Lapproccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte operative una soluzione integrata, scalabile, orientata.

Slides:



Advertisements
Presentazioni simili
© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Advertisements

OWASP-Day e progetti OWASP-Italy
Directive 96/62/EC - Ambient Air Quality List of air pollutants in the context of air quality assessment and management.
National Project – on going results Potenza 7/10 November 06 IT-G2-SIC-066 – Social Enterprise and Local Development.
Voci di spesa e documentazione di supporto Daniela Michelino Rapp. TN MED – Commissione Mista.
ETEN – Re-Public – RePublic website 1\5 eTEN Progetto Re-Public – RePublic website Workshop finale Dott. Marco Sentinelli – Galgano International Roma,
Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,
I modelli reticolari Rappresentano graficamente le procedure attraverso nodi e linee; 2. Ogni linea rappresenta unattività; 3. Su ogni linea è riportato.
La scuola come impresa sociale: responsabilità e rendicontazione
RISK MANAGEMENT Breve overview sullo stato dellarte in Italia.
Sistema informativo IrisWIN
I processi auto valutativi e il miglioramento delle azioni della scuola Iseo, 20 novembre 2012 Bruna Baggio.
Knowledge Resources Guide: guida alle buone pratiche di turismo sostenibile La Knowledge Resources Guide: guida alle buone pratiche di turismo sostenibile.
Antonio Torraca
VIRGILIO “Facesti come quei che va di notte,
Dal rating al processo di miglioramento. Nel rapporto di valutazione emergono CRITICITA con PISTE PER IL MIGLIORAMENTO: I risultati La progettazione.
Comunicazioni Relative al seminario di informazione INVALSI su La valutazione e lo sviluppo della scuola Roma, 28 Novembre 2012 Relatore: Prof. S. Nicastro.
GE.CO. Gestione per competenze. Introduzione a GE.CO. Orienta nella scelta di nuovi modelli organizzativi. Elabora modelli concettuali ed operativi. Introduce.
Il sistema paghe centralizzato. - PIENA OSSERVANZA LEGGI 12/99 e 144/99 - FACILITA DUSO DELLA PROCEDURA - NO COSTI AGGIUNTIVI DI ACQUISTO PROGRAMMA E.
7 cose da sapere su Volume Activation con Windows 7 © 2009 Microsoft Corporation. Tutti i diritti riservati. Come professionista IT, devi sapere che l'attivazione.
LA DEMOCRAZIA PARTECIPATIVA… OVVERO LA PARTECIPAZIONE DEMOCRATICA Alessandra Valastro Foligno 11 maggio 2013.
INNOVAZIONE NELLA SCUOLA E T.I.C.
Telemarketing & Market Research Advanced on Line Business Oriented Research Solutions ALBORS.
1 circolare n° 8 circolare n° 8 6 marzo La direttiva Ministeriale del 27 dicembre 2012 estende a tutti gli studenti in difficoltà il diritto a.
Sito IntergruppoParma.it Nuovo Intergruppo Parma.
OR5 – Rete di trasmissione
PROF: LUIGI SCALA Progetto lavoro Area4 multimedialità a.s
I mille volti della formazione dalle-learning allemployergame Novembre 2012 I mille volti della formazione: dalle-learning allemployergame 4° Release Novembre.
ReteComuni La rete dei comuni per condividere strategie e strumenti sui temi: entrate locali, gestione territoriale, tecnologie e sicurezza Marzo 2012.
Creare e gestire un sito Web scolastico P.O.N ITIS Marconi Nocera a.s
Sito internet: indirizzo sdcnet.it
PORTE APERTE SUL WEB L'officina del webmaster: strumenti, materiali, iniziative, fonti di informazione, e poi perché costruire siti scolastici ? Laura.
Struttura Aziendale Arianna Montervino 4° A T.G.A A.S 2009/2010 Stage.
1 Web Design Internet Agency. 2 Web Design Internet Agency Qual è il valore aggiunto che può portare allimpresa ? Perché è fondamentale oggi avere un.
Lidentità del settore distributivo dei materiali edili e le relazioni con il mercato Ing. P. Beneggi – Presidente Sercomated VII Conferenza Organizzativa.
"Ricerca-azione triennale sugli OBIETTIVI di SVILUPPO del MILLENNIO condotta attraverso le ICT nella scuola secondaria di II grado" Ipsia Carlo Cattaneo.
# Tre di Picche Marketing Ruolo del marketing
L’azienda prima dell’intervento:
LA GESTIONE DELLE ATTIVITÀ COMMERCIALI
POINT BREAKBREAK EVENTEVENT Prof. Pietro Samarelli.
I.S.F.I I nternational S chool F ashion & I ndustry CAMPUS S. PELLEGRINO - Misano (RN) Italy.
Mappa concettuale di sintesi
17 aprile 2007 AUTOMOTIVE NETWORK TEAM Una Rete per le Reti.
Corso di Marketing Verifica di Apprendimento Definizioni di base.
Adempimento o Opportunità ? Bari, 5 Novembre 2004 T RACCIABILITÁ :
Servizi per Consind E.A. s.r.l. P.IVA: IT REA-MI: /7122/20 CCIAA:
Il software al servizio dei centri sportivi e polifunzionali.
DSS Identità oggetto Contenuto Modalità di uso Nome oggetto: numero
Milano, 4/12/2001 Slide n. 1 RISCHIO OPERATIVO E SISTEMA DI GESTIONE DELLA SICUREZZA: IL VALORE DELLA CERTIFICAZIONE Luigi PAVANI Marketing Manager RINA.
Firenze – Festival della Creatività 2009 Comm.it s.r.l. – Ing. Davide Rogai, Ph.D. – Software >> eyelander tracking semplice con il tuo cellulare.
Istituto degli InnocentiRegione Molise C orso di formazione La comunicazione pubblica La redazione web Campobasso 12/13 Aprile 2004.
Riva del Garda Fierecongressi Richiesta di parere per impianto destinzione automatico a pioggia. Si tratta dellampliamento di un impianto esistente, inferiore.
AUTOMOTIVE NETWORK TEAM LObbligo della Redditività Tutto Fuori.
Progettazione organizzativa
Unità 1 La Funzione di Marketing
ECDL Modulo 1 – Il computer nella vita di ogni giorno u.d. 5
AgentGroup MEnSA Project - Future work Agent and Pervasive Computing Group Dipartimento di Ingegneria dellInformazione Università degli Studi di Modena.
Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)
Sistema Informativo Demanio Idrico marzo Per aumentare lefficienza del servizio abbiamo realizzato un sistema in grado di gestire in modo integrato.
Maria Milano Medico di Medicina Generale Pianezza (TO) CSeRMEG
System for Card DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Presentazione del Servizio ASP di System for Card.
1 Staff Partnership e Relazioni Internazionali Lamezia Terme 30 novembre 2006.
ICF e Politiche del Lavoro
Convegno internazionale Laccordo europeo relativo allo stress lavoro-correlato tra le parti sociali: lo sviluppo e limplementazione in Italia Dott.ssa.
Giancarlo Colferai - CEPAS
La Commissione europea, i servizi delloccupazione degli Stati membri e ogni altro eventuale partner nazionale creano una rete europea di servizi denominata.
Enterprise Digital Architects Instant Meeting Roma 4 luglio 2006.
1 © 2004, Cisco Systems, Inc. All rights reserved. Il ruolo della Rete nella strategia aziendale David Bevilacqua Operations Director Enterprise 29 Settembre.
Corso di Web Services A A Domenico Rosaci Patterns di E-Business D. RosaciPatterns per l'e-Business.
soluzioni professionali
Transcript della presentazione:

Lapproccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte operative una soluzione integrata, scalabile, orientata alla certificazione Ing. Roberto Ferreri Milano, 4 dicembre 2001

slide n. 2 Le criticità della sicurezza delle informazioni Levoluzione dei sistemi di comunicazione richiede che vengano adottati maggiori sistemi di protezione a livello logico per la tutela delle informazioni ed a quello organizzativo per laccessibilità ai sistemi informativi: –Il business è sempre più dipendente dallICT –Lambiente ICT è più complesso –Linterruzione di sistemi ICT è immediatamente visibile –Le tecniche tradizionali non sono più sufficienti Sono necessari strumenti e metodologie efficaci per assicurare –continuità delle attività aziendali –minimizzazione dei danni –massimizzazione della redditività e opportunità di sviluppo Linformazione deve circolare ed essere disponibile nelle forme e nei tempi attesi ( Disponibilità ), però deve esserne assicurata la: –Riservatezza - Solo chi è autorizzato può accedere allinformazione –Integrità - devono essere assicurati accuratezza e completezza dei processi e dei trattamenti

slide n. 3 La sicurezza come fattore di competitività La gestione sicura delle informazioni costituisce un differenziale competitivo, basato sulla capacità dellimpresa di assicurare: –Il rispetto di requisiti di processi interni ed anche di filiera –La rintracciabilità delle informazioni lungo tutto il ciclo di vita del processo –Lintegrazione di informazioni di fonti diverse Chi opera con limpresa (cliente, fornitore, partner, etc.) deve acquisire immediatamente la massima confidenza possibile che il rapporto che sta intrattenendo è protetto al giusto grado di sicurezza nellinteresse di entrambe le parti La sicurezza delle informazioni non è un fatto interno, ha anche una rilevanza sul brand, e quindi devessere reso noto al mercato adottando, se il caso, processi di certificazione per la qualificazione delle soluzioni adottate.

slide n. 4 Le aree per la Sicurezza delle Informazioni ISO/IEC indica …information systems and networks are faced with security threats from a wide range of sources, including computer-assisted fraud, espionage, sabotage, vandalism, fire or flood. … norma BS7799 ISO/IEC 15408/1999 Common Criteria for Information Technology Security Evaluation; Legge 675/96 (sulla privacy), DPR 318/99 (misure minime di sicurezza) Normativa di riferimento: DPR 445/00 Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa. Integra e completa le seguenti disposizioni: art. 15, comma 2, legge 59/97 (bassanini ter); DPR 513/97; art. 4, legge 191/98 e relativo DPR 70/99; Delibera AIPA 24/98; DPR428/98; DPCM 8/2/99; Circolare AIPA 22/99 specifica per il commercio elettronico Standard di prodotto e di processo Raccomandazioni IETF (Internet Engineering Task Force) e W3C (World Wide Web Consortium) Public Key Infrastructure e Certificati X.509

slide n. 5 Marchi di prodotto e di processo Sicurezza dei siti Internet Sicurezza documenti - Firma elettronica Privacy e sicurezza dei dati personali Gli interventi per la Sicurezza delle Informazioni Sicurezza organizzativa Sicurezza ICT - Common Criteria

slide n. 6 Lintegrazione delle procedure di sicurezza Sicurezza tecnologica Sicurezza dei sistemi informatici, del software, delle reti di telecomunicazione si parla di infrastruttura di base IT (Information Technology) Sicurezza organizzativa (gestire i servizi/processi di business dellazienda e gestire coloro che utilizzano i sistemi informatici, il software e le reti di telecomunicazione )

slide n. 7 Qual è lo stato attuale del mio sistema di gestione della sicurezza? Cosa devo fare per adeguare il livello di sicurezza alle esigenze della mia azienda ? Eseguire gli interventi per la sicurezza Cosa devo fare per mantenere nel tempo il livello di sicurezza che ho acquisito ? Adesso posso stare tranquillo? Come posso comunicare la mia sicurezza? Gli interventi CONSIEL - RINA Eventuale CERTIFICAZIONE del livello di sicurezza acquisito BS 7799 Assessment iniziale Progetto di adeguamento Piano di mantenimento Assessment finale

slide n. 8 Common Criteria BS7799 / ISO Privacy Strong Authentication Assessment iniziale Attività di valutazione Piano di adeguamento Livello a scelta del cliente Checklist dipendente dal livello --- Assessment finale Checklist di precertificazione Checklist degli interventi (3) Checklist di precertificazione (se presente) Piano di mantenimento Attività di accertamento (se presente) Certificazioni BS7799 La segmentazione del contesto di intervento

slide n. 9 Il metodo per lAssessment Iniziale Quali sono gli asset da proteggere Quali informazioni essi gestiscono Quali sono le priorità Quali processi sono supportati e qual è il ruolo SI Qual è la strategia per la sicurezza Analizzare i vincoli legali, normativi e contrattuali Quali soluzioni fisico- logico-organizzative esistono Rilevare le criticità e lattuale stato della sicurezza Comportamenti dei mercati e della concorrenza Analisi delle possibili minacce Identificazione di attori, modalità, probabilità Valutare il danno possibile Valutare la % di accadimento Definire i requisiti di sicurezza Accettare livello di rischio presunto Aree di intervento Priorità di sicurezza FASI ATTIVITÀ PRODOTTI Analisi minacce Obiettivi di sicurezza Interventi concordati Funzioni di sicurezza Piano di attuazione Definire gli elementi organizzativi per il sistema di gestione della sicurezza delle informazioni Identificare gli interventi sulla riservatezza dei dati personali Stabilire gli interventi di protezione dei SI e delle reti Descrivere gli interventi di protezione del Sito WEB Stabilire le priorità degli interventi Valutare il Rischio della sicurezza Descrivere e pianificare gli interventi di sicurezza

slide n. 10 Fase 1: Rilevare le criticità e lattuale stato della Sicurezza Definire gli ASSET Identificare Le informazioni Analizzare processi e strutture Valutare la rispondenza Rilevare lattuale Politica Sicurezza Necessità di accesso da Terze parti Processi in Outsourcing Identificare Aree intervento Conoscenza del contesto PROCESSI ORGANIZZAZIONE PERSONALE ICT FISICO LOGICO ORGANIZZATIVO Classificazione delle informazioni da proteggere Responsabilità assegnate Livelli di coinvolgimento del personale

slide n. 11 Fase 1: Struttura dei metodi di analisi COMMON CRITERIA ICT PRIVACY Dati Personali ORGANIZZAZIONE Processi/Prodotti ISO strategia/organizzazione Rilevazione unica con diversi livelli di approfondimento Risultati riusabili per altri successivi interventi Ricostruibile da interventi precedenti o da documenti esistenti Costruita sulla base della Linea guida ISO (check list documentali e di verifica) per introdurre la terminologia e lapproccio dello Standard, così da facilitare successive attività di audit e certificazione

slide n. 12 REQUISITI DI SICUREZZA definiti come OBIETTIVI DI CONTROLLO CONTROLLI raggiunti tramite riesaminare il requisito non fare nulla ridurre il rischio evitare il rischio (es: non usare Internet) trasferire il rischio (es: fare una assicurazione o affidare in outsourcing) assegnazione di responsabilità per la sicurezza report su incidenti, violazioni e problematiche di sicurezza gestione della continuità dei processi aziendali formazione sui temi della sicurezza privacy (protezione dei dati personali) protezione dei documenti organizzativi tutela clausole contrattuali tutela della proprietà intellettuale Fase 2: Definire i Requisiti di Sicurezza delle Informazioni FISICO LOGICO ORGANIZZATIVO ambito legislativo ambito interno

slide n. 13 Fase 3: Il sistema di Gestione della Sicurezza delle Informazioni Common Criteria ISO ISO Processi e Servizio Sicurezza delle informazioni mantenersi aggiornata su nuove minacce e vulnerabilità, operare in ottica di prevenzione e di miglioramento continuo del sistema sapere quando policy e procedure non sono implementate, in tempo utile per prevenire danni implementare politiche e procedure di primaria importanza, in accordo con le best practice e un buon risk management Le Finalità del SGSI Crittografia inalterabilità ininterccettabilità inaccessibilità ISO 9000, ISO 14001, EMAS, SA8000