mentali di percezione del rischio



Documenti analoghi
Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

Approvazione CDA del 25 giugno Limiti al cumulo di incarichi ricoperti dagli amministratori di Unipol Gruppo Finanziario S.p.A.

NOVACONSULT. LA FORMAZIONE secondo il D.Lgs. n 81/08 NUOVI ACCORDI STATO-REGIONE

Sistema di Gestione della Sicurezza CLAUDIO SOAVE

LA VALUTAZIONE DELL ATTIVITA del CONSIGLIO DI AMMINISTRAZIONE

Role plaing esperienziale: ATTUAZIONE DI UN PROGETTO DI NURSING

Valutazione dello Stress Lavoro Correlato: cosa fare se

D.Lgs. 626/1994 (art. 1, c. 2)

Sicurezza informatica in azienda: solo un problema di costi?

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

REALIZZARE UN BUSINESS PLAN

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

Istituto Nazionale di Statistica Dipartimento per i censimenti e gli archivi amministrativi e statistici

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Corsi di MIGLIORAMENTO CONTINUO

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Il Processo di Valutazione dei Rischi nel Contesto Organizzativo delineato dal D.lgs.n 81/08 e smi

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

2 Congresso Nazionale Banche Club TI

La sicurezza delle informazioni vista da un security manager

Benessere Organizzativo Interventi di promozione della salute e del benessere psicofisico nelle organizzazioni

PRINCIPI E TECNICHE PER L APPLICAZIONE DEL QUALITY RISK MANAGEMENT AI PROCESSI DI PRODUZIONE FARMACEUTICI

Genova 28/11/2012. Avv. Tiziana Rumi

ISVAP Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo. Via del Quirinale, Roma. Roma, 15 giugno 2012

Audit & Sicurezza Informatica. Linee di servizio

IL SISTEMA DI CONTROLLO INTERNO

Il Dirigente scolastico e l abilitazione delle figure di Piano

REGOLAMENTO INTERNO DEL CONTROLLO DI GESTIONE

Il manuale per la valutazione e gestione del rischio stress lavoro correlato

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

Cartoni animati: alleati educativi?

Raggiungere gli obiettivi strategici e preservare il valore creato nel tempo

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

Corso di Formazione per Gestori Impianti Sportivi

I VANTAGGI PER GLI ISCRITTI

L INTERNAL AUDIT SULLA ROTTA DI MARCO POLO

Leading Initiative for Value and Efficiency. Interventi di formazione presso organizzazioni pubbliche e private 2012-L2 PROJECT MANAGEMENT

L Integrazione dei Processi di Gestione delle Risorse Umane


IL SISTEMA DI DELEGHE E PROCURE una tutela per la società e i suoi amministratori. Milano 18 novembre A cura di: Luca Ghisletti

Il Lean Thinking in Sanità

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Il Sistema Qualità (ISO 9001:2008) Livello specialistico

PROGRAMMA CORSO RAPPRESENTANTE DEI LAVORATORI PER LA SICUREZZA (R.L.S.)

L asset più importante, l investimento più remunerativo? La governance, è tempo di investire nel «governance budget»

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

CFO Solutions - Via Diaz, Verona - Tel Fax info@cieffeo.com -

Sistemi di Gestione dei Dati e dei Processi Aziendali. Computer-Assisted Audit Technique (CAAT)

NUOVI APPROCCI PER UN MANAGER ALLENATORE : IL PROCESSO DI COACHING

La certificazione CISM

Corso RSPP Modulo C. Ing. Vincenzo Staltieri

Il Decreto Legislativo 231/01: Impatti sulla Governance aziendale

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

1- Corso di IT Strategy

CONSIGLIO NAZIONALE DELLE RICERCHE

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1

ORDINE DEGLI ATTUARI

Quality-Wood ... INDICE LA CERTIFICAZIONE DELLA SICUREZZA (ISO 18001) ...

Il Percorso continua e si sviluppa. Il POA definisce nuove competenze Applicazione POA. Necessità di risorse Coinvolgimento singoli

TAURUS INFORMATICA S.R.L. Area Consulenza

Scheda informativa gestione dei rischi per la salute e la sicurezza sul luogo di lavoro

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE DELL ENERGIA (S.G.E.)

SEMPLICI INDICAZIONI PER CAPIRE MEGLIO LA REALTÀ AZIENDALE

Associazione Italiana Information Systems Auditors

Redazione e Presentazione di Progetti Informatici

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

PRINCIPI CONTABILI INTERNAZIONALI

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

su proposta dell Assessore alla Sanità, Salute e Politiche sociali, Antonio Fosson;

PROVINCIA DI PORDENONE Servizio Politiche del Lavoro

Chi può richiedere il Voucher Formativo?

PRINCIPI CONTABILI INTERNAZIONALI IAS/IFRS Dalla teoria, all applicazione pratica, alle nuove prospettive

Business Process Management

Codice Deontologico. Centro di Coordinamento Nazionale Pile e Accumulatori

Il rischio d impresa A MISURA DI PMI

AICS - BLC FORUM L assicurazione del credito per una migliore gestione del portafoglio clienti

Governare il processo della sicurezza

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Capitolo 4 - Teoria della manutenzione: la gestione del personale

Professione Sociologo?

SICUREZZA SUI LUOGHI DI LAVORO

DOCUMENTO DI VALUTAZIONE DEL RISCHIO STRESS DA LAVORO CORRELATO

GUIDA SULLA SICUREZZA NEI CANTIERI CORSO SICUREZZA A CURA DI A. POZZI

RUOLO CENTRALE DEL DS NELL ACCOGLIENZA DEGLI ALUNNI DISABILI COME SENSIBILIZZARE E RESPONSABILIZZARE I DIRIGENTI

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Sui criteri di scelta per selezionare un consulente finanziario

L'obbligo di formazione dei lavoratori ai sensi del D.lgs. 81/08

SISTEMA DI GESTIONE INTEGRATO. Audit

Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

LO STRESS LAVORO CORRELATO obblighi, sanzioni,i fenomeni di mobbing. Avv. Valeria Cataldi

CPS. Dal Bilancio al Cruscotto delle competenze: IL

THS: un idea semplice, per un lavoro complesso.

Transcript:

Persone, tecniche e modelli mentali di percezione del rischio Linee guida all eccellenza operativa nel Risk Management per la sicurezza delle informazioni Roma, 27 Gennaio 2010 Silvano Bari, CISM 1

Errori più frequenti nella fase di pianificazione del Risk Management Incaricare della valutazione dei rischi persone incompetenti Non fornire ai responsabili della valutazione dei rischi Le informazioni La formazione Le risorse Il tempo Il supporto Non assicurare un adeguato coordinamento tra valutatori di aziende diverse che operano nel medesimo luogo di lavoro Non coinvolgere nella valutazione dei rischi persone e lavoratori dotati di una conoscenza pratica del processo/attività oggetto di valutazione Consultare il manuale delle procedure aziendali ma non i lavoratori Attenersi rigidamente ad una lista di controllo 2

Focus Una attività di Risk Management non può essere condotta in termini esclusivamente tecnici o automatici L attenzione deve essere sempre rivolta alle persone 3

I protagonisti VERTICE AZIENDALE Presidente, Amm.re Delegato, Consiglieri, Direttori Generali RESPONSABILI delle AREE AZIENDALI Direttori, Capi Area ESPERTI DEL SETTORE Referenti, Delegati, Lavoratori TEAM di RISK MANAGEMENT Responsabile RM, Esperti, Consulenti, Facilitatori 4

Come ottenere il coinvolgimento NORMATIVE VALORE AGGIUNTO/BENEFICI (REALI) ATTRIBUZIONE DELLE RESPONSABILITA CONSULENZE DI SETTORE 5

Normative e standard CODICE PREDA Codice di autodisciplina per le società quotate (Borsa Italiana) D. Lgs. 30 giugno 2003, n.196 Codice sulla protezione dei dati personali PCI-DSS Payment Card Industry Data Security Standard Nuovo accordo di Basilea sulla regolamentazi one del capitale (Basilea II) Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4 National Association of Securities Dealers (NASD) norme 3010 e 3110 D. Lgs. 231/2001 Responsabilità amministrativa dell ente per reati posti in essere da amministratori, dirigenti,e/o dipendenti nell interesse o a vantaggio dell ente stesso Testo Unico sulla Finanza D.Lgs. 24 febbraio 1998, n. 58 e succ. modifiche e integrazioni L. Delega 366/2001 D. Lgs. n.61/2002 L. n.62/2005 L. n.262/2005 focus su rischio per le informazioni Sarban es- Oxley Act (SOX) del 2002 Gramm- Leach-Bliley Circolare ISVAP Federal Act (GLBA) n. 577/D del 30 Health Title 21 Code Information del 1999 dicembre 2005 Insurance of Federal Security (Financial Istituto per la Portability Regulations Management Vigilanza sulle Services and Part 11 (21 Act (FISMA) Assicurazioni Private Modernization e di Interesse Accountabilit CFR Part 11) Act) collettivo y Act (HIPAA) 6

Il compito del Team di Risk Management AIUTARE A IDENTIFICARE ASETTICAMENTE I RISCHI La percezione del rischio è un qualcosa di estremamente personale che dipende dai più svariati fattori Gli individui rispondono sulla base della loro percezione del rischio e non sulla base di un livello di rischio oggettivo (valutazione scientifica) Es. il tasso di colesterolo il furto in casa 7

8

Rivedere la nozione di Rischio R = P * V rischio Probabilità del verificarsi di un evento dannoso Conseguenze dell evento dannoso R = P * V K Fattore umano 9

Cause frequenti di errata percezione del rischio TENDENZA A SOVRASTIMARE RISCHI SPETTACOLARI MA RARI (Uragani, terremoti, ) E SOTTOVALUTARE RISCHI COMUNI MA PIU FREQUENTI (Infarti, allagamenti, scosse elettriche, ) Es. il condominio l allagamento TENDENZA A SOTTOSTIMARE I RISCHI CHE POSSIAMO CONTROLLARE DIRETTAMENTE E SOVRASTIMARE QUELLI CHE NON DIPENDONO DA NOI l esempio del pane in cassetta TENDENZA A SOTTOVALUTARE LE ATTIVITA SECONDARIE (Interventi di manutenzione o pulizie svolte sul luogo di lavoro) le signore delle pulizie gli archivi del personale 10

Cause frequenti di errata percezione del rischio (2) TENDENZA A TRASCURARE L EVENTUALE PRESENZA DI ALTRE PERSONE (lavoratori di altre aziende, visitatori) SUL LUOGO DI LAVORO Es. Il caso del CED TENDENZA A SOVRASTIMARE I RISCHI DI CUI SI PARLA SPESSO E CHE RIMANGONO A LUNGO ALL ATTENZIONE ATTENZIONE (COPERTURA MEDIATICA) Es. Influenza A PREGIUDIZIO DELL OTTIMISMO Tendenza a credere che noi faremmo meglio di quanto hanno fatto gli altri nella stessa situazione Es. La guida in stato di ebbrezza TENDENZA AD ESSERE IMPULSIVI NEI GIUDIZI (aspetto, colori, costo, ) Es. la rapina la festa di capodanno 11

Quale dei due uomini è più capace? Fonte: Why We Make Mistakes, di Joseph T. Hallinan, Broadway Books, 2009 12

Cause frequenti di errata percezione del rischio (3) TENDENZA AD EFFETTUARE SCELTE DIFFERENTI SE IL RISULTATO E PRESENTATO COME UN GUADAGNO PIUTTOSTO CHE COME UNA PERDITA Es. SCOPPIO DI UN MORBO IN UNA POPOLAZIONE DI 600 PERSONE Due gruppi di lavoro devono scegliere, ognuno, tra due programmi di intervento 1 gruppo programma A 200 persone si salvano programma B si possono salvare tutte e 600 le persone ma si rischia (2 prob.su 3) che tutte e 600 muoiano 2 gruppo programma C programma D 400 persone muoiono esiste 1 prob. Su 3 che nessuno muoia e 2 prob. Su 3 che tutte e 600 muoiano 13

Il compito del Team di Risk Management CONVINCERE LE PERSONE A RICERCARE I RISCHI PONENDOSI INTERROGATIVI INCORAGGIANDO LE PERSONE A PARLARE (prescindendo dai ruoli gerarchici e dalle responsabilità) AIUTANDOLE A CAPIRE DOVE GUARDARE (la vera origine del rischio) AIUTANDOLE A CAPIRE COME IL NOSTRO CERVELLO PROCESSA I RISCHI E I PREGIUDIZI CHE NE DERIVANO 14

Metodologie e Tool Metodologie: AU IT Security Handbook Cramm Defender Manager Dutch A&K Analysis Ebios ICH Q9 (specifica per ambiti farmaceutici) ISAMM ISF Methods ISO/IEC 13335-2 ISO27001 IT Grundschutz Magerit Marion Mehari MIGRA Octave SP800 300 ZHA Tool Callio Casis Cobra Countermeasures Cramm Defender Manager Countermeasures Cramm Defender Manager EAR/PILAR Ebios GSTool GxSGSI ISAMM MIGRA Tool Modulo Risk Manager Octave Proteus Ra2 Real ISMS Resolver Ballot Revolver Risk Risicare Riskwatch RM Studio Stream 15

Tecniche PPA Potential Problem Analysis RCA Root Cause Analysis HAZOP Hazard Operability Analysis DELPHY Analysis BRAINSTORMING e sue varianti FTA Fault Tree Analysis FMEA/FMECA Failure Mode, Effects (and Criticality) Analysis. E inoltre TECNICHE PER LA MAPPATURA DELLE INFORMAZIONI (Cronologia narrativa, Linee del tempo) TECNICHE PER L ANALISI DEI FATTORI (Diagramma di Ishikawa, I Cinque Perché, Check-list).. 16

Per concludere.. COMPETENZE FORMAZIONE COMUNICAZIONE 17

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back