La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe



Documenti analoghi
5.1.1 Politica per la sicurezza delle informazioni

Manuale della qualità. Procedure. Istruzioni operative

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

VALUTAZIONE DEL LIVELLO DI SICUREZZA

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ESPERTI IN MARKETING & COMUNICAZIONE

MANUALE DELLA QUALITÀ Pag. 1 di 6

Politica per la Sicurezza

UNI CEI Certificazione dei servizi energetici

Informatica e Telecomunicazioni

SISTEMA DI GESTIONE INTEGRATO. Audit

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

COME VIENE REALIZZATO IL PROCESSO DI ACQUISTO?

GESTIONE DELLE NON CONFORMITÀ E RECLAMI

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Sistema di Gestione Integrato Ambiente e Sicurezza GESTIONE FORNITORI

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Alternanza Scuola Lavoro. Un opportunità per valorizzare e caratterizzare i l nostro liceo

UNIVERSITÀ DEGLI STUDI DI PAVIA

PROGRAMMAZIONE E GESTIONE DI UN PROGETTO DI SERVIZIO SOCIALE

SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA STANDARD DI PRODOTTO PIANO DI QUALITA' DI PROGETTO

4.6 APPROVVIGIONAMENTO

REGOLAMENTO PARTICOLARE

I SISTEMI DI GESTIONE DELLA SICUREZZA

figure professionali software

Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni

Misura Ricorso a servizi di consulenza da parte degli imprenditori agricoli e forestali codice 114 (art. 20, a, iv, art. 24 del reg.

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Prevenzione e protezione incendi nelle attività industriali

CGIL CISL UIL. Gli Enti Bilaterali emanazione delle parti sociali (alle quali resta la competenza delle politiche Roma Corso d Italia, 25

SOMMARIO. Allegato C al Manuale della Qualità ( MQ rev. 3 del )

ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI DI BASSANO DEL GRAPPA

REGOLAMENTO PER GLI STAGE

PRIVACY Il programma dell incontro. FASEEFFE Studio: chi sono costoro? FASEEFFE Studio: ingegneria civile

SISTEMA DI GESTIONE SICUREZZA

Guida alla realizzazione della certificazione di qualità

Ordinanza sulle procedure di certificazione della protezione dei dati (OCPD)

Gli standard e la certificazione di sicurezza ICT

Allegato A al CCNL 2006/2009 comparto Ministeri

CAPIAMO IL "LINGUAGGIO" DELLA norma UNI EN ISO serie 9000

GESTIONE DELLE TECNOLOGIE AMBIENTALI PER SCARICHI INDUSTRIALI ED EMISSIONI NOCIVE LEZIONE 10. Angelo Bonomi

CONVENZIONE PER L UTILIZZAZIONE DI STRUTTURE DA PARTE DELLE SCUOLE DI SPECIALIZZAZIONE DI AREA PSICOLOGICA DELL UNIVERSITÁ DEGLI STUDI DI TORINO TRA

PO 01 Rev. 0. Azienda S.p.A.

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

INDICAZIONI GENERALI

Green meeting e CSR: un futuro verde o al verde. Green meeting e CSR: un futuro verde o al verde

AUDIT. 2. Processo di valutazione

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

LA CERTIFICAZIONE VOLONTARIA

IL MARKETING E QUELLA FUNZIONE D IMPRESA CHE:

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

LA VALUTAZIONE DEGLI ALUNNI

DAMA DEMOLIZIONI E SMONTAGGI S.R.L.

CONTROLLO DOCUMENTALE E CONTROLLO OPERATIVO DEI PROGETTI E DEI PROCESSI IN EDILIZIA. Ing. Davide Natuzzi

REGOLAMENTO AZIENDALE PER LA FREQUENZA VOLONTARIA E IL TIROCINIO PRESSO L AZIENDA ASL CN1

Programma formativo del corso di specializzazione per il conseguimento della Abilitazione Professionale di ACCONCIATORE

La Qualità il Controllo ed il Collaudo della macchina utensile. Dr. Giacomo Gelmi

CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI DI ABILITAZIONE

CEPAS Viale di Val Fiorita, Roma Tel Fax: scrivi_a@cepas.it Sito internet:

Disposizioni per favorire l accesso dei soggetti disabili agli strumenti informatici

Programmazione Pubblica/Mercato

Manuale delle Procedure ACQUISIZIONE DI BENI E SERVIZI

Il Direttore DISCIPLINARE DEL PROCESSO DI BUDGET 2015

ESPERTO IN GESTIONE DELL ENERGIA ENERGY MANAGER

Riferimenti normativi

La Certificazione del Personale

LE NORME DELLA SERIE EN 45000

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Ing Omar Morales Qualità del Software

Regolamento d esame. Patrocinio: veb.ch, Società svizzera degli impiegati del commercio. Valido dall esame di ottobre 2016

AVVISO PUBBLICO PER L ISTITUZIONE DELL ELENCO DI ESPERTI DI VALUTAZIONE DEI PROGETTI FORMATIVI FINANZIATI DAL FONDO SOCIALE EUROPEO

LO SVILUPPO DELLE COMPETENZE PER UNA FORZA VENDITA VINCENTE

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Chi può richiedere il Voucher Formativo?

C I T T À D I M A G L I E Provincia di Lecce REGOLAMENTO PER LA DISCIPLINA DELLA FORMAZIONE DELLE RISORSE UMANE DELL AMMINISTRAZIONE LOCALE

SICUREZZA INFORMATICA

SISTEMI DI MISURAZIONE DELLA PERFORMANCE

Convegno Federconsumatori Toscana. Al centro i cittadini. Equità, tutela e partecipazione nei servizi pubblici locali

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

FORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA

PROMOZIONE LAVORO SERVIZI AL LAVORO

REGOLAMENTO SULL USO DEL MEZZO PROPRIO DA PARTE DEI DIPENDENTI DELL AZIENDA SANITARIA DI NUORO

REGOLE PARTICOLARI PER LA CERTIFICAZIONE DI PRODOTTI PLASTICI IN POLIPROPILENE CON CONTENUTO RICICLATO

In convenzione con DELLA TOSCANA $ $ 5 ( *2 / $ 0(172

Principali elementi di una certificazione energetica

Apprendistato formazione e studi professionali

DIREZIONE GENERALE CULTURA FORMAZIONE LAVORO Servizio Formazione Professionale

IL TIROCINIO FORMATIVO E DI ORIENTAMENTO GUIDA OPERATIVA

Struttura/e formativa/e

Manuale del Sistema di Gestione Integrato per la Qualità e l Ambiente INDICE

LA FORMAZIONE DEGLI ADDETTI AI LAVORI ELETTRICI E LA NORMA CEI (III EDIZIONE): APPROFONDIMENTI

Sistema di gestione della Responsabilità Sociale

Transcript:

La gestione della sicurezza nei rapporti con i fornitori esterni Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Processo e prodotto Processo: successione delle operazioni da compiere per ottenere un determinato risultato Prodotto: risultato di un processo Processo Prodotto Spesso un processo è formato da più processi parziali, e così in cascata

Normalità, eccezionalità e sicurezza L efficacia, la qualità, l efficienza fanno sempre riferimento a casi normali di funzionamento, dove il prodotto finale è simile a quello atteso La sicurezza invece si riferisce a casi eccezionali nei quali il risultato del processo è diverso da quello atteso Le procedure di sicurezza si affiancano a quelle normali e hanno lo scopo di garantire, se applicate, un risultato quasi equivalente Sicurezza La sicurezza non è un prodotto ma un processo i cui scopi sono: evidenziare i possibili casi di deragliamento del processo produttivo fondamentale, nei quali cioè esso esce dai binari normali prevedere soluzioni alternative

Processo sicuro Un processo si dice sicuro se sono stati individuati tutti i casi di possibile deragliamento e se per ciascuno di questi casi sono state previste delle soluzioni L esperienza insegna che: non esistono processi sicuri Punti deboli: si verifica un caso non previsto: non si conosce la soluzione si verifica un caso previsto ma la soluzione si dimostra inefficace Sicurezza informatica Quando il processo fondamentale è informatico. Definizione: Insieme di procedure con le quali si punta a individuare e a contrastare gli eventi che possono condurre un processo informatico verso risultati ben diversi da quelli per il quale il processo è stato progettato. Importanza preminente della materia vista la pervasività dell informatica.

La protezione delle informazioni Riservatezza l informazione può essere conosciuta solo da chi ne ha titolo Integrità assenza di alterazione dei dati che costituiscono l informazione Disponibilità l informazione è sempre fruibile da chi ha diritto di conoscerla Dal generale al particolare Sicurezza Sicurezza Informatica Protezione delle informazioni Tutela dei dati personali

Schema di riferimento Casi anomali non previsti Casi anomali previsti Processo normale Gestione dell ordinario Gestione dello straordinario Gestione dell ignoto Limiti della sicurezza Casi anomali non previsti Casi anomali previsti Processo normale Zona blu: occorre decidere come affrontare i problemi Zona rossa: occorre decidere come rimediare ad eventuali danni

Considerazioni sulla sicurezza La zona arancio e la zona blu sono finite mentre la zona rossa è infinita non esiste la sicurezza assoluta non si parla di gestione della sicurezza ma di gestione del rischio La differenza tra la gestione dell ordinario e la gestione dello straordinario è convenzionale e dipende dalle specifiche relative al prodotto finale Prodotto fidato Un prodotto si dice fidato se è stato prodotto con un processo sicuro NOTA BENE: la presenza di funzioni di sicurezza non implica la sicurezza del prodotto

Effetto della cultura della sicurezza Secondo i paesi anglosassoni il problema della sicurezza è solo di tipo culturale La conoscenza dei rischi comporta il rifiuto di prodotti che non diano sufficienti garanzie di sicurezza Di conseguenza il mercato tenderà ad offrire beni e servizi sicuri Il ciclo di vita dei processi Pianificazione modellizzazione analisi costi/benefici simulazioni del progetto sperimentazioni e progetti pilota Realizzazione Esercizio Verifica Azioni di miglioramento

Il ciclo di vita della sicurezza Pianificazione stesura del piano della sicurezza modellizzazione analisi costi/benefici analisi dei rischi simulazioni del progetto sperimentazioni e progetti pilota Realizzazione predisposizione delle contromisure esercizio gestione degli incidenti verifica auditing azioni di miglioramento Attività che possono essere demandate a soggetti esterni Pianificazione stesura del piano della sicurezza modellizzazione analisi costi/benefici analisi dei rischi simulazioni del progetto sperimentazioni e progetti pilota Realizzazione predisposizione delle contromisure esercizio gestione degli incidenti verifica auditing azioni di miglioramento

La gestione della della sicurezza Contrasto e recupero Misure preventive Processo normale Zona trattegiata: casi anomali per i quali è stata prevista una contromisura o una modalità di recupero delle informazioni La logica di trattamento dei problemi di sicurezza (rischi) Probabilità o frequenza dell evento Mitigare il rischio Accettare i rischi Evitare il rischio Condividere o trasferire il rischio Severità o costo dell evento

La scelta delle contromisure Strategia della direzione (politiche di sicurezza) Fattori interni ed esterni che condizionano la sicurezza (vincoli contrattuali, norme) Analisi dei costi/benefici oppure Regole di buona gestione (best practices) Le specifiche nei contratti Casi anomali non previsti Casi anomali previsti Processo normale Specifiche funzionali Specifiche di qualità Specifiche di sicurezza

Tipologie di contratti Contratti relativi a servizi o prodotti per la sicurezza come, ad esempio firewall servizi gestiti auditing/assessment Contratti relativi a beni e servizi informatici in cui la sicurezza è un elemento qualificante come, ad esempio fornitura di sistemi elaborativi servizi di comunicazione outsourcing della gestione del sistema informativo Prodotti e servizi di sicurezza E possibile richiedere la certificazione dei prodotti Il fornitore dei servizi di sicurezza deve dimostrare di essere di provata affidabilità curriculum delle persone candidate con certificazione referenze Nel caso di servizi attinenti applicazioni segretate, può essere ammissibile il ricorso alla procedura negoziale ristretta

Beni e servizi informatici generici Sono pochi i prodotti che hanno una certificazione di sicurezza formale Anche quando il prodotto è certificato, usualmente viene adoperato in condizioni diverse da quelle per cui è stata rilasciata la certificazione Alcuni fornitori offrono la possibilità di accedere al codice sorgente Nel caso dei servizi, è opportuno definire nel contratto le responsabilità nei confronti della privacy In alcuni casi può essere chiesta la stipula di un assicurazione a copertura di possibili danni La formalizzazione dei requisiti di sicurezza nei servizi Caratteristiche di sicurezza (obligazione di risultato) Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di eventi da contrastare L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Contromisure (obligazione di mezzi) La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore

Contrattualistica e certificazione della sicurezza Metodi per definire le caratteristiche di sicurezza di un servizio descrizione delle misure di sicurezza descrizione delle caratteristiche del servizio conformità a standard certificazione Metodi per valutare le caratteristiche di sicurezza di un servizio verifica della sicurezza con metodi conformi alle specifiche contrattuali L outsourcing Il trasferimento all esterno della gestione dei processi non dovrebbe comportare la perdita della capacità di governo dei medesimi Gli aspetti di sicurezza devono poter essere variati in momentio successivi alla stipula del contratto Canoni di comportamento per negoziare le modifiche in corso d opera

La sicurezza nei confronti di esterni (estratto da ISO/IEC 17799) Occorre controllare l utilizzo degli apparati da parte di soggetti esterni Nel caso, per esigenze dell organizzazione, occorra consentire tale accesso, dovrà essere condotta una valutazione dei rischi per determinare le implicazioni sulla sicurezza e le necessarie contromisure Tali contromisure dovranno essere concordate con la controparte e formalizzate in un contratto Nel caso occorra estendere l accesso a soggetti diversi dalla controparte, i contratti dovranno specificare la possibilità di autorizzare all accesso soggetti terzi e definire le condizioni per tale autorizzazione I servizi gestiti La gestione di alcuni aspetti della sicurezza può essere demandata a società specializzate Può essere conveniente utilizzare tali servizi per attività che richiedono competenze specialistiche e presidio h24 (ad esempio gestione degli IDS e dei firewall) E opportuno che l amministrazione mantenga il controllo delle strategie di sicurezza e delle regole che ne derivano (ad esempio criteri di configurazione dei firewall) I contratti devono precisare i confini di responsabilità e le modalità con cui il fornitore dovrà adeguarsi alle politiche di sicurezza stabilite dall amministrazione

Le ispezioni (auditing) Un modo per verificare gli adempimenti contrattuali in termini di sicurezza è prevedere attività di auditing La possibilità di verifiche ed ispezioni deve essere esplicitamente prevista e disciplinata nel contratto L attività di auditing prende in considerazione tutti gli aspetti che incidono sulla sicurezza (culturale organizzativo e tecnico) e verifica che la strategia di sicurezza sia stata realizzata correttamente I test di intrusione (penetration test) Sono utilizzati per verificare la capacità di resistenza ad attacchi di intrusione Possono essere svolti dall interno del sistema o dall esterno (attraverso la rete Internet) Sono condotti da specialisti che usano tecniche di attacco tipici degli hacker Devono essere previsti contrattualmente Il responsabile dei sistemi oggetto del test deve accettare formalmente la verifica

Per maggiori informazioni www.cnipa.gov.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back