IDENTITY & ACCESS GOVERNANCE



Documenti analoghi
1- Corso di IT Strategy

MANUALE DELLA QUALITÀ Pag. 1 di 6

IL SISTEMA DI DELEGHE E PROCURE una tutela per la società e i suoi amministratori. Milano 18 novembre A cura di: Luca Ghisletti

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

AREA MODELLI ORGANIZZATIVI

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Export Development Export Development

Identità ed Accessi Logici un nuovo modello di governo

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

SISTEMA DI CONTROLLO INTERNO per la gestione del rischio amministrativo-contabile

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Corso di Amministrazione di Sistema Parte I ITIL 1

REALIZZARE UN BUSINESS PLAN

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Politica per la Sicurezza

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

PROFILO AZIENDALE 2011

REGOLAMENTO CONTENENTE I CRITERI PER L EROGAZIONE DEI PREMI DI RISULTATO AL PERSONALE DIPENDENTE

Comune di San Martino Buon Albergo

Credex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit Roma, 27 marzo 2003

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Modello dei controlli di secondo e terzo livello

ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI DI BASSANO DEL GRAPPA

DELIBERAZIONE N. 30/7 DEL

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

1. ORGANIZZAZIONE E FUNZIONI DELLA SOCIETÀ AMBITO NORMATIVO... IL PROGRAMMA TRIENNALE PER LA TRASPARENZA E LA PUBBLICITA

Compliance Sistema di Governo Il Sistema di Compliance di SIA

Sicurezza, Rischio e Business Continuity Quali sinergie?

Le fattispecie di riuso

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

I dati in cassaforte 1

1 La politica aziendale

L IT Governance e la gestione del rischio

Milano, 21 marzo Azioni ambientali di UBI BANCA e CDP

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

NuMa Nuove Manutenzioni. Web Application per la Gestione dell Iter di Manutenzione degli Edifici e del Territorio

Il modello di ottimizzazione SAM

MANDATO INTERNAL AUDIT

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

L uso della Balanced Scorecard nel processo di Business Planning

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

Sistemi per la Sicurezza Consulenza. Sicurezza Analisi Consulenza. La La Sicurezza non è un gioco. non è un gioco

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

IL SISTEMA DI CONTROLLO INTERNO

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

Il CRM per la Gestione del Servizio Clienti

Piano di Sviluppo Competenze

Rispettare la normativa sulla sicurezza è

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona

Accogliere e trattenere i volontari in associazione. Daniela Caretto Lecce, aprile

CERTIFICAZIONE ISO 14001

INDICAZIONI GENERALI


LA TEMATICA. Questa situazione si traduce facilmente:

Obiettivi generali del revisore

BS OHSAS 18001:2007 OHSAS Revisione marzo Sara Zullo (Firma) Preparato da

UNA CONCRETA OPPORTUNITA DI BUSINESS O L APERTURA AL CAOS?

Automazione Industriale (scheduling+mms) scheduling+mms.

MANDATO DI AUDIT DI GRUPPO


INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

ISO 9001:2015 e ISO 14001:2015

La Guida per l Organizzazione degli Studi professionali

Light CRM. Documento Tecnico. Descrizione delle funzionalità del servizio

Settembre MiFID II. I servizi di comunicazione dati: APA, ARM e CTP

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

Welcome Banche e sicurezza 2006 Roma, 6 giugno Information Asset Management. Andrea Foschi. Copyright 2006 COMPLETENCE by CRIF e IMPERIALI

LEAD GENERATION PROGRAM

POLITICA DI COESIONE

Audit & Sicurezza Informatica. Linee di servizio

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013

CODICE ETICO Approvato dai membri del CDA a ottobre 2011

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA

Project Cycle Management

ECONOMIA E LEGISLAZIONE ANTIRICICLAGGIO. In sigla Master 42

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

STRATEGIA DI ESECUZIONE E TRASMISSIONE DEGLI ORDINI

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Software per Helpdesk

MILANO TORINO GENOVA

ALF0021M MANUALE UTENTE MODULO "SETUP"

XXVII Convegno Nazionale AIEA

Trasparenza e Tracciabilità

PO 01 Rev. 0. Azienda S.p.A.

Strategia di classificazione della clientela relativamente ai servizi d investimento offerti dalla Banca Nazionale del Lavoro SpA

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

4.2 Ri.Ba Rivisitazione dell impianto delle Ri.Ba. e degli accordi interbancari

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

Transcript:

IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione di Net Studio

Introduzione Il contesto normativo italiano è diventato negli ultimi anni sempre più complesso e articolato. I requisiti normativi a cui le aziende devono rispondere sono aumentati a seguito dell entrata in vigore di nuove leggi quali la Legge sulla Tutela del Risparmio e Corporate Governance (D.Lgs 262/05), il decreto sui c.d. reati informatici (art. 24 bis del D.Lgs 231/01), ecc. In un tale scenario le aziende hanno incontrato numerose difficoltà a districarsi fra i diversi requisiti, anche perché ormai essi abbracciano tutte le funzioni aziendali: dal finance, al business, alle risorse umane fino all IT. Proprio l IT sta acquisendo una sempre maggiore importanza e attenzione da un punto di vista normativo per via degli elevati rischi connessi a tale funzione e della loro pervasività nei processi aziendali. La compliance IT sta diventando un vero elemento chiave nel processo generale di conformità aziendale e deve essere pertanto approcciata con strumenti e tecniche adeguate. Uno degli errori che le aziende poco accorte commettono è quello di considerare la compliance come un mero costo di adeguamento. Se ben gestita, rappresenta invece un opportunità per l azienda di creare valore aggiunto. Da un punto di vista IT, ad esempio, l essere conformi alle normative di riferimento porta una serie di benefici per l azienda che spaziano dal risk management, alla sicurezza delle informazioni sino alla semplificazione per l'utente finale nell'utilizzo delle applicazioni informatiche. Ancora una volta però tutto dipende in larga parte dall approccio adottato e dall efficacia ed efficienza degli strumenti e delle misure che vengono utilizzate per adempiere ai vincoli normativi. Il presente documento evidenzia come l uso di certe tecnologie rappresentino la soluzione che consente alle aziende di adeguarsi alle diverse normative in modo semplice ed efficiente. Il requisito fondamentale è che queste vengano applicate da chi combina le competenze sulle normative a quelle sulle tecnologie più variegate sulle quali si basano le informazioni, oggi contenute in massima parte dal supporto informatico.

A quali normative è importante fare attenzione? La tecnologia consente oggi di implementare i controlli richiesti dalla maggior parte delle normative di riferimento nel contesto italiano e di facilitare di conseguenza il raggiungimento dei requisiti di conformità. Per comprendere appieno i benefici e le potenzialità delle soluzioni tecnologiche più avanzate può essere utile analizzare in dettaglio qualche esempio. D.Leg 231/01 Con l inserimento dell art. 24 bis all interno del D.Lgs. 231/01, il perimetro dei reati presupposto della responsabilità amministrativa è stato esteso in via generale ai reati informatici. L azienda non può più discolparsi con l attestazione della propria ignoranza di tali comportamenti: la criminalità informatica, laddove commessa a vantaggio o nell'interesse dell'organizzazione, diventa perseguibile anche come criminalità d'impresa. Di fronte al mutato scenario normativo, l azienda deve monitorare l intero flusso comunicativo e informativo di tutta la struttura aziendale, tenendo conto delle informazioni e dei documenti, sia in fase di ingresso che di uscita. L azienda deve quindi studiare strategie preventive e predisporre idonee misure di sicurezza e di controllo che siano: idonee ad impedire la commissione di reati informatici al suo interno; in grado di escludere la responsabilità dell azienda nelle ipotesi in cui le misure adottate non siano state in grado di evitare la commissione dei reati (occorre dimostrare che si è fatto tutto ciò che era possibile per impedire la commissione di un reato informatico nel contesto aziendale). D.Leg 262/05 Il D.Lgs 262/05, la cosiddetta Legge sulla Tutela del Risparmio e Corporate Governance, richiede, fra le altre, la predisposizione di adeguate procedure amministrative e contabili per la formazione del bilancio d esercizio. Non si può quindi prescindere dalla definizione di un sistema dicontrollo interno per assicurare l affidabilità del processo di redazione del bilancio di esercizio. Sarbanes Oxley Act, J-SOX, Basilea II, Solvency II L implementazione di un sistema di controllo IT con riferimento al processo di financial reporting è uno dei requisiti chiave anche di altre normative estere a cui numerose realtà che operano in Italia devono però aderire in quanto controllate di gruppi stranieri. Esempi in tal senso sono dati dal Sarbanes Oxley Act, per le società quotate in US, o la J- SOX, per le società quotate in Giappone. Analogamente a quanto visto per il D.Lgs 262/05, Identity and Access Governance di Novell può essere lo strumento ideale per definire tutti i controlli necessari per assicurare l efficacia del processo di financial reporting. In ambito finanziario con l introduzione di Basilea II le tematiche del Risk Management, Corporate Governance e Compliance hanno acquisito una sempre maggiore importanza. Le banche e gli intermediari finanziari cui la disciplina è applicabile devono prestare particolare attenzione alla gestione dei rischi che interessano le aree di business (rischi di credito, rischio di mercato, rischio operativo, rischi tassi di interesse, ecc.).

Nell ambito del complessivo sistema di gestione dei rischi che le banche sono chiamate a definire, particolare rilevanza assume il governo dei rischi operativi in virtù della loro pervasività su tutte le aree aziendali. In particolare, è richiesta l adozione di un adeguato framework di gestione dei rischi operativi che consenta di prevenire eventuali errori nell operatività generale. Con riferimento al settore assicurativo Solvency II, analogamente a quanto fatto da Basilea II per le banche, definisce un nuovo regime di solvibilità che conferisce, rispetto al regime vigente, maggiore enfasi alla qualità della gestione dei rischi e alla solidità del sistema di controllo interno D.Leg 196/03 Il D.Lgs 196/03 (Codice sulla Privacy) è forse la normativa in cui sono presenti in modo più esplicito le misure di sicurezza tecniche e organizzative per la protezione dei dati personali sensibili e giudiziari quali la presenza di tecniche di autenticazione e autorizzazione, i vincoli sulla password, ecc. PCI DSS Il PCI DSS (Payment Card Industry Data Security Standard ), lo standard promosso dai principali brand di carte di credito quali VISA, Mastercard, American Express ecc., richiede alla aziende che trattano dati di carte di credito l esecuzione di una serie di procedure e controlli finalizzati a proteggere i dati delle carte. Trattandosi, a differenza degli altri, di uno standard con requisiti molto puntuali e stringenti è fondamentale approcciare alla compliance con gli strumenti e i metodi adeguati altrimenti si corre il rischio di avere un costo di conformità che aumenta esponenzialmente con il passare del tempo. Altre leggi d interesse Oltre a quelle appena descritte vi sono altre numerose normative o leggi nelle quali la un sistema di Identity and Access Governance può essere d aiuto nel raggiungere la conformità. Ad esempio in ambito assicurativo il Regolamento n.20 dell ISVAP in materia di controlli interni, gestione dei rischi e compliance oppure il Regolamento CONSOB per le società quotate o ancora il Provvedimento di Banca d Italia del 14.04.2005 che regolamenta le attività di gestione del risparmio ecc.

Come ha origine il problema? La tecnologia consente oggi di implementare i controlli richiesti dalla maggior parte delle normative di riferimento nel contesto italiano e di facilitare di conseguenza il raggiungimento dei requisiti di conformità. Per comprendere appieno i benefici e le potenzialità delle soluzioni tecnologiche più avanzate può essere utile analizzare in dettaglio qualche esempio. Diciamolo chiaramente: l informatica ha supportato il decollo dell economia dalla seconda metà del Novecento ai giorni nostri. Purtuttavia ha introdotto alcuni problemi nuovi prima sconosciuti come, ad esempio, una dissimmetria tra chi progetta, realizza o governa lo strumento informatico e chi ne è invece il reale utilizzatore. Nella fattispecie ne deriva che coloro che gestiscono gli account con cui gli utenti si autenticano ai sistemi per accedere alle informazioni di loro pertinenza non sono, di norma, coloro che sono per loro mansione legittimati a stabilire quali sono le informazioni a cui gli utenti possono o devono non accedere. Viceversa, i responsabili del Business di ciascuna organizzazione, ovvero coloro che avrebbero titolo a stabilire che cosa le proprie persone possono o devono accedere, non hanno le competenze tecniche necessarie per definirlo sugli strumenti IT Ecco allora come diventa facile perdere il governo di ciò che viene richiesto da ciascuna delle normative elencate ai punti precedenti, ovvero dimostrare che si ha il controllo di chi può accedere a quali informazioni o operare solo su ciò che è pertinente alla propria mansione :

L indirizzo della soluzione: l Identity and Access Governance Il problema viene comprensibilmente amplificato dal moltiplicarsi dei fattori: Nella prima decade del nuovo millennio si è comunemente creduto che le soluzioni di Identity and Access Management fossero il miglior strumento a disposizione dei Chief Security Office ma, come abbiamo dovuto rilevare dalla nostra decennale esperienza di realizzatori di progetti IAM e come afferma anche Gartner Identity Management è infatti stato concepito come un SW di sincronizzazione di dati utente: tanto utile per gli uomini dell IT che si vedono la vita facilitata nella creazione, rimozione o movimentazione degli account, ma che poco valore aggiunto porta ai Chief Security Officer. E solo in anni recenti che sono quindi state sviluppate applicazioni probabilmente nate come personalizzazioni di qualche Identity Management che affrontano il problema dal punto di vista dei temi di Security ed hanno preso il nome di Access Governance. I SW di Identity and Access Governance NON si preoccupano di creare o cancellare utenze ma di sapere, raccogliendo le informazioni da ciascun applicazione, quali sono le abilitazioni degli utenti e di trasformare gli entitlement tecnici in un linguaggio di Business comprensibile al Management.

I SW di Identity and Access Governance NON si preoccupano di creare o cancellare utenze ma di sapere, raccogliendo le informazioni da ciascun applicazione, quali sono le abilitazioni degli utenti e di trasformare gli entitlement tecnici in un linguaggio di Business comprensibile al Management. Un progetto di Access Governance si articola tipicamente in 4 fasi: Fase I - Visibilità Assessment delle applicazioni e abilitazioni, onde avere visibilità sugli accessi ( chi può fare cosa ); Implementazione di regolari processi di ricertificazione, e monitoraggio dei processi; Fase II - Pulizia e Controllo Implementazione di regolari processi di ricertificazione, e monitoraggio dei processi; Implementazione dei processi di change relativi alla richiesta di abilitazioni aggiuntive; Implementazione dei controlli e dei meccanismi di revoca degli accessi inappropriati; Fase III - Facilitazione del Processo Implementazione di un modello a ruoli per la semplificazione della leggibilità degli accessi e del modello autorizzativo; Fase IV - Gestione richieste Gestione del rischio, definizione delle regole SOD, dei processi di controllo automatico e delle logiche di mitigazione. Potrebbe non essere necessario che un progetto si spinga fino al termine delle 4 fasi. Durante la valutazione iniziale di progetto, avvalendosi di framework metodologici standard, verrà identificato il grado di maturità asis del modello di Governance del Cliente, e valutato il grado di maturità to-be in modo da tracciare la roadmap più appropriata per il suo raggiungimento.

Il sistema di Identity and Access Governance sarà in grado di: Fornire visibilità su chi può fare cosa nelle varie applicazioni in termini di: utenze, account, applicazioni e autorizzazioni (attraverso l acquisizione schedulata dei dati dai vari sistemi); Produrre reportistica (as-is e storica) sulle abilitazioni e le loro variazioni; Offrire uno strumento per gestire il processo di assegnazione e revoca delle aurorizzazioni; Eseguire il discovery dei ruoli sulla base delle autorizzazioni presenti (Role Mining); Definire delle matrici di rischio e fornire l impatto di assegnazioni in conflitto con tale matrice; Innescare meccanismi automatici di change-request a fronte di eventi su: utenti, account e applicazioni. esempio Report di Accounts Orphaned

Contatti Per ulteriori informazioni sul come Net Studio può aiutarvi a risolvere le vostre problematiche di Identity and Access Governance Tel.: +39 0574 514180 E-mail: info@netstudio.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back