Luigi PAVANI ICT Services Department Manager RINA SpA

Slides:



Advertisements
Presentazioni simili
. VANTAGGI E CARATTERISTICHE DEL SERVIZIO PAGHE ON LINE.
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Linux e la sicurezza Computer crimes e tutela della privacy
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Servizio Web AUREO Archivio Unico delle Registrazioni e degli Operatori Soluzione sviluppata in partnership con A.N.T.I.C.O. Associazione Nazionale.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità E1 Diritto e Informatica.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
STRUTTURA DELLA LEZIONE
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
1 I SOGGETTI TITOLARE AZ. SAN. RESPONSABILI INCARICATI DIPENDENTI DIRIGENTI SANITARI.
CORSO PRIVACY PARTE GENERALE
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
Introduzione all’analisi forense: metodologie e strumenti
LA NORMATIVA DI RIFERIMENTO
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La tutela dei dati personali
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
14° Convegno Cnipa- Roma 11 aprile 2006 Rosanna Alterisio 1 La gestione documentale per lefficienza e la trasparenza Stato dellarte e opportunità Rosanna.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Igiene e Sicurezza dei Luoghi di Lavoro Rachele Rinaldi.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
SICUREZZA OBBLIGATORIA: COSA CAMBIA NELLA FORMAZIONE? Incontro con SPISAL sul nuovo Accordo Stato - Regioni 1 marzo 2012.
Riproduzione riservata
Testo Unico sulla Sicurezza e Salute
Tutela penale del software
Aspetti normativi e giuridici negli Stati Uniti e in Italia della sicurezza informatica e problematiche connesse Di Giancarlo Scola Corso di Sistemi di.
PROCEDURA PER L’ASSEVERAZIONE DELLE IMPRESE
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire Licenze e Autorizzazioni per aprire: SPEDIZIONIERE.
1 Legal Risk Management e giuristi dimpresa Trento, 6 novembre 2008.
Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati personali.
Convegno il fattore sicurezza slide n. 1 La messa a norma per il trattamento dei dati personali (privacy) Ing. Piero Giagnoni Milano, 4 dicembre 2001.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
Partite insieme a noi per un viaggio nel mare dei numeri del Vostro Business liberi da ogni limite…
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
IL CODICE DELLA PRIVACY
Codice della Privacy e sanzioni
1 “ORGANISMO DI VIGILANZA EANTIRICLAGGIO” Avv. Claudio Cola ROMA 25 febbraio
- Direzione Interregionale per il Lazio e l’Abruzzo –
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Rivacy QUALITA’ EFFICIENZA EFFICACIA SICUREZZA PROFESSIONALITA’ ESPERIENZA D.Lgs. 196/03 La nostra esprienza al vostro servizio Premere INVIO per andare.
Gestione Sicurezza: Proteggi tuoi dati e il tuo business.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
Computer crimes: responsabilità penali in internet
Le associazioni possono costituirsi:
ISO COME STRUMENTO DI GOVERNANCE
1 La dematerializzazione della documentazione amministrativa: situazione e prospettive Prof. Ing. Pierluigi Ridolfi Componente CNIPA Roma - 12 ottobre.
Cloud SIA V anno.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Il Rappresentante dei Lavoratori per la Sicurezza
Gianluca Liscio Area Manager Adiuto 13 Novembre 2015.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Servizi portanti di adeguamento e diffusione del protocollo informatico Calliope a tutte le articolazioni del Ministero della Giustizia #1Messa in sicurezza.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
1 Le firme elettroniche (2006). 2 L’EVOLUZIONE NORMATIVA I Prima fase
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
Comunicazione sociale d’impresa: SA8000
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Tecnologia e Management delle Aziende sanitarie, l'approccio organizzato alle misure del Regolamento 2016/679 UE FILOMENA POLITO -24 GIUGNO 2016.
Transcript della presentazione:

Luigi PAVANI ICT Services Department Manager RINA SpA SMAU ROMA 2002 - Tavola Rotonda Clusit Sistemi di Gestione della Qualità e della Sicurezza: IL RUOLO DEGLI ORGANISMI DI CERTIFICAZIONE Luigi PAVANI ICT Services Department Manager RINA SpA

Gestione delle Informazioni - i rischi Perdita di credibilità Defacing, ovvero modifica delle pagine Web dell’azienda Furto di informazioni personali Diffusione di informazioni false Perdita di competitività Furto di segreti industriali Furto di informazioni pregiate Perdite economiche immediate Blocco delle attività Responsabilità Legale Conformità alla L. 675/96 e al DPR 318

OBBLIGHI LEGALI (privacy) 675/96 art. 15: «i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta» DPR 318/99 misure minime di sicurezza

OBBLIGHI LEGALI (privacy) Responsabilità civile: Art. 18: richiamo alla disciplina in materia di attività pericolose sancita dall'art. 2050 Codice Civile (-> ribaltamento onere della prova) Art. 29: estesa ai "danni morali“ Responsabilità penale In caso di violazione delle misure del DPR 318/99 Può abbattersi su chiunque possa essere considerato tenuto a garantire la loro osservanza: in primis perciò, oltre che sulle persone che si occupano del trattamento o della gestione del sistema informativo e degli archivi, anche su coloro che amministrano e dirigono la società.

ONERI LEGALI Protezione del sistema informatico o telematico art. 615-ter: «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni» Sentenza per introduzione abusiva sul sito telematico del G.R.1 21/4/2000

ONERI LEGALI Teoria della “downstream liability” Tema scottante in discussione su cause civili per fenomeni di hacking In genere un’organizzazione colpita non potrà essere risarcita da un hacker (che spenderà tutti suoi soldi per un legale) L’organizzazione colpita potrà rivalersi “a valle” nei confronti dell’organizzazione che ha lasciato l’hacker entrare nei suoi sistemi, consentendogli l’attacco. L’organizzazione chiamata in causa dovrà dimostrare di non essere stata negligente, di avere misure di sicurezza aggiornate ed adeguate.

INTERNET SECURITY 1820 1090 417 262 311 345 171 Vulnerabilità 34754 21756 9859 3734 2134 2573 2412 Incidenti Q1-Q2 2001 2000 1999 1998 1997 1996 1995 Fonte: www.cert.org Sebbene le patch per il virus Code Red fossero disponibili 1 mese prima dell’attivazione, nelle prime 9 ore il virus ha contagiato 250.000 server

MINACCE DA INSIDER 9% frode 22% furto elettronico, sabotaggio o intenzionale distruzione/diffusione di dati/informazioni proprietari 47% installazione/uso di hw/periferiche non autorizzate 49% furto fisico, sabotaggio o distruzione intenzionale di computer equipment 56% abuso di computer control access 60% uso di risorse aziendali per profitto personale (scommesse, spam, gestione di personal e-commerce site, investimenti online) uso di risorse aziendali per comunicazioni /attività illegali o llecite (porn surfing, e-mail harassment) 78% installazione/uso di sw non autorizzato Fonte: True Secure - Predictive Systems % aziende con risposta affermativa

MINACCE DA OUTSIDER 21% attacchi dovuti a password non sicure 23% attacchi dovuti a protocol weakeness 28% exploits dovuti a scripting/mobile code (acitveX, Java, javaScript, VBS) 32% buffer overflow attacks 39% Denial of Service (Dos) 48% attacchi su bug di web server 89% viruses/trojan/worms Fonte: True Secure - Predictive Systems % aziende con risposta affermativa

Funzioni dell’OdC verificare l’applicazione della norma, in modo estremamente concreto, presso l’azienda, con un audit in loco che considera gli aspetti documentali e formali ma anche le modalità operative e il livello di applicazione delle norme attestare che l’azienda opera in conformità alla norma data, compilando un rapporto di conformità e rilasciando il relativo certificato

Team di valutazione competenza ed esperienza nell’auditing di sistemi di Gestione della Sicurezza delle Informazioni, ed approfondita conoscenza della norma competenze sulle normative applicabili, intese come leggi generali dello Stato (es. 675/96) o a vari documenti normativi del settore (es. testo unico bancario, ecc. ) competenze sugli aspetti tecnologici utilizzati in azienda per la gestione informatizzata delle informazioni competenze sul processo di business

Valore Aggiunto revisione critica delle prassi formali e sostanziali con cui l’azienda effettua la gestione delle informazioni valutazione del livello di adempimento ai requisiti normativi cogenti valutazione dell’adeguatezza degli strumenti di risk management adottati alle esigenze del modello di business stimolo e contributo concreto al miglioramento

La certificazione BS7799 La certificazione del proprio sistema di sicurezza delle informazioni costituisce: un forte asset competitivo in termini di autorevolezza (valutazione di una terza parte indipendente) il naturale ed autorevole coronamento di un percorso di crescita organizzativa e tecnologica -> viene percepita e compresa dal mercato come uno strumento utile al business

I benefici diretti efficienza/efficacia valorizzazione degli investimenti rafforzamento dell’immagine aziendale segnale forte verso un mercato sempre più sensibile alla problematica sicurezza fattore di vitalità per il sistema di gestione stesso, assicurandone efficienza/efficacia rispondenza ai requisiti legali e contrattuali finalizzazione degli investimenti

I benefici indiretti influenza positiva sul prestigio aziendale, sull'immagine, sui parametri di goodwill esterna fino ad una possibile incidenza sulla valutazione patrimoniale dell'azienda o delle quote azionarie valenza dello strumento nella gestione delle informazioni, in termini di risk management tramite la definizione di ruoli, responsabilità e modalità operative che mettono in sicurezza l'azienda anche rispetto ai parametri di legge (a salvaguardia del management) riduzione dei costi di gestione della sicurezza e vantaggi competitivi legati al miglioramento dell'efficienza dei processi l’adozione di un sistema di misurazione completo e bilanciato per valutare le performance nella sicurezza e suggerire aggiunte, miglioramenti miglioramento delle ROI sugli investimenti informatici dovuto ad una focalizzazione mirata di tali investimenti alla luce dell'analisi e della valutazione dei rischi

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.