PROGE-SOFTWARE The turn-key partner La via più breve e sicura dal concetto alla realizzazione Dott. Paolino Madotto Direttore Consulting
Chi siamo Cresciamo da quando siamo nati perché apprezzano il nostro modo di fare le cose i nostri clienti Fondata nel 1985 Apporto di alto livello professionale nel mercato ICT Solido punto di riferimento nella ricerca, progettazione e realizzazione di soluzioni d avanguardia Metodologia esclusiva Severi processi di Controllo di Qualità Certificazione ISO 9001:2000 Servizi di Consulenza e di Supporto Tecnico a valore aggiunto Grandi progetti internazionali Oltre 140 addetti (90% tecnici e consulenti) MISSIONE CREARE VALORE E VANTAGGIO COMPETITIVO ATTRAVERSO LA REALIZZAZIONE DI PROGETTI ALTAMENTE INNOVATIVI MILANO ROMA La piena soddisfazione dei clienti è l obiettivo che ci muove, ogni giorno
Cosa facciamo Proge-Software è in grado di offrire consulenza manageriale e tecnologica in tutte le fasi di vita dei Sistemi Informativi. Cobit framework LA FORMAZIONE DEL PERSONALE TOTALE ADDETTI: 141 CERTIFICAZIONI: 187 > 1,3 certificati a persona Siamo al vostro fianco ogni giorno, con serietà e competenza
Un ventaglio di servizi Strategici Supporto Siamo in grado di... ICT Consulting Consulting ICT Governance ICT Governance ICT Organization ICT Organization Advisoring & coaching Advisoring & coaching ICT ICT Infrastructure Infrastructure Systems Management Systems Management Storage & Disaster Recovery Storage & Disaster Recovery Mgmt Mgmt Enterprise Security Enterprise Security E-Business Infrastructure E-Business Infrastructure ICT ICT Operation OperationServices Deployment Deployment Help-Desk Help-Desk Mission Critical Services Mission Critical Services System Infrastructure Management System Infrastructure Management Knowledge Security Knowledge Management Enterprise Architecture Software Software Development Development Web Technology Web Technology Integrated System Solution Integrated System Solution Business Intelligence Business Intelligence Data Management Data Management Custom Development Custom Development Business I nostri servizi coprono tutte le esigenze da quelle più strategiche a quelle a supporto della normale operatività, abbiamo competenze in grado di venire incontro alle esigenze business e a quelle più tecnologiche. Nessuna sintesi è veramente efficace...
Partner 1 Microsoft GOLD Certified Partner in Italia NetIQ Premier Partner IBM Premier Business Partner Tivoli Business Partner Sybari Partner Oracle Partner
Alcuni servizi di consulenza Copriamo le esigenze aziendali di sicurezza a 360 gradi Knowledge Security Dal Document Management alla gestione della Conoscenza aziendale Knowledge Management Rendere efficiente l IT aziendale migliorando l organizzazione e la delivery dei servizi Gestione dei fornitori, sourcing, contratti, capitolati, risorse umane, modelli organizzativi che aiutano il vostro business a crescere Quando serve qualcuno in grado di aiutare ad andare più lontano Le architetture tecnologiche che abilitano la crescita dell azienda IT Organization IT Governance Advisoring & Coaching Enterprise Architecture
La sicurezza è un complesso di fattori difficile da gestire Spesso gli approcci alla sicurezza si concentrano prevalentemente sugli aspetti tecnici e organizzativi. In realtà ormai è diventata abbastanza diffusa la percezione dell importanza di altri fattori.
Introduzione al concetto di Balanced Scorecard Security Scorecard La Balanced Scorecard (BSC) è un sistema di controllo delle performance aziendali che utilizza in modo integrato informazioni di diversa natura. La BSC è focalizzata di solito su quattro distinte prospettive di miglioramento: Finanziaria Clienti Processi interni Apprendimento e crescita La sicurezza è garantita dal bilanciamento di 4 fattori fondamentali Indicatori specifici per ogni prospettiva consentono di stabilire un bilanciamento (da qui il termine balanced ) ed una correlazione tra i diversi indicatori di misurazione delle performance. La BSC rappresenta un utile strumento che consente di tradurre la vision e la strategia aziendale in obiettivi e misure strutturate secondo le diverse prospettive.
Obiettivi della Security Scorecard Una UnaSecurity Scorecard è uno unodei deimetodi migliori per per ottenere un un allineamento tra trasicurezza e Obiettivi Strategici Dimostrare il valore della sicurezza per l organizzazione Stabilire un insieme bilanciato di misure per determinare l efficenza dell organizzazione della sicurezza Definire linee guida per creare il piano strategico della sicurezza e riportarlo in un piano operativo Comunicare e motivare risultati efficaci in termini di sicurezza secondo le richieste del business e degli stakeholders Stabilire un framework per il reporting delle attività di sicurezza L approvazione di diuna unasecurity Scorecard da daparte degli stakeholders dovrebbe essere considerata una unabest practices in in tema di digovernance della sicurezza
Security Balanced Scorecard MOTIVAZIONE E CONSAPEVOLEZZA Prospettiva Culturale Quanto siamo motivati e consapevoli riguardo alle minacce? Prospettiva Economica Quanto costano i rischi a cui siamo esposti? Sicurezza ESPOSIZIONE AL RISCHIO Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? STRUMENTI DI PREVENZIONE E REAZIONE Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? PROCESSI E FUNZIONI (es. BS7799, ecc.) Il nostro modello di Balanced Scorecard applicato alla sicurezza
Definire la missione La Missione è ciò che tiene allineata un organizzazione verso l obiettivo istituzionale che ha stabilito Prospettiva Economica Quanto costano i rischi a cui siamo esposti? Mission Istituzionale Prospettiva Culturale Quanto siamo consapevoli delle minacce? Sicurezza Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? Piano strategico Normativa Standard Raccomandazioni Missione Aziendale della Sicurezza Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? Security Balanced Scorecard Piano e Policy della sicurezza
Il processo di implementazione validazione delle ipotesi fatte in sede strategica continuo miglioramento / revisione della strategia 1 Tradurre la strategia maggior comprensione della vision aziendale creazione di consenso attorno alla strategia traslazione dei concetti strategici su un piano operativo 4 Feedback strategico apprendimento 2 Comunicare e correlare definizione degli obiettivi operativi a cascata allineamento del budget alla pianificazione strategica allocazione delle risorse aziendali individuazione priorità delle azioni da intraprendere 3 Pianificare e allineare le iniziative aziendali comunicazione a cascata all interno dell organizzazione partecipazione di tutta l azienda alla Security Scorecard (empowerment) correlazione dei sistemi premianti alla Security Scorecard
Prospettiva Economica Obiettivi Misura Target Actual Iniziativa Riduzione del danno da attacco Costo del rischio/totale investimento Budget allocato/ Benchmark Progetti completati/ progetti avviati <=0,2 >=0,85 >0,85 Prevenzione degli eventi inaspettati Proteggere la conoscenza Sicurezza come leva competitiva Rischi mitigati/totale rischi possibili Processi protetti/totale processi critici costo della protezione/valore delle informazioni Recovery Time Objectives Recovery Point Objectives Applicazioni mission Critical identificate con i loro RTO ESEMPLIFICATIVO BS7799 è un valore? La certificazione di prodotto/sistema èèun valore? >0,85 >0,95 <=0,8 <4h <0,3 >80% >4 >4 >4
Prospettiva Organizzativa Obiettivi Misura Target Actual Iniziativa Compliance dei processi aziendali Nr.. Processi normalizzati/totale Processi Nr. processi documentati/totale processi % % Non conformità procedure >0,9 >0,85 <5% Certificazione Prodotti/Sistemi Gestione della sicurezza Formazione BS7799 >4 Classificazione asset >0,9 Nr prodotti EAL1/Tot prodotti >0,6 Tempo di risposte agli incidenti <4h Nr utenti coinvolti/totale utenti <0,05 Copertura dei processi formalizzati >0,9 Classificazione delle informazioni >0,8 ESEMPLIFICATIVO Nr utenti formati/tot. Utenti Punteggio medio dei training test >0,9 >0,8
Prospettiva Tecnologica Obiettivi Misura Target Actual Iniziativa Diminuzione delle vulnerabilità Controllo periodico Vulnerabilità Sicurezza fisica Gestione Password >4 >4,5 >3,8 Prevenzione Recovery & contingency Automazione Diffusione PKI Innovazione nei tools in uso Patch management Informazione costante Policy Backup DRP HW & SW Maintenance ESEMPLIFICATIVO Nr.. Attività completamente manuali/totale attività Incident & Responnse Handling >4 >2,8 >4,5 >4,5 >4 >4,4 >3,5 >0,7 >3,5
Prospettiva Culturale Obiettivi Misura Target Actual Iniziativa Affidabilità del personale Questionario ad hoc >4 Senso di appartenenza / Motivazione Consapevolezza security policy Consapevolezza del rischio Questionario ad hoc >4 Questionario ad hoc >4 ESEMPLIFICATIVO Questionario ad hoc >4
GAP Analisys GOALS es. Prospettiva culturale AFFIDABILITA DEL PERSONALE APPARTENENZA / MOTIVAZIONE CONSAPEVOLEZZA SECURITY POLICY CONSAPEVOLEZZA DEL RISCHIO Legenda: = AS-IS = TO-BE = GAP 1 2 3 4 5 CRITICAL AREA MEASURES TARGET AREA
Progetto delle iniziative es. Prospettiva culturale Obiettivi Misura Target Actual Iniziativa Affidabilità del personale Questionario ad hoc >4 4,25 Nessuna azione Senso di apartenenza/ motivazione Questionario ad hoc >=4 2,75 Evento interno meccanismi premianti coaching Consapevolezza security policy Consapevolezza del rischio Questionario ad hoc >=4 Questionario ad hoc >=4 1,25 O,75 Progetto e-learning Formazione in aula Newsletter Seminari ad hoc sensibilizzazione
Gestione del cambiamento Prospettiva Culturale Quanto siamo consapevoli delle minacce? MASTER PAN AZIONI INIZIATIVE COMUNICAZIONE FEED-BACK Prospettiva Culturale Quanto siamo consapevoli delle Prospettiva Economica minacce? Quanto costano i rischi a cui siamo esposti? Sicurezza Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? Prospettiva Culturale Quanto siamo consapevoli delle Prospettiva Economicaminacce? Quanto costano i rischi a cui siamo esposti? Sicurezza Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? Prospettiva Economica Quanto costano i rischi a cui siamo esposti? Sicurezza Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? Prospettiva Culturale Quanto siamo consapevoli delle minacce? Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? Prospettiva Economica Quanto costano i rischi a cui siamo esposti? Sicurezza Prospettiva Tecnologica Abbiamo gli strumenti adatti per difendere i nostri assets? Prospettiva Organizzativa Siamo strutturati per far fronte alle minacce? Lo stile di cambiamento deve essere allineato alle esigenze della missione aziendale COLLABORATIVO CONSULTIVO DIRETTIVO COERCITIVO Attraverso un approccio a stadi è possibile pianificare un progressivo allineamento dell organizzazione verso gli obiettivi strategici che si è data in termini di sicurezza. Utilizzando la Security Scorecard siamo in grado di promuovere un evoluzione bilanciata dei diversi fattori
Fattori Critici di Successo della Security Scorecard Commitment della Direzione Comunicazione Se la scorecard si ferma al Top Management e non trova la sua strada verso i bassi livelli dell organizzazione, il suo potenziale come tool di creazione del valore non sarà mai pienamente realizzato Robert Kaplan Revisione periodica della Scorecard e dei suoi indicatori di performance da parte della Direzione Chiara definizione delle responsabilità di alimentazione della Scorecard Divulgazione periodica dei risultati ottenuti
PROGE-SOFTWARE The turn-key partner La via più breve e sicura dal concetto alla realizzazione Proge-Software c/o Microsoft Padiglione 23-ForumPA pmadotto@progesoftware.it cell.. 340/7930639 Tel. 06/5042621