Rischi uguale Costi: conosci il costo dei tuoi rischi?
|
|
- Agostina Valente
- 8 anni fa
- Visualizzazioni
Transcript
1 Rischi uguale Costi: conosci il costo dei tuoi rischi? Sig. Davide Gnesutta Vicenza, 16 giugno 2015
2 Davide Gnesutta Tecnico IT, tuttora «technology addicted» IT Manager di Istituto di Credito Amministratore Delegato di Società di servizi in ambito IT Auditor di Sistemi Informativi Certificazioni ISO/IEC 27001:2013, ITILv3 Foundation, ISACA CISA Certified Information Systems Auditor Attualmente responsabile BU di Consulenze IT e Servizi Avanzati Pagina 2
3 Agenda seconda parte Sfide per il Management: come affrontarle Tutelare il vero patrimonio dell'azienda La gestione del Rischio dell'it: strumenti ed impiego pratico IT Governance e Continuità Operativa HA / DR / BC: punto zero Predisposizione, attuazione e verifiche del Piano Riferimenti normativi Pagina 3
4 Agenda seconda parte Sfide per il Management Come affrontarle Pagina 4
5 Sfide per il Management: come affrontarle Crescente dipendenza dell Azienda dalle Reti e dai Sistemi Informativi Impossibilità di valutare i benefici che i Sistemi Informativi e la tecnologia apportano all Organizzazione Domanda disaggregata in termini di requisiti funzionali e piattaforme di riferimento (troppi prodotti disaccoppiati) Necessità di adattarsi velocemente ai cambiamenti, operando con budget risicati Crescente esposizione dei Sistemi Informativi ad eventi distruttivi e ad attacchi Necessità di padroneggiare le nuove tecnologie, minimizzando complessità e costi Pagina 5
6 Sfide per il Management: come affrontarle Duplicazione incontrollate di dati aziendali critici (pc locali) Ottimizzazione dell uso delle risorse, gestendo la crescita dell HR IT (formazione) Gestione ottimizzata dei fornitori (interni ed esterni) Fronteggiare le iniziative interne, sporadiche e parziali, tendenti a risolvere il problema contingente, non accompagnate da evoluzione dei processi interni Scarsa sensibilità del Management: ambiti di Sicurezza e Audit visti solo come costi (senza vantaggi) Difficoltà nel valutare i rischi e nel contenere i derivati costi Pagina 6
7 Sfide per il Management: come affrontarle Fissare l obiettivo (Strategia) Recuperare ed allocare le giuste risorse Per mettere in equilibrio e soddisfare le richieste degli stakeholder, all IT Manager viene chiesto di Motivare l impegno Coordinare e controllare le attività Sviluppare e collocare il talento Applicare le necessarie conoscenze Costruire e mantenere le relazioni (int, ext, rete) mantenere il ruolo manageriale Pagina 7
8 Sfide per il Management: come affrontarle Possiamo affrontare le sfide esposte, solo lavorando per: Gestire adeguatamente Operatività, Costi e Rischi Assicurare i livelli di servizio concordati Pagina 8
9 Sfide per il Management: come affrontarle Quattro domande classiche («4 Ares»*) Domanda strategica: stiamo facendo le cose giuste? L investimento è allineato con la nostra visione? E coerente con i nostri principi di business? Fornisce il valore ottimale, ad un costo sostenibile e ad un rischio accettabile? Domanda architetturale: le stiamo facendo nel modo giusto? L investimento è allineato con la nostra architettura? E coerente con i nostri principi architetturali? Contribuisce a popolare la nostra architettura e a mantenerla modulare? E allineato con altre iniziative? Domanda sul Delivery: le stiamo facendo fare bene? Abbiamo un management efficace e disciplinato, e dei processi di Delivery e di Change Management? Abbiamo risorse tecniche ed aziendali competenti e adeguatamente disponibili per assicurare le capacità richieste ed i processi organizzativi necessari per poter utilizzare le capacità disponibili? Domanda sul Valore: ne stiamo ricavando i benefici attesi? Abbiamo una comprensione chiara e condivisa dei benefici attesi? Abbiamo una chiara definizione di chi risponde della realizzazione dei benefici? Abbiamo un processo efficace di realizzazione dei benefici e delle metriche rilevanti per misurarlo? * Basato sulle Four Ares come descritto da John Thorp nel suo libro The Information Paradox, scritto congiuntamente al Fujitsu Consulting s Center for Strategic Leadership, pubblicato nel 1998 e rivisto nel Pagina 9
10 Sfide per il Management: come affrontarle Tre «domande guida»; come dobbiamo organizzarci per 1 essere sicuri che quello per cui ci paga il cliente è, e rimane, nel nostro focus? 2 essere sicuri che i dipendenti siano messi nella migliore condizione per permettergli di esprimere al meglio il loro potenziale? 3 essere sicuri che il Top Management sia effettivamente ed efficacemente tutelato dai rischi incombenti sull infrastruttura IT? Pagina 10
11 Agenda seconda parte Tutelare il vero patrimonio dell'azienda Pagina 11
12 Tutelare il vero patrimonio dell'azienda Contesto La Saggezza di un Organizzazione corrisponde alla sua capacità di rimanere nel mercato E continuare a produrre profitto Saggezza (discernimento, consapevolezza aggiunta) Perchè? Inizio del Valore Strategico Conoscenza (esperienze, idee aggiunte) Come? Informazione (aggiunto contesto iniziale) Chi? Cosa? Dove? Quando? Dato o 4 HDD went off-line simultaneously Comprensione Dato = descrizione elementare, spesso codificata, di un oggetto, di una transazione, di un avvenimento o di altro. (fonte Wikipedia) Pagina 12
13 Tutelare il vero patrimonio dell'azienda Variabili Fatture Andamento Vendite Regole di Mercato Decisioni Strategiche Elementi e VOLUME DATI INFORMAZIONI (Chi? Cosa? Dove? Quando?) CONOSCENZA (Come?) SAGGEZZA (Perchè?) Valore Aggiunto dato dalle Procedure di scoperta di conoscenza Elaborazioni Statistiche Esperienza Pagina 13
14 Tutelare il vero patrimonio dell'azienda Abbiamo condiviso che l obiettivo di tutti i collaboratori dell Azienda è: tutelare tutti gli asset informativi preposti a sostenere e sviluppare la Saggezza dell Organizzazione Knowledge Management - Gerarchia della Conoscenza «Le informazioni aziendali hanno lo stesso valore dei soldi contanti» Pagina 14
15 Agenda seconda parte La gestione del Rischio dell'it Strumenti ed impiego pratico Pagina 15
16 La gestione del Rischio dell'it: strumenti ed impiego pratico L IT Governance viene definita come (reprise #001): «un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità»* Le principali finalità sono: 1. l allineamento dei sistemi agli obiettivi di business e 2. la gestione dei rischi informatici *Fonte: ISACA / SDA Bocconi Pagina 16
17 La gestione del Rischio dell'it: strumenti ed impiego pratico Tipi di Asset Informazione pura IT Fisici Esempi di Information Assets (IA) Dati digitali (e.g. finanziari, legali, clienti/fornitori, backup) Dati tangibili (e.g. documenti stampati, fax) Dati intangibili (e.g. Know-How, brand, affidabilità dei clienti, reputazione) Software Applicativo (e.g. CRM, SAP, databases) Software di Sistemi Operativi (e.g. Windows, Linux/Unix) Infrastrutture a supporto dell IT (e.g. server room, data center, server cabinet, video sorveglianza) IT utilities (e.g. sistemi antincendio, UPS, Cooling Plant) IT Hardware (e.g. workstations, server, copier/printer/fax) Servizi IT Web service, Firewall, Proxy, ,. Logistici Palazzi, uffici, posti di lavoro, archivi cartacei, meeting rooms, Umani Dipendenti, consulenti, tecnici esterni, terze parti, Pagina 17
18 La gestione del Rischio dell'it: strumenti ed impiego pratico Tutti gli asset aziendali sono accomunati da una o più caratteristiche, riferite negli standard normativi anche come «Information Criteria»: Integrità (es: fedeltà rispetto a quanto il dato vuole rappresentare, rispetto al formato, ai contenuti originali) Disponibilità (es: assicurare che il servizio/dato sia fruibile in una finestra temporale indicata) Confidenzialità (es: solo coloro che sono titolati possano avere accesso all informazione) Gli asset sono soggetti a continui cambiamenti e modifiche, con una variabilità che può raggiungere il 100% nell arco di una notte e pertanto sono soggetti a rischi! Pagina 18
19 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Vulnerabilità (alcuni esempi) Carenze di conoscenza dei sistemi da parte degli utenti (IT e non) Carenze di funzionalità di sicurezza (controllo accessi logici e fisici) Password poco robuste Soluzioni informatiche non testate Mancanza di separazione di ruoli Trasmissione di informazioni in chiaro Controlli non adeguati Situazioni logistiche pericolose (accumulo di carta nei vani tecnici ) Mancanza cronica di formazione e sensibilizzazione Pagina 19
20 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) Errori (errore umano) Danno volontario, attacco tramite virus, attacco tramite rete pubblica, BYOD, Frode, furto, infedeltà del collaboratore Malfunzionamento dell hardware, del software Inquinamento (chimico, radioattivo,.) Eventi calamitosi non prevedibili (fenomeni atmosferici, sommosse, tumulti) Pagina 20
21 La gestione del Rischio dell'it: strumenti ed impiego pratico Secondo la norma ISO 31000* («ISO Risk management»), il rischio è definito come un «effetto di incertezza sugli obiettivi» E = evento dannoso pesato P = probabilità di manifestazione dell evento (likelihood) il Rischio (R) è una probabilità (P) che un evento dannoso (E) si verifichi: R = P E Il rischio, fondamentalmente, minaccia gli «information criteria» degli asset. (*Fonte: Pagina 21
22 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischio come inibitore o distruttore del Valore Rischi IT Valore di business ridotto o non realizzato a causa dell IT Opportunità di business basate sull IT non raccolte (perse) Distruzione di valore mediante eventi avversi legati all IT Opportunità IT Identificazione di nuove opportunità di business attraverso l IT Valore e qualità aumentata del business attraverso l uso ottimale dell IT Rischio come abilitatore del Valore Fonte: Risk IT - ISACA Pagina 22
23 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO 27001:2013 da 20 anni è uno standard internazionale di riferimento in materia la sua pubblicazione risale al 2007 ed incorpora e sostituisce la norma inglese BS7799 del 1995 e sue successive versioni poichè parla di requisiti, la norma è certificabile si basa sul concetto del miglioramento continuo deve essere intesa come «tool» (il mezzo, non il fine) costituisce un framework completo l ambito (perimetro) è definibile secondo necessità la revisione 2013 è stata sviluppata in riferimento al documento Annex XL, che fornisce una struttura standardizzata per tutte le norme ISO, allo scopo di semplificare l integrazione dei sistemi di gestione (Fonte: Pagina 23
24 La gestione del Rischio dell'it: strumenti ed impiego pratico PLAN 0 Introduzione 2 Riferimenti normativi 1 Campo di applicazione 3 Termini e definizioni 4 Contesto dell organizzazione 6 Pianificazione 5 Guida e direzione (Leadership) 7 - Supporto DO 8 Attività operative CHECK 9 Valutazione prestazioni ISO27001:2013 (struttura) ACT 10 Miglioramento Fonte: Pagina 24
25 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 la sua implementazione pratica si basa su quanto indicato dalla norma ISO («ISO Risk management»*), standard che è più vicino alla gestione del rischio d impresa la norma ISO indica in più punti che la protezione dei dati non può essere estranea al rischio globale dell organizzazione prevede l esecuzione dei seguenti passi: Definizione del perimetro Valutazione del Rischio Trattamento del Rischio (*Fonte: Pagina 25
26 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 Annex A Obiettivi di controllo e controlli Organizzativi Tecnici Policy di Sicurezza (2) Organizzazione della sicurezza delle informazioni (7) Sicurezza delle Risorse Umane (6) Fisici Sicurezza fisica ed ambientale (15) Conformità (8) Legali Gestione dei Beni (10) Controllo Accessi (13) Crittografia (2) Sicurezza Operativa (14) Sicurezza delle Comunicazioni (7) Acquisizione, sviluppo e manutenzione dei sistemi (13) Relazioni con i fornitori (15) Gestione degli incidenti relativi alla sicurezza delle informazioni (7) Aspetti relativi alla sicurezza delle informazioni nella gestione della Continuità Operativa (4) Pagina 26
27 La gestione del Rischio dell'it: strumenti ed impiego pratico ISO27001:2013 estensione negli ambiti aziendali della normativa Operativo Misto Strategico Impatto implementativo Strategie Controllo dei Processi Esecuzione dei Processi Istruzioni Operative Processo #001 Processo #002 ISO27001:2013 Processo #003 COBIT ITILv3 Processo n Pagina 27
28 La gestione del Rischio dell'it: strumenti ed impiego pratico La norma ISO/IEC 31000:2009 definisce* il risk management come delle «attività coordinate per dirigere e controllare un organizzazione, considerando i rischi» Quindi, la gestione del rischio si riferisce ad un 1. insieme coordinato di 2. attività e metodi che vengono utilizzati per aiutare l organizzazione a 3. controllare i rischi che possono influenzare la sua capacità di raggiungere gli obiettivi. (*Fonte: Pagina 28
29 La gestione del Rischio dell'it: strumenti ed impiego pratico Enterprise Risk Strategic Risk Environmental Risk Market Risk Credit Risk Operational Risk Compliance Risk IT Benefit/value Enablement Risk IT-related Risk IT Programme and Project Delivery Risk IT Operations and Service Delivery Risk Tipologia di rischi principali: Rischi inerenti la strategia IT Rischi di disallineamento con gli obiettivi di business Rischi di valutazione delle nuove opportunità Fonte: The Risk IT Framework - ISACA Tipologia di rischi principali: Rischi di gestione dei progetti Rischi di gestione organizzativa Rischi di pianificazione Rischi di errata interpretazione delle esigenze dei clienti/ business Tipologia di rischi principali: Rischi operativi Rischi di sicurezza Rischi di conformità normativa Rischi di frode Pagina 29
30 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) Il British Continuity Istitute ha svolto un indagine (web survey): Unplanned IT and telecom outages (77% extremely concerned or concerned) Data breach (73% extremely concerned or concerned) Cyber attack (73% extremely concerned or concerned) Adverse weather (57% extremely concerned or concerned) Interruption to utility supply (56% extremely concerned or concerned) Security incident (53% extremely concerned or concerned) (Fonte: The British Continuity Institute validated responses received representing 82 countries. Pagina 30
31 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Minacce (alcuni esempi) (Fonte: The British Continuity Institute validated responses received representing 82 countries. Pagina 31
32 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 32
33 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 33
34 La gestione del Rischio dell'it: strumenti ed impiego pratico Pagina 34
35 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Lezione imparata Un incidente è un qualunque evento inaspettato, che può causare danni più o meno significativi. Gli incidenti e le crisi sono dinamici, pertanto evolvono, cambiano col tempo e le circostanze, e sono spesso rapidi e invisibili. La loro gestione deve essere dinamica, attiva e ben documentata. La classificazione degli incidenti è provvisoria finché l incidente non viene risolto. Pagina 35
36 La gestione del Rischio dell'it: strumenti ed impiego pratico Rischi Impatto sul Business (i danni, alcuni esempi) Rischi = Costi: se fosse andato male? stimiamo i costi per l esempio precedente. risorse umane coinvolte: ~130 giornate di fermo (previsione ottimistica): 5 costo azienda del personale, al giorno (valore medio): 73,- Costo incidente: per una settimana: ~ ,- proiezione pessimistica a un mese: ~ ,- PER IL SOLO COSTO DEL PERSONALE lasciato inoperativo Pagina 37
37 La gestione del Rischio dell'it: strumenti ed impiego pratico Parametri per la selezione di risposta 1. Importanza del rischio 2. Costo della risposta per mitigare il rischio entro tolleranza 3. Capacità di implementazione Risks exceeding Risks exceeding the risk tolerance Rischi che the risk tolerance eccedono level il livello level di tolleranza Opzioni di selezione della risposta ai rischi Opzioni per il tipo di risposta 1. Rimuovere 2. Ridurre/Mitigare 3. Condividere/Trasferire 4. Evitare 5. Accettare 4. Efficacia della risposta 5. Efficienza della risposta Fonte: Risk IT - ISACA Prioritizzazione della risposta ai rischi Piano di Azione «Risk-Response» Prioritization How? Risk Level Business Case (postpone) Quick Wins Business Case Benefit/Cost ratio Pagina 39
38 La gestione del Rischio dell'it: strumenti ed impiego pratico Information Asset Name: Inadequate Information Security Incident Management Firewall "Palo Alto" - CED-A ID Threat Vulnerability Inadequate Information Security Incident Management Lack or insufficient procedures for reporting information security events / weaknesses Lack or insufficient management of information security incidents (roles & responsibilities, lessons learned, evidence collection) Risk BEFORE Mitigation Financial Risk BEFORE mitigation Risk Treatment Description of Mitigation action Risk AFTER mitigation Integrity Type Preventive Corrective Reputati Confiden Availabili Violation Other (Recovery) Financial Violation Reputati on Confiden tiality Availabili ty Risk Removal Risk Removal Implementare Processi di ISMS. Implementare Processi di ISMS. Risk AFTER Mitigation on tiality ty Integrity Other Inadequate Business Continuity Management Inadequate Business Continuity Management Lack or insufficient process for business continuity management (roles & responsibilities, BC plans) Risk Removal Lack or insufficient tests of BC plans Risk Removal Fire Cable/Device fire Risk Reduction Fire Lack or insufficient control of environmental conditions Risk Reduction CED-A: procedere sigillando il CED-A; in particolare, dato che l'impianto estinguente è basato su gas inerte a pressione, è imperativo chiudere il foro presente nella pavimentazione (soletta) in centro stanza. L'impatto in caso di incendio, si propagherebbe in altri rami dell'azienda (laboratori sottostanti). Implementazione impianti rilevazione fumo ed telecontrollo. Verificare nel CED-A che gli ampi vetri della finestra sopportino la scarica dell'antincendio. Introdurre Processi BCP/DR. Introdurre Processi BCP/DR Water damage Lack or insufficient control of environmental conditions Risk Reduction Implementare sensori a pavimento Water damage Major accident Unprotected water pipes crossing sensitive areas in building (e.g. server room) No copies of original documents, contracts, core applications, installation media etc Risk Reduction Risk Removal Major accident No insurance contracts Risk Transfer Sigillare il vano da possibili infiltrazioni provenienti a livello di corridoio. Prevedere lo spostamento degli SPLIT (in particolare quello sovrastante l'impianto estinguente). Eseguire copia della configurazione dell'apparato. Prevedere polizze assicurative a copertura dell'asset. Introdurre processi COBIT DS9 e DS Loss of essential services Lack or insufficient redundancy / fail-over services Risk Removal Dotarsi di impianti configurati in alta affidabilità, prevedendo impianto di BusinessContinuity. In particolare, dotarsi di impianto che permetta l'utilizzo bilanciato delle linee TD Loss of essential services Lack or insufficient cabling Risk Removal Prevedere sdoppiamento dei link FO tra i vani tecnici per le configurazioni di HA su VLAN Failure of telecommunication equipment Lack or insufficient cabling Risk Removal Prevedere sdoppiamento dei link FO tra i vani tecnici per le configurazioni di HA su VLAN Pagina 40
39 La gestione del Rischio dell'it: strumenti ed impiego pratico L analisi dei rischi risponde alle domande di tutti gli stakeholder (esempi): Permette di identificare eventuali ambiti di debolezza di un organizzazione Aiuta l organizzazione a gestire gli sviluppi di business utilizzando l approccio del Risk Management Permette di misurare l efficienza del sistema organizzativo (in termini di risposta) Minimizza le opportunità perse Fornisce un meccanismo attraverso il quale il Board è in grado di dimostrare la compliance (rispetto delle normative, e rispetto ai clienti) Permette di stimare i livelli di rischio prima di un importante progetto o intervento evolutivo Aumenta l integrazione tra persone e processi Permette all organizzazione di dotarsi di un meccanismo attraverso il quale può migliorarsi costantemente Pagina 41
40 Un primo aforisma per tutti «Ogni anno vengono uccise più persone dai maiali che dagli squali, e questo evidenzia quanto siamo bravi nel valutare i rischi» Bruce Schneier (crittografo e saggista statunitense) Pagina 42
41 Agenda seconda parte IT Governance e Continuità Operativa «per non lasciare la ruota di scorta in garage» Pagina 43
42 IT Governance e Continuità Operativa «Information technology and business are becoming inextricably interwoven. I don't think anybody can talk meaningfully about one without the talking about 1 the other» (Le tecnologie dell'informazione ed il business stanno diventando inestricabilmente intrecciate. Io non credo che nessuno possa, a ragione, parlare di uno senza parlare dell'altro). 1 Gates, William H., the Speed of Thought: Succeeding in the Digital Economy. New York: Warner Books, Inc Pagina 44
43 IT Governance e Continuità Operativa L IT Governance viene definita come (reprise #002): «un insieme di logiche e strumenti finalizzati alla creazione di un assetto strutturale e di un contesto di governo del sistema informativo aziendale che lo rendano costantemente coerente con le esigenze aziendali in un contesto di economicità»* Le principali finalità sono: 1. l allineamento dei sistemi agli obiettivi di business e 2. la gestione dei rischi informatici *Fonte: ISACA / SDA Bocconi Pagina 45
44 Agenda seconda parte HA / DR / BC: punto zero Pagina 46
45 HA / DR / BC: punto zero HA High Availability l HA prevede l'impiego di componenti infrastrutturali ridondati al fine di garantire la continuità del funzionamento di uno o più impianti/servizi. Pagina 47
46 HA / DR / BC: punto zero DR Disaster Recovery per Disaster Recovery (DR) si intende l'insieme di misure tecnologiche, logistiche ed organizzative atte a ripristinare entro una finestra temporale predefinita infrastrutture, sistemi e dati necessari all'erogazione di servizi per il business, a fronte di gravi emergenze che ne intacchino la regolare attività. Pagina 48
47 HA / DR / BC: punto zero BC Business Continuity per gestione della continuità di business (Business Continuity Process - BCP) si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi avversi che possono colpirla. Pagina 49
48 HA / DR / BC: punto zero Disaster Recovery Organizzazione Aziendale (Corporate Governance) Organizzazione IT (IT Governance) Hardware Collegamenti Basi Dati Risorse Umane Software Logistica IT Documentazione Sito alternativo Personale EDP Norme Finanze Impianti produttivi Documentazione Infrastrutture logistiche Comunicazioni Strumenti informatici (non di core) Business Continuity Fonte: ISACA Pagina 50
49 HA / DR / BC: punto zero RTO Recovery Time Objective - indica il tempo che intercorre dall evento disastroso, al momento in cui il sistema è di nuovo operativo RPO Recovery Point Objective - indica la misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso MTPD Maximum Tolerable Period of Disruption - indica il massimo periodo di interruzione (del servizio) accettabile MBCO Minimum Business Continuity Objective - indica il livello minimo di operatività accettabile Perimetro - è l insieme finito di tutti gli asset che devono essere considerati nell ambito di un progetto BCP/DR. L analisi deve essere preventiva alla stesura di qualsiasi progetto. Pagina 51
50 HA / DR / BC: punto zero Recupero lavoro perso nel tempo RTO e ricostruzione dei dati non salvati nella finestra RPO (laddove possibile ricostruirli) EVENTO che provoca interruzione processo (con distruzione apparati) Replica sincrona (sec) Replica asincrona/snapshot (minuti) Backup periodico su nastro magnetico (ore) Backup settimanale su nastro magnetico (giorni)???? RPO RTO Attività corrente di Business Attività degradata Attività ripristinata t -1 t 0 t 1 t 2 Tempo Fonte: ISACA Pagina 52
51 HA / DR / BC: punto zero Continuità di Business Testata ed efficace Livello di erogazione dei servizi di business (SLA) MBCO EVENTO MBCO (?????) RTO RTO (?????) No Continuità di Business: ripristino fortunato!!! No Continuità di Business: risultato imprevedibile!!! o t 1 t 0 t 2 Tempo Fonte: ISACA MBCO Minimum business continuity objective t 2 - MTPD Maximum tolerable period of disruption (inizio perdite significative per l Azienda) Pagina 53
52 Agenda seconda parte Predisposizione, attuazione e verifiche del Piano Pagina 54
53 Predisposizione, attuazione e verifiche del Piano BCM Business Continuity Management «processo di gestione olistica che identifica le minacce potenziali per un'organizzazione e l'impatto per le attività aziendali che tali minacce, se realizzate, potrebbero causare, e fornisce un framework per la realizzazione della resilienza organizzativa con la capacità di una risposta efficace che tutela gli interessi delle parti coinvolte (stakeholders), la reputazione, il marchio e le attività di creazione del valore (utilità, garanzia)» Olistico: un approccio globale multidisciplinare, con risvolti interni ed esterni Resilienza = capacità di resistere ad eventi distruttivi Fonte: ISACA e Pagina 55
54 Predisposizione, attuazione e verifiche del Piano E necessaria una cultura aziendale che permetta di identificare e gestire con successo tutti i rischi che possano esporla a danni. E responsabilità primaria dell Alta Direzione (Senior Management) Deve essere eseguito dalle unità di business e di supporto che devono fornire un livello ridotto ma sufficiente di funzionalità subito dopo l accadere dell evento dannoso. Esso dovrebbe identificare tutte le funzioni e gli asset richiesti per rendere l organizzazione nuovamente operativa in caso di evento dannoso. Pagina 56
55 Predisposizione, attuazione e verifiche del Piano Strategia di impresa Obiettivi aziendali per l IT Obiettivi IT Architettura aziendale per l IT IT Scorecard Business Continuity needs Requisiti Aziendali Requisiti di Governance Richiedono/stabiliscono producono Informazioni richiedono Servizi Informativi influenzano Processi IT eseguono Applicazioni influenzano Criteri delle informazioni hanno bisogno di Infrastrutture e persone Fonte: ISACA Obiettivi aziendali BCP/DR per l IT Architettura aziendale BCP/DR per l IT Pagina 57
56 Predisposizione, attuazione e verifiche del Piano Pianificazione (BC Policy, Scope) Analisi dell impatto sul Business (BIA) Monitoraggio, manutenzione, modifica del piano Ciclo di vita del Business Continuity Management System Test del piano di BC Addestramento e consapevolezza del piano di BC Valutazione e Risk Analysis Sviluppo della Strategia di BC Sviluppo piano di BC Fonte: ISACA Esecuzione della Strategia (impl. contromisure) Pagina 58
57 Predisposizione, attuazione e verifiche del Piano Normativa ISO 22301:2012 Contex of the organization Leadership Planning Support Operation Performance evaluation Improvement Understanding of the the organization and its context Management Commitment Actions to adderss risk and opportunities Resources Operational planning and control Monitoring measurement analysis and evaluation Non conformity and corrective action Expectations of interested parties BC policy BC objectives Competence BIA and risk assessment Internal audit Continual improvement Scope of Management System Roles Responsabilities and Authorities Awareness BC strategy Management review BCMS Comunication Establish and implement BC procedures Documented Information Execising and testing PLAN DO CHECK ACT Fonte: ISACA e Pagina 59
58 Predisposizione, attuazione e verifiche del Piano Monitoraggio Infrastruttura Gestione della Capacità Gestione Incidenti/Problemi Controlli Rilevativi Evento disastroso Ripristino dati (dal backup) Creazione sito di Riserva Gestione dei Rischi Gestione delle Configurazioni Gestione del Backup Controlli Preventivi Controlli Correttivi Piani di BCP/DR Contratti terze parti Generatori o UPS Fonte: ISACA La stesura del Piano serve a: Ridurre le probabilità di fermo t 0 tempo L esecuzione del piano serve a Mitigare le conseguenze Pagina 61
59 Predisposizione, attuazione e verifiche del Piano A seconda dell ampiezza e dei requisiti di una organizzazione il BCP dovrebbe comprendere i seguenti documenti: 1. Piano per la Continuità delle Operazioni 2. Piano di Disaster Recovery 3. Piano per il riavvio del Business Pagina 62
60 Predisposizione, attuazione e verifiche del Piano Test del Piano (#001): I passi consistono nel recuperare/eseguire: Recupero delle specifiche del Piano Esecuzione Documentazione dei risultati (durante il test) Analisi dei risultati Piano di manutenzione Best Practices nel BC Management Pagina 63
61 Alcuni vantaggi apportati dal processo di Continuità Operativa Nei confronti delle strategie di Core: supporto ai requisiti di time to market del business maggiori sinergie dai livelli operativi e dalle applicazioni focalizzazione sul vero potenziale del business miglioramento delle performance mediante l ottimizzazione dell'uso degli asset miglioramento della manutenzione dei processi produttivi controllo sul ritorno dell investimento IT gestione dei rischi aziendali conformità alle leggi, regolamenti e contratti Pagina 64
62 Alcuni vantaggi apportati dal processo di Continuità Operativa Nei confronti dei benefici al Cliente: miglioramento della customer satisfaction attraverso la coerenza agli SLA concordati miglioramento della qualità del prodotto/servizio miglioramento delle transazioni e della sicurezza dei dati Nei confronti dei dipendenti/collaboratori: miglioramento della qualità professionale indirizzare la cultura aziendale al miglioramento continuo creazione di una struttura per la migliore condivisione delle informazioni (reporting) Nei confronti della competition e dell opinione pubblica: adempimento agli obblighi di legge miglioramento della corporate identity/corporate image miglioramento dell affidabilità complessiva dell organizzazione (irrobustimento) * Pagina 65
63 Agenda seconda parte Riferimenti normativi Pagina 66
64 Riferimenti normativi (fonte: Internet) Decreto Legislativo 8 giugno 2001, n. 231 pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno Decreto Legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali» ISO/IEC Information security management ISO Environmental management ISO Risk management ISO Social responsibility The Sarbanes-Oxley Act - A Guide To The Sarbanes-Oxley Act ISO 22301: Societal security -- Business continuity management systems Pagina 67
65 Domande? RISPOSTE! Pagina 68
66 Un aforisma per tutti «Il dolore del declino appartiene a chi ha lavorato e a chi ha criticato» (cit.) Pagina 69
La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliVision strategica della BCM
Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
DettagliESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile
ESSERE O APPARIRE Le assicurazioni nell immaginario giovanile Agenda_ INTRODUZIONE AL SETTORE ASSICURATIVO La Compagnia di Assicurazioni Il ciclo produttivo Chi gestisce tutto questo Le opportunità di
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliCERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity
Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione
DettagliLa continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda
La continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda Ospedaliera di Desio e Vimercate Cosa è la continuità operativa
DettagliProteggere il proprio business. ISO 22301: continuità operativa.
Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliCatalogo Corsi. Aggiornato il 16/09/2013
Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...
DettagliANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager
ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società
DettagliIl modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno 2013 1
Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali Roma, 6 giugno 2013 1 Fondata nel 1972 142 soci 50 associati Fatturato complessivo dei
DettagliIl sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno dal punto di vista del revisore
Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno dal punto di vista del revisore Università degli studi di Pavia Obiettivo=Relazione Team di Revisione Principi Contabili/Principi
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
DettagliCERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a
P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management
DettagliPolitica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)
Procedura Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE) TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: MSG HSE 1 Questo pro hse documento 009 eniservizi
DettagliCERTIFICAZIONE DI QUALITA
CERTIFICAZIONE DI QUALITA Premessa Lo Studio Legale & Commerciale D Arezzo offre servizi di consulenza per la certificazione di qualità secondo gli standard internazionali sulle principali norme. L obiettivo
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliExport Development Export Development
SERVICE PROFILE 2014 Chi siamo L attuale scenario economico nazionale impone alle imprese la necessità di valutare le opportunità di mercato offerte dai mercati internazionali. Sebbene una strategia commerciale
DettagliIL SISTEMA DI CONTROLLO INTERNO
http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliBUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.
BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliINTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA
INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliL IT Governance e la gestione del rischio
L IT Governance e la gestione del rischio Silvano Ongetta - AIEA Manno 16 Gennaio 2008 copyrighted 2004 by the IT Governance Institute. Definizioni La Corporate Governance è il sistema attraverso il quale
DettagliUniversità di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliQualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
DettagliLA NUOVA ISO 9001:2015
Aspettative e confronto con la versione 2008 Vincenzo Paolo Maria Rialdi Lead Auditor IRCA Amministratore Delegato e Direttore Tecnico Vevy Europe S.p.A. 2/9 BREVE STORIA DELLA NORMA ISO 9000 standard
DettagliPROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
DettagliIT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliSERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)
SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliSOLUZIONI INFORMATICHE PER LO STUDIO LEGALE
SOLUZIONI INFORMATICHE PER LO STUDIO LEGALE Nekte Srl Viale Gran Sasso, 10-20131 Milano Tel. 02 29521765 - Fax 02 29532131 info@nekte.it www.nekte.it L IMPORTANZA DI CONOSCERE I PROFESSIONISTI Nekte ha
DettagliGestione in qualità degli strumenti di misura
Gestione in qualità degli strumenti di misura Problematiche Aziendali La piattaforma e-calibratione Il servizio e-calibratione e-calibration in action Domande & Risposte Problematiche Aziendali incertezza
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliProcessi di Gestione dei Sistemi ICT
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,
DettagliSOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.
DettagliUn metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa
RISK MANAGEMENT & BUSINESS CONTINUITY Business Continuity per le imprese Un metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa PER LE IMPRESE VISITA IL SITO: www.exsafe.it
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliFattori critici di successo
CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliRedazione e Presentazione di Progetti Informatici
Redazione e Presentazione di Progetti Informatici Corso di Laurea in Informatica Massimo Ruffolo E-mail: ruffolo@icar.cnr.it Web: http://www.icar.cnr.it/ruffolo Istituto di CAlcolo e Reti ad alte prestazioni
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliFINANCIAL & ACCOUNTING BPO, GESTIONE DOCUMENTALE E CONSULTING SERVICES
FINANCIAL & ACCOUNTING BPO, GESTIONE DOCUMENTALE E CONSULTING SERVICES In un contesto in rapida evoluzione e sempre più marcata competitività a livello globale per le aziende la focalizzazione sul core
DettagliLa Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA
La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliSicurezza, Rischio e Business Continuity Quali sinergie?
Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni
DettagliCertificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
DettagliPer offrire soluzioni di Risk Management
REAL LOGISTICA ESTATE per consulting è la società di consulenza del gruppo per che opera nell ambito del Risk Management. I servizi offerti, che vanno dall Analisi del rischio al Disaster Recovery Plan,
DettagliI Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001
I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001 Percorsi di ampliamento dei campi di applicazione gestiti in modo
DettagliIL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE
IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE Relatore: LIFE 04 ENV/IT/494 AGEMAS Obiettivi del sistema di gestione ambientale Prevenzione, riduzione dell inquinamento Eco-efficienza nella gestione delle
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliEasyGov Solutions Srl. Start-up del Politecnico di Milano
EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,
DettagliPanoramica su ITIL V3 ed esempio di implementazione del Service Design
Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico
DettagliANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING
ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING CREARE OPPORTUNITÀ PER COMPETERE Oggi le imprese di qualsiasi settore e dimensione devono saper affrontare, singolarmente o in rete, sfide impegnative sia
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliIL PATRIMONIO INTANGIBILE. Idee e metodologie per la direzione d impresa. Marzo 2004
Marzo Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. IL PATRIMONIO INTANGIBILE COSA SI INTENDE PER PATRIMONIO INTANGIBILE?
DettagliMANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ
MANUALE GESTIONE QUALITÀ SEZ. 5.1 REV. 02 pagina 1/5 MANUALE DELLA QUALITÀ Rif.to: UNI EN ISO 9001:2008 PARTE 5: RESPONSABILITÀ DELLA DIREZIONE SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA
DettagliSICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY
SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY Venezia 19 maggio 2011 Scenario di contesto Documenti - solo digitali - digitali e analogici Archivi - solo digitali - digitali e analogici 1 Archivio digitale
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliIS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
DettagliG.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni
G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliSCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT
srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT
DettagliPowerSchedo. Un sistema di supporto alla decisione nel settore dell'oil&gas. For further information: www.mbigroup.it
PowerSchedo Un sistema di supporto alla decisione nel settore dell'oil&gas For further information: Introduzione PowerSchedO è uno strumento software di supporto alle decisioni per problemi nel settore
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
DettagliAssessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica
Assessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica ALLEGATO D.1 BANDO PUBBLICO APERTO RIVOLTO AD IMPRESE OPERANTI NEI SETTORI DELLE TECNOLOGIE
DettagliZerouno IBM IT Maintenance
Zerouno IBM IT Maintenance Affidabilità e flessibilità dei servizi per supportare l innovazione d impresa Riccardo Zanchi Partner NetConsulting Roma, 30 novembre 2010 Il mercato dell ICT in Italia (2008-2010P)
DettagliCreating Your Future
Creating Your Future CONSULENZA GESTIONE PROGETTI 1 Sviluppo ad-hoc della metodologia di Project Management 2 Coaching a supporto di team di progetto 3 Organizzazione del Project Management Office 4 Gestione
DettagliISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali. Roma 22/10/15 Bollate 05/11/15
ISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali Roma 22/10/15 Bollate 05/11/15 EVOLUZIONE DELLA NORMA ISO 14001 Prima pubblicazione: 1996 Prima revisione: 2004 (introdotti cambiamenti
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliServices Portfolio «Energy Management» Servizi per l implementazione dell Energy Management
Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard
DettagliCompetenze e conoscenze come SGQ in ambito di vigilanza ex Reg.to UE 333/11 e D.Lgs 100/11. M.C. Romano, M. Ranieri
Competenze e conoscenze come SGQ in ambito di vigilanza ex Reg.to UE 333/11 e D.Lgs 100/11 M.C. Romano, M. Ranieri Le giornate di Corvara 18 Convegno di Igiene Industriale Corvara (Bz)) 28-30 marzo 2012
DettagliISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
DettagliBASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza
BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza Rev. 03 del 27 maggio 2008 La BASILE PETROLI S.p.A., nell ambito delle proprie attività di stoccaggio e commercializzazione di
DettagliL IT a supporto della condivisione della conoscenza
Evento Assintel Integrare i processi: come migliorare il ritorno dell investimento IT Milano, 28 ottobre 2008 L IT a supporto della condivisione della conoscenza Dott. Roberto Butinar AGENDA Introduzione
DettagliIl corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007
Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007 GENERALITA Il Sistema di Gestione Aziendale rappresenta la volontà di migliorare le attività aziendali,
Dettagli