Privacy Day 2013 MODENA Ing. GIUSEPPE NALE
|
|
- Viola Mariani
- 8 anni fa
- Visualizzazioni
Transcript
1 RISK ASSESSMENT NETWORK ASSESSMENT DISASTER RECOVERY e CLOUD Privacy Day 2013 MODENA Ing. GIUSEPPE NALE consulenza ICT in ambito infrastrutture, sicurezza e Cloud services
2 Sommario Agenda Risk assessment Network assessment Disaster recovery e Cloud storage
3 Normativa
4 Risk Assessment Progetto della sicurezza Articolo 23 Protezione fin dalla progettazione: - Evoluzione - Costi Protezione di default: - Quantità - Durata RISK ASSESSMENT RISK MANAGEMENT
5 Risk Assessment Risk Assessment e Risk Management Durante questi processi di valutazione e gestione, i rischi vengono identificati e misurati dal management aziendale. La stima dei rischi è sottoposta alla direzione aziendale che ha l onore e l onere di decidere la strategia prendendo decisioni sui rischi ritenuti accettabili. il sistema di sicurezza viene adeguato nel tempo. E un processo ciclico di affinamenti progressivi. La prima valutazione serve per progettarlo. Il processo di gestione prevede di valutarne l efficacia, tramite successive valutazioni, generalmente annuali, confrontate con i benchmark utilizzando key indicators tra cui valore del rischio, calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze. Il problema della sicurezza: lo scetticismo E sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per combattere perdite potenziali. I benefici apportati dalla sicurezza non sempre sono quantificabili.
6 Risk Assessment Risk assessment La sicurezza delle informazioni implica la protezione di quattro aspetti: Disponibilità : l'accessibilità motivata alle informazioni; Integrità : la completezza e la leggibilità delle informazioni; Autenticità : la validità delle informazioni; Riservatezza : la possibilità che solo chi è autorizzato possa leggere le informazioni. La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate Il problema della sicurezza: lo scetticismo E sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per combattere perdite potenziali. I benefici apportati dalla sicurezza non sempre sono quantificabili.
7 Risk Assessment Modelli di riferimento Il modello di valutazione del rischio può attingere dai migliori sistemi esistenti, contestualizzando il meglio di ognuno sulle esigenze delle Pmi, piuttosto che delle Enterprise o della PAC/PAL. Gli standard di riferimento: UNI CEI ISO/IEC 27001:2005 Pacchetto Informativo per le Pmi (Enisa_07, European Network and Information Security Agency) Sviluppato secondo il modello Octave (Operational Critical Threat, Asset and Vulnerability Evaluation) IT-Grundschutz Methodology (BSI, Bundesamt für Sicherheit in der Informationstechnik)
8 Tipologie di Asset analizzate 1. SERVIZI IT 2. SISTEMI IT 3. RETE Risk Assessment Controllo finanziario Assistenza alla clientela Logistica Commercio elettronico Gestione Web server Pianificazione delle risorse aziendali (Enterprise Resource Planning ERP) Server Postazione di lavoro Computer portatile Archiviazione e backup (anche dispositivi di archiviazione rimovibili) Dispositivo di memorizzazione di massa (storage) Fax Cellulari Router e modem Switch di rete Gateway (firewall) Access point wireless Accesso remoto Segmento di rete (ad es. cablaggio e attrezzature fra due computer) Altro (satellitare, laser) Fonte: ENISA 4. PERSONE 5. INFRASTRUTTURE Gestione dell impresa e delle risorse umane Funzionamento e tecnologia Ricerca e sviluppo Commerciale e marketing Contraenti e terzi Struttura dell edificio Cablaggio Uffici Archivi e schedari Locale/i server Locale/i attrezzature tecniche e macchinari Cabine di protezione (armadi) Sale riunioni, eventi, corsi
9 Livello di rischio Risk Assessment La valutazione del livello di rischio è funzione dell entità del danno che l asset considerato arrecherebbe all organizzazione imprenditoriale in uno dei seguenti scenari: perdita di disponibilità: interruzione (temporanea o prolungata) del processo/servizio supportato; interruzione dell accesso e/o di utilizzo di un determinato asset o delle informazioni ivi conservate perdita di integrità: modifica delle informazioni senza autorizzazione; perdita o distruzione dell asset perdita di riservatezza: divulgazione delle informazioni a persone, entità o processi non autorizzati L approccio utilizzato prevede la quantificazione di quattro livelli di rischio, secondo lo schema seguente.
10 Profilo di rischio Risk Assessment
11 Sintesi direzionale Risk Assessment Servizio di In caso di perdita di integrità, i dati possono essere recuperati dai nastri di backup, che, insieme al relativo dispositivo, rappresentano l elemento critico del sistema. à Si consiglia di mantenere aggiornati i piani di backup e di effettuare periodiche verifiche di corretto restore dei dati L infrastruttura di rete (router/firewall/switch) risulta non replicata à E fortemente consigliata una replica per diminuire il rischio di indisponibilità di assistenza remota e accesso al web ed ai servizi di posta Non vi è contratto di intervento con la ditta di manutenzione. à La mancanza di contratto formale con delle SLA specifiche può portare a disagi in caso di urgenza di disponibilità di personale specializzato Mancata sincronizzazione con Active Directory. à La sincronizzazione con il servizio di Active Directory migliorerebbe la gestione degli account e delle password ERP System ACG su AS400 Le password utilizzate dal sistema non sono robuste e non presentano scadenza à Anche se la sicurezza a livello Autenticazione sul sistema e legato alla presenza di Active Directory sarebbe opportuno l introduzione anche per questo sistema di password robuste e scadenza come richiesto dalla normativa L accesso ai dati è consentito anche da client esterni à Il rischio potrebbe essere diminuito approntanto un controllo di provenienza tramite indirizzo IP L infrastruttura di rete (router/firewall/switch) risulta non replicata à E fortemente consigliata una replica per diminuire il rischio di indisponibilità di assistenza remota e accesso al web ed ai servizi di posta
12 Networking Top 5 Network management mistakes and How to Avoid Them MISTAKE 1: APPROCCIO REATTIVO AL CHANGE MANAGEMENT MISTAKE 2: TROPPI CONFIGURATION CHANGES MANUALI MISTAKE 3: PERSONALE E STRUMENTI DI PERFORMANCE MANAGEMENT E CHANGE MANAGEMENT SEPARATI MISTAKE 4: PERSONALE IT INTERNO/ESTERNO CON TROPPI ADMINISTRATIVE ACCESS MISTAKE 5: COMPRENSIONE LIMITATA DELL IMPATTO DEI CHANGE DEL NETWORK SOLUZIONE: NETWORK ASSESSMENT & NETWORK MANAGEMENT
13 Back up Policy e DR La protezione dei dati on-premise Tipicamente: Il backup si usa per creare una copia di ripristino di emergenza di tutti i dati aziendali. In passato, questi dati erano archiviati su nastro mentre oggi sono sempre di più archiviati su disco per un ripristino più affidabile e rapido. Solitamente, le aziende più grandi possiedono una copia in sede e un'altra in un luogo secondario esterno all'azienda. Le snapshot si usano per creare una copia di un sistema informatico relativa a un determinato momento e costituiscono sempre più la base del backup, in quanto i clienti creano i backup dalle snapshot invece che direttamente dal sistema di produzione. Questo permette di non caricare troppo il sistema di produzione con la procedura di backup per non alterare le prestazioni e per lasciare tempo a sufficienza per il completamento del backup. Grazie alle snapshot, è possibile proteggere l'applicazione, i dati e il sistema operativo in un ambiente di server fisici e virtuali. La gestione basata su policy di backup definite è fondamentale per far sì che tutti i sistemi siano protetti e gestiti allo stesso modo in ogni punto dell'infrastruttura informatica.
14 Back up Policy e DR Il backup o replica online Backup online o Cloud storage: con questa modalità, il Cloud rappresenta un luogo di archiviazione extra. Oltre a creare il backup su disco o su nastro, ora si può effettuare anche su Cloud, utilizzando uno spazio di archiviazione offerto dal fornitore di servizi e ubicato all'esterno dell'azienda. In questo modo è possibile accedere allo spazio di archiviazione extra per il disaster recovery.
15 Disaster Recovery Recenti indagini di IDC confermano il crescente utilizzo di soluzioni di cloud storage e disaster recovery. Sicurezza e privacy. Quando si inviano i dati sul Cloud attenzione va posta sul livello di sicurezza presso il fornitore. A questo riguardo, va sottolineato come aspetto positivo che i fornitori di servizi Cloud sono generalmente consapevoli dell'importanza di adottare misure robuste di sicurezza e privacy e sono esperti in questo campo. Tuttavia, è importante verificare che il cliente e il fornitore abbiano gli stessi standard in tema di sicurezza e privacy. Ubicazione/Paese. La seconda preoccupazione, in ordine di importanza, è l'ubicazione dei dati, cioè l'ubicazione dei centri dati del fornitore di Cloud storage. Non tutti i fornitori dispongono di data center in ogni paese in cui offrono questo servizio. Per questa ragione, è importante sapere se la legge del proprio paese in tema di tutela della privacy richiede che i dati siano archiviati nel paese stesso o se invece permette che i dati siano archiviati altrove. Conformità legislativa. Quando ci si serve di un fornitore di Cloud storage, si rispettano le leggi nazionali e di settore? È importante poter dimostrare che si continua a gestire i propri dati indipendentemente dall'ubicazione dei dati stessi (in sede o online), e che si è in grado di fornire l'accesso ai dati alle autorità nazionali (per esempio, al fisco). Inoltre, va dimostrato che il proprio fornitore rispetta i requisiti di sicurezza e privacy che riguardano l'azienda. La gestione dei dati - negli ambienti fisici e virtuali, nella sede aziendale piuttosto che su infrastrutture per la protezione di dati sul Cloud - sono di importanza fondamentale per garantire e dimostrare la conformità ai revisori.
16 Cloud Computing e Protezione dei dati Il problema della legge applicabile Cloud services One single law applicable throughout Europe Il regolamento proposto prevede diversi obblighi nei confronti di titolari e responsabili stabiliti in UE. Maggiore coerenza di norme valide in tutta Europa rispetto al regime determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli Stati membri. Possibilità o necessità di specifiche regolamentazioni a livello nazionale in alcune aree lasciate alla competenza delle leggi nazionali (come la disciplina del lavoro).
17 Cloud Computing e Protezione dei dati I ruoli della protezione dei dati Responsabilità e contitolarità I fornitori di servizi Cloud offrono prestazioni che interessano in qualche misura le condizioni e le finalità stesse del trattamento. L articolo 24 del regolamento proposto dalla Commissione introduce una corresponsabilità del trattamento. I Cloud service providers sono contitolari, insieme al loro cliente, dei trattamenti.
18 Cloud Computing e Protezione dei dati Certifications & Accreditations ISO SOC 1 (SSAE 16 & ISAE 3402) Type II Audit SOC 2 SOC 3 Audit (new in 2013) TIER4 data center Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider Security IN the Cloud Security OF the Cloud
19 Cloud Computing e Protezione dei dati Customer-managed Controls Applications Platforms Operating Systems Data OS-level Firewalls/IDS/IPS Systems/Deep Security Security Group & Network Access Control Lists Industry Standard Protocols IPSec, SSL, SSH Netwok Security Encryption of data in Flight Security IN the Cloud Security OF the Cloud OS-level: Encrypted File System Bitlocker, dm-crypt, Secure Cloud Encryption of data at Rest
20 Cloud Computing e Protezione dei dati La Governance del Cloud Il Governo dei servizi in Cloud: i rischi specifici devono essere gestiti in modo esplicito i livelli di servizio sono definiti con le modalità di monitoraggio (da definirsi nel contratto di servizio) i dati in Cloud devono essere stati classificati il rischio di collocazione geografica dei datacenter è valutato
21 Cloud Computing e Protezione dei dati Obblighi contrattuali Cloud Il contratto deve definire: Evidenza esplicita delle procedure di sicurezza del CSP Data retention policies Reporting sulla location geografica dei dati Notifica di eventi anomali Penalità per data breaches Compartimentalizzazione (no multitenancy) e Protezione contro la data contamination tra clienti
Politica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliIT Cloud Service. Semplice - accessibile - sicuro - economico
IT Cloud Service Semplice - accessibile - sicuro - economico IT Cloud Service - Cos è IT Cloud Service è una soluzione flessibile per la sincronizzazione dei file e la loro condivisione. Sia che si utilizzi
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliPolicy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web
Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web Premessa La Argo software srl è impegnata costantemente a pianificare e monitorare le proprie azioni per la
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliLa CASSAFORTE DIGITALE per
La CASSAFORTE DIGITALE per DOCUMENTI PROTETTI La Soluzione per la Piccola Media Impresa La realtà operativa delle Piccole e Medie Imprese italiane è caratterizzata dalla produzione e dalla consultazione
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliSCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT
srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
Dettagli«Gestione dei documenti e delle registrazioni» 1 SCOPO... 2 2 CAMPO DI APPLICAZIONE E GENERALITA... 2 3 RESPONSABILITA... 2 4 DEFINIZIONI...
Pagina 1 di 6 INDICE 1 SCOPO... 2 2 CAMPO DI APPLICAZIONE E GENERALITA... 2 3 RESPONSABILITA... 2 4 DEFINIZIONI... 2 5 RESPONSABILITA... 2 5.3 DESTINATARIO DELLA DOCUMENTAZIONE... 3 6 PROCEDURA... 3 6.1
DettagliRidurre i rischi. Ridurre i costi. Migliorare i risultati.
Ridurre i rischi. Ridurre i costi. Migliorare i risultati. Servizi di approvvigionamento professionale. Essere più informati, fare scelte migliori. Supplier Management System delle Communities (CSMS) Prequalifiche
DettagliIL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI
IL CSI PIEMONTE PER LA CONTINUITÀ DEI VOSTRI SERVIZI LA CONTINUITÀ OPERATIVA È UN DOVERE La Pubblica Amministrazione è tenuta ad assicurare la continuità dei propri servizi per garantire il corretto svolgimento
DettagliGestione dei documenti e delle registrazioni Rev. 00 del 11.11.08
1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Descrivere la gestione della documentazione e delle registrazioni del sistema di gestione 3. APPLICABILITÀ La presente procedura
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliL obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.
E una realtà nelle tecnologie informatiche dal 1990. Dalla nascita del nucleo iniziale, con le attività di assistenza tecnica e di formazione, alla realtà attuale, di specialisti a tutto campo nei servizi
DettagliSistema di gestione della Responsabilità Sociale
PGSA 05 Sistema di Gestione la Responsabilità PROCEDURA PGSA 05 Sistema di gestione la Responsabilità Rev. Data Oggetto Redatto da Approvato da 01 2 Prima emissione Resp. RSGSA Direzione 1 PGSA 05 Sistema
DettagliInformativa sulla privacy
Informativa sulla privacy Data di inizio validità: 1 Maggio 2013 La presente informativa sulla privacy descrive il trattamento dei dati personali immessi o raccolti sui siti nei quali la stessa è pubblicata.
DettagliINDICAZIONI GENERALI
INDICAZIONI GENERALI PER LA VALUTAZIONE, L ACQUISTO O LA REALIZZAZIONE IN PROPRIO DI SOFTWARE GESTIONALI PER LE SOCIETA DI RICERCA E SELEZIONE DEL PERSONALE, LE SOCIETA DI RICERCA DIRETTA E LE DIREZIONI
DettagliEasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.
EasyPROtection La soluzione software per Commercialisti e Consulenti Fiscali DATI E DOCUMENTI PROTETTI Sempre. Ovunque. La Soluzione per Commercialisti e Consulenti fiscali La realtà operativa degli Studi
DettagliIntroduzione al Cloud Computing
Risparmiare ed innovare attraverso le nuove soluzioni ICT e Cloud Introduzione al Cloud Computing Leopoldo Onorato Onorato Informatica Srl Mantova, 15/05/2014 1 Sommario degli argomenti Definizione di
DettagliReplica con TeraStation 3000/4000/5000/7000. Buffalo Technology
Replica con TeraStation 3000/4000/5000/7000 Buffalo Technology Introduzione La funzione di replica consente di sincronizzare una cartella in due diversi dispositivi TeraStation quasi in tempo reale. Il
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliCapire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.
LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliTelex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali
Telex telecomunicazioni Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali Agenda 1 azienda 2 organizzazione 3 offerta 4 partner 5 referenze Storia Azienda Nasce 30 anni fa Specializzata
DettagliDocumento Programmatico sulla sicurezza
SNAMI Sindacato Nazionale Autonomo Medici Italiani Documento Programmatico sulla sicurezza Redatto ai sensi dell articolo 34, comma 1, lettera g) e Allegato B - Disciplinare Tecnico, Regola 19 del Decreto
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliSISTEMA DI GESTIONE INTEGRATO. Audit
Rev. 00 del 11.11.08 1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Gestione degli audit interni ambientali e di salute e sicurezza sul lavoro 3. APPLICABILITÀ La presente
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliIT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliGartner Group definisce il Cloud
Cloud Computing Gartner Group definisce il Cloud o Cloud Computing is a style of computing in which elastic and scalable information technology - enabled capabilities are delivered as a Service. Gartner
DettagliCi prendiamo cura dei tuoi dati. NetGuru S.r.l. - Si.Re. Informatica
Ci prendiamo cura dei tuoi dati. NetGuru S.r.l. - Si.Re. Informatica 1 I rischi Rottura Cancellazione accidentale Cataclisma Errore umano 35% Crimini informatici 36% Crimini informatici Rottura di un apparato
DettagliProcedura n. 03 (Ed. 02) TENUTA SOTTO CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI
INDICE 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. DEFINIZIONI 4. GENERALITÀ 5. RESPONSABILITÀ 6. IDENTIFICAZIONE 7. REDAZIONE, CONTROLLO, APPROVAZIONE ED EMISSIONE 8. DISTRIBUZIONE 9. ARCHIVIAZIONE 10. MODIFICHE
DettagliCOMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy
COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto
DettagliDAMA DEMOLIZIONI E SMONTAGGI S.R.L.
DAMA DEMOLIZIONI E SMONTAGGI S.R.L. D.Lgs 231/2001 Codice Etico 1 INDICE 1. Introduzione Pag. 3 2. Politiche di condotta negli affari Pag. 3 2.1 Dipendenti, collaboratori e consulenti Pag. 5 3. Salute,
Dettagli1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria
Acquedotto Langhe e Alpi Cuneesi SpA Sede legale in Cuneo, corso Nizza 9 acquedotto.langhe@acquambiente.it www.acquambiente.it SGSL Procedura Gestione dei documenti e del 06/05/2013 1. DISTRIBUZIONE Datore
DettagliOHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro
SORVEGLIANZA E CERTIFICAZIONI OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro Pagina 1 di 6 INTRODUZIONE L attenzione alla sicurezza e alla salute sui luoghi di lavoro (SSL)
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliIT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
DettagliARCHIVIAZIONE DOCUMENTALE
ARCHIVIAZIONE DOCUMENTALE Value proposition La gestione dei documenti cartacei è oggi gravemente compromessa: l accesso ai documenti e lo spazio fisico per la conservazione, cioè le key feature, sono messi
DettagliPresidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico
Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E
DettagliCODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI
Codice Privacy Procedura per la gestione del backup e del restore dei dati CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI 1 Regolamento aziendale per l utilizzo delle risorse informatiche,
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliAZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO
AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO PROCEDURA PR02 - Audit Interni Edizione 1 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente Aziendale per la Qualità
DettagliPROGRAMMA CORSI PRIVACY 2013
PROGRAMMA CORSI PRIVACY 2013 1) Modulo per Titolari/Responsabili del Trattamento Obiettivo del corso: fornire una conoscenza approfondita della normativa vigente, al fine di compiere scelte consapevoli
DettagliCONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA
CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA 1. Nelle presenti Condizioni Generali, le parole elencate qui di seguito saranno da intendersi con i significati qui descritti:
DettagliData Center Telecom Italia
Data Center Telecom Italia Certificazioni: ISO 27001 e ISO 9001 I Data Center Telecom Italia sono infrastrutture tecnologiche all avanguardia dotate di dispositivi di sicurezza, impianti, risorse professionali
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliSERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)
SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,
DettagliIl Regolamento REACh e la Check Compliance: proposta di Linee Guida
Il Regolamento REACh e la Check Compliance: proposta di Linee Guida Piero Franz- Certiquality Bologna - 20 Giugno 2011 CERTIQUALITY IN ITALIA SEDE DI MILANO UFFICIO DI VENEZIA FONDATO NEL 1989 CERTIQUALITY
DettagliSISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING
SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING OUTSOURCING OUSOURCING: affidamento a terzi dell attività di sviluppo e/o esercizio e/o assistenza/manutenzione del sistema informativo o di sue parti Scelta
DettagliDuBackup+ OnlineBackups BestPractices
DuBackup+ OnlineBackups BestPractices ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali informativi sono
DettagliIL SERVIZIO CLOUD BOX DELLA HALLEY CONSULTING s.p.a
Servizio CLOUD BOX IL SERVIZIO CLOUD BOX DELLA HALLEY CONSULTING s.p.a Il servizio CLOUD BOX prevede la fornitura dell infrastruttura Server dedicata agli applicativi halley e l erogazione di servizi specialistici,
DettagliIl documento informatico nel Comune di Cuneo. Francesca Imperiale Settore Segreteria Generale Servizio Archivio Comune di Cuneo
Il documento informatico nel Comune di Cuneo Francesca Imperiale Settore Segreteria Generale Servizio Archivio Comune di Cuneo 1 Firma digitale e documento informatico L acquisizione della firma digitale
Dettagli3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.
Acquedotto Langhe e Alpi Cuneesi SpA Sede legale in Cuneo, Corso Nizza 9 acquedotto.langhe@acquambiente.it www.acquambiente.it SGSL Audit P11 Rev 00 del 16/09/09 1. DISTRIBUZIONE Direzione RSPP 2. SCOPO
DettagliCAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo
CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento
DettagliSicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST
Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio
Dettaglila GESTIONE AZIENDALE software on-line
la GESTIONE AZIENDALE software on-line per la GESTIONE via AZIENDALE INTERNET (con tecnologia SAAS & CLOUD Computing) 1 Il software gestionale senza costi accessori, dove e quando vuoi! Impresa ON è il
DettagliSICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY
SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY Venezia 19 maggio 2011 Scenario di contesto Documenti - solo digitali - digitali e analogici Archivi - solo digitali - digitali e analogici 1 Archivio digitale
DettagliAllegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio
Allegato Servizio Hosting Virtual DataCenter di Regione Lombardia per l ENTE UCL Asta del Serio Contesto Il percorso condotto da Regione Lombardia (RL) per la razionalizzazione dei CED degli ENTI si inserisce
Dettagliesurv Contratto di licenza per l utente finale
esurv Contratto di licenza per l utente finale Indice Definizioni... 3 Contratto di licenza... 3 Licenza, installazione e restrizioni di utilizzo... 3 esurv Smart... 4 esurv FirstOne... 4 esurv Premium...
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliModalità e luogo del trattamento dei Dati raccolti Modalità di trattamento
Titolare del Trattamento dei Dati Ing. Alberto Rossi, Corso Vittorio Emanuele II n 15, Cremona; 0372-75 06 55 ing-albertorossi@libero.it Ing. Federico Jappelli, via Lepontina 1, Milano; 02-33 22 02 49
DettagliFocus on Cloud Security
Focus on Cloud Security Matteo Cavallini (ISC)2 Meeting - 7 novembre 2011, Roma EC - Le architetture ICT nell'era del cloud - 24 Maggio 2011, Roma La cloud security in una slide Le preoccupazioni - 1 Fonte
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliFattura elettronica e conservazione
Fattura elettronica e conservazione Maria Pia Giovannini Responsabile Area Regole, standard e guide tecniche Agenzia per l Italia Digitale Torino, 22 novembre 2013 1 Il contesto di riferimento Agenda digitale
DettagliLE RETI: STRUMENTO AZIENDALE
LE RETI: STRUMENTO AZIENDALE INDICE -Introduzione -La rete e i principali tipi di rete -La rete delle reti: Internet -Evoluzione tecnologica di internet: cloud computing -Vantaggi della cloud all interno
Dettagliil CLOUD a norma di legge
il CLOUD a norma di legge COS È IL CLOUD COMPUTING. Con il termine CLOUD COMPUTING, o semplicemente CLOUD, ci si riferisce a un insieme di tecnologie e di modalità di fruizione di servizi informatici che
DettagliLa soluzione software per Avvocati e Studi legali
La soluzione software per Avvocati e Studi legali DATI E DOCUMENTI PROTETTI Sempre. Ovunque. La Soluzione per La realtà operativa degli Studi Legali è caratterizzata dalla produzione e dalla consultazione
DettagliMeno rischi. Meno costi. Risultati migliori.
Meno rischi. Meno costi. Risultati migliori. Servizi professionali per l approvvigionamento. Essere più informati. Prendere decisioni migliori. Supplier Management Service delle Società (ESMS) Qualifica
DettagliPerché le regole e come
Perché le regole e come Conseguenze sullo sviluppo umano > http://www.sistemaambiente.net/form/it/iso/2_conseguenze_sullo_sviluppo_umano.pdf Le norme ISO Il sistema di gestione aiuta > http://www.sistemaambiente.net/form/it/iso/4_sistema_di_gestione.pdf
DettagliCONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)
CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
Dettagliw w w. n e w s o f t s r l. i t Soluzione Proposta
w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliGESTIONE DELLE NON CONFORMITÀ E RECLAMI
Pagina 1 di 6 Procedura Rev. Data Descrizione modifica Approvazione 3 27.04.2003 Revisione generale (unificate NC e Reclami) C.V. 4 03.09.2007 Specificazione NC a carattere ambientale C.V. 5 07.03.2008
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliInfoCertLog. Scheda Prodotto
InfoCertLog Scheda Prodotto Data Maggio 2012 Pagina 2 di 5 Data: Maggio 2012 Sommario 1. Il contesto normativo... 3 1.1. Amministratori di Sistema... 3 1.2. Soggetti interessati dal provvedimento... 3
DettagliProcedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata
Pag.: 1 di 7 Copia in distribuzione controllata Copia in distribuzione non controllata Referente del documento: Referente Sistema Qualità (Dott. I. Cerretini) Indice delle revisioni Codice Documento Revisione
DettagliLe Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema
Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema la normativa: http://www.garanteprivacy.it/garante/doc.jsp?id=1577499
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliSettore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.
Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.1 Aprile 2015 Introduzione Il presente documento contiene un
DettagliCloud Email Archiving
Cloud Email Archiving Archiviazione e conformità della posta elettronica Archiviazione e conformità L'archiviazione della posta elettronica deve soddisfare una serie di requisiti fondamentali, compreso
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliLa soluzione software per CdA e Top Management
La soluzione software per CdA e Top Management DATI E DOCUMENTI PROTETTI Sempre. Ovunque. La Soluzione per Quando si parla di fusioni e acquisizioni, di cambiamenti di gestione, di pianificazione o di
DettagliProfili giuridici del cloud in sanità: dalla digitalizzazione alla privacy
Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy Prof. Avv. Giusella Finocchiaro www.studiolegalefinocchiaro.it www.blogstudiolegalefinocchiaro.it Osservazioni preliminari Esternalizzazione:
DettagliMANUALE DELLA QUALITÀ DI
MANUALE DELLA QUALITÀ Pag. 1 di 13 MANUALE DELLA QUALITÀ DI Copia master Copia in emissione controllata (il destinatario di questo documento ha l obbligo di conservarlo e di restituirlo, su richiesta della
Dettaglidivisione INFORMATICA
Reti informatiche CABLATE @atlantidee.it Il fattore critico di successo per qualsiasi attività è rappresentato dall' efficienza delle reti informatiche. Una scorretta configurazione della rete o il suo
Dettagli