UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Guida alla Forensics Readiness in azienda, ovvero preparare l'azienda alla gestione e al tracking forense del data breach e degli incidenti informatici riducendo costi e aumentando efficacia. Forensics Readiness è uno strumento per la tutela aziendale, per poter agire in sede giudiziaria e nei confonti delle compagnie assicurative per documentare e dettagliare il "sinistro" informatico
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
“Cloud e dati aziendali, gli impatti sulla privacy".
Come posso proteggere i dati nel cloud? E’ possibile verificarne costantemente l’utilizzo, senza infrangere la normativa privacy? Ma sono davvero sicuri i miei dati nel Cloud? Se non ci ho pensato prima, come posso implementare un controllo a posteriori? Sto già usando inconsapevolmente servizi cloud?
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
An engaging experience is what it takes to convert a visitor into a customer. Here are some strategies that businesses using WordPress, can use to turn fleeting WordPress visitors into loyal users.
Google Hangouts: guida alla video chiamataTourTools
Come pianificare un hangout (stabilire data e partecipanti) per una riunione privata tra colleghi o con clienti, senza aver paura di trasmettere il video in diretta!
Guida alla Forensics Readiness in azienda, ovvero preparare l'azienda alla gestione e al tracking forense del data breach e degli incidenti informatici riducendo costi e aumentando efficacia. Forensics Readiness è uno strumento per la tutela aziendale, per poter agire in sede giudiziaria e nei confonti delle compagnie assicurative per documentare e dettagliare il "sinistro" informatico
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
“Cloud e dati aziendali, gli impatti sulla privacy".
Come posso proteggere i dati nel cloud? E’ possibile verificarne costantemente l’utilizzo, senza infrangere la normativa privacy? Ma sono davvero sicuri i miei dati nel Cloud? Se non ci ho pensato prima, come posso implementare un controllo a posteriori? Sto già usando inconsapevolmente servizi cloud?
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
An engaging experience is what it takes to convert a visitor into a customer. Here are some strategies that businesses using WordPress, can use to turn fleeting WordPress visitors into loyal users.
Google Hangouts: guida alla video chiamataTourTools
Come pianificare un hangout (stabilire data e partecipanti) per una riunione privata tra colleghi o con clienti, senza aver paura di trasmettere il video in diretta!
This presentation is from Affiliate Summit West 2014 (January 12-14, 2014 in Las Vegas, NV). Session description: Learn how super affiliates use WordPress to easily publish large amounts of content. Product-feeds, site cloning and other WP strategies can help you scale your business and increase your bottom-line.
Lossless Grey-scale Image Compression Using Source Symbols Reduction and Huff...CSCJournals
Usage of Images have been increased and used in many applications. Image compression plays vital role in saving storage space and saving time while sending images over network. A new compression technique has been proposed to achieve more compression ratio by reducing number of source symbols. The source symbols are reduced by applying source symbols reduction and further the Huffman Coding is applied to achieve compression. The source symbols reduction technique reduces the number of source symbols by combining together to form a new symbol. Thus the number of Huffman Code to be generated also reduced. The Huffman code symbols reduction achieves better compression ratio. The experiment has been conducted using the proposed technique and the Huffman Coding on standard images. The experiment result has been analyzed and the result shows that the newly proposed compression technique achieves 10% more compression ratio than the regular Huffman Coding.
This presentation shows benefits of ordering Custom Term Papers at the professional writers. Please read this article for more details https://essay-academy.com/account/blog/custom-term-papers
BYOD.it presenta un approccio al BYOD.
Scopri cosa è rilevanti e quali sono le soluzioni migliori in azienda per il BYOD.
Per maggiori informazioni:
https://www.byod.it/
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...walk2talk srl
Lavorare in un mondo cloud-first / mobile-first richiede un nuovo approccio: i dati devono essere accessibili, utilizzati e condivisi sia on-prem che nel cloud, cancellando i confini tradizionali di sicurezza; c'è bisogno di una tecnologia che protegga dalle minacce in evoluzione.
La tecnologia Microsoft assicura la trasformazione digitale con una piattaforma completa e un'intelligenza unica: con Microsoft Enterprise Mobility + Security, le aziende possono gestire in modo completo l’identità dei propri dipendenti, e collaboratori, oltre che mettere in sicurezza i dispositivi ed i dati aziendali, il tutto in modo centralizzato e connesso.
In questa sessione vedremo come la vostra organizzazione possa raggiungere l'equilibrio della sicurezza e dell'implementazione degli utenti finali, con controlli di sicurezza efficaci per identità, periferiche, dati, applicazioni e infrastrutture.
Scopriremo come proteggere i dati dell'organizzazione dall'accesso non autorizzato, individuare attacchi e violazioni e aiutarti a rispondere e attivare le correzioni per impedire che accada di nuovo.
Vedremo quindi come funzionano alcuni degli strumenti della suite, come Azure Active Directory, Intune e Azure Information Protection.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Il D&L Department offre in tutta Italia consulenza organizzativa e legale sui processi di digitalizzazione documentale, sulle politiche di corretto trattamento dei dati, sui modelli organizzativi 231 e nella predisposizione di documenti e contratti relativi ai diversi servizi IT.
relazioni del convegno gratuito "I sistemi Informativi sanitari, tra agenda digitale, cloud e sicurezza"svoltosi a Torino il 22 febbraio 2013 e organizzato dalle associazioni senza finalità di lucro: Privacy Information Healthcare Manager e Centro Studi di informatica Giuridica di Ivrea-Torino in particolare gli interventi sul cloud, sulla dematerializzazione dei documenti; sulle novità del regolamento europeo in materia di privacy e sugli ads.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Presentazione a supporto dell'intervento di Alessandro Foti, Vice-Presidente AIAS al webinar "15 ANNI DAL D.LGS.81/2008 E
L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
Webinar "Gli audit di compliance: l'importanza dell'accountability" | 27 gennaio 2022
Intervento di Giancarlo Butti, Auditor Esperto privacy e sicurezza Autore e Docente
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
Similar to Smau padova 2013 valentina frediani (20)
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
2. Titolo della presentazione
D. Lgs. n. 231/2001
Introduce nell’ordinamento italiano la responsabilità delle persone
giuridiche, delle società e delle associazioni anche prive di
personalità giuridica per i reati commessi nel loro interesse o a loro
vantaggio da parte di persone fisiche appartenenti alle loro
organizzazioni
231 e Sicurezza Informatica
3. Titolo della presentazione
Esonero da responsabilità
Si ha esonero da responsabilità (esclusione colpevolezza) se l’ente
prova che:
1) L’organo dirigente ha ADOTTATO ed EFFICACEMENTE ATTUATO,
PRIMA della commissione del fatto di reato, MODELLI di
ORGANIZZAZIONE e di GESTIONE (schemi, protocolli operativi e
procedure) idonei a prevenire i reati presupposto della specie di
quello verificatosi.
2) Il compito di VIGILARE sul funzionamento e l’osservanza dei modelli
e di curare il loro aggiornamento ed adattamento alla concreta
realtà dell’ente è stato affidato ad un organismo dell’ente dotato di
POTERI AUTONOMI di INIZIATIVA e CONTROLLO (ORGANO DI
VIGILANZA).
231 e Sicurezza Informatica
4. Titolo della presentazione
Esonero da responsabilità
3) Le persone hanno commesso il fatto eludendo
FRAUDOLENTEMENTE i modelli di organizzazione e di gestione.
4) Non vi è stata OMESSA o INSUFFICIENTE vigilanza da parte
dell’organo di vigilanza.
Attenzione
Le suddette 4 condizioni devono sussistere contemporaneamente;
se ne manca anche una sola l’ente è pienamente responsabile.
231 e Sicurezza Informatica
5. Titolo della presentazione
Caratteri del Modello di Organizzazione
Gestione e Controllo
• MAPPATURA Aree di Rischio-poteri delegati all’interno
• Predisposizione PROTOCOLLI (procedure) volti a
PROCEDIMENTALIZZARE l’iter di formazione ed ATTUAZIONE delle
decisioni dell’ente in relazione ai reati da prevenire
• consentire la c.d. TRACCIABILITA’ delle decisioni/segmenti
processo decisionale ai fini dell’individuazione delle responsabilità
• prevedere MODALITA’ DI GESTIONE DELLE RISORSE FINANZIARIE
idonee impedire commissione reati presupposto
• Introduzione SISTEMA DISCIPLINARE
• Previsione OBBLIGHI INFORMATIVI ( reports, segnalazioni, flussi
informazioni) nei confronti ODV) .
231 e Sicurezza Informatica
6. Titolo della presentazione
Condizioni Scriminanti del Modello: quando
evita la responsabilità dell’ente?
• Adottato ed efficacemente attuato(EFFETTIVITA’ del modello)
• ESENZIONE RESPONSABILITA’: solo se ente dimostri che ha adottato ed
attuato modelli di organizzazione e gestione idonei a prevenire reati
(presupposto)della specie di quelli verificatesi
• Inversione ONERE PROVA: in caso di reato presupposto commesso da
figura apicale; NON PM che deve provare la responsabilità ma ente che
dovrà dimostrare che ha adottato ed efficacemente attuato un modello
organizzativo tale da impedire la commissione di reati
• VIGILANZA EFFETTIVA OPERATIVITA’ ed OSSERVANZA dei modelli
231 e Sicurezza Informatica
7. Titolo della presentazione
Struttura Modello Organizzazione e
Gestione(art.6,c.2,D.Lgs 231/2001)-Premesse
• Elementi essenziali ed immodificabili
• Tarato in relazione a natura,dimensione e tipo di attività svolta da
ente
• Non è uguale in tutte le aziende ma cambia in base a condizioni
INTERNE (dimensioni,struttura organizzativa) ed ESTERNE (settore
economico, collocazione geografica) in cui ciascuna impresa
opera
• Se EFFICACE deve mettere l’autore del reato nelle condizioni di
commetterlo SOLO raggirando fraudolentemente il modello e gli
organi di controllo
• Se adottato prima dell’inizio del dibattimento di primo
grado:riduzione pene pecuniarie(art. 12,c. 2, lett.b),concorre ad
evitare a ente sanzioni interdittive(art. 17 lett.b)
231 e Sicurezza Informatica
8. Titolo della presentazione
Le Sanzioni (artt.9-23 D.lgs.231/2001)
• SANZIONI PECUNIARIE: indefettibili
• SANZIONI INTERDITTIVE: solo nei casi di PARTICOLARE GRAVITA’.
• Sanzioni interdittive : 1) interdizione,anche temporanea,da esercizio
attività;
2) sospensione/revoca autorizzazioni,licenze o
concessioni;
3)divieto di contrattare con la PA, salvo che per ottenere un pubblico servizio;
4)esclusione/revoca agevolazioni,finanziamenti
• Divieto di pubblicizzare beni o servizi.
• Sanzioni interdittive non si applicano in presenza di condotte di efficace
riparazione o reintegrazione dell’offesa
• CONFISCA: su prezzo o profitto del reato adottata anche per equivalente
231 e Sicurezza Informatica
9. Titolo della presentazione
Delitti informatici e trattamento illecito di
dati (24-bis)
accesso abusivo ad un sistema
intercettazione comunicazioni
danneggiamento di informazioni, dati programmi e sistemi
detenzione o diffusione abusiva di codici di accesso a sistemi
frode informatica
violazione del diritto d’autore
231 e Sicurezza Informatica
10. Titolo della presentazione
Aree/Soggetti particolarmente sottoposti ai
rischi
• Security
• Informatica: tutto il settore informatico, comprese le banche dati
interne ed esterne
• Accessi abusivi e/o in aree non autorizzate
• Smarrimento/furto codici di accesso o password
• Alterazione dati presenti nel sistema della società
• Attività dell’Amministratore di Sistema
• Pc portatili e tecnologie con accesso alla rete
• Strumenti di memorizzazione di massa
231 e Sicurezza Informatica
11. Titolo della presentazione
Normative che contribuiscono alla 231
Decreto Legislativo n. 196/2003
Provvedimento in materia di amm.re di sistema
Regolamento informatico, posta elettronica e log di connessione
Regolamento in materia di dismissione di spazzatura elettronica
SOX
ISO 27001
231 e Sicurezza Informatica
12. Titolo della presentazione
Documentazione di riferimento per il rispetto
della normativa
• Codice etico
• Procedure interne e policy aziendali
• Manuale della qualità
• Documento Programmatico sulla Sicurezza
• Regolamento informatico
• Documentazione in materia di ADS
231 e Sicurezza Informatica
13. Titolo della presentazione
Il ruolo dei consulenti e dei partners
I consulenti e partner dovranno essere notiziati in merito adozione del
modello e del codice etico ed in merito al loro obbligo di attenervisi.
Devono, inoltre:
- osservare principi di correttezza e trasparenza
- astenersi da condotte integranti le fattispecie criminose con
particolare riferimento alle condotte di rilevanza informatica
eventualmente tenute presso i clienti finali
231 e Sicurezza Informatica
14. Titolo della presentazione
Alcune prescrizioni in materia di sicurezza per la
prevenzione dei reati
- La gestione delle credenziali di autenticazione secondo i
parametri normativi
- La comunicazione di attivazione/disattivazione di un profilo di
autorizzazione
- La verifica periodica delle utenze effettivamente attive
- La verifica periodica delle procedure di back-up
- La valutazione periodica dei rischi da accessi esterni
231 e Sicurezza Informatica
15. Titolo della presentazione
Procedure operative
• Connessione utente a rete tramite codice di autenticazione univoco e
personale
• Assegnazione password al momento del conferimento del potere di
accesso con obbligo di modifica al primo accesso
• Obbligo di modifica password da parte utente, qualora questi dubiti che
la stessa possa essere non piu’ sicura
• Divieto di annotazione delle password in chiaro o su supporto cartaceo o
informatico
• Requisiti minimi di complessità password(almeno 8 caratteri)
• Modifica almeno trimestrale password
• Utilizzo rete interna per i soli scopi da quelli ai quali è destinata
• Riconoscimento siti visitati
231 e Sicurezza Informatica
16. Titolo della presentazione
Procedure operative
• Utenti rete internet devono avere account su dominio di lavoro
società
• Account deve essere un identificativo composto da nome e
cognome dell’addetto
• Divieto di navigazione dei dipendenti su siti non conferenti con
l’attività aziendale
• Divieto uso caselle posta elettronica per usi personali
• Possibilità di accesso a posta elettronica dipendente da parte di
un delegato dalla Direzione
• Divieto per dipendenti di partecipazione a mailing list, forum,blog
o chat
• Cautele e ulteriori prescrizioni tecnico-operative relative alla posta
elettronica
231 e Sicurezza Informatica
17. Titolo della presentazione
Strumenti atti alla prevenzione
Adozione sistemi di monitoraggio download od
adozione politiche di restrizione download
Adozione politiche di filtering
Monitoraggio delle navigazioni
Utilizzo di impostazioni specifiche per posta elettronica
231 e Sicurezza Informatica
18. Titolo della presentazione
Controlli
Loggatura con conservazione semestrale dei log di ADS
Attuazione di verifiche periodiche da parte del Responsabile IT
Controlli effettuati dall’ODV
Verifica procedura gestione
posta elettronica
Verifica a campione composizione pw
Verifica senza preavviso delle procedure di back-up
231 e Sicurezza Informatica
19. Titolo della presentazione231 e Sicurezza Informatica
Avv. Valentina Frediani
vfrediani@consulentelegaleinformatico.it