ERP Operational Security Evaluate, Build, Monitor
|
|
- Alessia Grossi
- 8 anni fa
- Visualizzazioni
Transcript
1 <Insert Picture Here> ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci
2 Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate Build Monitor L infrastruttura a supporto dei principali ERP
3 La sicurezza negli ERP La sicurezza sugli ERP è da sempre sinonimo di Segregation of Duties La sicurezza degli ERP è esclusivamente intesa e limitata alla sicurezza sui privilegi di accesso. Questo tipo di analisi si è concentrata prevalentemente in analisi delle autorizzazioni utenti con lo scopo di rilevare e di ridurre i privilegi incompatibili che potrebbero causare frodi aziendali. Questo tipo di valutazione è obbligatoria per molte aziende a causa di normative quali Sarbanes-Oxley (SOX), L. 262/2005, L. 231/2001, etc. Segregation of Duties Previene attacchi o errori accidentali da parte degli utenti (business ed IT) Soluzione: GRC o K-SOD Review del Codice di programmazione Previene attacchi o errori accidentali da parte degli utenti IT Soluzione: Audit del Codice Sicurezza della piattaforma applicativa Previene l accesso non autorizzato sia dall interno che dall esterno della rete Soluzione: IT OP-SEC Se da un lato la revisione delle autorizzazioni e la Segregation of Duties (SoD) è importante, è altrettanto significativa un altra area della sicurezza degli ERP: la sicurezza tecnica, o "area grigia". Quest'area coinvolge tutti gli aspetti tecnici e i componenti che costituiscono il quadro di base per l'esecuzione dei moduli di business ed è fondamentale per la sicurezza della piattaforma: una violazione in molti di questi componenti potrebbe comportare la possibilità di effettuare attacchi come spionaggio, sabotaggio e frodi, anche se il sistema autorizzativo è sicuro.
4 Numero di Patch Numero di Patch Numero di Patch Numero di Patch La sicurezza negli ERP I principali ERP rilasciano continuamente aggiornamenti di sicurezza il cui numero è aumentato vertiginosamente negli ultimi anni. Oracle SAP Dati aggiornati al 01/07/2013 Windows Linux
5 I cyber-criminali Sebbene le frodi siano commesse perlopiù da dipendenti interni che hanno accesso ed una vasta conoscenza delle informazioni disponibili all interno dell organizzazione, coloro che commettono crimini informatici sono spesso le stesse persone che potrebbero sfruttare esposizioni di tipo fisico, anche se le competenze necessarie per sfruttare quelle di tipo logico sono più specialistiche e complesse. Le categorie dei possibili autori di crimini includono: Hacker persone con ampie competenze tecniche che hanno tempi e modi per dimostrare la loro abilità nel superare gli ostacoli. Script kiddies persone che usano script e programmi scritti da altri per compiere le loro intrusioni, spesso incapaci di sfruttare vulnerabilità perché non competenti. Dipendenti (autorizzati e non) affiliati all azienda che, avendo accesso ai sistemi in base alle responsabilità operative, potrebbero causare danni significativi all azienda. Personale IT queste persone hanno il più facile accesso a informazioni perché ne sono i custodi. Ex dipendenti occorre essere diffidenti nei riguardi di ex dipendenti che hanno lasciato l azienda in cattivi rapporti poiché potrebbero conservare delle facoltà di accesso alle informazioni se queste non fossero state immediatamente rimosse al momento dell uscita del dipendente Esterni, personale part-time o con contratto a termine personale che ha accesso logico e fisico non sono sempre formati sul rispetto della sicurezza e quindi possono inconsapevolmente perpetrare una violazione.
6 L area grigia: metodi e contromisure L idea di base per la messa in sicurezza di questa area grigia può essere derivato dal processo di OPSEC 1, il quale si propone di identificare, controllare e proteggere informazioni non classificate mettendo in atto misure (passive e/o attive) con lo scopo di eliminare o ridurre tracce di informazioni ad un potenziale nemico. È un processo sistemico e collaudato che consente di guardare sé stessi dal punto di vista dell'avversario. L IT Operation Security è quindi una metodologia per analizzare efficacemente il livello di sicurezza dei sistemi informativi aziendali utilizzati a supporto degli ERP. Identificazione delle debolezze della infrastruttura tecnologica degli ERP Tale metodologia può essere applicata sia come Assessment di IT Security (in integrazione dei GITC o svolto come attività a se stante) sia simulando un potenziale attacco informatico. Queste tipologie di valutazioni forniscono una prospettiva unica rispetto allo stato di sicurezza corrente della piattaforma tecnologica a supporto degli ERP. Finora, i sistemi ERP erano solitamente non inclusi in questo tipo di progetti: paura di interrompere il servizio e mancanza di conoscenza impediva ai responsabili di sicurezza di testare questa infrastruttura "Mission Critical". La conseguenza è che molte implementazioni di ERP non sono sicure e risultano continuamente esposte a diversi tipi di attacchi. 1.
7 Approccio KPMG KPMG propone un piano di lavoro suddiviso in tre stadi: Evalute: valutazione dell AS-IS Build: identificazione di contromisure Monitor: strumenti di controllo E Evaluate Valutazione dello stato del sistema ERP e dell infrastruttura che lo supporta. Monitor M B Build Monitoraggio delle criticità dei sistemi e della catena tecnologica di supporto Identificazione delle contromisure tecniche per limitare/azzerare le vulnerabilità riscontrate
8 Approccio KPMG: Evaluate E Il processo di valutazione è volto ad identificare gli anelli deboli della catena tecnologica degli ERP, cioè l'insieme delle vulnerabilità che potrebbero insistere su tutti i sistemi e i supporti che contengono e gestiscono i dati di business. KPMG propone tre differenti approcci di valutazione: Double Grey Box Penetration Test Vulnerability Environment Layer Module Attack Surface
9 Approccio KPMG: Evaluate Double Grey Box - Penetration Test Si esegue un tentativo di intrusione delle infrastrutture tecnologiche nel perimetro del sistema ERP (application server, database server, router, etc.) con l obiettivo di raggiungere i più alti privilegi possibili sul sistema di produzione. Vulnerability Environment Layer - Assessment Identificati tutti gli asset o le risorse che gestiscono o contengono i dati gestiti nello ERP, si esegue una valutazione al fine di identificare le vulnerabilità o minacce potenziali per ciascun asset o risorsa. L analisi delle vulnerabilità si concentra sia sulla conseguenze per l asset stesso che sulle conseguenze primarie e secondarie per l'ambiente IT circostante. Module Attack Surface Assessment (sull intera popolazione o a campione) Identificazione di backdoor nel codice, spesso dovute alla mancanza di conoscenza degli standard di programmazione, che possono compromettere il sistema ERP. Queste backdoor sono tipicamente funzioni nascoste che richiamano metodi Kernel, chiamate Kernel o chiamate di Sistema.
10 Approccio KPMG: Build B KPMG ITA attraverso le proprie metodologie, può supportare i clienti nell identificazione di solidi controlli che contribuiscono l abbattimento delle vulnerabilità identificate durante la precedente fase di valutazione del sistema ERP. L attività non riguarda esclusivamente la parte tecnica ma anche policy, procedure, linee guida e standard di sicurezza e controlli da adottare. Nasce quindi l esigenza di introdurre regole di hardening, cioè il rafforzamento e l evoluzione delle sicurezza delle piattaforme installate a supporto dei principali ERP di mercato. La costruzione delle procedure di hardening sono distribuite in quattro step: Identification Assessment Design Implementation
11 Approccio KPMG: Build Identification Identificazione degli obiettivi di sicurezza che il management della società intende raggiungere il sistema ERP adottato. Il fine ultimo di questa attività è la definizione del responsabile di amministrazione, i servizi minimi per garantire la continuità operativa IT, accessi e privilegi, logistica di base etc. Assessment Questa operazione viene effettuata dopo quella di identificazione e contiene i riferimenti per verificare la corrispondenza tra i criteri di implementazione attuale e quelli oggettivamente riconosciuti dallo standard di programmazione o da politiche più stringenti. Design Definire i requisiti di dettaglio in ordine a cinque differenti aree di intervento: networking, software di sistema, file system, utenti e sicurezza fisica. Ogni area è esaminata considerando differenti punti di rischio. Il risultato è un elenco delle procedure di cui si ha bisogno realmente di implementare. Implementation Qui si tratta del vero e proprio atto pratico. Le operazioni sono eseguite secondo l approccio Multiple Time Hardening.
12 Approccio KPMG: Monitor M La lista delle security patch IT è in continuo aggiornamento. Negli ultimi anni è in costante crescita il rilascio di note di sicurezza ed i sistemi che supportano i principali ERP di mercato non son da meno. L elenco dei controlli da predisporre dovrebbe essere completo, accurato e valido. Il processo di monitoraggio dei sistemi a supporto degli ERP prevede: Policy e Procedure Il continuo aggiornamento e l applicazione delle policy e procedure IT, che delineano la struttura e le linee guida per il mantenimento della correttezza delle operazioni e dei controlli, assicurano che l esposizione a criticità identificate siano correttamente trattate e gestite. Promuovere la coscienza della sicurezza Una sicurezza efficace, inoltre, sarà sempre dipendente dalle persone. Ne risulta che la sicurezza può essere effettiva solo se i collaboratori sanno che cosa ci si aspetta da loro e quali sono le loro responsabilità. Accessi logici definire e rivedere gli standard di sicurezza per gli accessi logici al fine di accertare che siano in linea con gli obiettivi aziendali in merito alla separazione dei compiti, prevengano le frodi o gli errori e soddisfino i requisiti delle policy al fine di minimizzare il rischio di accessi non autorizzativi
13 Approccio KPMG: Monitor Altrettanto importante, da definire dopo la fase di evaluate, è una security baseline: un piano di sicurezza di base da utilizzare come framework di controllo per le successive valutazioni della sicurezza degli ERP. Il piano dovrebbe prevedere: un inventario dell ambiente (sviluppo, test/certificazione/qualità, produzione e relativi sistemi a supporto) una policy per la gestione e la messa in sicurezza delle password (sia a livello di sistema operativo che applicative) un processo definito ed in continuo aggiornamento per l implementazione di patch di sicurezza (Support package, Security Update di OS/kernel/libraries, Critical Patch o Security Alerts per i database, etc.) revisione dei servizi minimi disponibili sui sistemi revisione continua e valutazione delle vulnerabilità 0-day pubblicate (notes, CVE, CERT, Secunia, etc.)
14 L infrastruttura a supporto dei principali ERP I principali ERP sono installabili su sistemi informativi e database secondo la seguente Product Availability Matrix: Windows HP-UX Oracle Solaris Linux IA32 IA64 x64 IBM AIX PA-RISC IA64 SPARC x64 IA32 IA64 x86_64 IBM Power IBM System Z OS/400 I5/OS Oracle X X X X X X X X X X X X - - Microsoft SQL Server IBM DB2 for Linux, Unix & Microsoft X X X X X X X X X X - X X X X - - MAXDB X X X X X X X X X X X X - - IBM DB2 for i5/os X - X X - X IBM DB2 for z/os X - X X X - X - KPMG ITA offre supporto per le attività di Evaluate, Build e Monitor per i sistemi operativi e database che supportano i principali ERP.
15 Thank You! Luca Boselli Information Risk Management Associate Partner, Milano T: E: Pasquale Vinci Information Risk Management Project Leader, Torino T: E:
Politica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliIT OP-SEC Operation Security. Evaluate, Build, Monitor
Operation Security Evaluate, Build, Monitor La sicurezza negli ERP La sicurezza degli ERP è esclusivamente intesa e limitata alla sicurezza sui privilegi di accesso. Questo tipo di analisi si è concentrata
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliHP TECHNICAL SERVICES. Energy Card SALES & OPERATION GUIDE
HP TECHNICAL SERVICES Energy Card SALES & OPERATION GUIDE IT Service Management Availability Security Performance Technology & Infrastructure Application & Database System Software Servers & Storage Client
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliObiettivi generali del revisore
Obiettivi generali del revisore Acquisire una ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi, dovuti a frodi o a comportamenti o eventi non intenzionali, che
DettagliLe Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema
Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema la normativa: http://www.garanteprivacy.it/garante/doc.jsp?id=1577499
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliVulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius
Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius L obiettivo del presente progetto consiste nel sostituire il sistema di autenticazione
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Dettagli14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved
14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA A.I.P.S. Associazione Installatori Professionali di Sicurezza Nata per rispondere alla fondamentale aspettativa degli operatori
DettagliMonitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)
Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliSicurezza, Rischio e Business Continuity Quali sinergie?
Sicurezza, Rischio e Business Continuity Quali sinergie? ABI Banche e Sicurezza 2016 John Ramaioli Milano, 27 maggio 2016 Agenda Ø Il contesto normativo ed organizzativo Ø Possibili sinergie Ø Considerazioni
DettagliCAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo
CAPITOLO 8 Tecnologie dell informazione e controllo Agenda Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale Sistemi di controllo a feedback IT e coordinamento
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliL obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.
E una realtà nelle tecnologie informatiche dal 1990. Dalla nascita del nucleo iniziale, con le attività di assistenza tecnica e di formazione, alla realtà attuale, di specialisti a tutto campo nei servizi
DettagliIl catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti
Si rivolge a: Forza vendita diretta Agenti Responsabili vendite Il catalogo MARKET Responsabili commerciali Imprenditori con responsabilità diretta sulle vendite 34 di imprese private e organizzazioni
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
Dettagli25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo
ORGANIZZAZIONE AZIENDALE 1 Tecnologie dell informazione e controllo 2 Evoluzione dell IT IT, processo decisionale e controllo Sistemi di supporto al processo decisionale IT e coordinamento esterno IT e
DettagliSVILUPPO SOFTWARE. dai una nuova energia ai tuoi piani di sviluppo software SVILUPPO SOFTWARE
SVILUPPO SOFTWARE dai una nuova energia ai tuoi piani di sviluppo software SVILUPPO SOFTWARE Affianchiamo i nostri clienti nella progettazione e sviluppo di applicazioni software basate sulle principali
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliProgetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl
Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
Dettagli4.5 CONTROLLO DEI DOCUMENTI E DEI DATI
Unione Industriale 35 di 94 4.5 CONTROLLO DEI DOCUMENTI E DEI DATI 4.5.1 Generalità La documentazione, per una filatura conto terzi che opera nell ambito di un Sistema qualità, rappresenta l evidenza oggettiva
DettagliSi applica a: Windows Server 2008
Questo argomento non è stato ancora valutato Si applica a: Windows Server 2008 Protezione accesso alla rete è una tecnologia per la creazione, l'imposizione, il monitoraggio e l'aggiornamento dei criteri
DettagliINTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1
INTRODUZIONE AL RISK MANAGEMENT Copyright CER.TO. S.r.l. 1 Il rischio: cos è? 3.1.13: l insieme della possibilità di un evento(3.1.4) e delle sue conseguenze (3.1.7) sugli obiettivi. Rischio = La possibilità
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliALYFA.NET (Company profile)
ALYFA.NET (Company profile) Chi siamo La nostra natura: System Integrator. Siamo una società di consulenza informatica di Milano, presente sul mercato ICT dal 2001. Ci poniamo come System Integrator e
DettagliBarcode Inventory System
Barcode Inventory System BIS è un sistema di front-end che permette di collegare le funzioni di campo proprie della gestione del magazzino con il sistema informativo ERP. Progettato essenzialmente come
DettagliFigura Professionale codice FP175 RESPONSABILE QUALITA'
settore Comparto descrizione ATTIVITÀ IMMOBILIARI, NOLEGGIO, INFORMATICA, RICERCA, SERVIZI ALLE IMPRESE ATTIVITÀ DI SERVIZI ALLE IMPRESE Figura di responsabile che, all interno di un azienda, è in grado
DettagliCERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity
Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione
DettagliLa gestione dei rapporti con i fornitori è un tema cruciale per le grandi Aziende nello scenario attuale del mercato e delle sue logiche di sviluppo.
La gestione dei rapporti con i fornitori è un tema cruciale per le grandi Aziende nello scenario attuale del mercato e delle sue logiche di sviluppo. Il perfezionamento delle relazioni operative tra grandi
DettagliSicurezza delle utenze privilegiate
Sicurezza delle utenze privilegiate L esperienza Sogei Paolo Schintu Responsabile Sistemi e Standard di Sicurezza IT 26 novembre 2014 Sogei Sogei nasce nel 1976 per realizzare una moderna Anagrafe Tributaria
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
Dettagli1 La politica aziendale
1 La Direzione Aziendale dell Impresa Pizzarotti & C. S.p.A. al livello più elevato promuove la cultura della Qualità, poiché crede che la qualità delle realizzazioni dell Impresa sia raggiungibile solo
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliLa Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000
La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000 Giorgio Capoccia (Direttore e Responsabile Gruppo di Audit Agiqualitas) Corso USMI 07 Marzo 2006 Roma Gli argomenti dell intervento
DettagliOFFERTE EURES NELL INFORMATICA
OFFERTE EURES NELL INFORMATICA DIT_saj_Wb ANALISTA FUNZIONALE JUNIOR Il candidato ideale, che avrà maturato almeno un anno di esperienza, sarà inserito all interno di un progetto ambizioso, dinamico e
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliPROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it
PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it igrafx Process Central è una soluzione che aiuta le organizzazioni a gestire, sviluppare, documentare
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliPresentazione Piemme Sistemi ICT CLUB Ferrara 13-14 Maggio 2014
Presentazione Piemme Sistemi ICT CLUB Ferrara 13-14 Maggio 2014 Giampiero Moscato CTO Piemme Sistemi g.moscato@piemme.it Riservato Confidenziale Presentazione Piemme Sistemi Srl PIEMME SISTEMI SRL nasce
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliSituation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi
Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com
DettagliSito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.
Nome soluzione Ruven S.r.l. Settore: Cosmetica Descrizione Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET. MediaFile
DettagliSISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO
Liceo Scientifico Galileo Galilei -Trento - SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO BS OHSAS 18001:2007 Maggio 2012 Maurizio Adami 1 Popolazione scolastica anno scolastico 2011/12 Docenti
DettagliIDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:
copertina pg. 1 immagine pg. 2 Easytech è un gruppo di giovani professionisti uniti da un obiettivo comune: proporre le migliori soluzioni per rendere le imprese leggere e pronte a sostenere la competizione
DettagliInformation technology e sicurezza aziendale. Como, 22 Novembre 2013
Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste
DettagliEVOLUZIONE DELLE INIZIATIVE PER LA QUALITA : L APPROCCIO SIX SIGMA
http://www.sinedi.com ARTICOLO 3 LUGLIO 2006 EVOLUZIONE DELLE INIZIATIVE PER LA QUALITA : L APPROCCIO SIX SIGMA A partire dal 1980 sono state sviluppate diverse metodologie per la gestione della qualità
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliIT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
DettagliBILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni
INTRODUZIONE BilanciaRSI è una società di formazione e consulenza specializzata nei temi della Legalità, della Sostenibilità, della Responsabilità d Impresa e degli Asset Intangibili. Da più di 10 anni
DettagliLa Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
DettagliLIFE09ENVIT000188-EnvironmentalCOoperation model for Cluster - Acronimo: ECO-CLUSTER
-EnvironmentalCOoperation model for Cluster - Acronimo: ECO-CLUSTER Linee Guida Modello di gestione ambientale ECO-CLUSTER: sistema gestione ambientale Comune di Collagna Responsabile dell azione Istituto
DettagliVIDEOSORVEGLIANZA E CERTIFICAZIONE
Bancasicura Milano, 18 ottobre 2007 VIDEOSORVEGLIANZA E CERTIFICAZIONE Ing. Vincenzo LA FRAGOLA Direttore Funzione Elettronica & Misure Le premesse Come affrontare le nuove esigenze della sicurezza nel
DettagliSecurity & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
DettagliModello dei controlli di secondo e terzo livello
Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliLa riforma del servizio di distribuzione del
CReSV Via Röntgen, 1 Centro Ricerche su Sostenibilità e Valore 20136 Milano tel +39 025836.3626 La riforma del servizio di distribuzione del 2013 gas naturale In collaborazione con ASSOGAS Gli ambiti territoriali
DettagliCERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a
P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management
DettagliADDETTA E ADDETTO ALLA COMUNICAZIONE INTERNA D IMPRESA
ADDETTA E ADDETTO ALLA COMUNICAZIONE INTERNA D IMPRESA 1. CARTA D IDENTITÀ...2 2. CHE COSA FA...3 3. DOVE LAVORA...4 4. CONDIZIONI DI LAVORO...5 5. COMPETENZE...6 Quali competenze sono necessarie...6 Conoscenze...8
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliMANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO
INDICE 8.1 Generalità 8.2 Monitoraggi e Misurazione 8.2.1 Soddisfazione del cliente 8.2.2 Verifiche Ispettive Interne 8.2.3 Monitoraggio e misurazione dei processi 8.2.4 Monitoraggio e misurazione dei
DettagliPROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliIL PARTNER IDEALE. Consulenza IT & Soluzioni HR
IL PARTNER IDEALE Consulenza IT & Soluzioni HR CHI SIAMO B&A PARTNERS nasce per essere il PARTNER IDEALE di quelle realtà che fanno, delle proprie risorse, il vero potenziale della propria azienda. Investire
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 12
MANUALE DELLA QUALITÀ Pag. 1 di 12 INDICE RESPONSABILITÀ DELLA DIREZIONE Impegno della Direzione Attenzione focalizzata al cliente Politica della Qualità Obiettivi della Qualità Soddisfazione del cliente
DettagliMigrazione delle soluzioni SAP. a Linux? I tre passaggi per una strategia di successo. Indice dei contenuti
Migrazione delle soluzioni SAP a Linux? I tre passaggi per una strategia di successo Indice dei contenuti 1. Comprendere a fondo le opzioni Linux a disposizione.................... 2 2. Creare un business
DettagliIL CASO DELL AZIENDA. Perché SAP. www.softwarebusiness.it
LA SOLUZIONE SAP FOR PROFESSIONAL SERVICES IL CASO DELL AZIENDA Perché SAP Grazie a SAP siamo riusciti a pianificare meglio e ad ottenere tempestive informazioni su tempi e costi delle nostre commesse.
DettagliProgetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
DettagliPROFILO FORMATIVO Profilo professionale e percorso formativo
Agenzia del Lavoro Provincia Autonoma di Trento PROFILO FORMATIVO Profilo professionale e percorso formativo DENOMINAZIONE FIGURA PROFESSIONALE - TECNICO INFORMATICO SISTEMA INFORMATIVO AZIENDALE CED-EDP
DettagliDirezione Centrale Sistemi Informativi
Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer
DettagliArchitetture Informatiche. Dal Mainframe al Personal Computer
Architetture Informatiche Dal Mainframe al Personal Computer Architetture Le architetture informatiche definiscono le modalità secondo le quali sono collegati tra di loro i diversi sistemi ( livello fisico
DettagliArchitetture Informatiche. Dal Mainframe al Personal Computer
Architetture Informatiche Dal Mainframe al Personal Computer Architetture Le architetture informatiche definiscono le modalità secondo le quali sono collegati tra di loro i diversi sistemi ( livello fisico
Dettagli