L IT Audit nel gruppo Benetton
|
|
- Arturo Graziani
- 6 anni fa
- Visualizzazioni
Transcript
1 L IT Audit nel gruppo Benetton Panoramica sulle attività di controllo condotte in ambito IT Trento, 15 aprile
2 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 2
3 Il Sistema di Controllo Interno (1/3) Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell'azienda attraverso l'individuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali. (fonte: wikipedia.org) La Banca d'italia l'insieme di: lo definisce, nelle Istruzioni di Vigilanza, come Regole. Ruoli e responsabilità: Chi fa, quando e come. La funzione dei controlli è quella di realizzare i vari ruoli in modo oggettivo, codificando gli attori di ogni e comportamenti attesi; Strutture Organizzative o funzioni o sistemi informativi; Procedure/processi. 3
4 Il Sistema di Controllo Interno (2/3) I tre livelli di controllo Nelle organizzazioni normalmente si definiscono tre diversi livelli nelle attività di controllo: controlli di primo livello: effettuati in ogni settore operativo, sono tipicamente finalizzati a coprire singoli rischi o raggruppamenti di rischi all interno del settore; anche chiamati controlli permanenti controlli di secondo livello: effettuati da servizi/preposti al controllo (compliance, risk management, quality manager, ecc.) che per loro natura hanno indipendenza e autonomia, coprono aree / tematiche del sistema di controllo interno oppure rischi settoriali a livelli più elevati; controlli di terzo livello: tipica attività dell Internal Audit che deve dare una generale assurance sul corretto funzionamento dell intero sistema di controllo interno. L I.A. ha lo scopo di monitorare e valutare l efficacia e l efficienza del Sistema di Controllo Interno e le necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali (fonte: Enrico Parretta) 4
5 Il Sistema di Controllo Interno (3/3) Ripartizione attività di Audit in Benetton Group 5
6 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 6
7 L IT Audit nell ambito del piano di Audit IT Auditing consiste in un processo di verifica sistematico e documentato [ ] che i sistemi informativi di un'azienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne. (fonte: wikipedia.org) Effort attività di IT Audit su Piano di Audit Gruppo Benetton: 14% Principali benefici apportati da un adeguato controllo sui Processi IT: Salvaguardia delle informazioni aziendali Integrità dei dati: confidenzialità, integrità e disponibilità dei dati aziendali Assurance circa l allineamento tra la governance dei sistemi informativi e gli obiettivi dell organizzazione (business, stakeholders, ) Conferire valore aggiunto 7
8 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 8
9 Scelta del framework di riferimento (1/2) Fonte: com/itil-cobit/ 9
10 Scelta del framework di riferimento (2/2) Per poter fornire le informazioni di cui l impresa ha bisogno per raggiungere i propri obiettivi, l azienda deve poter gestire e controllare le risorse IT utilizzando un insieme strutturato di processi per erogare i servizi informativi richiesti. Il Control OBjectives for Information and related Technology (COBIT) fornisce le cosiddette good practice in un quadro di riferimento fatto di domini e di processi e presenta le attività in una struttura gestibile e logica. COBIT definisce le attività IT in un modello generale di processi all interno di quattro domini: Pianificazione e Organizzazione; Acquisizione e Implementazione; Erogazione e Assistenza; Monitoraggio e Valutazione. 10
11 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 11
12 Le principali tematiche di IT Audit Sicurezza Logica: Password non in linea con le best practices Password condivise Virus / Malware Attacchi hacker / Phishing / Cross-scipting (audit specifico tramite Vulnerability Assessment e Penetration Test) Sicurezza Fisica Accesso limitato alla sala server (badge, ) e log degli accessi Segregation of Duties Suite GRC SAP 10.1: Moduli Access Risk Analysis e Emergency Access Management Progetto ACL Analytics per analisi dati e suggerimento azioni correttive 12
13 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 13
14 Segregation of Duties (1/5) Definizione SoD La Segregation of Duties (di seguito SoD) è un controllo interno preventivo, volto a mitigare il rischio di incorrere in frodi o errori commessi dai dipendenti. Il principio cardine della SoD è garantire che attività «rischiose» non possano essere completate da un unica persona, bensì da più dipendenti in grado di svolgere ciascuno attività limitate. Analisi SoD Obiettivo e tempistiche L obiettivo dell analisi è stato quello di quantificare, analizzare e ridurre i rischi presenti nel principale mandante SAP di Benetton Group, con riferimento a tutte le utenze presenti a sistema. Il progetto si è dilungato per alcuni mesi e ha previsto svariate fasi. Perimetro Il lavoro ha avuto come oggetto tutte le società (italiane ed estere) i cui dipendenti hanno la possibilità di accedere a SAP. 14
15 Segregation of Duties (2/5) Benetton Group monitora le tematiche di Segregation of Duties utilizzando la Suite SAP GRC (Governance, Risk & Compliance) e più precisamente, il modulo denominato «Compliance Calibrator», strumento all avanguardia in questo ambito. Il tool permette di evidenziare per ciascuna utenza i dettagli dei rischi, i quali risultano generati in quanto l utente possiede due transazioni incompatibili. Utenti che potrebbero generare un rischio Transazioni in conflitto 15
16 Segregation of Duties (3/5) Concetto di base: togliendo ad un utente la possibilità di lanciare una determinata transazione (es. «AB02»), si eliminano istantaneamente tutti i rischi correlati a quella transazione. Esempio in calce: eliminare la sola transazione «AB02» dall utenza di un utente, significherebbe eliminare un totale di sei rischi SoD a sistema. X X X X X Tot. 6 Rischi eliminati 16
17 Segregation of Duties (4/5) 17
18 Segregation of Duties (5/5) Ulteriori punti di miglioramento Disabilitazione di ulteriori transazioni conflittuali, anche se utilizzate dagli utenti: l attività risulterebbe più invasiva e complessa rispetto alla disabilitazione di transazioni mai lanciate. Tuttavia si disporrà di tutte le informazioni utili, con un altissimo dettaglio Controllo preventivo prima di abilitare nuove transazioni agli utenti: il modulo Compliance Calibrator permette di conoscere a priori la quantità di nuovi rischi che verrebbero generati a fronte di una nuova abilitazione. Necessario prevedere questo controllo al fine di non abilitare nuove transazioni troppo rischiose e conflittuali. Ri-esecuzione periodica dell attività: l ufficio Internal Audit ha approcciato il processo di analisi creando un progetto ACL che è facilmente ri-eseguibile in forma completamente automatica, senza incorrere in attività manuali. Si auspica la ri-esecuzione dell attività di analisi SoD con cadenza semestrale, al fine di mantenere sotto controllo il numero di rischi presenti. 18
19 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 19
20 Vulnerability Assessment e Penetration Test (1/3) Introduzione Con cadenza annuale l ufficio internal audit conduce due attività di Vulnerability Assessment e Penetration Test, con oggetto i sistemi informativi di Benetton Group. Queste due procedure sono volte a verificare il grado di sicurezza dei propri sistemi informativi aziendali: Accessi da remoto alle applicazioni (F5/Citrix), servizi , siti aziendali. L obiettivo principale del Vulnerability Assessment (di seguito va) è evidenziare le debolezze della piattaforma, fornendo il maggior numero di informazioni sulle vulnerabilità. Il Penetration Test (di seguito pt) consiste nel simulare un ipotetico attacco da parte di hacker e può essere condotta sia internamente, sia avvalendosi della collaborazione di personale esterno all azienda. 20
21 Vulnerability Assessment e Penetration Test (2/3) Standard e metodologie Il Vulnerability Assessment e il Penetration Test Esterno condotti su infrastrutture e sistemi IT Benetton hanno seguito le metodologie definite dagli standard OSSTMM (Open Source Security Testing Methodology Manual) considerato uno dei più completi, affidabili ed efficaci approcci metodologici nell ambito dei sistemi di sicurezza informatica e OWASP (Open Web Application Security Project), che prevede una classificazione di eventuali vulnerabilità applicative. Sono state inoltre seguite le best practices previste da NIST (National Institute of Standards and Technology), un agenzia del governo U.S.A. impegnata nella definizione di standard tecnologici. Durante l esecuzione del Vulnerability Assessment, tra i test effettuati non sono state incluse le seguenti attività: Attacco virus Sovraccarico dei sistemi (Denial of Service) Social Engineering, volto ad ottenere informazioni privilegiate da personale Benetton (es. community, facebook, ecc.) 21
22 Vulnerability Assessment e Penetration Test (3/3) Aree di controllo Area Gestione accessi da remoto (Citrix) Gestione accessi da remoto (Big IP F5) posta elettronica Applicazioni web (SDS e Portale Clienti) Accesso a cartelle di rete condivise Siti web istituzionali Siti web di comunicazione e shop online Control Activity Vulnerability Assessment Penetration Test Identificare vulnerabilità infrastrutturali ed applicative a fronte di analisi black-box (1) e gray-box (2) Verificare la possibilità di accedere ad applicazioni non profilate Verificare la possibilità di effettuare privilege-escalation (3) (1) black-box: analisi che non presuppone precedente conoscenza dell'infrastruttura/applicazione oggetto di analisi (2) gray-box: analisi che è facilitata da alcune sommarie informazioni circa l'infrastruttura/applicazione oggetto di analisi (3) privilege-escalation: operare a sistema con privilegi normalmente preclusi a un utente o a un'applicazione 22
23 ) Grazie 23
Percorso professionalizzante Internal audit in banca
www.abiformazione.it Percorso professionalizzante Internal audit in banca Internal audit / Corsi Professionalizzanti Gli specialisti della Funzione Internal Audit operanti presso le banche e gli intermediari
DettagliPiani di vigilanza per il monitoraggio sui reati informatici. Dr. Giuseppe DEZZANI Informatico Forense
Piani di vigilanza per il monitoraggio sui reati informatici Dr. Giuseppe DEZZANI Informatico Forense www.dezzani.biz La prevenzione dei Reati Informatici A partire dagli anni 90 è aumentata la cultura
DettagliCyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21
Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21 Il supporto di Advanction in risposta alle nuove richieste della Normativa finalizzate a migliorare la sorveglianza e la
DettagliLa Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect
La Sicurezza nel Cloud Computing Simone Riccetti IBM IT Security Architect Agenda Sicurezza e Cloud Computing Soluzioni di sicurezza per il Cloud Soluzioni di sicurezza nel Cloud IBM Security Services
DettagliNino Balistreri. Percorso Professionalizzante per la Compliance in banca Modulo 2 Compliance risk management: metodologia e strumenti
Percorso Professionalizzante per la Compliance in banca Modulo 2 Compliance risk management: metodologia e strumenti Le relazioni tra le attività di controllo svolte dalla Funzione Compliance e le attività
DettagliSAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing. Ottobre 2008
SAS70 lo standard per la valutazione dei controlli interni delle aziende di outsourcing Ottobre 2008 Agenda SiNSYS SAS70 Introduzione Tipologie di report SAS70 Formato del report SAS70 Fasi di emissione
DettagliAspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane
Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane Milano 17 giugno 2008 Roberto Russo Responsabile Revisione Interna BancoPosta Versione:1.0. Premessa 2 L evoluzione
DettagliServizio L2.S3.9 - Servizi professionali
Servizio L2.S3.9 - Servizi professionali Il servizio ha come obiettivo quello di supportare le Amministrazioni nella realizzazione di attività nell ambito della sicurezza applicativa, comprensive di quelle
DettagliLa nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.
COMPANY PROFILE La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici. In risposta alla veloce evoluzione delle tecnologie
DettagliBanca Popolare di Milano
Banca Popolare di Milano Dott.ssa Paola Sassi Responsabile Staff Tecnico Direzione Controlli Tecnico Operativi PRESENTAZIONE INTERNAL AUDIT: da funzione di controllo a funzione di business MILANO, 22 GIUGNO
DettagliMASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT
MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT MODULO 1 Fondamenti di Business Continuity Management Scopo e obiettivi del Business Continuity Management (BCM) Introduzione al Business Continuity
DettagliBusiness Continuity: criticità e best practice
Business Continuity: criticità e best practice Workshop CeTIF: la gestione dell operatività bancaria Milano, 13 aprile 2005 Chiara Frigerio, CeTIF - Università Cattolica di Milano www.cetif.it 1 Dipartimento
DettagliCybersecurity, come difendersi dal furto dati
Osservatorio Information Security & Privacy Cybersecurity, come difendersi dal furto dati Giorgia Dragoni Ricercatrice Osservatorio Information Security & Privacy, Politecnico di Milano 09 Maggio 2017
DettagliXIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING
XIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING Firenze 19, 20 maggio 2005 I QUATTRO SCENARI DELL IT AUDITING Ruolo dell Auditor e del Compliance Officer Claudio Cola RISCHIO OPERATIVO E il rischio
DettagliNovembre 2014 Maurizio Pedraglio moviri.com
Novembre 2014 Maurizio Pedraglio maurizio.pedraglio@moviri.com moviri.com Contesto normativo e la soluzione Moviri per l adempimento alle prescrizioni della Circolare 263 Soluzione Moviri per il capacity
DettagliNSR. Company Profile Business & Values
NSR Company Profile Business & Values Indice 1. Chi siamo... 3 2. Servizi di sicurezza... 4 3. Partners... 6 4. Referenze... 7 4.1 Settore Bancario... 7 4.2 Pubblica Amministrazione... 7 4.3 Servizi (Trasporti,
DettagliCLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2. Descrizione dei profili professionali
CLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2 Descrizione dei profili professionali pag. 1 di 11 SOMMARIO 1 INTRODUZIONE 3 2 DESCRIZIONE DEI PROFILI PROFESSIONALI 4 2.1 CAPO PROGETTO
DettagliAllegato A. Codice candidatura. Requisiti minimi. N. unità. Descrizione profilo
AR.2. - Analyst - AR.2.2 - Analyst - Analyst Analyst 2 (UNI 62-2)/ Analyst (L3, L08) Modellazione dei processi aziendali, ingegneria dei requisiti, risk assessment, vulnerability assessment, esperienze
DettagliL evoluzione della Compliance in AXA Assicurazioni
L evoluzione della Compliance in AXA Assicurazioni Milano, 23 settembre 2009 1 S.Ciceri Compliance Officer L evoluzione della Compliance in AXA Assicurazioni Agenda 1. Il Gruppo AXA 3 2. La funzione di
DettagliLa Governance Aziendale attraverso un sistema integrato ed efficiente di gestione e di scambio delle informazioni. Presupposti ed esperienze
La Governance Aziendale attraverso un sistema integrato ed efficiente di gestione e di scambio delle informazioni Presupposti ed esperienze M. Nicoletta De Bonis - Sviluppo Prodotti Opentech Società di
DettagliDalle attività ispettive alla creazione di valore: l internal audit. Dott. Gianfranco Ruggiero Resp. Internal Audit MPS Capital Services
Dalle attività ispettive alla creazione di valore: l internal audit Dott. Gianfranco Ruggiero Resp. Internal Audit MPS Capital Services Dal rischio al sistema dei controlli Internal controls are designed,
DettagliWhitebox Security BI e Sicurezza attiva per dati e applicazioni mission critical
Whitebox Security BI e Sicurezza attiva per dati e applicazioni mission critical Italy Nicola Milone Country Manager, (nicola.milone@whiteboxsecurity.com) Premessa Non sono a conoscenza cosa stiano facendo
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliITIL TRAINING. Atlas Reply ha preso parte al progetto pilota dei primi esami di ITIL Foundation V3 in italiano. Reply
ITIL TRAINING Atlas Reply è Partner EXIN (Examination Institute for Information Science), Accredited Training Provider e Accredited Examination Center per il Training ITIL Foundation V3 e V2 e per il Bridging
DettagliRisultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice
Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015 Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano
DettagliIl Sistema di Controllo Interno e di Gestione dei Rischi Attori a confronto
Il Sistema di Controllo Interno e di Gestione dei Rischi Attori a confronto L Internal Auditor: ruolo, responsabilità e relazioni con gli altri attori della governance aziendale Brembo Internal Audit:
DettagliThe first all-in-one Cloud Security Suite Platform
The first all-in-one Cloud Security Suite Platform SWASCAN ALL in ONE SWASCAN Web Application SWASCAN Network SWASCAN Code Review SWASCAN All-in-one The first Cloud Suite Security Platform La prima suite
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliEsperienze CobiT nelle banche: il Testo Unico dei Controlli di Banca CR Firenze
Esperienze CobiT nelle banche: il Testo Unico dei Controlli di Banca CR Firenze Cesare M. De Santis Puzzonia e Gabriele Rocchi OASI SpA Gruppo ICBPI FIRENZE, 17 settembre 2009 1 OASI SpA Fa parte del Gruppo
DettagliDall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione.
Forum PA Convegno Inail Roma, 25 Maggio 2016 Dall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione. Dott. Stefano Tomasini
DettagliInfoSec: non solo firewall e antivirus. Massimo Grandesso
InfoSec: non solo firewall e antivirus Massimo Grandesso massimo.grandesso@gmail.com Don't Try This at Home! Le principali cause di incidente (dati globali) 2015 State of the Endpoint Report Le principali
DettagliCOMPLIANCE PROCESS IN BANKING GROUPS
PROCESS IN BANKING GROUPS Analisi e organizzazione dei processi e degli strumenti organizzativi per le Funzioni di Compliance nei gruppi bancari Sommario 1 Il Framework della Compliance Il supporto offerto
DettagliIL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi
IL GDPR E LA COMPLIANCE Strumenti a servizio della sicurezza dei sistemi informativi 6 Giugno 2017 Principi applicabili al trattamento (Art. 5) Il GDPR all art. 5 impone il rispetto di una serie di Principi
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Servizi di Processo Sviluppo e gestione di prodotti e servizi informatici Sequenza di processo Definizione
DettagliL orientamento della cultura aziendale verso gli obiettivi di compliance.
L orientamento della cultura aziendale verso gli obiettivi di compliance. La leva della formazione per promuovere una cultura improntata ai principi di onestà, correttezza e rispetto delle norme Carlo
Dettagli1) Junior TIBCO Consultant
Atos SE (Società Europea) è leader nei servizi digitali con un fatturato annuo pro forma 2014 di circa 11 miliardi di euro e 93.000 dipendenti che operano in 72 Paesi. Fornisce servizi di Consulting &
DettagliIl governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale
ATTIVITA DI RICERCA 2014 Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale Metodologie, processi e strumenti PROPOSTA DI PARTECIPAZIONE 1 TEMI E MOTIVAZIONI
DettagliSERVICE MANAGEMENT E ITIL
IT governance & management Executive program VI EDIZIONE / FEBBRAIO - GIUGNO 2017 PERCHÉ QUESTO PROGRAMMA Nell odierno scenario competitivo l ICT si pone come un fattore abilitante dei servizi di business
DettagliI trend in atto e l evoluzione della previdenza privata. Rafforzare l eccellenza operativa delle Casse di Previdenza
I trend in atto e l evoluzione della previdenza privata Rafforzare l eccellenza operativa delle Casse di Previdenza 1 ottobre 2016 Indice Presentazione Deloitte Le Casse Previdenziali Un contesto in evoluzione
DettagliAl termine del periodo di test è stilato un rapporto con una valutazione generale delle infrastrutture e delle eventuali lacune riscontrate.
Penetration testing Simulazione d attacco esterno il cui scopo è penetrare nel sistema informatico della vostra azienda. Durante il periodo d' osservazione, le risorse informatiche aziendali sono sottoposte
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Servizi di informatica Processo Sviluppo e gestione di prodotti e servizi informatici Sequenza di
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliCybersecurity per la PA: approccio multicompliance Sogei
SOGEI - Società Generale di Informatica SpA ing. Fabio LAZZINI, Responsabile Security Governance & Privacy Cybersecurity per la PA: approccio multicompliance Sogei Relatore ITASEC17 Italian Conference
DettagliThird Party Assurance Reporting
www.pwc.com Third Party Assurance Reporting AIEA Riccardo Crescini Agenda 1. Panoramica sugli ambiti di Third Party Assurance ( TPA ) 2. Principali standard SSAE16 & ISAE 3402 ISAE 3000 3. Trust Services
DettagliStrumenti e metodi per la Continuità Operativa ed il Disaster Recovery
Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery Contesto Per la Pubblica Amministrazione la Continuità Operativa è un dovere perché: E tenuta ad assicurare la continuità dei propri
DettagliAspetti tecnici e di compliance, esperienze e case history, incentivi ed opportunità per aziende, banche e professionisti.
lo snodo e l interoperabilità verso altri ecosistemi. Aspetti tecnici e di compliance, esperienze e case history, incentivi ed opportunità per aziende, banche e professionisti. Roma, 20 gennaio 2016 Con
DettagliKit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.
Premessa Il sistema di gestione per la qualità conforme alla norma internazionale UNI EN ISO 9001:2015 dovrebbe essere implementato nell ordine di seguito indicato, che riporta le clausole della norma
DettagliGestione e sicurezza dei dati personali, delle cartelle cliniche e dei documenti in ambito sanitario (Information Security Management)
Regione Puglia Evento Formativo Gestione e sicurezza dei dati personali, delle cartelle cliniche e dei documenti in ambito sanitario (Information Security Management) INTRODUZIONE La rilevanza sempre più
DettagliInfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017
InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane Enrico Notariale 14/12/2017 Asset digitali e valore dell informazione (1/2) Una nuova ecumene Viviamo in un momento di profonda trasformazione:
DettagliL approccio metodologico per l analisi dei profili di accesso in ambiente SAP
L approccio metodologico per l analisi dei profili di accesso in ambiente SAP VERONA 25 26 Maggio 2006 Agenda Agenda Evoluzione di Sap in Poste Italiane Logiche autorizzative e processo di costruzione
DettagliGestione dell integrazione del progetto. Luigi De Laura, PMP, PE, PMI Central Italy Chapter Branch Toscana director
Gestione dell integrazione del progetto Luigi De Laura, PMP, PE, PMI Central Italy Chapter Branch Toscana director 1 Gestione dell integrazione del progetto La gestione dell integrazione di progetto include
DettagliLA FUNZIONE COMPLIANCE DI UNICREDIT
LA FUNZIONE COMPLIANCE DI UNICREDIT Evoluzione e nuove sfide Graziella Capellini, Head of Italy Roma, 11 Novembre 2010 La in UniCredit è A il frutto di una evoluzione B che continua nel tempo C Business
DettagliLa Compliance e la Governance: un framework per la gestione integrata
La Compliance e la Governance: un framework per la gestione integrata M. Nicoletta De Bonis - Direttore Sviluppo Prodotti, Opentech Società di Servizi Certificata in Qualità per Tecnologia dell Informazione
DettagliOfferta di servizi in outsourcing e di consulenza e assistenza in materia di controlli interni
Offerta di servizi in outsourcing e di consulenza e assistenza in materia di controlli interni CHI SIAMO Moderari s.r.l. è una società di consulenza regolamentare per banche, intermediari ed enti pubblici,
DettagliBusiness Continuity e Disaster Recovery Il ruolo dell Internal. Audit del Gruppo Monte Paschi Siena
Business Continuity e Disaster Recovery Il ruolo dell Internal Audit del Gruppo Monte Paschi Siena Siena, 8 luglio 2005 Il Gruppo MPS in coerenza con la normativa di Vigilanza assegna alla funzione di
DettagliIntroduzione ai lavori. Kick-off e introduzione ai lavori. Quarto Incontro. Il sistema di Governance Milano, 23 Giugno 2010 Milano, 24 marzo 2010
Introduzione ai lavori Quarto Incontro Kick-off e introduzione ai lavori Il sistema di Governance Milano, 23 Giugno 2010 Milano, 24 marzo 2010-1 - Agenda Il Sistema di Governance Point of view Deloitte
DettagliERP Operational Security Evaluate, Build, Monitor
ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate
DettagliINTERNAL AUDIT E SISTEMI DI CONTROLLO. A cura di Werther Montanari Dottore Commercialista e Revisore Contabile in Verona
INTERNAL AUDIT E SISTEMI DI CONTROLLO A cura di Werther Montanari Dottore Commercialista e Revisore Contabile in Verona Negli ultimi anni, nel nostro paese il sistema di corporate governance è stato oggetto
DettagliBanca Popolare di Milano
Banca Popolare di Milano Dott.ssa Paola Sassi Responsabile Staff Tecnico Direzione Controlli Tecnico Operativi PRESENTAZIONE L'approccio metodologico in Banca Popolare di Milano MILANO, 15 GIUGNO 2005
DettagliOrganizzazione e Project Management Vincenzo Corvello
3 Gestione dei Progetti Organizzazione e Project Management Vincenzo Corvello 2 Organizzazioni e Project Management 1. I Progetti sono attività complesse e uniche svolte da individui e, soprattutto, da
DettagliIl sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance
ATTIVITA DI RICERCA 2015 Il sistema di reporting per gli organi di vertice delle compagnie assicurative: gli effetti di Solvency 2 e Regolamento 20 sulla governance PROPOSTA DI ADESIONE 1 TEMI E OBIETTIVI
DettagliRisultati, cioè attenzione ai risultati.
2 Risultati, cioè attenzione ai risultati. L impegno di Siledo Consulting é rivolto all operatività in tutte le fasi dell attività. La mission del nostro team é garantire efficacia e risultati in tutti
DettagliSTRUMENTI TECNICI A SUPPORTO DELLA REVISIONE
ALLEGATO IV - BOZZA - STRUMENTI TECNICI A SUPPORTO DELLA REVISIONE STRUMENTI DI PIANIFICAZIONE E GESTIONE DELLA REVISIONE A supporto dell attività di revisione, Deloitte utilizza un software specifico
DettagliLa necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001
La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001 2 dicembre 2016 Ing. Diego Mezzina 1 Chi sono Ingegnere con EMBA ICT Security Manager @ CISM,
DettagliAGENDA DIGITALE E CITTADINANZA DIGITALE ACCORDO QUADRO TRA COMUNE DI BARI E UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO
AGENDA DIGITALE E CITTADINANZA DIGITALE ACCORDO QUADRO TRA COMUNE DI BARI E UNIVERSITÀ DEGLI STUDI DI BARI ALDO MORO AGENDA DIGITALE 2016-2018 DEL COMUNE DI BARI LA CITTÀ DI BARI STA AGGIORNANDO LA SUA
DettagliCHI SIAMO. Autorita Portuale della Spezia CONFINDUSTRIA
www.infoporto.it CHI SIAMO Autorita Portuale della Spezia CONFINDUSTRIA INFOPORTO LA SPEZIA S.R.L. è un azienda specializzata nella fornitura di soluzioni telematiche ed informatiche e nella consulenza
DettagliConsulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale
Consulenza e Software, insieme per la certificazione ISO 9001-2015: presentazione di un caso reale Workshop Pier Alberto Guidotti QualiWare Alberto Mari NCG Francesco Bassi Soluzioni Bologna, 6 settembre
DettagliAREA C: SISTEMI INTEGRATI
AREA C: SISTEMI INTEGRATI Codice Titolo Ore C01 Formazione in merito al Sistema di Gestione per la Qualità UNI EN 28 ISO 9001 C02 Internal Auditing secondo la linea guida UNI EN ISO 19011:2012 28 C03 Formazione
Dettagliwww.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl
www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura
DettagliCONTINUOUS PERIMETER ASSESSMENT Descrizione del servizio e degli strumenti utilizzati
CONTINUOUS PERIMETER ASSESSMENT Descrizione del servizio e degli strumenti utilizzati L ESIGENZA DA SODDISFARE Censimento delle classi di indirizzi IP Pubblici riconducibili alle società del gruppo Bancario
DettagliOfferta di servizi consulenziali alle società di calcio professionistico Labet Srl. All rights reserved.
Offerta di servizi consulenziali alle società di calcio professionistico 1 Labet: i settori di intervento nel calcio professionistico 1. ASSISTENZA NEGLI ADEMPIMENTI RELATIVI ALL OTTENIMENTO DELLA LICENZE
DettagliPROGETTO Censimento e monitoraggio degli impianti sportivi sul territorio
PROGETTO Censimento e monitoraggio degli impianti sportivi sul territorio Obiettivi 1. Estendere il modello di censimento e le procedure di analisi e classificazione nazionali degli impianti sportivi per
DettagliCONSULENZE E SERVIZI PROFESSIONALI REVICOM SOCIETA DI REVISIONE LEGALE S.R.L.
Revisione Legale dei Conti e Revisione Volontaria L attività consiste nell esame e nella valutazione dei processi di formazione dei conti aziendali e del bilancio di esercizio finalizzati all espressione
DettagliIL SISTEMA DEI CONTROLLI una sintesi
IL SISTEMA DEI CONTROLLI una sintesi ENRICO MARIA BIGNAMI LUGLIO 2014 1 luglio 2014 enrico maria bignami Il sistema dei controlli, una sintesi LA GOVERNANCE E IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE
DettagliDaniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ
Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ General Data Protection Regulation (GDPR) General Data Protection Regulation (GDPR) Art.25 Protezione
DettagliLa costruzione del Repository dei processi a supporto dello sviluppo organizzativo
La costruzione del Repository dei processi a supporto dello sviluppo organizzativo Banca Popolare di Milano Milano, 18 maggio 2004 Agenda La costruzione del Repository Gli obiettivi Perchè un Modello aziendale
DettagliPA Open Community 2020 La cooperazione per l ammodernamento della Pubblica Amministrazione e del mercato
PA Open Community 2020 La cooperazione per l ammodernamento della Pubblica Amministrazione e del mercato Comitato di Sorveglianza, Roma, 20 Maggio 2016 Lo sviluppo dell egovernment: lo stato dell arte
DettagliCiclo di vita per lo sviluppo di software sicuro
Ciclo di vita per lo sviluppo di software sicuro (a cura di Roberto Ugolini Postecom Spa) Security Service Unit Documento pubblico Le motivazioni del cambiamento 1/3 2 Aumentare il livello di sicurezza
DettagliNuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS
Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento
DettagliIBM - IT Service Management 1
IBM - IT Service 1 IBM - IT Service 2 L IT si trasforma e richiede un modello operativo orientato ai Servizi IT Centro di Costo Operations Governance & CRM CRM IT - Azienda Strategy Organization Financial
DettagliIniziativa: "Sessione di Studio" a Roma. Presso HSPI SPA. Viale Vittorio Emanuele Orlando 75, 00185 Roma (RM)
Gentili Associati, Iniziativa: "Sessione di Studio" a Roma Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
DettagliLa pianificazione di un intervento di audit informatico presso un Organismo Pagatore
La pianificazione di un intervento di audit informatico presso un Organismo Pagatore Sommario Scopo di questa presentazione Introduzione e quadro di riferimento Il contributo dei Sistemi Informativi al
DettagliPROGETTO KM & BUSINESS PROCESS MANAGEMENT. Possibili sviluppi. Milano, 2012
PROGETTO KM & BUSINESS PROCESS MANAGEMENT Possibili sviluppi Milano, 2012 NIKE consulting: le referenze Team dedicati allo studio e sviluppo di sistemi di BPM & Knowledge Management Certificazione interna
DettagliAgenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti
La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda
Dettaglil assistenza tecnica professionale per la tua azienda
smartphone rete PC tablet l assistenza tecnica professionale per la tua azienda Il tuo business senza interruzioni Skillo è un sistema innovativo che fornisce assistenza continua alla rete digitale e ai
DettagliInternal Audit e Compliance in Banca Intesa
Internal Audit e Compliance in Banca Intesa RENATO DALLA RIVA Responsabile Direzione Auditing Interno Workshop CeTIF 15 giugno 2006 La presentazione è stata realizzata da Banca Intesa ed è riservata esclusivamente
DettagliAPPENDICE 4 AL CAPITOLATO TECNICO
APPENDICE 4 AL CAPITOLATO TECNICO Descrizione dei profili professionali INDICE 1 PROFILI PROFESSIONALI RICHIESTI 3 1.1 CAPO PROGETTO 3 1.2 ANALISTA FUNZIONALE 4 1.3 ANALISTA PROGRAMMATORE 5 1.4 PROGRAMMATORE
DettagliDIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI E RUOLO DEL REVISORE
Documento di ricerca n. 131-ter TEMATICHE DI INDIPENDENZA RELATIVE AI SERVIZI DIVERSI DALLA REVISIONE: SERVIZI RELATIVI AL SISTEMA DI CONTROLLO INTERNO DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI
DettagliLa valutazione del rischio informatico e gli impatti sul business
La valutazione del rischio informatico e gli impatti sul business Convegno ABI: Basilea 3, Risk & Supervision 2014 Stefano Alberigo, Head of Group Operational & Reputational Risk Oversight di UniCredit
DettagliPUBLIC ENERGY LIVING LAB SISTEMA E STRUMENTO DI GESTIONE, MONITORAGGIO E VALUTAZIONE DEI DATI E CONSUMI DEGLI IMPIANTI DI PUBBLICA ILLUMINAZIONE
PUBLIC ENERGY LIVING LAB SISTEMA E STRUMENTO DI GESTIONE, MONITORAGGIO E VALUTAZIONE DEI DATI E CONSUMI DEGLI IMPIANTI DI PUBBLICA ILLUMINAZIONE Arch. Laura BLASO responsabile Scientifico Progetto PELL,
DettagliSicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007
Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle
DettagliLa CyberSecurity nel modello ICT per la PA
AgID per la Cybersecurity della Pubblica Amministrazione Le Misure Minime di sicurezza ICT per le Pubbliche amministrazioni Corrado Giustozzi Agenzia per l Italia Digitale -PA Security Summit Roma, 8 giugno
DettagliLe Politiche di Sicurezza. Angelo BIANCHI
Le Politiche di Sicurezza Angelo BIANCHI Argomenti La Sicurezza Logica I Concetti Lo scenario attuale L infrastruttura di ogni ambiente Cosa Fare per considerarsi Sicuri Considerazioni Generali sulle Politiche
DettagliUna architettura tecnologica conforme ad ITIL. Sessione di Studio AIEA, Verona, 25 novembre 2005
Una architettura tecnologica conforme ad ITIL Stefania Renna Project Manager CA Elio Molteni Executive Security Advisor Sessione di Studio AIEA, Verona, 25 novembre 2005 ITIL: l allineamento business e
DettagliDiffusione delle best practice ITIL nell Avvocatura dello Stato con il supporto del sistema CMDBuild
Diffusione delle best practice ITIL nell Avvocatura dello Stato con il supporto del sistema CMDBuild Antonia Consiglio - Responsabile Ufficio CED Emiliano Pieroni Interaction Group L Avvocatura dello Stato
DettagliIniziativa : "Sessione di Studio" a Roma
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
DettagliAvv. Clara Cairoli - COTRAL S.p.A. - Roma
Il Sistema integrato dei controlli Avv. Clara Cairoli - COTRAL S.p.A. - Roma O tempora o mores - Novità in materia di responsabilità amministrativa delle persone giuridiche Roma, 6 giugno 2013 I PRINCIPI
DettagliApertura dei lavori. Convegno Banche e Sicurezza Roma, 4-5 giugno Giovanni PIROVANO Comitato Presidenza ABI
Apertura dei lavori Convegno Banche e Sicurezza Roma, 4-5 giugno 2015 Giovanni PIROVANO Comitato Presidenza ABI L evoluzione della sicurezza Il settore bancario dedica forte attenzione a mantenere elevati
DettagliMission. Proteggiamo il Business dei nostri Clienti
2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per
DettagliCOMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo
COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo Avv. Luigi Pecorario Pagina2 La Compliance nel settore del diritto Penale, intesa come conformità alle disposizioni normative,
Dettagli