Ing. Natale Prampolini

Похожие документы
La legge 262/05 e le sue implicazioni

FORMAZIONE AIEA. Milano, Novembre w w w. a i e a - f o r m a z i o n e. i t

AXXEA INNOVATION, TECHNOLOGY & BUSINESS

Aspetti evolutivi dei sistemi di controllo: l'esperienza di BancoPosta e Poste Italiane

Università degli Studi di Perugia

Principali certificazioni e corsi

Europass Curriculum Vitae

Il Modello di organizzazione, gestione e controllo del CEI Comitato Elettrotecnico Italiano

Università degli Studi di Perugia

Coordinamento organizzativo nazionale dei Manager didattici per la qualità

Studio Guggino e Newtonpartner S.r.l. un team di professionisti al servizio della Vostra Azienda

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

GDPR: NUOVA PRIVACY LA CONFORMITÀ SU MISURA. Giancarlo Butti - Alberto Piamonte. Prefazione a cura di Maria Roberta Perugini

Third Party Assurance Reporting

La formazione delle nuove professionalità nel mercato liberalizzato del gas

INNOVĀRĒ. Centro di Competenza per un territorio migliore

REPORT COMMERCIALE E DI MARKETING. Istruzioni per l uso

Revisione delle norme ISO 9001:2015 e ISO 14001:2015

Associazione Italiana Information Systems Auditors

UNA SOCIETÀ & UN NETWORK DI PROFESSIONISTI QUALIFICATI PER LE SCELTE STRATEGICHE DELL IMPRESA

ITIL TRAINING. Atlas Reply ha preso parte al progetto pilota dei primi esami di ITIL Foundation V3 in italiano. Reply

_consulting. Stategy Management System

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Il progetto U-GOV Contabilità al Politecnico di Torino. Approccio e pianificazione, fattori di complessità e punti di attenzione

Modello organizzativo staff direzione strategica. Modena, 29 gennaio 2016

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

L evoluzione della Compliance in AXA Assicurazioni

Avviso 1/2016 Fondimpresa

LA FUNZIONE COMPLIANCE DI UNICREDIT

L organizzazione del servizio di internal audit in una banca di credito cooperativo

Risk Governance: disegno e funzionamento

Convegno ABI - Roma, Palazzo Altieri - 11 e 12 novembre Disegno e integrazione dei processi di acquisto e logistica. Guido Morisco Wind

La pianificazione degli interventi ICT e il governo degli investimenti e costi ICT nel Gruppo MPS

Il D.Lgs. 231/2001 e l esperienza di Confindustria Bergamo. Stefano Lania Servizio Fiscale e Societario 13 Novembre 2013

Il progetto Portale della sicurezza nei sistemi informativi

IL REFERENTE INTERNO PER LA FUNZIONE INTERNAL AUDITING - LINK AUDITOR

Percorso di Alta Formazione «DIGITAL MANAGEMENT & BIG DATA NELLE ISTITUZIONI FINANZIARIE» Kick off 10 giugno 2016

Corso destinato agli Incaricati per i Sistemi di Gestione Ambientale UNI EN ISO 14001:2004 PROGRAMMA DEL CORSO 24 ORE

Responsible Building. Network regionale per la promozione dell edilizia sostenibile in Lombardia. Milano, 13 dicembre 2012

DATI PERSONALI LA SCUOLA IN GENERALE. 3. Pensi che la scuola offra delle possibilità per realizzare il tuo futuro? Sì No In parte

STRUMENTI PER COMPETERE: IL DISCIPLINARE TECNICO CERTIFICATO LINEE GUIDA

COMPLIANCE PENALE Adozione ed Aggiornamento del Modello 231 Approccio Operativo

INTERNAL AUDIT. Giorgio Ventura CETIF, 22 giugno 2004

La compliance integrata per la governance d impresa

La Piattaforma 4.0. Le Soluzioni innovative per i processi di business

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

Modello Organizzativo D.Lgs 231/01. di Poste Italiane

20th Annual Global CEO Survey Italia. Prepare Your Team: temi di riflessione per la crescita in un futuro «digitale»

Servizi Tecnici nel settore

Lo Stato Innovatore : il ruolo delle aziende pubbliche e di Consip nella trasformazione digitale

«Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza»

Pubblica Amministrazione

Cloud e PMI. Qualche esempio di applicazione tra proposta cloud ideale e realtà delle PMI italiane. Lomazzo, 5 Novembre 2015

Il Cambiamento e l Innovazione nella Professione: il Controllo Direzionale

Catalogo Offerta Formativa

L'agenda digitale: politiche e strategie

New Company Profile di KINEX

Il CFO MANAGER GUIDA NEL PROCESSO DI CREAZIONE DEL VALORE

La certificazione di 3^ parte dei Sistemi di Gestione Stefano PROCOPIO

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Iniziativa: "Sessione di Studio" a Milano

Il CSI Piemonte ed il riuso tra enti della pubblica amministrazione

I trend in atto e l evoluzione della previdenza privata. Rafforzare l eccellenza operativa delle Casse di Previdenza

Amministrazione, Finanza e Marketing Relazioni internazionali per il Marketing e Sistemi informativi

Corso di qualifica per Auditor 231, componente OdV 231 ed Specialista 231

Транскрипт:

A Consultant Survival Guide, dalla Corporate alla PMI: come fare valutazioni, assessment, auditing, certificazioni, progetti e raccontarlo. Ing. Natale Prampolini LA ISO27001, CISA, CISM Business & Technology Adviser Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 1

A Consultant Survival Guide, dalla Corporate alla PMI: come fare valutazioni, assessment, auditing, certificazioni, progetti e raccontarlo. Come affrontare la valutazione complessiva dell'it aziendale: le tre domande chiave. L'esperienza di circa 192 tra offerte, progetti, risposte a bandi di gara, assessment, valutazioni e certificazioni, tra PA, Telco, Finance, PMI e System Integrators negli ultimi 4 anni. Viene sempre più richiesto di fare valutazioni sui servizi IT di aziende in tempi brevissimi, e valutare costi di progetti e produrre offerte in tempi ancora più brevi. Quali sono i livelli di maturità IT dei settori industriali. Come utilizzare ISO27001, CobiT, Sarbanes-Oxley, ITIL, e il resto della banda. Consigli pratici dal campo: cosa fare e soprattutto cosa non fare. Il mio metodo di "rating" IT: le tre domande. Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 2

A Consultant Survival Guide, dalla Corporate alla PMI: come fare valutazioni, assessment, auditing, certificazioni, progetti e raccontarlo. Ogni cosa va vista nel suo ambiente Albert Einstein disse alla sua segretaria: Queste sono le nuove prove d'esame. La segretaria: Herr professor, sono le stesse dell'anno scorso. Albert Einstein Ma io mi aspetto risposte diverse. Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 3

I mercati e i tipi di interventi P.A.C. e P.A.L.: 98 risposte a Bandi di gara Progetti HW e SW Poco tempo, forte accento su: Costi Aspetti tecnici Tempi: impegno: da 2 a 200 gg/uomo calendario: da 2 a 60 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 4

I mercati e i tipi di interventi D.Lgs 196/03: Protezione dei dati personali 11 DPS + consulenza Aziende Sanitarie, PMI, Servizi, Finanza Redazione e adempimenti, Gap analysis, Ipotesi di adeguamento, Formazione Tempi: impegno: da 20 a 50 gg/uomo calendario: da 2 a 120 giorni Forti problematiche organizzative Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 5

I mercati e i tipi di interventi 14 IT General Control Supporto alla certificazione di bilancio PMI, Finanziarie Verifica affidabilità Sistemi Informativi Tempi: impegno: da 2 a 3 gg/uomo calendario: da 2 a 5 giorni Poco tempo, intervento mirato Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 6

I mercati e i tipi di interventi Sicurezza delle informazioni 1BS7799, 4 ISO27001, 2 Assessment (CobiT), 2 Risk A&M, 1 Incident Mngmt, 53 PdSA, 1 Log Analysis, 1 linee guida per e-goverment, 2 I&AM Aziende Finanziarie, Telecomunicazioni, Centri Servizi, Trasporti, PAC, PMI Consulenza alla certificazione, redazione documentale e procedurale, Gap analysis. Tempi: impegno: da 20 a 200 gg/uomo calendario: da 20 a 120 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 7

I mercati e i tipi di interventi 2 Assessment ITIL, v.2 Aziende Finanziarie, Telecomunicazioni, Verifica processi, redazione documentale e procedurale, Gap analysis. Tempi: impegno: da 20 a 200 gg/uomo calendario: da 20 a 120 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 8

I mercati e i tipi di interventi 1 Verifica Sarbanes Oaxley Act Sezione 404 Azienda Finanziaria Verifica processi, redazione documentale e procedurale, Gap analysis su 29 applicazioni Tempi: impegno: 300 gg/uomo calendario: 90 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 9

I mercati e i tipi di interventi Progettazione e redazione corsi di sicurezza delle informazioni P.A.C 76 ore, 1520 slide Tempi: impegno: 120 gg/uomo calendario: 90 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 10

I mercati e i tipi di interventi Progettazione nuovo sistema informativo P.A.C Tempi: impegno: 270 gg/uomo Calendario: 270 giorni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 11

Obiettivi e vincoli Tempi ristretti Costi molto contenuti Buona (alta...) qualità Poco invasivo Realizzabile Adatto alla situazione/azienda specifica Generalizzabile / in linea con il settore di mercato... Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 12

Diversi Mercati: diverso approccio FINANZA: conservativo 24x7 Business Critical, quasi Mission Critical TELCO: tecnologico 24x7 Mission Critical GOVERNO: paziente 24x7 ideale per i cittadini, 20x6 sufficiente GRANDI IMPRESE: pianificazione B2B Business Critical, 23x7? MEDIA, T&T, Utilities: il Mercato decide 24x7 Business Critical, Mission Critical PMI: prudenti 23x7 va bene SOHO: è presto... No One Size Fits All No Silver Bullet Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 13

FINANZA (1/2) Leggi specifiche: ad esempio Basilea II, controlli ABI, BI, oppure ISVAP e ANIA, CONSOB. Qualche certificazione ISO27001 su base volontaria (5 delle 52 in Italia) Qualche SOX, perchè acquisite da Banche o Assicurazioni straniere Qualche ITIL, perchè acquisite da Banche o Assicurazioni straniere Qualche CobiT, nei confronti dei Centri Servizi che forniscono i servizi in Outsourcing Conformità alla Privacy: DPS aggiornato Business Continuity: lavori in corso Molti IT internal Audit nelle organizzazioni più grandi Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 14

FINANZA (2/2) Missione: la gestione del rischio Atteggiamento conservativo Budget IT: medio buono L'auditor, il verificatore è visto come un intruso, che non sa e vuole parlare di cose che non conosce abbastanza Forte attenzione ai processi interni Nei confronti dei clienti, vengono ritenute più importanti le ragioni del marketing che l'attenzione ai rischi tecnologici Importantissimo conoscere bene il settore: Banche, ABI, Banca d'italia, norme, ecc. Capire come muoversi con prudenza Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 15

Telco (1/2) Norme specifiche: ETSI, ITU-T, Varie certificazione ISO27001 su base volontaria (9 delle 52 in Italia) Diffuso utilizzo di ITIL, perchè la gestione della tecnologia ICT deve essere di altissimo livello Conformità alla Privacy: DPS aggiornato, gestione delle intercettazioni Business Continuity: mission critical IT internal Audit e Risk Management Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 16

Telco (2/2) Missione: la gestione delle comunicazioni 24 su 24 ore Atteggiamento tecnologico, innovativo, attento al mercato Budget ICT: alto-altissimo L'auditor, il verificatore è visto quasi come un collega Forte attenzione ai processi cliente: fatturazione. Nei confronti dei clienti, a volte il marketing anticipa la tecnologia Importante conoscere bene i servizi Capire come muoversi con competenza Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 17

Media, T&T, Utilities, Centri Servizi (1/2) Norme specifiche per ogni mercato / settore Varie certificazione ISO27001 su base volontaria (12 delle 52 in Italia) Diffuso utilizzo di ITIL, perchè la gestione della tecnologia ICT deve essere di altissimo livello Conformità alla Privacy: DPS aggiornato, anche per i loro clienti Business Continuity: mission critical IT internal Audit e Risk Management CobiT per gli SLA Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 18

Media, T&T, Utilities, Centri Servizi (2/2) Missione: il servizio al mercato, 24 su 24 ore Atteggiamento tecnologico, innovativo, attento al mercato Budget ICT: alto L'auditor, il verificatore è visto quasi come un collega Forte attenzione ai processi cliente: fatturazione. Ogni settore ha le sue peculiarietà Importante conoscere bene i servizi Capire come muoversi con competenza Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 19

Pubblica Amministrazione (1/2) Norme specifiche: Codice della Amministrazione Digitale (82/2005 e s.m.i.), libro Blu del CNIPA, ecc. E-governement, Cooperazione applicativa, PEC, CIE, CNS, FD. Una certificazione ISO2700: Comune di Segrate Richiesta di conformità UE per un caso, contributi per l'agricoltura Scarso utilizzo di ITIL, tranne casi particolari: Entrate e Difesa Conformità alla Privacy: DPS non aggiornato Business continuity: cos'è? Consapevolezza IT generalmente scarsa. Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 20

Pubblica Amministrazione (2/2) Missione: servizi ai cittadini Atteggiamento iperprotettivo, i dati sono miei (e guai a chi me li tocca) Budget ICT: medio L'auditor, il verificatore è visto come un intruso I processi sono ingessati dalla burocrazia A volte sono così specifici da risultare di fatto unici Capire come muoversi con prudenza per accreditarsi Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 21

Sanità (1/2) Norme specifiche: CEN TC251, UNI U72, ISO TC215, ANSI-HL7, ANSIIEEE, ANSI-ASTM DPS, Privacy e dati sensibili: argomento molto delicato No certificazioni ISO27001. Scarso utilizzo di ITIL, tranne casi particolari Business Continuity: se c'è il pronto soccorso... Consapevolezza IT generalmente scarsa Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 22

Sanità (2/2) Missione: servizi ai cittadini, salvare la vita Molta attenzione da parte dei direttori delle UOC (primari) Tecnologia medica sempre più presente Amministrativi meno innovativi Budget IT: medio L'auditor, il verificatore è visto come uno che aggiunge problemi Il passaggio al digitale è appena iniziato: la cartella unica è un obiettivo futuro. Capire come muoversi e non stupirsi (Le piscine) Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 23

Piccole e Medie Imprese (1/3) Norme specifiche per settore Qualche certificazione ISO27001 su base volontaria (18 delle 52 in Italia) Qualche SOX, perchè acquisite da Aziende straniere Qualche ITIL, perchè acquisite da Aziende straniere Conformità alla Privacy: DPS abbastanza aggiornato Business Continuity: a seguito della produzione IT internal Audit nelle organizzazioni più grandi C'è di tutto... Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 24

Piccole e Medie Imprese (2/3) Missione: produrre utili, per gli stakeholder Atteggiamento vario (a volte la IT è considerata un male necessario, come le pulizie e la mensa, figurarsi il controllo sull'it) Budget IT: dipende, da 0,1 % a 5% del fatturato L'auditor, il verificatore è visto inizialmente come un intruso, ma si riesce facilmente ad ottenere la fiducia degli interlocutori Forte attenzione ai processi di produzione e vendita Utile conoscere bene il settore specifico Capire come muoversi con competenza Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 25

Piccole e Medie Imprese (3/3) Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 26

Standard, norme e riferimenti ISO27001:2005 (ex BS7799) 11 Domini, 133 controlli Diffusione scarsa (52 in Italia) Obbligo assente fino ad oggi in Italia, Un caso UE per Organismi Pagatori in Agricoltura Verticale, di processo, molto utile Impegnativo Consulenza, conformità, adeguamento, certificazione Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 27

Standard, norme e riferimenti D.Lgs 196/03, Privacy Allegato B, Misure Minime Si basa sulla ISO27001 29 Controlli Obbligo presente in Italia, ma sottostimato Come le cinture di sicurezza e il casco in moto Consulenza, conformità, adeguamento, formazione Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 28

Standard, norme e riferimenti CobiT 4.1 (era 3.0) IT Governance 4 aree 34 Domini, 360 controlli Diffusione scarsa Obbligo assente fino ad oggi in Italia Un caso UE per Organismi Pagatori in Agricoltura Molto completo, di processo Impegnativo, da ritagliare per adattarsi a obietttivi Consulenza, verifica Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 29

Standard, norme e riferimenti ITIL v.2 Gestione Sistemi Informativi 11 Domini Verticale, pragmatico Diffusione buona nei Data Center Non troppo impegnativo, da ritagliare a piacere Consulenza, verifica ITIL v.3 Il Ciclo di Vita del Servizio Sistemi Informativi 23 Domini Più ampio, meno pragmatico Apena uscito Sembra impegnativo, da ritagliare opportunamente Consulenza, verifica Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 30

Standard, norme e riferimenti Sarbanes Oxley Act BS25999 Business Continuity ISO20000 231 262... Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 31

Cose da fare Prima Prepararsi Conoscere il mercato di riferimento Conoscere l'azienda, navigare sul sito web Sentire i colleghi Durante Chiedere con gentilezza Cercare di capire, coinvolgere Dare qualche consiglio, aiutare Dopo Verificare, riflettere Ringraziare Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 32

Cose da non fare Durante Insistere Pensare di aver capito tutto Offendersi se non si ottiene risposta Stupirsi troppo Fare l'ispettore Dopo Presentare male i risultati Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 33

Le frasi famose Da noi non è mai successo Se le dessi un milione di Euro, mi farebbe dare un'occhiata alla sua password? Se mi chiede questo, me ne vado Non ne posso più, è il terzo (quarto, quinto) audit in un mese! Bello questo disegno di rete, te lo rimando aggiornato Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 34

Cosa si può fare In 2-3 giorni: Fotografia dei SI, o preparazione per un progetto Se c'è grande collaborazione da parte del cliente Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 35

Cosa si può fare In 20-50 giorni: Assessment, conformità, Gap Analysis, Risk Analysis, BIA Solo per servizi verticali, per settori o per aziende medio piccole Se c'è grande collaborazione da parte del cliente e supporto dalla direzione Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 36

Cosa si può fare In 200-600 giorni: Assessment, conformità, Gap Analysis, Risk Analysis, BIA, progetti specifici, ecc. Processo completo, per settori o anche per aziende di rilevante dimensione Se c'è grande collaborazione da parte del cliente e supporto dalla direzione Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 37

IT Governance: le cinque aree e le tre domande Allineamento strategico Produzione del valore Gestione del rischio Gestione delle risorse Misura delle prestazioni Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 38

IT Governance: le cinque aree e le tre domande. ll rating dell'elefante Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 39

Grazie, zio Albert! prampolini@ordine.ingegneri.vi.it Natale Prampolini AIEA Milano 12-12-07 A Consultant Survival Guide 40

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back