SUPSI 10 dicembre 2019 - slide presentate da Maurilio Savoldi
IL FUTURO DELLA QUALITA' - la cultura della cybersecurity per garantire la soddisfazione del cliente
Rischi ed opportunità dello SmartworkingMarcoLongoni7
Webinar del 22 Aprile 2020 con LM Team S.r.l. e Big Insurance Brokers.
Intervento Avv. Marco Longoni
Altri Relatori: Ing. Lodovico Mabini e Dott. Massimo Calandra
Rischi ed opportunità dello SmartworkingMarcoLongoni7
Webinar del 22 Aprile 2020 con LM Team S.r.l. e Big Insurance Brokers.
Intervento Avv. Marco Longoni
Altri Relatori: Ing. Lodovico Mabini e Dott. Massimo Calandra
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoPar-Tec S.p.A.
In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha fornito una panoramica del DevSecOps, una evoluzione della metodologia DevOps in cui i controlli di sicurezza e di quality assurance vengono integrati sin dalle prime fasi dello sviluppo.
I punti trattati in questa presentazione sono:
- Dal Waterfall al DevOps: lo sviluppo Agile
- Dal Waterfall al DevOps: il paradigma DevOps
- DevSecOps: non una semplice buzzword
- Le sfide della Continuous Security
- Chi affronterà queste sfide?
- Il DevSecOps Maturity Model
- I controlli di sicurezza
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/devsecops-la-cybersecurity-sposa-lo-sviluppo-moderno
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
"La modellizzazione dei processi" - webinar SUPSI
I processi sono al centro di tutte le organizzazione e di ogni cambiamento delle stesse; dalla “Qualità Totale” degli anni ottanta, ai progetti di digitalizzazione attuali, passando per i sistemi gestionali (Iso 9001, 14001, 27001,45001, ma anche GDPR/LPD,…) i processi sono i protagonisti dei cambiamenti aziendali.
Mapparli e rappresentarli nel modo adeguato alle necessità, è uno degli elementi cardine per individuare punti di forza e di debolezza delle organizzazioni.
LA DIGITALIZZAZIONE DEI PROCESSI - MITI, FALSI MITI E VARITA'Maurilio Savoldi
"La segretaria quasi privata" (“Desk set”) è un film del 1957 con Katharine Hepburn e Spencer Tracy; narra, con la leggerezza della commedia americana degli anni 50, della reazione all'introduzione di un computer, EMERAC, in una compagnia radiofonica.
Il film, sicuramente uno dei primi in cui il tema della "digitalizzazione" fa da sfondo alla trama, è lo spunto per approfondire alcuni aspetti, i miti, i falsi miti e, alcune, verità sulla digitalizzazione dei processi durante un webinar, organizzato dal Dipartimento Tecnologie Innovative di SUPSI (Scuola Universitaria Professionale della Svizzera Italiana) che è andato in onda il 20 maggio alle 12:30.
Queste sono le slide dell'evento
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoPar-Tec S.p.A.
In occasione del webinar organizzato con ImpresaCity e One Identity, il TechAdvisor Michelangelo Uberti ha fornito una panoramica del DevSecOps, una evoluzione della metodologia DevOps in cui i controlli di sicurezza e di quality assurance vengono integrati sin dalle prime fasi dello sviluppo.
I punti trattati in questa presentazione sono:
- Dal Waterfall al DevOps: lo sviluppo Agile
- Dal Waterfall al DevOps: il paradigma DevOps
- DevSecOps: non una semplice buzzword
- Le sfide della Continuous Security
- Chi affronterà queste sfide?
- Il DevSecOps Maturity Model
- I controlli di sicurezza
Per saperne di più guardate la registrazione del webinar su https://www.par-tec.it/devsecops-la-cybersecurity-sposa-lo-sviluppo-moderno
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
"La modellizzazione dei processi" - webinar SUPSI
I processi sono al centro di tutte le organizzazione e di ogni cambiamento delle stesse; dalla “Qualità Totale” degli anni ottanta, ai progetti di digitalizzazione attuali, passando per i sistemi gestionali (Iso 9001, 14001, 27001,45001, ma anche GDPR/LPD,…) i processi sono i protagonisti dei cambiamenti aziendali.
Mapparli e rappresentarli nel modo adeguato alle necessità, è uno degli elementi cardine per individuare punti di forza e di debolezza delle organizzazioni.
LA DIGITALIZZAZIONE DEI PROCESSI - MITI, FALSI MITI E VARITA'Maurilio Savoldi
"La segretaria quasi privata" (“Desk set”) è un film del 1957 con Katharine Hepburn e Spencer Tracy; narra, con la leggerezza della commedia americana degli anni 50, della reazione all'introduzione di un computer, EMERAC, in una compagnia radiofonica.
Il film, sicuramente uno dei primi in cui il tema della "digitalizzazione" fa da sfondo alla trama, è lo spunto per approfondire alcuni aspetti, i miti, i falsi miti e, alcune, verità sulla digitalizzazione dei processi durante un webinar, organizzato dal Dipartimento Tecnologie Innovative di SUPSI (Scuola Universitaria Professionale della Svizzera Italiana) che è andato in onda il 20 maggio alle 12:30.
Queste sono le slide dell'evento
Standardizzazione ed ottimizzazione dei processi e delle attività - webinarMaurilio Savoldi
Standardizzazione e ottimizzazione vanno di pari passo, “non si può ottimizzare ciò che non è standardizzato, e ottimizzato ciò che è standardizzato” è una massima che, come indica Taiichi Ohno deve guidare manager e imprenditori sulla strada della gestione quotidiana e del miglioramento.
Ma nonostante questo molte aziende non riescono ad implementare in modo soddisfacente standard di lavoro condivisi, “rinunciando” così a molti vantaggi, quali una maggiore razionalizzazione dei flussi di lavoro, la visibilità in tempo reale sulle attività svolte, un rapido collegamento dei lavoratori alle informazioni di cui hanno bisogno,…
Elementi che sono fondamentali anche in un’epoca sempre più digitale come quella che stiamo vivendo, sia in ambito produttivo, dove questi approcci sono nati, ma anche, e aggiungerei soprattutto, in ambito dei servizi dove questi approcci sono spesso trascurati.
Ne parleremo nel corso di questo webinar, dove forniremo una panoramica di tecniche e strumenti, con un approccio molto pratico, così da avere un quadro utile ad evitare le insidie e individuare approcci corretti per sostenere nel tempo le pratiche di “standard work”.
Autore
Maurilio Savoldi è un consulente e formatore che si occupa di progetti di implementazione e sviluppo di sistemi gestionali (Qualità, Sicurezza dei Sistemi informativi e GDPR), miglioramento continuo, riorganizzazione dei processi e implementazione di sistemi di misura delle performance. Consulente aziendale, partner di Value4b e Relinc Consulting, e Docente di Business Process Management (BPM) presso il Dipartimento Tecnologie Innovative della Scuola Universitaria Professionale della Svizzera Italiana (SUPSI).
Una check list di autocontrollo per verificare l'adeguamento alla cosiddetta fase 2 del "locKdown" pe rCOVID-19 e garantire la continuità operativa delle imprese
La ISO 37001: un impegno concreto per contrastare i fenomeni corruttiviMaurilio Savoldi
Con la norma ISO 37001:2016 “Sistemi di gestione per la prevenzione della corruzione” è disponibile su scala internazionale uno standard per la prevenzione dei rischi di corruzione in tutti i tipi di organizzazioni.
La norma è pienamente integrabile con tutte le altre norme gestionali ISO, consentendo un’agevole integrazione con gli standard già diffusi, (per esempio la ISO 9001)
Il sistema introdotto dalla ISO 37001 definisce le misure di prevenzione e i controlli adottabili da un’Organizzazione per prevenire il compimento di atti corruttivi da parte dei propri dipendenti, dei collaboratori o da qualunque soggetto agisca in suo nome o per suo conto, promuovendo una cultura aziendale basata sull’etica e sulle buone pratiche commerciali. La certificazione ISO 37001, riconosciuta a livello internazionale, consente peraltro un miglioramento dell'immagine aziendale, con una conseguente maggiore fiducia in tutti gli stakeholder ed una fidelizzazione dei partner /clienti nazionali ed internazionali.
Ma cosa significa implementare tale sistema? Qui potrete vedere le slide del webinar SUPSI dedicato alla Iso 37001
Un corso per comprendere:
- In che modo il governo di un processo contribuisce alla creazione di valore?
- Quali sono i concetti chiave dell’attività di gestione di un processo?
Quali strumenti è possibile utilizzare per ottenere i risultati attesi?
La "School of Engineering and Architecture" di Fribourg sceglie TOPP TI per supportare il suo programma cantonale di innovazione snella trasformazione nella Industry 4.0
PRESTO un potente strumento a disposizione delle aziende per il monitoraggio in tempo reale dei processi e delle attività.
Grazie a PRESTO sarà possibile esercitare al meglio il governo dell’impresa e/o dei suoi singoli reparti, garantendo maggior efficacia, massima efficienza e piena conformità a norme, legislazione e linee guida di riferimento, e senza nessuna installazione, semplicemente collegandosi a internet!
PRESTO è perfetto per affiancare i sistemi gestionali (qualità, ambiente, sicurezza, GDPR,...), i progetti di miglioramento (TQM, Lean, SixSigma,...), lo sviluppo d'impresa (pianificazione strategica, monitoraggio KPI, piani d'azione,...), la crescita delle persone e la diffusione di idee e molto altro ancore.
17 moduli indipendenti e perfettamente scalabili, fanno di PRESTO uno strumento eccezionale ad un prezzo che stupirà!
PRESTO di Topp Tactial Intelligence, Una soluzione per il miglioramento delle prestazioni del business che offre una nuova prospettiva operativa a molti aspetti della gestione aziendale, che spesso vengono ignorati con approcci tradizionali
Corso "Sistemi di monitoraggio e indicatori di performance"Maurilio Savoldi
Nell'ambito dei percorsi di formazione continua di breve durata, percorsi formativi basati su un sistema modulare, che permette di pianificare la propria formazione in modo ottimale, nei giorni 12, 14 e 20 marzo, si terrà il corso:
"Sistemi di monitoraggio e indicatori di performance"
1. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
IL FUTURO DELLA
QUALITÀ: la cultura della
cybersecurity per
garantire la soddisfazione
del cliente
SUPSIMAURILIO SAVOLDI
Consulente e Formatore
Value4b – SUPSI – Relinc Consulting
2. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Mi presento
2
‐ Docente di Business Process Management
(BPM) presso il Dipartimento di Tecnologie
Innovative della Scuola Universitaria
Professionale della Svizzera Italiana-SUPSI
‐ Auditor di terza parte Iso 9001
e Iso 27001
Processi
Sistemi di gestione
Miglioramento
Tecnologia
Formazione
‐ Titolare della Value4b (www.value4b.ch)
‐ Partner di Relinc Consulting (www.relinc.it) società di
consulenza specializzata nell’area del miglioramento di
processo e BPM, partner italiano di PNMsoft, QPR
Software e TOPP-TI
3. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 3
Certificazione
sistemi di gestione
Assicurazione
contro i rischi
4. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
…processi, persone e tecnologie, rappresentano
un "unicum" su cui lavorare in modo integrato
4
CLOUD
CRUSCOTTO dei PROCESSI CUSTOMER STARTS
REQUEST
5. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 5
…l'accesso alla tecnologia non
è un problema, al massimo
potrebbe diventare un
problema economico!
Sicuramente, sul mercato,
c'è la soluzione più adatta
ale vostre esigenze!
6. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 6
…perché, tutta la
tecnologia del
mondo non
serve se…
7. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 7
Nell'ultimo anno ho maturato
alcune esperienze
…le persone e le
organizzazioni non
sono "attrezzate"!
8. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 8
Perché il futuro
(o sicuramente uno
scenario futuro)
della qualità?
9. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 9
Un'azienda che, seppur dotata di un
adeguato sistema di gestione qualità,
non tratta
in modo adeguato i dati personali dei suoi
clienti, dipendenti o fornitori, oppure che
non garantisce
un'adeguata protezione a dati e
informazioni trattate può dire di lavorare
in qualità?
10. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 10
Iso 31000
Iso 27701 e
GDPR/RLPDP
Iso 9001
Iso 22301Iso 27001
maurilio.savoldi@value4b.ch
11. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 11
…il concetto di
condivisione e
protezione di dati e
informazioni non è
nuovo…
12. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 12
…quello che oggi rende tutto più complicato
è la "variabile digitale"…
19. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 19
L'affermazione:
"La frase più pericolosa in
assoluto è:
abbiamo sempre fatto così.”
Grace Murray Hopper
(New York, 9 dicembre 1906 – Arlington, 1º gennaio 1992)
è stata una matematica, informatica e militare
statunitense definita da molti una pioniera della
programmazione informatica.
20. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 20
Con le persone
che sono le figure
chiave
21. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Sicurezza delle informazioni
Molte persone considerano la sicurezza delle informazioni un problema di
tecnologia.
Ritengono che qualsiasi cosa abbia a che fare con la sicurezza dei dati o la
protezione dei computer dalle minacce, sia qualcosa che soltanto gli
specialisti (specificamente i professionisti della sicurezza dei computer)
possono gestire.
Niente di più lontano dalla verità.
È l’utente che deve decidere da quali minacce proteggersi e quali
compromessi tra sicurezza e flessibilità è disposto ad accettare.
Certo, una volta prese le decisioni, lo specialista di sicurezza deve progettare
ed attuare una soluzione tecnologica che fornisca tali risultati, ma sulle
specifiche e secondo la valutazione dei rischi dell’utente.
21
22. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 22
Questo richiede
forte attenzione allo
sviluppo della
cultura della
cybersecurity
26. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
Un framework per la sviluppo della
cultura della sicurezza informatica
28
1. Consapevolezza
2. Analisi
3. Plan
4. Implementazione
5. Valutazioni e
identificazione di
eventuali azioni
correttive
27. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 29
Immagine di Karn-b - Karn G. Bulsuk (http://www.bulsuk.com).
La sicurezza è un processo, non un prodotto,
un processo di miglioramento continuo
29. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 31
…introdurre le
5S della
Cybersecurity…
30. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
32
Nel mondo "lean organizational, le 5S sono un acronimo
che si riferisce ai cinque termini in lingua giapponese che
sono una delle basi del miglioramento continuo
32
Ordine
(Seiri)
Sistemazione
(Seiton)
Standardizzazione
(Seiso)
Evidenziazione,
anomalie ed
opportunità
(Seiketsu)
Miglioramento
continuo
(Shitsuke)
31. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
33
Le 5S sono una delle basi del miglioramento
continuo
33
Ordine
(Seiri)
Sistemazione
(Seiton)
Standardizzazione
(Seiso)
Evidenziazione,
anomalie ed
opportunità
(Seiketsu)
Miglioramento
continuo
(Shitsuke)
32. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
34
Basare un percorso di sviluppo della cultura, e di
conseguenza del miglioramento continuo, su un
framework come quello individuato dal CIS:
" 15 Controlli Essenziali di Cybersecurity"
34
34. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
36
I 15 Controlli Essenziali di Cybersecurity
A. Inventario dispositivi e software
1. Esiste ed è mantenuto aggiornato un inventario dei sistemi,
dispositivi, software, servizi e applicazioni informatiche in uso
all’interno del perimetro aziendale.
2. I servizi web (social network, cloud computing, posta elettronica,
spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono
quelli strettamente necessari.
3. Sono individuate le informazioni, i dati e i sistemi critici per
l’azienda affinché siano adeguatamente protetti.
4. È stato nominato un referente che sia responsabile per il
coordinamento delle attività di gestione e di protezione delle
informazioni e dei sistemi informatici
36
35. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
37
I 15 Controlli Essenziali di Cybersecurity
B. Governance
5. Sono identificate e rispettate le leggi e/o i regolamenti con
rilevanza in tema di cybersecurity che risultino applicabili per
l’azienda
C. Protezione da malware
6. Tutti i dispositivi che lo consentono sono dotati di software di
protezione (antivirus, anti-malware, ecc...) regolarmente
aggiornato.
37
36. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
38
I 15 Controlli Essenziali di Cybersecurity
38
D. Gestione password e account
7. Le password sono diverse per ogni account, della complessità
adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più
sicuri offerti dal provider del servizio (es. autenticazione a due
fattori).
8. Il personale autorizzato all’accesso, remoto o locale, ai servizi
informatici dispone di utenze personali non condivise con altri;
l’accesso è opportunamente protetto; i vecchi account non più
utilizzati sono disattivati.
9. Ogni utente può accedere solo alle informazioni e ai sistemi di cui
necessita e/o di sua competenza
E. Protezione da malware
10. Tutti i dispositivi che lo consentono sono dotati di software di
protezione (antivirus, anti-malware, ecc...) regolarmente aggiornato.
37. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
39
I 15 Controlli Essenziali di Cybersecurity
39
F. Protezione dei dati
11. La configurazione iniziale di tutti i sistemi e dispositivi è svolta da
personale esperto, responsabile per la configurazione sicura degli
stessi. Le credenziali di accesso di default sono sempre sostituite
12. . Sono eseguiti periodicamente backup delle informazioni e dei
dati critici per l’azienda (identificati al controllo 3). I backup sono
conservati in modo sicuro e verificati periodicamente.
G. Protezione delle reti
13. Le reti e i sistemi sono protetti da accessi non autorizzati
attraverso strumenti specifici (es. Firewall e altri
dispositivi/software anti-intrusione).
38. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
40
I 15 Controlli Essenziali di Cybersecurity
40
H. Protezione e mitigazione
14. In caso di incidente (es. sia rilevato un attacco o un malware)
vengono informati i responsabili della sicurezza e i sistemi
vengono messi in sicurezza da personale esperto.
15. Tutti i software in uso (inclusi i firmware) sono aggiornati
all’ultima versione consigliata dal produttore. I dispositivi o i
software obsoleti e non più aggiornabili sono dismessi.
39. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 41
…senza trascurare i
processi
(e l'organizzazione),
con…
44. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 46
…e, perché no,
avere un robusto
set di KPI di
governo e controllo
45. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 47
Costruzione di un set di
indicatori per il governo
della cybersecurity
46. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 48
Responsabilità
assegnate
Visione
temporale
Portafoglio di KPI
collegato a tutte le
iniziative aziendali, a
tutti i progetti e nelle
diverse prospettive
temporali, così da
garantire la
condivisione delle
misure ad ogni
attore aziendale
coinvolto
MISURARE LE PRESTAZIONI
48. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch
50
LA CONTINUITÀ NEI PROCESSI –
UN ELEMENTO CHIAVE PER LA
QUALITÀ
Mar 14 gen 2020 12.30 - 13.30 CET
Per info e iscrizioni:
https://register.gotowebinar.com/register/244098581799571468
50
49. Maurilio Savoldi 2019 maurilio.savoldi@value4b.ch 51
Rimaniamo in contatto
Maurilio Savoldi
www.linkedin.com/in/maurilio-savoldi-a097853/
Value4b
Via Industria 3
CH - 6814 Lamone
www.value4b.ch
maurilio.savoldi@value4b.ch
+41 768121309
Relinc Consulting
Via Moscova 32
IT - 20121 Milano
www.relinc.it
maurilio.savoldi@relinc.it
+39.389.2373447
SUPSI - Dipartimento tecnologie innovative (DTI)
Via Cantonale 2C,
CH - 6928 Manno
http://www.supsi.ch/dti
+41 58 666 65 11