Esperienze di analisi del rischio in proggeti di Information Security

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Esperienze di analisi del rischio in proggeti di Information Security"

Transcript

1 INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile Servizi Sicurezza Kpmg Advisory ADVISORY Modello generale di analisi e gestione del rischio L analisi dei rischi nei progetti di Information Security 2

2 Il processo di analisi e gestione dei rischi Eventi realmente dannosi Eventi percepiti come dannosi Eventi che si ritiene di contrastare Eventi realmente contrastati Sprechi OK Falsa sicurezza Accettazione rischio Falsa Sicurezza Verifiche Analisi dei rischi Sistema di Gestione 3 Il concetto di rischio A livello teorico, il rischio può essere definito come il prodotto scalare tra la gravità delle conseguenze che un evento dannoso può causare e la probabilità che tale evento si realizzi. Rischio = P x I P = PROBABILITA che un evento dannoso si verifichi I = IMPATTO stimato nel caso in cui l evento si verifichi 5 Impatto Monitoraggio Gestione 0 Review periodica Probabilità 4 2

3 Il rischio residuo Le contromisure adottate possono agire sia sulla probabilità di accadimento della minaccia (ad es. tramite l adozione di controlli preventivi), sia sull impatto (ad es. tramite l adozione di controlli correttivi). 5 4 Impatto 3 2 Rischio residuo Rischio potenziale Probabilità 5 Analisi e gestione dei rischi Definizione dell ambito Identificazione dei rischi Analisi dei rischi Valutazione dei rischi Trattamento dei rischi Risk Assessment Monitoraggio e valutazione periodica 6 3

4 Modello generale di analisi e gestione del rischio L analisi dei rischi nei progetti di Information Security 7 Modello di riferimento L Analisi del Rischio è effettuata seguendo una metodologia che determina il rischio associato alle informazioni gestite dai processi aziendali in base al loro valore, alle minacce cui sono sottoposte ed alle vulnerabilità dei sistemi che le elaborano. VALORE DELLE INFORMAZIONI MINACCE RISCHIO VULNERABILITA MINACCE N.B. per MACRODATO si intende un insieme minimo di informazioni o un aggregato di dati, tali da costituire un raggruppamento omogeneo per l applicazione delle misure di protezione 8 4

5 Attività principali L applicazione della metodologia prevede una sequenza definita di attività: Mappatura del processo Mappatura degli asset Analisi del rischio Gestione del rischio Input all Analisi del Rischio * * La mappatura del processo rappresenta attività strumentale alle successive fasi. macrodati applicazioni sistemi reti Valutazione dei macrodati ubicazioni altri supporti referenti Calcolo del rischio Correlazione asset 9 Relazioni tra gli elementi del modello Gli asset ottenuti tramite la mappatura del processo sono correlati costruendo le catene tecnologiche e infrastrutturali che rappresentano le dipendenze dei macrodati rispetto sia alle strutture informatiche (applicazioni, sistemi, e reti) sia alle rimanenti strutture come le ubicazioni fisiche. Processi/Sottoprocessi Macrodati Applicazioni Sistemi Reti Altri supporti Ubicazioni Rappresentazione esemplificativa Attraverso tale correlazione è possibile ottenere una valutazione di rischio composto dalle minacce e dalle vulnerabilità che insistono su ogni elemento delle catena tecnologica e infrastrutturale legate ai macrodati. 20 5

6 Modello di calcolo del rischio La valutazione del rischio si ottiene combinando opportunamente il valore dei macrodati con l insieme delle minacce e delle vulnerabilità che insistono su ogni elemento della catena tecnologica e infrastrutturale legate ai macrodati Resp. Processo Macrodati Valutazione valore dei macrodati Ref. Appl. Ref. Sistemi Applicazioni Sistemi Applicazioni Sistemi Ref. Reti Reti Reti Ref.Ubic. Ubicazioni Ubicazioni Ref. Altri Supporti Altri supporti Calcolo del rischio Il rischio del macrodato è ottenuto tramite calcolo matriciale che prevede la misurazione del rischio in funzione del valore del macrodato stesso, delle minacce cui è sottoposto e delle vulnerabilità dei supporti e delle infrastrutture che lo gestiscono: RISCHIO = f (Valutazione del macrodato, Minaccia, Vulnerabilità) 2 KARISMA Per effettuare tutte le attività previste dalla metodologia di analisi dei rischi, KPMG ha sviluppato specifico strumento software, KARISMA (KPMG Advanced Risk Management), accessibile via web. Gli utenti accedono all applicazione tramite una pagina di autenticazione: a seconda del proprio profilo, possono eseguire azioni ed operazioni differenti. 22 6

7 KARISMA mappatura dei processi e dei macrodati KARISMA consente di effettuare attività di mappatura dei processi non esclusivamente finalizzate all attività di analisi dei rischi FLUSSI PROCESSO SOTTOPROCESSO SOTTOPROCESSO SOTTOPROCESSO SOTTOPROCESSO UNITA ORGANIZZATIVE OUTSOURCER MACRODATI VINCOLI NORMATIVI VINCOLI INTERNI VINCOLI ESTERNI 23 KARISMA mappatura dell ambiente tecnologico KARISMA consente di effettuare attività di mappatura dei sistemi informatici (applicazioni, sistemi, reti) APPLICAZIONI AMBIENTE TECNOLOGICO SISTEMI RETI UBICAZIONI 24 7

8 KARISMA stima del valore delle informazioni, delle minacce e analisi delle vulnerabilità KARISMA consente la raccolta delle stime relative al valore delle informazioni, alla probabilità di accadimento delle minacce ed alle vulnerabilità presenti attraverso la compilazione di specifiche schede da parte di più utenti. MACRODATI APPLICAZIONI SISTEMI RETI VALORE MINACCE VULNERABILITA UBICAZIONI 25 KARISMA - reportistica KARISMA gestisce tutte le operazioni di elaborazione delle informazioni e produzione dei risultati. Inoltre fornisce una serie di report standard sulle principali aree di interesse (livello di rischio calcolato, aree di vulnerabilità, valore delle informazioni, distribuzione delle informazioni critiche all interno dei processi, ecc.) 26 8

9 Tool di supporto Report 27 GRAZIE PER L ATTENZIONE R. Savastano 28 9

Gestione della Sicurezza Informatica

Gestione della Sicurezza Informatica Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Classificare e proteggere i dati

Classificare e proteggere i dati Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG

Dettagli

Legge 231: le ricadute organizzative e il risk management

Legge 231: le ricadute organizzative e il risk management Legge 231: le ricadute organizzative e il risk management a cura di: Francesco M. Renne docente CUOA Finance, coordinatore Osservatorio Legislazione & Mercati Bruno Borgia docente CUOA Finance, membro

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1

INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1 INTRODUZIONE AL RISK MANAGEMENT Copyright CER.TO. S.r.l. 1 Il rischio: cos è? 3.1.13: l insieme della possibilità di un evento(3.1.4) e delle sue conseguenze (3.1.7) sugli obiettivi. Rischio = La possibilità

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione

Dettagli

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE Maggio 2006 1 La costituzione dell Audit Interno La rivisitazione del modello per i controlli di regolarità amministrativa e contabile è stata

Dettagli

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata

Procedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata Pag.: 1 di 7 Copia in distribuzione controllata Copia in distribuzione non controllata Referente del documento: Referente Sistema Qualità (Dott. I. Cerretini) Indice delle revisioni Codice Documento Revisione

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Processi e Miglioramento IL PROCESSO AZIENDALE IL PROCESSO AZIENDALE 07/10/2013

Processi e Miglioramento IL PROCESSO AZIENDALE IL PROCESSO AZIENDALE 07/10/2013 Processi e Miglioramento - La gestione per processi - Il miglioramento - Le metodologie del miglioramento 1 L organizzazione di successo è quella vicina al cliente, cioè in grado di fornire elevate prestazioni

Dettagli

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura

Dettagli

Verifica dei Risultati Analisi e Miglioramento della Qualità

Verifica dei Risultati Analisi e Miglioramento della Qualità Supporto ad azioni di miglioramento del sistema di gestione qualità di SerT e strutture accreditate per soggetti dipendenti da sostanze d abuso Verifica dei Risultati Analisi e Miglioramento della Qualità

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RHRG00 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI Rev. 01 2014.10.20 Pagine 10 Pagina 1 RHRG00 REVISIONE 01 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RAVENNA HOLDING S.P.A. Via Trieste, 90/A - 48122 Ravenna

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sicurezza, Rischio e Business Continuity Quali sinergie? Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni

Dettagli

Obiettivi generali del revisore

Obiettivi generali del revisore Obiettivi generali del revisore Acquisire una ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi, dovuti a frodi o a comportamenti o eventi non intenzionali, che

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy. NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1 www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti Fin dalle prime indicazioni di Banca d Italia sulla Funzione di Conformità, ABIFormazione

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Gestire i rischi, novità e strumenti per i modelli 231/01 e la nuova ISO 9001 del 2015

Gestire i rischi, novità e strumenti per i modelli 231/01 e la nuova ISO 9001 del 2015 Gestire i rischi, novità e strumenti per i modelli 231/01 e la nuova ISO 9001 del 2015 Workshop Andrea Padovano Pier Alberto Guidotti Alberto Mari Gian Franco Poggioli Bologna, 8 settembre 2015 Francesco

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

Il Risk Management: l approccio tradizionale

Il Risk Management: l approccio tradizionale Il processo di Risk Management Insurance Brokers Office - Risk Management Elio Marchetti Molecular Biotechnology Center Torino, 27 giugno 2007 Introduzione al Risk Management e all analisi dei rischi per

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi

Dettagli

Business Process Management

Business Process Management Business Process Management Comprendere, gestire, organizzare e migliorare i processi di business Caso di studio a cura della dott. Danzi Francesca e della prof. Cecilia Rossignoli 1 Business process Un

Dettagli

La digitalizzazione della Pubblica Amministrazione ed il dato territorlale

La digitalizzazione della Pubblica Amministrazione ed il dato territorlale Scuola di Dottorato Il Codice dell Amministrazione Digitale: le origini Alberto Leoni Università IUAV di Venezia a.leoni1@stud.iuav.it 1. I Fondamenti Normativi: Scaletta di Intervento La Direttiva Europea

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia Si definisce Risk Management - o gestione del rischio - il complesso di attività mediante le quali si misura o si stima il

Dettagli

6.A.1 Logistica interna ed esterna

6.A.1 Logistica interna ed esterna 6.A.1 Logistica interna ed esterna Il corso si propone di fornire un quadro chiaro di inquadramento della logistica e delle sue principali funzioni in azienda. Si vogliono altresì fornire gli strumenti

Dettagli

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013 Agenda 1. Il Gruppo Reale Mutua 2. Il progetto BPM 3. Il processo di Control Risk Self Assessment 4. Le sfide del futuro Il Gruppo Reale Mutua

Dettagli

UNI ISO 21500 Guida alla gestione dei progetti (project management)

UNI ISO 21500 Guida alla gestione dei progetti (project management) UNI ISO 21500 Guida alla gestione dei progetti (project management) adozione nazionale in lingua italiana della norma internazionale ISO 21500 A cura di Relatore: Eugenio Rambaldi Presidente Assirep presidente@assirep.it

Dettagli

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società

Dettagli

D ISTRUZIONI PER LA REDAZIONE DEL PROGETTO ORGANIZZATIVO, CRITERI E MODALITÀ DI VALUTAZIONE

D ISTRUZIONI PER LA REDAZIONE DEL PROGETTO ORGANIZZATIVO, CRITERI E MODALITÀ DI VALUTAZIONE PROCEDURA DI SELEZIONE PER L AFFIDAMENTO IN CONCESSIONE DELLA GESTIONE DEL SERVIZIO DEL GIOCO DEL LOTTO AUTOMATIZZATO E DEGLI ALTRI GIOCHI NUMERICI A QUOTA FISSA Allegato D ISTRUZIONI PER LA REDAZIONE

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

Software libero e riuso in un sistema di gestione documentale

Software libero e riuso in un sistema di gestione documentale Giorgetta Bonfiglio-Dosio Università degli Studi di Padova Software libero e riuso in un sistema di gestione documentale (Padova, 3 novembre 2010) GBD Che cos è un sistema? GALILEO GALILEI (1623) «Pluralità

Dettagli

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base)

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) ISIPM Base Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo B Conoscenze Tecniche e Metodologiche Syllabus da 2.1.1 a 2.7.1 1 Tema: Gestione Ambito del Progetto e Deliverable

Dettagli

Il Ruolo del Dottore Commercialista nell implementazione del modello

Il Ruolo del Dottore Commercialista nell implementazione del modello S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO SISTEMI DI COMPLIANCE E DECRETO LEGISLATIVO 231 DEL 2001 Il Ruolo del Dottore Commercialista nell implementazione del modello Dott. Michele Milano 1 29 novembre

Dettagli

Sistema di gestione per la qualità

Sistema di gestione per la qualità Revisione 04 Pag. 1 di 10 INDICE 1 OBIETTIVO... 2 2 CAMPO DI APPLICAZIONE DEL SISTEMA DI GESTIONE PER LA QUALITÀ... 2 3 PRINCIPI E STRUTTURA DEL SISTEMA DI GESTIONE PER LA QUALITÀ E PER L ACCREDITAMENTO...

Dettagli

AUDITOR D.Lgs 231/01. Seminario ACIQ SICEV Sessione di Aggiornamento Dedicata ai Registri SICEV SICEP. Milano 28 Settembre 2012.

AUDITOR D.Lgs 231/01. Seminario ACIQ SICEV Sessione di Aggiornamento Dedicata ai Registri SICEV SICEP. Milano 28 Settembre 2012. AUDITOR D.Lgs 231/01 Seminario ACIQ SICEV Sessione di Aggiornamento Dedicata ai Registri SICEV SICEP Milano 28 Settembre 2012 Rosso Claudio 0 INDICE 01. D.Lgs. 231/01: Implicazioni Penali e strumenti Organizzativi

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Direzione dei Sistemi Informativi e dell Innovazione

Direzione dei Sistemi Informativi e dell Innovazione Direzione dei Sistemi Informativi e dell Innovazione Guida alla determinazione e comparazione degli elementi di costo relativi ai servizi stipendiali erogati dal Ministero dell Economia e delle Finanze

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

Abbandonare la sicurezza basata sull'analisi dei rischi?

Abbandonare la sicurezza basata sull'analisi dei rischi? ICT Security n. 50, Novembre 2006 p. 1 di 5 Abbandonare la sicurezza basata sull'analisi dei rischi? Il titolo di questo articolo è volutamente provocatorio, ma chi si trova a progettare, gestire, giustificare,

Dettagli

Bollettino Ufficiale della Regione Puglia n. 177 del 31 12 2014

Bollettino Ufficiale della Regione Puglia n. 177 del 31 12 2014 50888 50889 50890 Sezione 1 - Offerta Formativa Trasversale e di Base Sezione Percorso Il sistema e le procedure degli Uffici Giudiziari Formativo Obiettivi del modulo Livello Durata (in ore) Prerequisiti

Dettagli

L evoluzione nei processi commerciali di Private Banking: consulenza, tecnologie e innovazione di servizio

L evoluzione nei processi commerciali di Private Banking: consulenza, tecnologie e innovazione di servizio L evoluzione nei processi commerciali di Private Banking: consulenza, tecnologie e innovazione di servizio Paolo Gatelli Research Manager CeTIF, Professore di ICT e Società dell Informazione 1 PROGRAMMA

Dettagli

Sistema di allertamento regionale ai fini di protezione civile

Sistema di allertamento regionale ai fini di protezione civile Sistema di allertamento regionale ai fini di protezione civile Paolo Covelli www.regione.toscana.it/protezionecivile paolo.covelli@regione.toscana.it 055 4385511 Inquadramento generale PREVISIONE Valutazione

Dettagli

OpenPrivacy: Software Libero per facilitare le PMI/PA nel processo di adeguamento al D.lgs 196/03

OpenPrivacy: Software Libero per facilitare le PMI/PA nel processo di adeguamento al D.lgs 196/03 OpenPrivacy: Software Libero per facilitare le PMI/PA nel processo di adeguamento al D.lgs 196/03 Fare clic per modificare lo stile del sottotitolo dello schema Eprivacy 2005, Firenze, 27 maggio 2005 Ivano

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

IL SISTEMA DI CONTROLLO INTERNO

IL SISTEMA DI CONTROLLO INTERNO http://www.sinedi.com ARTICOLO 27 OTTOBRE 2008 IL SISTEMA DI CONTROLLO INTERNO PRODUZIONE DI VALORE E RISCHIO D IMPRESA Nel corso del tempo, ogni azienda deve gestire un adeguato portafoglio di strumenti

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION PIETRO REMONTI 1 2 APPROCCIO BASATO SUI PROCESSI UN RISULTATO DESIDERATO È OTTENUTO IN MODO PIÙ EFFICACE SE RISORSE E ATTIVITÀ

Dettagli

Economia e gestione delle imprese - 05

Economia e gestione delle imprese - 05 Economia e gestione delle imprese - 05 Prima parte: la gestione delle operation Seconda parte: la gestione dei rischi e la protezione delle risorse aziendali Sommario: La gestione delle operation 1. Le

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Il servizio di Consulenza «evoluto» nella esperienza di una Banca Locale. Daniele Caroni BCC Roma 2 ottobre 2014

Il servizio di Consulenza «evoluto» nella esperienza di una Banca Locale. Daniele Caroni BCC Roma 2 ottobre 2014 Il servizio di Consulenza «evoluto» nella esperienza di una Banca Locale Daniele Caroni BCC Roma 2 ottobre 2014 La Banca di Credito Cooperativo di Roma all interno di un grande sistema 385 BANCHE LOCALI

Dettagli

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT

Dettagli

Operational Risk vs Advanced IT RISK

Operational Risk vs Advanced IT RISK Operational Risk vs Advanced IT RISK Claudio Ruffini 24 Giugno 2015 L evoluzione normativa in tema di sicurezza informatica Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

La gestione del rischio controparti

La gestione del rischio controparti Risk Assurance Services www.pwc.com/it La gestione del rischio controparti Un esigenza da presidiare per la tutela della reputazione e del valore aziendale La reputazione è un asset strategico da valorizzare,

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

Enterprise Risk Management e Sistema di Gestione della Qualità

Enterprise Risk Management e Sistema di Gestione della Qualità Enterprise Risk Management e Sistema di Gestione della Qualità IL RISCHIO Il rischio è la distribuzione dei possibili scostamenti dai risultati attesi per effetto di eventi di incerta manifestazione, interni

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Fattura elettronica e conservazione

Fattura elettronica e conservazione Fattura elettronica e conservazione Maria Pia Giovannini Responsabile Area Regole, standard e guide tecniche Agenzia per l Italia Digitale Torino, 22 novembre 2013 1 Il contesto di riferimento Agenda digitale

Dettagli

Situation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi

Situation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale

Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Determinanti, modelli di diffusione e impatto di medical device cost saving nel Servizio Sanitario Nazionale Documento elaborato dall Alta Scuola di Economia e Management dei Sistemi Sanitari Nell ambito

Dettagli

Ministero dell Istruzione, dell Università e della Ricerca

Ministero dell Istruzione, dell Università e della Ricerca Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il Veneto Avviso relativo alle azioni previste dall Accordo ai sensi dell art. 9 del decreto legislativo 28 agosto

Dettagli

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone

Rischio puro: insieme delle possibili minacce che possono det un impatto aziend negativo in seguito a danneggiamento di beni o persone Balesatra risk management Definizione joint commission: insieme di attività cliniche e organizzative volte a identificare, valutare, e ridurre il rischio di danno ai pz, staff e visitatori e sull intera

Dettagli