Information technology e sicurezza aziendale. Como, 22 Novembre 2013



Documenti analoghi
XXVII Convegno Nazionale AIEA

ISACA VENICE MEETING 2014

Politica per la Sicurezza

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Policy sulla Gestione delle Informazioni

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

ITIL. Introduzione. Mariosa Pietro

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

La certificazione CISM

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Direzione Centrale Sistemi Informativi

NORMATIVA SULLA VIDEOSORVEGLIANZA

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

Sicurezza, Rischio e Business Continuity Quali sinergie?

ƒ Gli standard e la gestione documentale

1- Corso di IT Strategy

Cloud Service Broker

Progetto di Information Security

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Credex LA PIATTAFORMA PER LA GESTIONE DELLA CATENA ESTESA DEL VALORE DEL RECUPERO CREDITI. ABI Consumer Credit Roma, 27 marzo 2003

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

Fatturazione elettronica adempimento degli obblighi fiscali e tenuta delle scritture contabili mediante strumenti digitali

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Sicurezza informatica in azienda: solo un problema di costi?

Studio Informatica Forense e sicurezza Informatica

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

Policy La sostenibilità

SOGEI E L AGENZIA DEL TERRITORIO

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Soluzioni di business per le imprese

12.1) Metodi e tecniche di valutazione delle politiche pubbliche nella dimensione locale (rif. Paragrafo n.12 del Piano formativo Argomento n.

TAURUS INFORMATICA S.R.L. Area Consulenza

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

Dott. Alessandro Rodolfi. Università degli Studi di Milano

Vision strategica della BCM

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

L importanza di una corretta impostazione delle politiche di sicurezza

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Performance Management

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Software libero e riuso in un sistema di gestione documentale

Associazione Italiana Information Systems Auditors

Esternalizzazione della Funzione Compliance

Information Systems Audit and Control Association

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

e dei costi della logistica, su sportelli, filiali e uffici di direzione.

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

L amministratore di sistema. di Michele Iaselli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

L IT a supporto della condivisione della conoscenza

Sistemi informativi aziendali struttura e processi

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE

Fattura Elettronica. Verso l amministrazione digitale, in tutta sicurezza.

MASTER di I Livello AMMINISTRATORE DI SISTEMA IN AMBITO SANITARIO. 5ª EDIZIONE 1500 ore 60 CFU Anno Accademico 2014/2015 MA311

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

La reingegnerizzazione dei processi nella Pubblica Amministrazione

ENTERPRISE RISK MANAGEMENT IL PUNTO DI VISTA DI SAS

Documento informatico e firme elettroniche

PARTE SPECIALE Sezione II. Reati informatici

Il Sistema di Monitoraggio dell Agenzia delle Entrate

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

IL SISTEMA DI DELEGHE E PROCURE una tutela per la società e i suoi amministratori. Milano 18 novembre A cura di: Luca Ghisletti

Audit & Sicurezza Informatica. Linee di servizio

BUSINESS SOLUTION FOR BUSINESS PEOPLE

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

5.1.1 Politica per la sicurezza delle informazioni

L internal auditing nell Agenzia delle Entrate: una realtà in evoluzione. Dott. Salvatore Di Giugno Direttore Centrale Audit e Sicurezza

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

Softlab S.p.A. Company Profile

Il Sistema Integrato di Gestione della Conoscenza dell Agenzia

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Orientamenti sulla valutazione ex ante dei Programmi Il sistema di indicatori nella programmazione

La nuova logica di realizzazione dei progetti. Fabio Girotto Regione Lombardia

Dai sistemi documentari al knowledge management: un'opportunità per la pubblica amministrazione

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

PDF created with FinePrint pdffactory trial version CLAUDIO BACCHIERI AEM S.p.A. - Milano

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

Transcript:

Information technology e sicurezza aziendale Como, 22 Novembre 2013

Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1

D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste dal D.Lgs. 231/01, con particolare riferimento ai crimini informatici e i reati in materia di violazione di diritti d autore hanno un riflesso sui processi aziendali di gestione dei dati. FATTISPECIE DI REATO (Principali) Falsità in un documento informatico pubblico o privato. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici. Danneggiamento di informazioni, dati e programmi informatici. Danneggiamento di sistemi informatici o telematici. Frode informatica. Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati. EFFETTI SULLA GESTIONE DEI DATI Implementazione di controlli di sicurezza per l integrità, confidenzialità e disponibilità di dati, informazioni e documenti informatici aventi efficacia probatoria. Definizione di modelli di Segregation of Duties e politiche di controllo degli accessi logici e fisici alle informazioni. Implementazione di meccanismi di preservazione dei log degli eventi e degli accessi di sistema. Adozione di sistemi di backup, di continuità e di adeguate politiche di recovery. Definizione di politiche di controllo sull operato degli outsourcer e assessment dei rischi derivanti dall outsourcing di dati e servizi. 2

Governo della Sicurezza Misure e controlli Nell ambito della definizione dei presidi a copertura dei rischi legati ai reati 231, intervengono misure e controlli appartenenti all ambito della sicurezza informatica. Mitigazione dei rischi Un approccio adeguato al tema della Security Governance diventa necessario al fine di mitigare rischi in grado di consentire la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale. Security Risk Process Data Governo delle informazioni In tale contesto un modello strutturato di Governo delle Informazioni rappresenta l approccio per la gestione e il presidio integrato di tali rischi. 3

Data Governance SECURITY GOVERNANCE Obiettivi ALLINEAMENTO TRA BUSINESS E SECURITY Garantire l allineamento delle soluzioni di sicurezza agli obiettivi di business dell azienda Security Governance DATA SECURITY GOVERNANCE SICUREZZA OPERATIVA Supportare i processi di business attraverso l adozione di standard ed infrastrutture di sicurezza in linea con i requisiti di compliance Risk Management IT Risks Data Governance IT Security IT Governance INFORMATION SECURITY MISURABILITÀ DELLE PERFORMANCE Conseguire benefici tangibili e misurabili dagli investimenti in sicurezza mediante la supervisione trasversale all azienda delle iniziative intraprese Laws & regulations Compliance 4

Data Governance Information Life Cycle La Data Governance richiede: l adozione di un programma che supporti l Azienda nella gestione delle diverse tipologie di informazioni durante il loro intero ciclo di vita, considerando i diversi aspetti inerenti a ciascuna fase. Maintain / Retain Dispose Information Life Cycle Use / Retrieve Create / Receive Distribute CREATE / RECEIVE DISTRIBUTE Creazione da parte del personale aziendale Creazione da parte di Terze Parti Creazione da parte di sistemi e di applicazioni Classificazione delle informazioni Privilegi di accesso Luoghi di archiviazione Acquisizione mediante attività di M&A Acquisizione previo NDA o licenza Digital Rights Management Modalità di trasmissione / comunicazione USE / RETRIEVE Autenticazione utenti Uso probatorio durante procedimenti legali Accesso/utilizzo limitato a determinati dispositivi e Condivisione con Terze Parti in determinati siti Mantenimento della qualità/integrità MAINTAIN / RETAIN DISPOSE Requisiti di conservazione Strategie di archiviazione/storicizzazione Garanzia della disponibilità Analisi costi-benefici del mantenimento/ cancellazione delle informazioni Gestione dei supporti di memorizzazione Capitalizzazione del valore delle informazioni per l Azienda Procedure di cancellazione sicure e nel rispetto della compliance 5

Data Governance Indicatori di esigenza La Data Governance è l insieme di processi e di strumenti tesi a garantire l efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Indicatori di esigenza di un programma di Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l adempimento degli obblighi di compliance Dispose Create / Receive Identificazione di criticità o di rischi nell accesso, nella conservazione e nel trattamento delle informazioni Maintain / Retain Information Life Cycle Use / Retrieve Security Policy & Process Refinement Distribute Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all infrastruttura per il monitoraggio e per il controllo dell accesso alle informazioni (staffing, strumenti, etc.) 6

Data Governance Benefici Molteplici sono i benefici derivanti dalla adozione di un framework di Data Governance e dall implementazione di un processo di Classificazione delle Informazioni aziendali. Riduzione dei rischi di compromissione del patrimonio informativo Pianificazione strutturata di interventi migliorativi sui processi e sull infrastruttura informatica Consapevolezza del personale circa il livello di sensibilità delle informazioni e delle procedure da adottare per la loro tutela Riduzione dei costi di gestione delle informazioni non business - critical e dei costi derivanti da procedimenti sanzionatori Incremento della conoscenza e del controllo sul patrimonio informativo 7

Enrico Ferretti Andrea Gaglietto Via Tirso, 26-00198 Roma Direct: +39 06 420498202 Mobile: +39 346 7981427 enrico.ferretti@protiviti.it www.protiviti.it Via Tiziano, 32-20145 Milano Direct: +39 02 6550 6301 Mobile: +39 345 2517411 andrea.gaglietto@protiviti.it www.protiviti.it Powerful Insights. Proven Delivery.TM Powerful Insights. Proven Delivery.TM Daniele Pasini Via Tiziano, 32-20145 Milano Direct: +39 02 6550 6301 Mobile: +39 349 2646177 daniele.pasini@protiviti.it www.protiviti.it Powerful Insights. Proven Delivery.TM

9

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back