La responsabilità
dell’azienda per i reati
informatici commessi al suo
interno: project
Titolo della presentazione
Paolo G...
Il reato informatico in azienda ieri
• Centri di calcolo chiusi
• Automazione di singole attività
• Patrimonio aziendale n...
Il reato informatico in azienda oggi
• Centri di calcolo aperti
• Automazione di tutte le attività
• Patrimonio aziendale ...
Legislazione sulla criminalità informatica
• Legge 23 dicembre 1993 n. 547
• Legge 18 marzo 2008 n. 48
• Legge 3 agosto 19...
I costi del reato informatico
• Risorse informatiche
• Patrimonio dell'azienda
• Immagine
Titolo della presentazioneLa res...
Strategie di contrasto
• Sicurezza
• Tutela assicurativa
• Tutela giuridica
Titolo della presentazioneLa responsabilità de...
Tutela assicurativa (rischi)
• Attrezzature
• Dati, archivi, programmi
• Perdita di attività
Titolo della presentazione
• ...
Tutela assicurativa
• Polizza tradizionale
• Polizza "all risks" per l'informatica
• Polizza "computer crime"
Titolo della...
Tutela giuridica
• Ricorso all'autorità giudiziaria penale per il reato subito
• Prevenzione da rischio coinvolgimento pen...
Ricorso all'autorità giudiziaria penale per il reato subito
• Valutazione preliminare dei seguenti elementi:
• Prove idone...
Responsabilità penale dell'azienda per reato commesso dal
dipendente
• Delitti commissivi dolosi
• Violazione dell'obbligo...
Responsabilità amministrativa dell'azienda per reato
commesso dai vertici o dai dipendenti
• Legge 18 marzo 2008 n. 48 che...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Falsità in documenti informatici (art. 491-bis cod. pen.)
• Es. fal...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Accesso abusivo ad un sistema informatico o telematico (art. 615-te...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Detenzione e diffusione abusiva di codici di accesso a sistemi info...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Diffusione di apparecchiature, dispositivi o programmi informatici ...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Intercettazione, impedimento o interruzione illecita di comunicazio...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Installazione di apparecchiature atte ad intercettare, impedire o
i...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di informazioni, dati e programmi informatici (art. ...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di informazioni, dati e programmi informatici utiliz...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di sistemi informatici o telematici (art. 635-quater...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Danneggiamento di sistemi informatici o telematici di pubblica util...
I reati informatici previsti oggi dal D. Lgs. 231/2001
Frode informatica del soggetto che presta servizi di certificazione...
I reati informatici già previsti dal D. Lgs. 231/2001
• Frode informatica commessa a danno dello stato o di altro ente pub...
Quando l’azienda può essere coinvolta
• Reato commesso nel suo interesse o comunque ne abbia tratto vantaggio
• Anche nell...
Conseguenze per l’azienda
• Sanzioni pecuniarie
• Sanzioni interdittive (l'interdizione dall'esercizio dell'attività; la
s...
Come evitare un coinvolgimento
Esonero responsabilità ex art. 6 se si dimostra che:
• l’organo dirigente dell’Ente ha adot...
Come evitare un coinvolgimento
• le persone che hanno commesso il reato hanno agito eludendo
fraudolentemente i suddetti m...
Le esigenze che deve soddisfare il modello
• Individuare le attività nel cui ambito esiste la possibilità che vengano
comm...
Le esigenze che deve soddisfare il modello
• Prevedere obblighi di informazione nei confronti dell’organismo deputato
a vi...
Modello e codice etico
• Il codice etico rappresenta uno strumento adottato in via autonoma allo
scopo di esprimere dei pr...
• Autonomia
• Indipendenza
• Professionalità
I requisiti dei componenti dell’organismo di vigilanza
Titolo della presentaz...
• Controllo sull’osservanza delle prescrizioni del modello da parte dei
destinatari, in relazione alle diverse tipologie d...
• Reporting nei confronti degli organi societari
• Comunicazione continuativa direttamente con l’amministratore delegato
•...
• Forma
• Sostanza
Come redigere il modello per i reati informatici
Titolo della presentazioneLa responsabilità dell’azien...
• Dimostrare di aver fatto tutto il possibile per evitare che venisse
commesso un reato informatico
Obiettivo
Titolo della...
• Coerenza con la parte generale del modello e delle altre parti speciali
• Analisi della documentazione aziendale con spe...
• Formazione (sensibilizzazione del personale, codice di comportamento
informatico – i cui principi fondamentali potrebber...
• Descrizione dei delitti informatici e trattamento illecito di dati (art. 24 bis
del decreto)
• Aree a rischio
• Destinat...
• Credenziali
• Dati Informatici
• Documento Informatico
Definizioni
Titolo della presentazione
• Firma Elettronica
• Pian...
• Tutte le attività aziendali svolte tramite l’utilizzo dei Sistemi Informativi
aziendali, del servizio di posta elettroni...
• Gestione dei flussi informativi elettronici con la pubblica amministrazione
• Utilizzo di software e banche dati
• Gesti...
• Codice Etico
• Organigramma aziendale e schemi organizzativi
Destinatari regole di comportamento con richiamo ad altri
d...
• Manuale delle istruzioni operative del call center
• Gestione dei siti internet
Destinatari regole di comportamento con ...
• Connettere ai sistemi informatici della società, personal computer,
periferiche e altre apparecchiature o installare sof...
• Divulgare, cedere o condividere con personale interno o esterno alla
società le proprie credenziali di accesso ai sistem...
Informare i soggetti, che a diverso titolo operano nell’azienda – autorizzati
all'utilizzo dei Sistemi Informativi -, dell...
• Non inserire dati, immagini o altro materiale coperto dal diritto d'autore
senza avere ottenuto le necessarie autorizzaz...
• Limitare l'accesso alla rete informatica aziendale dall'esterno;
• Far sottoscrivere ai soggetti autorizzati all'utilizz...
Istituzione di una struttura con il compito di:
• Monitorare centralmente in tempo reale, in collaborazione con le
Direzio...
• Svolgere verifiche periodiche sul rispetto del modello e valutare
periodicamente la loro efficacia a prevenire la commis...
• Digital Evidence Analysis (DEA). L’analisi delle informazioni digitali in
maniera tale che possano essere usate come pro...
• In azienda spesso l’interesse è proprio per l’attività investigativa, che per
ragioni di opportunità o riservatezza non ...
Le tipiche domande del Giudice ai periti:
• La prova è stata raccolta senza alterarla (integrità)?
• Ho tutto ciò che mi s...
• Più oneri e responsabilità per le aziende
• Scelta obbligata perché già prevista per altri reati e per le indicazioni
Co...
• Sempre meno budget
• Perché dovrebbe capitare proprio a me
• Se capita a me spendo dopo
Conclusioni
Titolo della present...
• Grande opportunità: razionalizzo l’attività dell’azienda (mappo i rischi,
individuo i protocolli, formo personale all’al...
Contatti:
Titolo della presentazione
Contatti:
• www.andig.it
• www.galdieri-crea.it
La responsabilità dell’azienda per i ...
Upcoming SlideShare
Loading in …5
×

La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie

985 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
985
On SlideShare
0
From Embeds
0
Number of Embeds
230
Actions
Shares
0
Downloads
48
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie

  1. 1. La responsabilità dell’azienda per i reati informatici commessi al suo interno: project Titolo della presentazione Paolo Galdieri interno: project management, information security e le sfide imposte dalle nuove tecnologie
  2. 2. Il reato informatico in azienda ieri • Centri di calcolo chiusi • Automazione di singole attività • Patrimonio aziendale non ancora dematerializzato Titolo della presentazione • Insufficienti informazioni sull'entità del fenomeno • Ritrosia a denunciare il reato subito La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  3. 3. Il reato informatico in azienda oggi • Centri di calcolo aperti • Automazione di tutte le attività • Patrimonio aziendale dematerializzato Titolo della presentazione • Legislazione sulla criminalità informatica La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  4. 4. Legislazione sulla criminalità informatica • Legge 23 dicembre 1993 n. 547 • Legge 18 marzo 2008 n. 48 • Legge 3 agosto 1998 n. 269 Titolo della presentazione • Legge 6 febbraio 2006 n. 38 La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  5. 5. I costi del reato informatico • Risorse informatiche • Patrimonio dell'azienda • Immagine Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  6. 6. Strategie di contrasto • Sicurezza • Tutela assicurativa • Tutela giuridica Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  7. 7. Tutela assicurativa (rischi) • Attrezzature • Dati, archivi, programmi • Perdita di attività Titolo della presentazione • Responsabilità civile verso terzi • Altri danni La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  8. 8. Tutela assicurativa • Polizza tradizionale • Polizza "all risks" per l'informatica • Polizza "computer crime" Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  9. 9. Tutela giuridica • Ricorso all'autorità giudiziaria penale per il reato subito • Prevenzione da rischio coinvolgimento penale dell'azienda Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  10. 10. Ricorso all'autorità giudiziaria penale per il reato subito • Valutazione preliminare dei seguenti elementi: • Prove idonee a dimostrare responsabilità autore, danno subito, competenza giurisdizionale; • Danno all'immagine conseguente alla pubblicizzazione del procedimento; Titolo della presentazione • Danno all'immagine conseguente alla pubblicizzazione del procedimento; • Tempi del processo penale; • Danno effettivamente risarcibile in sede penale La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  11. 11. Responsabilità penale dell'azienda per reato commesso dal dipendente • Delitti commissivi dolosi • Violazione dell'obbligo di impedire l'evento antigiuridico (art. 40) • Culpa in eligendo Titolo della presentazione • Culpa in vigilando La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  12. 12. Responsabilità amministrativa dell'azienda per reato commesso dai vertici o dai dipendenti • Legge 18 marzo 2008 n. 48 che ratifica Convenzione di Budapest sulla criminalità informatica • Art. 7 (che introduce art. 24 bis del D. Lgs. 231/2001) estende la responsabilità amministrativa all’azienda per i reati commessi da vertici e dipendenti Titolo della presentazione dipendenti • Art. 240 comma 1 bis c.p. (introdotto dalla Legge n. 12 del 15 febbraio 2012) che prevede la confisca obbligatoria di tutti i beni e strumenti informatici o telematici utilizzati per la commissione della quasi totalità dei reati informatici La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  13. 13. I reati informatici previsti oggi dal D. Lgs. 231/2001 Falsità in documenti informatici (art. 491-bis cod. pen.) • Es. falsificazione di documenti aziendali oggetto di flussi informatizzati Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  14. 14. I reati informatici previsti oggi dal D. Lgs. 231/2001 Accesso abusivo ad un sistema informatico o telematico (art. 615-ter cod. pen.) • Es. accesso abusivo ai sistemi informatici di proprietà di terzi, per prendere cognizione di dati riservati altrui nell’ambito di una negoziazione commerciale Titolo della presentazione commerciale La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  15. 15. I reati informatici previsti oggi dal D. Lgs. 231/2001 Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater cod. pen.) • Es. comunicazione senza autorizzazione a terzi di dispositivi di cui ha legittimamente il possesso Titolo della presentazione • Es. dipendente della società che comunichi ad un altro soggetto la password di accesso alle caselle e-mail di un proprio collega, allo scopo di garantirgli la possibilità di controllare le attività svolte La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  16. 16. I reati informatici previsti oggi dal D. Lgs. 231/2001 Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies cod. pen.) • Es. dipendente che si procuri un Virus idoneo a danneggiare o ad interrompere il funzionamento del sistema informatico aziendale in modo Titolo della presentazione interrompere il funzionamento del sistema informatico aziendale in modo da distruggere documenti “sensibili” in relazione ad un procedimento penale a carico della società La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  17. 17. I reati informatici previsti oggi dal D. Lgs. 231/2001 Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater cod. pen.) • Es. dipendente che impedisca una determinata comunicazione in via informatica al fine di evitare che un’impresa concorrente trasmetta i dati e/o l’offerta per la partecipazione ad una gara Titolo della presentazione e/o l’offerta per la partecipazione ad una gara La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  18. 18. I reati informatici previsti oggi dal D. Lgs. 231/2001 Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617- quinquies cod. pen.) • Es. dipendente che si introduca fraudolentemente presso la sede di una potenziale controparte commerciale al fine di installare apparecchiature Titolo della presentazione potenziale controparte commerciale al fine di installare apparecchiature idonee all’intercettazione di comunicazioni informatiche o telematiche rilevanti in relazione ad una futura negoziazione La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  19. 19. I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis cod. pen.) • Es. l’eliminazione o l’alterazione dei file o di un programma informatico appena acquistato che siano poste in essere al fine di far venire meno la prova del credito da parte di un fornitore della società Titolo della presentazione prova del credito da parte di un fornitore della società La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  20. 20. I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter cod. pen.) • Es. dipendente che compia atti diretti a distruggere documenti informatici aventi efficacia probatoria registrati presso enti pubblici (es. Titolo della presentazione informatici aventi efficacia probatoria registrati presso enti pubblici (es. polizia giudiziaria) relativi ad un procedimento penale a carico della società La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  21. 21. I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di sistemi informatici o telematici (art. 635-quater cod. pen.) • Es. alterazione dei dati, delle informazioni o dei programmi che renda inservibile o ostacoli gravemente il funzionamento del sistema Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  22. 22. I reati informatici previsti oggi dal D. Lgs. 231/2001 Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies cod. pen.) • il danneggiamento deve avere ad oggetto un intero sistema e il sistema stesso deve essere utilizzato per il perseguimento di pubblica utilità, indipendentemente dalla proprietà privata o pubblica dello stesso Titolo della presentazione indipendentemente dalla proprietà privata o pubblica dello stesso La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  23. 23. I reati informatici previsti oggi dal D. Lgs. 231/2001 Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art.640-quinquies c.p.) • reato proprio che può essere commesso solo da parte dei certificatori qualificati, o meglio, i soggetti che prestano servizi di certificazione di Firma Elettronica qualificata Titolo della presentazione Firma Elettronica qualificata La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  24. 24. I reati informatici già previsti dal D. Lgs. 231/2001 • Frode informatica commessa a danno dello stato o di altro ente pubblico (art. 24) • Assistenza a gruppi terroristici apprestata fornendo strumenti di comunicazione (art. 25 quater) Titolo della presentazione • Distribuzione, cessione e detenzione di materiale pedopornografico (art. 25 quinques comma 1 lett. c)) La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  25. 25. Quando l’azienda può essere coinvolta • Reato commesso nel suo interesse o comunque ne abbia tratto vantaggio • Anche nelle ipotesi in cui l'autore del reato non e' stato identificato o non è imputabile Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  26. 26. Conseguenze per l’azienda • Sanzioni pecuniarie • Sanzioni interdittive (l'interdizione dall'esercizio dell'attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un Titolo della presentazione pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi) • Confisca • Pubblicazione della sentenza La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  27. 27. Come evitare un coinvolgimento Esonero responsabilità ex art. 6 se si dimostra che: • l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; Titolo della presentazione • il compito di vigilare sul funzionamento e l’osservanza dei modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo dell’Ente dotato di autonomi poteri di iniziativa e controllo; La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  28. 28. Come evitare un coinvolgimento • le persone che hanno commesso il reato hanno agito eludendo fraudolentemente i suddetti modelli di organizzazione e gestione; • non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  29. 29. Le esigenze che deve soddisfare il modello • Individuare le attività nel cui ambito esiste la possibilità che vengano commessi reati previsti dal decreto • Prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire Titolo della presentazione • Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  30. 30. Le esigenze che deve soddisfare il modello • Prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del modello • Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel modello Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  31. 31. Modello e codice etico • Il codice etico rappresenta uno strumento adottato in via autonoma allo scopo di esprimere dei principi di deontologia aziendale e sui quali si richiama l’osservanza da parte di tutti i dipendenti • Il modello risponde invece a specifiche prescrizioni contenute nel decreto finalizzate a prevenire la commissione di particolari tipologie di reati Titolo della presentazione finalizzate a prevenire la commissione di particolari tipologie di reati La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  32. 32. • Autonomia • Indipendenza • Professionalità I requisiti dei componenti dell’organismo di vigilanza Titolo della presentazione • Continuità d’azione • Onorabilità • Assenza di conflitti di interesse La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  33. 33. • Controllo sull’osservanza delle prescrizioni del modello da parte dei destinatari, in relazione alle diverse tipologie di reato contemplate dal decreto • Controllo sulla reale efficacia ed effettiva capacità del modello, in relazione alla struttura aziendale, di prevenire la commissione dei reati di Compiti dell’organismo di vigilanza Titolo della presentazione relazione alla struttura aziendale, di prevenire la commissione dei reati di cui al decreto • Verifica sull’opportunità di aggiornamento del modello, in relazione alle mutate condizioni aziendali ed alle novità legislative e regolamentari La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  34. 34. • Reporting nei confronti degli organi societari • Comunicazione continuativa direttamente con l’amministratore delegato • Comunicazione su base periodica nei confronti del comitato di controllo interno, del consiglio d’amministrazione e del collegio sindacale Funzioni dell’organismo di vigilanza Titolo della presentazione interno, del consiglio d’amministrazione e del collegio sindacale La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  35. 35. • Forma • Sostanza Come redigere il modello per i reati informatici Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  36. 36. • Dimostrare di aver fatto tutto il possibile per evitare che venisse commesso un reato informatico Obiettivo Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  37. 37. • Coerenza con la parte generale del modello e delle altre parti speciali • Analisi della documentazione aziendale con specifico riferimento ai documenti relativi all’uso delle tecnologie dell’informazione • Analisi dell’organigramma e valutazione delle competenze formali e di Valutazioni preliminari Titolo della presentazione • Analisi dell’organigramma e valutazione delle competenze formali e di fatto • Valutazione delle deleghe La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  38. 38. • Formazione (sensibilizzazione del personale, codice di comportamento informatico – i cui principi fondamentali potrebbero essere inseriti nel contratto di lavoro) • Organizzazione (affidamento incarichi a soggetti qualificati, limitazione degli accessi ai sistemi, delega di funzioni) Attività da svolgere e da inserire nel modello Titolo della presentazione degli accessi ai sistemi, delega di funzioni) • Accorgimenti di carattere tecnico (es. adozione di meccanismi di controllo per verificare la presenza di software contraffatti) La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  39. 39. • Descrizione dei delitti informatici e trattamento illecito di dati (art. 24 bis del decreto) • Aree a rischio • Destinatari e principi generali di comportamento Cosa deve contenere il modello Titolo della presentazione • Destinatari e principi generali di comportamento • Principi procedurali specifici • Compiti organismo vigilanza La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  40. 40. • Credenziali • Dati Informatici • Documento Informatico Definizioni Titolo della presentazione • Firma Elettronica • Piano di Sicurezza • Postazione di Lavoro • Sicurezza Informatica La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  41. 41. • Tutte le attività aziendali svolte tramite l’utilizzo dei Sistemi Informativi aziendali, del servizio di posta elettronica e dell'accesso ad Internet • Gestione dei Sistemi Informativi aziendali al fine di assicurarne il funzionamento e la manutenzione Aree a rischio Titolo della presentazione • L’evoluzione della piattaforma tecnologica La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  42. 42. • Gestione dei flussi informativi elettronici con la pubblica amministrazione • Utilizzo di software e banche dati • Gestione dei contenuti del sito Internet della società Aree a rischio Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  43. 43. • Codice Etico • Organigramma aziendale e schemi organizzativi Destinatari regole di comportamento con richiamo ad altri documenti Titolo della presentazione • Linea Guida “Information Security Policy” • Raccolte di policy e procedure per la sicurezza delle Informazioni La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  44. 44. • Manuale delle istruzioni operative del call center • Gestione dei siti internet Destinatari regole di comportamento con richiamo ad altri documenti Titolo della presentazione • Istruzione operativa "Controllo Accessi – modalità di accesso alle sedi aziendali” La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  45. 45. • Connettere ai sistemi informatici della società, personal computer, periferiche e altre apparecchiature o installare software senza preventiva autorizzazione del soggetto aziendale responsabile individuato • Modificare la configurazione software e/o hardware di postazioni di lavoro fisse o mobili se non previsto da una regola aziendale ovvero, in diversa Principi procedurali specifici (divieti) Titolo della presentazione fisse o mobili se non previsto da una regola aziendale ovvero, in diversa ipotesi, se non previa espressa e debita autorizzazione La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  46. 46. • Divulgare, cedere o condividere con personale interno o esterno alla società le proprie credenziali di accesso ai sistemi e alla rete aziendale, di clienti o terze parti • Accedere abusivamente ad un sistema informatico altrui – ovvero nella disponibilità di altri dipendenti o terzi – nonché accedervi al fine di Principi procedurali specifici (divieti) Titolo della presentazione disponibilità di altri dipendenti o terzi – nonché accedervi al fine di manomettere o alterare abusivamente qualsiasi dato ivi contenuto La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  47. 47. Informare i soggetti, che a diverso titolo operano nell’azienda – autorizzati all'utilizzo dei Sistemi Informativi -, dell'importanza di: • Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse Principi procedurali specifici (impegni della società) Titolo della presentazione • Mantenere le proprie Credenziali confidenziali e di non divulgare le stesse a soggetti terzi; • Utilizzare correttamente i software e banche dati in dotazione; La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  48. 48. • Non inserire dati, immagini o altro materiale coperto dal diritto d'autore senza avere ottenuto le necessarie autorizzazioni dai propri superiori gerarchici secondo le indicazioni contenute nelle policy aziendali; Principi procedurali specifici (impegni della società) Titolo della presentazione • Proteggere i collegamenti wireless, impostando una chiave d'accesso, onde impedire che soggetti terzi, esterni alla società, possano illecitamente collegarsi alla rete Internet tramite i routers della stessa e compiere illeciti ascrivibili ai dipendenti; La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  49. 49. • Limitare l'accesso alla rete informatica aziendale dall'esterno; • Far sottoscrivere ai soggetti autorizzati all'utilizzo dei sistemi informativi, uno specifico documento con il quale si impegnino al corretto utilizzo ed Principi procedurali specifici (impegni della società) Titolo della presentazione uno specifico documento con il quale si impegnino al corretto utilizzo ed alla tutela delle risorse informatiche aziendali La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  50. 50. Istituzione di una struttura con il compito di: • Monitorare centralmente in tempo reale, in collaborazione con le Direzioni/Funzioni interessate, lo stato della sicurezza operativa delle varie piattaforme ICT (sistemi e reti) di processo e gestionali della società, attraverso strumenti diagnostici e coordinare le relative azioni di gestione; Principi procedurali specifici (controlli) Titolo della presentazione attraverso strumenti diagnostici e coordinare le relative azioni di gestione; • Monitorare centralmente in tempo reale i sistemi anti-intrusione e di controllo degli accessi ai siti aziendali e gestire le autorizzazioni; • Gestire progressivamente l’intero processo di identificazione ed autorizzazione all’accesso alle risorse ICT aziendali La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  51. 51. • Svolgere verifiche periodiche sul rispetto del modello e valutare periodicamente la loro efficacia a prevenire la commissione dei reati di cui all'art. 24 bis del Decreto, avvalendosi eventualmente della collaborazione di consulenti tecnici competenti in materia • Proporre e collaborare alla predisposizione delle istruzioni standardizzate Compiti Organismo di Vigilanza Titolo della presentazione • Proporre e collaborare alla predisposizione delle istruzioni standardizzate relative ai comportamenti da seguire nell’ambito delle Aree a Rischio individuate nella presente parte speciale • Esaminare eventuali segnalazioni di presunte violazioni del Modello ed effettuare gli accertamenti ritenuti necessari od opportuni in relazione alle segnalazioni ricevute La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  52. 52. • Digital Evidence Analysis (DEA). L’analisi delle informazioni digitali in maniera tale che possano essere usate come prova in giudizio • Crime Scene Investigation (CSI). L’indagine sugli strumenti di calcolo coinvolti in un reato informatico Computer forensics Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  53. 53. • In azienda spesso l’interesse è proprio per l’attività investigativa, che per ragioni di opportunità o riservatezza non si vuole affidare ad enti istituzionali Computer forensics Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  54. 54. Le tipiche domande del Giudice ai periti: • La prova è stata raccolta senza alterarla (integrità)? • Ho tutto ciò che mi serve per interpretare la prova in maniera corretta (completezza, veridicità)? Computer forensics Titolo della presentazione (completezza, veridicità)? • Che valore posso dare alle catene causali di responsabilità che emergono dalla prova (autenticità, veridicità)? La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  55. 55. • Più oneri e responsabilità per le aziende • Scelta obbligata perché già prevista per altri reati e per le indicazioni Comunitarie Conclusioni Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  56. 56. • Sempre meno budget • Perché dovrebbe capitare proprio a me • Se capita a me spendo dopo Conclusioni Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  57. 57. • Grande opportunità: razionalizzo l’attività dell’azienda (mappo i rischi, individuo i protocolli, formo personale all’altezza) • Valore aggiunto Conclusioni Titolo della presentazioneLa responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie
  58. 58. Contatti: Titolo della presentazione Contatti: • www.andig.it • www.galdieri-crea.it La responsabilità dell’azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie

×