La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

© Silvano Bari - 2009 LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager.

Presentazioni simili


Presentazione sul tema: "© Silvano Bari - 2009 LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager."— Transcript della presentazione:

1 © Silvano Bari LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager ISACA Università di Roma La Sapienza - 12 gennaio 2009

2 © Silvano Bari Temi di Corporate Governance Aziendale struttura proprietaria efficienza dei sistemi di controllo efficienza del Consiglio di Amministrazione corretta composizione del Consiglio di Amministrazione protezione degli azionisti di minoranza ma, soprattutto il trattamento delle informazioni (in particolar modo quelle riservate) e la loro protezione

3 © Silvano Bari Testo Unico della Finanza D.Lgs. 24 febbraio 1998, n.58 TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA (attuato dalla CONSOB con il regolamento n del 1998) successive modifiche/integrazioni Legge Delega 3 ottobre 2001, n.366 RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA D. Lgs. 11 aprile 2002, n.61 DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI RIGUARDANTI LE SOCIETA COMMERCIALI Legge 18 aprile 2005, n.62 DISPOSIZIONI PER LADEMPIMENTO DI OBBLIGHI DERIVANTI DALLAPPARTENENZA DELLITALIA ALLE COMUNITA EUROPEE Legge 28 dicembre 2005, n.262 DISPOSIZIONI PER LA TUTELA DEL RISPARMIO E LA DISCIPLINA DEI MERCATI FINANZIARI Comunicazione CONSOB n. DME/ del 28 marzo 2006

4 © Silvano Bari Testo Unico della Finanza REGOLE PER GARANTIRE UNA MIGLIORE GOVERNANCE DELLE SOCIETA QUOTATE E PER LA TUTELA DI TUTTI I SOGGETTI INTERESSATI ALLA VITA DELLIMPRESA CONTROLLO DELLIMPRESA STRUTTURA PROPRIETARIA EFFICIENZA GESTIONALE ma soprattutto…...

5 © Silvano Bari Testo Unico della Finanza MAGGIORE TRASPARENZA E CONTROLLO DELLINFORMATIVA SOCIETARIA obblighi di pubblicità degli assetti societari obblighi di informativa al pubblico obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio sindacale e amministratori) e la società di revisione gestione delle informazioni privilegiate (registro degli accessi) attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti adempimenti per la prevenzione degli abusi di mercato dichiarazioni di rispondenza al vero

6 © Silvano Bari Testo Unico della Finanza Sanzioni civili e penali false informazioni nelle comunicazioni previste utilizzazione e divulgazione di notizie riservate abuso di informazioni privilegiate

7 © Silvano Bari Codice Preda Codice di autodisciplina per le società quotate (elaborato nel 1999 nellambito di Borsa Italiana S.p.A. e riaggiornato nel marzo 2006) trattamento delle informazioni societarie adozione di una procedura (approvata dal Consiglio di Amministrazione) per la gestione interna e la comunicazione allesterno di documenti ed informazioni (con particolare riferimento alle informazioni privilegiate)

8 © Silvano Bari Circolare ISVAP n. 577/D del 30 dicembre 2005 Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo indica modi e mezzi (anche informatici) per la conformità delle imprese assicuratrici, in tema di rischio e controllo del rischio qualità dei dati, dei flussi informativi, dei canali di comunicazione alta tecnologia del sistema informatico protezione dal deterioramento e dalla perdita dei dati

9 © Silvano Bari D. Lgs. 231/2001 Responsabilità amministrativa dellente per reati posti in essere da amministratori, dirigenti,e/o dipendenti nellinteresse o a vantaggio dellente stesso Market abuse: abuso di informazioni privilegiate per acquisto o vendita di strumenti finanziari comunicazioni di informazioni privilegiate in caso di illecito commesso da soggetti apicali presunzione di colpevolezza della società (inversione dellonere della prova)

10 © Silvano Bari Privacy e protezione dei dati personali Direttiva comunitaria n.467/1995 Legge n. 675/1996 Istituzione del Garante Privacy DPR 318/1999 D. Lgs. 196/2003 (Codice sulla protezione dei dati personali)

11 © Silvano Bari D. Lgs. 30 giugno 2003, n.196 Misure minime di sicurezza Misure idonee di sicurezza Codice sulla protezione dei dati personali

12 © Silvano Bari D. Lgs. 30 giugno 2003, n.196 Misure minime di sicurezza elencate nellallegato B - Disciplinare tecnico Sistema di autenticazione informatica Sistema di autorizzazione Altre misure di sicurezza Documento programmatico sulla sicurezza Ulteriori misure in caso di trattamento di dati sensibili reato di omessa adozione di misure di sicurezza sanzioni penali

13 © Silvano Bari D. Lgs. 30 giugno 2003, n.196 Misure idonee di sicurezza non sono indicate dalla legge ma devono essere scelte dallazienda sulla base: del progresso tecnico della natura dei dati delle specifiche caratteristiche del trattamento reato di omessa adozione di misure idonee sanzioni civili

14 © Silvano Bari D. Lgs. 30 giugno 2003, n.196 Il trattamento dei dati personali assimilato allesercizio di attività pericolose (riferimento allart.2050 c.c.) Inversione dellonere della prova

15 © Silvano Bari Normative Internazionali Sarbanes-Oxley Act (SOX) del 2002 Per le società quotate in borsa negli Stati Uniti e le aziende contabili: standard per la divulgazione di informazioni finanziarie e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario. Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II) Pubblicato dalla Banca dei Regolamenti Internazionali : nuovi standard per la misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale. Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act) Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti finanziari: riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla. Health Insurance Portability and Accountability Act (HIPAA) E volta a garantire linterscambio delle informazioni sanitarie e indica i requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti. Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11) Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della persona, alimentari: rigorose procedure tecniche per lutilizzo e larchiviazione dei record in formato elettronico. Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4 tipi di comunicazioni che devono essere conservate da membri, agenti e intermediari di borsa e in quali luoghi National Association of Securities Dealers (NASD) norme 3010 e 3110 per le società soggette alle norme 17a-3 e 17a-4 della SEC procedure per la ricerca e la revisione delle comunicazioni in formato elettronico. strategie di conservazione della documentazione e dei dati delle transazioni Federal Information Security Management Act (FISMA) è rivolto alle agenzie federali programmi per la sicurezza dei propri sistemi e risorse informative.

16 © Silvano Bari Prime conclusioni importanza della circolazione dellinformazione tra gli organi aziendali attendibilità dei dati riservatezza delle informazioni privilegiate sicurezza delle informazioni critiche per il business protezione dei dati delle terze parti (shareholders)

17 © Silvano Bari Prime conclusioni Protezione delle informazioni come strumento aziendale di Corporate Governance garanzia di disponibilità integrità riservatezza

18 © Silvano Bari Come prevenire le responsabilità in azienda Necessità di: adottare ed attivare un modello efficace di organizzazione, gestione e controllo della protezione del patrimonio informativo istituire una funzione di vigilanza sullefficacia del modello

19 © Silvano Bari Classificazione e misure di protezione dati ISMS INFORMATION SECURITY MANAGEMENT SYSTEM (secondo uno standard consolidato e riconosciuto) Politiche Linee Guida Procedure Misure Tecnologiche Formazione Misure Applicative Sicurezza Fisica Classificazione e misure di protezione dati Compliance con leggi e normative Monitoring e controllo Auditing Misure organizzative Risk assessment e gap analysis Un modello di protezione delle informazioni

20 © Silvano Bari Politiche Organizzazione (ruoli/responsabilità) Controllo assets Personale Sicurezza fisica/ambientale Sicurezza delle comunicazioni/operazioni Controllo accessi Sicurezza dello sviluppo/manutenzione Gestione degli incidenti Business continuity Conformità (leggi, direttive, ecc.) Lo standard ISO27001 Standard internazionale ISO (ex BS7799) Norma ISO27002 Schema di best practices Norma ISO27001 Quadro di riferimento per un ISMS

21 © Silvano Bari Lo sviluppo di un ISMS non garantisce di per sè la sicurezza… ma garantisce processi stabili, ripetibili e controllati per cui la probabilità di un evento negativo si riduce UTILITA A LIVELLO PROBATORIO Validità del modello

22 © Silvano Bari Perché la certificazione?

23 © Silvano Bari Perché la certificazione di un ISMS Essere sicuri di condividere i benefici delle migliori pratiche di sicurezza a livello internazionale Ottenere la verifica, da parte di un organismo terzo, di un corretto svolgimento delle attività di sicurezza Ottenere un attestato per rafforzare limmagine aziendale e indurre maggior fiducia nei clienti Ridurre il premio di assicurazione della Information Technology Dimostrare, in caso di danni a terzi (responsabilità civile/penale) di aver fatto tutto il possibile per evitare i danni Ottenere una ulteriore e specifica certificazione di qualità e sicurezza del sito Internet

24 © Silvano Bari La certificazione dei siti internet Vantaggi: Miglioramento dellimmagine aziendale Creazione di fiducia nel cliente (trasparenza, eticità nel trattamento dei dati, completezza delle informazioni, sicurezza dei dati e dei pagamenti) LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI PER LA CERTIFICAZIONE DEL SITO INTERNET

25 © Silvano Bari La certificazione di accessibilità Legge 9 gennaio 2004, n.4 (Legge Stanca) Disposizioni per favorire laccesso dei soggetti disabili agli strumenti informatici si applica a: pubbliche amministrazioni, enti pubblici economici, aziende private concessionarie di servizi pubblici, aziende municipalizzate regionali, enti di assistenza e di riabilitazione pubblici, aziende di trasporto e di telecomunicazione a prevalente partecipazione di capitale pubblico, aziende appaltatrici di servizi informatici

26 © Silvano Bari La certificazione di accessibilità I siti web delle pubbliche amministrazioni dovranno essere accessibili secondo le linee guida definite nel regolamento tecnico Obbligo della Pubblica Amministrazione (sono previste sanzioni e nullità dei contratti) Incentivazione nei confronti dei privati (bollino da apporre sul sito) Definizione di uno standard BSI BS PAS 78

27 © Silvano Bari Dott. Silvano Bari Certified Information Security Manager ISACA


Scaricare ppt "© Silvano Bari - 2009 LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager."

Presentazioni simili


Annunci Google