Security for Business Innovation Council

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security for Business Innovation Council"

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Progettazione di un team allargato all'avanguardia T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Consigli dei dirigenti Global 1000 In questo report Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer La missione in evoluzione della sicurezza delle informazioni Nuove competenze richieste Opportunità di collaborazione emergenti Informazioni approfondite su ottimizzazione nell'uso delle risorse Suggerimenti attuabili Mappa di "responsabili e mansioni" su un team allargato Iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione team in transizione 2 2. Il nuovo SOW 3 Grafico 1 - L'attuale missione della sicurezza delle informazioni>>>>>>4 3. Sfide e opportunità 6 4. Suggerimenti 7 1. Ridefinire e potenziare le competenze chiave>>>>>>>>>>>>>>>>>>7 2. Delegare le operazioni di routine>>>>>>>>>>>>>>>>>>>>>>>>>>>9 3. Richiedere esperti in prestito o assumerli a tempo determinato>>> Guidare i proprietari dei rischi nella gestione dei rischi>>>>>>>>> Assumere esperti nell'ottimizzazione dei processi>>>>>>>>>>>>> Instaurare relazioni cruciali>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Pensare out-of-the-box per talenti futuri>>>>>>>>>>>>>>>>>>>> 12 Conclusioni 13 Informazioni su Security for Business Innovation Council 13 appendice Grafico 2 - Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Autori 16 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report Che cosa serve oggi per gestire i rischi legati agli asset informatici in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. La missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere attività tecniche e businesscentric avanzate come: analisi dei rischi aziendali, valutazione degli asset, integrità della supply chain IT, cyber intelligence, security data analytics, data warehousing e ottimizzazione dei processi. Sono talmente tante le nuove competenze richieste che la vera sfida nel realizzare un team efficace è data dalla carenza di professionisti con le giuste competenze. Emerge quindi una nuova opportunità: in molte organizzazioni il personale non addetto alla sicurezza si sta rendendo conto di essere esso stesso, e non gli addetti alla sicurezza, responsabile dei rischi dei propri asset informativi, e comprende l'esigenza di stringere collaborazioni attive con la sicurezza per la gestione di questi rischi. Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato comprende il personale del reparto IT, delle business unit e di uffici come approvvigionamento, legale e marketing. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Sette suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia per gestire in modo efficace i rischi alla sicurezza informatica e ottimizzare l'uso delle risorse umane a disposizione e per garantire che il team disponga delle nuove competenze richieste. 1. Ridefinire e potenziare le competenze core - Concentrare il team core sull'incremento delle abilità in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. 2. Delegare le operazioni di routine - Assegnare processi di sicurezza ripetibili e consolidati a IT, business unit e/o service provider esterni. 3. Richiedere esperti in prestito o assunti a tempo determinato - In caso di specializzazioni particolari, estendere il team core con esperti provenienti sia dall'interno che dall'esterno dell'organizzazione. 4. Guidare i Risk Owner nella gestione dei rischi - Collaborare con l'azienda per la gestione dei rischi alla sicurezza informatica e coordinare un approccio omogeneo. Semplificare la procedura per l'azienda e renderli responsabili delle loro scelte. 5. Assumere esperti nell'ottimizzazione dei processi - Dotare il team di persone con esperienza e/o certificazioni nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi. 6. Instaurare relazioni cruciali - Conquistare una posizione adeguata per avere un impatto sulle persone chiave come gli owner dei "gioielli della corona", il middle management e i service provider esternalizzati. 7. Pensare "out-of-the-box" per talenti futuri - Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Una formazione utile può includere amministrazione di database, sviluppo software, analisi aziendale, intelligence militare, competenze in ambito legale o di privacy, data science, matematica o storia. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: team in transizione S e qualche anno fa foste entrati in un reparto di sicurezza delle informazioni, avreste probabilmente incontrato un team con competenze esclusivamente tecniche. Avreste sentito parlare di tecniche di protezione del perimetro, liste di controllo di conformità e aggiornamenti antivirus. Se varcaste ora quella stessa soglia, vi trovereste di fronte un'immagine completamente diversa. I team si stanno evolvendo in gruppi multidisciplinari che comprendono analisti delle minacce, consulenti sui rischi, Data Scientist ed esperti dei processi. Le discussioni si stanno spostando su argomenti come gestione dei rischi aziendali, analisi dei dati, assicurazione dei controlli e governance dei service provider. Organizzazioni diverse si trovano in fasi diverse del processo di trasformazione, anche se la maggior parte ha riconosciuto l'esigenza di adottare nuovi approcci alla sicurezza delle informazioni. Da un sondaggio recente sulla sicurezza è addirittura emerso che la seconda priorità di spesa in ordine di importanza per le enterprise globali è la riprogettazione fondamentale dei programmi di sicurezza delle informazioni. 1 Aggiungere semplicemente soluzioni mirate o lavorare su miglioramenti incrementali non è più sufficiente. Ma in cosa consiste esattamente un programma di sicurezza delle informazioni efficace e che guarda al futuro? Questo report è il primo di una serie sulla trasformazione dei programmi sulla sicurezza delle informazioni aziendali che si propone di rispondere a questa domanda, partendo dall'esperienza e dalla visione di alcuni dei responsabili della sicurezza delle informazioni più importanti al mondo facenti parte del Security for Business Innovation Council (SBIC). Questo primo report descrive le nuove competenze essenziali e illustra come le responsabilità della sicurezza delle informazioni vengono distribuite su tutta l'azienda. Fornisce consigli specifici e attuabili per la progettazione di un team allargato all'avanguardia. 1 E&Y Global Information Security Survey, novembre Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Il nuovo SOW L a missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere un gruppo di attività più ampio. Per realizzare un team ottimizzato con le persone migliori per il job è fondamentale comprendere l'ambito del lavoro. Che cosa serve oggi per gestire i rischi legati agli asset informativi in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. Le organizzazioni sono oggi sottoposte a una forte pressione per ottenere un atteggiamento proattivo ai rischi della sicurezza informatica. Per attuare questo cambiamento, è necessario adottare nuovi approcci nella difesa contro le minacce avanzate, integrando la sicurezza delle informazioni nelle strategie tecnologiche e di business e garantendo efficacia ed efficienza dei processi di sicurezza. Sono ora indispensabili attività avanzate incentrare su tecnologia e business, come: DDInformation Risk Management/Business Risk versus Reward Analysis Per rendere sistematico il processo decisionale sulla base di rischio/ricompensa DDInventario e valutazione degli asset Per assegnare priorità alle strategie di protezione e concentrarsi sulla salvaguardia degli asset più preziosi DDGestione dei rischi di terze parti/integrità della supply chain IT Per valutare il crescente numero di service provider e componenti di sistema reperiti a livello globale DDCyber Risk Intelligence e Threat Analysis Per comprendere il panorama conflittuale e riconoscere gli indicatori degli attacchi DDSecurity Data Analytics Per applicare tecniche di analisi avanzate nel rilevamento dei sistemi anomali o del comportamento degli utenti negli ambienti IT DDSecurity Data Management e Data Warehousing Per sviluppare una strategia e un'infrastruttura complessive per la raccolta di dati da diverse fonti da utilizzare per scopi vari come rilevamento minacce, monitoraggio controlli e conformità DDOttimizzazione dei processi di sicurezza Per formalizzare il miglioramento dell'efficienza dei processi di sicurezza DDControls Agility Per conseguire gli obiettivi per i controlli di sicurezza utilizzando metodi nuovi in risposta a tendenze come cloud e mobile computing Uno degli aspetti chiave nella strategia del team è la definizione della missione al fine di determinare "responsabili e mansioni". Il grafico 1 illustra la missione della sicurezza delle informazioni presso le più grandi organizzazioni di oggi ed elenca le attività dalle più convenzionali a quelle sempre più avanzate. Le organizzazioni dotate di un programma convergente potrebbero includere nella missione anche mansioni correlate come frode, ediscovery, privacy, qualità dei prodotti e/o sicurezza fisica. Questo report illustra i componenti della sicurezza delle informazioni, tenendo contro del coordinamento necessario con altre attività correlate. RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 Il nuovo SOW Grafico 1 l'attuale missione della sicurezza delle informazioni Le attività vengono elencate indicativamente dalle più convenzionali a quelle sempre più avanzate. Program Management Security Policy e Standard Implementazione dei controlli Determinare la strategia complessiva e il piano del programma di gestione della sicurezza delle informazioni. Controllare che il programma risponda alle esigenze aziendali più cruciali dell'organizzazione. Coordinarsi con le attività correlate come frode, ediscovery, sicurezza fisica, sicurezza dei prodotti e/o privacy. Sviluppare e documentare le direttive e le regole generali che indicano come proteggere le informazioni dell'organizzazione. Elaborare il set completo di controlli amministrativi, tecnici e fisici per la sicurezza delle informazioni applicati dall'organizzazione (ad es. framework dei controlli) compresi controlli di accesso, crittografia, identificazione e autenticazione, Configuration Management, monitoraggio, audit log, sicurezza delle applicazioni e formazione della consapevolezza (di personale e clienti). Prendere in considerazione i requisiti di varie leggi e normative (ad es. SOX, HIPAA, PCI). Verificare che in controlli siano agili e tenere traccia dei cambiamenti nel panorama del business e delle minacce. Implementare i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Operazioni dei controlli Controls Design (Security Architecture) Controls Oversight/ Assurance Mettere in funzione i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Sviluppare nuovi controlli o nuovi metodi per implementare i controlli in base ai cambiamenti nel panorama di business, IT e minacce. Include tecniche di sviluppo applicativo; definizione, implementazione, personalizzazione e/o sviluppo di nuove tecnologie di sicurezza e nuovi accordi e procedure per utente finale. Valutare tutti i controlli e garantire che siano conformi a policy e standard. Verificare che tutti i controlli siano presenti e che offrano le prestazioni previste. Verificare che tutti i controlli siano monitorati e attestati in modo omogeneo. Incident Response/ Resiliency Information Risk Assessment Information Risk Management/ Business Risk vs. Reward Analysis Coordinare e gestire la risposta dell'organizzazione agli incident di sicurezza, compresi business continuity/disaster recovery. Valutare i rischi di un programma, un processo, un progetto, un'iniziativa o un sistema in base a valore delle informazioni, data asset, minacce e vulnerabilità applicabili, probabilità di compromissione, impatto sull'organizzazione (ad es. reputazione, entrate, non conformità normativa) e perdite stimate. Stabilire la capacità del Risk Owner di assumersi i rischi e definire il livello di accettazione dei rischi autorizzato. In base all'assessment dei rischi per un particolare programma, processo, progetto, iniziativa o sistema, formulare la strategia di contenimento e risoluzione dei rischi. Attuare un processo omogeneo per valutare i rischi per la sicurezza delle informazioni rispetto alle ricompense per il business. Determinare i controlli richiesti per portare il rischio a un livello accettabile. Integrare il rischio informazioni con il framework/programma di gestione dei rischi enterprise. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 Il nuovo SOW Inventario e valutazione degli asset Delineare l'inventario completo di processi aziendali, dati sensibili e sistemi informatici utilizzati dall'organizzazione. Redigere una documentazione completa per processi aziendali e un mapping del flusso di dati al fine di comprendere i processi e i dati che devono essere protetti e formulare le strategie di protezione. Identificare gli utenti privilegiati in tutta l'extended enterprise che hanno accesso a sistemi critici. Determinare il valore degli asset per assegnare la priorità alle strategie di protezione. Third-Party Risk Management/ IT Supply Chain Integrity Accertarsi che venga eseguita una valutazione del rischio prima che l'organizzazione instauri una relazione con terzi. Sviluppare un processo di "due diligence" per valutare vendor, partner e fornitori. Valutare i rischi che caratterizzano i rapporti commerciali continuativi con vendor, partner e fornitori. Comprendere la supply chain relativa all'it e valutare la sicurezza di hardware e software utilizzati nell'ambiente IT di livello enterprise. Incrementare le efficienze per mezzo di assessment condivisi e di un monitoraggio continuo dei controlli. Cyber Risk Intelligence e Threat Analysis Comprendere il panorama conflittuale relativo agli asset aziendali (identità, capacità, motivazioni e destinazioni). Raccogliere dati di intelligence relativi alle minacce per l'organizzazione. Gestire le origini dei dati di intelligence, interpretare i dati, eseguire analisi e produrre report e alert di intelligence relativi alle minacce. Integrare creazione di modelli delle minacce e intelligence in un processo e ciclo di vita completo di gestione della sicurezza. Security Data Analytics Utilizzare tecniche di analisi avanzate e Data Science per analizzare i dati della sicurezza arricchiti da dati di intelligence. Sviluppare query, algoritmi e modelli di dati utilizzati per rilevare o prevedere attività malevole. Security Data Management e Data Warehousing Sviluppare una strategia e un'infrastruttura di gestione dei dati per aggregare e analizzare i dati sulla sicurezza provenienti da fonti diverse (sistemi di sicurezza, database, applicazioni, feed sulle minacce) con varie finalità (ad es. rilevamento delle minacce, gestione dei rischi e conformità aziendali, monitoraggio continuo dei controlli). Progettare un data warehouse per i dati sulla sicurezza. Security Process Optimization Tenere traccia e misurare in maniera uniforme l'efficienza dei processi di sicurezza e implementare i miglioramenti mediante metodologie formalizzate di gestione qualità, project management ed erogazione dei servizi. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Sviluppi tecnologici come l'"internet of Things" e l'informatica che si indossa, ad esempio, introducono nuove sfide per la sicurezza. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 3 Sfide e opportunità C reare un team efficace per la sicurezza delle informazioni pone una serie di sfide. Dave Martin Vice President e Chief Security Officer, EMC Corporation DDL'esperienza è scarsa ed è difficile trattenere i talenti Gli esperti in sicurezza e nei rischi aziendali sono molto ricercati DDIl budget è limitato DDI team di sicurezza lavorano già a pieno ritmo DDL'attenzione della sala riunioni richiede un certo acume aziendale Mentre la sicurezza delle informazioni diventa una componente di importanza maggiormente critica della strategia di business, gli addetti alla sicurezza devono contare su una conoscenza approfondita del business. La buona notizia è che stanno palesandosi alcune opportunità emergenti. DDLa consapevolezza è in espansione A ogni livello, dagli utenti finali alla leadership, la consapevolezza dei problemi di sicurezza è più alta che mai a causa dell'attenzione dei media, dell'esperienza effettiva con gli attacchi informatici o della pressione normativa. DDIl "business" sta assumendo la proprietà dei rischi In molte organizzazioni avviene un cambiamento di prospettiva in base al quale il personale non addetto alla sicurezza si sta rendendo conto di essere responsabile in prima persona dei rischi dei propri asset informativi e comprende l'esigenza di stringere collaborazioni attive con il settore della sicurezza per la gestione di questi rischi. DDAumentano i cachet dei professionisti della sicurezza Sono tempi d'oro per chi si occupa di sicurezza delle informazioni, poiché il settore si estende ora a nuovi ambiti come business risk analysis, cyber intelligence e Data Science. Tanto i notiziari quanto le rappresentazioni cinematografiche della difesa del ciberspazio non fanno che È sorprendente. Siamo passati da 'Voi addetti alla sicurezza ci siete di ostacolo, perché dobbiamo fare questa cosa?' alle business unit che utilizzano i nostri servizi centrali di consulenza per eseguire il roll out delle strategie di contenimento del rischio. Il fenomeno è inoltre in fase di accelerazione in quanto le business unit si rendono conto che devono gestire i propri rischi anziché affidarsi ad altri per risolvere i problemi o peggio nascondere la testa sotto la sabbia". incrementare l'interesse in questo ambito, contribuendo ad attirare nuovi talenti. DDLa gamma di service provider è in aumento Poiché il mercato risponde alle richieste in continuo aumento, è sempre più facile per le organizzazioni rivolgersi a service provider di sicurezza esterni per ridurre i costi, ottenere competenze specializzate, contribuire a completare una marea di attività e fornire assessment indipendenti. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 4 Suggerimenti Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato per la sicurezza delle informazioni deve includere le seguenti figure: DDPersonale addetto all'implementazione IT e alla gestione dei controlli di sicurezza. DDResponsabili dei rischi che nelle business unit rispondono ai problemi legati ai rischi. DDEsperti del settore acquisti che implementano i protocolli di assicurazione e assessment dei rischi dei vendor per la valutazione dei fornitori. DDUfficio privacy per la gestione delle normative. DDPersonale di marketing che monitora i social media alla ricerca di informazioni sulle possibili minacce. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Parte del personale addetto alle operazioni di sicurezza al di fuori del team core può essere di tipo a referente diretto o indiretto, mentre altri possono essere attivi in conformità agli standard di sicurezza o ai Service Level Agreement (SLA). Il grafico 2 dell'appendice illustra responsabili e relative mansioni in un team allargato, compresi sicurezza delle informazioni core, IT, business e service provider. I seguenti suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia in grado di gestire in modo efficace i rischi per la sicurezza delle informazioni e di ottimizzare l'uso delle risorse umane a disposizione. In base al livello di maturità raggiunto dall'organizzazione, queste indicazioni possono essere utili per avviare il processo, convalidare un approccio o velocizzare l'avanzamento in determinate aree. Ridefinire e potenziare le competenze chiave Delegare le operazioni di routine Richiedere esperti in prestito o assumerli a tempo determinato Guidare i Risk Owner nella gestione dei rischi Assumere esperti nell'ottimizzazione dei processi Instaurare relazioni cruciali Pensare "out-of-the-box" per talenti futuri 1. Ridefinire e potenziare le competenze chiave All'interno delle organizzazioni leader, i team core di sicurezza delle informazioni si dedicano attualmente a potenziare le competenze in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. In base alle dimensioni del team core e al livello di specializzazione, i singoli membri possono svolgere mansioni specifiche oppure occuparsi di più aree. Ogni area richiede un set di competenze chiave che spesso sono del tutto nuove per i membri del team. In futuro, il personale esistente dovrà sviluppare le competenze richieste per mezzo della formazione e/o il team core dovrà aggiungere nuovi membri o affidarsi a service provider. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti 1. Cyber Risk Intelligence e Security Data Analytics Alla luce del costante aumento delle minacce, migliorare il rilevamento delle minacce è di vitale importanza per la maggior parte delle organizzazioni di tutto il mondo; in particolare, è essenziale sviluppare un approccio di tipo "intelligence-driven" (leggere il report SBIC, "Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security"). Questo approccio prevede la raccolta e la fusione dei dati di intelligence informatica di origine interna (ad es. sensori nei sistemi IT e nelle applicazioni aziendali) e di origine esterna (ad es. feed sulle minacce di enti pubblici o commerciali) e l'uso di tecniche avanzate di data analytics per individuare gli indicatori degli attacchi e i pattern di comportamento anomalo. Il team core deve disporre delle capacità necessarie per arrivare a una consapevolezza della situazione in tutta l'organizzazione. Determinare le origini dei dati pertinenti ed eseguire analisi significative richiede una comprensione approfondita dell'ambiente di business effettivo, degli asset da proteggere e del panorama informatico conflittuale. I team di sicurezza stanno iniziando a orientarsi nella potenza delle tecnologie dei Big Data allo scopo non solo di individuare ma anche di prevenire gli attacchi. DDCompetenze del personale chiave: networking interno ed esterno per lo sviluppo di fonti di intelligence valide, comunicazione per lo sviluppo di report e la presentazione di relazioni sull'intelligence. DDCompetenze dei processi chiave: progettazione di un processo di intelligence end-to-end che prevede di ottenere e filtrare i dati, eseguire analisi, comunicare i risultati, prendere una decisione sui rischi e intraprendere azioni. DDCompetenze tecniche chiave: analisi (individuare collegamenti tra dati apparentemente non collegati), tecniche di data analytics e Data Science. 2. Security Data Management Nel loro tentativo di arrivare alla data analytics per il rilevamento delle minacce, le organizzazioni si stanno rendendo conto di avere bisogno di una strategia e di un'infrastruttura complessive di gestione dei dati sulla sicurezza. Ciò comprende l'unione dei dati provenienti da tutto l'ambiente IT compresi log, flussi completi di dati in pacchetti e dati non strutturati prodotti da sistemi, database e applicazioni aziendali. I dati possono essere applicati oltre il rilevamento delle minacce e utilizzati per scopi come la gestione dei rischi aziendali, la conformità e il monitoraggio continuo dei controlli. DDCompetenze del personale chiave: interfaccia con IT e business, compresi enterprise data management architect. DDCompetenze dei processi chiave: mapping dei flussi di dati sulla sicurezza in tutto l'ambiente IT dell'organizzazione. DDCompetenze tecniche chiave: competenze IT chiave come storage architecture, architettura di elaborazione, schema database, normalizzazione e gestione dei colli di bottiglia delle reti. 3. Consulenza sui rischi Il team core agisce da centro di consulenza fornendo consigli all'azienda in merito alla gestione dei rischi per gli asset informatici, compresi quelli legati a sicurezza, privacy, questioni legali, conformità normativa e ediscovery. Il team core deve conoscere in modo puntuale i processi aziendali. Deve saper collaborare con gli interessati per valutare i rischi, misurare il valore degli asset, determinare le strategie di contenimento del rischio e accertarsi che le discussioni sui rischi abbiano luogo all'avvio dei progetti. Un set di rischi in continua crescita nasce da terze parti esterni. Le strategie di global sourcing e cloud computing stanno portando le organizzazioni a incrementare ulteriormente l'utilizzo di service provider esternalizzati e ad associarsi a nuovi business partner e fornitori. È essenziale disporre delle conoscenze necessarie per eseguire la "due diligence" di terze parti in modo efficace ed efficiente, gli assessment continui e l'analisi di hardware e software. "L'esperienza core del team della sicurezza dovrebbe essere principalmente concentrata sul fornire consulenza, assicurare orientamento, stimolare la strategia, identificare e illustrare i rischi per il business, comprendere le minacce e fare avanzare l'organizzazione, senza essere gravati dalle attività operative delle routine quotidiane". Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti DDCompetenze del personale chiave: leadership, networking interno per conoscere le strategie aziendali, comunicazione (ascolto, articolazione verbale, gestione conversazioni difficili, sensibilità a sfumature di carattere culturale e organizzativo). DDCompetenze dei processi chiave: mapping e documentazione dei processi aziendali, framework di gestione dei rischi, protocolli per assessment dei rischi di terze parti e garanzia dei controlli (compresi assessment condivisi), gestione dei service provider esternalizzati e community di supply chain. DDCompetenze tecniche chiave: valutazione dei rischi, misurazione di rischi diversi e della propensione al rischio in un'organizzazione con un metodo standardizzato, automazione delle attività di gestione dei rischi e di assessment dei vendor, monitoraggio continuo dei controlli. 4. Controls Design and Assurance Una delle aree di maggior interesse per il team core potrebbe essere la progettazione di controlli innovativi allineati agli obiettivi aziendali e l'elaborazione di tecniche di verifica avanzate per l'assicurazione dei controlli. Questo lavoro prevede ricerca/sviluppo e valutazione/implementazione di nuove tecnologie di sicurezza. Gli analisti dei controlli devono progettare la raccolta di dati non solo per accertarsi che i controlli siano in funzione come previsto, ma anche per garantire che siano i migliori per difendersi contro le minacce più recenti e per garantire l'agilità del business. DDCompetenze del personale chiave: tradurre i requisiti aziendali e di conformità in requisiti di sicurezza, mettendoli in relazione con l'architettura aziendale. DDCompetenze dei processi chiave: documentare il framework dei controlli dell'organizzazione, sviluppare protocolli per l'assessment e la convalida dei controlli. DDCompetenze tecniche chiave: architettura della sicurezza, sicurezza delle applicazioni, sicurezza mobile, sicurezza del cloud, monitoraggio continuo dei controlli, test e analisi avanzati dei controlli di sicurezza. 2. Delegare le operazioni di routine I team di sicurezza tradizionali si sentono più a loro agio se si occupano personalmente di ogni mansione. Questo atteggiamento però deve cambiare. Delegare le operazioni di sicurezza di routine ad altri gruppi interni o a service provider esterni consente al team core di concentrarsi su attività più proattive e strategiche, ottimizzando la propria competenza tecnica e le capacità di gestione dei rischi aziendali. Inoltre, attraverso scalabilità e specializzazione, i service provider adatti consentono non solo di ridurre i costi ma anche di incrementare la qualità. I processi ripetibili e consolidati sono i migliori da delegare. Alcuni esempi sono l'assegnazione della gestione di firewall, autenticazione, sistemi di prevenzione delle intrusioni e/o software antivirus a gruppi del reparto IT o a provider di servizi di sicurezza gestiti. È possibile assegnare la gestione dell'accesso utente a livello di applicazione e l'amministrazione degli utenti alle business unit; formare sviluppatori nella sicurezza delle applicazioni e fornire loro gli strumenti necessari per individuare le vulnerabilità; valutare la possibilità di utilizzare soluzioni Security-as-a-Service per scansioni e verifiche. Poiché il team core distribuisce le attività, dovrà anche garantirsi un livello adeguato di comando e controllo attraverso requisiti, standard e Service Level Agreement completi. Il team core deve anche disporre di competenze tecniche sufficienti in ambito di sicurezza, oltre ad abilità nella gestione dei vendor, per assicurare una supervisione efficace. Le organizzazioni che nutrono dubbi sull'esternalizzazione della sicurezza a terze parti esterne possono spesso conseguire gli stessi obiettivi "esternalizzando" a gruppi IT interni; è richiesto comunque lo stesso livello di supervisione a prescindere dal tipo di service provider. Nel corso del tempo, il team core deve continuare a valutare cosa potrebbe essere eseguito in modo più efficace o efficiente da altri. Ad esempio, il team core può inizialmente gestire l'implementazione e il funzionamento di una nuova tecnologia di sicurezza ma, una volta standardizzata, può delegare la gestione delle operazioni in corso. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 3. Richiedere esperti in prestito o assumerli a tempo determinato Una delle maggiori problematiche è la mancanza all'interno del team core delle competenze richieste in aree specializzate. Esperti provenienti dall'esterno rispetto al reparto di sicurezza possono colmare questa lacuna. Ad esempio, alcuni team addetti alla sicurezza stanno assumendo personale di data analytics dai service provider o da altre sezioni dell'organizzazione come ufficio frodi o marketing. I Big Data possono essere una novità per la sicurezza, ma altre aree dell'azienda hanno adottato le tecniche di analisi dei dati già da anni. Quando non è praticabile o semplicemente troppo costoso disporre di determinati esperti nel proprio team a tempo pieno, come specialisti in indagini sul malware o cyber threat intelligence analyst, le organizzazioni possono rivolgersi a service provider esterni su base continua. I team core possono avvalersi di talenti ulteriori per gestire un incremento improvviso dell'attività o come supporto quando dei membri lasciano il team. Dare vita a una partnership con un'azienda di consulenza in materia di sicurezza, capace di mettere a disposizione professionisti della sicurezza multisfaccettati di alto livello a cui si versa un onorario è un'altra valida possibilità. Possono arricchire le abilità del team core e offrire un punto di vista indipendente. Per risolvere problemi particolarmente complessi, è spesso utile coinvolgere esperti del settore come un Security Architect Consultant specializzato in una determinata tecnologia. È necessario tuttavia "Tradizionalmente, il team della sicurezza delle informazioni si concentrava maggiormente sulla tecnologia. Ma uno dei ruoli che sta acquisendo un'importanza crescente consiste nell'essere un punto di collegamento con il business, per portarne i requisiti nell'organizzazione della sicurezza e quindi trasferire al business il punto di vista della sicurezza". Se non dispongo di una competenza cruciale la creo o la compro. Bisogna sapere quando creare o quando comprare in base ai costi complessivi di gestione. Per alcune competenze, potrebbe essere più logico rivolgersi a un service provider". Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson ricordare che il team core ha comunque bisogno di conoscenze interne sufficienti da applicare alle competenze esternalizzate. 4. Guidare i Risk Owner nella gestione dei rischi In genere, i manager senior all'interno dell'azienda sono i veri responsabili delle decisioni di gestione dei rischi associate a iniziative come il lancio di un nuovo prodotto o servizio, a programmi come il BYOD, ad asset informativi come siti web lato clienti o a processi aziendali come la generazione di report finanziari. Poiché i dirigenti delle aziende riconoscono con maggiore frequenza la propria responsabilità nella gestione della sicurezza informatica, un numero crescente di organizzazioni predispone "responsabili dei rischi per la sicurezza delle informazioni" dedicati nelle business unit che si occupano di correzione dei rischi. Il ruolo del team core è guidare le attività di gestione dei rischi per le informazioni e collaborare con l'azienda nella gestione di rischi per la sicurezza informatica. Sono quindi inclusi il coordinamento di un approccio omogeneo a identificazione, assessment, contenimento, correzione e segnalazione dei rischi, la valutazione dei rischi rispetto ai vantaggi, la definizione dei livelli di propensione e accettazione dei rischi e l'integrazione del rischio informazioni nel programma complessivo di gestione dei rischi di livello enterprise. Il segreto per una buona riuscita sta nel semplificare la procedura per il business e nel rendere il business stesso responsabile della gestione dei rischi fornendo strumenti selfservice, assimilando la gestione dei rischi nei processi aziendali e implementando l'automazione. Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti 5. Assumere esperti nell'ottimizzazione dei processi La competenza nei processi è un aspetto essenziale in un team all'avanguardia. È importante dotare il team di persone che hanno accumulato esperienza nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi e che possono essere formate sulla sicurezza. Prendere quindi in considerazione l'assunzione di persone con credenziali in Six Sigma Process Improvement, IT Service Management (ITSM) di ITIL, COBIT IT Governance e/o Enterprise Architecture di TOGAF. Alcuni team core sono stati capaci di sfruttare esperti dei processi o professionisti nella gestione di programmi di altre aree dell'organizzazione, come il reparto qualità o l'ufficio programmi aziendali. Poter contare su competenze nei processi contribuisce a soddisfare le crescenti esigenze in termini di miglioramenti dei processi. Ad esempio, alla luce del panorama delle minacce, alcune organizzazioni preferirebbero che l'installazione di patch in tutti i sistemi critici avvenisse nell'arco di ore e non di settimane. Le business unit desiderano limitare l'impatto della sicurezza sui processi aziendali, riducendo al minimo il disagio per gli utenti finali e i tempi di inattività dei server. Gli enti normativi desiderano controlli più rigidi sull'accesso alle informazioni, come revoca dei diritti scaduti svolta in pochi minuti e non in giorni. E crescono le aspettative nei confronti del reparto di sicurezza chiamato a misurare la produttività degli investimenti nella sicurezza e a fornire Un'extended enterprise nel settore informatico deve individuare i propri service provider di importanza critica e stabilire con loro un solido rapporto di collaborazione. Impedite ai 'cattivi' di riuscire a nascondersi perché avete alzato lo standard di conformità a una buona prassi di sicurezza su tutto il vostro ecosistema". William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA "Esiste un fondamento essenziale per l'organizzazione della nostra sicurezza che dice che 'la formalità conta'. I nostri processi devono venire rigidamente documentati e rivisti. In che modo possiamo renderli più efficienti? Più efficaci? Abbiamo trascurato qualcosa? Servono persone con una solida formazione in ambito di processi e qualità se si desidera avere credibilità con i propri leader aziendali". Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation miglioramenti quantificabili nel tempo, tra cui ripetibilità dei processi, agilità e scalabilità. 6. Instaurare relazioni cruciali È importante che il team core stringa relazioni solide in tutta l'organizzazione al fine di raccogliere un numero crescente di persone addette alla sicurezza, creare un ambiente collaborativo e garantire che i membri del team allargato comprendano ed eseguano le proprie mansioni. Il team core deve raggiungere tutte le aree dell'azienda ed essere coinvolto a tutti i livelli. Deve conquistare una posizione ottimale per poter esercitare la propria influenza sulle persone che contano, come le persone che controllano gli investimenti tecnologici e che prendono decisioni aziendali strategiche. Una delle relazioni più importanti è quella con i soggetti che sono in possesso delle risorse più preziose dell'organizzazione, ad esempio i dataset e i processi aziendali con proprietà intellettuale o dati proprietari. Un'altra è con i membri del middle management; è possibile infatti fare grandi progressi se si conquista la fiducia dei dirigenti di livello intermedio. Anche i provider di esternalizzazione dei processi aziendali sono un obiettivo strategico. Il team core dovrebbe realizzare una solida rete di contatti per la sicurezza tra questi provider e lavorare con loro per garantire alti standard di sicurezza e condivisione delle informazioni all'interno dell'intera community. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 7. Pensare "out-of-the-box" per talenti futuri L'interesse per la sicurezza delle informazioni è in aumento, ma nel breve termine si assisterà a una carenza di professionisti con competenze in ambito di sicurezza informatica "pronta all'uso" e consulenza sui rischi. È particolarmente difficile trovare persone di talento con competenze specifiche nelle tecnologie per la sicurezza emergenti. Alcune organizzazioni nel frattempo hanno iniziato a rivolgersi ai MSSP a causa della difficoltà nel riuscire ad assumere e/o a conservare personale di talento dotato di particolari competenze tecniche. Per i team di sicurezza occorrono inoltre professionisti capaci di trascendere la competenza tecnica per poter discutere proficuamente di rischio aziendale con i principali interessati. È essenziale poter contare su una strategia di recruiting continua per costruire un team di sicurezza efficace. Altrettanto essenziale è la collaborazione con le business unit e le risorse umane, per valutare le esigenze e le possibili fonti di talenti. Sono sempre più numerose le organizzazioni che assumono personale privo di una formazione in ambito di sicurezza ma che possiede preziose competenze e che può essere addestrato nel campo della sicurezza. Uno degli approcci adottati consiste nel formare una "accademia di sicurezza informatica" interna. Un altro è fornire supporto ai singoli componenti del team, affinché seguano Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. corsi di formazione esterni e conseguano le relative certificazioni, e/o istituire programmi di mentoring. Oltre ai neolaureati, i nuovi assunti possono anche essere personale interno proveniente dal settore IT o da altre aree che potrebbero essere interessati a intraprendere una carriera nella sicurezza. Spesso sono la scelta migliore poiché hanno già una conoscenza approfondita dell'organizzazione e possono contare su una rete di contatti. Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Mantenere una mentalità aperta mentre si cerca personale da formare per i ruoli del settore della sicurezza è importantissimo. Esiste un'ampia gamma di preziosi ambiti di formazione tra cui amministrazione database, sviluppo software, analisi aziendale, intelligence militare o competenze legali e nel settore della privacy. Recentemente, alcuni team core hanno assunto Data Scientist con una formazione in sequenziamento del DNA. Il personale dotato di conoscenze teoriche in aree quali l'econometria o la matematica può incrementare le proprie capacità tecniche pratiche. Chi ha invece una formazione umanistica in storia o giornalismo può offrire eccellenti competenze investigative. Poiché conservare il personale è una sfida enorme quando si impartisce formazione per trasmettere competenze altamente ricercate, è importante presentare un "Quando si inseriscono nuove persone nella propria organizzazione, la diversità di pensiero è fondamentale. La sua importanza oggi è addirittura più cruciale che mai poiché il cambiamento che interessa il lato business sta superando in velocità le capacità della sicurezza e richiederà una riflessione innovativa per risolvere questi problemi". Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. percorso professionale immaginabile e interessante per i singoli componenti del team e garantire un compenso allineato ai valori di mercato. Molte organizzazioni hanno avviato progetti di collaborazione con le università per agevolare lo sviluppo di un pool di talenti in ambito di sicurezza. In tale ottica, la collaborazione può prevedere creare programmi di sviluppo di leadership, contribuire ad orientare i piani di studio affinché soddisfino le esigenze del settore e offrire opportunità di tirocinio/ stage. Programmi di solidarietà all'università e persino a livello di scuola secondaria possono contribuire a istruire la potenziale forza lavoro su una carriera nel settore della sicurezza informatica. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Conclusioni I team di sicurezza delle informazioni si stanno evolvendo per soddisfare le richieste di un ambiente di business, un panorama delle minacce e un regime normativo sempre più complessi. La consapevolezza dei problemi legati alla sicurezza rende possibile il cambiamento nella posizione della sicurezza delle informazioni, che si allontana dall'essere un archivio tecnico per diventare un'attività genuinamente collaborativa. Le organizzazioni stanno anche scoprendo che per soddisfare i requisiti di sicurezza occorre una maggiore attenzione al processo. Un efficace team di sicurezza oggi conosce profondamene i processi di business e l'importanza di validi processi di sicurezza per il conseguimento della sua finalità. Il prossimo report di questa serie in tre parti sulla trasformazione della sicurezza delle informazioni esplorerà ulteriormente il modo in cui le organizzazioni leader stanno rivalutando e ottimizzando i processi. Il terzo report illustrerà come le nuove tecnologie si inseriscono nel quadro complessivo di un programma moderno di sicurezza delle informazioni che si fonda su un team creativo e che guarda al futuro. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel Security for Business Innovation Council. Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 A Appendice Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni Grafico 2 La dirigenza e il consiglio di amministrazione supervisionano il programma. Componenti del team Sicurezza delle informazioni core IT Business Service provider ( usi comuni) Un'ampia gamma di specialisti. I singoli possono assumere più di un ruolo. Personale coinvolto in ruoli legati alla sicurezza strategica e operativa. Linee di business e aree funzionali (ad es. privacy, risorse umane, marketing, settore legale, audit, approvvigionamento). Consulenti con SME (subject matter expertise), MSSP (managed security service provider) e cloud vendor (SAAS) Possibile convergenza con ediscovery, sicurezza fisica e/o team di sicurezza dei prodotti. Attività Responsabilità specifiche Program Management CISO conduce il programma e presiede l'"information Risk Committee" interfunzionale. Il CIO prende parte all'"information Risk Committee". Alcuni dirigenti d'azienda partecipano all'"information Risk Committee". Security Policy e Standard Sviluppare policy e standard. Conferire su policy e standard. Conferire su policy e standard. Implementazione dei controlli Gestire e supervisionare l'implementazione dei controlli. Eseguire l'implementazione dei controlli in aree più complesse Implementare i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Facilitare l'implementazione dei controlli. I MSSP assicurano servizi di implementazione dei controlli che soddisfano il Service Level Agreement della sicurezza. Operazioni dei controlli Gestire e supervisionare le operazioni dei controlli. Eseguire controlli più nuovi e complessi. Eseguire i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Accertarsi che le operazioni del business soddisfino i requisiti di sicurezza dei controlli. I MSSP assicurano servizi di esecuzione dei controlli che soddisfano il Service Level Agreement della sicurezza. Controls Assurance Eseguire un assessment dei controlli e sviluppare strumenti avanzati per il collaudo e l'analisi dei controlli. Implementare il monitoraggio continuo dei controlli. I provider di servizi di sicurezza gestiti garantiscono i servizi, come analisi del codice sorgente e scansione della vulnerabilità. Controls Design (Security Architecture) Dare impulso alla progettazione di nuovi controlli di sicurezza. Lavorare con l'architettura IT aziendale. Conferire sulla progettazione di nuovi controlli di sicurezza. Conferire sulla progettazione di nuovi controlli di sicurezza. Incident Response/ Resiliency Gestire e coordinare la risposta interaziendale. Lavorare sugli aspetti tecnici della risposta. Lavorare sugli aspetti legali, delle pubbliche relazioni e delle risorse umane della risposta. I consulenti competenti in materia forniscono indagini e analisi del malware. 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 Information Risk Assessment Gestire il programma di assessment dei rischi. Eseguire assessment dei rischi in casi più complessi. Fornire gli strumenti per facilitare gli assessment del rischio. Eseguire l'assessment del rischio con strumenti forniti dal team core. Eseguire l'assessment del rischio con strumenti forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità. La tendenza emergente sono gli assessment dei rischi eseguiti da service provider che soddisfano il Service Level Agreement della sicurezza. Information Risk Management/ Business Risk versus Reward Analysis Dare impulso alle attività di gestione dei rischi. Relazionarsi con l'it e il business. Conferire sulla gestione dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Fornire gli strumenti per facilitare la gestione dei rischi. Third- Party Risk Management/ IT Supply Chain Integrity Dare impulso alla gestione dei rischi di terze parti e al programma di integrità della supply chain. Sviluppare standard e fornire strumenti per assessment di terze parti e la valutazione di hardware e software. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. Eseguire la valutazione di hardware e software servendosi di strumenti forniti dal team core. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. L'approvvigionamento incorpora gli assessment della sicurezza nel processo di approvvigionamento stesso. I consulenti competenti in materia eseguono la "due diligence" e gli assessment di terze parti servendosi di standard forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità e per la stesura dei contratti. Inventario e valutazione degli asset Dare impulso allo sviluppo del registro. Relazionarsi con il team core per elencare e valutare gli asset. Relazionarsi con il team core per elencare e valutare gli asset. Cyber Risk Intelligence e Threat Analysis Gestire il programma di intelligence. Coordinare le fonti. Condividere i dati di intelligence come le di phishing. Condividere i dati di intelligence come il monitoraggio dei social media. I consulenti competenti in materia assicurano l'analisi delle fonti e delle minacce. Security Data Analytics Dare impulso allo sviluppo di query e modelli. Richiedere consulenza e/o fornire servizi di data analytics. Richiedere consulenza e/o fornire servizi di data analytics. Gli SME e/o MSSP garantiscono servizi di data analytics. Security Data Management e Data Warehousing Dare impulso alla strategia di sicurezza della gestione dei dati e progettare il data warehouse di sicurezza. Dare impulso alla strategia complessiva di gestione dei dati dell'organizzazione. Conferire sulla strategia di sicurezza e su origini dei dati come i registri di rete. Conferire sulle origini dei dati come registri di applicazioni e database. Gli SME forniscono feed sulle minacce. Gli MSSP ricevono dati dai registri dei sistemi di sicurezza. Security Process Optimization Dare impulso all'ottimizzazione dei processi di sicurezza su tutta l'organizzazione. Conferire e facilitare l'implementazione dei miglioramenti. Conferire e facilitare l'implementazione dei miglioramenti. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Collaborare su tendenze future e strategie proattive. Collaborare su tendenze future e strategie proattive. RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Autori report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani CISSP Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security and Privacy Officer, Intel Kenneth Haertling Vice President e Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President e Chief Security Officer, EMC Corporation Tim MCKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Per consultare le biografie complete dei membri SBIC, visitare 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council Report 17

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO

DIGITAL TRANSFORMATION. Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO DIGITAL TRANSFORMATION Trasformazione del business nell era digitale: Sfide e Opportunità per i CIO AL VOSTRO FIANCO NELLA DIGITAL TRANSFORMATION Le nuove tecnologie, tra cui il cloud computing, i social

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi?

come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? SOLUTION BRIEF CA Business Service Insight for Service Level Management come posso migliorare le prestazioni degli SLA al cliente riducendo i costi? agility made possible Automatizzando la gestione dei

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

la trasformazione dell'information security Processi a prova di futuro

la trasformazione dell'information security Processi a prova di futuro ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland,

Dettagli

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE

GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che

Dettagli

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight

Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Caso di successo del cliente Scitum dimezza i tempi di produzione dei report con CA Business Service Insight Profilo del cliente Settore: servizi IT Società: Scitum Dipendenti: più di 450 IL BUSINESS Scitum

Dettagli

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti?

siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? SOLUTION BRIEF Soluzioni Project & Portfolio Management per l'innovazione dei prodotti siete in grado di incrementare l'innovazione in tutto il portfolio prodotti? you can Le soluzioni Project & Portfolio

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service

IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service ZP11-0355, 26 luglio 2011 IBM Intelligent Operations Center for Cloud ottimizza la gestione delle città grazie a un modello Software-as-a-Service Indice 1 Panoramica 3 Descrizione 2 Prerequisiti fondamentali

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business

SOLUTION BRIEF CA ERwin Modeling. Come gestire la complessità dei dati e aumentare l'agilità del business SOLUTION BRIEF CA ERwin Modeling Come gestire la complessità dei dati e aumentare l'agilità del business CA ERwin Modeling fornisce una visione centralizzata delle definizioni dei dati chiave per consentire

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e

Dettagli

CA Clarity PPM. Panoramica. Vantaggi. agility made possible

CA Clarity PPM. Panoramica. Vantaggi. agility made possible SCHEDA PRODOTTO CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) supporta l'innovazione con agilità, trasforma il portafoglio con fiducia e sostiene il giusto

Dettagli

Consulenza, servizi su misura e tecnologia a supporto del business.

Consulenza, servizi su misura e tecnologia a supporto del business. Consulenza, servizi su misura e tecnologia a supporto del business. ACCREDITED PARTNER 2014 Consulenza, servizi su misura e tecnologia a supporto del business. Gariboldi Alberto Group Srl è una realtà

Dettagli

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento

Dettagli

Indaga. Documenta. Accerta.

Indaga. Documenta. Accerta. Indaga. Documenta. Accerta. L azienda leader in Italia nel settore investigativo 2 3 Le situazioni delicate e complesse richiedono azioni risolutive condotte con competenza e professionalità. 4 5 Axerta

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

trasformazione della sicurezza delle informazioni

trasformazione della sicurezza delle informazioni ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Astra Zeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President,

Dettagli

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance

Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance CUSTOMER SUCCESS STORY Febbraio 2014 Lexmark Favorisce la Trasformazione dell IT con le Soluzioni CA Service Assurance PROFILO DEL CLIENTE Settore: servizi IT Società: Lexmark Dipendenti: 12.000 Fatturato:

Dettagli

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY 2 MANAGING ENTERPRISE COMPLEXITY Oggi il mondo del business è in rapida evoluzione. Le decisioni devono essere prese sempre più velocemente e sotto pressione.

Dettagli

Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Sandro Tassoni Oracle Support Director Maggio 2011 Agenda Panoramica Strategia Portafoglio ACS per Cloud

Dettagli

Individuazione e analisi di minacce avanzate. PANORAMICA

Individuazione e analisi di minacce avanzate. PANORAMICA Individuazione e analisi di minacce avanzate. PANORAMICA DETTAGLI Presentazione delle seguenti funzionalità di RSA Security Analytics: Monitoraggio della sicurezza Indagine sugli incident Generazione di

Dettagli

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi

Sotto i riflettori: La Business Intelligence estende il valore di PLM. La maturità del PLM consente di ottenere un nuovo valore dalle analisi Sotto i riflettori: La Business Intelligence estende il valore di PLM La maturità del PLM consente di ottenere un nuovo valore dalle analisi Tech-Clarity, Inc. 2009 Sommario Sommario... 2 Presentazione...

Dettagli

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI?

PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? PUBLIC, PRIVATE O HYBRID CLOUD: QUAL È IL TIPO DI CLOUD OTTIMALE PER LE TUE APPLICAZIONI? Le offerte di public cloud proliferano e il private cloud è sempre più diffuso. La questione ora è come sfruttare

Dettagli

Questionario Modello di Maturità di Project Management (V.1.5.0)

Questionario Modello di Maturità di Project Management (V.1.5.0) Questionario Modello di Maturità di Project Management (V.1.5.0) E necessario rispondere a tutte le domande riportate di seguito, selezionando la risposta ritenuta migliore o quella che meglio descrive

Dettagli

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010

www.novell.it Domande frequenti per i partner WorkloadIQ Domande frequenti 17 agosto 2010 Domande frequenti per i partner www.novell.it WorkloadIQ Domande frequenti 17 agosto 2010 C h e c o s ' è i l m e r c a t o d e l l ' I n t e l l i g e n t W o r k l o a d M a n a g e m e n t? Il mercato

Dettagli

Unified Communications: principali tendenze in atto nelle medie imprese

Unified Communications: principali tendenze in atto nelle medie imprese Un profilo personalizzato di adozione della tecnologia commissionato da Cisco Gennaio 2014 Unified Communications: principali tendenze in atto nelle medie imprese 1 Introduzione In un panorama aziendale

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT

AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT Caso di successo del cliente Ottobre 2013 AT&S aumenta l'efficienza e l'agilità del business grazie al miglioramento della gestione IT Profilo del cliente Settore: manifatturiero Società: AT&S Dipendenti:

Dettagli

Proposte formative CHANGE MANAGEMENT MANAGEMENT DELLE RISORSE UMANE GESTIONE EFFICACE DEL TEMPO E ORGANIZZAZIONE DEL LAVORO NELLA PMI

Proposte formative CHANGE MANAGEMENT MANAGEMENT DELLE RISORSE UMANE GESTIONE EFFICACE DEL TEMPO E ORGANIZZAZIONE DEL LAVORO NELLA PMI Proposte formative Un team di esperti in progettazione formativa è a disposizione per lo sviluppo di soluzioni personalizzate e la realizzazione di percorsi costruiti intorno alle esigenze di ciascuna

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.

Dettagli

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni: copertina pg. 1 immagine pg. 2 Easytech è un gruppo di giovani professionisti uniti da un obiettivo comune: proporre le migliori soluzioni per rendere le imprese leggere e pronte a sostenere la competizione

Dettagli

Symantec Mobile Security

Symantec Mobile Security Protezione avanzata dalle minacce per i dispositivi mobili Data-sheet: Gestione degli endpoint e mobiltà Panoramica La combinazione di app store improvvisati, la piattaforma aperta e la consistente quota

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

PMO: così fanno le grandi aziende

PMO: così fanno le grandi aziende PMO: così fanno le grandi aziende Tutte le grandi aziende hanno al loro interno un PMO - Project Management Office che si occupa di coordinare tutti i progetti e i programmi aziendali. In Italia il project

Dettagli

Sicurezza delle e-mail: guida all acquisto

Sicurezza delle e-mail: guida all acquisto Sicurezza delle e-mail: guida all acquisto Introduzione Vista la crescente quantità di dati sensibili per l azienda e di informazioni personali che consentono l identificazione (PII), inviata tramite e-mail,

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

IL CRM NELL ERA DEL CLIENTE. modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita.

IL CRM NELL ERA DEL CLIENTE. modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita. IL CRM NELL ERA DEL CLIENTE modi in cui un CRM moderno può aiutarti a deliziare i tuoi clienti e contribuire alla tua crescita ebook 1 SOMMARIO Introduzione Allineare meglio le vendite e il marketing Creare

Dettagli

EMC Documentum Soluzioni per il settore assicurativo

EMC Documentum Soluzioni per il settore assicurativo Funzionalità EMC Documentum per il settore assicurativo La famiglia di prodotti EMC Documentum consente alle compagnie assicurative di gestire tutti i tipi di contenuto per l intera organizzazione. Un

Dettagli

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6

Rev. 03 del 28/11/2010. Company profile. Pag. 1 di 6 Pag. 1 di 6 L Informedica è una giovane società fondata nel 2004 che opera nel settore dell'information Technology per il settore medicale. Negli ultimi anni attraverso il continuo monitoraggio delle tecnologie

Dettagli

Symantec Insight e SONAR

Symantec Insight e SONAR Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

ICT Information &Communication Technology

ICT Information &Communication Technology ICT Information &Communication Technology www.tilak.it Profile Tilak Srl, azienda specializzata in soluzioni in ambito Communication Technology opera nell ambito dei servizi di consulenza, formazione e

Dettagli

Specialista della rete - Un team di specialisti della rete

Specialista della rete - Un team di specialisti della rete Allied Telesis - creare qualità sociale Allied Telesis è da sempre impegnata nella realizzazione di un azienda prospera, dove le persone possano avere un accesso facile e sicuro alle informazioni, ovunque

Dettagli

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI COACHING LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI I N D I C E 1 [CHE COSA E IL COACHING] 2 [UN OPPORTUNITA DI CRESCITA PER L AZIENDA] 3 [ COME SI SVOLGE UN INTERVENTO DI COACHING ]

Dettagli

Aree di inserimento I percorsi di carriera: tante le opportunità quante le

Aree di inserimento I percorsi di carriera: tante le opportunità quante le ACCENTURE SPA Profilo Azienda Accenture è un'azienda globale di Consulenza Direzionale, Servizi Tecnologici e Outsourcing che conta circa 323 mila professionisti in oltre 120 paesi del mondo. Quello che

Dettagli

Una soluzione di collaborazione completa per aziende di medie dimensioni

Una soluzione di collaborazione completa per aziende di medie dimensioni Una soluzione di collaborazione completa per aziende di medie dimensioni La tua azienda è perfettamente connessa? È questa la sfida cruciale dell attuale panorama aziendale virtuale e mobile, mentre le

Dettagli

Sicuritalia e la soluzione di SAP per la Field Force.

Sicuritalia e la soluzione di SAP per la Field Force. Sicuritalia S.p.A. Utilizzata con concessione dell autore. SAP Customer Success Story Sicurezza e servizi fiduciari Sicuritalia S.p.A Sicuritalia e la soluzione di SAP per la Field Force. Partner Nome

Dettagli

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno.

È costituito dagli atteggiamenti e dalle azioni del board e del management rispetto all'importanza del controllo all'interno. Glossario Internal Auditing Fonte: Associazione Italiana Internal Audit (AIIA) www.aiiaweb.it Adeguato controllo Un controllo è adeguato se viene pianificato e organizzato (progettato) dal management in

Dettagli

Talent Management 2020. Scenari e prospettive futuri

Talent Management 2020. Scenari e prospettive futuri Talent Management 2020 Scenari e prospettive futuri INTRODUZIONE Le funzioni delle Risorse Umane (Human Resources-HR) non solo forniscono molti servizi interni, come la selezione del personale, il sostegno

Dettagli

Big Data e Customer Engagement

Big Data e Customer Engagement 2013 Big Data e Customer Engagement Una Ricerca di: Novembre 2013 SOMMARIO PRINCIPALI RISULTATI DELLO STUDIO 2 INTRODUZIONE 5 COSA SONO I BIG DATA 5 PERCHÉ I BIG DATA SONO DIVENTATI IMPORTANTI 6 ADOZIONE

Dettagli

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione COMUNE DI TRENTO Servizio Programmazione e Controllo via Belenzani 22 38100 Trento Telefono: 0461-884162; Fax: 0461-884168 e_mail: servizio_programmazione@comune.trento.it Sito internet dell amministrazione:

Dettagli

RIMUOVERE I LIMITI DELL'ARCHITETTURA TELCO MOBILE CON TELCO-OVER-CLOUD (TOC)

RIMUOVERE I LIMITI DELL'ARCHITETTURA TELCO MOBILE CON TELCO-OVER-CLOUD (TOC) RIMUOVERE I LIMITI DELL'ARCHITETTURA TELCO MOBILE CON TELCO-OVER-CLOUD (TOC) L'architettura Telco Mobile è formata da un grande numero di dispositivi fisici costosi, ciascuno segregato nella propria area.

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab.

Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Dalla Conformità al Sistema di Gestione Tab. Il Sistema Qualità come modello organizzativo per valorizzare e gestire le Risorse Umane Gli elementi che caratterizzano il Sistema Qualità e promuovono ed influenzano le politiche di gestione delle risorse

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione

Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta. Quadri sulla gestione 6 Il catalogo MANAGEMENT Si rivolge a: Imprenditori con responsabilità diretta Quadri sulla gestione Impiegati con responsabilità direttive Dirigenti di imprese private e organizzazioni pubbliche, interessati

Dettagli

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE

PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PERCHÉ SCEGLIERE EMC PER LA GESTIONE DEL CICLO DI VITA RACLE PUNTI ESSENZIALI Agilità Nella soluzione AppSync sono integrate le best practice delle tecnologie di replica offerte da EMC e Oracle, che consentono

Dettagli

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi

TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Caso di successo del cliente TelstraClear rafforza il vantaggio competitivo con il reporting per la garanzia dei servizi Profilo del cliente Settore: telecomunicazioni Società: TelstraClear Il business

Dettagli

La ISA nasce nel 1994 DIGITAL SOLUTION

La ISA nasce nel 1994 DIGITAL SOLUTION La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Koinè Consulting. Profilo aziendale

Koinè Consulting. Profilo aziendale Koinè Consulting Profilo aziendale Koinè Consulting è una società cooperativa a responsabilità limitata che svolge attività di consulenza e servizi alle imprese, avvalendosi di competenze interne in materia

Dettagli

fornitore globale per la GDO

fornitore globale per la GDO fornitore globale per la GDO evision srl è specializzata in soluzioni software per le aziende della Grande Distribuzione (alimentare e non), per le piattaforme ortofrutticole e per le aziende manifatturiere.

Dettagli

LA FORZA DELLA SEMPLICITÀ. Business Suite

LA FORZA DELLA SEMPLICITÀ. Business Suite LA FORZA DELLA SEMPLICITÀ Business Suite LA MINACCIA È REALE Le minacce online alla tua azienda sono reali, qualunque cosa tu faccia. Chiunque abbia dati o denaro è un bersaglio. Gli incidenti relativi

Dettagli

www.mauriziovinci.it

www.mauriziovinci.it www.mauriziovinci.it Il mercato impone decisioni rapide ed efficaci, obiettivi chiari e sostenibili, strategie ben strutturate che non lasciano spazio all improvvisazione. Studio di consulenza integrata

Dettagli

...competenza ASSISTENZA TECNICA SISTEMISTICA

...competenza ASSISTENZA TECNICA SISTEMISTICA Sinapsi è... MISSION Ci occupiamo di servizi sistemistici avanzati. Forniamo consulenza e assistenza tecnica su sistemi informatici evoluti. Ci rivolgiamo ad Imprese e Pubbliche Amministrazioni. La qualità

Dettagli

HR Primo Business Partner Aziendale

HR Primo Business Partner Aziendale HR Primo Business Partner Aziendale di Luca Battistini Direttore HR Phone & Go Spa; Presidente della web community Fior di Risorse Le persone al centro. H1 Hrms sistema integrato di gestione del personale

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione.

PEOPLE CARE. Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. La Compagnia Della Rinascita PEOPLE CARE Un equipe di professionisti che si prendono cura dello sviluppo delle RISORSE UMANE della vostra organizzazione. PEOPLE CARE Un equipe di professionisti che si

Dettagli

Guida pratica alle applicazioni Smart Process

Guida pratica alle applicazioni Smart Process Guida pratica alle applicazioni Smart Process Aprile 2014 Kemsley Design Limited www.kemsleydesign.com www.column2.com Panoramica La qualità delle interazioni con clienti e partner è vitale per il successo

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Maggiore efficienza > Conoscenza più approfondita > Valore superiore. Pagina 1 2 3 4 5 6 7 8 9 10 11 12 13

Maggiore efficienza > Conoscenza più approfondita > Valore superiore. Pagina 1 2 3 4 5 6 7 8 9 10 11 12 13 Dieci motivi per utilizzare Windchill 10 Maggiore efficienza nell intero ciclo di vita del prodotto Conoscenza più approfondita delle prestazioni del prodotto Valore superiore dal sistema PLM NOTA: per

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

PROFILO AZIENDALE NET STUDIO 2015

PROFILO AZIENDALE NET STUDIO 2015 PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,

Dettagli

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO Report globale e suggerimenti Gennaio 2013 Autore: Filigree Consulting Promosso da: SMART Technologies Executive

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

METODOLOGIA DELL ASSESSMENT

METODOLOGIA DELL ASSESSMENT METODOLOGIA DELL ASSESSMENT Chi siamo HR RiPsi nasce come divisione specializzata di Studio RiPsi grazie alla collaborazione di Psicologi e Direttori del Personale che hanno maturato consolidata esperienza

Dettagli

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza

I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE. Massimo Tronci Università di Roma La Sapienza I SISTEMI DI GESTIONE COME STRUMENTO MANAGERIALE PER LA COMPLIANCE AZIENDALE Massimo Tronci Università di Roma La Sapienza Confindustria - Bari, 30 settembre 2008 Questa presentazione Il contesto di riferimento

Dettagli

10 metodi per ottimizzare la rete in modo sicuro

10 metodi per ottimizzare la rete in modo sicuro 10 metodi per ottimizzare la rete in modo sicuro Con l intelligenza applicativa dei firewall di nuova generazione e la serie WAN Acceleration Appliance (WXA) di SonicWALL Sommario Ottimizzazione sicura

Dettagli

Sommario. L'Azienda I Servizi Le Soluzioni I Partner

Sommario. L'Azienda I Servizi Le Soluzioni I Partner 1 Sommario L'Azienda I Servizi Le Soluzioni I Partner 2 L azienda 3 Profilo La Società Essematica nasce nel 1987 da un team di specialisti e ricercatori informatici che, aggregando le esperienze maturate

Dettagli

Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne

Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne TRITON AP-EMAIL Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne Da adescamenti basati sull ingegneria sociale al phishing mirato, gli attacchi

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

CA Mainframe Chorus for DB2 Database Management

CA Mainframe Chorus for DB2 Database Management SCHEDA PRODOTTO CA Mainframe Chorus for DB2 Database Management CA Mainframe Chorus for DB2 Database Management Le attività di gestione del carico di lavoro di DB2 per z/os vengono semplificate e ottimizzate,

Dettagli

Ottimizzare Agile per la. agility made possible. massima innovazione

Ottimizzare Agile per la. agility made possible. massima innovazione Ottimizzare Agile per la agility made possible massima innovazione Agile accelera l'offerta di innovazione Lo scenario aziendale attuale così esigente e in rapida evoluzione ha enormemente amplificato

Dettagli