• Like
  • Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

  • 100 views
Uploaded on

La gestione delle informazioni e dei dati digitali è elemento imprescindibile per ogni operatore del mercato. Sicurezza e analisi dei rischi sono temi determinanti da affrontare con l’ausilio di …

La gestione delle informazioni e dei dati digitali è elemento imprescindibile per ogni operatore del mercato. Sicurezza e analisi dei rischi sono temi determinanti da affrontare con l’ausilio di moderne tecniche di project management, soprattutto per le aziende attente al rinnovamento e all’efficienza dei processi strategici, operativi e di supporto in ambito IT.
Il seminario, rivolto a professionisti e responsabili d’azienda che quotidianamente si confrontano con Internet e il mondo digitale, si propone di approfondire tematiche rilevanti e di condividere spunti di riflessione con chi intenda perseguire obiettivi di qualità nel pieno rispetto della normativa vigente, delle best practices di settore e degli standard ISO27001.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
100
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Agenda CSIG CSIG Livelli di protezione e controllo ! legale: contrattuale e giudiziale ! organizzativo e tecnologico: sistema qualità Casi d’uso e riflessioni conclusive Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Avv. Andrea Maggipinto Ing. Igor Serraino www.studiomra.it www.serraino.it Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali andrea.maggipinto@studiomra.it - www.maggipinto.orgProtezione e controllo dell’informazione Livello legale di protezione e controlloSistema organizzativo aziendale tale da: CSIG CSIG ! Tutela legale• garantire che le informazioni siano disponibili alle persone autorizzate ! Tutela contrattuale• evitare che persone non autorizzate entrino in possesso di informazioni riservate• tutelare riservatezza e confidenzialità ! Azioni a difesa• allinearsi alle best practices e agli standard• soddisfare la normativa vigente andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 2. Tutela legale dei beni intangibili Tutela legale del patrimonio informativoLa conoscenza è valore Dipendenti CSIG CSIG" Segreto: informazione su fatti o cose che devono • Art. 2105 Cod. Civ. (Obbligo di fedeltà): il rimanere riservati (relazione soggetto- prestatore di lavoro non deve trattare affari, per conoscenza) conto proprio o di terzi, in concorrenza con" Know-How: conoscenze pratiche e saperi limprenditore, né divulgare notizie attinenti" Banche dati: insieme di dati/archivi collegati allorganizzazione e ai metodi di produzione secondo un modello logico dellimpresa, o farne uso in modo da poter recare ad essa pregiudizio" Invenzioni: conoscenza di nuovi rapporti causali per l’ottenimento di un certo risultato Ex collaboratori e concorrenti riproducibile • Art. 2598 Cod. Civ. (Atti di concorrenza sleale):" Brevetto: il trovato o il processo innovativo Atti confusori, Denigrazione e appropriazione di suscettibile di applicazione industriale pregi, Atti contrari alla correttezza professionale andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.orgInformazioni (segrete) come bene Informazioni segreteaziendale Art. 98 CPI (Oggetto della tutela) CSIG CSIGIl Codice della Proprietà Industriale (artt. 98 e 99 1. Costituiscono oggetto di tutela le informazioni aziendali del D.Lgs. 30/2005) vieta la divulgazione a terzi e le esperienze tecnico-industriali, comprese quelle di informazioni necessarie e utili per il processo commerciali, soggette al legittimo controllo del produttivo, distributivo o organizzativo di detentore, ove tali informazioni: un’attività economica. a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazioneLe informazioni però devono soddisfare certi dei loro elementi generalmente note o facilmente requisiti: accessibili agli esperti ed agli operatori del settore;• segretezza b) abbiano valore economico in quanto segrete;• valore economico c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi• sottoposte a “segregazione” ragionevolmente adeguate a mantenerle segrete […] andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 3. Quali informazioni sono protette? Know How! le informazioni aziendali (organizzative, “Patrimonio di conoscenze pratiche non brevettate CSIG CSIG finanziarie, di gestione, di marketing) derivanti da esperienze e da prove” (tecnologico,! le esperienze tecnico-industriali e quelle commerciale, finanziario, strategico) commerciali! i dati relativi a prove o altri segreti la cui Reg. 772/04/CE (già Reg. n.96/240/CE): elaborazione comporti un considerevole impegno • segretezza economico e di tempo • sostanzialità Assume rilevanza non tanto linformazione in • identificabilità sé e per sé, ma il complesso di informazioni o la loro specifica configurazione e Valore economico: negoziazione combinazione andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.orgCondizione di accesso alla tutela Tutela contrattualeOnere di adottare misure “ragionevolmente adeguate” Misura preventiva: patto di non concorrenza e non- CSIG CSIG da parte del soggetto al cui legittimo controllo le sollicitation (Key People?) informazioni sono soggette (titolare dellimpresa).Valutare in concreto e graduare la scelta: Da ricordare: “Il patto con il quale si limita lo• condizioni di conservazione/detenzione delle svolgimento dellattività del prestatore di lavoro, per il tempo successivo alla cessazione del contratto, è informazioni nullo (i) se non risulta da atto scritto, (ii) se non è• modalità di utilizzo pattuito un corrispettivo a favore del prestatore di• soggetti che possono accedere alle informazioni lavoro e (iii) se il vincolo non è contenuto entro• progresso tecnologico determinati limiti di oggetto, di tempo e di luogo. La• altre misure di natura organizzativa o tecnologica già durata del vincolo non può essere superiore a cinque adottate (misure di sicurezza privacy, policies anni, se si tratta di dirigenti, e a tre anni negli altri aziendali, ecc.) casi. Se è pattuita una durata maggiore, essa si riduce• misure di natura contrattuale nella misura suindicata” (art. 2125 Cod. Civ.) andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 4. Tutela contrattuale Azioni a difesaMisura preventiva: patto di riservatezza / accordo di Azione giudiziaria ordinaria CSIG CSIG non divulgazione / non-disclosure agreement (Key • provvedimenti: inibitoria / risarcimento del People?) danno / pubblicazione della sentenza / retroversione degli utili# “informazioni riservate”# durata Azione giudiziaria cautelare# penali • fumus boni juris# garanzia anche per fatto e obbligazione di terzo (art. 1381 c.c.) • periculum in mora# giudice competente e legge applicabile • provvedimenti: descrizione / inibitoria / sequestro andrea.maggipinto@studiomra.it - www.maggipinto.org Sanzioni penali (art. 513 e art. 622 Cod. Pen.) andrea.maggipinto@studiomra.it - www.maggipinto.orgOnere della prova Un caso significativoPrincipio generale di cui all’art. 2697 Cod. Civ. Fattispecie: CSIG CSIGChi agisce in giudizio per tutelare le proprie ! Impresa informazioni da atti illeciti di terzi deve provare ! Settore peculiare – ex artt. 98 e 99 CPI – la sussistenza delle tre ! Patrimonio aziendale composto da (A) condizioni per l’accesso alla tutela (lo ricorda il informazioni segrete e know-how; (B) banche di Tribunale di Bologna 4.10.2010) dati andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 5. Il piano illecito Descrizione giudiziale Ai sensi degli artt. 161 della legge 633/1941 (LDA) eSottrazione e utilizzo delle informazioni e delle CSIG CSIG 129 del D.Lgs. 30/2005 (CPI) banche dati • il titolare dei diritti può chiedere la descrizione- archiviazione e condivisione sui computer aziendali degli "oggetti costituenti violazione di tale diritto,- utilizzo per newsletter nonché dei mezzi adibiti alla produzione dei- liste di distribuzione: soggetto terzo coinvolto medesimi e degli elementi di prova concernenti la denunciata violazione e la sua entità" (art. 129 CPI).Storno di dipendenti • finalità: acquisire la prova dell’illecito ed evitare che in futuro si possa sostenere di non avere estratto e/- sollecitazione alle dimissioni o duplicato e/o riprodotto e/o rivelato e/o- assunzione e ricerca della loro collaborazione acquisito e/o detenuto e/o comunque utilizzato le informazioni, il know-how e le banche dati andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.orgOnere probatorio Titolo della slideE’ stato necessario provare che le informazioni (ii) valore economico (proprio perché non sono note CSIG CSIG possedevano le tre caratteristiche richieste per la loro tutela ai sensi e per gli effetti di cui agli artt. 98 e 99 né accessibili ai concorrenti) CPI • La raccolta e la gestione delle Informazioni è costata(i)segretezza anni di notevoli investimenti, impegno e spese; le informazioni consentirebbero a chi ne entrasse in• non sono note agli altri operatori concorrenti, né sono possesso di ricavare elementi determinanti per liberamente accessibili. realizzare e proporre prodotti e servizi magari a• non è possibile reperire (neppure una parte condizioni più convenienti, o comunque mirati a una sostanziale delle informazioni) altrove, per esempio clientela già faticosamente curata e selezionata, attraverso una ricerca in archivi cartacei, su pagine risparmiando così tempi e costi significativi per bianche, online, su siti associativi, social network, l’autonoma creazione del proprio “portafoglio” nelle banche dati della camera di commercio o creditizie andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 6. Titolo della slide In cosa consiste Descrizione dei file in formato elettronico presenti sul(iii) sono sottoposte a idonee misure a server, sui computer, su qualunque supporto, come CSIG CSIG mantenerle segrete Cd-Rom, DVD, chiavette USB e altro, nonché delle• Misure di sicurezza (Documenti Programmatici ex agende e delle rubriche, anche elettroniche, degli d.lgs. 196/2003, Manuali sulla sicurezza, clausole elenchi delle telefonate, della corrispondenza, di contrattuali) tabulati e/o elenchi, delle schede clienti, del materiale• l’accesso di ciascun utente può avvenire solo commerciale e promozionale e comunque di tutta la attraverso un processo di autenticazione protetto documentazione e/o i file relativi al titolare dei diritti violati, nonché la descrizione della documentazione da password commerciale e contabile relativa all’utilizzazione delle• il server dell’azienda non è accessibile in remoto e Informazioni, del know-how e delle banche di dati, la rete è comunque protetta da firewall (hardware e anche al fine di individuare se vi siano altri soggetti software) di ultimissima generazione e in costante coinvolti nellillecito. aggiornamento andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.orgEsito della descrizione Next step: sequestro e inibitoria Sequestro dei dati (ai sensi e per gli effetti di cui agli art. CSIG CSIG Il CTU nominato dal Tribunale e l’Ufficiale 129 CPI e 161 LDA) Giudiziario competente, nel corso della • Finalità: evitare che le Informazioni e le Banche di dati descrizione, hanno trovato sui computer e sul rimanessero di fatto nella disponibilità del server della società concorrente una concorrente massiccia quantità di dati pertinenti alla controversia Inibitoria all’utilizzo delle Informazioni e delle Banche di dati (ai sensi e per gli effetti di cui agli artt. 131 CPI e 156 LDA) Il tutto è stato acquisito su DVD sigillato, Inibitoria all’impiego dei dipendenti stornati (ex art. 700 custodito in cancelleria e inizialmente non Cod. Proc. Civ., art. 2598 Cod. Civ.). accessibile alle parti. Pubblicazione del provvedimento andrea.maggipinto@studiomra.it - www.maggipinto.org andrea.maggipinto@studiomra.it - www.maggipinto.org
  • 7. Nuovi modelli di processo • Ad oggi è sempre maggiore la % di aziende che ha già intrapreso CSIG CSIG percorsi di rinnovamento IT, basati su modelli di processo e metodologie moderne • Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul Protezione e Controllo dell’informazione prodotto finito e sui processi manifatturieri • Raggiungere l’obiettivo (adeguati standard qualitativi) significava Livello organizzativo e livello tecnologico seguire una strada decisamente tortuosa • Eccessiva formalità delle norme da applicare • Vocabolario oscuro • Eccessiva burocrazia • Mancanza di strumenti informatici adeguati e costi ancora troppo elevati Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliL’avvento dell’informatizzazione Il concetto di servizio e l’informatica• Pervasività delle nuove tecnologie Fornire un servizio: soddisfare i bisogni e le aspettative CSIG CSIG dell’utilizzatore• Progressiva sostituzione del cartaceo con il digitale• Riduzione delle risorse temporali che l’azienda deve •Necessario disaccoppiare il concetto di qualità di un servizio dal costo dedicare al perseguimento degli obiettivi che il cliente/utilizzatore deve pagare per ottenerlo• Integrazione del sistema di qualità con gli strumenti •Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel strumenti hardware e software già presenti in azienda concetto di qualità un fattore di successo •Il processo produttivo o di erogazione del servizio riveste un ruolo• Progressivo cambio generazionale degli addetti al fondamentale nel garantire adeguati livelli di qualità backoffice •L’informatica rappresenta uno strumento , non una garanzia assoluta di successo Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 8. Ruolo del sistema informativo ISO: International Organization fornellerogazione del servizio Standardization CSIG CSIG • La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o processo di ottemperare a requisiti di clienti o di altre parti interessate Strutture organizzative • Limpostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 UNI EN ISO 9000:2005 (Sistemi di gestione Descrive I fondamenti dei sistemi di gestione per la qualità (intesi per la qualità – Fondamenti e terminologia) come modelli di management) e specifica il Dizionario della Supporta, Sistema UNI EN ISO 9001:2008 (Sistemi di gestione qualità Indica I requisiti di un SGQ – Sistema di Gestione per la QualitàLutente richiede fornisce strumenti Utilizza informativo Servizio per la qualità – Requisiti) (da intendersi come modello di management) ed è propedeutica anche al conseguimento della certificazione di qualità un servizio o o prodotto UNI EN ISO 9004:2008 (Sistemi di gestione Fornisce gli orientamenti per il miglioramento continuo della un prodotto per la qualità – Linee guida per il performance dell’organizzazione miglioramento delle prestazioni) ISO/IEC 27001:2005 (Requisiti di un sistemi di The ISO27k (ISO/IEC 27000-series) standards concern the gestione della Sicurezza delle informazioni) protection of valuable information assets through information security, particularly the use of Information Security Management Sistema informatico Systems (ISMSs). Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliInformation Security Management Information Security ManagementSystem (ISMS) System CSIG CSIG• Standard ISO/IEC 27001• Suite di standard di grande interesse per l’azienda • L’obiettivo di un ISMS (Information Security Management System) è• Fornisce strumenti fondamentali a livello organizzativo quello di realizzare una serie di routines mirate al security control che per una corretta gestione della sicurezza IT in azienda permettano di garantire un livello di protezione delle informazioni ADEGUATO al contesto aziendale, sia dal punto di vista interno che• Norma a valore internazionale che stabilisce i requisiti di un da quello del cliente Sistema di Gestione della Sicurezza nelle tecnologie dellinformazione (Information Security Management System - • La norma certifica le linee guida e gli strumenti a disposizione per ISMS) arrivare al risultato atteso Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 9. Standard ISO 27001:2005 L’azienda ISO/IEC 27001 compliant • Possiede un’architettura hardware, software, gestionale (comprehensive CSIG CSIG• The standard is designed to ensure the selection of adequate and proportionate framework) su cui sviluppare e implementare politiche di gestione della sicurezza security controls that protect information assets and give confidence to • Risk-based approach: il modello di ISMS generato durante i vari steps è interested parties including an organization’s customers and suppliers. fortemente contestualizzato alla realtà aziendale.• Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di • Gestione delle risorse umane: il modello proposto permette di assicurarsi che assicurarne lintegrità, la riservatezza e la disponibilità. figure professionali dalle competenze adeguate siano allocate alla gestione delle• Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della aree critiche sicurezza delle informazioni finalizzato ad una corretta gestione dei dati • Completa protezione delle informazioni, dal punto di vista dei tre canoni aziendali soggetti a tutela. fondamentali: riservatezza, integrità, disponibilità. • L’ISMS è qualitativamente allineato a sistemi gestionali standard come le ISO9001. Security • Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa Componenti di e delle regole previste Contesto 27001 business • Aumento della competitività aziendale: la certificazione garantisce alla clientela che la sicurezza delle loro informazioni personali non è in discussione • Attestazione di impegno assoluto e di impiego di risorse per risolvere e Tutela personali, Contesto privacy gestire problematiche inerenti la sicurezza sensibili, giudiziari Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliRiflessioni pre-operative Risk-based approach CSIG CSIG• Quali sono le riflessioni che hanno portato alla decisione di adottare un modello di processo adeguato ai canoni imposti dal sistema di qualità? • Un approccio RISK-BASED (ISO/IEC 27005:2011) assicura che il sistema implementato risulti:• Esiste una adeguata motivazione al cambiamento, • affidabile nellorganigramma aziendale? • contestualizzato alla realtà operativa• Limpatto che il cambiamento avrà sullattività aziendale, sia dal punto di vista del back-office che del front-office, è attestato dalla • Identificate le aree di rischio, per ciascuna delle quali è necessario valutare l’impatto (che dipende dal valore e dal settore dell’azienda Project Board? sotto analisi) e la probabilità di accadimento.• La gestione di eventuali (e probabili) problematiche dovute al cambiamento è stata pianificata, in fase di starting up?• La normativa e gli standard da seguire durante le attività necessarie per il cambiamento sono ben chiare e definite? Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 10. Il ciclo continuo di innovazione Il ciclo del miglioramento continuo (Deming cycle) Chi? (responsabili) CSIG CSIGE importante che le attività di rinnovamento siano percepite come in Identificare e analizzare il problema Cosa? (punti critici) Quando? (scadenze) Come? (tecnologie)continuo divenire Risultati desiderati (e punti deboli)Non esiste un punto di inizio e un punto di fine: sono gli obiettiviaziendali e i nuovi stimoli proposti dal mercato a stabilire quando un“ciclo” di innovazione va a terminare e quando ne inizia un altroLa CERTIFICAZIONE non può essere un punto di arrivo, devecostituire un traguardo (una sorta di gratificazione per lottimo lavorosvolto) Costruire una soluzione completaRaggiunta la certificazione ISO, la procedura di rinnovamento nondeve arrestarsi bruscamente.E levoluzione delle tecnologie dellinformazione a dettare le regole. Definire il piano di lavoro, pianificare e allocare le risorse necessarie Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliFattori di successo e insuccesso Il ciclo di innovazione del S.I. • Pianificazione delle risorse allocabili, studio di fattibilità CSIG CSIG•analizzare S.I. esistente: individuazione e descrizione dei processi, • Analisi dell’infrastruttura informatica già esistente, rinnovamenticorrelazione dei processi con l’organizzazione, individuazione necessari? Imprescindibili?dell’architettura IT•definire rigorosamente degli obiettivi • Pianificazione delle risorse da allocare.•scegliere approcci reingegnerizzazione e tecnologie • Analisi sullo stato del processo•comprendere punti deboli e rischi • Attuazione degli interventi migliorativi previsti, introduzione di nuove tecnologie: e-procurement, fatturazione elettronica, drastica riduzione del cartaceo•contestualizzare il processo di rinnovamentoa una data tecnologia, e far percepire • Frequenti checkpoint (valutazione)al personale «il «cambiamento di abitudini» • Nomina dell’Amministratore del S.I.•«è nuovo deve essere buono»•«tutti lo fanno» • Passaggio da uno step all’altro attraverso entry/exit criteria•perseguire obbiettivi confusi o troppo generici•sottovalutare l’analisi dei rischi e lo studio di fattibilità Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 11. L’importanza dello studio di fattibilità Finalità dello studio di fattibilità CSIG CSIG• Fattibilità tecnica - Verifica se gli aspetti tecnici della proposta sono • La realizzazione di un qualunque sistema informativo rappresenta per una effettivamente realizzabili azienda un investimento che mobilita risorse: finanziarie – umane -• Fattibilità organizzativa - Verifica se la proposta è realizzabile nell’ambito impiantistiche della organizzazione esistente • La scarsità di tali risorse richiede che vengano effettuate valutazioni sui• Fattibilità economica - Verifica se le risorse necessarie per la progetti proposti che portino a dimostrarne la fattibilità e la convenienza realizzazione del sistema (costi) sono giustificate dai ritorni prevedibili, economica. espressi in termini di benefici • Tra tutti i progetti che superano il test precedente è poi necessario• Fattibilità temporale - Verifica se il sistema è realizzabile nei termini in cui effettuare un confronto comparativo che stabilisca una scala di priorità. continua ad essere utile alla organizzazione • Ogni progetto potrà poi avere diverse soluzioni architetturali tecnico• Fattibilità motivazionale - Verifica l’effettivo grado di accettabilità che gli organizzative, per ciascuna delle quali sarà necessario valutare la utenti potranno esprimere rispetto al nuovo sistema, una volta realizzato convenienza economica e la fattibilità. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliUn possibile studio di fattibilità Riflessioni: il fattore economico CSIG CSIG Progetto di massima della soluzione Fondamentale: Conclusioni? •motivare lacquisto di nuovi apparati HW e SW alla luce del cambiamento •Il progetto non si può realizzare organizzativo in essere Analisi del rischio •garantire lusabilità delle nuove infrastrutture •Il progetto si può realizzare, ma è necessario un intervento •identificare le risorse umane preposte allutilizzo: verificare che la organizzativo preparazione informatica sia adeguata •Il progetto si può realizzare con •garantire adeguata preparazione sulle principali norme del sistema di Analisi costi-benefici questa soluzione, con questi costi, con questi rischi qualità, in riferimento alla nuova infrastruttura introdotta •Il progetto si può realizzare, •una qualsiasi iniziativa di miglioramento deve puntare a massimizzare il diverse soluzioni tra cui scegliere livello di coerenza interna (environment) e esterna di una organizzazione. Produzione capitolato contratto e scelta del fornitore Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 12. Gli strumenti a disposizione Frammentazione banche dati: scenario tipico CSIG CSIG • PROBLEMATICA: dati clientela ridondanti e incoerenti. STRUMENTI DI PRODUTTIVITA’ INDIVIDUALE Office, CAD, applicativi di modellizzazione, CRM ad hoc, software client web, email SOFTWARE AD USO CONDIVISO DB uff. vendite DB uff. contabilità ERP, CRM CLIENT/SERVER, 3 postazioni 1 postazione DATA WAREHOUSE, Security administrator BUSINESS INTELLIGENCE and Supervisor MONITORIZZAZIONE QUALITA’ 1. DB ufficio vendite replica dati contenuti nel DB ufficio contabilità (ridondanza, incoerenza) 2. Architettura del sistema informatico inadeguata: DB non centralizzato, logica client/server primitiva, livello business non separato dal livello database 3. Applicativi eterogenei, formati non interscambiabili (presenza di versioni obsolete di suite office)La scelta e l’adattamento delle tecnologie al livello culturale ed al ruolo degli utenti sono 4. Assenza dei più elementari criteri di protezione sulle singole postazioni (password disabilitate,aspetti essenziali per poter conseguire una buona efficacia nell’utilizzo degli strumenti documenti critici posizionati su cartelle pubbliche, strategie di condivisione ben definite)messi a disposizione ! Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendaliIl problema delle e-mail MS Exchange 2010 Retention policies (archiviazione caselle postali) CSIG CSIG• TROPPI CLIENT !• Per ogni postazione informatica (addetto interno) risulta presente un client di posta ad • Attraverso le retention uso singolo (Outlook Express, client ormai obsoleto) policies configurabili sul server Exchange è anche possibile fare in• Non vi è alcuna politica centralizzata di gestione archivio e-mail, la conservazione e la modo che l’archiviazione avvenga in catalogazione sono compiti delegati all’utente (account pop3…): tecniche contingenti e modo automatico. non rigorose • Oggetti contenuti nella mailbox• Il client utilizzato non è dotato di strumenti nativi per una gestione metodica di vengono spostati nell’archivio in modo automatico dopo un certo problematiche come lo spam (inquinamento archivio) numero di giorni o secondo altri• Backup e ripristino difficoltoso, in caso di sostituzione pc criteri personalizzabili• Mancano strumenti per garantire integrità e autenticità, quali firma digitale e PEC • Così facendo la struttura delle• cartelle presente nella cassetta Non è implementato alcun meccanismo nativo per la verifica destinatari o altre facilities postale verrà ricreata in modo pre-inoltro automatico anche all’interno• ISO 9001: 4.2.3 “I documenti richiesti dal sistema di gestione per la qualità devono dell’archivio, mantenendo quindi l’organizzazione creata dall’utente. essere tenuti sotto controllo…“ e 4.2.4 “…Le registrazioni devono rimanere leggibili, facilmente identificabili e rintracciabili” Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 13. Gestione centralizzata banche dati Destinatario errato? • UN NUOVO SISTEMA INFORMATIVO CSIG CSIG Messaggio troppo pesante? Postazioni ufficio vendite Postazioni Windows contabilità Server 2008 © 2010 Microsoft Corporation. Active Directory, ActiveSync, Internet AltreExplorer, Microsoft, Outlook, Office Communicator, Windows, WindowsMobile, Windows PowerShell, and Windows Server are either postazioniregistered trademarks or trademarks of Microsoft Corporation in theUnited States and/or other countries. All rights reserved. Othertrademarks or trade names mentioned herein are the property of theirrespective owners. Security administrator and Supervisor Gestione email centralizzata Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Il Ruolo dell’amministratore di sistema La nomina e le responsabilità (ISSM) dell’Amministratore CSIG CSIG • Richiesto dal d.lgs. 196/03 , aggiornamento 2008 • Il Titolare (o il responsabile) deve effettuare la nomina ad amministratore di sistema “previa valutazione dellesperienza, della capacità e dellaffidabilità • Ruolo fondamentale nell’ ISO27001 Certification Process del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo della sicurezza”. • “Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate • La nomina è individuale e i suoi compiti possono essere riassunti dai alla gestione e alla manutenzione di un impianto di elaborazione o seguenti tre punti chiave: di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di 1. Gestire l’implementazione e lo sviluppo dei sistema di security digitale dell’azienda vista dei rischi relativi alla protezione dei dati, quali gli 2. Verificare che le politiche di sicurezza, gli standard e le procedure siano applicate amministratori di basi di dati, gli amministratori di reti e di apparati correttamente di sicurezza e gli amministratori di sistemi software 3. Coordinare e prendere parte alle operazioni di ispezione e controllo, test di complessi.” (punto 1 del provvedimento 27/11/2008) simulazione, revisioni procedurali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
  • 14. Non una semplice formalità! Riflessioni conclusive • Per valorizzare e proteggere le informazioni è necessario che l’azienda assuma un• Figura professionale individuata all’interno dell’organigramma aziendale o, se CSIG CSIG ruolo attivo esterna, NO a soggetti che solo occasionalmente intervengono sui sistemi, ad esempio a seguito di guasti, manutenzioni, installazioni. • Non bastano le norme vigenti previste dall’ordinamento - che pur devono essere note - per far valere i propri diritti• Fondamentale per garantire adeguato supporto a figure professionali in outsourcing, durante le 4 fasi del ciclo di rinnovamento • E’ opportuno e altamente consigliato adottare misure – anche contrattuali – che proteggano gli investimenti e il futuro dell’azienda da danni irreparabili• “il responsabile è individuato tra soggetti che per esperienza, capacità ed • L’azienda deve insomma poter accedere alla tutela legale che l’ordinamento affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in prevede, se e in quanto siano state adottate “misure adeguate” di protezione materia di trattamento, ivi compreso il profilo relativo alla sicurezza.” (art. 29 D.lgs 196/2003)• Caratteristiche professionali necessarie • E’ necessario conoscere e utilizzare opportunamente gli strumenti messi a disposizione dall’informatica moderna • Competenze informatiche di base • L’avvio di un processo di rinnovamento aziendale deve necessariamente essere • Conoscenza della topologia di rete locale preceduto da adeguate fase preliminari e studi di fattibilità • Disponibilità e motivazione all’aggiornamento professionale, in ambito • L’adesione a standard di sicurezza come le norme della famiglia ISO 27001 e ai informatico (corsi di addestramento) relativi modelli di processo permette di seguire strade ben illuminate e definite • Reperibilità garantita • Fondamentale individuare e nominare figure professionali consone al ruolo che • Formazione in ambito privacy e sicurezza dei dati dovranno ricoprire all’interno del sistema informativo aziendale! Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Grazie per l’attenzione Ing. Igor Serraino Avv. Andrea Maggipinto www.serraino.it www.studiomra.it igor@serraino.it andrea.maggipinto@studiomra.it