Elementi di Sicurezza e Privatezza
|
|
- Bartolomeo Deluca
- 8 anni fa
- Visualizzazioni
Transcript
1 Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez
2 I documenti di riferimento 2
3 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico di una organizzazione devo necessariamente operare delle scelte: Quali asset proteggere? Con che priorità? Chi è responsabile delle attività? Di quali poteri dispone Ecc. 3
4 Politiche di sicurezza La risposta a questi quesiti presuppone un posizionamento strategico della sicurezza informatica ai fini del raggiungimento degli obiettivi aziendali Può quindi essere fornita solo dal top management attraverso la definizione di opportuni documenti 4
5 Politiche, Standard, e Linee guida Nell ambito di (NIST ) è fortemente consigliata la realizzazione di tre tipi di politiche: Enterprise information security program Issue-specific information security policy Systems-specific information security policy 5
6 Politiche, Standard, & Linee Guida Policy: un insieme di indicazioni e regole che indicano quali sono le aspettative del management in termini di sicurezza informatica Standard: un documento più dettagliato rispetto alla policy, che da indicazioni più precise sulle attività da svolgere Procedure e linee guida: spiegano le diverse attività da svolgere, le modalità con cui realizzarle, nonché dettano norme comportamentali 6
7 Enterprise Information Security Policy (EISP) Detta la linea strategica, e gli obiettivi principali a cui devono essere orientati gli investimenti dell azienda in termini di sicurezza Il documento viene solitamente predisposto dal CISO e CIO Documento di alto livello; 2-10 pagine Assegna le responsabilità per i vari settori della sicurezza ICT, compresi La manutenzione delle politiche di sicurezza Training e supporto agli utenti ifnali Fornisce lineee guida per Lo sviluppo, l implementazione e la gestione di tutte le attività rigurdanti la sicurezza informatica 7
8 EISP EISP deve contenere: L indicazione degli obiettivi strategici della Sicurezza Ict in azienda Indicazioni sulla struttura organizzativa che si vuole predisporre per raggiungere gli obiettivi su prefissati Ruoli e responsabilità di tutte le persone coinvolte, sottolineando le responsabilità personali Previsioni di budget 8
9 Issue-Specific Security Policy (ISSP) Tre caratteristiche principali: Affronta problematiche legate alla tecnologia Richiede aggiornamenti frequenti Viene predisposta a partire da un problema sollevato in ambito di policy generale Argomenti tipici: Uso , Uso Internet e World Wide Web, Configurazione minima per la difesa contro malware, Divieti sull uso di particolari tool o procedure (penetration testing, etchical hacking) Uso risorse infomrtiche aziendali 9
10 Componenti di una ISSP Scopo Scopo e dominio di riferimento Definizione della tecnologia analizzata Responsabilità Accesso e uso della tecnologia Modalità d accesso degli utenti Modalità d uso accettate Protezione della Privacy Usi vietati della tecnologia Atti vandalici Atti criminali Violazione Copyrighte leggi sulla proprietà intellettuale Altre restrizioni 10
11 Componenti di una ISSP (Continua) System Management Gestione del materiale memorizzato Controllo dipendenti Virus Protection Sicurezza Fisica Encryption Violazione della politica of Policy Procedure per riportare violazioni della politica Provvedimenti disciplinari per violazioni Aggiornamenti e modifiche Programma per la revisione e modifica della politica Vincoli sulle responsabilità Dichiarazioni circa l esclusione di responsabilità 11
12 Quante ISSP? Tre approcci: Un ISSP per ogni tecnologia da gestire/trattare Un ISSP generico per tutte le tecnologie Un documento modulare formato da tanti capitoli gestito centralmente 12
13 Systems-Specific Policy (SysSP) Essenzialmente dei documenti che servono come standard o linee guida per la configurazione e gestione di sistemi Formati da due componenti: Direttive generali Specifiche tecniche 13
14 Direttive generali Scritte dal management Danno indicazioni generali sulle modalità con cui procedere ala gestione manutenzione dei sistemi, nonché sulle responsabilità dei sysadmin 14
15 Specifiche Tecniche Specificano il modo effettivo con cui mettere in opera le direttive che provengono dal management Due metodi generali: Access control lists Configuration rules 15
16 Come sviluppare le politiche Processo in cui vanno previste due fasi 1. Disegno e sviluppo (o riprogettazione) 2. Avvio di un processo aziendale che consenta il perpetuarsi del processo di analisi e ridefinizione delle politiche 16
17 Coverage Matrix 17
18 CONTINGENCY PLAN 18
19 Che cos è il Contingency Plan? Contingency plannining (CP) Progettare le attività per gestire un evento inatteso e dannoso per l organizzazione RILEVARE, RISPONDERE (react) e RIPRISTINARE il sistema da eventi che ne hanno la sicurezza delle risorse e delle informazioni Obiettivo principale: Ripristinare nel minor tempo possibile e con il minimo costo, la modalità operativa normale a seguito di un attacco distruttivo 19
20 Introduzione Quando la tecnologia viene messa fuori uso e le normali attività dell organizzazione rischiano il collasso è necessario disporre di una serie di procedure che consentano all organizzazione di continuare a svolgere almeno le funzioni essenziali Più del 40% delle organizzazioni vittime di un evento anomalo, che non avevano predisposto un CP sono fallite nell arco di un anno dall evento 20
21 CP: componenti Incident response (IRP) Focalizzato sulla risposta immediata Disaster recovery (DRP) Focalizzato sul restore delle operazioni dopo che il disastro è avvenuto Business continuity (BCP) Focalizzato sulla ripresa delle operazioni su un sito remoto, in attesa del ripristino del sito originale 21
22 Timeline 22
23 CP contenuti Al fine di predisporre un CP è necessario: Sulla base del core business dell organizzazione identificare le funzioni critiche allo svolgimento dello stesso Identificare le risorse che supportano lo svolgimento delle funzioni critiche Prevedere potenziali criticità o disastri che possono affliggere tali risorse Selezionare i piani di recupero Implementare tali piani Testare e revisionare periodicamente i piani 23
24 CP: operativamente Nel contingency planning sono coinvolte 4 tipi di professionalità: CP team Incident recovery (IR) team Disaster recovery (DR) team Business continuity plan (BC) team 24
25 Incident Response Plan IRP: Insieme dettagliato di processi e procedure che descrivono gli eventi inattesi che possono compromettere risorse e sistemi, ed indicano anche come rilevare e mitigare gli stessi Incident response (IR): Insieme di procedure da attivare nel momento in cui viene rilevato un incidente 25
26 Incident Response Plan (Continua) Una minaccia diventa un attacco e quindi un incidente di sicurezza ICT quando: È diretta contro sistemi informatici Ha una certa probabilità di essere eseguita con successo Minaccia confidenzialità, integrità e disponibilità IR è una misura reattiva non preventiva 26
27 Incident Response Plan Deve contenere procedure che specificano: Cosa fare per rilevare un incidente (Detection phase) Cosa fare quando un incidente si è verificato (Reaction phase) Come ripristinare il tutto (Recovery phase) Post mortem 27
28 Detection Come rilevare un possibile tentativo di intrusione Report dagli utilizzatori dei sistemi, allarmi degli IDS, antivirus, Log correlation, ecc. Fondamentale il coinvolgimento degli utenti finali Problema Definire il limite entro cui un evento sospetto diventa attacco Incident classification: Una volta individuato un evento anomalo è necessaria una sua classificazione al fine di individuare le casistiche più adeguate per il suo trattamento 28
29 Reaction Una volta che un incidente è stato dichiarato e classificato è necessario avviare la procedura di reazione Allertare persone e organizzazioni chiave Contenere gli effetti dell attacco: circoscriverne la diffusione e possibilmente bloccarlo 29
30 Strategie di contenimento Disconnettere i sistemi coinvolti Modificare dinamicamente le regole di accesso al firewall Disabilitare gli account compromessi Disabilitare servizi compromessi o in odore di Disconettere server Disconettere l intera rete aziendale 30
31 Documentazione Immediamente dopo aver attivato la fase di reazione è necessario avviare la fase di documentazione dell incidente: È necessario tenere traccia di tutte le azioni intraprese durante la gestione dell incidente in particolare di ogni attiivtà è necessario indicare chi, cosa, quando, dove e perchè Serve per l analisi post-mortem 31
32 Escalation Durante la gestione di un incidente l IRP può realizzare di non essere più in grado di contenerne gli effetti che possono estendersi anche ad altre organizzazioni È compito di chi prepara il CP determinareil punto in cui un incidente diventa un disastro 32
33 Recovery Incident Recovery Inizia quando un attacco è stato contenuto e IRT ha ripreso il controllo della situazione A questo punto è necessario determinare l estensione del danno e individuare tutti i sistemi coinvolti ed il livello di danno subito Tutti questi elementi vanno accuratamente documentati e in caso di causa civile e/o penale è necessario conservare l evidenza dei danni subiti 33
34 Recovery Il processo di recovery consiste in: Identificare e risolvere le vulnerabilità che hanno consentito il verificarsi dell attacco Individuare criticità nei sistemi di protezione che non hanno consentito agli stessi di rilevare l attacco Eventualmente installare nuovi sistemi di monitoring e detection 34
35 Recovery (Continua) Ripristinare dati dai back-up Ripristinare processi e sistemi che si sono disabilitati durante la gestione dell incidente Continuare a monitorare il sistema Ripristinare la confidenza nel sistema da parte degli utenti finali e della parti coinvolte nell incidente 35
36 Post-mortem Al termine dell attività di recovery, IRT deve analizzare attentamente tutte le fasi della gestione dell incidente al fine di individuare eventuali criticità che fossero emerse durante le diverse fasi di gestione dell incidente per un loro miglioramento 36
37 Law Enforcement Un attacco informatico di norma è un reato previsto da nostro codice penale e come tale va denunciato all autorità giudiziaria 37
38 DISASTER RECOVERY 38
39 Disaster Recovery DRP Preparazione al recovery del sistema dopo un disastro naturale o artificiale Un incidente diventa un disastro quando: L organizzazione non è in grado di controllare o contenere gli effetti dell attacco Il livello di danno e distruzione dell attacco è così severo che l organizzazione non è nemmeno in grado di mettere in atto le procedure di recovery Scopo primario del DRP: ristabilire l operatività del sistema danneggiato 39
40 Classificazione dei disastri Naturali vs. generati dall uomo (la più comune) Velocità di propagazione: Rapidi: terremoti, incendi, alluvioni, black-out Lenti: degrado ambientale, deforestazione, carestie, ecc 40
41 Pianificare i disastri Classificare i potenziali disastri in funzione dell impatto Esistono a questo proposito opportune metodologie di impact analysis Punti chiave di un DRP: Chiara definizione di ruoli e responsabilità Elenco delle entità da allertare e coinvolgere Chiara definizione delle priorità Documentazione del disastro Attività di mitigazione dell impatto Alternative implementative dei sistemi critici Il DRP va testato periodicamente 41
42 Crisis Management DRP potrebbe fare riferimento ad un processo di CM Insieme di attività intraprese durante e dopo il disastro per assistere le persone coinvolte Attività tipiche di un team di crisis management: Supporto a persone e loro familiari durante la crisi Stabilire l impatto del disastro sulle normali attività ed eventualmente dichiarare lo stato di crisi Comunicare con il mondo esterno 42
43 Respondere al disastro Nella realtà gli eventi catastrofici possono superare ogni previsione DRP deve essere flessibile a configurabile a situazioni non previste Quando un disastro minaccia le sedi operative e più importanti di un organizzazione DRP diventa anche BCP 43
44 Business Continuity Planning (BCP) Garantire che un organizzazione possa continuare ad erogare e svolgere le sue funzioni primarie anche a fronte di un disastro È necessaria quindi un analisi preliminare per l identificazione di queste funzionalità e delle infrastrutture di supporto Solitamente effettuato di concerto con CEO Si attiva e viene eseguito concorrentemente con DRP Ristabilisce le funzioni primarie in siti alternativi (DRP è invece concentrato sul recupero delle funzioni sul luogo in cui avviene il disastro) 44
45 BCP: problematiche I costi sono sempre un fattore determinante per la selezione della soluzione più appropriata Opzioni per siti alternativi ad uso esclusivo: Hot site Warm site Cold site Opzioni per siti alternativi ad uso condiviso : Timeshare Service bureau Mutual agreement 45
46 Hot Sites Uso esclusivo Computer facility completamente configurate a replica dei servizi da rimpiazzare Warm Sites Come sopra, ma con servizi sw non completamente allineati Cold Sites Si predispone un sotto insieme di sistemi in grado di ospitare, quando necessario, i servizi da rimpiazzare 46
47 Uso condiviso Timeshare Sito dedicato ma preso in affitto Service Bureau Agenzie che forniscono HW su richiesta Mutual Agreement Contratti con altre organizzazioni per mutua assistenza in caso di disastro Altre soluzioni: Siti mobili Risorse di memorizzazione esterne 47
48 Dati Affinché un BCP possa entrare in azione il più velocemente possibile, è necessario che l organizzazione coinvolta disponga nel sito remoto dei dati necessari Le possibili opzioni sono: Electronic vaulting: batch-transfer dei dati al sito remoto, anche su base periodica Remote Journaling: trasferimento in tempo reale delle transazioni, sul sito remoto Database shadowing: copia integrale e in tempo reale dei dati critici 48
49 Standard Per facilitare la realizzazione dei documenti legati ad un piano della sicurezza, sono state proposte e sono in continua revisione una serie di metodologie ISO RFC 2196 NIST SP 49
50 BS 7799 Una metodologia molto discussa e molto diffusa in Europa BS 7799:1 Information Technology Code of Practice for Information Security Management, Originariamente nota come British Standard BS 7799 Ora ISO/IEC (since 2000) BS 7799:2 Information Security Management: Specification with Guidance for Use Scopo ISO/IEC (BS 7799:1) Fornire raccomandazione a tutti coloro che devono predisporre, implementare o gestire un sistema per la sicurezza delle informazioni e dei sistemi in una organizzazione 50
51 BS 7799 (II) Volume 2 Fornisce indicazioni su come implementare effettivamente quanto descritto nel volume I Come predisporre una Information Security Management Structure (ISMS) È possibile anche richiedere una certificazione del proprio ISMS, effettuata da personale opportunamente certificato Questo standard non è stato adottato tra gli altri, da USA, Germania, Giappone 51
52 Le dieci sezioni di ISO/IEC Organizational Security Policy 2. Organizational Security Infrastructure objectives 3. Asset Classification and Control 4. Personnel Security objectives 5. Physical and Environmental Security objectives 6. Communications and Operations Management objectives 7. System Access Control objectives 8. System Development and Maintenance objectives 9. Business Continuity Planning 10. Compliance objectives 52
53 RFC 2196 Site Security Handbook RFC 2196 Creato dal Security Area Working Group di IETF Contiene discussione e suggerimenti sulle più importanti problematiche relative alla sicurezza, con suggerimenti in merito alla loro implementazione Aspetti considerati security policies, security technical architecture, security services, and security incident handling 53
54 NIST Security Models Il NIST ha predisposto una serie di documenti pubblici che affrontano con diversi livelli di approfondimento diverse tematiche: SP , Computer Security Handbook SP , Generally Accepted Security Principles & Practices SP , Guide for Developing Security Plans SP , Security Self-Assessment Guide-IT Systems SP , Risk Management for Information Technology Systems La standard de facto per la PA statunitense 54
Elementi di Sicurezza e Privatezza
Elementi di Sicurezza e Privatezza Proteggere le informazioni: aspetti organizzativi Lez. 14-15-16 1 La Sicurezza delle Informazioni Risorse a Supporto dell Informazione le risorse umane le infrastrutture
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliL importanza di una corretta impostazione delle politiche di sicurezza
La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliProposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione
Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione Pubblicazione del Comitato
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliBanche e Sicurezza 2015
Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliUniversità di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
DettagliQualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliLa Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA
La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA
DettagliLe attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti
Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliPer una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliUn metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa
RISK MANAGEMENT & BUSINESS CONTINUITY Business Continuity per le imprese Un metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa PER LE IMPRESE VISITA IL SITO: www.exsafe.it
DettagliRCH SRL C.da Marignano snc 62018 Potenza Picena P.iva 01745060432 NOTE LEGALI. Copyright RCH srl
NOTE LEGALI INTRODUZIONE Nella presente sessione la RCH srl intende comunicare a tutti gli utenti dei siti internet www.rchcases.it e www.roll-a-ramp.it le tutele legali relative ai contenuti, alle immagini,
DettagliSISTEMA DI GESTIONE PER LA QUALITA Capitolo 4
1. REQUISITI GENERALI L Azienda DSU Toscana si è dotata di un Sistema di gestione per la qualità disegnato in accordo con la normativa UNI EN ISO 9001:2008. Tutto il personale del DSU Toscana è impegnato
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliLa continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda
La continuità operativa in azienda: concetti base e l esempio di Vimercate Paolo Colombo Responsabile Sicurezza Sistemi Informativi Azienda Ospedaliera di Desio e Vimercate Cosa è la continuità operativa
DettagliContaminazione dei Prodotti
Response XL Italia XL Group Insurance Contaminazione dei Prodotti 2 01 Introduzione 02 Response XL il nostro network, il nostro approccio 03 Servizio di consulenza per la gestione delle crisi e dei rischi
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliProtezione della propria rete
Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione
DettagliComprendere il Cloud Computing. Maggio, 2013
Comprendere il Cloud Computing Maggio, 2013 1 Cos è il Cloud Computing Il cloud computing è un modello per consentire un comodo accesso alla rete ad un insieme condiviso di computer e risorse IT (ad esempio,
DettagliPROFILO FORMATIVO Profilo professionale e percorso formativo
Agenzia del Lavoro Provincia Autonoma di Trento PROFILO FORMATIVO Profilo professionale e percorso formativo DENOMINAZIONE FIGURA PROFESSIONALE - TECNICO INFORMATICO SISTEMA INFORMATIVO AZIENDALE CED-EDP
DettagliInformation Systems Audit and Control Association
Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliContinuità operativa - FAQ
Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliIl Project Management nell Implementazione dell'it Service Operations
Con il patrocinio di: Sponsorizzato da: Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 Il Project Management nell Implementazione dell'it Service Operations
DettagliEffettuare gli audit interni
Scopo Definire le modalità per la gestione delle verifiche ispettive interne Fornitore del Processo Input Cliente del Processo Qualità (centrale) e Referenti Qualità delle sedi territoriali Direzione Qualità
DettagliAnalisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it
Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliPosta Elettronica Certificata obbligo e opportunità per le Imprese e la PA
Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA Belluno 28 gennaio 2014 www.feinar.it PEC: Posta Elettronica Certificata Che cos'è e come funziona la PEC 3 PEC: Posta Elettronica
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliAUDIT. 2. Processo di valutazione
AUDIT 2. Processo di valutazione FASE ATTIVITA DESCRIZIONE Inizio dell'audit Inizio dell attività Costituzione del gruppo di valutazione sulla base delle competenze generali e specifiche e dei differenti
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliPIANO ESECUTIVO DI GESTIONE - VERIFICA FINALE
Direzione SISTEMI Direttore PASCUZZI Classificazione PROPOSTA PROGETTO Art.15 c.5 CCNL 01/04/1999 Servizio Dirigente PASCUZZI Tipologia MIGLIORAMENTO Collegato a PROGRAMMA: 2014_PROGRAMMA_11RPP FIRENZE
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliAZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO
AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO PROCEDURA PR02 - Audit Interni Edizione 1 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente Aziendale per la Qualità
DettagliProgetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
DettagliRichiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari
Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari Nome Cognome Nome del referente presso la Sezione di Cagliari Username Occupazione disco MB Password (min 6 car) Scadenza
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliLe novità della UNI ISO 27001:2014
Le novità della UNI ISO 27001:2014 La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche
DettagliProvincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta
Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta elettronica, da parte degli uffici provinciali e dell amministrazione
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliCOMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016.
COMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016. Indice: Premessa 1. FONTI NORMATIVE 2. STRUMENTI 3. DATI DA PUBBLICARE 4. INIZIATIVE DI
DettagliSINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg 58036 matricola 2012LU1072
Provincia di Lucca Servizio Istruzione, Formazione e Lavoro. Sviluppo Economico SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg 58036 matricola 2012LU1072
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliL obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.
E una realtà nelle tecnologie informatiche dal 1990. Dalla nascita del nucleo iniziale, con le attività di assistenza tecnica e di formazione, alla realtà attuale, di specialisti a tutto campo nei servizi
DettagliCOMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE
REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE Ottobre 2008 Art. 1 Oggetto del regolamento e riferimenti normativi Art. 2 Scopo della rete civica Art. 3 Gestione del sito internet/rete civica Art.
DettagliAllegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio
Allegato Servizio Hosting Virtual DataCenter di Regione Lombardia per l ENTE UCL Asta del Serio Contesto Il percorso condotto da Regione Lombardia (RL) per la razionalizzazione dei CED degli ENTI si inserisce
DettagliSERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)
SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,
DettagliSistema di gestione della Responsabilità Sociale
PGSA 05 Sistema di Gestione la Responsabilità PROCEDURA PGSA 05 Sistema di gestione la Responsabilità Rev. Data Oggetto Redatto da Approvato da 01 2 Prima emissione Resp. RSGSA Direzione 1 PGSA 05 Sistema
DettagliCERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a
P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management
DettagliPresidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico
Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E
DettagliPer offrire soluzioni di Risk Management
REAL LOGISTICA ESTATE per consulting è la società di consulenza del gruppo per che opera nell ambito del Risk Management. I servizi offerti, che vanno dall Analisi del rischio al Disaster Recovery Plan,
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
DettagliIS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
DettagliAldo Lupi Ancitel Lombardia
BUSINESS CONTINUITY E DISASTER RECOVERY PER LE PA: OBBLIGHI DI LEGGE, STRATEGIE E OPPORTUNITA I RELATORI TELECOM Enzo Mario Bagnacani-Top Clients& Public Sector - Marketing Responsabile Infrastructure
DettagliDisaster Recovery: Aspetti tecnico-organizzativi
Disaster Recovery: Aspetti tecnico-organizzativi Business Continuity and Recovery Services IBM Italia 2002 IBM Corporation 2005 IBM Corporation LA CONTINUITÀ OPERATIVA La continuità operativa ha un perimetro
DettagliLa platea dopo la lettura del titolo del mio intervento
La platea dopo la lettura del titolo del mio intervento 2 In realtà..il presupposto è semplice. 3 Cloud computing è un nuovo modo di fornire risorse,, non una nuova tecnologia! P.S. in realtà un modo neanche
DettagliCentro Tecnico per la Rete Unitaria della Pubblica Amministrazione
Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione Area Rete Unitaria - Sezione Interoperabilità Linee guida del servizio di trasmissione di documenti informatici mediante posta elettronica
DettagliSISTEMA DI GESTIONE SICUREZZA
SISTEMA DI GESTIONE SICUREZZA Q.TEAM SRL Società di Gruppo Medilabor HSE Via Curioni, 14 21013 Gallarate (VA) Telefono 0331.781670 Fax 0331.708614 www.gruppomedilabor.com Azienda con Sistema Qualità, Salute
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliEsternalizzazione della Funzione Compliance
Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale
DettagliPRINCIPI FONDAMENTALI...
QUALITA DEL SERVIZIO 1) PREMESSA... 2 2) PRINCIPI FONDAMENTALI... 2 2.1) EFFICIENZA NEL SERVIZIO... 2 2.2) CONTINUITÀ... 2 2.3) IMPARZIALITÀ DI TRATTAMENTO... 3 2.4) SALUTE, SICUREZZA ED AMBIENTE... 3
DettagliSOLUZIONI E SERVIZI ICT
SOLUZIONI E SERVIZI ICT Chi siamo Cosa facciamo? In quindici parole : facciamo consulenza, assistenza, manutenzione, gestione e monitoraggio delle infrastrutture dei nostri clienti sul cablaggio, sulla
DettagliSoftware per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
DettagliInformation technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
DettagliISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da 3.1.1 a 3.4.
ISIPM Base Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da 3.1.1 a 3.4.1 1 Tema: Gestione degli Aspetti Legali 3.1.1 Conoscere
Dettagli