SlideShare a Scribd company logo

Assessment dei processi e delle procedure

Vilma Pozzi
Vilma Pozzi

L'assessment dei processi ha lo scopo di individuare gli asset strategici dell'azienda e formulare un piano che concentri le risorse nella protezione delle informazioni e che metta in sicurezza le procedure aziendali nei vari comparti che sono oggetto dell'analisi.

Technology
1 of 7
Download to read offline
A S S E S S M E N T D E I P R O C E S S I E D E L L E P R O C E D U R E I S A B I N F O R M A T I C A
S C O P O L'assessment dei processi ha lo scopo di individuare gli asset strategici dell'azienda e formulare un piano che concentri le risorse nella protezione delle informazioni e che metta in sicurezza le procedure aziendali nei vari comparti che sono oggetto dell'analisi.
S T R U T T U R A ANALISI CONTESTO AZIENDALE Struttura organizzativa Struttura informativa ASSET Individuazione dei comparti da analizzare e degli asset strategici per l'impresa RISK ANALYSIS Analisi dei rischi e piani di remediation
E S E M P I D I R I S C H I A N A L I Z Z A T I E' emerso che le utenze che accedono ai sistemi non utilizzano l’Active Directory per l’autenticazione ed autorizzazione. (impossibile documentare chi ha eseguito un accesso e per fare cosa) TECNOLOGICO Alcuni dispositivi di backup sono collocati in aree non sicure e non hanno alcun sistema di protezione come crittografia. Alcuni utenti espongono a rischio il Know-how aziendale condividendo e modificando i progetti in piattaforme di cloud pubbliche non sicure. Mancano procedure per la gestione informatica di ingresso e uscita del personale dall'azienda. Si potrebbero avere ripercussioni nel caso in cui una figura non più autorizzata possa ancora accedere ai sistemi aziendali. ORGANIZZATIVO OPERATIVO TECNOLOGICO RISCHIO ALTO RISCHIO MEDIO RISCHIO ALTO RISCHIO MEDIO
E S E M P I D I R I S C H I A N A L I Z Z A T I Alcuni PC hanno a  bordo documenti confidenziali: alcuni pc in amministrazione e in direzione conservano dei documenti che se andassero persi o rubati potrebbero costituire un danno per l'azienda. TECNOLOGICO Gli utenti hanno completo accesso alla share di rete che contiene i dati dell'azienda in forma documentale. Conservazione dei fattori di autenticazione ai conti bancari non sicura o conservati in luoghi facilmente accessibili ORGANIZZATIVO TECNOLOGICO RISCHIO MEDIO RISCHIO ALTO RISCHIO ALTO
DELIVERABLE Per ogni rischio evidenziato viene suggerita un'azione di rimedio, l'urgenza e i tempi medi di realizzazione. Nella maggior parte dei casi si tratta di azioni che mettono in sicurezza le procedure con alcune modifiche agli attuali comportamenti senza implementazione di nuove tecnologie.
I l p a r t n e r p e r i t u o i p r o g e t t i i n f o r m a t i c i I S A B I N F O R M A T I C A

Recommended

Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Identity Management Open Source
Identity Management Open SourceIdentity Management Open Source
Identity Management Open SourceFabio De Luca
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
La simulazione comportamentale
La simulazione comportamentaleLa simulazione comportamentale
La simulazione comportamentaleDI.TECH - Innovazione per la distribuzione
 

Recommended

Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Identity Management Open Source
Identity Management Open SourceIdentity Management Open Source
Identity Management Open SourceFabio De Luca
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
La simulazione comportamentale
La simulazione comportamentaleLa simulazione comportamentale
La simulazione comportamentaleDI.TECH - Innovazione per la distribuzione
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustVincenzo Calabrò
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Smau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.itSmau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.itSMAU
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupDedagroup
 
Tirasa
TirasaTirasa
TirasaFabio De Luca
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Milano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.itMilano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.itSMAU
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITVincenzo Calabrò
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiMarinuzzi & Associates
 

More Related Content

Similar to Assessment dei processi e delle procedure

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustVincenzo Calabrò
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Smau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.itSmau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.itSMAU
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupDedagroup
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
Milano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.itMilano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.itSMAU
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITVincenzo Calabrò
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiMarinuzzi & Associates
 

Similar to Assessment dei processi e delle procedure (20)

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012
 
Smau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.itSmau Milano 2018 Silvio Di Benedetto - WindowServer.it
Smau Milano 2018 Silvio Di Benedetto - WindowServer.it
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
Tirasa
TirasaTirasa
Tirasa
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
 
Milano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.itMilano 2018 Silvio Di Benedetto - WindowServer.it
Milano 2018 Silvio Di Benedetto - WindowServer.it
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di dati
 

Assessment dei processi e delle procedure

  • 1. A S S E S S M E N T D E I P R O C E S S I E D E L L E P R O C E D U R E I S A B I N F O R M A T I C A
  • 2. S C O P O L'assessment dei processi ha lo scopo di individuare gli asset strategici dell'azienda e formulare un piano che concentri le risorse nella protezione delle informazioni e che metta in sicurezza le procedure aziendali nei vari comparti che sono oggetto dell'analisi.
  • 3. S T R U T T U R A ANALISI CONTESTO AZIENDALE Struttura organizzativa Struttura informativa ASSET Individuazione dei comparti da analizzare e degli asset strategici per l'impresa RISK ANALYSIS Analisi dei rischi e piani di remediation
  • 4. E S E M P I D I R I S C H I A N A L I Z Z A T I E' emerso che le utenze che accedono ai sistemi non utilizzano l’Active Directory per l’autenticazione ed autorizzazione. (impossibile documentare chi ha eseguito un accesso e per fare cosa) TECNOLOGICO Alcuni dispositivi di backup sono collocati in aree non sicure e non hanno alcun sistema di protezione come crittografia. Alcuni utenti espongono a rischio il Know-how aziendale condividendo e modificando i progetti in piattaforme di cloud pubbliche non sicure. Mancano procedure per la gestione informatica di ingresso e uscita del personale dall'azienda. Si potrebbero avere ripercussioni nel caso in cui una figura non più autorizzata possa ancora accedere ai sistemi aziendali. ORGANIZZATIVO OPERATIVO TECNOLOGICO RISCHIO ALTO RISCHIO MEDIO RISCHIO ALTO RISCHIO MEDIO
  • 5. E S E M P I D I R I S C H I A N A L I Z Z A T I Alcuni PC hanno a  bordo documenti confidenziali: alcuni pc in amministrazione e in direzione conservano dei documenti che se andassero persi o rubati potrebbero costituire un danno per l'azienda. TECNOLOGICO Gli utenti hanno completo accesso alla share di rete che contiene i dati dell'azienda in forma documentale. Conservazione dei fattori di autenticazione ai conti bancari non sicura o conservati in luoghi facilmente accessibili ORGANIZZATIVO TECNOLOGICO RISCHIO MEDIO RISCHIO ALTO RISCHIO ALTO
  • 6. DELIVERABLE Per ogni rischio evidenziato viene suggerita un'azione di rimedio, l'urgenza e i tempi medi di realizzazione. Nella maggior parte dei casi si tratta di azioni che mettono in sicurezza le procedure con alcune modifiche agli attuali comportamenti senza implementazione di nuove tecnologie.
  • 7. I l p a r t n e r p e r i t u o i p r o g e t t i i n f o r m a t i c i I S A B I N F O R M A T I C A