Cu rriculum Dott.ssa Cla udia Ciamp i Docen te e Con su len te Priva cy e Sicu rezza In formatica

Transcript

1 DATI PERSONALI: Luogo e Data di nascita: Roma,10 giugno 1972 Recapiti telefonici: TITOLI PROFESSIONALI-ISTITUZIONALI: ciampi.c@gmail.com Manager e Consulente in diritto e tecnologie dell informazione ed in metodologie e sistemi di gestione della sicurezza dell informazione, ha esercitato dal 1999 al 2003 la propria professionalità presso le più importanti società internazionali e nazionali di consulenza direzionale, tra le quali la Ernst & Young Consultants S.p.A., la Cap Gemini Ernst & Young S.p.A. e la Key Consultants S.r.l.. LEAD AUDITOR ISO/IEC (ex BS 7799). Certificazione rilasciata e aggiornata dal British Standard Institute. Esperto in metodologie e tool di gestione della sicurezza delle informazioni su standard Internazionali su standard. Certificazione conseguita in Inghilterra presso la Insight Consulting Limited Walton-on-Thames - UK. Responsabile degli aspetti organizzativi di gestione della sicurezza delle informazioni per società di servizi operanti nel settore della Sicurezza ICT. TITOLI ACCADEMICI: Docente sul tema La sicurezza informatica nel commercio elettronico al Master Universitario di I livello in Diritto e Commercio elettronico presso l Università Telematica Tel.ma. aa.aa. 2007/2008 Attività di docente sui Profili giuridici della sicurezza informatica e della protezione dei dati personali svolta presso la cattedra di Informatica Giuridica presso la Facoltà di Giurisprudenza dell Università degli Studi La Sapienza di Roma aa.aa. 2005/2006 Docente sui temi della gestione della ICT Security nelle Pubbliche Amministrazioni per il Master di II livello in Management pubblico ed egovernment presso l Università di Lecce aa.aa. 2004/2005 Docente al seminario organizzato dalla CO.IN.FO. sull argomento Il documento programmatico sulla sicurezza presso l Istituto Universitario di Scienze Motorie di Roma (26 Novembre 2004) Docente presso l Università di Lecce sui temi della Gestione della Sicurezza ICT per il Master di II livello in Management pubblico ed egovernment. aa.aa e aa. 2005/2006

2 Docente sui temi della sicurezza dell ecommerce nel Master universitario in Diritto del Commercio Elettronico presso l Università LUMSA (Roma) aa.aa. 2003/2004 Docente sul tema Il tracciamento delle attività dei dipendenti. Privacy, Statuto dei lavoratori e poteri di vigilanza e controllo del datore di lavoro presso la società l ENAV S.p.A. (giugno 2003) Docente sul tema La gestione della sicurezza delle informazioni e certificazione BS 7799 presso la società l ENAV S.p.A. (maggio 2003) Docente sul tema Metodologie e tecniche progettuali di Analisi e Gestione dei Rischi ICT presso il consorzio CINECA (aprile 2003). Corso di specializzazione in Internal Auditing nelle Banche presso l Università SDA Bocconi, aa.aa. 2002/2003 Master in Diritto dell Informatica presso l Università Libera Università Maria SS. Assunta (LUMSA), Roma, aa.aa. 2000/2001 Corso di perfezionamento in Informatica Giuridica presso l Università degli Studi di Roma aa.aa. 1997/1998 Laurea in giurisprudenza conseguita presso l Università degli Studi di Roma La Sapienza. Tesi in Informatica Giuridica: Il trasferimento elettronico di fondi e la moneta elettronica, con particolare riferimento alla validità giuridica dei documenti informatici e della firma digitale. PUBBLICAZIONI: 2005 Gestione della rubrica mensile Guida pratica alla gestione della privacy della rivista specialistica ICT Security L adeguamento privacy tra obblighi generali ed obblighi specifici di sicurezza. Come individuare le misure per la protezione dei dati personali e per la salvaguardia dei dati sensibili e/o giudiziari. Articolo pubblicato sul numero di maggio della rivista specialistica ICT Security E-learning: il progetto formativo efficace, veloce ed interattivo per le aziende. Articolo pubblicato nel numero 1 della rivista specialistica E- learning & Knowledge Management Il Business Continuità Management e la redazione del Business Continuità Plan. Articolo pubblicato sul numero di maggio della rivista specialistica ICT Security Autore della sezione Aspetti legali e fiscali del commercio elettronico nel panorama Italiano ed Internazionale, della pubblicazione della ISFOL To be or Net to be. Guida per le imprese in Rete. E-mappa di mestieri, professioni e idee per la Net Economy realizzata nel progetto Flai-lab Web 2000.

3 "Arriva la sanity card" - Articolo pubblicato sulla rivista giuridica online Jus e Internet (jei.it) "Il Telelavoro nelle pubbliche amministrazioni. Art.4 legge 191/98 e regolamento d'attuazione 70/99". - Articolo pubblicato nella sezione Editorial della rivista giuridica online Studiocelentano e nella rubrica Diritto&Internet della rivista universitaria online University.it "Controversie e commercio elettronico: quale il giudice competente. Usa ed Ue alla ricerca di un quadro normativo globale" - Articolo pubblicato sulla rivista giuridica online Jus e Internet (jei.it) "La firma digitale" - Articolo pubblicato nella rubrica Diritto&Internet della Rivista universitaria online University.it Home Banking. - Il servizio bancario direttamente a casa tua. PARTE PRIMA: "Cos'è l'home banking" - Articolo pubblicato nella Diritto&Internet della rivista universitaria online University.it Home Banking - Il servizio bancario direttamente a casa tua. PARTE SECONDA: "I siti delle banche più interessanti" - Articolo pubblicato nella rubrica Diritto&Internet della Rivista universitaria online University.it Pubblicazione della Tesi di laurea I trasferimenti elettronici di fondi e la moneta elettronica sulle riviste giuridiche online Studiocelentano.it e Diritto.it "I Call-Center: interessante connubio tra telecomunicazioni ed informatica. Il fenomeno esplode anche in Italia" Articolo pubblicato sulla rivista giuridiche online Studiocelentano.it e nella rubrica Diritto&Internet della Rivista universitaria online University.it "La legge e il software" - Articolo pubblicato sulla rivista giuridiche online Studiocelentano.it e nella rubrica Diritto&Internet della Rivista universitaria online University.it Le Smart card: carte elettroniche intelligenti" - Articolo pubblicato sulla rivista giuridica online Jus e Internet (jei.it) PROGETTI ED ESPERIENZE SPECIFICHE NELLA CONSULENZA: Dipartimento dell Amministrazione Penitenziaria (Ministero della Giustizia) Redazione del Documento Programmatico sulla Sicurezza Redazione del Documento Programmatico sulla Sicurezza ai sensi del D. Lgs. 196/2003 Codice in materia di trattamento dei dati personali : censimento delle banche dati, definizione del funzionigramma privacy, analisi dei rischi, individuazione delle contromisure di sicurezza e definizione del piano di formazione.

4 Ministero delle Infrastrutture Security Audit e Adeguamento Privacy Analisi dei Rischi sui servizi alla P.A. Fraud Management Gestione dei rischi CNIPA Security Audit sulla RIPA Telecom S.p.A. Log Retention Poste Mobile S.p.A. Fraud Management Security Audit sui CED del Ministero in conformità allo Standard ISO/IEC ed al D.Lgs.196/2003. Analisi dei rischi ed elaborazione del Documento Programmatico sulla Sicurezza ai sensi del D. Lgs. 196/2003 Codice in materia di trattamento dei dati personali. Predisposizione dei provvedimenti per l assolvimento degli adempimenti formali di nomina (responsabili, incaricati, responsabili esterni, ecc) previsti dalla legge. Elaborazione delle istruzioni al personale sul corretto utilizzo delle risorse informatiche dell amministrazione e dei documenti cartacei. Conduzione di attività di analisi dei rischi sui servizi erogati da Poste Italiane alla Pubblica Amministrazione con metodologia ISO/IEC Definizione dei Piani di rientro. Stesura delle politiche e di procedure di sicurezza in materia di gestione e prevenzione delle frodi aziendali. Disegno del processo di Gestione della Scurezza Informatica. Valutazione degli impatti organizzativi e predisposizione di un piano di transizione. Preparazione dei piani di comunicazione per la campagna di sensibilizzazione sulle tematiche della sicurezza, ed erogazione della formazione. Conduzione di attività per l adeguamento alla normativa sul trattamento dei dati personali. Security Audit condotto sulla RIPA (Rete Internazionale della Pubblica Amministrazione) del CNIPA (Centro Nazionale per l Informatica nella Pubblica Amministrazione) gestita dalla società EDS S.r.l. con metodologia ISO/IEC Presentazione dei risultati al CNIPA. Stesura dei requisiti legali per la raccolta, la conservazione e l utilizzo dei log di sistema e applicativi per il monitoraggio dell utilizzo dei sistemi informatici aziendali. Stesura delle politiche in materia di Fraud Management per i servizi di telefonia mobile e a valore aggiunto.

5 Dipartimento delle Pari Opportunità (Presidenza del Consiglio dei Ministri) Analisi dei Rischi sulla Rete Pari Opportunità RFI (Rete Ferroviaria Italiana S.p.A.) Progettazione e realizzazione del modulo didattico Sicurezza informatica e protezione dei dati Classificazione dei dati e definizione dei profili autorizzativi per l accesso ai medesimi Conduzione di un attività di Analisi del Rischio su metodologia ISO/IEC in conformità dei requisiti derivanti dall analisi del contesto normativo di riferimento. Individuazione delle misure di sicurezza (Security Profile) da adottare per la gestione dei rischi individuati. Progettazione di due moduli didattici sui temi della sicurezza informatica e della protezione dei dati (D.Lgs.196/2003), preparazione del materiale formativo e del materiale didattico di supporto (manuale di facile consultazione, copia delle attuali normative in materia di sicurezza). Formazione dei formatori. Supporto ai formatori nella evasione delle domande formulate dai discenti e raccolte al termine dell erogazione dei moduli didattici. Rilevazione del livello di criticità delle informazioni trattate dall azienda attraverso l effettuazione di un attività di Business Impact Analisys (Definizione Macro Famiglie e classificazione Asset). Elaborazione delle mappa delle interdipendenze Asset informativi/ RID/ Applicativi/ Contromisure attuate. Mappa delle interdipendente tra Asset informativi/ Ruoli Utente/ Autorizzazioni Definizione della Metodologia di classificazione dei dati aziendali: Definizione del modello di classificazione. Riconduzione della classificazione degli asset secondo i criteri Privacy all interno del modello definito. Definizione del modello delle classi di sicurezza RID e contromisure per Macrofamiglie. Strutturazione del processo aziendale di assegnazione e gestione dei profili autorizzativi per gli utenti. Elaborazione delle politiche di gestione delle informazioni classificate. Elaborazione delle politiche e delle procedure di assegnazione dei profili autorizzativi.

6 Università Telematica Tel.M.A. Redazione del Documento Programmatico sulla Sicurezza Definizione del sistema documentale Corporate della sicurezza Politiche di gestione della Videosorveglianza Università IUAV di Venezia Privacy Audit Redazione del Documento Programmatico sulla Sicurezza ai sensi del D. Lgs. 196/2003 Codice in materia di trattamento dei dati personali (censimento basi dati, definizione del funzionigramma privacy, analisi dei rischi, individuazione delle contromisure di sicurezza, definizione di politiche e procedure di sicurezza, definizione del piano di formazione) e predisposizione della modulistica per l assolvimento degli adempimenti formali previsti dalla legge. Definizione delle Corporate Information Security Policy e delle Corporate Physical and Environmental Security Policy. Definizione delle istruzioni al personale per il corretto utilizzo delle risorse informative. Strutturazione del framework di Specific Security Policy riguardanti le seguenti tematiche: Sicurezza fisica dei Data Center, Identity Management, Restore e Backup dei Dati, Sistemi Unix, Sistemi Windows, SAP, Apparati di Rete, Accessi a Servizi Extranet, Firewall, IDS/IPS, Antivirus, Accessi in Mobilità a Servizi di Poste Italiane, Accessi in Mobilità a Servizi extranet, DBMS, Rete dati. Elaborazione delle Procedure di gestione Account per i Partner Esterni/Consulenti, gestione Firewall, gestione IDS/IPS, gestione Antivirus. Aggiornamento delle Linee Guida relative allo sviluppo sicuro applicazioni ed alla sicurezza Wireless. Stesura delle politiche di sicurezza in materia di gestione dei sistemi di videosorveglianza aziendali. Verifica dello stato di conformità, rispetto al D. Lgs. 30 giugno 2003 n. 196, dell attuale modello organizzativo e gestionale adottato, della documentazione interna prodotta, nonché delle politiche e delle procedure predisposte per l implementazione delle misure minime di sicurezza. Valutazione dello scostamento e predisposizione del Piano operativo d Intervento volto a colmare il gap.

7 IntesaBci Sicurezza Organizzativa Accountability Supporto al mantenimento della conformità normativa alle misure minime di sicurezza Consorzio Atr - Agenzia per la mobilità dell Emilia Romagna Adeguamento al Codice Privacy Disegno del processo di Gestione della Scurezza Informatica in IntesaBci e valutazione degli impatti organizzativi sulla Banca. Individuazione e pianificazione delle azioni da intraprendere per consentire l adozione del nuovo modello processuale ed organizzativo. Stesura dei requisiti legali e delle politiche e procedure di sicurezza per la raccolta, la conservazione e la messa a disposizione dei log di sistemi ed applicativi relativi alle attività dei dipendenti, per il perseguimento di illeciti penali e civili da parte dell azienda. Coordinamento del gruppo di lavoro composto da esponenti delle strutture aziendali coinvolte sull attività (Internal Audit, Legale, Risorse Umane e Sicurezza Informatica) Revisione, integrazione e consolidamento della documentazione aziendale in materia di misure minime di sicurezza (artt. 33, 34 e 35 del D.Lgs. 196/2003 e disposizioni del Disciplinare Tecnico in tema di misure minime allo stesso allegato). Individuazione delle azioni da porre in essere per dare concreta attuazione alle regole dell allegato B al D.Lgs. 196/2003. Stesura di politiche di sicurezza in materia di misure minime a carattere generale e specifico per le singole Direzioni aziendali. Censimento dei trattamenti, definizione del funzionigramma privacy e redazione del Documento Programmatico sulla Sicurezza ai sensi del D. Lgs. 196/2003 Codice in materia di trattamento dei dati personali (censimento basi dati, definizione del funzionigramma privacy, analisi dei rischi, individuazione delle contromisure di sicurezza, definizione di politiche e procedure di sicurezza, definizione del piano di formazione), integrazione dei contratti. Erogazione della formazione agli incaricati del trattamento dei dati.

8 Assistenza specialistica tecnico-legale per la verifica ed il mantenimento della conformità normativa del SGI Qualità e Sicurezza delle Informazioni Università degli Studi dell Insubria di Varese Adeguamento al Codice Privacy Assistenza specialistica tecnico-legale per la strutturazione del processo e degli strumenti di Compliance Normativa Verifica e consolidamento della conformità del sistema certificato di gestione della sicurezza delle informazioni, rispetto ai requisiti ed ai vincoli derivanti dal quadro, generale e di settore, delle normative cogenti così come previsto in particolare dalla sezione A. 12 della BS :2002. Conduzione dell audit di sicurezza sulle direzioni centrali e sui poli territoriali. Armonizzazione e razionalizzazione della cogenza in tutti gli obiettivi di controllo trattati da ICT Operations. Coordinamento GdL Poste per la redazione delle procedure di Backup e Restore delle strutture di System e Network Management centrali e territoriali. Sensibilizzazione dei referenti interni. Definizione delle procedure di backup dei dati. Censimento dei trattamenti, definizione del funzionigramma privacy e redazione del Documento Programmatico sulla Sicurezza ai sensi del D. Lgs. 196/2003 Codice in materia di trattamento dei dati personali (censimento basi dati, definizione del funzionigramma privacy, analisi dei rischi, individuazione delle contromisure di sicurezza, definizione di politiche e procedure di sicurezza, definizione del piano di formazione), integrazione dei contratti. Redazione del Regolamento sul trattamento dei dati sensibili. Erogazione della formazione ai Responsabili ed agli Incaricati del trattamento nominati. Definizione del processo e degli strumenti di compliance normativa per il recepimento, l interpretazione e la corretta implementazione della normativa cogente (ad es. Protezione dei dati personali, responsabilità amministrativa e penale a carico di amministratori e dirigenti, sicurezza e salute dei lavoratori, criminalità informatica, tutela del software e delle banche dati, ecc) e degli standard e normative di settore (ad es. ISO/IEC 27001:2005, ISO/IEC 14001:2004, OHSAS 18001:1999, ISO/IEC :2005, ecc).

9 Banca Popolare di Verona Firma Digitale Security Audit Data Warehouse Corporate Postecom S.p.A. Certification Authority Postecom S.p.A. Poste.it Supporto alla Banca per l implementazione di funzioni di Registration Authority. Creazione dei nuovi servizi bancari integrati con funzionalità di firma digitale a valore legale e redazione delle condizioni generali di contratto. Analisi legale ed organizzativa finalizzata alla scelta ed all implementazione di soluzioni tecnologiche e di processo per il passaggio dall archiviazione cartacea a quella elettronica dei documenti. Analisi legale ed organizzativa finalizzata alla raccolta ed alla conservazione delle evidenze informatiche, al fine di poterle produrre in giudizio come prova giuridica. Svolgimento di attività di Audit di sicurezza secondo lo Standard BS7799, volto ad accertare la conformità delle modalità operative poste in essere dalla struttura sottoposta a verifica rispetto alle politiche ed alle procedure di sicurezza dalla stessa elaborate. Redazione del rapporto di conformità. Conduzione di attività finalizzate all elaborazione di linee guida per la gestione della sicurezza informatica nel progetto DWHC. Stesura di Politiche e Procedure di sicurezza e supporto alla stesura del documento di sicurezza infrastrutturale. Conduzione di attività per l adeguamento alla normativa sul trattamento dei dati personali. Stesura dei requisiti legali, assicurativi, organizzativi e tecnologici della Public Key Infrastructure di Postecom. Realizzazione e stesura delle Security Policy, del Manuale Operativo e delle Procedure inerenti alle attività core di certificazione. Analisi dei Rischi e determinazione delle Contromisure da adottate su metodologia BS Redazione del Piano per la Sicurezza. Analisi legale dei prodotti/servizi forniti/gestiti da Postecom attraverso il sito sulla base delle normative nazionali di riferimento in materia di sicurezza, privacy e contrattualistica online. Adeguamento del sito web alle norme.

10 Call Center Privacy Realizzazione delle Linee Guida per la gestione della privacy nei servizi erogati dal Call Center, in particolare per le attività di direct marketing. Disegno della struttura organizzativa privacy ed erogazione di formazione. Ha partecipato e seguito numerosi altri progetti di cui è possibile fornire ampia documentazione e referenze.