Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit
|
|
- Stefano Palmieri
- 8 anni fa
- Visualizzazioni
Transcript
1 Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit
2 Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia Skybox Alessandro Della Negra CLUSIT Modellazione e automazione - Mauro Cicognini 2
3 Modellazione e simulazione Sappiamo che la nostra realtà è molto più complessa di quanto riusciamo a comprendere Abbiamo bisogno di semplificare la situazione per cercare di immaginare cosa succederà costruiamo un modello Modello: Rappresentazione di alcuni aspetti della realtà, che ne costituiscono l'ambito (scope) Ci consente di comprendere e prevedere il comportamento dei sistemi reali Processo tipico: Raccolta dei dati Costruzione del modello Analisi del modello Raffinamento del modello Analisi Misure Raccolta dati Realtà Decisioni Informazioni Ambito modello Analisi Stati modello Modello Costruzione Raccolta dati Simulazione CLUSIT Modellazione e automazione - Mauro Cicognini 3
4 Dal "Corriere dello sport Stadio" del 7 marzo 2012
5 Quindi modellare e simulare serve? I modelli sono usati dovunque Le previsioni sono pienamente affidabili Consentono di simulare il comportamento del sistema reale Consentono di superare le divisioni tra le varie discipline La definizione di rischio è interdisciplinare di per sé Per rispondere alle domande cruciali della sicurezza è necessario superare i «silos»: Lo stato della nostra sicurezza è soddisfacente? Le nostre difese sono sufficientemente robuste? Qual è il nostro livello di rischio attuale? Quali sono i punti dove è necessario intervenire immediatamente? Infrastruttura di rete Minacce Modello Vulnerabilità Controlli Beni materiali ed immateriali CLUSIT Modellazione e automazione - Mauro Cicognini 5
6 La metodologia proposta Si propone di inserire in un unico modello: Topologia della rete e dei computer Vulnerabilità di ogni "foglia" Contromisure (Firewall, IPS, ) Beni materiali ed immateriali Minacce (e loro origine) Viste, Report, Indicatori Sistema di analisi Serve un "motore" di analisi per prevedere il comportamento del sistema Topologia della rete Modello Contromisure Risultati: report, supporti decisionali, indicatori Dove è applicabile? Enterprise vulnerability management Risk management Conformità a leggi, regolamenti e politiche aziendali Change Management Minacce Vulnerabilità Beni CLUSIT Modellazione e automazione - Mauro Cicognini 6
7 Esempio DMZ Exploit v2 Web App1 ( ) Internet R 1 FW 1 App1 Web Server v1, v2, v3, v4, v5 FTP Server v6, v7, v8, v9 Web App2 ( ) Home Banking Exploit v16 Banking ($$$) Home Banking App. Srv Origine minaccia R 3 FW 2 v14, v15, v16, v17 Rete Partner R 2 IT Lab Exploit v11 Risorse Lab (( ) Home Banking DB v18, v19, v20 Origine minaccia DNS Server SrvLab1 v10, v11, v12, v13 CLUSIT Modellazione e automazione - Mauro Cicognini 7
8 Valutazione del rischio complessivo R = (P i E i,j V j ) P = probabilità di accadimento Probabilità che la minaccia i-esima si verifichi Include la valutazione della frequenza di ritorno della minaccia E = esposizione Valutazione se e quanto l'asset j-esimo subisca gli effetti della minaccia i-esima V = valore dell'asset Valore qualitativo o quantitativo dell'asset j-esimo Si può adottare ad esempio una scala da "1 - Trascurabile" a "5 - Altissimo" sulle dimensioni Riservatezza, Integrità e Disponibilità Naturalmente è necessario dare una valutazione coerente a tutti gli elementi del modello CLUSIT Modellazione e automazione - Mauro Cicognini 8
9 Dare un valore agli asset Business Asset Classification Si stima V per ciascuno degli asset informativi P.e. Home Banking: Perdita di riservatezza danno molto elevato Perdita di disponibilità: danno medio E così via Asset Dimensione Valore AppSrv HB Riservatezza Altissimo AppSrv HB Integrità Altissimo AppSrv HB Disponibilità Medio DB HB Riservatezza Altissimo DB HB Disponibilità Alto FTPSrv Integrità Alto WebApp1 Riservatezza Basso WebApp1 Integrità Alto WebApp1 Disponibilità Alto SrvLab1 Riservatezza Medio DNS Srv Disponibilità Alto CLUSIT Modellazione e automazione - Mauro Cicognini 9
10 Accessibilità delle vulnerabilità Si calcolano i vettori d attacco all interno dei quali l istanza della vulnerabilità può essere sfruttata La vulnerabilità può essere sfruttata da qualche minaccia? Quanti passi sono necessari? Diretta: la vulnerabilità è raggiungibile in un solo passo (è un entry point) Indiretta: servono due o più passi : nessuna minaccia può sfruttare questa vulnerabilità DMZ Internet Origine minaccia Rete Partner Origine minaccia R 1 R 2 FW 1 DNS Serve r Exploit v2 R 3 IT Lab App1 Web Server v1, v2, v3, v4, v5 Exploit v11 FTP Server v6, v7, v8, v9 FW 2 SrvLab1 v10, v11, v12, v13 Web App1 ( ) Web App2 ( ) Risorse Lab (( ) Home Banking Exploit v16 Home Banking App. Srv v14, v15, v16, v17 Home Banking DB v18, v19, v20 Banking ($$$) Istanza Vuln. V1 V2 v3 V4 V5 V6 V7 V8 V9 V10 V11 V12 V13 V14 V15 V16 V17 V18 V19 V20 Raggiung. Diretta Indiretta Diretta Indiretta Indiretta Indiretta 10
11 Rischio associato Il danno atteso relativo alla minaccia Valore numerico (Probabilità danno atteso, ovvero P i V j ) Può essere mappato su una scala qualitativa da 1 a 5 oppure in percentuale da 0 a 100 Internet Origine minaccia Rete Partner Origine minaccia R 1 R 2 FW 1 DNS Serve r DMZ Exploit v2 R 3 IT Lab App1 Web Server v1, v2, v3, v4, v5 Exploit v11 FTP Server v6, v7, v8, v9 FW 2 SrvLab1 v10, v11, v12, v13 Web App1 ( ) Web App2 ( ) Risorse Lab (( ) Home Banking Exploit v16 Home Banking App. Srv v14, v15, v16, v17 Home Banking DB v18, v19, v20 Banking ($$$) Istanza Vuln. v1 v2 v3 v4 v5 v6 v7 v8 v9 v10 v11 v12 v13 v14 v15 v16 v17 v18 v19 v20 11 Rischio Assoc. Alto Basso Critico Basso Medio Critico
12 Classificare le vulnerabilità secondo il rischio Istanza Correlando i due valori per ogni coppia (minaccia, bene) si può quindi classificare ciascuna istanza in modo estremamente robusto Nell'esempio, si può dedurre che è necessario porre in essere azioni correttive solo per le istanze di vulnerabilità v2 and v11 L'istanza v16 eventualmente con minore priorità La visione e le tendenze che se ne ottengono sono molto interessanti da un punto di vista manageriale Accessibilità Vuln. v1 v2 Diretto Alto v3 v4 v5 v6 v7 Inaccessiblie v8 Inaccessiblie v9 Inaccessiblie v10 Indiretto Basso v11 Diretto Critico v12 Indiretto Basso v13 Indiretto Medio v14 Inaccessible v15 Inaccessible v16 Indiretto Critico v17 v18 v19 v20 12 Rischio Associato
13 Un modo migliore di classificare le vulnerabilità Abbiamo dimostrato che è possibile classificare le vulnerabilità secondo il rischio complessivo associato L'esperienza dimostra che generalmente la percentuale è inferiore all'1-2% del totale Un numero compatibile con la realtà quotidiana Esposizione delle vulnerabilità Il processo di mitigazione delle vulnerabilità dirette emergenti può diventare quotidiano, può far parte della normale prassi Si possono identificare dei KPI: Quante sono le vulnerabilità dirette? Quante sono in percentuale? Quante di esse espongono sistemi ad alto valore? Qual è la tendenza? Rischio delle vulnerabilità esposte CLUSIT Modellazione e automazione - Mauro Cicognini 13
14 Un esempio sul campo Organizzazione medio-grande Usa un processo di modellazione e simulazione Circa 1500 Server Ha definito 10 minacce esterne: Internet, Partners, ecc. Circa ~100 Asset di business Circa vulnerabilità; circa nuove alla settimana Ha potuto definire un processo quotidiano di gestione delle eventuali vulnerabilità dirette Lo SLA è basato sul rischio associato: 24h, 3 giorni, 2 settimane ~450 ticket con priorità relativamente elevata Vulnerabilità 23, ogni settimana Dirette? Sì Rischio associato Processo di remediation SLA di remediation Critico 24 h Elevato 3 giorni Medio 2 settimane ~450 ticket 14
15 Il modello di sicurezza ed il suo ambiente Rappresenta la rete dell organizzazione ed I relativi dati di sicurezza Viene costruito a partire da un vasto insieme di fonti di dati Aggiornato con regolarità P.e. ogni notte Usando degli automatismi L analisi calcola i percorsi possibili, I vettori d attacco ed I rischi Si possono estrarre indicatori, report, viste specifiche Attacchi Conformità alle policy KB Vuln. e worm Accesso Attack know how Host Vulnerabilità CMDB Analytic Engine Modello infrastrutt. integrato Scanner Rischi di business Rischio ACL Patch Mgmt Rete aziendale Esposizione delle vuln. Rischio associato Attacchi Minacce Beni informativi Topologia di rete Firewall Router Logica di business 15
16 Vantaggi della modellazione Decisioni Estende l insieme di parametri che è possibile manutenere Si aggiungono degli indicatori che sarebbe troppo complesso calcolare o misurare a mano Può servire per prevedere il comportamento futuro: possibile, impossibile, probabile, ecc. Consente di esaminare il comportamento sotto condizioni future, non presenti o difficili da implementare Filtraggio del rumore nei dati grezzi Tramite la fusione e la correlazione di dati provenienti da fonti diverse Calcolo degli indicatori in modo più frequente e continuativo Analisi Misure Raccolta dati Realtà Informazioni Ambito modello Analisi Stati modello Modello Costruzione Raccolta dati Simulazione 16
17 Modellazione punti di difficoltà Per ottenere informazioni ed indicatori attendibili il modello deve essere sufficientemente corretto Come si misura la correttezza del modello? Come si garantisce che tale correttezza è sufficiente? È possibile calibrare queste misure? Sicuramente il criterio sovrano è l aderenza alla realtà È possibile rappresentare e prendere in considerazione fattori non noti? P.e. minacce non conosciute, vulnerabilità non riportate, ecc. È possibile combinare queste informazioni e questi indicatori con altri ottenuti con altri metodi? Nell elaborazione delle best practice non si tiene ancora conto di queste metodologie nuove 17
18 Conclusioni La modellazione, la simulazione e gli indicatori che ricaviamo: incrementano la nostra comprensione del reale stato della sicurezza Facilitano l individuazione delle azioni necessarie Sono già collaudati in svariate realtà in tutti i settori economici e permettono un significativo incremento di efficienza ed efficacia Spec. in processi di gestione delle vulnerabilità e di conformità Come esperti di sicurezza possiamo: Sperimentare le opportunità per valutare e misurare lo stato della sicurezza mediante l uso dei modelli e della simulazione Fare un tuning di parametri ed indicatori verificando la rispondenza alla realtà delle previsioni del modello 18
19 Domande? CLUSIT Modellazione e automazione - Mauro Cicognini 19
Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business
Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business Matteo Perazzo BU Security - Manager matteo.perazzo@digi.it Mauro Cicognini Tech Director
DettagliUniversità di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
DettagliL esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT
L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliA intervalli regolari ogni router manda la sua tabella a tutti i vicini, e riceve quelle dei vicini.
Algoritmi di routing dinamici (pag.89) UdA2_L5 Nelle moderne reti si usano algoritmi dinamici, che si adattano automaticamente ai cambiamenti della rete. Questi algoritmi non sono eseguiti solo all'avvio
DettagliINTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1
INTRODUZIONE AL RISK MANAGEMENT Copyright CER.TO. S.r.l. 1 Il rischio: cos è? 3.1.13: l insieme della possibilità di un evento(3.1.4) e delle sue conseguenze (3.1.7) sugli obiettivi. Rischio = La possibilità
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliVALORE DELLE MERCI SEQUESTRATE
La contraffazione in cifre: NUOVA METODOLOGIA PER LA STIMA DEL VALORE DELLE MERCI SEQUESTRATE Roma, Giugno 2013 Giugno 2013-1 Il valore economico dei sequestri In questo Focus si approfondiscono alcune
DettagliInternet Security Systems Stefano Volpi
Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliOtto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005
Questionario di Autovalutazione di un Sistema di Gestione per la Qualità verso: Otto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005 newsletter TECSE N. 02- Febbraio 2012 (Allegato
DettagliLa Metodologia adottata nel Corso
La Metodologia adottata nel Corso 1 Mission Statement + Glossario + Lista Funzionalià 3 Descrizione 6 Funzionalità 2 Schema 4 Schema 5 concettuale Logico EA Relazionale Codice Transazioni In PL/SQL Schema
DettagliProgettaz. e sviluppo Data Base
Progettaz. e sviluppo Data Base! Progettazione Basi Dati: Metodologie e modelli!modello Entita -Relazione Progettazione Base Dati Introduzione alla Progettazione: Il ciclo di vita di un Sist. Informativo
DettagliAutomazione Industriale (scheduling+mms) scheduling+mms. adacher@dia.uniroma3.it
Automazione Industriale (scheduling+mms) scheduling+mms adacher@dia.uniroma3.it Introduzione Sistemi e Modelli Lo studio e l analisi di sistemi tramite una rappresentazione astratta o una sua formalizzazione
DettagliRETI DI COMPUTER Reti Geografiche. (Sez. 9.8)
RETI DI COMPUTER Reti Geografiche (Sez. 9.8) Riepilogo Reti lez precedente reti locali o LAN (Local Area Network): connette fisicamente apparecchiature su brevi distanze Una LAN è solitamente interna a
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliIl modello veneto di Bilancio Sociale Avis
Il modello veneto di Bilancio Sociale Avis Le organizzazioni di volontariato ritengono essenziale la legalità e la trasparenza in tutta la loro attività e particolarmente nella raccolta e nell uso corretto
DettagliNuova funzione di ricerca del sito WIKA.
Nuova funzione di ricerca del sito WIKA. Il sito WIKA dispone ora di una funzione di ricerca completamente riprogettata. Essa è uno strumento particolarmente importante in quanto deve fornire al navigatore
DettagliDecreto Interministeriale del 30.11.2012 Attuazione di quanto previsto dall art. 29 comma 5 del D.L.vo 81/08
LE PROCEDURE STANDARDIZZATE PER LA VALUTAZIONE DEI RISCHI NELLE PICCOLE IMPRESE Decreto Interministeriale del 30.11.2012 Attuazione di quanto previsto dall art. 29 comma 5 del D.L.vo 81/08 (Ma anche dall
DettagliCapitolo 4 - Teoria della manutenzione: la gestione del personale
Capitolo 4 - Teoria della manutenzione: la gestione del personale Con il presente capitolo si chiude la presentazione delle basi teoriche della manutenzione. Si vogliono qui evidenziare alcune problematiche
DettagliSituation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi
Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com
Dettagli1. BASI DI DATI: GENERALITÀ
1. BASI DI DATI: GENERALITÀ BASE DI DATI (DATABASE, DB) Raccolta di informazioni o dati strutturati, correlati tra loro in modo da risultare fruibili in maniera ottimale. Una base di dati è usualmente
DettagliAssociazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
DettagliGestire il rischio di processo: una possibile leva di rilancio del modello di business
Gestire il rischio di processo: una possibile leva di rilancio del modello di business Gianluca Meloni, Davide Brembati In collaborazione con 1 1 Le premesse del Progetto di ricerca Nella presente congiuntura
DettagliIN COLLABORAZIONE CON OPTA SRL
PROGRAMMARE LA PRODUZIONE IN MODO SEMPLICE ED EFFICACE IN COLLABORAZIONE CON OPTA SRL SOMMARIO 1. L AZIENDA E IL PRODOTTO 2. IL PROBLEMA 3. DATI DI INPUT 4. VERIFICA CARICO DI LAVORO SETTIMANALE 5. VERIFICA
DettagliAnalisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it
Analisi e gestione del rischio ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it ISCOM e infrastrutture critiche www.iscom.gov.it Premessa Prima di iniziare qualsiasi considerazione sull'analisi
DettagliANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING
ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING CREARE OPPORTUNITÀ PER COMPETERE Oggi le imprese di qualsiasi settore e dimensione devono saper affrontare, singolarmente o in rete, sfide impegnative sia
DettagliFinalità della soluzione... 3. Schema generale e modalità d integrazione... 4. Gestione centralizzata in TeamPortal... 6
Finalità della soluzione... 3 Schema generale e modalità d integrazione... 4 Gestione centralizzata in TeamPortal... 6 Dati gestiti dall Anagrafica Unica... 8 Gestione anagrafica... 9 Storicizzazione...
DettagliSoftware per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliIl Processo di Valutazione dei Rischi nel Contesto Organizzativo delineato dal D.lgs.n 81/08 e smi
DIPARTIMENTO DI PREVENZIONE I^ Facoltà di Medicina e Chirurgia SERVIZIO PREVENZIONE E SICUREZZA AMBIENTI DI LAVORO Il Processo di Valutazione dei Rischi nel Contesto Organizzativo delineato dal D.lgs.n
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliEFFETTI DEGLI INVESTIMENTI AMBIENTALI B.A.T. SULLA COMPATIBILITà AMBIENTALE
LEZIONE DEL 3 GIUGNO 2004 L articolo 15 comma 2 della direttiva IPPC prevede l obbligo di identificare quelle che siano le B.A.T ovvero le migliori tecniche disponibili in campo ambientale relative ad
DettagliArca Strategia Globale: i nuovi fondi a rischio controllato
Arca Strategia Globale: i nuovi fondi a rischio controllato Risponde: Federico Mosca, Responsabile Absolute Return I tre Fondi Nella nostra gamma prodotti, i fondi che adottano la metodologia di investimento
DettagliAsset sotto controllo... in un TAC. Latitudo Total Asset Control
Asset sotto controllo... in un TAC Latitudo Total Asset Control Jack Heine Research Vice President Gartner, Inc. Le organizzazioni che hanno implementato e sviluppato sistemi e processi di Asset Management
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Dettagli7.2 Indagine di Customer Satisfaction
7.2 Indagine di Customer Satisfaction Il campione L indagine è stata condotta su un campione a più stadi di 795 clienti TIEMME SpA (errore di campionamento +/ 2%) rappresentativo della popolazione obiettivo,
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliCalcolatori Elettronici A a.a. 2008/2009
Calcolatori Elettronici A a.a. 2008/2009 PRESTAZIONI DEL CALCOLATORE Massimiliano Giacomin Due dimensioni Tempo di risposta (o tempo di esecuzione): il tempo totale impiegato per eseguire un task (include
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliMetodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale
Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale Prof. Valter Cantino Università degli Studi di Torino 1 IL RIFERIMENTO ALLA GESTIONE DEL RISCHIO NELLE
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliCERTIFICAZIONE ISO 14001
CERTIFICAZIONE ISO 14001 Il Comune di Mozzate ha ottenuto la certificazione ambientale ISO 14001 in data 30.04.2003, ha difatti impostato e mantiene attivo un Sistema di Gestione Ambientale in linea con
DettagliPer migliorare le performance aziendali
Per migliorare le performance aziendali L implementazione di un nuovo sistema informatico costa in media $20m. E possibile avere un ritorno degli investimenti in cinque anni? Quando l investimento raggiunge
DettagliD.Lgs. 81/08, Testo Unico Sicurezza e la correlazione con i Sistemi di Gestione certificabili BS OHSAS 18001
D.Lgs. 81/08, Testo Unico Sicurezza e la correlazione con i Sistemi di Gestione certificabili BS OHSAS 18001 CERTIQUALITY VIA G. GIARDINO, 4 20123 MILANO TEL. 02-806917.1 certiquality@certiquality.it www.certiquality.it
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliPIANIFICAZIONE AUTOMATICA DEGLI INTERVENTI DI ASSISTENZA TECNICA. 2 Dicembre 2010
DI ASSISTENZA TECNICA 2 Dicembre 2010 La Pianificazione come strumento di ottimizzazione delle attività di assistenza tecnica Origine dell idea progettuale... deriva dall interesse, manifestato dai Clienti
DettagliCapitolo 13: L offerta dell impresa e il surplus del produttore
Capitolo 13: L offerta dell impresa e il surplus del produttore 13.1: Introduzione L analisi dei due capitoli precedenti ha fornito tutti i concetti necessari per affrontare l argomento di questo capitolo:
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliCHIUSURE di MAGAZZINO di FINE ANNO
CHIUSURE di MAGAZZINO di FINE ANNO Operazioni da svolgere per il riporto delle giacenze di fine esercizio Il documento che segue ha lo scopo di illustrare le operazioni che devono essere eseguite per:
DettagliIl riduttore di focale utilizzato è il riduttore-correttore Celestron f/ 6.3.
LE FOCALI DEL C8 Di Giovanni Falcicchia Settembre 2010 Premessa (a cura del Telescope Doctor). Il Celestron C8 è uno Schmidt-Cassegrain, ovvero un telescopio composto da uno specchio primario concavo sferico
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliPrimi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment
TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa
DettagliSymantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting
Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey
DettagliSysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.
Scheda Il CRM per la Gestione delle Vendite Le organizzazioni di vendita sono costantemente alla ricerca delle modalità migliori per aumentare i ricavi aziendali e ridurre i costi operativi. Oggi il personale
DettagliLa sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.
La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner
DettagliArca Cash Plus. Stile di gestione. 1 anno +1,3% +1,0% 3 anni +9,9% +5,7% Andamento di ARCA CASH PLUS
Arca Cash Plus Stile di gestione Arca Cash Plus adotta uno stile di gestione a rischio controllato che si caratterizza per l adozione formale di un budget di rischio assoluto e costante per unità temporale
DettagliCase History Sistema di streaming in intranet aziendale Cliente: Armani. www.ingeniumlogic.com
Case History Sistema di streaming in intranet aziendale Cliente: Armani www.ingeniumlogic.com 1 Richiesta del cliente 1.1 Intranet Il limite principale dell architettura adottata fino adesso risiede nella
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliCORSO ACCESS PARTE II. Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?)
Ambiente Access La Guida di Access Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?) Guida in linea Guida rapida Assistente di Office indicazioni
DettagliReport di valutazione studiolegalebraggio.it
Roma, li 15/01/2013 Report di valutazione studiolegalebraggio.it Il presente documento è redatto allo scopo di mostrare e analizzare le performance del sito web a due mesi e mezzo dalla pubblicazione online,
DettagliNome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE
NOME LEZIONE: INTRODUZIONE I soggetti coinvolti nel trattamento dei dati personali, sono espressamente indicati dal Testo Unico sulla privacy, che ha provveduto anche a descriverne profilo e funzioni.
DettagliServizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio
Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel
DettagliStrutturazione logica dei dati: i file
Strutturazione logica dei dati: i file Informazioni più complesse possono essere composte a partire da informazioni elementari Esempio di una banca: supponiamo di voler mantenere all'interno di un computer
DettagliINDAGINE SULLA PERCEZIONE DELLA SODDISFAZIONE DEI CLIENTI GECA. Rapporto di sintesi.
INDAGINE SULLA PERCEZIONE DELLA SODDISFAZIONE DEI CLIENTI GECA. Rapporto di sintesi. I N D U S T R I E G R A F I C H E 1 Geca Spa Industrie Grafiche Via Magellano 11, 20090 Cesano Boscone (MI) Tel. +39
DettagliINCREMENTARE LE QUOTE DI MERCATO E LA REDDITIVITÀ
INCREMENTARE LE QUOTE DI MERCATO E LA REDDITIVITÀ L ANALISI DELLA CONCORRENZA E IL CUSTOMER VALUE MANAGEMENT 1. [ GLI OBIETTIVI ] PERCHÉ ADOTTARE UN PROCESSO DI CUSTOMER VALUE MANAGEMENT? La prestazione
DettagliProject Management. Modulo: Introduzione. prof. ing. Guido Guizzi
Project Management Modulo: Introduzione prof. ing. Guido Guizzi Definizione di Project Management Processo unico consistente in un insieme di attività coordinate con scadenze iniziali e finali, intraprese
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliI database relazionali (Access)
I database relazionali (Access) Filippo TROTTA 04/02/2013 1 Prof.Filippo TROTTA Definizioni Database Sistema di gestione di database (DBMS, Database Management System) Sistema di gestione di database relazionale
DettagliPowerSchedo. Un sistema di supporto alla decisione nel settore dell'oil&gas. For further information: www.mbigroup.it
PowerSchedo Un sistema di supporto alla decisione nel settore dell'oil&gas For further information: Introduzione PowerSchedO è uno strumento software di supporto alle decisioni per problemi nel settore
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliMODALITA OPERATIVE PER LA COSTRUZIONE DI UN DOCUMENTO DI VALUTAZIONE DEI RISCHI EFFICACE VICENZA, 18 NOVEMBRE 2014
MODALITA OPERATIVE PER LA COSTRUZIONE DI UN DOCUMENTO DI VALUTAZIONE DEI RISCHI EFFICACE VICENZA, 18 NOVEMBRE 2014 La valutazione dei rischi Modalità di costruzione del DVR Indice della presentazione 1.
DettagliPROGETTO AUTONOMIA INDIRIZZO
PROGETTO AUTONOMIA INDIRIZZO AMMINISTRAZIONE E CONTROLLO PIANO DI LAVORO PIANIFICAZIONE, FINANZA E CONTROLLO 5 AL PROF.SSA MARILINA SABA a.s 2010/2011 Moduli UNITA ORARIE 1. Il controllo della gestione
DettagliRETI DI TELECOMUNICAZIONE
RETI DI TELECOMUNICAZIONE SISTEMI M/G/1 e M/D/1 Sistemi M/G/1 Nei sistemi M/G/1: i clienti arrivano secondo un processo di Poisson con parametro λ i tempi di servizio hanno una distribuzione generale della
DettagliLe 5 ragioni principali
Le 5 ragioni principali per passare ad HP BladeSystem Marzo 2015 Dati sul valore per le aziende La ricerca di IDC rivela che le organizzazioni che eseguono la migrazione ad HP BladeSystem (server blade
DettagliLEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE
LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE 1 Chiarezza e qualità nel servizio sono alla base di tutti i rapporti con i Clienti all insegna della massima professionalità. Tutti i dipendenti hanno seguito
DettagliGestione in qualità degli strumenti di misura
Gestione in qualità degli strumenti di misura Problematiche Aziendali La piattaforma e-calibratione Il servizio e-calibratione e-calibration in action Domande & Risposte Problematiche Aziendali incertezza
DettagliCOME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?
COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI? A Flusso di attività B - INPUT C Descrizione dell attività D RISULTATO E - SISTEMA PROFESSIONALE DOMANDA DI SISTEMI
DettagliANALISI DI RISCHIO SEMIQUANTITATIVA IN SUPPORTO ALLE VALUTAZIONI IN PRESENZA DI ATMOSFERE ESPLOSIVE (ATEX)
ANALISI DI RISCHIO SEMIQUANTITATIVA IN SUPPORTO ALLE VALUTAZIONI IN PRESENZA DI ATMOSFERE ESPLOSIVE (ATEX) T. Pezzo *, D. Vannucci *, G. Uguccioni + * D Appolonia SpA, Genova + D Appolonia SpA, San Donato
DettagliSicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall
I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della
DettagliICT Governance: l anello debole della catena fra Business & IT. Franco Mastrorilli Quint Wellington Redwood Italia
ICT Governance: l anello debole della catena fra Business & IT Franco Mastrorilli Redwood Italia Agenda Corporate Governance ICT Governance BPM e ITSM Perché l anello debole Le competenze Qual è la principale
Dettagli«VALUTAZIONE DELL EFFICACIA DI UN PANNELLO A MESSAGGIO VARIABILE LOCALIZZATO NELLA PIANA DI LUCCA»
«VALUTAZIONE DELL EFFICACIA DI UN PANNELLO A MESSAGGIO VARIABILE LOCALIZZATO NELLA PIANA DI LUCCA» SISTEMI DI INFORMAZIONE I sistemi di informazione sono apparati costituiti da strumentazione connessa
DettagliLa riforma del servizio di distribuzione del
CReSV Via Röntgen, 1 Centro Ricerche su Sostenibilità e Valore 20136 Milano tel +39 025836.3626 La riforma del servizio di distribuzione del 2013 gas naturale In collaborazione con ASSOGAS Gli ambiti territoriali
Dettaglienside www.xdatanet.com
enside è il software che affianca responsabili aziendali, energy manager e proprietari di edifici per capire come intervenire sui consumi e sui costi, migliorando l efficienza energetica. enside www.xdatanet.com
DettagliBUSINESS INTELLIGENCE
www.vmsistemi.it Soluzione di Crescita calcolata Uno strumento indispensabile per l analisi del business aziendale Controllo e previsionalità L interpretazione corretta dei dati al servizio della competitività
DettagliAttività federale di marketing
Attività federale di marketing Gestione e certificazione delle sponsorizzazioni Il Feedback Web Nel piano di sviluppo della propria attività di marketing, la FIS ha adottato il sistema Feedback Web realizzato
DettagliSistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)
Sistemi di Gestione dei Dati e dei Processi Aziendali Computer-Assisted Audit Technique (CAAT) Indice degli argomenti Introduzione Metodologia Esempi Conclusioni Slide 2 Introduzione Metodologia Esempi
DettagliBILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni
INTRODUZIONE BilanciaRSI è una società di formazione e consulenza specializzata nei temi della Legalità, della Sostenibilità, della Responsabilità d Impresa e degli Asset Intangibili. Da più di 10 anni
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
Dettagli