Paolo Galdieri. Titolo della presentazione

Documenti analoghi
ICT SECURITY N. 52 Gennaio/Febbraio 2007 Sicurezza informatica e responsabilità amministrativa degli enti. Autore: Daniela Rocca

La responsabilità penale dell amministratore e del legale rappresentante di una società

INCONTRO SUL TEMA: D. LGS. N. 81/2008, ART. 300

D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

PARTE SPECIALE Sezione II. Reati informatici

DECRETO LEGISLATIVO 231/01

Dlgs D.lgs. 231/01. e Modelli di organizzazione, gestione e controllo

DECRETO LEGISLATIVO 8 giugno 2001 n. 231 (pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno 2001)

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

Avv. Carlo Autru Ryolo

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi

Assemblea ASSOCOSTIERI. Roma, 4 Luglio 2012

Decreto legislativo 231/01 e Sistemi di Gestione

Parte speciale Reati informatici

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

Sezione Reati ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

Il Sistema Qualità (ISO 9001:2008) Livello specialistico

Modelli ex d.lgs. 231/01 e Modelli di prevenzione della corruzione ex L. 190/2012. Massimo Malena & Associati 20 maggio 2015

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Il quadro normativo sulla sicurezza informatica

MODELLI DI ORGANIZZAZIONE E GESTIONE

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

FORMAZIONE E DIFFUSIONE. Codice Documento: MOG 231 PFD

Il controllo nell utilizzo delle strumentazioni informatiche e telematiche aziendali da parte dei collaboratori Avv.

Convegno Ecoreati e gestione del rischio aziendale.

Politica per la Sicurezza

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

REV. 2015/00 Pag. 1 di 5

LA RESPONSABILITA DEGLI ENTI E DELLE SOCIETA EX D. LGS. 231/ aprile 2009

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Il decreto 231: quadro di riferimento e guida interpretativa Prima parte

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

COMUNE DI RENATE Provincia di Monza e Brianza

LIBRO SECONDO. Dei delitti in particolare TITOLO III. Dei delitti contro l'amministrazione della giustizia CAPO III

REALIZZAZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA SUL LAVORO: CASTELLO DI CARTE O CASSETTA DEGLI ATTREZZI PER UNA GESTIONE EFFICACE?

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

Comune di Bracciano. Regolamento per la pubblicazione di atti e documenti amministrativi sul sito Internet Istituzionale

LINEE GUIDA PER GLI ORGANISMI DI VIGILANZA

ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE

PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA (Art. 11, D. Lgs. 27 ottobre 2009, nr. 150)

Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica,

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D. LGS. n.231 DEL 2001

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

PRIVACY POLICY DEL SITO WEB

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

TECNOLOGIE DIESEL E SISTEMI FRENANTI S.P.A. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N.

Regolamento attuativo delle linee guida del Garante in tema di utilizzo e controllo degli strumenti elettronici

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Il Decreto Legislativo 231/01: Impatti sulla Governance aziendale

TAURUS INFORMATICA S.R.L. Area Consulenza

REGOLAMENTO DELL ORGANISMO DI VIGILANZA Effetti s.r.l.

Documento in attesa di approvazione definitiva Nota per la Commissione Consultiva Permanente

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs.

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

MANUALE DELLA QUALITÀ Pag. 1 di 6

PRIVACY POLICY SITO INTERNET

Comune di San Martino Buon Albergo Provincia di Verona

ACAM Ambiente S.p.A.

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO

STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008

DELIBERAZIONE N. 30/7 DEL

COMUNE DI FOSSO PROVINCIA DI VENEZIA

PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE E DELL ILLEGALITA

Allegato 3. Indice generale 1. OGGETTO DEL SERVIZIO SVOLGIMENTO DEL SERVIZIO OBBLIGHI DEL BROKER OBBLIGHI DI ANSF...

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

Associazione Comunità IL GABBIANO ONLUS

SISTEMA DI GESTIONE PER LA QUALITA Capitolo 4

Sistema Disciplinare e Sanzionatorio

D.lgs. 231/2001 Modelli di Organizzazione. CONFAPI Bari, 19 novembre 2010

CODICE ETICO Approvato dai membri del CDA a ottobre 2011

UNA (DOVEROSA) PREMESSA: COSA CI FACCIAMOI QUI?

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

MAGGIO 82 cooperativa sociale

REGOLAMENTO ai sensi del PTTI Cap. V.2. ARTICOLO 1 - Definizioni Ai fini del presente Regolamento valgono le seguenti definizioni:

BOLLETTINO UFFICIALE DELLA REGIONE TOSCANA - N. 41 DELIBERAZIONE 22 settembre 2008, n. 721

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

5.1.1 Politica per la sicurezza delle informazioni

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

Protocollo D.Lgs. 231/2001 n. 11. Gestione ed elaborazione della contabilità e del bilancio di esercizio

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

LICENZA D USO di SOFTWARE

DOCUMENTI INFORMATICI, POSTA CERTIFICATA E DEMATERIALIZZAZIONE

Bollettino Ufficiale della Regione Puglia n. 177 del

Benefici della Certificazione Sicurezza OHSAS 18001:2007

Parte Speciale G : I reati transnazionali e di ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita

L amministratore di sistema. di Michele Iaselli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

CIRCOLARE N. 58/E. Direzione Centrale Servizi ai Contribuenti. Roma 17 ottobre 2008

deleghe di responsabilità Roberto Frigerio Presidente Comitato Affari Legali Federchimica

Transcript:

La responsabilità dell azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie Paolo Galdieri

Il reato informatico in azienda ieri Centri di calcolo chiusi Automazione di singole attività Patrimonio aziendale non ancora dematerializzato Insufficienti informazioni sull'entità del fenomeno Ritrosia a denunciare il reato subito

Il reato informatico in azienda oggi Centri di calcolo aperti Automazione di tutte le attività Patrimonio aziendale dematerializzato Legislazione sulla criminalità informatica

Legislazione sulla criminalità informatica Legge 23 dicembre 1993 n. 547 Legge 18 marzo 2008 n. 48 Legge 3 agosto 1998 n. 269 Legge 6 febbraio 2006 n. 38

I costi del reato informatico Risorse informatiche Patrimonio dell'azienda Immagine

Strategie di contrasto Sicurezza Tutela assicurativa Tutela giuridica

Tutela assicurativa (rischi) Attrezzature Dati, archivi, programmi Perdita di attività Responsabilità civile verso terzi Altri danni

Tutela assicurativa Polizza tradizionale Polizza "all risks" per l'informatica Polizza "computer crime"

Tutela giuridica Ricorso all'autorità giudiziaria penale per il reato subito Prevenzione da rischio coinvolgimento penale dell'azienda

Ricorso all'autorità giudiziaria penale per il reato subito Valutazione preliminare dei seguenti elementi: Prove idonee a dimostrare responsabilità autore, danno subito, competenza giurisdizionale; Danno all'immagine conseguente alla pubblicizzazione del procedimento; Tempi del processo penale; Danno effettivamente risarcibile in sede penale

Responsabilità penale dell'azienda per reato commesso dal dipendente Delitti commissivi dolosi Violazione dell'obbligo di impedire l'evento antigiuridico (art. 40) Culpa in eligendo Culpa in vigilando

Responsabilità amministrativa dell'azienda per reato commesso dai vertici o dai dipendenti Legge 18 marzo 2008 n. 48 che ratifica Convenzione di Budapest sulla criminalità informatica Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001) estende la responsabilità amministrativa all azienda per i reati commessi da vertici e dipendenti Art. 240 comma 1 bis c.p. (introdotto dalla Legge n. 12 del 15 febbraio 2012) che prevede la confisca obbligatoria di tutti i beni e strumenti informatici o telematici utilizzati per la commissione della quasi totalità dei reati informatici

I reati informatici previsti oggi dal D. Lgs. 231/2001 Falsità in documenti informatici (art. 491-bis cod. pen.) Es. falsificazione di documenti aziendali oggetto di flussi informatizzati

I reati informatici previsti oggi dal D. Lgs. 231/2001 Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod. pen.) Es. accesso abusivo ai sistemi informatici di proprietà di terzi, per prendere cognizione di dati riservati altrui nell ambito di una negoziazione commerciale

I reati informatici previsti oggi dal D. Lgs. 231/2001 Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater cod. pen.) Es. comunicazione senza autorizzazione a terzi di dispositivi di cui ha legittimamente il possesso Es. dipendente della società che comunichi ad un altro soggetto la password di accesso alle caselle e-mail di un proprio collega, allo scopo di garantirgli la possibilità di controllare le attività svolte

I reati informatici previsti oggi dal D. Lgs. 231/2001 Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies cod. pen.) Es. dipendente che si procuri un Virus idoneo a danneggiare o ad interrompere il funzionamento del sistema informatico aziendale in modo da distruggere documenti sensibili in relazione ad un procedimento penale a carico della società

I reati informatici previsti oggi dal D. Lgs. 231/2001 Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater cod. pen.) Es. dipendente che impedisca una determinata comunicazione in via informatica al fine di evitare che un impresa concorrente trasmetta i dati e/o l offerta per la partecipazione ad una gara

I reati informatici previsti oggi dal D. Lgs. 231/2001 Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617- quinquies cod. pen.) Es. dipendente che si introduca fraudolentemente presso la sede di una potenziale controparte commerciale al fine di installare apparecchiature idonee all intercettazione di comunicazioni informatiche o telematiche rilevanti in relazione ad una futura negoziazione

I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis cod. pen.) Es. l eliminazione o l alterazione dei file o di un programma informatico appena acquistato che siano poste in essere al fine di far venire meno la prova del credito da parte di un fornitore della società

I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter cod. pen.) Es. dipendente che compia atti diretti a distruggere documenti informatici aventi efficacia probatoria registrati presso enti pubblici (es. polizia giudiziaria) relativi ad un procedimento penale a carico della società

I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di sistemi informatici o telematici (art. 635-quater cod. pen.) Es. alterazione dei dati, delle informazioni o dei programmi che renda inservibile o ostacoli gravemente il funzionamento del sistema

I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies cod. pen.) il danneggiamento deve avere ad oggetto un intero sistema e il sistema stesso deve essere utilizzato per il perseguimento di pubblica utilità, indipendentemente dalla proprietà privata o pubblica dello stesso

I reati informatici previsti oggi dal D. Lgs. 231/2001 Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art.640-quinquies c.p.) reato proprio che può essere commesso solo da parte dei certificatori qualificati, o meglio, i soggetti che prestano servizi di certificazione di Firma Elettronica qualificata

I reati informatici già previsti dal D. Lgs. 231/2001 Frode informatica commessa a danno dello stato o di altro ente pubblico (art. 24) Assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione (art. 25 quater) Distribuzione, cessione e detenzione di materiale pedopornografico (art. 25 quinques comma 1 lett. c))

Conseguenze per l azienda Sanzioni pecuniarie Sanzioni interdittive (l'interdizione dall'esercizio dell'attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi) Confisca Pubblicazione della sentenza

Quando l azienda può essere coinvolta Reato commesso nel suo interesse o comunque ne abbia tratto vantaggio Anche nelle ipotesi in cui l'autore del reato non e' stato identificato o non è imputabile

Come evitare un coinvolgimento Esonero responsabilità ex art. 6 se si dimostra che: l organo dirigente dell Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; il compito di vigilare sul funzionamento e l osservanza dei modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo dell Ente dotato di autonomi poteri di iniziativa e controllo;

Come evitare un coinvolgimento le persone che hanno commesso il reato hanno agito eludendo fraudolentemente i suddetti modelli di organizzazione e gestione; non vi sia stata omessa o insufficiente vigilanza da parte dell organismo

Le esigenze che deve soddisfare il modello Individuare le attività nel cui ambito esiste la possibilità che vengano commessi reati previsti dal decreto Prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati

Le esigenze che deve soddisfare il modello Prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza del modello Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel modello

Modello e codice etico Il codice etico rappresenta uno strumento adottato in via autonoma allo scopo di esprimere dei principi di deontologia aziendale e sui quali si richiama l osservanza da parte di tutti i dipendenti Il modello risponde invece a specifiche prescrizioni contenute nel decreto finalizzate a prevenire la commissione di particolari tipologie di reati

I requisiti dei componenti dell organismo di vigilanza Autonomia Indipendenza Professionalità Continuità d azione Onorabilità Assenza di conflitti di interesse

Compiti dell organismo di vigilanza Controllo sull osservanza delle prescrizioni del modello da parte dei destinatari, in relazione alle diverse tipologie di reato contemplate dal decreto Controllo sulla reale efficacia ed effettiva capacità del modello, in relazione alla struttura aziendale, di prevenire la commissione dei reati di cui al decreto Verifica sull opportunità di aggiornamento del modello, in relazione alle mutate condizioni aziendali ed alle novità legislative e regolamentari

Funzioni dell organismo di vigilanza Reporting nei confronti degli organi societari Comunicazione continuativa direttamente con l amministratore delegato Comunicazione su base periodica nei confronti del comitato di controllo interno, del consiglio d amministrazione e del collegio sindacale

Come redigere il modello per i reati informatici Forma Sostanza

Obiettivo Dimostrare di aver fatto tutto il possibile per evitare che venisse commesso un reato informatico

Valutazioni preliminari Coerenza con la parte generale del modello e delle altre parti speciali Analisi della documentazione aziendale con specifico riferimento ai documenti relativi all uso delle tecnologie dell informazione Analisi dell organigramma e valutazione delle competenze formali e di fatto Valutazione delle deleghe

Attività da svolgere e da inserire nel modello Formazione (sensibilizzazione del personale, codice di comportamento informatico i cui principi fondamentali potrebbero essere inseriti nel contratto di lavoro) Organizzazione (affidamento incarichi a soggetti qualificati, limitazione degli accessi ai sistemi, delega di funzioni) Accorgimenti di carattere tecnico (es. adozione di meccanismi di controllo per verificare la presenza di software contraffatti)

Cosa deve contenere il modello Descrizione dei delitti informatici e trattamento illecito di dati (art. 24 bis del decreto) Aree a rischio Destinatari e principi generali di comportamento Principi procedurali specifici Compiti organismo vigilanza

Definizioni Credenziali Dati Informatici Documento Informatico Firma Elettronica Piano di Sicurezza Postazione di Lavoro Sicurezza Informatica

Aree a rischio Tutte le attività aziendali svolte tramite l utilizzo dei Sistemi Informativi aziendali, del servizio di posta elettronica e dell'accesso ad Internet Gestione dei Sistemi Informativi aziendali al fine di assicurarne il funzionamento e la manutenzione L evoluzione della piattaforma tecnologica

Aree a rischio Gestione dei flussi informativi elettronici con la pubblica amministrazione Utilizzo di software e banche dati Gestione dei contenuti del sito Internet della società

Destinatari regole di comportamento con richiamo ad altri documenti Codice Etico Organigramma aziendale e schemi organizzativi Linea Guida Information Security Policy Raccolte di policy e procedure per la sicurezza delle Informazioni

Destinatari regole di comportamento con richiamo ad altri documenti Manuale delle istruzioni operative del call center Gestione dei siti internet Istruzione operativa "Controllo Accessi modalità di accesso alle sedi aziendali

Principi procedurali specifici (divieti) Connettere ai sistemi informatici della società, personal computer, periferiche e altre apparecchiature o installare software senza preventiva autorizzazione del soggetto aziendale responsabile individuato Modificare la configurazione software e/o hardware di postazioni di lavoro fisse o mobili se non previsto da una regola aziendale ovvero, in diversa ipotesi, se non previa espressa e debita autorizzazione

Principi procedurali specifici (divieti) Divulgare, cedere o condividere con personale interno o esterno alla società le proprie credenziali di accesso ai sistemi e alla rete aziendale, di clienti o terze parti Accedere abusivamente ad un sistema informatico altrui ovvero nella disponibilità di altri dipendenti o terzi nonché accedervi al fine di manomettere o alterare abusivamente qualsiasi dato ivi contenuto

Principi procedurali specifici (impegni della società) Informare i soggetti, che a diverso titolo operano nell azienda autorizzati all'utilizzo dei Sistemi Informativi -, dell'importanza di: Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse a soggetti terzi; Utilizzare correttamente i software e banche dati in dotazione;

Principi procedurali specifici (impegni della società) Non inserire dati, immagini o altro materiale coperto dal diritto d'autore senza avere ottenuto le necessarie autorizzazioni dai propri superiori gerarchici secondo le indicazioni contenute nelle policy aziendali; Proteggere i collegamenti wireless, impostando una chiave d'accesso, onde impedire che soggetti terzi, esterni alla società, possano illecitamente collegarsi alla rete Internet tramite i routers della stessa e compiere illeciti ascrivibili ai dipendenti;

Principi procedurali specifici (impegni della società) Limitare l'accesso alla rete informatica aziendale dall'esterno; Far sottoscrivere ai soggetti autorizzati all'utilizzo dei sistemi informativi, uno specifico documento con il quale si impegnino al corretto utilizzo ed alla tutela delle risorse informatiche aziendali

Principi procedurali specifici (controlli) Istituzione di una struttura con il compito di: Monitorare centralmente in tempo reale, in collaborazione con le Direzioni/Funzioni interessate, lo stato della sicurezza operativa delle varie piattaforme ICT (sistemi e reti) di processo e gestionali della società, attraverso strumenti diagnostici e coordinare le relative azioni di gestione; Monitorare centralmente in tempo reale i sistemi anti-intrusione e di controllo degli accessi ai siti aziendali e gestire le autorizzazioni; Gestire progressivamente l intero processo di identificazione ed autorizzazione all accesso alle risorse ICT aziendali

Compiti Organismo di Vigilanza Svolgere verifiche periodiche sul rispetto del modello e valutare periodicamente la loro efficacia a prevenire la commissione dei reati di cui all'art. 24 bis del Decreto, avvalendosi eventualmente della collaborazione di consulenti tecnici competenti in materia Proporre e collaborare alla predisposizione delle istruzioni standardizzate relative ai comportamenti da seguire nell ambito delle Aree a Rischio individuate nella presente parte speciale Esaminare eventuali segnalazioni di presunte violazioni del Modello ed effettuare gli accertamenti ritenuti necessari od opportuni in relazione alle segnalazioni ricevute

Computer forensics Digital Evidence Analysis (DEA). L analisi delle informazioni digitali in maniera tale che possano essere usate come prova in giudizio Crime Scene Investigation (CSI). L indagine sugli strumenti di calcolo coinvolti in un reato informatico

Computer forensics In azienda spesso l interesse è proprio per l attività investigativa, che per ragioni di opportunità o riservatezza non si vuole affidare ad enti istituzionali

Computer forensics Le tipiche domande del Giudice ai periti: La prova è stata raccolta senza alterarla (integrità)? Ho tutto ciò che mi serve per interpretare la prova in maniera corretta (completezza, veridicità)? Che valore posso dare alle catene causali di responsabilità che emergono dalla prova (autenticità, veridicità)?

Conclusioni Più oneri e responsabilità per le aziende Scelta obbligata perché già prevista per altri reati e per le indicazioni Comunitarie

Conclusioni Sempre meno budget Perché dovrebbe capitare proprio a me Se capita a me spendo dopo

Conclusioni Grande opportunità: razionalizzo l attività dell azienda (mappo i rischi, individuo i protocolli, formo personale all altezza) Valore aggiunto

Contatti: www.andig.it www.galdieri-crea.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back