Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Avv. Andrea Maggipinto
www.studiomra.it
...
CSIG
Tutela legale dei beni intangibili
La conoscenza è valore
" Segreto: informazione su fatti o cose che devono
rimanere...
CSIG
Quali informazioni sono protette?
! le informazioni aziendali (organizzative,
finanziarie, di gestione, di marketing)
...
CSIG
Tutela contrattuale
Misura preventiva: patto di riservatezza / accordo di
non divulgazione / non-disclosure agreement...
CSIG
Il piano illecito
Sottrazione e utilizzo delle informazioni e delle
banche dati
- archiviazione e condivisione sui co...
CSIG
Titolo della slide
(iii)
 sono sottoposte a idonee misure a
mantenerle segrete
• Misure di sicurezza (Documenti Progr...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Protezione e Controllo dell’informazione...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Ruolo del sistema informativo
nell'eroga...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Standard ISO 27001:2005
• The standard i...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Il ciclo continuo di innovazione
E' impo...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
L’importanza dello studio di fattibilità...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Gli strumenti a disposizione
STRUMENTI D...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG© 2010 Microsoft Corporation. Active Dire...
Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali
CSIG
Non una semplice formalità!
• Figura pro...
Upcoming SlideShare
Loading in …5
×

CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

290 views

Published on

La gestione delle informazioni e dei dati digitali è elemento imprescindibile per ogni operatore del mercato. Sicurezza e analisi dei rischi sono temi determinanti da affrontare con l’ausilio di moderne tecniche di project management, soprattutto per le aziende attente al rinnovamento e all’efficienza dei processi strategici, operativi e di supporto in ambito IT.
Il seminario, rivolto a professionisti e responsabili d’azienda che quotidianamente si confrontano con Internet e il mondo digitale, si propone di approfondire tematiche rilevanti e di condividere spunti di riflessione con chi intenda perseguire obiettivi di qualità nel pieno rispetto della normativa vigente, delle best practices di settore e degli standard ISO27001.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
290
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E VALORIZZAZIONE DELLE INFORMAZIONI AZIENDALI

  1. 1. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Avv. Andrea Maggipinto www.studiomra.it Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Ing. Igor Serraino www.serraino.it Avv. Andrea Maggipinto www.studiomra.it Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Avv. Andrea Maggipinto www.studiomra.it Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Ing. Igor Serraino www.serraino.it Avv. Andrea Maggipinto www.studiomra.it Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali Ing. Igor Serraino www.serraino.it Avv. Andrea Maggipinto www.studiomra.it CSIG Agenda Livelli di protezione e controllo ! legale: contrattuale e giudiziale ! organizzativo e tecnologico: sistema qualità Casi d’uso e riflessioni conclusive andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Protezione e controllo dell’informazione Sistema organizzativo aziendale tale da: • garantire che le informazioni siano disponibili alle persone autorizzate • evitare che persone non autorizzate entrino in possesso di informazioni riservate • tutelare riservatezza e confidenzialità • allinearsi alle best practices e agli standard • soddisfare la normativa vigente andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Livello legale di protezione e controllo ! Tutela legale ! Tutela contrattuale ! Azioni a difesa andrea.maggipinto@studiomra.it - www.maggipinto.org
  2. 2. CSIG Tutela legale dei beni intangibili La conoscenza è valore " Segreto: informazione su fatti o cose che devono rimanere riservati (relazione soggetto- conoscenza) " Know-How: conoscenze pratiche e saperi " Banche dati: insieme di dati/archivi collegati secondo un modello logico " Invenzioni: conoscenza di nuovi rapporti causali per l’ottenimento di un certo risultato riproducibile " Brevetto: il trovato o il processo innovativo suscettibile di applicazione industriale andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Tutela legale del patrimonio informativo Dipendenti • Art. 2105 Cod. Civ. (Obbligo di fedeltà): il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l'imprenditore, né divulgare notizie attinenti all'organizzazione e ai metodi di produzione dell'impresa, o farne uso in modo da poter recare ad essa pregiudizio Ex collaboratori e concorrenti • Art. 2598 Cod. Civ. (Atti di concorrenza sleale): Atti confusori, Denigrazione e appropriazione di pregi, Atti contrari alla correttezza professionale andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Informazioni (segrete) come bene aziendale Il Codice della Proprietà Industriale (artt. 98 e 99 del D.Lgs. 30/2005) vieta la divulgazione a terzi di informazioni necessarie e utili per il processo produttivo, distributivo o organizzativo di un’attività economica. Le informazioni però devono soddisfare certi requisiti: • segretezza • valore economico • sottoposte a “segregazione” andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Informazioni segrete Art. 98 CPI (Oggetto della tutela) 1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; b) abbiano valore economico in quanto segrete; c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete […] andrea.maggipinto@studiomra.it - www.maggipinto.org
  3. 3. CSIG Quali informazioni sono protette? ! le informazioni aziendali (organizzative, finanziarie, di gestione, di marketing) ! le esperienze tecnico-industriali e quelle commerciali ! i dati relativi a prove o altri segreti la cui elaborazione comporti un considerevole impegno economico e di tempo Assume rilevanza non tanto l'informazione in sé e per sé, ma il complesso di informazioni o la loro specifica configurazione e combinazione andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Know How “Patrimonio di conoscenze pratiche non brevettate derivanti da esperienze e da prove” (tecnologico, commerciale, finanziario, strategico) Reg. 772/04/CE (già Reg. n.96/240/CE): • segretezza • sostanzialità • identificabilità Valore economico: negoziazione andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Condizione di accesso alla tutela Onere di adottare misure “ragionevolmente adeguate” da parte del soggetto al cui legittimo controllo le informazioni sono soggette (titolare dell'impresa). Valutare in concreto e graduare la scelta: • condizioni di conservazione/detenzione delle informazioni • modalità di utilizzo • soggetti che possono accedere alle informazioni • progresso tecnologico • altre misure di natura organizzativa o tecnologica già adottate (misure di sicurezza privacy, policies aziendali, ecc.) • misure di natura contrattuale andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Tutela contrattuale Misura preventiva: patto di non concorrenza e non- sollicitation (Key People?) Da ricordare: “Il patto con il quale si limita lo svolgimento dell'attività del prestatore di lavoro, per il tempo successivo alla cessazione del contratto, è nullo (i) se non risulta da atto scritto, (ii) se non è pattuito un corrispettivo a favore del prestatore di lavoro e (iii) se il vincolo non è contenuto entro determinati limiti di oggetto, di tempo e di luogo. La durata del vincolo non può essere superiore a cinque anni, se si tratta di dirigenti, e a tre anni negli altri casi. Se è pattuita una durata maggiore, essa si riduce nella misura suindicata” (art. 2125 Cod. Civ.) andrea.maggipinto@studiomra.it - www.maggipinto.org
  4. 4. CSIG Tutela contrattuale Misura preventiva: patto di riservatezza / accordo di non divulgazione / non-disclosure agreement (Key People?) # “informazioni riservate” # durata # penali # garanzia anche per fatto e obbligazione di terzo (art. 1381 c.c.) # giudice competente e legge applicabile andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Azioni a difesa Azione giudiziaria ordinaria • provvedimenti: inibitoria / risarcimento del danno / pubblicazione della sentenza / retroversione degli utili Azione giudiziaria cautelare • fumus boni juris • periculum in mora • provvedimenti: descrizione / inibitoria / sequestro Sanzioni penali (art. 513 e art. 622 Cod. Pen.)andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Onere della prova Principio generale di cui all’art. 2697 Cod. Civ. Chi agisce in giudizio per tutelare le proprie informazioni da atti illeciti di terzi deve provare – ex artt. 98 e 99 CPI – la sussistenza delle tre condizioni per l’accesso alla tutela (lo ricorda il Tribunale di Bologna 4.10.2010) andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Un caso significativo Fattispecie: ! Impresa ! Settore peculiare ! Patrimonio aziendale composto da (A) informazioni segrete e know-how; (B) banche di dati andrea.maggipinto@studiomra.it - www.maggipinto.org
  5. 5. CSIG Il piano illecito Sottrazione e utilizzo delle informazioni e delle banche dati - archiviazione e condivisione sui computer aziendali - utilizzo per newsletter - liste di distribuzione: soggetto terzo coinvolto Storno di dipendenti - sollecitazione alle dimissioni - assunzione e ricerca della loro collaborazione andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Descrizione giudiziale Ai sensi degli artt. 161 della legge 633/1941 (LDA) e 129 del D.Lgs. 30/2005 (CPI) • il titolare dei diritti può chiedere la descrizione degli "oggetti costituenti violazione di tale diritto, nonché dei mezzi adibiti alla produzione dei medesimi e degli elementi di prova concernenti la denunciata violazione e la sua entità" (art. 129 CPI). • finalità: acquisire la prova dell’illecito ed evitare che in futuro si possa sostenere di non avere estratto e/ o duplicato e/o riprodotto e/o rivelato e/o acquisito e/o detenuto e/o comunque utilizzato le informazioni, il know-how e le banche dati andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Onere probatorio E’ stato necessario provare che le informazioni possedevano le tre caratteristiche richieste per la loro tutela ai sensi e per gli effetti di cui agli artt. 98 e 99 CPI (i) segretezza • non sono note agli altri operatori concorrenti, né sono liberamente accessibili. • non è possibile reperire (neppure una parte sostanziale delle informazioni) altrove, per esempio attraverso una ricerca in archivi cartacei, su pagine bianche, online, su siti associativi, social network, nelle banche dati della camera di commercio o creditizie andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Titolo della slide (ii) valore economico (proprio perché non sono note né accessibili ai concorrenti) • La raccolta e la gestione delle Informazioni è costata anni di notevoli investimenti, impegno e spese; le informazioni consentirebbero a chi ne entrasse in possesso di ricavare elementi determinanti per realizzare e proporre prodotti e servizi magari a condizioni più convenienti, o comunque mirati a una clientela già faticosamente curata e selezionata, risparmiando così tempi e costi significativi per l’autonoma creazione del proprio “portafoglio” andrea.maggipinto@studiomra.it - www.maggipinto.org
  6. 6. CSIG Titolo della slide (iii) sono sottoposte a idonee misure a mantenerle segrete • Misure di sicurezza (Documenti Programmatici ex d.lgs. 196/2003, Manuali sulla sicurezza, clausole contrattuali) • l’accesso di ciascun utente può avvenire solo attraverso un processo di autenticazione protetto da password • il server dell’azienda non è accessibile in remoto e la rete è comunque protetta da firewall (hardware e software) di ultimissima generazione e in costante aggiornamento andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG In cosa consiste Descrizione dei file in formato elettronico presenti sul server, sui computer, su qualunque supporto, come Cd-Rom, DVD, chiavette USB e altro, nonché delle agende e delle rubriche, anche elettroniche, degli elenchi delle telefonate, della corrispondenza, di tabulati e/o elenchi, delle schede clienti, del materiale commerciale e promozionale e comunque di tutta la documentazione e/o i file relativi al titolare dei diritti violati, nonché la descrizione della documentazione commerciale e contabile relativa all’utilizzazione delle Informazioni, del know-how e delle banche di dati, anche al fine di individuare se vi siano altri soggetti coinvolti nell'illecito. andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Esito della descrizione Il CTU nominato dal Tribunale e l’Ufficiale Giudiziario competente, nel corso della descrizione, hanno trovato sui computer e sul server della società concorrente una massiccia quantità di dati pertinenti alla controversia Il tutto è stato acquisito su DVD sigillato, custodito in cancelleria e inizialmente non accessibile alle parti. andrea.maggipinto@studiomra.it - www.maggipinto.org CSIG Next step: sequestro e inibitoria Sequestro dei dati (ai sensi e per gli effetti di cui agli art. 129 CPI e 161 LDA) • Finalità: evitare che le Informazioni e le Banche di dati rimanessero di fatto nella disponibilità del concorrente Inibitoria all’utilizzo delle Informazioni e delle Banche di dati (ai sensi e per gli effetti di cui agli artt. 131 CPI e 156 LDA) Inibitoria all’impiego dei dipendenti stornati (ex art. 700 Cod. Proc. Civ., art. 2598 Cod. Civ.). Pubblicazione del provvedimento andrea.maggipinto@studiomra.it - www.maggipinto.org
  7. 7. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Protezione e Controllo dell’informazione Livello organizzativo e livello tecnologico Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Nuovi modelli di processo • Ad oggi è sempre maggiore la % di aziende che ha già intrapreso percorsi di rinnovamento IT, basati su modelli di processo e metodologie moderne • Prima metà degli anni ‘90: le procedure focalizzano l’attenzione sul prodotto finito e sui processi manifatturieri • Raggiungere l’obiettivo (adeguati standard qualitativi) significava seguire una strada decisamente tortuosa • Eccessiva formalità delle norme da applicare • Vocabolario oscuro • Eccessiva burocrazia • Mancanza di strumenti informatici adeguati e costi ancora troppo elevati Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG L’avvento dell’informatizzazione • Pervasività delle nuove tecnologie • Progressiva sostituzione del cartaceo con il digitale • Riduzione delle risorse temporali che l’azienda deve dedicare al perseguimento degli obiettivi • Integrazione del sistema di qualità con gli strumenti strumenti hardware e software già presenti in azienda • Progressivo cambio generazionale degli addetti al backoffice Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il concetto di servizio e l’informatica Fornire un servizio: soddisfare i bisogni e le aspettative dell’utilizzatore •Necessario disaccoppiare il concetto di qualità di un servizio dal costo che il cliente/utilizzatore deve pagare per ottenerlo •Servizi complessi, prodotti tecnologicamente avanzati, ritrovano nel concetto di qualità un fattore di successo •Il processo produttivo o di erogazione del servizio riveste un ruolo fondamentale nel garantire adeguati livelli di qualità •L’informatica rappresenta uno strumento , non una garanzia assoluta di successo
  8. 8. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Ruolo del sistema informativo nell'erogazione del servizio L'utente richiede un servizio o un prodotto Servizio o prodotto Sistema informativo Strutture organizzative Sistema informatico Supporta, fornisce strumenti Utilizza Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG ISO: International Organization for Standardization • La Qualità: capacità di un insieme di caratteristiche inerenti un prodotto, sistema o processo di ottemperare a requisiti di clienti o di altre parti interessate • L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 UNI EN ISO 9000:2005 (Sistemi di gestione per la qualità – Fondamenti e terminologia) Descrive I fondamenti dei sistemi di gestione per la qualità (intesi come modelli di management) e specifica il Dizionario della qualità UNI EN ISO 9001:2008 (Sistemi di gestione per la qualità – Requisiti) Indica I requisiti di un SGQ – Sistema di Gestione per la Qualità (da intendersi come modello di management) ed è propedeutica anche al conseguimento della certificazione di qualità UNI EN ISO 9004:2008 (Sistemi di gestione per la qualità – Linee guida per il miglioramento delle prestazioni) Fornisce gli orientamenti per il miglioramento continuo della performance dell’organizzazione ISO/IEC 27001:2005 (Requisiti di un sistemi di gestione della Sicurezza delle informazioni) The ISO27k (ISO/IEC 27000-series) standards concern the protection of valuable information assets through information security, particularly the use of Information Security Management Systems (ISMSs). Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Information Security Management System (ISMS) • Standard ISO/IEC 27001 • Suite di standard di grande interesse per l’azienda • Fornisce strumenti fondamentali a livello organizzativo per una corretta gestione della sicurezza IT in azienda • Norma a valore internazionale che stabilisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS) Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Information Security Management System • L’obiettivo di un ISMS (Information Security Management System) è quello di realizzare una serie di routines mirate al security control che permettano di garantire un livello di protezione delle informazioni ADEGUATO al contesto aziendale, sia dal punto di vista interno che da quello del cliente • La norma certifica le linee guida e gli strumenti a disposizione per arrivare al risultato atteso
  9. 9. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Standard ISO 27001:2005 • The standard is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties including an organization’s customers and suppliers. • Direttiva 1: proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità. • Direttiva 2: fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni finalizzato ad una corretta gestione dei dati aziendali soggetti a tutela. Security Tutela personali, sensibili, giudiziari Contesto privacy Contesto 27001 Componenti di business Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG L’azienda ISO/IEC 27001 compliant • Possiede un’architettura hardware, software, gestionale (comprehensive framework) su cui sviluppare e implementare politiche di gestione della sicurezza • Risk-based approach: il modello di ISMS generato durante i vari steps è fortemente contestualizzato alla realtà aziendale. • Gestione delle risorse umane: il modello proposto permette di assicurarsi che figure professionali dalle competenze adeguate siano allocate alla gestione delle aree critiche • Completa protezione delle informazioni, dal punto di vista dei tre canoni fondamentali: riservatezza, integrità, disponibilità. • L’ISMS è qualitativamente allineato a sistemi gestionali standard come le ISO9001. • Può forgiarsi di un attestato di terze parti, garanzia di applicabilità della normativa e delle regole previste • Aumento della competitività aziendale: la certificazione garantisce alla clientela che la sicurezza delle loro informazioni personali non è in discussione • Attestazione di impegno assoluto e di impiego di risorse per risolvere e gestire problematiche inerenti la sicurezza Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Riflessioni pre-operative • Quali sono le riflessioni che hanno portato alla decisione di adottare un modello di processo adeguato ai canoni imposti dal sistema di qualità? • Esiste una adeguata motivazione al cambiamento, nell'organigramma aziendale? • L'impatto che il cambiamento avrà sull'attività aziendale, sia dal punto di vista del back-office che del front-office, è attestato dalla Project Board? • La gestione di eventuali (e probabili) problematiche dovute al cambiamento è stata pianificata, in fase di starting up? • La normativa e gli standard da seguire durante le attività necessarie per il cambiamento sono ben chiare e definite? Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Risk-based approach • Un approccio RISK-BASED (ISO/IEC 27005:2011) assicura che il sistema implementato risulti: • affidabile • contestualizzato alla realtà operativa • Identificate le aree di rischio, per ciascuna delle quali è necessario valutare l’impatto (che dipende dal valore e dal settore dell’azienda sotto analisi) e la probabilità di accadimento.
  10. 10. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il ciclo continuo di innovazione E' importante che le attività di rinnovamento siano percepite come in continuo divenire Non esiste un punto di inizio e un punto di fine: sono gli obiettivi aziendali e i nuovi stimoli proposti dal mercato a stabilire quando un “ciclo” di innovazione va a terminare e quando ne inizia un altro La CERTIFICAZIONE non può essere un punto di arrivo, deve costituire un traguardo (una sorta di gratificazione per l'ottimo lavoro svolto) Raggiunta la certificazione ISO, la procedura di rinnovamento non deve arrestarsi bruscamente. E' l'evoluzione delle tecnologie dell'informazione a dettare le regole. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il ciclo del miglioramento continuo (Deming cycle) Identificare e analizzare il problema Definire il piano di lavoro, pianificare e allocare le risorse necessarie Costruire una soluzione completa Chi? (responsabili) Cosa? (punti critici) Quando? (scadenze) Come? (tecnologie) Risultati desiderati (e punti deboli) Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Fattori di successo e insuccesso •analizzare S.I. esistente: individuazione e descrizione dei processi, correlazione dei processi con l’organizzazione, individuazione dell’architettura IT •definire rigorosamente degli obiettivi •scegliere approcci reingegnerizzazione e tecnologie •comprendere punti deboli e rischi •contestualizzare il processo di rinnovamento a una data tecnologia, e far percepire al personale «il «cambiamento di abitudini» •«è nuovo deve essere buono» •«tutti lo fanno» •perseguire obbiettivi confusi o troppo generici •sottovalutare l’analisi dei rischi e lo studio di fattibilità Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il ciclo di innovazione del S.I. • Pianificazione delle risorse allocabili, studio di fattibilità • Analisi dell’infrastruttura informatica già esistente, rinnovamenti necessari? Imprescindibili? • Pianificazione delle risorse da allocare. • Analisi sullo stato del processo • Attuazione degli interventi migliorativi previsti, introduzione di nuove tecnologie: e-procurement, fatturazione elettronica, drastica riduzione del cartaceo • Frequenti checkpoint (valutazione) • Nomina dell’Amministratore del S.I. • Passaggio da uno step all’altro attraverso entry/exit criteria
  11. 11. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG L’importanza dello studio di fattibilità • Fattibilità tecnica - Verifica se gli aspetti tecnici della proposta sono effettivamente realizzabili • Fattibilità organizzativa - Verifica se la proposta è realizzabile nell’ambito della organizzazione esistente • Fattibilità economica - Verifica se le risorse necessarie per la realizzazione del sistema (costi) sono giustificate dai ritorni prevedibili, espressi in termini di benefici • Fattibilità temporale - Verifica se il sistema è realizzabile nei termini in cui continua ad essere utile alla organizzazione • Fattibilità motivazionale - Verifica l’effettivo grado di accettabilità che gli utenti potranno esprimere rispetto al nuovo sistema, una volta realizzato Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Finalità dello studio di fattibilità • La realizzazione di un qualunque sistema informativo rappresenta per una azienda un investimento che mobilita risorse: finanziarie – umane - impiantistiche • La scarsità di tali risorse richiede che vengano effettuate valutazioni sui progetti proposti che portino a dimostrarne la fattibilità e la convenienza economica. • Tra tutti i progetti che superano il test precedente è poi necessario effettuare un confronto comparativo che stabilisca una scala di priorità. • Ogni progetto potrà poi avere diverse soluzioni architetturali tecnico organizzative, per ciascuna delle quali sarà necessario valutare la convenienza economica e la fattibilità. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Un possibile studio di fattibilità Progetto di massima della soluzione Analisi del rischio Analisi costi-benefici Produzione capitolato contratto e scelta del fornitore Conclusioni? •Il progetto non si può realizzare •Il progetto si può realizzare, ma è necessario un intervento organizzativo •Il progetto si può realizzare con questa soluzione, con questi costi, con questi rischi •Il progetto si può realizzare, diverse soluzioni tra cui scegliere Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Riflessioni: il fattore economico Fondamentale: •motivare l'acquisto di nuovi apparati HW e SW alla luce del cambiamento organizzativo in essere •garantire l'usabilità delle nuove infrastrutture •identificare le risorse umane preposte all'utilizzo: verificare che la preparazione informatica sia adeguata •garantire adeguata preparazione sulle principali norme del sistema di qualità, in riferimento alla nuova infrastruttura introdotta •una qualsiasi iniziativa di miglioramento deve puntare a massimizzare il livello di coerenza interna (environment) e esterna di una organizzazione.
  12. 12. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Gli strumenti a disposizione STRUMENTI DI PRODUTTIVITA’ INDIVIDUALE Office, CAD, applicativi di modellizzazione, CRM ad hoc, software client web, email SOFTWARE AD USO CONDIVISO ERP, CRM CLIENT/SERVER, DATA WAREHOUSE, BUSINESS INTELLIGENCE MONITORIZZAZIONE QUALITA’ Security administrator and Supervisor La scelta e l’adattamento delle tecnologie al livello culturale ed al ruolo degli utenti sono aspetti essenziali per poter conseguire una buona efficacia nell’utilizzo degli strumenti messi a disposizione ! Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Frammentazione banche dati: scenario tipico DB uff. vendite 3 postazioni DB uff. contabilità 1 postazione 1. DB ufficio vendite replica dati contenuti nel DB ufficio contabilità (ridondanza, incoerenza) 2. Architettura del sistema informatico inadeguata: DB non centralizzato, logica client/server primitiva, livello business non separato dal livello database 3. Applicativi eterogenei, formati non interscambiabili (presenza di versioni obsolete di suite office) 4. Assenza dei più elementari criteri di protezione sulle singole postazioni (password disabilitate, documenti critici posizionati su cartelle pubbliche, strategie di condivisione ben definite) • PROBLEMATICA: dati clientela ridondanti e incoerenti. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il problema delle e-mail • TROPPI CLIENT ! • Per ogni postazione informatica (addetto interno) risulta presente un client di posta ad uso singolo (Outlook Express, client ormai obsoleto) • Non vi è alcuna politica centralizzata di gestione archivio e-mail, la conservazione e la catalogazione sono compiti delegati all’utente (account pop3…): tecniche contingenti e non rigorose • Il client utilizzato non è dotato di strumenti nativi per una gestione metodica di problematiche come lo spam (inquinamento archivio) • Backup e ripristino difficoltoso, in caso di sostituzione pc • Mancano strumenti per garantire integrità e autenticità, quali firma digitale e PEC • Non è implementato alcun meccanismo nativo per la verifica destinatari o altre facilities pre-inoltro • ISO 9001: 4.2.3 “I documenti richiesti dal sistema di gestione per la qualità devono essere tenuti sotto controllo…“ e 4.2.4 “…Le registrazioni devono rimanere leggibili, facilmente identificabili e rintracciabili” Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG MS Exchange 2010 Retention policies (archiviazione caselle postali) • Attraverso le retention policies configurabili sul server Exchange è anche possibile fare in modo che l’archiviazione avvenga in modo automatico. • Oggetti contenuti nella mailbox vengono spostati nell’archivio in modo automatico dopo un certo numero di giorni o secondo altri criteri personalizzabili • Così facendo la struttura delle cartelle presente nella cassetta postale verrà ricreata in modo automatico anche all’interno dell’archivio, mantenendo quindi l’organizzazione creata dall’utente.
  13. 13. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG© 2010 Microsoft Corporation. Active Directory, ActiveSync, Internet Explorer, Microsoft, Outlook, Office Communicator, Windows, Windows Mobile, Windows PowerShell, and Windows Server are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. All rights reserved. Other trademarks or trade names mentioned herein are the property of their respective owners. Destinatario errato? Messaggio troppo pesante? Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Gestione centralizzata banche dati • UN NUOVO SISTEMA INFORMATIVO Postazioni ufficio vendite Postazioni contabilità Altre postazioni Windows Server 2008 Security administrator and Supervisor Gestione email centralizzata Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Il Ruolo dell’amministratore di sistema (ISSM) • Richiesto dal d.lgs. 196/03 , aggiornamento 2008 • Ruolo fondamentale nell’ ISO27001 Certification Process • “Con la definizione di «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.” (punto 1 del provvedimento 27/11/2008) Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG La nomina e le responsabilità dell’Amministratore • Il Titolare (o il responsabile) deve effettuare la nomina ad amministratore di sistema “previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo della sicurezza”. • La nomina è individuale e i suoi compiti possono essere riassunti dai seguenti tre punti chiave: 1. Gestire l’implementazione e lo sviluppo dei sistema di security digitale dell’azienda 2. Verificare che le politiche di sicurezza, gli standard e le procedure siano applicate correttamente 3. Coordinare e prendere parte alle operazioni di ispezione e controllo, test di simulazione, revisioni procedurali
  14. 14. Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Non una semplice formalità! • Figura professionale individuata all’interno dell’organigramma aziendale o, se esterna, NO a soggetti che solo occasionalmente intervengono sui sistemi, ad esempio a seguito di guasti, manutenzioni, installazioni. • Fondamentale per garantire adeguato supporto a figure professionali in outsourcing, durante le 4 fasi del ciclo di rinnovamento • “il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.” (art. 29 D.lgs 196/2003) • Caratteristiche professionali necessarie • Competenze informatiche di base • Conoscenza della topologia di rete locale • Disponibilità e motivazione all’aggiornamento professionale, in ambito informatico (corsi di addestramento) • Reperibilità garantita • Formazione in ambito privacy e sicurezza dei dati Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali CSIG Riflessioni conclusive • Per valorizzare e proteggere le informazioni è necessario che l’azienda assuma un ruolo attivo • Non bastano le norme vigenti previste dall’ordinamento - che pur devono essere note - per far valere i propri diritti • E’ opportuno e altamente consigliato adottare misure – anche contrattuali – che proteggano gli investimenti e il futuro dell’azienda da danni irreparabili • L’azienda deve insomma poter accedere alla tutela legale che l’ordinamento prevede, se e in quanto siano state adottate “misure adeguate” di protezione • E’ necessario conoscere e utilizzare opportunamente gli strumenti messi a disposizione dall’informatica moderna • L’avvio di un processo di rinnovamento aziendale deve necessariamente essere preceduto da adeguate fase preliminari e studi di fattibilità • L’adesione a standard di sicurezza come le norme della famiglia ISO 27001 e ai relativi modelli di processo permette di seguire strade ben illuminate e definite • Fondamentale individuare e nominare figure professionali consone al ruolo che dovranno ricoprire all’interno del sistema informativo aziendale! Ing. Igor Serraino www.serraino.it igor@serraino.it Avv. Andrea Maggipinto www.studiomra.it andrea.maggipinto@studiomra.it Grazie per l’attenzione

×