L analisi del rischio: il modello statunitense
|
|
- Emanuele Spinelli
- 8 anni fa
- Visualizzazioni
Transcript
1 L analisi del rischio: il modello statunitense La sicurezza nelle agenzie federali USA La gestione della sicurezza in una Nazione deve affrontare ulteriori problemi rispetto a quella tipica di una Azienda. Infatti è necessario avere un uniformità di obiettivi un uniformità di progettazione e di soluzioni tecniche ed infine risulta di fondamentale importanza l ottimizzazione delle risorse umane. Negli USA in seguito agli eventi dell 11 settembre 2001, è stata rinforzata la strategia di messa in sicurezza delle Agenzie Federali, anche mediante il progetto FISMA (Federal Information Security Management Act. Il FISMA Implementation Project è stato istituito nel gennaio 2003 al fine di produrre gli standard di sicurezza e le linee guida richieste dal Congresso degli Stati Uniti d America. La vision del FISMA Il raggiungimento degli obiettivi stabiliti dal congresso avviene attraverso i seguenti elementi: 1) Standard per la classificazione delle informazioni; 2) Standard per l individuazione di requisiti minimi di sicurezza per le informazioni e i sistemi informativi; 3) Linee guida per la selezione degli appropriati controlli che devono essere attuati nei sistemi informativi; 4) Linee guida per la verifica dell efficacia dei controlli di sicurezza realizzati; 5) Linee guida per la certificazione dei sistemi informativi. Gli obiettivi principali sono cosi elencati: a) realizzare programmi di sicurezza che siano basati sull analisi e la gestione dei rischi e siano cost-effective ;b) stabilire i livelli di sicurezza che devono essere assicurati dalle agenzie federali e dai loro outsourcer; c) uniformare e rendere più convenienti dal punto di vista economico l applicazione dei controlli di sicurezza; d) stabilire modalità di controllo delle misure di sicurezza realizzate che siano efficaci, uniformi e comparabili; e) fornire dei punti di riferimento stabili e univoci per tutti i dirigenti e il personale delle agenzie federali; g) aumentare il livello di sicurezza delle infrastrutture critiche nazionali. I punti fondamentali nella gestione del rischio sono i seguenti: 1. Classificare il sistema informativo; 2. Selezionare e individuare i controlli minimi di sicurezza; 3. Aggiungere controlli sulla base di una stima del rischio; 4. Realizzare i controlli di sicurezza; 5. Documentare i controlli di sicurezza; 6. Stimare l efficacia dei controlli; 7. Autorizzare le operazioni sui sistemi informativi (need to know); 8. Verificare in modo continuativo nel tempo. Tutto il ciclo completo del FISMA viene meglio raffigurato nel grafico successivo:
2 Per ciò che concerne il FISMA esiste una notevole mole di informazioni tra cui è di fondamentale importanza citare i seguenti documenti: a)fips 199: Standards for Security Categorization of Federal Information and Information Systems SP : Guide for Mapping Types of Information and Information Systems to Security Categories; b) FIPS 200: Minimum Security Requirements for Federal Information and Information Systems SP : Recommended Security Controls for Federal Information Systems; c) SP : Guide for Developing Security Plans for Federal Information Systems; d) SP : Security Configuration Checklists Program for IT Products; e) SP A: Guide for Assessing the Security Controls in Federal Information Systems; f) SP : Guide for the Security Certification and Accreditation of Federal Information Systems. Inoltre il NIST (organo massimo di certificazione sulla sicurezza americana) ha sviluppato moltissime altre linee guida divise per tecnologia (VPN, crittografia, Wireless, etc), per prodotti specifici (Oracle, Sistemi operativi, etc.), in forma di checklist. Nelle due tabelle successive viene fatta una classificazione delle categorie di sicurezza per mission e per contenuti.
3
4 Le metriche L attuazione del FISMA è monitorata a livello federale, infatti il monitoraggio è effettuato sulla base di specifici criteri stabiliti nella SP Da un punto di vista documentale è necessario analizzare le relazioni con gli standard internazionali, tra cui ISO 27001/17799 e Common Criteria,. La metodologia USA presenta degli aspetti positivi come la classificazione con obiettivi univoci per tutti, (ovverossia delle linee guida tecniche molto dettagliate) e degli aspetti negativi come la farraginosità, (infatti la sicurezza non è solo formalità). Tale modello statunitense difficilmente trova applicazione in Italia. Passiamo ora ad esaminare la gestione degli asset. Un asset è un bene da proteggere che viene catalogato per valore (economico, non economico) come ad esempio l integrità, la confidenzialità, la disponibilità (da 1 a 10). L asset ha anche una sua collocazione geografica ed è di fondamentale importanza nei processi aziendali. Ci permette di analizzare anche il proprietario, la marca/produttore, le capacità/prestazioni, la data (ad esempio, la data di acquisizione). Gli asset nell IT Gli asset in IT presentano determinate fasi che sono a) l identificazione, b) l acquisizione/generazione, c) la gestione durante il ciclo di vita, d) la gestione della configurazione, e) la gestione dei cambiamenti, f) la distruzione. Quando parliamo di gestione degli asset e ci riferiamo all aspetto umano intendiamo con ciò analizzare il sistema di gestione delle risorse umane e di skill inventory mentre se ci riferiamo all aspetto documentale intendiamo soffermarci sulla gestione documentale e knowledge management. Un software di asset management dovrebbe dare la possibilità di definire campi informativi personalizzati (numero di contratto, data di acquisto, etc), consentire la generazione automatica di
5 un numero progressivo identificativo unico, consentire la visualizzazioni del database personalizzabili. Inoltre consente l effettuazione delle seguenti attività cosi elencate: 1) gestione dello storico; 2) stato attuale dell asset; 3) classificazione dell asset in base a criteri definiti dall utente; 4) associare documenti (manuali, etc); 5) visualizzare eventuali associazioni tra asset; 6) identificazione responsabili/utenti/proprietari; 7) effettuare ricerche libere; 8) reportistica personalizzabile; 9) gestire vari ruoli e privilegi sull asset. Inoltre l asset managemente consente l integrazione con applicativi di office automation, la gestione di help desk, il Billing, la gestione finanziaria, il monitoraggio, l autodiscovery degli asset nella rete LAN. Esistono dei softaware applicativi per la gestione degli asset tra cui ricordiamo IRM (opensource, tracciamento degli asset, trouble ticketing), Hyperic HQ (opensource), Remedy Asset Management HP openview AssetCenter, Assyst di Axios Systems (integrata con ITIL) Change management La Gestione del cambiamento (ch ange management) si prefigge di realizzare cambiamenti nel sistema minimizzando l impatto negativo (interruzioni, atteggiamento negativo del personale, etc), di analizzarne il processo tramite l RFC (Request for Change mediante degli studi di fattibilità) di effettuare un approvazione formale ed una pianificazione dettagliata ed infine di effettuare una fase di monitoraggio. Il sistema (ovverosia il software) di gestione del cambiamento dovrebbe essere integrato con il sistema di asset management, gestire le priorità delle RFC, gestire le varie tipologie di utenti, gestione dei workflow di approvazione, allegare alle RFC tutta la documentazione pertinente, ed infine gestire lo storico dei cambiamenti. Lo scopo del configuration management è quello di identificare, controllare e tracciare tutte le versioni di hw, sw, documentazione, processi, procedure. Inoltre consente solo agli autorizzati di introdurre modifiche (per es, alla documentazione). La Configuration management presenta delle fasi cosi enunciate: a) Stabilire la baseline della configurazione (composizione, interrelazioni); b) Istituire un database (Configuration Management Database CMD); c) Gestire le configurazioni; d) Cancellare le configurazioni. Applicativi Esistono dei softaware applicativi per la gestione della Configuration Management tra cui ricordiamo Cmdbuild (opensource, in italiano, ispirato a ITIL), Netdirector (opensource), Controltier opensource, Microsoft SMS (System Management Server) e MOM (Microsoft Operation Manager) I processi aziendali L analisi dei processi aziendali consente di individuare gli asset. I processi possono essere suddivisi in processi strategici, processi competitivi, che costituiscono il nucleo competitivo dell ente, processi di innovazione e trasformazione, che, nel futuro, consentiranno maggiore competitività, processi operativi che realizzano i prodotti/servizi (logistica, marketing, vendite, etc), processi di supporto, che aumentano l efficacia e l efficienza (amministrazione, gestione del personale, servizi IT). Per ogni processo occorre conoscere lo scopo del processo, il responsabile, l inizio e la fine del processo (temporale e/o funzionale), il cliente e il fornitore, gli input e gli output, i vincoli di legge, normativi o regolamentari, i controlli da effettuare, le infrastrutture necessarie per lo svolgimento, le risorse umane coinvolte ed infine gli eventuali sottoprocessi. Analisi dei processi
6 E piuttosto diffuso uno standard (v.1.0 del 2004, v. 2.0 in fase di revisione) il cosiddetto BPMN ( Business Process Modeling Notation) sviluppato da Business Process Management Initiative (BPMI) BPMN Business Process Modeling Notation (BPMN) The BPMN will provide businesses with the capability of defining and understanding their internal and external business procedures through a Business Process Diagram, which will give organizations the ability to communicate these procedures in a standard manner. BPMN will also be supported with an internal model that will enable the generation of executable BPEL4WS (v1.1). Quando si parla di BPMN si analizzano i cosiddetti ruoli cosi elencati: 1) Business analyst: costruisce logicamente i processi; 2) Technical Developer: realizza la tecnologia che realizza i processi; 3) Business People: monitorano i processi. Gli elementi fondamentali del BPMN sono raffigurati nei seguenti grafici:
7
8
9 Attualmente ci sono 43 implementazioni di BPMN tra cui possiamo ricordare un tool applicativo chiamato Intalio ( opensource e freeware. Per utilizzare al meglio BPMN normalmente si usa una matrice (Design Structure Matrix) ( che ha tutti i processi come righe e come colonne (si veda la seguente tabella). Processi critici Un processo è critico quando il suo output è usato da più processi, il suo risultato ha valore per l azienda, ha bisogno di molti input ed infine è composto da molti sottoprocessi. Causa Effetto
10 Molta importanza nella gestione dei processi aziendali assumono i cosiddetti diagrammi di causa effetto tra cui non possiamo non menzionare il diagramma di Ishikawa, o a lisca di pesce. Nei diagrammi di causa effetto è possibile studiare un problema determinandone le cause, analizzare le motivazioni per il malfunzionamento di un processo, esaminare le relazione tra i dati e tra i processi. Altra metodologia da ricordare è quella delle 4 M (Metodi, Macchine, Materiali, Manpower). Passiamo infine ad esaminare le minacce che si possono verificare all interno dell analisi del rischio. Una minaccia sfrutta una vulnerabilità per arrecare danno agli asset. L analisi delle minacce può essere condotto mediante il modello degli attack tree (alberi di attacco). E un modello formale introdotto da Schneier, CIO della Counterpane Internet Security, nel Un contributo importante è stato dato da Edward Amoroso (Fundamentals of Computer Security) nel 1994 Gli Attack trees sono diagrammi multilivello costituiti da una radice, da dei rami, dalle foglie. I nodi figli sono condizioni che devono essere soddisfatte per rendere vera la foglia madre. Quando la radice è vera l attacco è completo.
11 La notazione dell attack tree può essere anche quello dei normali schemi logici (AND, OR, NOT, XOR, i cosiddetti operatori booleani). Se si aggiungono informazioni sui costi (monetari, di competenza, etc) o sulle probabilità di evento, si può stabilire anche l attacco a minor costo o quello più probabile. Attack tree: applicativi
12 Analisi attack tree Dall analisi attack tree si può (per esempio) determinare il minimo insieme di eventi che realizza una foglia, determinare la probabilità di evento per una foglia, determinare gli indicatori per ogni insieme di eventi, determinare i valori di rischio per ogni foglia, effettuare una reportistica varia. Le vulnerabilità Le vulnerabilità possono essere di tre tipi e cioè amministrative (es., policy e procedure di sicurezza), fisiche (es., persone, luoghi, apparati fisici) e tecniche (es., configurazioni, backdoor, gestione password). I nuovi trend degli attacchi sfruttano sempre più porte tcp/ip lecite. Possono essere fermati solo da firewall e da contromisure di tipo applicativo. Sfruttano il social engineering (complicità involontaria di insider), tendono al furto d identità e/o alla creazione di zombie (bot network) utilizzando piattaforme nuove (umts, bluetooth, ), utilizzano raffinate tecniche per nascondersi (rootkit,..). I pericoli principali sono lo Spam, il Phishing e l esecuzione di programmi illeciti lato client. Per misurare le vulnerabilità di un sistema informatico si utilizza il metodo CVSS (Common vulnerabillity Scoring System). Ora però e necessario rispondere alla seguente domanda: Quale sforzo deve compiere un attaccante per sfruttare una vulnerabilità? La risposta è la seguente: 1) tempo, 2) equipaggiamento hw e sw, 3) capacità (conoscenze); 4) conoscenza del sistema attaccato, 5) accesso al sistema. Le vulnerabilità: come si cercano? Il ciclo di vita di un vulnerabilità presenta le seguenti fasi: a) la vulnerabilità viene scoperta (da chi?); b) viene rilasciato il primo exploit; c) la vulnerabilità viene conosciuta da tutti (disclosure); d) sviluppo delle patch tempo.
13 Gli attacchi possono essere alle dipendenze da risorse esterne del software, all interfaccia utente, al progetto del software (ad es.: algoritmi insicuri), all implementazione del progetto (ad es.: configurazione). Il modo migliore per cercare vulnerabilità è quello di installare il software in una sandbox (tipo Holodeck di Star Trek) e verificare tutte le interazioni con l esterno. Security Information Providers La disclosure viene effettuata dai Security Information Providers (non solo ), dal CERT, dal Secunia, dal FrSirt, da ISS X-Force Securityfocus, da Mitre, da OSVDB. Tipologie di disclosure IAV-A: Information Assurance Vulnerabilità Alerts. Sono vulnerabilità ad alto rischio che devono essere risolte entro 30 giorni. IAV-B: IAV Bullettins. Sono vulnerabilità a rischio medio. IAV-T: IAV Technical Advisory. Sono vulnerabilità a rischio basso. Statistiche Utilizzando programmi specifici che si basano su basi di dati che devono essere aggiornate. Si utilizzano alcuni tool come Nessus, Nikto eeye Retina, Saint. Spesso questi programmi fanno anche penetration testing Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare
Configuration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliProgetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl
Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliProblem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliCloud Computing Stato dell arte, Opportunità e rischi
La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego
DettagliCOMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE
MAPPA DELLE COMPETENZE a.s. 2014-2015 CODICE ASSE: tecnico-professionale QUINTO ANNO PT1 scegliere dispositivi e strumenti in base alle loro caratteristiche funzionali; Progettare e realizzare applicazioni
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliSoftware per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
DettagliE 2 T 2 ENTERPRISE ENGINE FOR TROUBLE TICKETING
E 2 T 2 ENTERPRISE ENGINE FOR TROUBLE TICKETING Cluster Reply ha sviluppato un framework software basato sulla tecnologia Microsoft SharePoint 2007 (MOSS 2007) che, sfruttando alcune funzionalità native
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliProject Management. Modulo: Introduzione. prof. ing. Guido Guizzi
Project Management Modulo: Introduzione prof. ing. Guido Guizzi Definizione di Project Management Processo unico consistente in un insieme di attività coordinate con scadenze iniziali e finali, intraprese
Dettagli1. BASI DI DATI: GENERALITÀ
1. BASI DI DATI: GENERALITÀ BASE DI DATI (DATABASE, DB) Raccolta di informazioni o dati strutturati, correlati tra loro in modo da risultare fruibili in maniera ottimale. Una base di dati è usualmente
DettagliDescrizione generale del sistema SGRI
NEATEC S.P.A. Il sistema è un sito WEB intranet realizzato per rappresentare logicamente e fisicamente, in forma grafica e testuale, le informazioni e le infrastrutture attive e passive che compongono
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliLa gestione della qualità nelle aziende aerospaziali
M Premessa La AS 9100 è una norma ampiamente adottata in campo aeronautico ed aerospaziale dalle maggiori aziende mondiali del settore, per la definizione, l utilizzo ed il controllo dei sistemi di gestione
DettagliIncident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Incident Management Obiettivi Obiettivo dell Incident Management e di ripristinare le normali operazioni di servizio nel piu breve tempo possibbile e con il minimo impatto sul business, garantendo il mantenimento
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliEUROPEAN PROJECT MANAGEMENT QUALIFICATION - epmq. Fundamentals. Syllabus
EUROPEAN PROJECT MANAGEMENT QUALIFICATION - epmq Fundamentals Syllabus Scopo Questo documento presenta il syllabus di epmq Modulo 1 Fundamentals. Il syllabus descrive, attraverso i risultati del processo
DettagliCOME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?
COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI? A Flusso di attività B - INPUT C Descrizione dell attività D RISULTATO E - SISTEMA PROFESSIONALE DOMANDA DI SISTEMI
DettagliChange Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni
Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo
DettagliIl software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi
Il Software Il software impiegato su un computer si distingue in: Software di sistema Sistema Operativo Compilatori per produrre programmi Software applicativo Elaborazione testi Fogli elettronici Basi
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliIdentificare come i vari elementi dei Microsoft Dynamics CRM possono essere utilizzati per le relazioni con i clienti
PERIODO : Dal 11 novembre 2015 AL 4 dicembre 2015 Sede del corso: Presso GI Formazione in Piazza IV novembre 5, Milano Orari dalle 9.00 alle 13.00 e dalle 14.00 alle 18.00 A CHI E RIVOLTO IL CORSO Questo
DettagliGestione in qualità degli strumenti di misura
Gestione in qualità degli strumenti di misura Problematiche Aziendali La piattaforma e-calibratione Il servizio e-calibratione e-calibration in action Domande & Risposte Problematiche Aziendali incertezza
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
DettagliBusiness Process Management
Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliTECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE TRASPORTI TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI TECNICO SUPERIORE DEI TRASPORTI E
DettagliTECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE TRASPORTI TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI TECNICO SUPERIORE DELLE INFRASTRUTTURE
DettagliLa Metodologia adottata nel Corso
La Metodologia adottata nel Corso 1 Mission Statement + Glossario + Lista Funzionalià 3 Descrizione 6 Funzionalità 2 Schema 4 Schema 5 concettuale Logico EA Relazionale Codice Transazioni In PL/SQL Schema
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliSistema di gestione della Responsabilità Sociale
PGSA 05 Sistema di Gestione la Responsabilità PROCEDURA PGSA 05 Sistema di gestione la Responsabilità Rev. Data Oggetto Redatto da Approvato da 01 2 Prima emissione Resp. RSGSA Direzione 1 PGSA 05 Sistema
DettagliBOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS
Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliDispensa di database Access
Dispensa di database Access Indice: Database come tabelle; fogli di lavoro e tabelle...2 Database con più tabelle; relazioni tra tabelle...2 Motore di database, complessità di un database; concetto di
DettagliCATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt
Trouble Ticketing Contesto di riferimento I benefici del Trouble Ticketing Nell area Operations Support si collocano le varie fasi della gestione di un infrastruttura IT: a tale area è strettamente correlata
DettagliEyesTK Trouble Ticketing System. Soluzioni Informatiche
Soluzioni Informatiche Che cos è EyesTK è un servizio basato su GLPI che fornisce agli IT Manager uno strumento per la gestione dei trouble ticket aziendali. Questo strumento costruisce, mediante un database,
DettagliSISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali
CL AS SE INFORMATICA 6(3) 6(4) - 6(4) SISTEMI E RETI 4(2) 4(2) 4(2) TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI COMPETENZE 3 Essere in grado di sviluppare semplici applicazioni
DettagliRole plaing esperienziale: ATTUAZIONE DI UN PROGETTO DI NURSING
Implementazione ed Attuazione di Progetti per il Miglioramento del Servizi Sanitari ANCONA 19 E 20 OTTOBRE 2012 Role plaing esperienziale: ATTUAZIONE DI UN PROGETTO DI NURSING Consiste nel destrutturare
DettagliL obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.
E una realtà nelle tecnologie informatiche dal 1990. Dalla nascita del nucleo iniziale, con le attività di assistenza tecnica e di formazione, alla realtà attuale, di specialisti a tutto campo nei servizi
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliI NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE
I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE PROJECT PORTFOLIO MANAGEMENT Strumento indispensabile per l efficienza del business SICUREZZA FORMAZION E AMBIENTE ETICA
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza
Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione
DettagliSOFTWARE A SUPPORTO DELLA GESTIONE AMMINISTRATIVA DELLO SPORTELLO UNICO SPECIFICA DEI REQUISITI UTENTE
Pag. 1 di 16 SOFTWARE A SUPPORTO DELLA (VERS. 3.1) Specifica dei Requisiti Utente Funzionalità di associazione di più Richiedenti ad un procedimento Codice Identificativo VERIFICHE ED APPROVAZIONI CONTROLLO
DettagliEXPLOit Content Management Data Base per documenti SGML/XML
EXPLOit Content Management Data Base per documenti SGML/XML Introduzione L applicazione EXPLOit gestisce i contenuti dei documenti strutturati in SGML o XML, utilizzando il prodotto Adobe FrameMaker per
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
Dettaglifigure professionali software
Responsabilità del Program Manager Valuta la fattibilità tecnica delle opportunità di mercato connesse al programma; organizza la realizzazione del software in forma di progetti ed accorpa più progetti
DettagliCorso di Amministrazione di Sistema Parte I ITIL 2
Corso di Amministrazione di Sistema Parte I ITIL 2 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT
DettagliConcetti di base di ingegneria del software
Concetti di base di ingegneria del software [Dalle dispense del corso «Ingegneria del software» del prof. A. Furfaro (UNICAL)] Principali qualità del software Correttezza Affidabilità Robustezza Efficienza
DettagliCertificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
DettagliProject Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.
Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale. Il presente materiale didattico costituisce parte integrante del percorso formativo
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliSoftware di gestione della stampante
Questo argomento include le seguenti sezioni: "Uso del software CentreWare" a pagina 3-11 "Uso delle funzioni di gestione della stampante" a pagina 3-13 Uso del software CentreWare CentreWare Internet
DettagliGovernare il processo della sicurezza
Governare il processo della sicurezza Michele Marchini PIACENZA 20 febbraio 2014 SOMMARIO Argomenti trattati Governo del processo gestione della sicurezza I processi aziendali Il processo della sicurezza
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliPROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it
PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it igrafx Process Central è una soluzione che aiuta le organizzazioni a gestire, sviluppare, documentare
DettagliANALISI E MAPPATURA DEI PROCESSI AZIENDALI
ANALISI E MAPPATURA DEI PROCESSI AZIENDALI Cos è un processo aziendale Processo come trasformazione (dal verbo procedere ) Processo aziendale: insieme di attività interdipendenti finalizzate a un obiettivo
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliWorkflow Infrastructure Services
Workflow Infrastructure Services Power & Control Solutions Paolo Fulli Senior Consultant IT IBM venerdì 26 ottobre 2007 Perché i Workflow Infrastructure Services? I Workflow Infrastructure Services (WIS)
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliLa gestione manageriale dei progetti
PROGETTAZIONE Pianificazione, programmazione temporale, gestione delle risorse umane: l organizzazione generale del progetto Dimitri Grigoriadis La gestione manageriale dei progetti Per organizzare il
DettagliBrochure Internet. Versione 2010.1 The Keyrules Company s.r.l. Pagina 2 di 8
Ogni organizzazione possiede un sistema di regole che la caratterizzano e che ne assicurano il funzionamento. Le regole sono l insieme coordinato delle norme che stabiliscono come deve o dovrebbe funzionare
DettagliFinalità della soluzione... 3. Schema generale e modalità d integrazione... 4. Gestione centralizzata in TeamPortal... 6
Finalità della soluzione... 3 Schema generale e modalità d integrazione... 4 Gestione centralizzata in TeamPortal... 6 Dati gestiti dall Anagrafica Unica... 8 Gestione anagrafica... 9 Storicizzazione...
DettagliSIEBEL CRM ON DEMAND MARKETING
SIEBEL CRM ON DEMAND MARKETING Siebel CRM On Demand Marketing include 11 strumenti integrati per migliorare le attività di marketing dell azienda. Questi strumenti permettono di conoscere meglio i destinatari,
DettagliI processi di Incident management e Change management in Lombardia-Servizi. Gianluca Tricella
I processi di Incident management e Change management in Lombardia-Servizi Gianluca Tricella Lombardia-Servizi: societa del Gruppo Lombardia Informatica dedicata alla progettazione e alla gestione del
DettagliRegistratori di Cassa
modulo Registratori di Cassa Interfacciamento con Registratore di Cassa RCH Nucleo@light GDO BREVE GUIDA ( su logiche di funzionamento e modalità d uso ) www.impresa24.ilsole24ore.com 1 Sommario Introduzione...
DettagliPremesso che il Sistema di e-learning federato per la pubblica amministrazione dell Emilia-Romagna (SELF):
CONVENZIONE PER L ADESIONE AL SISTEMA DI E-LEARNING FEDERATO DELL EMILIA-ROMAGNA PER LA PUBBLICA AMMINISTRAZIONE E L UTILIZZO DEI SERVIZI PER LA FORMAZIONE Premesso che il Sistema di e-learning federato
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliCorso formazione su Sistema di gestione della qualità. Standard ISO 9001:2000/2008 Vision 2000
Corso formazione su Sistema di gestione della qualità Standard ISO 9001:2000/2008 Vision 2000 Concetto di qualità La parola Qualità sta a significare l'insieme delle caratteristiche di un prodotto/servizio
DettagliTECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE INDUSTRIA E ARTIGIANATO TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE DELLA FIGURA
DettagliQualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)
La Qualità secondo ISO Qualità è l insieme delle proprietà e delle caratteristiche di un prodotto o di un servizio che conferiscono ad esso la capacità di soddisfare esigenze espresse o implicite (UNI
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
DettagliLe fattispecie di riuso
Le fattispecie di riuso Indice 1. PREMESSA...3 2. RIUSO IN CESSIONE SEMPLICE...4 3. RIUSO CON GESTIONE A CARICO DEL CEDENTE...5 4. RIUSO IN FACILITY MANAGEMENT...6 5. RIUSO IN ASP...7 1. Premessa Poiché
DettagliRelease Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano
DettagliGUIDA - Business Plan Piano d impresa a 3/5 anni
GUIDA - Business Plan Piano d impresa a 3/5 anni 1 Executive summary...2 2 Business idea...2 3 Analisi di mercato...2 4 Analisi dell ambiente competitivo...2 5 Strategia di marketing...3 5.1 SWOT Analysis...3
DettagliProgettazione di Basi di Dati
Progettazione di Basi di Dati Prof. Nicoletta D Alpaos & Prof. Andrea Borghesan Entità-Relazione Progettazione Logica 2 E il modo attraverso il quale i dati sono rappresentati : fa riferimento al modello
DettagliSCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.
SCHEDA DEL CORSO Titolo: La gestione elettronica e la dematerializzazione dei documenti. Il Responsabile della La normativa, l operatività nelle aziende e negli studi professionali. Come sfruttare queste
DettagliÈ evidente dunque l'abbattimento dei costi che le soluzioni ASP permettono in quanto:
Sitea Easy Events Il software gestionale per organizzare eventi fieristici Sitea Information Technology presenta Sitea Easy Events, il software gestionale studiato per ottimizzare il processo di organizzazione
DettagliPROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
DettagliAppendice III. Competenza e definizione della competenza
Appendice III. Competenza e definizione della competenza Competenze degli psicologi Lo scopo complessivo dell esercizio della professione di psicologo è di sviluppare e applicare i principi, le conoscenze,
Dettagli14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved
14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA A.I.P.S. Associazione Installatori Professionali di Sicurezza Nata per rispondere alla fondamentale aspettativa degli operatori
DettagliLe aree funzionali ed i processi
Le aree funzionali ed i processi Gestione Operativa ITIL Information Technology Infrastructure Library (ITIL) è un insieme di linee guida ispirate dalla pratica (Best Practice) nella gestione dei servizi
DettagliLa norma ISO 9001:08 ha apportato modifiche alla normativa precedente in
La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in base alle necessità di chiarezza emerse nell utilizzo della precedente versione e per meglio armonizzarla con la ISO 14001:04. Elemento
DettagliIl modello veneto di Bilancio Sociale Avis
Il modello veneto di Bilancio Sociale Avis Le organizzazioni di volontariato ritengono essenziale la legalità e la trasparenza in tutta la loro attività e particolarmente nella raccolta e nell uso corretto
Dettagli2 Giornata sul G Cloud Introduzione
Roberto Masiero Presidente THINK! The Innovation Knowledge Foundation 2 Giornata sul G Cloud Introduzione Forum PA Roma, 18 Maggio 2012 THINK! The Innovation Knowledge Foundation Agenda Cloud: I benefici
DettagliLiceo Tecnologico. Indirizzo Informatico e Comunicazione. Indicazioni nazionali per Piani di Studi Personalizzati
Indirizzo Informatico e Comunicazione Indicazioni nazionali per Piani di Studi Personalizzati Indirizzo Informatico e Comunicazione Discipline con attività di laboratorio 3 4 5 Fisica 132 Gestione di progetto
Dettagli