La sicurezza ICT nelle PMI: quale approccio?

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La sicurezza ICT nelle PMI: quale approccio?"

Transcript

1 La sicurezza ICT nelle PMI: quale approccio? Marco Bozzetti Presidente ClickICT Srl David Bramini Senior Consultant - Visionest S.p.A. > Il ruolo crescente dell ICT nelle PMI Con il termine ICT, Information and Communication Technology, si indica l insieme delle tecnologie informatiche e di telecomunicazione che sono ormai così integrate ed interagenti da costituire, almeno tecnologicamente, un unicum indistinguibile. I sistemi ed i servizi ICT sono pervasivi nell ambito aziendale ed hanno investito totalmente non solo i processi aziendali, con tutte le relative implicazioni organizzative, ma il modo stesso di fare business. Questo vale per qualsiasi azienda, grande o piccola., quindi anche per le PMI 1. Il mondo delle PMI è estremamente diversificato, sia per settore industriale che per dimensioni. La stragrande maggioranza delle PMI in Italia è una microazienda, ossia fino a 10 dipendenti: e gran parte delle microaziende ha 2 dipendenti. Ma anche per le PMI e per le microaziende l ICT riveste un ruolo chiave, anzi ancor più strategico in quanto esse non hanno il grande nome (brand) né budget pubblicitari da spendere per farsi conoscere e per competere nel mercato internazionale e globalizzato. Il sistema ICT aziendale nel suo complesso è un infrastruttura di base per qualsiasi attività aziendale, ed i dati in esso contenuti e trattati sono un asset, ossia un patrimonio aziendale. Qualsiasi tipo di Azienda, anche una micro azienda, dipende dal proprio sistema informativo aziendale, che il più delle volte è connesso ad Internet non solo per consentire l accesso di utenti anonimi al web che presenta l Azienda e le sua attività, ma per fornire funzionalità di extra e di intranet per scambio di informazioni tra i vari uffici e stabilimenti dell azienda, per interazioni con i dipendenti, con i fornitori e con i clienti, e così via. Per l azienda moderna l informazione e uno degli elementi determinanti al successo (competitivo, reddituale, sociale): le informazioni sono una parte dell attivo aziendale e come tali devono essere valutate, classificate e protette. L evoluzione tecnologica e la stessa pervasività dell ICT rendono il sistema informativo un sistema sempre più complesso e difficile da governare, e quanto più un sistema è complesso tanto più è vulnerabile. E il sistema informativo aziendale che consente ormai il funzionamento dell azienda, e quindi del suo business: indipendentemente dal tipo e dalla dimensione dell azienda occorre quindi proteggere opportunamente il sistema informativo in modo da garantire realmente la continuità operativa del business, che viene ormai identificata con il termine inglese di business continuity. La corretta protezione del sistema informativo e delle informazioni da esso trattate, che viene genericamente chiamata sicurezza ICT è uno degli elementi determinanti per garantire la business continuity. 1 PMI, Piccole e Medie Imprese.

2 > Basta la tecnologia a renderci veramente sicuri? Ma che cosa si intende per "sicurezza di un sistema informativo"?. E la "protezione dei requisiti di integrità, disponibilità e confidenzialità" delle informazioni trattate, ossia acquisite, comunicate, archiviate, processate, dove: Integrità è la proprietà dell'informazione di non essere alterabile; Disponibilità è la proprietà dell'informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti autorizzati; Confidenzialità è la proprietà dell'informazione di essere nota solo a chi ne ha il diritto Per le informazioni e i sistemi connessi in rete le esigenze di sicurezza includono anche: Autenticità è la certezza da parte del destinatario dell'identità del mittente; Non ripudio, quando il mittente o il destinatario di un messaggio non ne possono negare l'invio o la ricezione. La sicurezza ICT, per essere reale ed efficace, non dipende solo da aspetti tecnici, ma anche, se non soprattutto, da quelli organizzativi, sociali e legali. Essa rientra infatti nel più grande contesto della Sicurezza aziendale e deve essere considerata come una caratteristica globale del sistema e non come il semplice insieme di dispositivi e tecnologie relativi ad alcuni, o a tutti, i diversi lati ed aspetti della sicurezza. La sicurezza ICT è un contesto interdisciplinare, che coinvolge diverse competenze e tutte le aree ed i processi dell'azienda: deve pertanto essere approcciata in maniera globale, in funzione degli obiettivi strategici e della tipologia dell azienda. Inoltre la sicurezza deve essere gestita in maniera dinamica, con il continuo adeguamento all evoluzione del business e della tecnologia. Nella realtà Italiana, ed in particolare nelle PMI, accade sempre più di frequente che, nonostante gli investimenti fatti in tecnologie per la sicurezza, le informazioni continuano a non essere protette entro limiti accettabili. Questo si verifica perchè c è la tendenza istintiva ad affidare la protezione delle informazioni direttamente ai prodotti anzichè alle strategie di sicurezza, mentre proprio quest ultime dovrebbero essere il mezzo per decidere quali informazioni proteggere, in che modo ed a che prezzo. Anche l aspetto umano è spesso tralasciato o poco considerato. Ha senso introdurre un costoso firewall se non si ha una chiara idea di cosa fargli fare o non vi sono le persone con la formazione od il tempo necessari per amministrarlo? Ha senso proteggere i dati con algoritmi di crittografia sofisticati quando la mancanza di una chiara politica sulle password vanifica il livello di protezione riducendolo alla portata di attacchi anche banali? Vengono sistematicamente aggiornati tutti i software? Chi costudisce il custode? Esiste nella struttura organizzativa una persona o una funzione (magari anche esterna all Azienda stessa) che verifica e supervisiona le attività ed i risultati sulla sicurezza ICT?

3 L adozione degli opportuni strumenti e sistemi di sicurezza è una condizione necessaria ma non sufficiente per la realizzazione di un vero sistema i sicurezza: la sensibilizzazione del personale tutto, la sua formazione, la definizione di opportune strutture organizzative e delle relative procedure sono elementi determinanti, che richiedono un intelligente e mirata gestione del personale e della sua organizzazione. Il non considerare tali aspetti organizzativi e di motivazione e gestione del personale conduce al grave rischio della falsa sicurezza: l alta direzione o il proprietario dell Azienda ritengono, con le spese fatte in prodotti e sistemi, di avere un sistema sicuro ed affidabile, ma gli utenti non usano (o non sanno usare) correttamente tali sistemi, con il risultato di avere l intero sistema informativo ed i suoi dati facilmente attaccabili. Una analoga situazione si ritrova nell industria dei prodotti dietetici: anche se il 99% delle diete si conclude con un fallimento, sempre più soldi vengono spesi in prodotti per il dimagrimento, che diventano i principali accusati da parte di chi non ha raggiunto i suoi obiettivi di peso. Il primo passo da compiere per un corretto ed efficace approccio alla sicurezza ICT è la definizione di una strategia di sicurezza ICT (chiamata anche politica o policy ) adeguata alla realtà ed agli obiettivi dell Azienda considerata. > Cosa è una strategia di sicurezza per l ICT? La definizione di una strategia di sicurezza è lo strumento che permette di coniugare gli obiettivi aziendali e la realtà del sistema informativo con i possibili rischi cui esso può andare soggetto, e quindi di stabilire oggettivamente i requisiti di sicurezza dell Azienda (quindi anche della nostra PMI), aiutando ad individuare le contromisure, sia tecnologiche che organizzative, a supporto di tali obiettivi. La mancanza di una chiara strategia di sicurezza porta di norma alla ricerca, di volta in volta, di un prodotto in grado di risolvere il problema occorso. Spesso viene scelto, tra i tanti disponibili sul mercato, il prodotto che risulta essere una soluzione parziale (spesso inadeguata) all intero problema della sicurezza globale e che, soprattutto, porta al grave rischio della falsa sicurezza precedentemente discusso. Una strategia di sicurezza si compone di diversi elementi, tra i principali troviamo l analisi del rischio, la stesura delle politiche di sicurezza, la classificazione delle informazioni e la realizzazione di un programma di consapevolezza per il personale. Ciascuno di questi elementi può evidentemente essere sviluppato in tempi e modalità anche molto diverse tra di loro, in funzione delle dimensioni e delle particolarità dell azienda, in termini sia di tipo di business sia di sistema informativo utilizzato. Tale approccio, seguito dalle grandi Aziende, è ritenuto troppo complesso, lungo e costoso per le PMI. E le PMI seguono il più delle volte, a fronte di un problema, la scelta sopra evidenziata della soluzione specifica ad hoc. Si chiude insomma la stalla dopo che i buoi sono scappati, ed è ovvio comprendere come tale logica sia, non solo inefficace, ma pericolosa ed esponga l azienda a grandi rischi. La definizione della policy di sicurezza è invece l unico approccio da seguire, anche per le PMI e, anche grazie agli standard ora disponibili, è possibile attuarla in breve tempo ed a costi limitati. Il coinvolgimento di un vero esperto di sicurezza ICT (interno o esterno all Azienda), in piena e trasparente collaborazione con i responsabili aziendali (per le PMI coincidono molto spesso con i proprietari), grazie alle linee guida standard dell ISO 17799, può portare in pochi giorni alla definizione dell intera policy ed in poche settimane alla realizzazione tecnico-organizzativa dei primi interventi..

4 Nel caso delle PMI infatti le dimensioni dell azienda e del business sono limitate, e risulta quindi abbastanza semplice e facile fare un censimento dei sistemi ICT, in termini di infrastrutture ed applicazioni, così come provvedere agli aspetti organizzativi e procedurali. Il citato Standard ISO, derivato dai precedenti BS 7799, Common Criteria, ITSEC e CTSEC, stabilisce un insieme di raccomandazioni e di linee Guida per i responsabili dell implementazione e del mantenimento della sicurezza in una organizzazione. In particolare esso definisce una lista di possibili controlli (peraltro non esaustiva) tra cui una organizzazione deve individuare quelli da implementare in base alle proprie esigenze ed alle leggi vigenti. La figura 1 mostra un tipico schema per la definizione metodologica di una policy, nel quale si evidenzia il ruolo chiave dell analisi del rischio e della classificazione delle informazioni Fig. 1 Esempio di processo completo per la sicurezza globale ICT

5 L analisi del rischio e la classificazione delle informazioni L analisi del rischio è un processo che individua i rischi interni od esterni cui un Azienda potrebbe andare soggetta. Nell ambito della sicurezza ICT l analisi del rischio fa riferimento ai sistemi ICT ed alle informazioni trattate, ai possibili attacchi, alle possibili conseguenze sia dirette che indirette. La figura 2 schematizza la logica dell analisi del rischio per la sicurezza ICT: considerando l ambiente ICT in funzione (e/o i suoi futuri sviluppi, se già a piano) e le informazioni da esso trattate, si vanno ad analizzare le loro criticità e vulnerabilità nell ottica del business aziendale. E sempre in quest ottica si vanno a considerare le possibili minacce, provenienti sia da utenti interni sia esterni, Fig. 2 Lo schema logico dell analisi del rischio La valutazione delle minacce riguarda gli eventi che possono compromettere il patrimonio informativo dell'azienda. Tali eventi, chiamati anche attacchi, possono essere accidentali o intenzionali Le vulnerabilità dei sistemi informativi è intesa come gap tra lo stato attuale della protezione delle applicazioni/informazioni e le aspettative di protezione ritenute adeguate al fine di impedire ad un agente esterno la compromissione dei dati.la fig. 3 schematizza la tipologia dei rischi cui può essere soggetto un sistema informaivo, e la fig. 4 mostra degli esempi di vulnerabilità dello stesso.

6 Fig. 3 Schematizzazione tipologia rischi di un sistema informativo Fig. 4 Esempi di vulnerabilità di un sistema informativo La classificazione delle applicazioni e delle loro informazioni è intesa come associazione del valore che le stesse hanno per il business dell azienda, evidenziando anche quali sono le informazioni che trattano dati personali e sensibili secondo la legge 675

7 La classificazione delle informazioni serve ad evidenziare, dal punto di vista del business, quali sono le informazioni più importanti, quelle più critiche (ad esempio in termini di segretezza: formule di un prodotto chimico o di un processo produttivo, modalità innovative di produzione, clienti e fornitori strategici, prezzi materie prime/semilavorati, ecc.) Quali misure di sicurezza? Le misure di sicurezza devono essere graduate in relazione ai rischi cui sono sottoposte le informazioni. E necessario pertanto effettuare un accurata analisi dei rischi e la classificazione delle informazioni. La graduazione delle misure di sicurezza consente di ottimizzare il rapporto costi-benefici e di semplificare l operatività degli utenti. La priorità da seguire negli interventi è determinata dall esposizione al rischio calcolato tramite la metodologia seguita. La classificazione delle informazioni così come l analisi dei possibili attacchi e delle possibili criticità richiede, oltre al forte commitment del proprietario e/o dell AD/DG, il coinvolgimento dei responsabili di prima linea. Purtroppo, molte delle tradizionali tecniche di analisi del rischio propongono un approccio troppo pesante al problema, richiedendo a chi si accinge a compiere l attività un quantitativo di risorse elevato, in termini sia di costi che di tempo, rispetto all obiettivo da raggiungere. Emblematico è che nel 1998 il General Accounting Office (GAO) degli Stati Uniti (l equivalente della nostra Corte dei Conti), sia arrivato ad emanare una circolare diretta alle agenzie federali per promuovere l utilizzo di tecniche di analisi del rischio meno rigorose ma più flessibili ed immediate. Tale circolare faceva notare che è bene riservare una consistente parte delle risorse spese in analisi per mettere in pratica i risultati delle analisi stesse e poter arrivare quindi all unico vero obiettivo: ridurre e gestire i rischi. A conferma della bontà di questa osservazione il Computer Security Institute (CSI) 2 ha rilevato come le realtà più soddisfatte del proprio modello di analisi del rischio siano quelle che sono riuscite a definire: un processo relativamente semplice adattabile a diverse business unit che coinvolge figure sia con competenze tecniche che di business rispetto alla risorsa oggetto dell analisi. Tenendo presente queste indicazioni è stata messa a punto dagli esperti del CSI una metodologia di analisi del rischio detta FRAP (Facilitated Risk Analysis Process), divenuta presto una delle più popolari tra quelle oggi in uso. La breve durata dell intero processo, che può essere contenuto anche in due sole settimane di attività, rende ancor più facilmente interiorizzabile questo tipo di analisi all interno delle procedure aziendali delle PMI.. Nonostante le moderne metodologie di rapida attuazione come il FRAP abbiano ridotto drasticamente le risorse da impiegare nell analisi del rischio, non è detto che ogni elemento all interno dell azienda necessiti di essere formalmente analizzato. Applicando delle tecniche dette di pre-screening è possibile infatti eseguire un rapido esame di applicazioni, sistemi, processi di business od altri soggetti, per 2 Il CSI (http://www.gocsi.com/) è una delle più importanti Associazioni di esperti di sicurezza ICT Realizza annualmente, assieme all FBI, un rapporto sulla criminalità ICT negli US, analogo all OCI (Osservatorio sulla Criminalità ICT in Italia) del FTI- Sicurgorum (www.forumti.it)

8 stabilire in poche ore se questi abbiano realmente bisogno di essere sottoposti al più approfondito procedimento di analisi del rischio. Per fare un esempio, un semplicissimo metodo di pre-screening per le applicazioni può prevedere i seguenti step (le definizioni seguenti sono a titolo puramente indicativo): 1. Vengono definite semplicemente tre categorie di rischio in base alla criticità dei dati: a. Alta: Quando la disponibilità dei dati è ristretta a specifici individui o la loro perdita può causare forti danni all azienda in termini finanziari, legali, di immagine, ecc. b. Media: Quando la disponibilità dei dati è ristretta a specifici gruppi autorizzati o la loro perdita può causare un significativo impatto anche finanziario c. Bassa: Quando i dati sono disponibili a tutto il personale senza limitazioni e la loro perdita può avere impatti negativi ma deboli per l aspetto finanziario 2. Vengono definite semplicemente tre categorie di impatto in base ad alcuni aspetti dell applicazione: a. Impatto sui Clienti: Alto se coinvolge più del 50% dei clienti Medio tra il 10 ed il 50% Basso meno del 10% b. Impatto Finanziario; Alto se sono gestiti oltre 250K /giorno Medio tra 50 e 250 K /giorno Basso meno di 50 K /giorno c. Impatti legali d. Altri impatti 3. Si può quindi stabilire che se un applicazione è considerata a basso rischio e basso impatto sia sufficiente eseguire dei controlli di base utilizzando delle checklist, mentre per le applicazioni ad alto rischio ed alto impatto sia necessario eseguire una analisi del riuschio formale come ad esempio il FRAP. PMI: la sicurezza ICT riguarda anche voi Piaccia o no, nell attuale contesto di globalizzazione, internazionalizzazione, competitività, economia digitale e di rete anche le PMI sono o saranno a brevissimo coinvolte (lo sono comunque già ma forse non se ne sono accorte). I loro sistemi informativi e le informazioni da essi trattati sono ormai un irrinunciabile assetto strategico. Malfunzionamenti, attacchi casuali (errori compiuti non volendo dagli operatori e dagli utenti) o attacchi intenzionali mettono a rischio non tanto e non solo i sistemi ICT, ma la continuità operativa dell azienda stessa. Un fermo di 3-4 giorni dell ICT blocca a tal punto l azienda, o almeno alcuni dei suoi processi vitali, così da comprometterne totalmente la possibilità di rimanere sul mercato. Ci affidiamo sempre e solo alla nostra buona stella? Compriamo l antifurto solo dopo che ci accorgiamo del furto?. Infine occorre ricordare che la sicurezza ICT protegge non solo dai ladri ma soprattutto dai nostri involontari errori e dai malfunzionamenti delle macchine

9 stesse. E malfunzionamenti ed errori involontari sono gli eventi più frequenti e che più frequentemente mettono a rischio la continuità del business. Incominciamo a ragionare considerando la sicurezza non un costo, una tassa sui sistemi ICT, ma come un indispensabile e non più procrastinabile investimento sul nostro business. Marco Bozzetti, Presidente di ClickICT (www.clickict.com) e Partner Gea Lab (www.gealab.it), ha un esperienza trentennale nel settore ICT ed è stato uno dei primi, a livello mondiale, ad occuparsi di internetworking. Presidente del ClubTI di Milano (www.clubtimilano), Vicepresidente di Fida (www.fidainform.org), è stato un Socio Fondatore del Forum per le Tecnologie dell Informazione (www.forumti.it), nel cui ambito ha creato e dato impulso a Sicurforum ed all Osservatorio sulla Criminalità ICT in Italia (OCI). David Bramini è senior consultant in Visionest S.p.A.(www.visionest.it) E referente per la consulting practice di Business Protection in Visionest. E membro del Computer Security Institute ed ha appreso la metodologia FRAP direttamente dai suoi ideatori negli Stati Uniti.

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano.

Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. Project Portfolio Management e Program Management in ambito ICT: la verifica di fattibilità del Piano. di: Enrico MASTROFINI Ottobre 2004 Nella formulazione iniziale del Piano Ict sono di solito inseriti

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

SINTESI DEI RAPPORTI NET CONSULTING SULL USO DELL ICT NELLE 4 MACROAREE NAZIONALI

SINTESI DEI RAPPORTI NET CONSULTING SULL USO DELL ICT NELLE 4 MACROAREE NAZIONALI SINTESI DEI RAPPORTI NET CONSULTING SULL USO DELL ICT NELLE 4 MACROAREE NAZIONALI PREMESSA L importanza crescente delle caratteristiche locali nello spiegare l andamento industriale ed economico del Paese

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Il ROI del consolidamento dei Server

Il ROI del consolidamento dei Server Il ROI del consolidamento dei Server Sul lungo periodo, un attività di consolidamento dei server è in grado di far scendere i costi IT in modo significativo. Con meno server, le aziende saranno in grado

Dettagli

Gestione dei rischi. Analisi di un modello semplificato per le PMI

Gestione dei rischi. Analisi di un modello semplificato per le PMI Gestione dei rischi Analisi di un modello semplificato per le PMI Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5,

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili Il servizio di registrazione contabile che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili Chi siamo Imprese giovani e dinamiche ITCluster nasce a Torino

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Lezione 7 Sicurezza delle informazioni

Lezione 7 Sicurezza delle informazioni Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

UNIVERSITA' DEGLI STUDI DI PARMA

UNIVERSITA' DEGLI STUDI DI PARMA I II REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE III NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE DIRETTIVE PER LA SICUREZZA DEI SERVIZI DI RETE SOMMARIO PREFAZIONE 3 PROFILO DI RISCHIO:

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Il Continuous Auditing come garanzia di successo dell IT Governance

Il Continuous Auditing come garanzia di successo dell IT Governance Il Continuous Auditing come garanzia di successo dell IT Governance Essere consapevoli del proprio livello di sicurezza per agire di conseguenza A cura di Alessandro Da Re CRISC, Partner & CEO a.dare@logicalsecurity.it

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare

Dettagli

Chiavette USB a prova di attacchi

Chiavette USB a prova di attacchi Chiavette USB a prova di attacchi Adalberto Biasiotti Il punto sui dispositivi di archiviazione portatili che si stanno sempre più diffondendo nelle aziende, ma che possono presentare non pochi problemi

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

TUTTO QUELLO CHE OCCORRE SAPERE PER RESTARE COMPETITIVI SUL MERCATO

TUTTO QUELLO CHE OCCORRE SAPERE PER RESTARE COMPETITIVI SUL MERCATO TUTTO QUELLO CHE OCCORRE SAPERE PER RESTARE COMPETITIVI SUL MERCATO Proposte Corsi OFFERTA I contenuti sono stati sviluppati per rispondere ai fabbisogni formativi specifici per poter realizzare piani

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

La cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali

La cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali GRUPPO INFOR La cultura della Sicurezza nelle PMI Ing. Francesco Guatelli Parma, 23 marzo 2006 Unione Parmense degli Industriali Definizione La sicurezza è un processo Bruce Schneider Introduzione Le informazioni,

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

ICT Information &Communication Technology

ICT Information &Communication Technology ICT Information &Communication Technology www.tilak.it Profile Tilak Srl, azienda specializzata in soluzioni in ambito Communication Technology opera nell ambito dei servizi di consulenza, formazione e

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

IL MESTIERE DEL SECURITY MANAGER. Alessandro Lega, CPP Senior Security Consultant

IL MESTIERE DEL SECURITY MANAGER. Alessandro Lega, CPP Senior Security Consultant IL MESTIERE DEL SECURITY MANAGER Alessandro Lega, CPP Senior Security Consultant Cercheremo di arrivare alla definizione del ruolo e del profilo che meglio descrivono il mestiere del Security Manager tramite

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

"L impatto dell Information Technology sulle aziende del terziario in Italia"

L impatto dell Information Technology sulle aziende del terziario in Italia "L impatto dell Information Technology sulle aziende del terziario in Italia" Sintesi per la stampa Ricerca promossa da Microsoft e Confcommercio realizzata da NetConsulting Roma, 18 Marzo 2003 Aziende

Dettagli

Evoluzione dei Modelli Organizzativi e dei ruoli professionali e manageriali dell ICT per rispondere al business aziendale

Evoluzione dei Modelli Organizzativi e dei ruoli professionali e manageriali dell ICT per rispondere al business aziendale Programma Competenze professionali per l Innovazione Digitale Evoluzione dei Modelli Organizzativi e dei ruoli professionali e manageriali dell ICT per rispondere al business aziendale Marco Bozzetti GeaLab

Dettagli

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6 Approcci al problema della sicurezza 114 Sistemi informativi in rete e sicurezza 4.6 Accessi non autorizzati Hacker: coloro che si avvalgono delle proprie conoscenze informatiche e di tecnologia delle

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Cloud Computing e Mobility:

Cloud Computing e Mobility: S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Cloud Computing e Mobility: Lo studio professionale agile e sicuro Davide Grassano Membro della Commissione Informatica 4 dicembre 2013 - Milano Agenda 1

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui un sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Milano, 3 Dicembre 2014. Le opportunità del rating pubblico. L attività di rating advisory a supporto dello sviluppo delle PMI

Milano, 3 Dicembre 2014. Le opportunità del rating pubblico. L attività di rating advisory a supporto dello sviluppo delle PMI Milano, 3 Dicembre 2014 Le opportunità del rating pubblico. L attività di rating advisory a supporto dello sviluppo delle PMI Intervento Analisi di Risk Management quale leva di influenza del rating: un

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF

OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF OF SERVICE>THE FUTURE OF SERVICE>THE FUTURE OF > keepup EP UP>KEEP UP>KEEP UP>KEEP UP>KEEP UP>KEEP UP Tenere il passo con un mondo globalizzato, attivo 24 ore al giorno e 7 giorni alla settimana per la

Dettagli

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato

Dettagli

INDICAZIONI GENERALI

INDICAZIONI GENERALI INDICAZIONI GENERALI PER LA VALUTAZIONE, L ACQUISTO O LA REALIZZAZIONE IN PROPRIO DI SOFTWARE GESTIONALI PER LE SOCIETA DI RICERCA E SELEZIONE DEL PERSONALE, LE SOCIETA DI RICERCA DIRETTA E LE DIREZIONI

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Riduzione dei costi per la sicurezza IT

Riduzione dei costi per la sicurezza IT Determinazione dell impatto di una maggiore efficacia della sicurezza dei punti terminali, di prestazioni superiori e di un minore ingombro Nella corsa per massimizzare produttività e convenienza, alle

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione

Dettagli

LINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI

LINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI LINEE GUIDA PER LA SICUREZZA INFORMATICA NELLE PMI Linee guida per la Sicurezza Informatica nelle PMI La presente ricerca costituisce il primo aggiornamento dello studio: La criminalità informatica e i

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione. ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Sicurezza Informatica e Digital Forensics

Sicurezza Informatica e Digital Forensics Sicurezza Informatica e Digital Forensics ROSSANO ROGANI CTU del Tribunale di Macerata ICT Security e Digital Forensics Mobile + 39 333 1454144 E-Mail info@digital-evidence.it INTERNET E LA POSSIBILITÀ

Dettagli

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi.

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. BSI vi aiuta a gestire i rischi e ad accrescere il benessere aziendale.

Dettagli

DNV GL - BUSINESS ASSURANCE

DNV GL - BUSINESS ASSURANCE Executive summary DNV GL - BUSINESS ASSURANCE SALUTE E SICUREZZA SUL LAVORO Sommario Introduzione Metodologia e campione della ricerca Analisi dello scenario attuale Gestione della salute e sicurezza sul

Dettagli

LO START UP D IMPRESA INNOVATIVA Vantaggi, agevolazioni fiscali, finanziamenti e incentivi della Regione Toscana. Giovedì 26 novembre 2015

LO START UP D IMPRESA INNOVATIVA Vantaggi, agevolazioni fiscali, finanziamenti e incentivi della Regione Toscana. Giovedì 26 novembre 2015 LO START UP D IMPRESA INNOVATIVA Vantaggi, agevolazioni fiscali, finanziamenti e incentivi della Regione Toscana Giovedì 26 novembre 2015 9:45 Polo Tecnologico e startup innovative Nico Cerri 10:00 Dall

Dettagli

DELL e Project Milano

DELL e Project Milano DELL e Project Milano Premessa DELL non ha bisogno di presentazioni, è un marchio che in 30 anni di attività nella produzione di sistemi informatici, si è imposto a livello mondiale. Solo recentemente

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

La vostra azienda è pronta per un server?

La vostra azienda è pronta per un server? La vostra azienda è pronta per un server? Guida per le aziende che utilizzano da 2 a 50 computer La vostra azienda è pronta per un server? Sommario La vostra azienda è pronta per un server? 2 Panoramica

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

Il security adviser nelle PMI

Il security adviser nelle PMI Il security adviser nelle Workshop sulle competenze ed il lavoro dei Security Adviser Sicurezza delle informazioni: il problema c e ma chi e il responsabile? Milano, 10 maggio 2011 ore 18.00 Palazzo FAST

Dettagli

EMC Documentum Soluzioni per il settore assicurativo

EMC Documentum Soluzioni per il settore assicurativo Funzionalità EMC Documentum per il settore assicurativo La famiglia di prodotti EMC Documentum consente alle compagnie assicurative di gestire tutti i tipi di contenuto per l intera organizzazione. Un

Dettagli

Classificare e proteggere i dati

Classificare e proteggere i dati Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli