SlideShare uma empresa Scribd logo

Sicurezza informazioni e dati + business continuity

Business Resiliente
Business Resiliente

Un Mondo Pericoloso e Fragile: Rischi e Sicurezza. Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG). Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.

Negócios
1 de 18
Salvaguardare il patrimonio delle informazioni La sicurezza delle informazioni, la continuità operativa e le certificazioni mercoledì 7 agosto 2013
Salvaguardare il patrimonio delle informazioni Un Mondo Pericoloso e Fragile Rischi – Sicurezza – Continuità
Salvaguardare il patrimonio delle informazioni Le informazioni aziendali sono al sicuro? E disponibili?
Salvaguardare il patrimonio delle informazioni Il rischio e le sue componenti Tutte le Componenti vanno considerate Gli eventi Assicurabili o non Esogeni o endogeni Il tempo Il futuro prossimo Il futuro remoto La dimensione L’entità del possibile danno La probabilità La probabilità che si verifichi un evento danoso
Salvaguardare il patrimonio delle informazioni Obiettivi di un Sistema per la sicurezza delle informazioni Un sistema di gestione della sicurezza deve garantire: • Riservatezza • Integrità • Disponibilità delle informazioni e dei dati aziendali IN CHE MODO?
Salvaguardare il patrimonio delle informazioni Il nostro approccio per il SGSI Definire la Politica per la sicurezza con la Direzione Definire ambito, campo di applicazione, perimetro Valutare i Rischi (RA) Gestire il rischio (SOA) Scegliere i controlli per la sorveglianza IMPLEMENTAZIONE Nuove necessità, esigenze e trattamenti informatici Nuovi standard Nuove minacce e vulnerabilità
Salvaguardare il patrimonio delle informazioni POLITICA È la DIREZIONE che definisce la visione del SGSI (sistema di Gestione della Sicurezza delle Informazioni):  Quali DATI devono essere protetti?  Quali SERVIZI devono essere garantiti?  Stabilisce gli OBIETTIVI  Mette a disposizione RISORSE umane e tecnologiche (le soluzioni in sicurezza debbono avere un ROI di un anno o meno) TENDENZE • “Le frodi nelle organizzazioni accelereranno in relazione alla crisi economica.“ (KPMG, 17 Ottobre 2008) • Le frodi in azienda sono cresciute in UK del 50% nel 2008 • Nel momento in cui si ridurranno I posti di lavoro e vi saranno diminuzioni nei salari e nei premi di produzione, i rischi interni alle organizzazioni si moltiplicheranno. Quando vi è incertezza, le organizzazioni diventano più vulnerabili.” (Management Concepts, 27 ottobre 2009) i
Salvaguardare il patrimonio delle informazioni AMBITO e PERIMETRO Devono essere protette TUTTE le informazioni? O soltanto quelle CRITICHE? Definire gli ASSET (Transazioni on line, dati remoti, trasmissione dati VPN, web, mail, carta, dati elettronici, dati stampati, informazioni trasmesse o immagazzinate, archivi, ecc) Su Centrale Allarme Pannelli di Rete Connessione Elettr Ufficio Responsabile CED Armadio Documentazione Ufficio AssistenzaUfficio Sviluppo Ufficio Direttore O O MTX M O
Salvaguardare il patrimonio delle informazioni VALUTAZIONE E GESTIONE DEI RISCHI • Ambito, Beni (fisici, logici, informazioni); • Minacce, vulnerabilità; • STRUMENTI: C/L Allegato A, Matrice di V/R; Identificazione dei Rischi • Valore; • Minaccia; • Vulnerabilità; • Danno; • Probabilità; Stima dei Rischi •Interventi per la riduzione dei rischi; •Accettazione del Rischio residuo; •Dichiarazione di accettabilità della Direzione. Trattamento dei Rischi
Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO Quante VARIABILI concorrono a quantificare il RISCHIO di perdita o furto di dati e/o continuità? Valore | Minacce | Vulnerabilità | Probabilità | Appetibilità | Tempo di Ripristino | Danno | altro… Alcune di queste? Tutte? Altre ancora? Impostare un algoritmo per calcolare il rischio per ciascun bene o servizio
Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – Continuità operativa •Strategia •Valutazione dei Rischi, Business Impact Analysis Capire il business, individuare i servizi • Strategia BCM, per processo, per area, per servizio • Recupero delle risorse Strategia BCM •Gestione della crisi, relazioni pubbliche e Media •Piani di continuità, Risposta agli incidenti Sviluppo e implementazione della risposta •Valutazione, progettazione •Misurazione dei risultati •Monitoraggio Sviluppo della cultura BCM •Provare i piani BCM, Audit, Controlli •Manutenzione •Conformità ISO 22301 Esercitare, mantenere e verificare
Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – l’analisi di processi e servizi 12 | 7 agosto 2013 | Company Confidential ANALISI PER PROCESSI  I PROCESSI e i SERVIZI vengono analizzati per individuare i RISCHI potenziali per la SICUREZZA e la CONTINUITÀ  Analizzare i processi consente anche di valutare le prestazioni dei processi stessi e garantire determinate prestazioni ai clienti (SLA) o internamente (KPI)  Ciò che si può misurare si può migliorare
Salvaguardare il patrimonio delle informazioni GESTIONE DEL RISCHIO OUTSOURCERProtezione organizzativa Protezione logica Protezione fisica Audit, controlli, sorveglianza Il rischio non può essere annullato: valutare il RISCHIO RESIDUO OUTSOURCING Misure di sicurezza Livelli di servizio garantiti Audit, controlli, sorveglianza
Salvaguardare il patrimonio delle informazioni I CONTROLLI PER SORVEGLIARE E MIGLIORARE Sono stati messi a punto più di 100 CONTROLLI da implementare per sorvegliare e migliorare la sicurezza delle informazioni e dei dati:  Politica per la sicurezza  Organizzazione per la sicurezza delle informazioni  Gestione dei beni  Sicurezza del personale  Sicurezza fisica e ambientale  Gestione delle comunicazione e delle operazioni  Controllo accessi  Acquisizione, sviluppo e manutenzione dei sistemi  Gestione degli incidenti  Gestione della continuità aziendale  Conformità I controlli di sicurezza possono : • Proteggere contro le minacce (DETERRENTI) • Ridurre le vulnerabilità (PREVENTIVI) • Limitare gli impatti di un incidente (CORRETTIVI) • Proteggere in qualsiasi altro modo contro i rischi (INVESTIGATIVI) i
Salvaguardare il patrimonio delle informazioni MIGLIORAMENTO CONTINUO Establish ISMS Implement and Operate the ISMS Monitor and Review the ISMS Maintain and Improve the ISMS Interested Parties Information security requirements and expectations Interested Parties Managed Information Security in modo compatibile con gli altri sistemi certificabili (ISO 9001, 14001, ecc) I sistemi per la Sicurezza e la continuità operativa sono anche certificabili secondo norme ISO: ISO IEC 27001 per SGSI e ISO 22301 per Business Continuity
Salvaguardare il patrimonio delle informazioni RISCHIO E CONTINUITÀ A CONFRONTO Gestione del rischio Gestione della Continuità Operativa Metodo chiave Valutazione del Rischio Analisi impatto sull'organizzazione Parametri chiave Impatto e probabilità Impatto e durata Tipo di evento Tutti i tipi di eventi (normalmente segmentato) Eventi che inducono significative interruzioni dell'attività Dimensione dell'evento Tutte le dimensioni (costi) dell'evento (normalmente segmentato) Per la pianificazione strategica: solo eventi che minacciano la sopravvivenza aziendale Scopo Interesse focalizzato principalmente sui rischi rispetto agli obiettivi aziendali Principalmente al di fuori delle competenze primarie dell'azienda Intensità Tutte, da graduali a improvvise Eventi improvvisi o immediati (nonostante la risposta possa essere anche adeguata qualora un evento irrilevante dovesse assumere una portata grave)
Salvaguardare il patrimonio delle informazioni VALUTAZIONE PRELIMINARE DEL RISCHIO Prima di iniziare un progetto approfondito: il nostro approccio permettere di conoscere velocemente il rischio per le informazioni secondo il protocollo PLAY SEC: si 17% no 83% AMMINISTRAZIONE DEI BENI si 11% no 89% SICUREZZA DELLE RISORSE UMANE 0 55%45% SICUREZZA FISICA DELL'AMBIENTE si 65% no 35% GESTIONE DELLE OPERAZIONI E DELLE COMUNICAZIONI si 12% no 88% ORGANIZZAZIONE PER LA SICUREZZA si 100% no 0% POLITICHE PER LA SICUREZZA
Salvaguardare il patrimonio delle informazioni DISCLAIMER COPYRIGHT PLAY s.a.s. Le informazioni contenute in questo documento sono di proprietà di PLAY S.a.S. Questo documento è redatto a scopo puramente informativo e non costituisce elemento contrattuale; contiene strategie, sviluppi e caratteristiche delle soluzioni proposte da PLAY s.a.s. PLAY ® 2011 TUTTI I DIRITTI RISERVATI 18 | 7 agosto 2013 | Company Confidential Strategia  Mappa strategica  Analisi Finanziaria e Controllo di Gestione  Analisi ed Abbattimento costi  Valutazioni di investimenti alternativi  Formazione per i dirigenti  Formazione per i venditori  Analisi di Business all’estero  Responsabilità Sociale d’impresa  Comunicazione e rendicontazione  Risk Analysis Efficienza  Riprogettazione dei Processi BPR  Miglioramento delle prestazioni  Lean Production  Lean Office  Lean & Digitize®  Agile Development  Soluzioni IT, scelta Sistemi Informativi e ERP  Soluzioni specializzate nella qualità del software e ICT  Soluzioni per l’energia  Auditing Conformità  Sistemi di Gestione per la Qualità ISO 9001 ISO/TS 16949  ISO 14001 e EMAS - Ambiente  OHSAS 18001 Sicurezza del Lavoro  SA 8000 Etica del Lavoro, CSR  D.Lgs 231 Responsabilità Amministrativa d’impresa  ISO 27001 Sicurezza dei Dati  ISO 20000 e ITIL Qualità ICT  ISO 22301 Business Continuity  ISO 50001 per l’utilizzo razionale dell’energia  ISO 3834 Trasformazione dell’acciaio www.playconsulting.it play@playconsulting.it linkedin.com/company/play-sas twitter.com/listenthinkplay

Recomendados

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Digital Law Communication
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Sylvio Verrecchia - IT Security Engineer
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 

Recomendados

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Digital Law Communication
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Sylvio Verrecchia - IT Security Engineer
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
ISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreFabio Rosito
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneFabio Rosito
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
Slideshare horatio it
Slideshare horatio itSlideshare horatio it
Slideshare horatio itData Storage Security S.r.l.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 

Mais conteúdo relacionado

Mais procurados

ISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreFabio Rosito
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneFabio Rosito
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 

Mais procurados (20)

ISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore Fabbricatore
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestione
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
Slideshare horatio it
Slideshare horatio itSlideshare horatio it
Slideshare horatio it
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 

Semelhante a Sicurezza informazioni e dati + business continuity

Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareGiulio Coraggio
 
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniAFB Net
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
6 Mesi di GDPR e l’imprevedibile variabile del fattore umano
6 Mesi di GDPR e l’imprevedibile variabile del fattore umano6 Mesi di GDPR e l’imprevedibile variabile del fattore umano
6 Mesi di GDPR e l’imprevedibile variabile del fattore umanoMaurizio Taglioretti
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioMarcoViscardi6
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustVincenzo Calabrò
 
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...Accenture Italia
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdfCentoOff
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company ProfileTechnologyBIZ
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 

Semelhante a Sicurezza informazioni e dati + business continuity (20)

Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica
 
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
6 Mesi di GDPR e l’imprevedibile variabile del fattore umano
6 Mesi di GDPR e l’imprevedibile variabile del fattore umano6 Mesi di GDPR e l’imprevedibile variabile del fattore umano
6 Mesi di GDPR e l’imprevedibile variabile del fattore umano
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
 
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
 
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012
 
Maximo HSE
Maximo HSEMaximo HSE
Maximo HSE
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company Profile
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 

Mais de Business Resiliente

Estratto Linee Guida Gestione Energia e Ambiente in banca
Estratto Linee Guida Gestione Energia e Ambiente in bancaEstratto Linee Guida Gestione Energia e Ambiente in banca
Estratto Linee Guida Gestione Energia e Ambiente in bancaBusiness Resiliente
 
Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Business Resiliente
 
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997Business Resiliente
 
Progetto mappatura CSO per Banca Cassa di Risparmio di Firenze
Progetto mappatura CSO per Banca Cassa di Risparmio di FirenzeProgetto mappatura CSO per Banca Cassa di Risparmio di Firenze
Progetto mappatura CSO per Banca Cassa di Risparmio di FirenzeBusiness Resiliente
 

Mais de Business Resiliente (7)

Estratto Linee Guida Gestione Energia e Ambiente in banca
Estratto Linee Guida Gestione Energia e Ambiente in bancaEstratto Linee Guida Gestione Energia e Ambiente in banca
Estratto Linee Guida Gestione Energia e Ambiente in banca
 
Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016
 
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997
Laurea in Ingegneria meccanica - Andrea Aulisi - luglio 1997
 
Renovys - Sintesi Business Plan
Renovys - Sintesi Business PlanRenovys - Sintesi Business Plan
Renovys - Sintesi Business Plan
 
ITIL foundation certificate
ITIL foundation certificateITIL foundation certificate
ITIL foundation certificate
 
Progetto mappatura CSO per Banca Cassa di Risparmio di Firenze
Progetto mappatura CSO per Banca Cassa di Risparmio di FirenzeProgetto mappatura CSO per Banca Cassa di Risparmio di Firenze
Progetto mappatura CSO per Banca Cassa di Risparmio di Firenze
 
Play Consulting
Play ConsultingPlay Consulting
Play Consulting
 

Sicurezza informazioni e dati + business continuity

  • 1. Salvaguardare il patrimonio delle informazioni La sicurezza delle informazioni, la continuità operativa e le certificazioni mercoledì 7 agosto 2013
  • 2. Salvaguardare il patrimonio delle informazioni Un Mondo Pericoloso e Fragile Rischi – Sicurezza – Continuità
  • 3. Salvaguardare il patrimonio delle informazioni Le informazioni aziendali sono al sicuro? E disponibili?
  • 4. Salvaguardare il patrimonio delle informazioni Il rischio e le sue componenti Tutte le Componenti vanno considerate Gli eventi Assicurabili o non Esogeni o endogeni Il tempo Il futuro prossimo Il futuro remoto La dimensione L’entità del possibile danno La probabilità La probabilità che si verifichi un evento danoso
  • 5. Salvaguardare il patrimonio delle informazioni Obiettivi di un Sistema per la sicurezza delle informazioni Un sistema di gestione della sicurezza deve garantire: • Riservatezza • Integrità • Disponibilità delle informazioni e dei dati aziendali IN CHE MODO?
  • 6. Salvaguardare il patrimonio delle informazioni Il nostro approccio per il SGSI Definire la Politica per la sicurezza con la Direzione Definire ambito, campo di applicazione, perimetro Valutare i Rischi (RA) Gestire il rischio (SOA) Scegliere i controlli per la sorveglianza IMPLEMENTAZIONE Nuove necessità, esigenze e trattamenti informatici Nuovi standard Nuove minacce e vulnerabilità
  • 7. Salvaguardare il patrimonio delle informazioni POLITICA È la DIREZIONE che definisce la visione del SGSI (sistema di Gestione della Sicurezza delle Informazioni):  Quali DATI devono essere protetti?  Quali SERVIZI devono essere garantiti?  Stabilisce gli OBIETTIVI  Mette a disposizione RISORSE umane e tecnologiche (le soluzioni in sicurezza debbono avere un ROI di un anno o meno) TENDENZE • “Le frodi nelle organizzazioni accelereranno in relazione alla crisi economica.“ (KPMG, 17 Ottobre 2008) • Le frodi in azienda sono cresciute in UK del 50% nel 2008 • Nel momento in cui si ridurranno I posti di lavoro e vi saranno diminuzioni nei salari e nei premi di produzione, i rischi interni alle organizzazioni si moltiplicheranno. Quando vi è incertezza, le organizzazioni diventano più vulnerabili.” (Management Concepts, 27 ottobre 2009) i
  • 8. Salvaguardare il patrimonio delle informazioni AMBITO e PERIMETRO Devono essere protette TUTTE le informazioni? O soltanto quelle CRITICHE? Definire gli ASSET (Transazioni on line, dati remoti, trasmissione dati VPN, web, mail, carta, dati elettronici, dati stampati, informazioni trasmesse o immagazzinate, archivi, ecc) Su Centrale Allarme Pannelli di Rete Connessione Elettr Ufficio Responsabile CED Armadio Documentazione Ufficio AssistenzaUfficio Sviluppo Ufficio Direttore O O MTX M O
  • 9. Salvaguardare il patrimonio delle informazioni VALUTAZIONE E GESTIONE DEI RISCHI • Ambito, Beni (fisici, logici, informazioni); • Minacce, vulnerabilità; • STRUMENTI: C/L Allegato A, Matrice di V/R; Identificazione dei Rischi • Valore; • Minaccia; • Vulnerabilità; • Danno; • Probabilità; Stima dei Rischi •Interventi per la riduzione dei rischi; •Accettazione del Rischio residuo; •Dichiarazione di accettabilità della Direzione. Trattamento dei Rischi
  • 10. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO Quante VARIABILI concorrono a quantificare il RISCHIO di perdita o furto di dati e/o continuità? Valore | Minacce | Vulnerabilità | Probabilità | Appetibilità | Tempo di Ripristino | Danno | altro… Alcune di queste? Tutte? Altre ancora? Impostare un algoritmo per calcolare il rischio per ciascun bene o servizio
  • 11. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – Continuità operativa •Strategia •Valutazione dei Rischi, Business Impact Analysis Capire il business, individuare i servizi • Strategia BCM, per processo, per area, per servizio • Recupero delle risorse Strategia BCM •Gestione della crisi, relazioni pubbliche e Media •Piani di continuità, Risposta agli incidenti Sviluppo e implementazione della risposta •Valutazione, progettazione •Misurazione dei risultati •Monitoraggio Sviluppo della cultura BCM •Provare i piani BCM, Audit, Controlli •Manutenzione •Conformità ISO 22301 Esercitare, mantenere e verificare
  • 12. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – l’analisi di processi e servizi 12 | 7 agosto 2013 | Company Confidential ANALISI PER PROCESSI  I PROCESSI e i SERVIZI vengono analizzati per individuare i RISCHI potenziali per la SICUREZZA e la CONTINUITÀ  Analizzare i processi consente anche di valutare le prestazioni dei processi stessi e garantire determinate prestazioni ai clienti (SLA) o internamente (KPI)  Ciò che si può misurare si può migliorare
  • 13. Salvaguardare il patrimonio delle informazioni GESTIONE DEL RISCHIO OUTSOURCERProtezione organizzativa Protezione logica Protezione fisica Audit, controlli, sorveglianza Il rischio non può essere annullato: valutare il RISCHIO RESIDUO OUTSOURCING Misure di sicurezza Livelli di servizio garantiti Audit, controlli, sorveglianza
  • 14. Salvaguardare il patrimonio delle informazioni I CONTROLLI PER SORVEGLIARE E MIGLIORARE Sono stati messi a punto più di 100 CONTROLLI da implementare per sorvegliare e migliorare la sicurezza delle informazioni e dei dati:  Politica per la sicurezza  Organizzazione per la sicurezza delle informazioni  Gestione dei beni  Sicurezza del personale  Sicurezza fisica e ambientale  Gestione delle comunicazione e delle operazioni  Controllo accessi  Acquisizione, sviluppo e manutenzione dei sistemi  Gestione degli incidenti  Gestione della continuità aziendale  Conformità I controlli di sicurezza possono : • Proteggere contro le minacce (DETERRENTI) • Ridurre le vulnerabilità (PREVENTIVI) • Limitare gli impatti di un incidente (CORRETTIVI) • Proteggere in qualsiasi altro modo contro i rischi (INVESTIGATIVI) i
  • 15. Salvaguardare il patrimonio delle informazioni MIGLIORAMENTO CONTINUO Establish ISMS Implement and Operate the ISMS Monitor and Review the ISMS Maintain and Improve the ISMS Interested Parties Information security requirements and expectations Interested Parties Managed Information Security in modo compatibile con gli altri sistemi certificabili (ISO 9001, 14001, ecc) I sistemi per la Sicurezza e la continuità operativa sono anche certificabili secondo norme ISO: ISO IEC 27001 per SGSI e ISO 22301 per Business Continuity
  • 16. Salvaguardare il patrimonio delle informazioni RISCHIO E CONTINUITÀ A CONFRONTO Gestione del rischio Gestione della Continuità Operativa Metodo chiave Valutazione del Rischio Analisi impatto sull'organizzazione Parametri chiave Impatto e probabilità Impatto e durata Tipo di evento Tutti i tipi di eventi (normalmente segmentato) Eventi che inducono significative interruzioni dell'attività Dimensione dell'evento Tutte le dimensioni (costi) dell'evento (normalmente segmentato) Per la pianificazione strategica: solo eventi che minacciano la sopravvivenza aziendale Scopo Interesse focalizzato principalmente sui rischi rispetto agli obiettivi aziendali Principalmente al di fuori delle competenze primarie dell'azienda Intensità Tutte, da graduali a improvvise Eventi improvvisi o immediati (nonostante la risposta possa essere anche adeguata qualora un evento irrilevante dovesse assumere una portata grave)
  • 17. Salvaguardare il patrimonio delle informazioni VALUTAZIONE PRELIMINARE DEL RISCHIO Prima di iniziare un progetto approfondito: il nostro approccio permettere di conoscere velocemente il rischio per le informazioni secondo il protocollo PLAY SEC: si 17% no 83% AMMINISTRAZIONE DEI BENI si 11% no 89% SICUREZZA DELLE RISORSE UMANE 0 55%45% SICUREZZA FISICA DELL'AMBIENTE si 65% no 35% GESTIONE DELLE OPERAZIONI E DELLE COMUNICAZIONI si 12% no 88% ORGANIZZAZIONE PER LA SICUREZZA si 100% no 0% POLITICHE PER LA SICUREZZA
  • 18. Salvaguardare il patrimonio delle informazioni DISCLAIMER COPYRIGHT PLAY s.a.s. Le informazioni contenute in questo documento sono di proprietà di PLAY S.a.S. Questo documento è redatto a scopo puramente informativo e non costituisce elemento contrattuale; contiene strategie, sviluppi e caratteristiche delle soluzioni proposte da PLAY s.a.s. PLAY ® 2011 TUTTI I DIRITTI RISERVATI 18 | 7 agosto 2013 | Company Confidential Strategia  Mappa strategica  Analisi Finanziaria e Controllo di Gestione  Analisi ed Abbattimento costi  Valutazioni di investimenti alternativi  Formazione per i dirigenti  Formazione per i venditori  Analisi di Business all’estero  Responsabilità Sociale d’impresa  Comunicazione e rendicontazione  Risk Analysis Efficienza  Riprogettazione dei Processi BPR  Miglioramento delle prestazioni  Lean Production  Lean Office  Lean & Digitize®  Agile Development  Soluzioni IT, scelta Sistemi Informativi e ERP  Soluzioni specializzate nella qualità del software e ICT  Soluzioni per l’energia  Auditing Conformità  Sistemi di Gestione per la Qualità ISO 9001 ISO/TS 16949  ISO 14001 e EMAS - Ambiente  OHSAS 18001 Sicurezza del Lavoro  SA 8000 Etica del Lavoro, CSR  D.Lgs 231 Responsabilità Amministrativa d’impresa  ISO 27001 Sicurezza dei Dati  ISO 20000 e ITIL Qualità ICT  ISO 22301 Business Continuity  ISO 50001 per l’utilizzo razionale dell’energia  ISO 3834 Trasformazione dell’acciaio www.playconsulting.it play@playconsulting.it linkedin.com/company/play-sas twitter.com/listenthinkplay