ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO
|
|
- Sibilla Crippa
- 6 anni fa
- Visualizzazioni
Transcript
1 ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO
2 AGENDA Assessment GDPR Organizzativo e Tecnologico Approccio Omnitech IT GDPR Art.35 «Valutazione d impatto sulla protezione dei dati» Assessment & Risk Analysis Fase 0 - Pre-Assessment Fase 1 - Data Protection Impact ASSESSMENT Fase 1.1 Assessment Organizzativo e Tecnologico Fase Risk Assessment Fase 1.3 Presentazione dei Risultati La nostra squadra I Tool a supporto La nostra offerta completa Conclusione
3 IL NOSTRO APPROCCIO Consulenza specialistica Governance, Risk & Compliance, Normativa GDPR Security Knowledge Piano di Trattamento e Remediation Proposta di soluzioni tecnologiche e/o organizzative GDPR Assessment Best Practices ISO 27001, ISO 31000, ISO Valutazione iniziale livello di conformità Data Discovery & Classification Risk Assessment Tool a supporto
4 ASSESSMENT GDPR ORGANIZZATIVO E TECNOLOGICO OmnitechIT grazie alla sua esperienza a livello europeo nell ambito della sicurezza informatica, ha progettato una soluzione che facilita l analisi del tema GDPR e indirizza le attività propedeutiche alla revisione dei processi organizzativi ed informatici, nel rispetto di quanto richiesto dalla normative riguardo l individuazione delle misure di sicurezza tecniche ed organizzative. La Fase di Assessment dei processi di business che impattano i dati personali, da un punto di vista organizzativo, dei flussi e delle tecnologie adottate, permette un maggior controllo sugli stessi e complessivamente una governance più accurata in materia di data privacy come richiesto dal GDPR. Il percorso di Adeguamento GDPR deve essere sistematico e coerente. Obiettivo primario è infatti consentire alle imprese di essere regolarmente allineate rispetto al contesto tecnologico e all evoluzione normativa imposta dal GDPR, massimizzando le modalità di azione nel settore di mercato ricoperto.
5 APPROCCIO OmnitechIT offre un insieme di attività di consulenza specialistica di Assessment & Compliance che eroga nell ambito della Governance di Data Privacy e in particolare sulle tematiche relative al nuovo Regolamento GDPR. Attraverso i propri consulenti e seguendo le Best Practice del settore, OmnitechIT è in grado di supportare la Committente lungo tutti gli step di Assessment necessari per il raggiungimento e il mantenimento della conformità rispetto alla nuova normativa europea sulla data privacy (GDPR), queste fasi comprendono: Data Inventory, Discovery e Classification Data Protection Assessment Risk Assessment relativamente allo scenario GDPR Indicazioni per un piano di trattamento del rischio e remediation in termini di proposte riguardo le priorità e le soluzioni tecnologiche e/o organizzative. Il servizio di consulenza erogato da OmnitechIT potrà avvalersi di tool software specifici, appositamente strutturati per il Regolamento GDPR, durante le varie fasi progettuali ed in particolare durante il Data Discovery & Classification, la valutazione iniziale del livello di conformità, il Risk Assessment e la definizione del relativo piano di trattamento del rischio e remediation.
6 GDPR Art.35 «Valutazione d impatto sulla protezione dei dati» Assessment & Risk Analysis FASE 0: Data Protection Impact Pre-Assessment FASE 1: DPIA - Data Protection Impact Assessment Fase Security Assessment Organizzativo & Tecnologico Fase Risk Assessment & Action Plan Fase 1.3 Presentazione dei risultati Identificazione Livello di Conformità e definizione Piano di Azione
7 FASE 0 - PRE-ASSESSMENT OBIETTIVI Definire gli elementi minimi necessari all esecuzione dell Assessment: Perimetro di analisi, andando ad identificare la natura dei dati trattati, l'ambito di applicazione, il contesto e la finalità del trattamento. Modello organizzativo aziendale Tipologia di trattamenti eseguiti e da eseguire (new business) Tipologia di dati trattati e da trattare (new business) As IS rispetto all impianto privacy ex D.Lgs 196/03 Verifica ed allineamento di consistenza tra il perimetro di attività ed i tempi ipotizzati, rispetto alle effettive necessità e priorità di intervento rilevate METODOLOGIA Attraverso interviste si inizia ad identificare la natura dei dati trattati, l'ambito di applicazione, il contesto e la finalità del trattamento: questi elementi saranno utili alla fase successiva.
8 FASE 1.1-ASSESSMENT ORGANIZZATIVO/TECNOLOGICO OBIETTIVI Definizione AS IS come posizionamento dell Azienda verso il GDPR Valutazione del livello di iniziale di conformità alla normativa GDPR e mappatura del rischio con il supporto di tools di Governance, Risk e Compliance (GRC) appositamente strutturati per la normativa GDPR Individuazione e mappatura dei dati trattati, della loro tipologia, sia in formato cartaceo che in formato elettronico e relativo censimento degli asset La discovery dei dati con riferimento all art. 4 del GDPR presenti su supporti informatici, potrà avvenire attraverso l utilizzo di tools specifici laddove opportuno, e limitatamente al perimetro di intervento ed ai volumi e tipologie di dati individuati. METODOLOGIA Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico
9 FASE 1.1-ASSESSMENT ORGANIZZATIVO/TECNOLOGICO DESCRIZIONE Elementi da esaminare durante le interviste/raccolta dati: Mappatura degli ambienti (prod / pre-prod / test) Mappatura delle policy in essere Modello operativo e processi operativi Mappatura degli accessi logici e fisici Mappatura monitoraggio dei sistemi e servizi Metodologie di sviluppo software Analisi dei KPI, degli obiettivi e dei livelli di servizio definiti Piani e obiettivi strategici Architetture IT (piattaforme, diagrammi di connettività) Lista dei prodotti e servizi (inventory) Progetti di sviluppo in corso Piano di Disaster Recovery e/o Business Continuity
10 FASE 1.2 RISK ASSESSMENT&ACTION PLAN OBIETTIVI Il "Risk Assessment" o "Analisi del Rischio" è una metodologia volta alla determinazione del rischio associato a determinati pericoli o sorgenti di rischio. L attività viene eseguita al fine di: Identificare i rischi Analizzare i rischi Valutare i rischi Controllare i rischi In particolare si valuta l adeguato livello di sicurezza, quindi relativamente ai rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall accesso accidentale o illegale dei/ai dati personali trasmessi, conservati e comunque trattati (ART. 32 2) METODOLOGIA Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico
11 FASE 1.2 RISK ASSESSMENT&ACTION PLAN DEFINIZIONI La terminologia di riferimento è la seguente: Rischio (R): si intende la pericolosità di un evento ed è determinato dal prodotto tra P (Probabilità dell'evento) e G (Gravità), secondo la seguente formula: R = PxG Probabilità (P): si intende la probabilità che l'evento indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione. In genere viene distinta in 3-4 classi Gravità (G): detta anche Magnitudo (M), è intesa come la gravità delle conseguenze dell'evento indesiderato. In genere viene distinta in 3-4 classi Pericolo, sorgente di rischio: si intende l'entità o l'evento in grado di provocare i danni
12 FASE 1.2 RISK ASSESSMENT&ACTION PLAN MATRICE DEL RISCHIO La seguente tabella è un esempio applicativo di "Matrice del Rischio" risultante dalla combinazione di tre classi di probabilità e tre di gravità. OUTPUT Report sullo stato generale di rischio Risk Register relativo ai rischi associati alla normativa GDPR Report su indicazioni di priorità e adeguamenti procedurali e tecnici per la mitigazione del rischio
13 FASE PRESENTAZIONE DEI RISULTATI OBIETTIVI Presentazione e condivisione con il Management aziendale dei seguenti elementi: livello di conformità e sicurezza dell impianto organizzativo/tecnologico relativo alla Personal Data Protection livello di rischio riscontrato piano degli interventi tecnologico-organizzativi per incrementare il livello globale di conformità e migliorare lo stato generale della sicurezza DELIVERABLE 1) Assessment Report contiene tutte le evidenze dell assessment in termini di: Stato iniziale del livello di conformità valutata tramite i tools di GRC I risultati del Data Discovery tramite l utilizzo di tool software 2) Piano di Trattamento del rischio e remediation 3) Presentazione di sintesi
14 GDPR Art.32 «Sicurezza del trattamento» Adozione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio Risvolti IT Comma Titolo Soluzioni 32.1.a Pseudonimizzazione e cifratura dei dati personali Encryption, Tokenization, Data masking, Synthetic Data Generation 32.1.b 32.1.c 32.1.d Assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento Ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico Procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Transport encryption, IAM, DLP, Network Security, SIEM, High Availability, Backup, Disaster Recovery High Availability Backup, Disaster Recovery Analisi e trattamento del rischio Sistema per la gestione della sicurezza delle informazioni Log Management Audit tecnologico e di processo
15 GDPR Altri Articoli con risvolti IT Articolo Titolo Tema Soluzioni 5 Principi applicabili al trattamento di dati personali 6.4 Liceità del trattamento Integrità, Riservatezza, Responsabilizzazione Trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti Diritti dell interessato Accesso, Rettifica, Cancellazione (oblio), Limitazione,Portabilità, Opposizione Identity & Access Management Privileged Account Management DLP Data & Transport Encryption DB Activity Monitoring Vulnerability Assessment&Application Protection Data Masking, Encryption, Tokenization Synthetic Data Generation Pseudonimizzazione API Gateway Identity&Access Management
16 LA NOSTRA SQUADRA Con significative esperienze in ambito normativo nel settore della Privacy, presta consulenza e formazione in materia di diritto alla protezione dei dati nonché in ambito di responsabilità amministrativa degli enti Legal Consultant Security Architect Con significative esperienze nel settore della Sicurezza Informatica, nella progettazione e realizzazione di sistemi di Sicurezza Identity & Access Management e Networking, assume la responsabilità operativa del progetto. Con esperienze specifiche nel settore della Governance, Risk&Compliance GRC Specialist DPIA Assessment Security Consultant Con significative esperienze nella realizzazione di progetti complessi nell'ambito della Sicurezza Informatica che coordina e rendiconta il progetto con particolare attenzione dell aderenza alle normative di riferimento. Con significative esperienze nel settore della Sicurezza Informatica, nella progettazione e realizzazione di Governance Framewok, assume la responsabilità operativa del progetto GRC Architect Senior GRC Consultant Con significative esperienze nella realizzazione di progetti complessi nell'ambito della Governance, assume la responsabilità di coordinamento e rendicontazione del progetto nonché della verifica dell aderenza alla normativa di riferimento
17 Report Finale Risk Assessment Assessment Tecnologico/Organizzativo Pre-Assessment 35/40gg
18 I TOOL A SUPPORTO
19 ASSESSMENT ORGANIZZATIVO STRUTTURA QUESTIONARIO TIPO
20 COMPILAZIONE DEL QUESTIONARIO Art. 32 GDPR
21 WORKFLOW DI LAVORAZIONE Questionario completato Questionario revisionato ed approvato dal Cliente REPORT Finali
22 REPORT Percentuali di Compliance di ogni singola sezione del Questionario
23 REPORT
24 REPORT & RACCOMANDAZIONI
25 DATA DISCOVERY Dati su supporto elettronico Fase necessaria alla validazione del perimetro di applicazione della verifica GDPR Ricerca su dati strutturati (es.db) e File System Ricerca dei dati personali e sensibili, tramite formato (RegEx), parola chiave, nome del campo, ecc. Tool non invasivi (nessun agent installato sui sistemi oggetto di analisi) Reportistica con indicazione della posizione del dato (Tabella/Colonna, Volume\File), percentuali di frequenza e affidabilità
26 DATA DISCOVERY DATI STRUTTURATI Report del tipo di dato identificato in ogni campo Report di tutti i campi che contengono un tipo di dato cercato Export in formato.csv per eventuali report personalizzati
27 DATA DISCOVERY DATI NON STRUTTURATI Analisi dei metadata (nome file, tipo, data) e del contenuto (indexing) Report dei tipi di file e loro posizione che contengono un tipo di dato specifico (es.cf, IBAN) Export in formato.csv per eventuali report personalizzati
28 REPORT FINALE
29 GDPR - LA NOSTRA OFFERTA FASE 0: Data Protection Impact Pre-Assessment FASE 4: Verifica e Controllo à Audit FASE 1: DPIA - Data Protection Impact Assessment Fase Security Assessment Organizzativo&Tecnologico Fase 1.2 Risk Assessment&Action Plan Fase 1.3- Presentazione dei risultati Identificazione Livello di Conformità e definizione Piano di Azione FASE 2: Implementazione/miglioramento Processi/tool e supporto all applicazione FASE 3: Formazione del personale interno FASE 5: Manutenzione e Monitoraggio
30 GDPR LA NOSTRA OFFERTA- Dettaglio Fasi AS IS TO BE FASE FASE 0: Data Protection Impact Pre- Assessment Fase 1: Esecuzione dell Assessment Oganizzativo & Tecnologico, Risk Assessment & Action Plan, Presentazione dei risultati Fase 2: implementazione/adeguamento del processo/strumenti e supporto alla messa in atto Fase 3: Formazione del personale interno Fase 4: Verifica e Controllo à Audit Fase 5: Manutenzione e Monitoraggio DESCRIZIONE Individuazione: del contesto nel quale opera l organizzazione, l area geografica, la tipologia dei dati trattati, metodo di conservazione dei dati. Esecuzione di una Gap Analysis rispetto alla normativa di riferimento per le tematiche di Personal Data Protection trattate dal GDPR sia al livello organizzativo che tecnologico, definizione del rischio e Piano di azione; Comunicazione al management aziendale delle misure di sicurezza organizzative/tecnologiche da implementare Elaborazione dei processi di Nomine, Comunicazione verso le autorità di controllo, Codice di condotta e certificazione, gestione dell incidente, gestione del data breach, etc Formare il personale e renderlo consapevole riguardo il trattamento dei dati personali e sensibili. E renderlo consapevole dei dei rischi derivanti dal loro trattamento. Attraverso audit interni si verifica l efficacia dell applicazione delle misure di sicurezza adottate (Audit di processo e Audit Tecnologici VA/PT) Controllo e miglioramenti continuo
31 ASSESSMENT INTEGRATO ORGANIZZATIVO E TECNOLOGICO PER LA GDPR IL MODELLO DI PREZZO Offerta STANDARD Include la consulenza di assessment compliance avvalendosi del tool GRC operato da OmnitechIT Offerta ESTESA Aggiunge al pacchetto standard il sevizio di data discovery e catalogazione avvalendosi dei tool nel perimetro di riferimento su repository strutturati e non.
32 ASSESSMENT INTEGRATO ORGANIZZATIVO E TECNOLOGICO PER LA GDPR IL MODELLO DI PREZZO ENTRAMBE le offerte sono A CORPO Versione STANDARD Il prezzo del pacchetto è funzione del numero delle entità organizzative oggetto del servizio. Versione ESTESA Il prezzo è funzione sia del numero di entità organizzative, sia dei volumi dei dati oggetto della Discovery automatica. (misurati in Istanze DB e Tb di dati non strutturati)
33 GRAZIE
IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi
IL GDPR E LA COMPLIANCE Strumenti a servizio della sicurezza dei sistemi informativi 6 Giugno 2017 Principi applicabili al trattamento (Art. 5) Il GDPR all art. 5 impone il rispetto di una serie di Principi
DettagliLa gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo
RiS is powered by Network Integration and Solutions srl a DGS Company info: ris@nispro.it La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo Ing. Alessandro
DettagliIl GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita
Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita DEFINIZIONI TITOLARI E RESPONSABILI I titolari (controller) del trattamento dei dati personali sono persone fisiche, persone giuridiche,
DettagliInfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017
InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane Enrico Notariale 14/12/2017 Asset digitali e valore dell informazione (1/2) Una nuova ecumene Viviamo in un momento di profonda trasformazione:
DettagliGDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1
GDPR Gli obblighi di compliance interna ed esterna 23 novembre 2016 @Ros_Imperiali 1 Sommario Generale Valutazione d impatto (DPIA) Nuovo approccio Valutazione di adeguatezza Verifica preventiva dinanzi
DettagliDaniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ
Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ General Data Protection Regulation (GDPR) General Data Protection Regulation (GDPR) Art.25 Protezione
DettagliValutazione d impatto e gestione integrata dei rischi
Privacy e Data Protection Il dialogo con le imprese alla luce del nuovo Regolamento europeo sulla privacy Valutazione d impatto e gestione integrata dei rischi Andrea Foschi Bologna, 11 maggio 2017 1 REGOLAMENTO
DettagliLa Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect
La Sicurezza nel Cloud Computing Simone Riccetti IBM IT Security Architect Agenda Sicurezza e Cloud Computing Soluzioni di sicurezza per il Cloud Soluzioni di sicurezza nel Cloud IBM Security Services
DettagliSistemi informativi in ambito sanitario e protezione dei dati personali
Sistemi informativi in ambito sanitario e protezione dei dati personali Il provvedimento del Garante del 4 giugno 2015, n. 331, Linee guida sul dossier sanitario elettronico Seminario di formazione 4 dicembre
DettagliSezione 1 - Gestione e governance della protezione dei dati
PRONTI PER GDPR? Il regolamento generale sulla protezione (GDPR) dell'ue rappresenta una modifica significativa rispetto ai precedenti requisiti di conformità in materia di Data Privacy. L'informazione
DettagliUna metodologia di valutazione dei rischi per la sicurezza delle informazioni
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni Requisiti), recentemente pubblicata in nuova
DettagliAdempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016
Adempimenti Privacy/Data Protection Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016 Cosa cambia: Dal dlg.196/03 al GDPR La disciplina della privacy è stata
DettagliOperations Management Team
Operations Management Team www.omteam.it 1 OPERATIONS MANAGEMENT TEAM: un approccio scientifico per soluzioni pratiche Process Analysis & Improvement www.omteam.it 2 L Operations Management Team Nasce
DettagliAspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane
Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane Milano 17 giugno 2008 Roberto Russo Responsabile Revisione Interna BancoPosta Versione:1.0. Premessa 2 L evoluzione
DettagliNovembre 2014 Maurizio Pedraglio moviri.com
Novembre 2014 Maurizio Pedraglio maurizio.pedraglio@moviri.com moviri.com Contesto normativo e la soluzione Moviri per l adempimento alle prescrizioni della Circolare 263 Soluzione Moviri per il capacity
DettagliL orientamento della cultura aziendale verso gli obiettivi di compliance.
L orientamento della cultura aziendale verso gli obiettivi di compliance. La leva della formazione per promuovere una cultura improntata ai principi di onestà, correttezza e rispetto delle norme Carlo
DettagliCyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21
Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21 Il supporto di Advanction in risposta alle nuove richieste della Normativa finalizzate a migliorare la sorveglianza e la
DettagliApproccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231
STUDIO FABIO FADA BUSINESS RISK SERVICES REVIND Approccio operativo per la redazione del Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 8 giugno 2001, n. 231 Dott. Fabio Fada Dottore
DettagliConvegno Annuale AISIS
Convegno Annuale AISIS Privacy e Sicurezza A supporto dell innovazione digitale in Sanità Un modello di servizio a supporto delle attività previste dal GDPR Maurizio Comelli Data Protection LAB Torino,
DettagliMASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT
MASTER Orbit4BC TOOL PER IL BUSINESS CONTINUITY MANAGEMENT MODULO 1 Fondamenti di Business Continuity Management Scopo e obiettivi del Business Continuity Management (BCM) Introduzione al Business Continuity
DettagliPROGETTO KM & BUSINESS PROCESS MANAGEMENT. Possibili sviluppi. Milano, 2012
PROGETTO KM & BUSINESS PROCESS MANAGEMENT Possibili sviluppi Milano, 2012 NIKE consulting: le referenze Team dedicati allo studio e sviluppo di sistemi di BPM & Knowledge Management Certificazione interna
DettagliCybersecurity, come difendersi dal furto dati
Osservatorio Information Security & Privacy Cybersecurity, come difendersi dal furto dati Giorgia Dragoni Ricercatrice Osservatorio Information Security & Privacy, Politecnico di Milano 09 Maggio 2017
DettagliLa nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.
COMPANY PROFILE La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici. In risposta alla veloce evoluzione delle tecnologie
DettagliObblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale
Obblighi di dei Fornitori esterni EUDA Applicazioni sviluppate dall utente finale Area di Titolo di Descrizione del Perché è importante? Governance e assicurazione di Ruoli e responsabilità Il Fornitore
DettagliBusiness Continuity: criticità e best practice
Business Continuity: criticità e best practice Workshop CeTIF: la gestione dell operatività bancaria Milano, 13 aprile 2005 Chiara Frigerio, CeTIF - Università Cattolica di Milano www.cetif.it 1 Dipartimento
DettagliInfoSec: non solo firewall e antivirus. Massimo Grandesso
InfoSec: non solo firewall e antivirus Massimo Grandesso massimo.grandesso@gmail.com Don't Try This at Home! Le principali cause di incidente (dati globali) 2015 State of the Endpoint Report Le principali
DettagliKeyMap Analisi del Rischio
KeyMap Analisi del Rischio Risk Management La valutazione del rischio quale minimo comun denominatore ISO 27001 - D.Lgs. 231/01 ISO 22301 D.Lgs. 196/03 - ISO 9001 Risk Management 2 Risk Management 3 Il
DettagliCybersecurity per la PA: approccio multicompliance Sogei
SOGEI - Società Generale di Informatica SpA ing. Fabio LAZZINI, Responsabile Security Governance & Privacy Cybersecurity per la PA: approccio multicompliance Sogei Relatore ITASEC17 Italian Conference
DettagliL evoluzione della Compliance in AXA Assicurazioni
L evoluzione della Compliance in AXA Assicurazioni Milano, 23 settembre 2009 1 S.Ciceri Compliance Officer L evoluzione della Compliance in AXA Assicurazioni Agenda 1. Il Gruppo AXA 3 2. La funzione di
DettagliRischi dell informatica e scelte di trasferimento
Milano 26/05/2009 Rischi dell informatica e scelte di trasferimento Paolo Scalzini Insurance & Risk Manager A. Menarini I.F.R. Srl Introduzione L obiettivo della presentazione è fornire una panoramica
DettagliConsulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale
Consulenza e Software, insieme per la certificazione ISO 9001-2015: presentazione di un caso reale Workshop Pier Alberto Guidotti QualiWare Alberto Mari NCG Francesco Bassi Soluzioni Bologna, 6 settembre
DettagliClaudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008
Gestione dell emergenza nel processo di integrazione SIA-SSB Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 sia ssb 2008 Agenda Il Gruppo SIA-SSB - Aree di Business La struttura di Risk
DettagliAlessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI
Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI Le principali novità 1. Le relazioni fra l Organizzazione ed il contesto interno ed esterno 2. Le aspettative
DettagliRegolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità
Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità Corsi Data Protection Forniamo una vasta gamma di corsi di formazione in ambito privacy e data protection. I nostri corsi
DettagliGDPR 2016/679 Analisi dei Rischi, Impatti Organizzativi e Soluzioni Tecnologiche Terni, 21 settembre 2017
GDPR 2016/679 Analisi dei Rischi, Impatti Organizzativi e Soluzioni Tecnologiche Terni, 21 settembre 2017 Vincenzo Mondelli Ecobyte Technology Srl Gruppo PA Privacy Officer, CISA, CISM, CGEIT, CRISC, COBIT5,
DettagliSGSI CERT CSP POSTE ITALIANE
SGSI CERT CSP POSTE ITALIANE POLICY DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI PER LE TERZE PARTI (CLIENTI, FORNITORI DI BENI E SERVIZI). VERSIONE DATA REDAZIONE VERIFICA APPROVAZIONE Nicola
DettagliModelli e metodologie per l analisi strategica
Modelli e metodologie per l analisi strategica Realizzazione del progetto e controllo strategico Vicenza, A.A. 2011-2012 Schema ANALISI VISION PROGETTO STRATEGICO STRATEGIC DESIGN REALIZZAZIONE E CONTROLLO
DettagliIl Regolamento generale sulla protezione dei dati (GDPR) MODULO 1
FORMAZIONE CERTIFICATA UNI EN ISO 9001:2008 IAF 33, 35, 37 Il Regolamento generale sulla protezione dei dati (GDPR) MODULO 1 CARATTERISTICHE E OBIETTIVI DATA: Martedì 11 luglio 2017 ORARIO: Mattino: ore
DettagliProgetto di adeguamento alle «Nuove disposizioni di vigilanza prudenziale per le banche»
Progetto di adeguamento alle «Nuove disposizioni di vigilanza prudenziale per le banche» Circolare n. 263 del 27 dicembre 2006-15 aggiornamento del 2 luglio 2013 Copyright 2013 - LABORATORIO ETICO D IMPRESA
DettagliNSR. Company Profile Business & Values
NSR Company Profile Business & Values Indice 1. Chi siamo... 3 2. Servizi di sicurezza... 4 3. Partners... 6 4. Referenze... 7 4.1 Settore Bancario... 7 4.2 Pubblica Amministrazione... 7 4.3 Servizi (Trasporti,
DettagliGESTORE DEL SISTEMA QUALITA AZIENDALE
GESTORE DEL SISTEMA QUALITA AZIENDALE DESCRIZIONE SINTETICA GESTORE DEL SISTEMA QUALITA AZIENDALE Il gestore del è in grado di sviluppare ed implementare un funzionale all attuazione degli obiettivi strategici
DettagliBusiness Continuity Experts
Business Continuity Experts Contenuti ORBIT COMPLIANCE- La maturità del BCMS Pag.3 ORBIT: l obiettivo del Business Continuity Management...Pag.5 ORBIT COMPLIANCE: la maturità del BCMS Molto spesso i Business
DettagliProposta per l organizzazione della Sicurezza Informatica dell ISTI
Proposta per l organizzazione della Sicurezza Informatica dell ISTI Carlo Carlesi Situazione attuale Non esiste un organizzazione della sicurezza Non sono ben chiare le responsabilità Non c è coscienza
DettagliBUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.
BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione
DettagliBanca Popolare di Milano
Banca Popolare di Milano Dott.ssa Paola Sassi Responsabile Staff Tecnico Direzione Controlli Tecnico Operativi PRESENTAZIONE L'approccio metodologico in Banca Popolare di Milano MILANO, 15 GIUGNO 2005
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliDall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione.
Forum PA Convegno Inail Roma, 25 Maggio 2016 Dall informatica dell Inail all Inail digitale Sintesi di un percorso di valorizzazione delle persone e di ripensamento dell organizzazione. Dott. Stefano Tomasini
DettagliIl nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali
Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali In collaborazione con 2 dicembre 2016 Hotel NH Padova Via Tommaseo, 61-35131 Padova PD 1 Agenda Data Protection alla luce
DettagliGRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016
GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM Cybersecurity Summit 2016 Milano 24 maggio 2016 Il Gruppo Hera Il Gruppo Hera è una delle principali società multiutility in Italia. Nato nel
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliPiani di vigilanza per il monitoraggio sui reati informatici. Dr. Giuseppe DEZZANI Informatico Forense
Piani di vigilanza per il monitoraggio sui reati informatici Dr. Giuseppe DEZZANI Informatico Forense www.dezzani.biz La prevenzione dei Reati Informatici A partire dagli anni 90 è aumentata la cultura
DettagliGiudizio di conformità sugli adempimenti richiesti BOZZA
Documento di Due-Diligence Il Garante nel provvedimento del 27 novembre 2008 sull amministratore di sistema usa per la prima volta l espressione "due diligence" per indicare "gli accorgimenti e misure,
DettagliPercorso professionalizzante per la Compliance in banca
www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti La nuova edizione del Percorso Professionalizzante è stata riformulata secondo l orientamento
DettagliL organizzazione per la gestione del rischio in azienda Savona, 16 giugno Pietra Ligure, 21 giugno 2017
L organizzazione per la gestione del rischio in azienda Savona, 16 giugno Pietra Ligure, 21 giugno 2017 Dr. E. Garbarino Direttore f.f. SC Governo Clinico, Risk 1 Management, Qualità Agenda FINALITÀ DELL
DettagliAlessandro Musumeci Direttore Centrale Sistemi Informativi. Roma, 29 maggio 2013
Alessandro Musumeci Direttore Centrale Sistemi Informativi Roma, 29 maggio 2013 2010: il nuovo contratto di outsourcing Una nuova dimensione Aziendale Circa 62.000 addetti 13 Data Center sul territorio
DettagliPraticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy
Praticamente GDPR a cura di Oracle Community for Security e con la collaborazione di Europrivacy Gdpr cosa stanno facendo le aziende Gabriele Faggioli Presidente Clusit 15 marzo 2017, Security Summit Milano
DettagliLa costruzione del Repository dei processi a supporto dello sviluppo organizzativo
La costruzione del Repository dei processi a supporto dello sviluppo organizzativo Banca Popolare di Milano Milano, 18 maggio 2004 Agenda La costruzione del Repository Gli obiettivi Perchè un Modello aziendale
Dettagliideacloud Business Driven Infrastructure Services
ideacloud Business Driven Infrastructure Services ideacloud è la nuova famiglia di servizi creata da ideato per dotare le Infrastrutture IT di agilità, scalabilità e velocità. Trasformiamo l IT in un fattore
DettagliI REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015
I REQUISITI INNOVATIVI DELLA ISO 9001 Alessandra Peverini Perugia 23 ottobre 2015 Le principali novità 1. Le relazioni fra l Organizzazione ed il contesto interno ed esterno 2. Le aspettative delle parti
DettagliIL PROGETTO FORMATIVO «LA NORMA ISO PER IL SISTEMA INFORMATICO»
2 CASO AZIENDALE IL PROGETTO FORMATIVO «LA NORMA ISO 27001 PER IL SISTEMA INFORMATICO» Il progetto formativo viene proposto per 4 lavoratori e una lavoratrice assunti a tempo indeterminato che lavorano
DettagliSoluzioni IT per la gestione integrata dei Rischi
Alla luce di Solvency II Dott. Agostino Carta Senior Account Società Opentech Società servizi specializzata in Soluzioni GRC Certificata ISO 9001 in: Servizi sviluppo software Servizi professionali Formazione
DettagliBusiness Continuity Experts
Business Continuity Experts Contenuti ORBIT MOBILE..Pag.3 ORBIT: l obiettivo del Business Continuity Management...Pag.5 ORBIT MOBILE ORBIT Mobile è un modulo di ORBIT per la gestione di alcune funzionalità
DettagliData Privacy Officer. A cura di: Francesca Scarazzai e Cristina Chiantia. Dottori Commercialisti
Data Privacy Officer A cura di: Francesca Scarazzai e Cristina Chiantia Dottori Commercialisti Politecnico di Torino 18 novembre 2016 La figura del Data Protection Officer (DPO) Figura già prevista dall
DettagliIniziativa : "Sessione di Studio" a Roma. Roma, 3 marzo 2010 presso Monte Paschi Siena. 1 marzo p.v.
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
DettagliSicuramente www.clusit.it
Sicuramente www.clusit.it L applicazione degli standard della sicurezza delle informazioni nella piccola e media impresa Claudio Telmon Clusit ctelmon@clusit.it Sicuramente www.clusit.it Associazione no
DettagliClassificare e proteggere i dati
Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012 Agenda Il Network KPMG Metodologia Caso di studio 1 Agenda Il Network KPMG Metodologia Caso di studio 2 Il Network KPMG
DettagliSTRUMENTI TECNICI A SUPPORTO DELLA REVISIONE
ALLEGATO IV - BOZZA - STRUMENTI TECNICI A SUPPORTO DELLA REVISIONE STRUMENTI DI PIANIFICAZIONE E GESTIONE DELLA REVISIONE A supporto dell attività di revisione, Deloitte utilizza un software specifico
DettagliDal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese
Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese Confindustria Vicenza, 17 Maggio 2017 Il Responsabile della protezione
DettagliChi Siamo. GL GROUP nasce nel 1988, con il nome di G.L. Informatica S.r.l. Nel 2008 si trasforma da S.r.l. a S.p.A.
Chi Siamo GL GROUP nasce nel 1988, con il nome di G.L. Informatica S.r.l. Nel 2008 si trasforma da S.r.l. a S.p.A. La missione di GL GROUP è quella di facilitare l evoluzione e l ottimizzazione del sistema
DettagliFORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t
FORMAZIONE AIEA Catalogo corsi 2017 Milano, Novembre 2016 w w w. a i e a - f o r m a z i o n e. i t Agenda STRUTTURA DELL OFFERTA FORMATIVA.. 3 OFFERTA CORSI: Corsi Area Certificazioni ISACA... 4 Corsi
DettagliIl governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale
ATTIVITA DI RICERCA 2014 Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale Metodologie, processi e strumenti PROPOSTA DI PARTECIPAZIONE 1 TEMI E MOTIVAZIONI
DettagliDenominazione progetto Tipologia Descrizione
Area Progetti HSE (progetti eseguiti) Denominazione progetto Tipologia Descrizione Supporto per l implementazione ed il mantenimento di Sistemi di Gestione HSE Supporto HSE ai distretti e controllate di
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Servizi di Processo Sviluppo e gestione di prodotti e servizi informatici Sequenza di processo Definizione
DettagliKit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.
Premessa Il sistema di gestione per la qualità conforme alla norma internazionale UNI EN ISO 9001:2015 dovrebbe essere implementato nell ordine di seguito indicato, che riporta le clausole della norma
DettagliIBM - IT Service Management 1
IBM - IT Service 1 IBM - IT Service 2 L IT si trasforma e richiede un modello operativo orientato ai Servizi IT Centro di Costo Operations Governance & CRM CRM IT - Azienda Strategy Organization Financial
DettagliThird Party Assurance Reporting
www.pwc.com Third Party Assurance Reporting AIEA Riccardo Crescini Agenda 1. Panoramica sugli ambiti di Third Party Assurance ( TPA ) 2. Principali standard SSAE16 & ISAE 3402 ISAE 3000 3. Trust Services
DettagliStrumenti e metodi per la Continuità Operativa ed il Disaster Recovery
Strumenti e metodi per la Continuità Operativa ed il Disaster Recovery Contesto Per la Pubblica Amministrazione la Continuità Operativa è un dovere perché: E tenuta ad assicurare la continuità dei propri
DettagliPercorso professionalizzante Internal audit in banca
www.abiformazione.it Percorso professionalizzante Internal audit in banca Internal audit / Corsi Professionalizzanti Gli specialisti della Funzione Internal Audit operanti presso le banche e gli intermediari
DettagliPIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.
PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG. (UE) 2016/679) Autori Avv. Marco Ciurcina Ing. Giorgio Gaetani Sig. Aldo Pedico Società
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
DettagliRisultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice
Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015 Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano
DettagliRisultati, cioè attenzione ai risultati.
2 Risultati, cioè attenzione ai risultati. L impegno di Siledo Consulting é rivolto all operatività in tutte le fasi dell attività. La mission del nostro team é garantire efficacia e risultati in tutti
DettagliServizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI
Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare
DettagliServizio L2.S3.9 - Servizi professionali
Servizio L2.S3.9 - Servizi professionali Il servizio ha come obiettivo quello di supportare le Amministrazioni nella realizzazione di attività nell ambito della sicurezza applicativa, comprensive di quelle
DettagliThe first all-in-one Cloud Security Suite Platform
The first all-in-one Cloud Security Suite Platform SWASCAN ALL in ONE SWASCAN Web Application SWASCAN Network SWASCAN Code Review SWASCAN All-in-one The first Cloud Suite Security Platform La prima suite
DettagliContenuto del documento: Premessa...3 Principi Generali...3 Approccio Metodologico...3 Applicazione del Modello...5 Struttura del Modello...5 Definizi
Ordine degli ingegneri della provincia di Modena Regolamento per la tutela e la valorizzazione della professione di Ingegnere Informatico - ALLEGATO 1 - Versione 2.0 Allegato I - Regolamento Informatica
DettagliMANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE
Rev. N Pag. 1 a 25 MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE STATO APPROVAZIONE Rev. N Pag. 2 a 25 Realizzato da: Riesaminato da: Approvato da: Nome e cognome Firma Ruolo REVISIONI N pagine
DettagliCONSULENTE DELLA PRIVACY
CONSULENTE DELLA PRIVACY Il Corso "Consulente della Privacy" Questo corso di formazione, organizzato da Euroinfoteam, fornisce al partecipante le conoscenze necessarie per svolgere l'attività di consulenza
DettagliIdentità. Siamo un PLAYER STORICO E FINANZIARIAMENTE SOLIDO, presente nel settore dal 1994, con sede unica nel centro di Bergamo.
CHI SIAMO Identità Siamo un PLAYER STORICO E FINANZIARIAMENTE SOLIDO, presente nel settore dal 1994, con sede unica nel centro di Bergamo. Mission We increase your customers value è la filosofia che ci
DettagliCompliance e Business L evoluzione della Compliance in BNL: esperienze operative in un contesto internazionale
Compliance e Business L evoluzione della Compliance in BNL: esperienze operative in un contesto internazionale Paola Sassi Responsabile Compliance BNL BC Gruppo BNP Paribas Direzione Compliance Vice Presidente
DettagliSTRUMENTI DI GESTIONE E REGISTRAZIONE DELLE MANUTENZIONI AI FINI DELLA SICUREZZA
CORSO SICUREZZA NELLA MANUTENZIONE DEGLI IMPIANTI STRUMENTI DI GESTIONE E REGISTRAZIONE DELLE MANUTENZIONI AI FINI DELLA SICUREZZA Silvia Cerlesi - KEISDATA, Legnano Corso organizzato dal Centro di Studio
DettagliRelazione sugli esiti dell Autovalutazione del Collegio Sindacale della Banca di Udine Credito Cooperativo
Relazione sugli esiti dell Autovalutazione del Collegio Sindacale della Banca di Udine Credito Cooperativo 1 SINTESI... 2 2 CONTESTO NORMATIVO DI RIFERIMENTO... 2 3 METODOLOGIA UTILIZZATA PER CONDURRE
DettagliIl Nuovo Regolamento di Data Protection
Il Nuovo Regolamento di Data Protection 1 Il Nuovo Regolamento di Data Protection Agenda Panoramica del regolamento I punti salienti della normativa A chi si applica la normativa GPDR? Quali sono i dati
DettagliObblighi di controllo dei Fornitori esterni. Rischio tecnologico
Obblighi di dei Fornitori esterni Rischio tecnologico Area di 1. Gestione obsolescenza Garantire continue disposizioni di supporto Il Fornitore deve tempestivamente avvisare Barclays quando viene a conoscenza
DettagliIl nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali
Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali In collaborazione con 2 dicembre 2016 Hotel NH Padova Via Tommaseo, 61-35131 Padova PD 1 Aspetti introduttivi 2 Aspetti
DettagliLA FUNZIONE COMPLIANCE DI UNICREDIT
LA FUNZIONE COMPLIANCE DI UNICREDIT Evoluzione e nuove sfide Graziella Capellini, Head of Italy Roma, 11 Novembre 2010 La in UniCredit è A il frutto di una evoluzione B che continua nel tempo C Business
DettagliLa gestione di un data breach
La gestione di un data breach Jonathan Brera 16.03.2016 Milano #READY4EUDATAP Agenda Il concetto di data breach Contesto normativo di riferimento Il processo di data breach management Quali deliverable
DettagliCOMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo
COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo Avv. Luigi Pecorario Pagina2 La Compliance nel settore del diritto Penale, intesa come conformità alle disposizioni normative,
DettagliSERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY.
SERVIZI SPECIALISTICI LEGALI E TECNICO- SISTEMISTICI PER ADEGUAMENTO ATTIVITÀ AL CODICE DELLA PRIVACY. Il presente documento ha lo scopo di illustrare in dettaglio i servizi legali ed informatici specialistici
DettagliAllegato 5. Profilo professionale richiesto per i componenti del Gruppo di lavoro
GARA A PROCEDURA APERTA PER L AFFIDAMENTO DEI SERVIZI DI MONITORAGGIO, VERIFICA E SUPPORTO TECNICO AI PROGETTI REALIZZATI DALLE SCUOLE AMMESSE AL FINANZIAMENTO NELL AMBITO DELL INIZIATIVA E-INCLUSION.
Dettagli