LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE

Slides:



Advertisements
Presentazioni simili
Studio Legale Domenichini
Advertisements

Codici etici e programmi aziendali di etica
(TITOLI DI EFFICIENZA ENERGETICA)
TESTO UNICO DELLE NORME IN MATERIA INDUSTRIALE, ARTIGIANA E DEI SERVIZI ALLA PRODUZIONE L.R. 28 ottobre 2003, n. 20.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il quadro normativo degli obblighi di comunicazione al mercato delle società quotate Prof. Avv. Andrea Pericu Associato di Diritto degli Intermediari Finanziari.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Politiche e strumenti per limpresa digitale Perché una guida per le imprese Giancarlo Capitani 5 giugno 2007.
Società di gestione del risparmio (SGR)
La comunicazione finanziaria di Fiorenzo Tagliabue
Associazione Nazionale Direttori Amministrativi e Finanziari Sezione Liguria Borsa e Mercati Finanziari – La comunicazione con gli investitori tra opportunità
Informazione ambientale e territoriale Sommario : Rilevanza dellinformazione ambientale e territoriale (qualificazione in termini di funzione amministrativa.
IV Congresso Annuale in materia di responsabilità da reato degli enti 24 febbraio Centro Congressi Piazza di Spagna - Roma IL D. LGS. 231/01 E LA.
1 SANZIONI 1.Mancata informativa : Sanzione da a euro. Sanzione da a euro in caso di dati sensibili o giudiziari (oppure di trattamenti.
1 Università della Tuscia Facoltà di Scienze Politiche Limpresa: gestione e comunicazione 28 ottobre 2005 Lo stato giuridico e la governance dellimpresa.
CODICE ETICO E LINEE GUIDA Schema di verifica straordinaria Allegato B Dott. Andrea Nicoletti.
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
La tutela dei dati personali
Insegnamento: Corporate identity ed etica d'impresa (2011/2012) UNITÀ DI APPRENDIMENTO: ETICA DIMPRESA: MODELLI E STRUMENTI OPERATIVI DIAPOSITIVE.
Posizionamento strategico delle funzioni di Controllo e di Compliance e la centralità dell’Internal Auditing Giovanni Barbara Docente a contratto Università.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
Relazione finale del Gruppo di lavoro sulle società a partecipazione comunale Bergamo, 21 marzo 2006.
Insegnamento: Corporate identity ed etica d'impresa (2010/2011) UNITÀ DI APPRENDIMENTO: ETICA DIMPRESA: MODELLI E STRUMENTI OPERATIVI DIAPOSITIVE.
Avv. Salvatore Providenti
Riproduzione riservata
La legge Stanca: principi ed attuazione Dott. Antonio De Vanna Responsabile dellUfficio accessibilità dei sistemi informatici Treviso 16 dicembre 2004.
CSR Manager network – RSI e piano strategico
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
I requisiti essenziali del modello 231/01 IV Congresso Annuale in materia di responsabilità da reato degli enti 24 febbraio Centro Congressi Piazza.
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
1 Legal Risk Management e giuristi dimpresa Trento, 6 novembre 2008.
Assemblea Straordinaria Soci FISM Roma, 29 Gennaio 2011 Casa Comune della Radiologia.
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
MODELLI DI ORGANIZZAZIONE E GESTIONE DELLA SICUREZZA,
I compiti dell’Organismo di Vigilanza
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire Licenze e Autorizzazioni per aprire: PROMOTORE.
Milano, 13 febbraio 2003 Trattamento dei dati e sicurezza.
11 ORIENTAMENTI INTERNAZIONALI SU GOVERNANCE E CONTROLLO INTERNO – SARBOX ACT UNIVERSITA DEGLI STUDI DI PAVIA FACOLTA DI ECONOMIA CORSO DI LAUREA BIENNALE.
PRIVACY: Adempimenti e Opportunità
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
Esperto di E-government dello sviluppo locale (A.A. 2003/2004) Università di Pisa, Facoltà di scienze politiche 14 dicembre 2004 L'amministrazione elettronica.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
MODELLI ORGANIZZATIVI 2010 Adeguamento alle normative cogenti
“La gestione integrata del rischio nelle strutture sanitarie”
Direzione Partecipate Febbraio 2013
L’efficacia delle procedure Product Manager Company Protection
IL DIRIGENTE PREPOSTO ALLA REDAZIONE DEI DOCUMENTI CONTABILI SOCIETARI
CONTROLLO INTERNO.
1 “ORGANISMO DI VIGILANZA EANTIRICLAGGIO” Avv. Claudio Cola ROMA 25 febbraio
VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Agenda Primo modulo - Le regole Milano, 18/19 giugno 2014 Programma introduttivo per Consiglieri di nuova nomina e aspiranti Consiglieri.
Prof. Avv. Fabio Foglia Manzillo Dott.ssa Cristiana Fevola
1 Università degli Studi di Macerata BANCA, CREDITO, ASSICURAZIONI - B GLI INTERMEDIARI DI ASSICURAZIONE ANNO ACCADEMICO 2010 / 2011.
Università di Macerata - P. Cioni1 Economia delle aziende di assicurazione La Circolare Isvap n. 577/D: “Disposizioni in materia di sistema dei controlli.
Trasparenza e Anticorruzione:
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
DIRITTO INTERMEDIARI FINANZIARI
LA CREAZIONE DI UN MODELLO ORGANIZZATIVO GESTIONALE E DI CONTROLLO
La disciplina del mercato mobiliare Gli intermediari finanziari, le società e gli enti con titoli negoziati nei mercati regolamentati.
Ospedale Luigi Sacco Azienda Ospedaliera – Polo Universitario.
RESPONSABILITÀ PENALE Responsabilità penale del singolo/persona fisica che commette il reato Responsabilità dell'ente da illecito amministrativo.
Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.
Decreto Legislativo 8 giugno 2001, n. 231 "Disciplina della responsabilita' amministrativa delle persone giuridiche, delle societa' e delle associazioni.
Elementi costitutivi di un Sistema Qualità Corso di Formazione Residenziale “Il Manuale di Accreditamento della funzione specialistica Nefrologica” Aprile.
Rapporti tra il d.lgs. 231/2001 e la normativa in materia di sicurezza sul lavoro Pesaro, 12 maggio 2008 Avv. Daniele Tanoni.
Transcript della presentazione:

LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager ISACA Università di Roma “La Sapienza” - 12 gennaio 2009

Temi di Corporate Governance Aziendale struttura proprietaria efficienza dei sistemi di controllo efficienza del Consiglio di Amministrazione corretta composizione del Consiglio di Amministrazione protezione degli azionisti di minoranza ma, soprattutto il trattamento delle informazioni (in particolar modo quelle riservate) e la loro protezione

Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006 Testo Unico della Finanza D.Lgs. 24 febbraio 1998, n.58 TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA (attuato dalla CONSOB con il regolamento n. 11522 del 1998) successive modifiche/integrazioni Legge Delega 3 ottobre 2001, n.366 RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA D. Lgs. 11 aprile 2002, n.61 DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI RIGUARDANTI LE SOCIETA’ COMMERCIALI Legge 18 aprile 2005, n.62 DISPOSIZIONI PER L’ADEMPIMENTO DI OBBLIGHI DERIVANTI DALL’APPARTENENZA DELL’ITALIA ALLE COMUNITA’ EUROPEE Legge 28 dicembre 2005, n.262 DISPOSIZIONI PER LA TUTELA DEL RISPARMIO E LA DISCIPLINA DEI MERCATI FINANZIARI Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006

Testo Unico della Finanza REGOLE PER GARANTIRE UNA MIGLIORE GOVERNANCE DELLE SOCIETA’ QUOTATE E PER LA TUTELA DI TUTTI I SOGGETTI INTERESSATI ALLA VITA DELL’IMPRESA CONTROLLO DELL’IMPRESA STRUTTURA PROPRIETARIA EFFICIENZA GESTIONALE ma soprattutto…...

MAGGIORE TRASPARENZA E CONTROLLO DELL’INFORMATIVA SOCIETARIA Testo Unico della Finanza MAGGIORE TRASPARENZA E CONTROLLO DELL’INFORMATIVA SOCIETARIA obblighi di pubblicità degli assetti societari obblighi di informativa al pubblico obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio sindacale e amministratori) e la società di revisione gestione delle “informazioni privilegiate” (registro degli accessi) attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti adempimenti per la prevenzione degli abusi di mercato dichiarazioni di rispondenza al vero

Sanzioni civili e penali Testo Unico della Finanza false informazioni nelle comunicazioni previste utilizzazione e divulgazione di notizie riservate abuso di “informazioni privilegiate” Sanzioni civili e penali

Codice di autodisciplina per le società quotate Codice Preda Codice di autodisciplina per le società quotate (elaborato nel 1999 nell’ambito di Borsa Italiana S.p.A. e riaggiornato nel marzo 2006) trattamento delle informazioni societarie adozione di una procedura (approvata dal Consiglio di Amministrazione) per la gestione interna e la comunicazione all’esterno di documenti ed informazioni (con particolare riferimento alle informazioni privilegiate)

Circolare ISVAP n. 577/D del 30 dicembre 2005 Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo indica modi e mezzi (anche informatici) per la conformità delle imprese assicuratrici, in tema di rischio e controllo del rischio qualità dei dati, dei flussi informativi, dei canali di comunicazione alta tecnologia del sistema informatico protezione dal deterioramento e dalla perdita dei dati

Responsabilità amministrativa dell’ente per reati posti in essere D. Lgs. 231/2001 Responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti,e/o dipendenti nell’interesse o a vantaggio dell’ente stesso Market abuse: abuso di informazioni privilegiate per acquisto o vendita di strumenti finanziari comunicazioni di informazioni privilegiate in caso di illecito commesso da soggetti apicali presunzione di colpevolezza della società (inversione dell’onere della prova)

Privacy e protezione dei dati personali Direttiva comunitaria n.467/1995 Legge n. 675/1996 Istituzione del Garante Privacy DPR 318/1999 D. Lgs. 196/2003 (Codice sulla protezione dei dati personali)

Codice sulla protezione dei dati personali D. Lgs. 30 giugno 2003, n.196 Codice sulla protezione dei dati personali Misure minime di sicurezza Misure idonee di sicurezza

Misure minime di sicurezza D. Lgs. 30 giugno 2003, n.196 Misure minime di sicurezza elencate nell’allegato B - Disciplinare tecnico Sistema di autenticazione informatica Sistema di autorizzazione Altre misure di sicurezza Documento programmatico sulla sicurezza Ulteriori misure in caso di trattamento di dati sensibili reato di omessa adozione di misure di sicurezza sanzioni penali

Misure idonee di sicurezza non sono indicate dalla legge D. Lgs. 30 giugno 2003, n.196 Misure idonee di sicurezza non sono indicate dalla legge ma devono essere scelte dall’azienda sulla base: del progresso tecnico della natura dei dati delle specifiche caratteristiche del trattamento reato di omessa adozione di misure idonee sanzioni civili

Il trattamento dei dati personali D. Lgs. 30 giugno 2003, n.196 Il trattamento dei dati personali assimilato all’esercizio di attività pericolose (riferimento all’art.2050 c.c.) Inversione dell’onere della prova

Normative Internazionali Sarbanes-Oxley Act (SOX) del 2002 Per le società quotate in borsa negli Stati Uniti e le aziende contabili: standard per la divulgazione di informazioni finanziarie e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario. Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II) Pubblicato dalla Banca dei Regolamenti Internazionali : nuovi standard per la misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale. Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act) Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti finanziari: riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla. Health Insurance Portability and Accountability Act (HIPAA) E’ volta a garantire l’interscambio delle informazioni sanitarie e indica i requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti. Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11) Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della persona, alimentari: rigorose procedure tecniche per l’utilizzo e l’archiviazione dei record in formato elettronico. Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4 tipi di comunicazioni che devono essere conservate da membri, agenti e intermediari di borsa e in quali luoghi National Association of Securities Dealers (NASD) norme 3010 e 3110 per le società soggette alle norme 17a-3 e 17a-4 della SEC procedure per la ricerca e la revisione delle comunicazioni in formato elettronico. strategie di conservazione della documentazione e dei dati delle transazioni Federal Information Security Management Act (FISMA) è rivolto alle agenzie federali programmi per la sicurezza dei propri sistemi e risorse informative.

importanza della circolazione dell’informazione Prime conclusioni importanza della circolazione dell’informazione tra gli organi aziendali attendibilità dei dati riservatezza delle informazioni “privilegiate” sicurezza delle informazioni critiche per il business protezione dei dati delle terze parti (shareholders)

Protezione delle informazioni come strumento aziendale di Prime conclusioni Protezione delle informazioni come strumento aziendale di Corporate Governance garanzia di disponibilità integrità riservatezza

Come prevenire le responsabilità in azienda Necessità di: adottare ed attivare un modello efficace di organizzazione, gestione e controllo della protezione del patrimonio informativo istituire una funzione di vigilanza sull’efficacia del modello

Un modello di protezione delle informazioni Politiche Linee Guida Procedure Compliance con leggi e normative Misure Tecnologiche Monitoring e controllo Classificazione e misure di protezione dati Classificazione e misure di protezione dati Sicurezza Fisica Risk assessment e gap analysis Misure Applicative Misure organizzative Formazione Auditing ISMS INFORMATION SECURITY MANAGEMENT SYSTEM (secondo uno standard consolidato e riconosciuto)

Lo standard ISO27001 Standard internazionale ISO (ex BS7799) Politiche Norma ISO27002 Schema di best practices Norma ISO27001 Quadro di riferimento per un ISMS Politiche Organizzazione (ruoli/responsabilità) Controllo assets Personale Sicurezza fisica/ambientale Sicurezza delle comunicazioni/operazioni Controllo accessi Sicurezza dello sviluppo/manutenzione Gestione degli incidenti Business continuity Conformità (leggi, direttive, ecc.)

Lo sviluppo di un ISMS non garantisce di per sè la sicurezza… Validità del modello Lo sviluppo di un ISMS non garantisce di per sè la sicurezza… ma garantisce processi stabili, ripetibili e controllati per cui la probabilità di un evento negativo si riduce UTILITA’ A LIVELLO PROBATORIO

Perché la certificazione?

Perché la certificazione di un ISMS Dimostrare, in caso di danni a terzi (responsabilità civile/penale) di aver fatto tutto il possibile per evitare i danni Essere sicuri di condividere i benefici delle migliori pratiche di sicurezza a livello internazionale Ottenere la verifica, da parte di un organismo terzo, di un corretto svolgimento delle attività di sicurezza Ottenere un attestato per rafforzare l’immagine aziendale e indurre maggior fiducia nei clienti Ridurre il premio di assicurazione della Information Technology Ottenere una ulteriore e specifica certificazione di qualità e sicurezza del sito Internet

La certificazione dei siti internet Vantaggi: Miglioramento dell’immagine aziendale Creazione di fiducia nel cliente (trasparenza, eticità nel trattamento dei dati, completezza delle informazioni, sicurezza dei dati e dei pagamenti) LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI PER LA CERTIFICAZIONE DEL SITO INTERNET

La certificazione di accessibilità Legge 9 gennaio 2004, n.4 (Legge Stanca) Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici si applica a: pubbliche amministrazioni, enti pubblici economici, aziende private concessionarie di servizi pubblici, aziende municipalizzate regionali, enti di assistenza e di riabilitazione pubblici, aziende di trasporto e di telecomunicazione a prevalente partecipazione di capitale pubblico, aziende appaltatrici di servizi informatici

La certificazione di accessibilità I siti web delle pubbliche amministrazioni dovranno essere accessibili secondo le linee guida definite nel regolamento tecnico Obbligo della Pubblica Amministrazione (sono previste sanzioni e nullità dei contratti) Incentivazione nei confronti dei privati (bollino da apporre sul sito) Definizione di uno standard BSI BS PAS 78

Certified Information Security Manager Dott. Silvano Bari Certified Information Security Manager ISACA silvano.bari@gmail.com

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.