Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoArcangelo Tortora Modificato 11 anni fa
1
LA SICUREZZA DELLE INFORMAZIONI COME STRUMENTO AZIENDALE
DI CORPORATE GOVERNANCE Silvano Bari Certified Information Security Manager ISACA Università di Roma “La Sapienza” - 12 gennaio 2009
2
Temi di Corporate Governance Aziendale
struttura proprietaria efficienza dei sistemi di controllo efficienza del Consiglio di Amministrazione corretta composizione del Consiglio di Amministrazione protezione degli azionisti di minoranza ma, soprattutto il trattamento delle informazioni (in particolar modo quelle riservate) e la loro protezione
3
Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006
Testo Unico della Finanza D.Lgs. 24 febbraio 1998, n.58 TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA (attuato dalla CONSOB con il regolamento n del 1998) successive modifiche/integrazioni Legge Delega 3 ottobre 2001, n.366 RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA D. Lgs. 11 aprile 2002, n.61 DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI RIGUARDANTI LE SOCIETA’ COMMERCIALI Legge 18 aprile 2005, n.62 DISPOSIZIONI PER L’ADEMPIMENTO DI OBBLIGHI DERIVANTI DALL’APPARTENENZA DELL’ITALIA ALLE COMUNITA’ EUROPEE Legge 28 dicembre 2005, n.262 DISPOSIZIONI PER LA TUTELA DEL RISPARMIO E LA DISCIPLINA DEI MERCATI FINANZIARI Comunicazione CONSOB n. DME/ del 28 marzo 2006
4
Testo Unico della Finanza
REGOLE PER GARANTIRE UNA MIGLIORE GOVERNANCE DELLE SOCIETA’ QUOTATE E PER LA TUTELA DI TUTTI I SOGGETTI INTERESSATI ALLA VITA DELL’IMPRESA CONTROLLO DELL’IMPRESA STRUTTURA PROPRIETARIA EFFICIENZA GESTIONALE ma soprattutto…...
5
MAGGIORE TRASPARENZA E CONTROLLO DELL’INFORMATIVA SOCIETARIA
Testo Unico della Finanza MAGGIORE TRASPARENZA E CONTROLLO DELL’INFORMATIVA SOCIETARIA obblighi di pubblicità degli assetti societari obblighi di informativa al pubblico obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio sindacale e amministratori) e la società di revisione gestione delle “informazioni privilegiate” (registro degli accessi) attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti adempimenti per la prevenzione degli abusi di mercato dichiarazioni di rispondenza al vero
6
Sanzioni civili e penali
Testo Unico della Finanza false informazioni nelle comunicazioni previste utilizzazione e divulgazione di notizie riservate abuso di “informazioni privilegiate” Sanzioni civili e penali
7
Codice di autodisciplina per le società quotate
Codice Preda Codice di autodisciplina per le società quotate (elaborato nel 1999 nell’ambito di Borsa Italiana S.p.A. e riaggiornato nel marzo 2006) trattamento delle informazioni societarie adozione di una procedura (approvata dal Consiglio di Amministrazione) per la gestione interna e la comunicazione all’esterno di documenti ed informazioni (con particolare riferimento alle informazioni privilegiate)
8
Circolare ISVAP n. 577/D del 30 dicembre 2005
Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo indica modi e mezzi (anche informatici) per la conformità delle imprese assicuratrici, in tema di rischio e controllo del rischio qualità dei dati, dei flussi informativi, dei canali di comunicazione alta tecnologia del sistema informatico protezione dal deterioramento e dalla perdita dei dati
9
Responsabilità amministrativa dell’ente per reati posti in essere
D. Lgs. 231/2001 Responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti,e/o dipendenti nell’interesse o a vantaggio dell’ente stesso Market abuse: abuso di informazioni privilegiate per acquisto o vendita di strumenti finanziari comunicazioni di informazioni privilegiate in caso di illecito commesso da soggetti apicali presunzione di colpevolezza della società (inversione dell’onere della prova)
10
Privacy e protezione dei dati personali
Direttiva comunitaria n.467/1995 Legge n. 675/1996 Istituzione del Garante Privacy DPR 318/1999 D. Lgs. 196/2003 (Codice sulla protezione dei dati personali)
11
Codice sulla protezione dei dati personali
D. Lgs. 30 giugno 2003, n.196 Codice sulla protezione dei dati personali Misure minime di sicurezza Misure idonee di sicurezza
12
Misure minime di sicurezza
D. Lgs. 30 giugno 2003, n.196 Misure minime di sicurezza elencate nell’allegato B - Disciplinare tecnico Sistema di autenticazione informatica Sistema di autorizzazione Altre misure di sicurezza Documento programmatico sulla sicurezza Ulteriori misure in caso di trattamento di dati sensibili reato di omessa adozione di misure di sicurezza sanzioni penali
13
Misure idonee di sicurezza non sono indicate dalla legge
D. Lgs. 30 giugno 2003, n.196 Misure idonee di sicurezza non sono indicate dalla legge ma devono essere scelte dall’azienda sulla base: del progresso tecnico della natura dei dati delle specifiche caratteristiche del trattamento reato di omessa adozione di misure idonee sanzioni civili
14
Il trattamento dei dati personali
D. Lgs. 30 giugno 2003, n.196 Il trattamento dei dati personali assimilato all’esercizio di attività pericolose (riferimento all’art.2050 c.c.) Inversione dell’onere della prova
15
Normative Internazionali
Sarbanes-Oxley Act (SOX) del 2002 Per le società quotate in borsa negli Stati Uniti e le aziende contabili: standard per la divulgazione di informazioni finanziarie e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario. Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II) Pubblicato dalla Banca dei Regolamenti Internazionali : nuovi standard per la misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale. Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act) Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti finanziari: riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla. Health Insurance Portability and Accountability Act (HIPAA) E’ volta a garantire l’interscambio delle informazioni sanitarie e indica i requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti. Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11) Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della persona, alimentari: rigorose procedure tecniche per l’utilizzo e l’archiviazione dei record in formato elettronico. Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4 tipi di comunicazioni che devono essere conservate da membri, agenti e intermediari di borsa e in quali luoghi National Association of Securities Dealers (NASD) norme 3010 e 3110 per le società soggette alle norme 17a-3 e 17a-4 della SEC procedure per la ricerca e la revisione delle comunicazioni in formato elettronico. strategie di conservazione della documentazione e dei dati delle transazioni Federal Information Security Management Act (FISMA) è rivolto alle agenzie federali programmi per la sicurezza dei propri sistemi e risorse informative.
16
importanza della circolazione dell’informazione
Prime conclusioni importanza della circolazione dell’informazione tra gli organi aziendali attendibilità dei dati riservatezza delle informazioni “privilegiate” sicurezza delle informazioni critiche per il business protezione dei dati delle terze parti (shareholders)
17
Protezione delle informazioni come strumento aziendale di
Prime conclusioni Protezione delle informazioni come strumento aziendale di Corporate Governance garanzia di disponibilità integrità riservatezza
18
Come prevenire le responsabilità in azienda
Necessità di: adottare ed attivare un modello efficace di organizzazione, gestione e controllo della protezione del patrimonio informativo istituire una funzione di vigilanza sull’efficacia del modello
19
Un modello di protezione delle informazioni
Politiche Linee Guida Procedure Compliance con leggi e normative Misure Tecnologiche Monitoring e controllo Classificazione e misure di protezione dati Classificazione e misure di protezione dati Sicurezza Fisica Risk assessment e gap analysis Misure Applicative Misure organizzative Formazione Auditing ISMS INFORMATION SECURITY MANAGEMENT SYSTEM (secondo uno standard consolidato e riconosciuto)
20
Lo standard ISO27001 Standard internazionale ISO (ex BS7799) Politiche
Norma ISO27002 Schema di best practices Norma ISO27001 Quadro di riferimento per un ISMS Politiche Organizzazione (ruoli/responsabilità) Controllo assets Personale Sicurezza fisica/ambientale Sicurezza delle comunicazioni/operazioni Controllo accessi Sicurezza dello sviluppo/manutenzione Gestione degli incidenti Business continuity Conformità (leggi, direttive, ecc.)
21
Lo sviluppo di un ISMS non garantisce di per sè la sicurezza…
Validità del modello Lo sviluppo di un ISMS non garantisce di per sè la sicurezza… ma garantisce processi stabili, ripetibili e controllati per cui la probabilità di un evento negativo si riduce UTILITA’ A LIVELLO PROBATORIO
22
Perché la certificazione?
23
Perché la certificazione di un ISMS
Dimostrare, in caso di danni a terzi (responsabilità civile/penale) di aver fatto tutto il possibile per evitare i danni Essere sicuri di condividere i benefici delle migliori pratiche di sicurezza a livello internazionale Ottenere la verifica, da parte di un organismo terzo, di un corretto svolgimento delle attività di sicurezza Ottenere un attestato per rafforzare l’immagine aziendale e indurre maggior fiducia nei clienti Ridurre il premio di assicurazione della Information Technology Ottenere una ulteriore e specifica certificazione di qualità e sicurezza del sito Internet
24
La certificazione dei siti internet
Vantaggi: Miglioramento dell’immagine aziendale Creazione di fiducia nel cliente (trasparenza, eticità nel trattamento dei dati, completezza delle informazioni, sicurezza dei dati e dei pagamenti) LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI PER LA CERTIFICAZIONE DEL SITO INTERNET
25
La certificazione di accessibilità
Legge 9 gennaio 2004, n.4 (Legge Stanca) Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici si applica a: pubbliche amministrazioni, enti pubblici economici, aziende private concessionarie di servizi pubblici, aziende municipalizzate regionali, enti di assistenza e di riabilitazione pubblici, aziende di trasporto e di telecomunicazione a prevalente partecipazione di capitale pubblico, aziende appaltatrici di servizi informatici
26
La certificazione di accessibilità
I siti web delle pubbliche amministrazioni dovranno essere accessibili secondo le linee guida definite nel regolamento tecnico Obbligo della Pubblica Amministrazione (sono previste sanzioni e nullità dei contratti) Incentivazione nei confronti dei privati (bollino da apporre sul sito) Definizione di uno standard BSI BS PAS 78
27
Certified Information Security Manager
Dott. Silvano Bari Certified Information Security Manager ISACA
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.