Risk Management Richard Zoni Business Unit Manager ICT Security

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Risk Management Richard Zoni Business Unit Manager ICT Security"

Transcript

1 Risk Management Richard Zoni Business Unit Manager ICT Security ver 2.1

2 Agenda > Introduzione > Obiettivi e prospettive operative > Risk Analysis > Gap Analysis > Risk Management > Il prodotto: SkyboxView Suite > Case Study: Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera > Presentazione di Business-e

3 Introduzione > Le aziende hanno la necessità di ridurre l esposizione al rischio dei propri asset (materiali e immateriali) > Per tutelare i fattori-chiave del proprio business, le aziende devono non solo reagire ai danni che subiscono ma prevenirli attraverso politiche adeguate di Analisi e Gestione del Rischio. > La percentuale di rischi accettati dipende dagli asset da proteggere e dall impatto delle eventuali contromisure > L onerosità di queste attività spinge le aziende ad esternalizzare queste attività presso outsourcer qualificati e specializzati (in termini metodologici, tecnologici ed organizzativi)

4 Obiettivi Obiettivi Tattici Proteggere le proprie risorse (umane, IT, dati, processi, immagine) dal ripetersi di danni; Adeguarsi a normative (Privacy, Telecomunicazioni, etc.); Tutelare i vincoli contrattuali con i clienti Obiettivi Strategici Prevenire danni alle risorse; Ottimizzare i processi rispetto agli obiettivi di business; Aumentare la competitività (in termini di immagine, sicurezza, soddisfazione del cliente) Procedure Operative Progetti di censimento e classificazione (dati, processi IT, architetture IT) Progetti di Analisi dei Rischi (metodologia e supporto all utilizzo del tool CRAMM) Progetti di Gestione dei Rischi - Piani di Sicurezza - Documenti Programmatici sulla Sicurezza - Piani di adeguamento Privacy - Piani di Business Continuity e Disaster Recovery - Assistenza alla implementazione - Supporto post-implementazione

5 Risk Assessment > La metodologia di Risk Analysis adottata fa riferimento alle Best Practices e gli standard internazionali in materia (ITSEC, ISO17799, CRAMM) > Le attività previste sono: > Rilevazione dello Scenario Informativo > Classificazione dello Scenario Informativo > Analisi del Rischio (Risk Analysis) > Analisi del Rischio residuo (Gap Analysis) > Gestione del Rischio (Risk Management)

6 Risk Assessment Risk Assessment secondo la metodologia ed CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC ANALISI DEI RISCHI FASE 1: Identificazione e valutazione asset Identificazione Asset Asset Modeling Valutazione Asset FASE 2: Analisi Minacce e Vulnerabilità e Misurazione del Rischio Rilevazione vulnerabilità e minacce Calcolo esposizione al Rischio GESTIONE DEI RISCHI FASE 3: Generazione Contromisure Identificazione Contromisure FASE 4: Gap Analisys Calcolo del Rischio Residuo FASE 5: Piano degli interventi Piano degli interventi

7 Risk Management DEFINIZIONE DELLE SPECIFICHE FUNZIONALI > Questa attività ha lo scopo di individuare per ogni contromisura residua i fattori costitutivi: > Livello di copertura della rispettiva funzione di Sicurezza > Benefici attesi > Costi previsti (investimento, manutenzione, tasso di obsolescenza) > Impatti stimati (impegno risorse umane, performances, qualità del servizio e degli output)

8 Risk Management PIANO DEGLI INTERVENTI > Definite le specifiche di alto e basso livello si deve procedere allo sviluppo di un Piano degli Interventi di Sicurezza. > Il Piano deve individuare gli interventi necessari per mitigare i rischi residui sulla base di: > Analisi dei costi e dei benefici dell intervento > Valutazione delle interrelazioni nascenti da più interventi > Classificazione degli interventi per tipologia ed impatto organizzativo > Classificazione degli inteventi per priorità (per ragioni di criticità, costo, etc.)

9 Risk Management PIANO DEGLI INTERVENTI: ANALISI COSTI/BENEFICI > Singoli interventi del Piano devono essere analizzati sulla base di: > Benefici tecnici attesi in termini di funzionalità, sicurezza e performances > Benefici economici > Costi in termini di impegno delle risorse, funzionalità e performances > Costi economici

10 Risk Management PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER TIPOLOGIA > I singoli interventi del Piano devono essere classificati sulla base della propria tipologia: > Interventi architetturali che impattano sull architettura del Sistema Informativo (soluzioni topologiche) > Interventi tecnologici che impattano sugli asset IT (hardware, piattaforme, applicazioni di mercato o proprietarie, apparati di rete, etc.) > Interventi organizzativi che impattano sulla struttura aziendale (ruoli, responsabilità, procedure) > Interventi di esternalizzazione del rischio (contratti di outsourcing, contratti assicurativi)

11 Risk Management PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER PRIORITA > I singoli interventi del Piano devono essere classificati sulla base della priorità attribuita. > Questa attribuzione di priorità può essere distribuita su scale di diversa granularità ma deve comunque considerare alcuni fattori-chiave: > Impatto sul business dei rischi oggetto d intervento > Probabilità di accadimento dei rischi oggetto d intervento > Ragioni di tempistica rispetto al calendario aziendale > Rispetto di prescrizioni normative > Impatto dei costi dell intervento rispetto alle capacità di spesa/investimento dell azienda in un dato momento

12 Risk Management: SkyboxView Suite / IT & Exposure Risk management Con l aumento esponenziale della complessità delle infrastrutture tecnologiche a supporto dei processi di business, valutare correttamente ed in tempi brevi la minaccia di impatti tecnologici, riducendo il tempo di esposizione è un attività spesso ingestibile senza gli strumenti corretti. Vulnerability Risk Management Business Impact Analysis and Mitigation Patch Remediation Planning Firewall Auditing & Compliance Change Management Network Policy Compliance & Assurance

13 Risk Management: SkyboxView Suite / Risk Compliance

14 Risk Management: SkyboxView Suite / Steps to Security / Steps to Security / STEP 1 Model your environment / STEP 2 Analyze your Security / STEP 4 STEP 3 Reporting / Analyze your Compliance /

15 Model your environment / Model your environment / STEP 1 Risk Management: SkyboxView Suite / Vulnerability Assessment Network Configuration Threat Origins Business Assets

16 Analyze your Compliance / Analyze your Compliance / STEP 3 Risk Management: SkyboxView Suite / Network Compliance Device Compliance FW Change Management What if Modeling

17 STEP 4 Reporting / Reporting / Risk Management: SkyboxView Suite / Pdf Reporting Dashboard Auditors Reporting Automated Process

18 Risk Management: SkyboxView Suite / Skybox Skybox Architecture Architecture /

19 CASE STUDY Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera

20 Obiettivo del progetto - Analizzare i rischi alla sicurezza delle informazioni critiche del sistema informativo del Gruppo Hera SpA - Individuare strategie e contromisure di sicurezza per ridurre o eliminare i rischi seguendo le indicazioni della Norma ISO 27001: Fornire indicazioni operative atte a realizzare le contromisure selezionate al fine di dare avvio ad un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) idoneo a proteggere l'integrità, la riservatezza e la disponibilità delle informazioni

21 Principali Attività - Definizione del processo di gestione della sicurezza delle informazioni secondo lo standard ISO/IEC 27001: Definizione della Politica Generale per la Sicurezza delle Informazioni - Risk Assessment - Gap analysis a norma ISO/IEC 27001: Vulnerability Assessment - Definizione del Piano di Implementazione

22 IL PROCESSO DI GESTIONE DELLA SICUREZZA IN OTTICA ISO/IEC 27001:2005 Il Processo di Gestione della Sicurezza è stato definito sulla base del modello proposto dal ISO/IEC 27001:2005 al fine di consentire il governo di tutte le attività necessarie alla Pianificazione, all Implementazione, al Controllo ed al Miglioramento delle misure di sicurezza fisiche, logiche ed organizzative. Parti interessate Ciclo di sviluppo, manutenzione e miglioramento Plan Definizione del ISMS Parti interessate Requisiti e aspettative di Information Security Do Implementazione e messa in opera del ISMS Manutenzione e miglioramento del ISMS Act Gestione della Information Security Monitoraggio e revisione del ISMS Check

23 POLITICA GENERALE PER LA SICUREZZA DELLE INFORMAZIONI La Politica Generale per la Sicurezza delle Informazioni definisce le linee guida ed i principi generali a cui l Organizzazione deve attenersi per garantire la sicurezza delle informazioni. Di seguito si riporta l indice della Politica emessa: 1 INTRODUZIONE 1.1 Destinatari 1.2 Riferimenti 2 LA POLITICA DI SICUREZZA DELLE INFORMAZIONI 3 SICUREZZA FISICA 3.1 Ruoli e Responsabilità 3.2 Controlli Ambientali 3.3 Protezione Degli Asset 4 SICUREZZA LOGICA 4.1 Ruoli e Responsabilità 4.2 Identificazione E Autenticazione 4.3 Riservatezza 4.4 Tracciamento 4.5 Integrità 4.6 Disponibilità 5 SICUREZZA ORGANIZZATIVA 5.1 Ruoli E Responsabilità 5.2 Gestione Delle Conformità Nei Confronti Del Quadro Normativo Vigente 5.3 Analisi E Gestione Del Rischio 5.4 Audit 5.5. Business Continuity E Disaster Recovery 5.6 Gestione Del Personale Interno E Di Terze Parti 5.7 Normative Comportamentali 6 PROVVEDIMENTI \

24 Risk Assessment L attività di Risk Assessment è stata condotta utilizzando la metodologia ed il tool software messo a disposizione da CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC 27001:2005. Di seguito si riportano le fasi principali dell attività: Risk Assesment CRAMM FASE 1: Identificazione e valutazione asset Identificazione Asset Asset Modeling Valutazione Asset Identificazione e Valutazione Asset FASE 2: Analisi Minacce e Vulnerabilità e Misurazione del Rischio Rilevazione vulnerabilità e minacce Calcolo esposizione al Rischio Livello Minacce Vulnerabilità e Grado di esposizione al Rischio FASE 3: Generazione Contromisure Identificazione Contromisure Gestione del Rischio FASE 4: Piano degli interventi Piano degli interventi Piano degli Intereventi Gap Analysis ISO 27001:2005 Vulnerability Assessment

25 Risk Assessment Principali Step Fase 1 : Identificazione e Valutazione degli asset 1. Identificazione degli asset Censimento di tutti i beni che costituiscono il patrimonio informativo del Gruppo HERA 2. Asset Modeling Creazione un modello che schematizza le relazioni che intercorrono fra Processi, Macrodati, Software, Hardware e Location Ad ogni coppia MACRODATO/PROCESSO sono stati associati gli asset che supportano i macrodati del processo, secondo il seguente schema che, a titolo esemplificativo, si riporta di seguito: PROCESSO MACRODATO SOFTWARE HARDWARE LOCATION Amministrazione, Finanza e Controllo Amministrazione Finanza Operativa Finanza Strutturata Archidoc Lotus Notes Microsoft Office SAP Archidoc Lotus Notes Microsoft Office SAP Archidoc Lotus Notes Microsoft Office SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center Controllo di Gestione Archidoc Lotus Notes Microsoft Office REMA HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_REMA IMOLA - Data Center CED Berti Pichat IMOLA Data Center

26 Risk Assessment Principali Step Fase 1 : Identificazione e Valutazione degli asset 3. Valutazione degli Asset Per ogni processo è stato determinato il potenziale IMPATTO derivante dalla perdita intenzionale o casuale della riservatezza, integrità o disponibilità delle informazioni trattate. Di seguito si riporta un esempio dei grafici di sintesi ottenuti il cui obiettivo è quello di evidenziare i dati più critici. Processo: Amministrazione, Finanza e Controllo indisp 1g indisp 2g indisp 1s indisp 2s indis... indis... mod pp mod gp mod int inser fm rip mit rip des non cons replic er inst mon traf div int div fs div est dis tot Amministrazione Controllo di Gestione Finanza Operativa Finanza Strutturata Deliverable > Identificazione e Valutazione Asset >.

27 Principali Step Risk Assessment Fase 2 : Analisi Minacce e Vulnerabilità e Misurazione del Rischio 1. Rilevazione grado di vulnerabilità e livello della minaccia In questa fase sono state valutate le potenziali Minacce che potrebbero causare gli Impatti, determinati nella fase precedente e le Vulnerabilità del sistema nei confronti di tali Minacce. I livelli di Minaccia e Vulnerabilità sono stati valutati sulla base dei valori indicati da CRAMM: Valore della Minaccia VERY LOW: Ci si aspetta un incidente una volta ogni 10 anni LOW: Ci si aspetta un incidente una volta ogni 3 anni MEDIUM: Ci si aspetta un incidente una volta all anno HIGH: Ci si aspetta un incidente una volta ogni 4 mesi VERY HIGH: Ci si aspetta un incidente una volta al mese Valori Vulnerabilità LOW: In caso di incidente c è meno del 33% di probabilità che si realizzi il peggior scenario MEDIUM: In caso di incidente c è tra il 33% e il 66% di probabilità che si realizzi il peggior scenario HIGH: In caso di incidente c è più del 66% di probabilità che si realizzi il peggior scenario

28 Principali Step Risk Assessment Fase 2 : Identificazione e Valutazione degli asset 2. Calcolo Esposizione al Rischio I valori della misura del rischio sono stati calcolati su una scala da 1 a 7, in cui 1 indica un rischio quasi trascurabile e 7 il massimo della criticità, calcolati sulla base degli Impatti e dei livelli di Minaccia e Vulnerabilità valutati nelle fasi precedenti, attraverso la seguente matrice di valutazione ricavata dal modello CRAMM: Deliverable > Livello Minacce - Vulnerabilità e Grado di esposizione al Rischio >.

29 Deliverable Risk Assessment : Fase 3 - Generazione delle Contromisure IDENTIFICAZIONE DELLE CONTROMISURE Sono state identificate le contromisure di natura organizzativa, logica e fisica che devono essere adottate per contrastare le minacce e le vulnerabilità e il rischio definiti. Per ogni contromisura è stata definita la priorità di attuazione (HIGH; MEDIUM; LOW) È stato poi, eseguito un confronto tra le contromisure suggerite e quelle esistenti al fina di identificare puntualmente i progetti di sicurezza da riportare nel Piano degli Interventi > Gestione dei Rischi >. Risk Assessment : Fase 4 - Piano degli Interventi DEFINIZIONE DEL PIANO DEGLI INTERVENTI Il Piano degli Interventi costituisce le indicazioni progettuali che dovrebbero essere implementate al fine di contrastare i rischi emersi nel corso delle precedenti attività di analisi e costituisce il Report di conclusione a seguito delle attività di Risk Assessment e Gap Analysis. Deliverable > Piano degli Interventi >.

30 Il Gruppo Itway Ravenna Milano Roma Bergamo Vicenza Massa Parigi Madrid Barcellona Lisbona Atene

31 La Forza dell integrazione La forza del Gruppo Itway è data dall'approccio integrato con il quale si propone sul mercato. Le aziende del Gruppo sono in grado di rispondere a tutte le esigenze dei clienti proponendosi come partner affidabili nell'offerta di soluzioni ICT ad alto valore P R O D O T T I E-BUSINESS & SECURITY CONSULENZA & SERVIZI BUSINESS-E aggiunto. ITWAY VAD ITWAY ACADEMY ASSISTENZA & FORMAZIONE

32 Il Profilo Business-e costituisce l'area Strategica d'affari (ASA Enterprise) del Gruppo Itway (società quotata al TechStar di Borsa Italiana) e opera nel mercato dei Servizi ICT per l azienda estesa. Business-e vanta una posizione di rilievo nazionale nei settori della sicurezza informatica, dell e-business e dell'integrazione dei sistemi aziendali. Le nostre sedi > Ravenna, Roma, Milano, Curno, Massa Milano Massa Curno Ravenna Le nostre dimensioni Roma > Addetti: 180 professionisti > Fatturato 2005: 19,5 M

33 La Mission >Drive your e-success: insieme per volare verso il successo >La nostra missione è quella di fornire il più valido supporto tecnologico ai nostri clienti per lo sviluppo della loro redditività e del loro business, migliorandone al contempo la competitività e la sicurezza. >Ottimizziamo i processi aziendali attraverso soluzioni concrete, aiutando i clienti a governare e a proteggere la crescita dei loro affari, per noi una missione ed al tempo stesso uno stimolo per un costante miglioramento.

34 Business-e Excellence Areas SECURITY CONSULTING SECURITY AND TECHNOLOGY SOLUTIONS BUSINESS SOLUTIONS OUTSOURCING

35 SECURITY CONSULTING Security Governance Compliance Consulting (SOX, ISO27001, Dlgs. 196.) Security Audit and assessment Pro-active Security Vulnerabilty Assessment & Ethical Hacking Web Application Security Risk assessment Security solution design

36 Business-e Excellence Areas Security Governance Pro-active Security Ethical Hacking SECURITY CONSULTING Web Application Security Compliance Consulting SECURITY AND TECHNOLOGY SOLUTIONS Network and Applications Security Content Security End Point Security Identity and Access Management Data Protection and Retention IT Infrastructure Physical security BUSINESS SOLUTIONS Document Management E-Commerce e Portali CRM e Multicanalità Progetti Custom Oracle Advanced Services Security Management Infrastructure Management Desktop Fleet Management OUTSOURCING Application Management Help Desk Presidi Reperibilità

37 Security Consulting L offerta di Business-e si distingue perché mira apertamente ad affiancare il management di PMI ed Enterprises nella Corporate Security Governance, attraverso un modello originale che tiene conto di COBIT e ISO > Consulenza Organizzativa e Metodologica Security Governance, Policy Management, Risk Assessment, Risk Management, Contenimento e Protezione dei Dati, Business Continuity, Security Assurance, Formazione Evolution of Data Security Data Level Protection > Consulenza Tecnica e per la sicurezza pro-attiva Web Applications Security, Code Review, Vulnerability Assessment,Penetration Testing Exposure VPN F/W IPS > Consulenza per la conformità a Standard e Normativa Protezione Dati Personali (D.Lgs 196), Misure Minime, Firma Digitale, Conservazione Sostitutiva, Responsabilità Amministrativa. Compliance ISO27001(BS7799), SOX, Basel II A/V Time Source: Morgan Stanley Research

38 Riferimenti RAVENNA Viale della Lirica, 35 Tel ROMA Via Valentino Mazzola, 66 Tel MILANO P.zza Martiri di Via Fani, 19 - Sesto S. Giovanni (Mi) - Tel BERGAMO Via Dalmine 10/a 35 Curno - Tel MASSA Via degli Oliveti, 110 Tel

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Soluzioni di business per le imprese

Soluzioni di business per le imprese Soluzioni di business per le imprese Esperti in Innovazione Chi siamo SICHEO nasce per volontà di un gruppo di manager con ampia esperienza nel business ICT e nell innovazione Tecnologica applicata ai

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994 ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni

Dettagli

Siamo quello che ti serve

Siamo quello che ti serve Siamo quello che ti serve Fabaris TECNOLOGIA E COMPETENZA A SERVIZIO DELLE AZIENDE Fabaris opera da oltre quindici anni nel settore ITC, nella realizzazione e gestione di complessi sistemi ad alto contenuto

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Esperienze di analisi del rischio in proggeti di Information Security

Esperienze di analisi del rischio in proggeti di Information Security INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

Classificare e proteggere i dati

Classificare e proteggere i dati Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

Case Study Certificazione BS 7799

Case Study Certificazione BS 7799 Corso di formazione Case Study Certificazione BS 7799 PRIMA GIORNATA Analisi degli standard ISO 17799 e BS7799: cosa sono, come e perché affrontare il percorso di certificazione h. 9.00: Registrazione

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

<Insert Picture Here> Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Corporate Forensics: dall infrastruttura alla metodologia Walter Furlan, CON.NEXO Presentazione CON.NEXO CON.NEXO, in qualità di Partner ORACLE, è la prima azienda

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Edizione 2010. www.sovedi.it

Edizione 2010. www.sovedi.it Edizione 2010 www.sovedi.it SOVEDI s.r.l. Via Antica, 3-25080 Padenghe sul Garda (BS) email: info@sovedi.it tel: +39 0302076341 CAP.SOC. 51.480,00 - C.F. p.iva 00632180246 SOVEDI nasce nel 1978 a Vicenza.

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

GEFRAN: riduzione dei tempi di inattività con Business Continuity

GEFRAN: riduzione dei tempi di inattività con Business Continuity GEFRAN S.p.a. Utilizzata con concessione dell autore. GEFRAN: riduzione dei tempi di inattività con Business Continuity Partner Nome dell azienda GEFRAN S.p.a Settore Industria-Elettronica Servizi e/o

Dettagli

I valori distintivi della nostra offerta di BPO:

I valori distintivi della nostra offerta di BPO: Business Process Outsourcing Partner 3M Software è il partner di nuova generazione, per la progettazione e la gestione di attività di Business Process Outsourcing, che offre un servizio completo e professionale.

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation Il mestiere del security manager Giorgio Ledda Senior Director Security Oracle Corporation Argomenti della discussione Il mestiere del security manager. Perché la security? Una definizione di security.

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

IT Value. Referenze di Progetto. Settembre 2013

IT Value. Referenze di Progetto. Settembre 2013 IT Value Referenze di Progetto Settembre 2013 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione di Applicativi per il Credit

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Università di Macerata Facoltà di Economia

Università di Macerata Facoltà di Economia Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:

Dettagli

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Il gruppo è composto da:

Il gruppo è composto da: Comprensione, condivisione ed ottimizzazione. Offrire alle aziende un servizio mirato, innovativo e di eccellenza per l organizzazione dei propri sistemi produttivi. Il gruppo è composto da: Wiit la capogruppo,

Dettagli

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing Infracom case studies per la gestione tecnologica del rischio operativo 1 Il Gruppo Infracom Competenze, Metodologie, Servizi ed Infrastrutture

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Sommario. L'Azienda I Servizi Le Soluzioni I Partner

Sommario. L'Azienda I Servizi Le Soluzioni I Partner 1 Sommario L'Azienda I Servizi Le Soluzioni I Partner 2 L azienda 3 Profilo La Società Essematica nasce nel 1987 da un team di specialisti e ricercatori informatici che, aggregando le esperienze maturate

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration

LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration LIBERA L EFFICIENZA E LA COMPETITIVITÀ DEI TUOI STRUMENTI! Open Solutions, Smart Integration COSA FACCIAMO SEMPLIFICHIAMO I PROCESSI DEL TUO BUSINESS CON SOLUZIONI SU MISURA EXTRA supporta lo sviluppo

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli