L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT



Documenti analoghi
Associazione Italiana Information Systems Auditors

Esternalizzazione della Funzione Compliance

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità


SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business

TorreBar S.p.A. Svolgimento

MANUALE DELLA QUALITÀ Pag. 1 di 6

IL CASO DELL AZIENDA. Perché SAP.

EVOLUZIONE DI UN SISTEMA DI TELECONTROLLO A SERVIZIO DELLA SOSTENIBILITÀ AMBIENTALE: L ACQUEDOTTO CAMPANO. Giuseppe Mario Patti Proxima S.r.l.

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

Clarity: interprete delle esigenze del business verso Ict. Patrizia Manieri Responsabile PMO Mauro Masella PMO

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

MANDATO DI AUDIT DI GRUPPO

OTTIMIZZAZIONE ED ABBATTIMENTO COSTI

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

Lesson learned esperienza di attivazione PMO. Il Modello e i Processi a supporto

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Configuration Management

Introduzione al Cloud Computing

CHI SIAMO. BeOn è una società di consulenza italiana ad alta specializzazione in ambito di valutazione, sviluppo e formazione delle risorse umane.

SISTEMA DI GESTIONE AMBIENTALE

1- Corso di IT Strategy

Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.

Audit & Sicurezza Informatica. Linee di servizio

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

DELIBERAZIONE N. 30/7 DEL

Progetto Atipico. Partners

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

Sicurezza Informatica in Italia. Danilo Bruschi Dip. di Informatica e Comunicazione Università degli Studi di Milano

I livelli di Sicurezza

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Gli 8 principi della Qualità

Esistono differenti tipologie di report aziendali, a seconda della funzione per cui sono redatti e dei soggetti a cui si rivolgono

Liberare soluzioni per il call center

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

MONITORAGGIO SULL AVVIO DEL CICLO DI GESTIONE DELLA PERFORMANCE 2013 DELL ISTITUTO NAZIONALE DELLA PREVIDENZA SOCIALE

Women In Development UN MODELLO EUROPEO PER LO SVILUPPO LOCALE GENDER ORIENTED PIANO DI COMUNICAZIONE

I see you. fill in the blanks. created by

4. GESTIONE DELLE RISORSE

All. 03 alla Sez. 02 Rev. 01. Pag. 1 di7. Direzione

Intranet e risorse umane. Un portale per: - Apprendere - Conoscere - Comunicare. - erogare Servizi in rete

Passepartout Welcome Beach

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

ILMS. Integrated Learning Management System

EA 03 Prospetto economico degli oneri complessivi 1

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

La riforma del servizio di distribuzione del

Unità di Grugliasco Feb. 2011

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Vuole rappresentare un punto di riferimento affidabile in quei delicati momenti di cambiamento e di sviluppo del nuovo.

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

Internal Audit Innovazione e misurazione delle performances

Banche e Sicurezza 2015

La certificazione CISM

DISEGNATORE MECCANICO

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

SOLUZIONI E SERVIZI ICT

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

Esempio concreto di integrazione Qualità e Sicurezza: non solo conformità legislativa ma un vero Sistema di Gestione

Il modello di ottimizzazione SAM

PIANO DEGLI INTERVENTI

Le quattro dimensioni di un progetto DLLP di successo

CO.GE.DA S.r.l. Facility management & outsourcing

Allegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI

Product Quality Assurance

DELIBERAZIONE DEL DIRETTORE GENERALE

Prime linee esplicative del programma. PEG in linea

SDA Bocconi School of Management per Unindustria Reggio Emilia. Percorso formativo per Responsabili Sistemi Informativi"

Infrastruttura di produzione INFN-GRID

Soluzioni HP per la Gestione della Stampa. Tutto TEMPO GUADAGNATO.

Aris TimeSheet. che guardano oltre. enti e aziende. Soluzioni per

Utilizzare la soluzione giusta, semplicemente.

Teatro Open Arena. Benvenuti!

CONVEGNO E-ONCOLOGY: L INFORMATIZZAZIONE IN ONCOLOGIA

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

L infermiere al Controllo di Gestione

Concorso Premiamo i risultati DOCUMENTO DI PARTECIPAZIONE

Information summary: Valutazione prestazioni e potenziale

Lo Sportello Informativo on line La tua Regione a portata di mouse

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Consolidamento Server

IT Management and Governance

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

Progetto di Information Security

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

Analizzare e gestire il CLIMA e la MOTIVAZIONE in azienda

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

SICUREZZA Luoghi di Lavoro

Le caratteristiche distintive di Quick Budget

La realtà di Deutsche Bank

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

La ricerca delle informazioni nei siti web di Ateneo con Google Search Appliance Progetto, implementazione e sviluppi

ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Relazione accompagnamento Studio di Fattibilità Tecnica COMUNE DI TURRI. Provincia Medio Campidano

Transcript:

L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT

Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 2 B U S I N E S S B U S I N E S S Operatore di mercato, leader nella monetica e nei pagamenti e Banca di Sistema, a supporto della crescita e del consolidamento delle Istituzioni Finanziarie

Le principali sfide Validare la conformità dei firewall e dell infrastruttura di sicurezza allo standard PCI-DSS Verificare le richieste di modifica prima del passaggio in produzione Supporto nella fase di troubleshooting Velocizzare l analisi preventiva per indirizzare le azioni di contenimento Facilitare l integrazione di reti di società acquisite Controllo della configurazione su sistemi gestiti in outsourcing Preparare l inserimento di ulteriori tecnologie per indirizzare il rischio informatico complessivo CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 3

La situazione preesistente Grosso effort manuale per il processo di analisi Tempi lunghi per avere i risultati Costi, sia interni sia esterni, significativi e ricorrenti Veloce obsolescenza dei risultati L organizzazione di sicurezza si sentiva poco efficace nei confronti delle strutture interne responsabili delle azioni di contenimento dei rischi, in particolare: Competence Center Applicativi ICT Operation Architetture CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 4

Mission Impossible CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 5

Il piano di lavoro - Deliverables Ottenere rapidamente un analisi della configurazione dei firewall Uno status report quotidiano che potesse dare la visione della configurazione reale Ottimizzazione delle regole dei firewall Efficientamento delle operations Analisi della reale topologia della rete, sui perimetri gestiti internamente e in outsourcing Report di compliance PCI-DSS CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 6

La metodologia Scelta di una tecnologia di modellazione e simulazione Raccolta di tutti i dati di configurazione e di log Costruzione del modello della rete Utilizzo del modello nella pratica quotidiana per le analisi ed i report CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 7

Risultati ottenuti Report automatici quotidiani per varie sezioni PCI- DSS Danno la visione della configurazione reale Le regole sui firewall sono più efficienti e più facili da gestire Efficientamento delle risorse hardware Governance sull infrastruttura di rete Possibilità di fare analisi what-if sulle modifiche previste Facilitazione degli audit interni ed esterni Si arriva in certificazione con una struttura informativa e report già strutturati Questo facilita in modo sostanziale la dimostrazione del processo di miglioramento continuo nei confronti dei QSA CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 8

Lessons learned (1) L esistenza di strumenti automatici consente di cambiare in modo radicale la propria visione Permettono di focalizzarsi principalmente sia da un punto di vista di costi sia da un punto di vista di tempi sulla parte a valore Questo perché la parte di analisi prima era pesantissima e rubava risorse alla parte di effettivo intervento sui problemi rilevati Questo permette alla funzione di sicurezza, in quanto struttura di controllo, di indirizzare gli interventi di remediation mediante: una base informativa più ricca e più aggiornata una visione nel tempo del miglioramento cosa che è centrale nei processi di certificazione CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 9

Lessons learned (2) Le strutture di governance della sicurezza hanno spesso obiettivi che sembrano divergenti da quelli strutture operative queste ultime hanno necessità di time to market che a volte vanno in conflitto con necessità di controllo e di qualità l implementazione di queste metodologie ha facilitato la convergenza di questi obiettivi perché: Nella fase di analisi, la funzione di governance non ha più bisogno dell intermediazione delle funzioni operative, non pesa più su di esse ed ottiene risultati più tempestivamente si allineano i tempi della governance a quelli del mercato Nella fase di implementazione, facilitano le strutture operative focalizzandone l azione sugli oggetti più esposti e critici. CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 10

Piani per il futuro Miglioramento dell interoperabilità con le strutture dei Competence Center applicativi Inserimento del modello all interno del processo di Change Management per diretta simulazione prima del passaggio in produzione del change stesso Rendere l analisi del Rischio tecnologico un processo ricorrente, basato sempre su elementi, interni ed esterni all organizzazione, aggiornati e reali CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 11

Domande CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 12

Grazie! Mario Monitillo <mario.monitillo@icbpi.it> CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 13

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back