELL e Project Milano Premessa DELL non ha bisogno di presentazioni, è un marchio che in 30 anni di attività nella produzione di sistemi informatici, si è imposto a livello mondiale. Solo recentemente

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

MODA E LUSSO NELL ERA DELLA TECNOLOGIA TRA BIG DATA E SHOPPING EXPERIENCE

MODA E LUSSO NELL ERA DELLA TECNOLOGIA TRA BIG DATA E SHOPPING EXPERIENCE MODA E LUSSO NELL ERA DELLA TECNOLOGIA TRA BIG DATA E SHOPPING EXPERIENCE AS HIO N LUXURY Internet e customer engagement omnichannel stanno trasformando le strategie dei grandi brand del mercato Fashion

Dettagli