Privacy nel Cloud

Le sfide della tecnologia e la tutela dei dati personali per un'azienda italiana

L'evoluzione tecnologica degli anni recenti continua a portare dei grandi benefici ai cittadini e alle imprese. Si è in generale più produttivi, meglio connessi, più efficaci e da alcuni o molti punti di vista si vive e si lavora meglio. Peraltro l'umanità attraversa un periodo in cui il cambiamento è così veloce che in certi casi disorienta e di conseguenza le organizzazioni, le regole, le best practice e le leggi dello stato fanno fatica a "tenere il passo".

In una società che evolve rapidamente l'impresa deve orientare i propri investimenti nel rispetto delle leggi, dei diritti individuali e dei principi costituzionali. Uno di questi è relativo alla protezione dei dati personali. Esso può essere messo in pericolo nel caso di adozione di tecnologie di tipo Cloud Computing e Mobile. Secondo una minoranza tale pericolo è troppo alto per essere accettato; altri semplicemente vogliono agire in maniera informata e prudente senza rinunciare al progresso.

Con queste pagine web e con i documenti da esse scaricabili ci rivolgiamo a questi ultimi. In questi mesi abbiamo affrontato in maniera olistica il tema della Privacy nel Cloud e della Privacy con il Mobile. L'approccio è stato, in entrambi i casi, quello interdisciplinare: dalle leggi alla tecnologia attraverso l'organizzazione, i contratti, le best practice, i controlli e l'audit. Il punto di vista è sempre quello di un'azienda Titolare di dati personali soggetti alla legge sulla Privacy e che intenda di avvalersi di soluzioni basate sul Cloud e sul Mobile.

Autori e loro motivazioni

Questo minisito e i due documenti prodotti sulla Privacy nel Cloud e con il Mobile, liberamente scaricabili nella sezione download, sono il frutto del lavoro di una quindicina tra aziende e associazioni che collaborano regolarmente da alcuni anni, sui temi di attualità dell'Information Security. Ciò che unisce gli autori è la Oracle Community for Security e la consapevolezza che sia necessario operare a livello culturale in modo da elevare il livello della sicurezza di cui si dotano le aziende. Osserviamo infatti che la forbice tra la sicurezza che serve e quella di cui ci si dota non tende purtroppo verso la chiusura, ma al contrario. Ciò capita a causa della difficoltà in cui versano gli investimenti in ICT in Italia, l'apertura dei sistemi ad internet e ad altre evoluzioni tecnologiche e che lasciano nuovi spazi agli attaccanti interni od esterni alle organizzazioni. In questo contesto il gruppo di lavoro raccomanda un'attenta valutazione delle minacce, di svolgere l'analisi del rischio, di valutare gli impatti sul business e di sfruttare al meglio le risorse disponibili; o addirittura, in positivo, tramite la sicurezza di abilitare dei nuovi modelli di business, creare dei nuovi prodotti o un nuovo modo di comunicare ed interagire con i propri clienti.

La nostra Community dispone di tutte le competenze necessarie (di sicurezza, di audit, legali, metodologiche, consulenziali, tecnologiche eccetera) per abilitare un significativo confronto interno avente il fine di produrre dei risultati di interesse. La Community ha dimostrato il valore di questo approccio già negli anni scorsi avendo prodotto cultura e conoscenza intorno ai temi dei cosiddetti "garante e ammnistratori di sistema", "fascicolo sanitario elettronico" e "ritorno sull’investimento in sicurezza" oltre ad aver portato il proprio contributo ad una serie di convegni e conferenze proprie e di terzi.

A chi si rivolge?

Questo minisito ed in particolare i due documenti liberamente scaricabili, "Privacy nel Cloud: Le sfide della tecnologia e la tutela dei dati personali per un'azienda italiana" e "Mobile e Privacy: Adempimenti formali e misure di sicurezza per la compliance dei trattamenti di dati personali in ambito aziendale", si rivolgono in particolare al mondo aziendale che ha bisogno di orientarsi rispetto ai temi del Cloud e del Mobile.

I documenti trattano la tematica secondo un approccio integrato dal generale allo specifico, dalle norme (in primis la legge italiana sulla Privacy) fino alle tecnologie utilizzabili per proteggere i dati, attraversando temi rilevanti come quelli delle best practices, dell'audit e dei contratti.

Di conseguenza questi documenti si rivolgono alle aziende italiane (che siano "Titolari dei trattamenti") e tutti i professionisti che vi operano, siano essi legali sia tecnici, come per esempio quelli che lavorano nell'ufficio legale, sicurezza e privacy, audit, compliance, risk e nell'Information Technology.

Perchè questi temi sono rilevanti?

Cloud Computing

La tutela dei dati personali condivide molti aspetti con la tematica della sicurezza delle informazioni, sia sul piano delle tecnologie sia su quello metodologico. Molte delle nostre considerazioni sono applicabili ad entrambi gli ambiti. Rimane però la focalizzazione primaria sugli aspetti di compliance alla normativa italiana e quindi europea sulla privacy.

L'analisi svolta dal gruppo di lavoro ha messo in luce la necessità di far precedere la decisione di adottare soluzioni di cloud computing da un'attenta analisi dei rischi, che tenga in considerazione le peculiarità del nuovo paradigma.

La specifica natura del cloud computing comporta infatti:

I rischi derivanti da tali aspetti devono essere attentamente valutati, anche in relazione ai modelli di servizio e di deployment che si intende adottare. La gestione di questi rischi richiede alle aziende di effettuare un salto culturale: oltre a gestire gli aspetti strettamente tecnologici, l'adozione di soluzioni cloud impatta su molti processi aziendali, tra i quali quelli di governance, di gestione delle identità e degli accessi, fino alle attività di controllo e di audit che non devono esssere condizionate nella loro efficacia dal nuovo paradigma.

Tutti questi aspetti richiedono di essere indirizzati nella definizione del contratto che dovrà regolare la fornitura dei servizi di cloud computing. La stipula di tale contratto è uno dei cardini della strategia di gestione dei rischi specifici relativi al cloud computing, per la conformità alla normativa e più in generale per la sicurezza dei dati aziendali.

1 Il documento di analisi del provvedimento del Garante della Privacy sul Fascicolo Sanitario Elettronico è liberamente disponibile a questo link fse.clusit.it in forma sintetica e per mail in forma completa.
2 Il documento sul ROSI (Return on Security Investment) è disponibile liberamente a questo link: rosi.clusit.it


Rassegna Stampa

News

Presenti il prof. Francesco Pizzetti ed altre sette persone del Collegio e dell'Ufficio del Garante, una delegazione di sei persone della Oracle Community for Security, ha presentato il 29 marzo 2012 gli studi sulla Privacy nel Cloud e con il Mobile all'Autorità, ricevendone un apprezzamento ed ulteriore stimolo ad operare su questi temi. Oltre al prof. Pizzetti erano presenti i dottori Giuseppe Chiaravalloti, Mauro Paissan, Daniele De Paoli, Luigi Montuori, Cosimo Comella, la dott.ssa Laura Ferola e l'ingegner Pasquale Di Gennaro.

Cliccare sul titolo dell'articolo per visualizzarne la versione completa.

Privacy nel cloud: questioni aperte

Un decalogo per aiutare il Responsabile della Sicurezza delle Informazioni della media impresa italiana a districarsi tra le complessità del suo rolo nei cento giorni successivi al suo insediamento.

20/06/2012

Privacy e mobile: come individuare i rischi e quali misure adottare per la conformità

Un white paper di Oracle Community for Security propone un percorso guidato per arrivare a trattare i dati personali su smartphone e tablet aziendali rispettando la Legge sulla Privacy e la normativa italiana

13/06/2012

La maturità della sicurezza al tempo di mobility e cloud

La sicurezza non passa mai di moda, anzi. Questa è la sintesi della chiaccherata con gli operatori di canale specializzati in security su prospettive e opportunità del settore.

01/05/2012

Privacy, device mobili e cloud: istruzioni per l’uso

Due studi fanno il punto sulle implicazioni che il crescente utilizzo di smartpohoine e tablet ha sul rispetto della riservatezza dei dati nel contesto legislativo italiano e su come le imprese possono gestire l'adozione dei servizi nella nuvola in un ambito normativo complesso.

28/03/2012

Organizzazione e cultura: il cloud possibile fra privacy e sicurezza

Oracle Community for Security sottolinea le opportunità nell'attuale contesto normativo nazionale e internazionale.

26/03/2012

Privacy, sicurezza e cloud possibile sono i temi di Oracle a Security Summit 2012

Oracle Community for Security: Privacy e dispositivi mobili e Cloud computing nell'attuale contesto normativo

23/03/2012

Oracle e le opportunità del Cloud Computing nell'ottica della sicurezza

Oracle ha presenziato al Security Summit 2012 illustrando opportunità e potenzialità del Cloud Computing soprattutto in ambito aziendale.

23/03/2012

Oracle a Security Summit 2012: privacy e sicurezza, il cloud possibile

Oracle Community for Security presenta oggi le opportunità del cloud computing nell'attuale contesto normativo nazionale e internazionale

21/03/2012

Oracle a Security Summit 2012: privacy e sicurezza, il cloud possibile

Oracle Community for Security presenta oggi le opportunità del cloud computing nell'attuale contesto normativo nazionale e internazionale

21/03/2012

Privacy e dispositivi mobili: i partner della Oracle Community for Security dipanano la matassa

Nella giornata di apertura di Security Summit, Oracle Community for Security presenta uno studio che analizza come rispettare la privacy e garantire la sicurezza al crescere dei dispositivi mobili

20/03/2012


Autori


  • AIEA
  • AUSED
  • Clusit
  • Abeti
  • ARRAY
  • BSC
  • Business
  • CBA
  • Deloitte
  • Elex
  • EY
  • KPMG
  • ORACLE
  • Present
  • protiviti
  • Reply
  • Zeropiù

Costituita nel 1979, AIEA (Associazione Italiana Information Systems Auditors) ha lo scopo di promuovere l'approfondimento dei problemi connessi al controllo dei processi ICT e di favorire lo sviluppo di metodologie, di standard e di tecniche nella loro realtà applicativa. Tra i principali obiettivi:

  • Ampliare la conoscenza e l'esperienza dei suoi soci favorendo lo scambio di metodologie per lo studio e la soluzione dei problemi e provvedere un'adeguata informazione e comunicazione reciproca nel campo delle tecniche di auditing nell'ICT;
  • Promuovere un processo di sensibilizzazione, di tutti i livelli organizzativi aziendali, alla necessità di stabilire adeguati criteri di controllo di affidabilità dell'organizzazione e di sicurezza dei sistemi;
  • Sostenere la diffusione delle certificazioni professionali: CISA (Certified Information System Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the Governance on Enterprise IT) e CRISC (Certified in Risk and Information System Control) e del framework COBIT.

AIEA riunisce coloro che in Italia svolgono professionalmente attività di Auditing e Controllo di sistemi ICT,promuovendo la conoscenza e ampliando l'esperienza dei suoi aderenti nel campo dell'Information Systems Audit, Assurance, Governance e Security.
AIEA è membro dell'ISACA, International System Audit and Control Association, l'organismo che riunisce le associazioni professionali nazionali, che hanno lo scopo di rappresentare e certificare la figura professionale degli aderenti in quanto conforme alle caratteristiche richieste dai propri statuti.

Sito web: www.aiea.it

Autori

Giulio Spreafico - Socio AIEA, Ingegnere Consulente e Auditor Cerificato CISA; CISM, CGEIT, CRISC.

Prampolini Natale - Senior Consultant, Socio e Proboviro AIEA, CISA, CISM, L.A. ISO27001, L.A. ISO20000, ITILv3, COBIT 4.1, CMMI 1.2 DEV

L'AUSED, è una Associazione tra Utenti di Sistemi e Tecnologie dell'Informazione, indipendente e senza scopi di lucro, nata nel 1976; raccoglie circa duecento aziende operanti nei settori: industriale, manifatturiero, dei servizi, nonché alcuni enti pubblici . Dal 1996 accetta tra i propri Associati anche persone fisiche che, per formazione o per esperienza aziendale, siano interessate agli scopi ed alle attività dell' Associazione. Dal 2000 l'AUSED accetta tra i proprio Associati anche aziende che operano nel settore dell'I.C.T. , qualificandole dal 2005 come Soci Sostenitori.
L'AUSED non ha condizionamenti di tipo politico, non ha sponsorizzazioni di fornitori e "vive" della sola quota associativa. L' attività dell'AUSED si realizza con l' organizzazione di incontri, seminari, corsi, gruppi di studio, indagini ecc., che sono caratterizzati, oltre che da elevata professionalità, da estrema concretezza in quanto costantemente tesi alla risoluzione dei problemi di scelta, sviluppo e gestione dei Sistemi Informativi delle aziende.
Tali attività sono rese possibili grazie all' impegno professionale e personale dei Consiglieri e degli altri Organi direttivi che svolgono la loro opera a titolo gratuito.
Alle iniziative collettive si aggiungono, ancor più numerose, quelle fra le singole aziende associate, giacché l'AUSED favorisce uno scambio continuo e diretto di esperienze e permette di consolidare facilmente i rapporti di mutua collaborazione. L'adesione all'AUSED da' all'azienda il diritto di:

  • partecipare alle assemblee ordinarie e straordinarie, con diritto di voto;
  • partecipare gratuitamente, anche con più persone, a seminari, convegni, riunioni, tavole rotonde, gruppi di studio che vengono organizzati su temi di particolare interesse nel settore dell' ICT e dell'organizzazione;
  • partecipare alle varie indagini tra le aziende ed a riceverne i risultati;
  • ricevere gratuitamente le pubblicazioni edite nell'ambito dell'Associazione;
  • partecipare ad eventuali pool di acquisto;
  • fruire delle condizioni stabilite in accordi con fornitori di software, hardware e servizi ICT;
  • partecipare a corsi realizzati con il contributo del Fondo Sociale Europeo;
  • partecipare ai lavori del gruppo indipendente di utenti SAP e di tutti gli altri gruppi di lavoro in essere.

Con l'adesione all'AUSED l'Azienda associata si impegna a partecipare alle iniziative dell'Associazione contribuendo con le proprie esperienze professionali ad ampliare il patrimonio conoscitivo degli Associati. A questo proposito l'AUSED ha creato uno specifico veicolo di informazioni dell'Associazione chiamato "AUSED INFORMA".

Sito web: www.aused.org

Autori

Gatti Francesca - Membro Comitato Direttivo e Coordinatrice Osservatorio Security & Compliance

Il Clusit, nato nel 2000 presso il Dipartimento di Informatica e Comunicazione dell'Università degli Studi di Milano, è la più importante ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese: Ricerca, Industria, Commercio e Distribuzione, Banche e Assicurazioni, Pubblica Amministrazione, Sanità, Consulenza e Audit, Servizi, Telecomunicazioni, Informatica.
Le attività ed i progetti in corso:

  • Formazione specialistica: Seminari CLUSIT;
  • Certificazioni professionali: corsi ed esami CISSP e BCI;
  • Ricerca e studio: Premio “Innovare la Sicurezza delle Informazioni” per la migliore tesi universitaria;
  • Le Conference specialistiche: Security Summit (Milano, Roma e Verona);
  • ROSI: un metodo per valutare il ritorno dell’investimento in sicurezza informatica
  • Progetti Clusit per piccole e microimprese;
  • Canale Clusit su YouTube: la sicurezza ICT in video pillole;
  • Progetto Scuole: la Formazione sul territorio;

Sito web: www.clusit.it

Autori

Telmon Claudio - Membro Comitato Direttivo. Consulente e adviser sicurezza informatica dal 1995. Collabora con il Dipartimento di Informatica dell'Università di Pisa principalmente su temi di gestione del rischio e sicurezza di sistemi SCADA.

Dal 1999, lo Studio Legale Abeti fornisce un nuovo tipo di consulenza, non solo legale ma anche direzionale, rappresentando nei confronti dei clienti il link tra le esigenze del top management e quelle delle funzioni ICT.
Gli ambiti di riferimento in cui esercita la propria attività sono: la protezione delle informazioni, la responsabilità amministrativa delle società, la gestione dei flussi informativi (dall'ottimizzazione dei processi, alle procedure di archiviazione), la prevenzione dei crimini informatici e la tutela del diritto d'autore.
Il cliente può contare sulle professionalità dello Studio al fine di ottenere: pareri, redazione di contratti, valutazioni di impatto, stesura linee guida, policy e procedure, nonché attività di formazione nelle materie in cui sono specializzate le risorse dello Studio. Da alcuni anni partecipa, prestando la propria consulenza legale specializzata, ai lavori della Community for Security di Oracle.

L'offerta sul mercato si articola anche sul canale indiretto, attraverso Net Team, la business unit che collabora con il canale di vendita Telecom Italia.
Oggi la società ha oltre 200 dipendenti e ha realizzato un fatturato di 32 milioni di euro nel 2009, con un parco di 3000 clienti attivi.

Sito web: www.abeti.eu

Autori

Riccardo Abeti - Presidente della Commissione "New Technology, Personal Data and Communication Law" e membro del Comitato esecutivo dell'Unione Avvocati Europei.

Array raggruppa una serie (un "array", appunto) di IT lawyers indipendenti che forniscono un supporto specifico ad aziende, programmatori e studi legali nei casi in cui sia richiesta una competenza legale molto specializzata in materia IT e TLC, unita ad una approfondita comprensione delle questioni tecniche sottostanti alle problematiche legali. Tali competenze raramente sono disponibili in studi legali tradizionali, anche se specializzati in proprietà intellettuale, e tuttavia risultano indispensabili per fornire una valida consulenza agli operatori del settore.
I membri di Array, oltre a fornire assistenza e consulenza nelle aree tradizionali dell'IT/TLC, sono particolarmente focalizzati sul mondo del free software (anche detto open source software) e possono offrire in questo ambito delle competenze molto difficili da reperire anche in studi legali specializzati in IT/TLC. In effetti, parte della nostra attività è spesa a collaborare con studi internazionali di media e grande dimensione.

L'offerta sul mercato si articola anche sul canale indiretto, attraverso Net Team, la business unit che collabora con il canale di vendita Telecom Italia.
Oggi la società ha oltre 200 dipendenti e ha realizzato un fatturato di 32 milioni di euro nel 2009, con un parco di 3000 clienti attivi.

Sito web: www.arraylaw.eu

Autori

Indovina Barbara - Avvocato, professore a contratto c/o Univ.Commerciale L.Bocconi "Informatica per Giurisprudenza".

Troiano Guglielmo - Giurista e Analista di sistemi informativi. Iscritto presso l'Ordine degli Avvocati di Milano e Cultore di Informatica Giuridica all'Università di Milano.

BSC Consulting S.p.A., appartenente al Gruppo Terasystem, opera sul mercato dal 1993. Al centro della propria offerta pone i servizi di consulenza, la fornitura di soluzioni in ambito ICT, la Security & Data Protection e la conduzione di sistemi complessi. Il rapporto con il Cliente si configura come una vera e propria partnership più che come un rapporto di fornitura, stabilendo un forte e trasparente legame che permette di condividere le esperienze e competenze distintive dei propri collaboratori.
BSC Consulting ha al suo interno un'unità dedicata alla Sicurezza ICT, che supporta le aziende nel rendere il proprio sistema informativo sempre più efficiente, funzionale e sicuro, partendo dal presupposto che il successo di un' impresa è fortemente basato sulla protezione delle informazioni che utilizza per gestire e sviluppare il proprio business.
Le attività di BSC Consulting sono quindi orientate alla valorizzazione del patrimonio informativo dei propri Clienti, da una parte garantendone integrità e usabilità attraverso progetti di miglioramento delle condizioni di sicurezza, sia dal punto di vista delle policy e dei processi che da quello dell'implementazione di soluzioni tecnologiche allo stato dell'arte, dall'altra garantendone la disponibilità, grazie al miglior utilizzo di tutta l'Infrastruttura ICT.
In oltre dieci anni di attività sui temi della Security ha acquisito un know-how di livello internazionale in particolare nelle seguenti aree:

  • Compliance Management;
  • Security Management;
  • Identity & Access Management;
  • Information Integrity Management;
  • Infrastructure Management e Security Education & Training.

Sito web: www.bsc.it/

Autori

Aimasso Giacomo - CISA, CISM - CTO B.U. Security & Data Protection.

Galimberti Matteo - Security Program Manager.

Saulli Fabio - Business Unit Manager - Security.

Business-e S.p.A. rappresenta l'Area Strategica d'Affari (ASA Enterprise) del Gruppo ITWAY che detiene il completo controllo azionario, quotata in borsa sul nuovo mercato.
Una solida esperienza decennale ha consentito a Business-e di raggiungere una posizione di rilievo nei settori della sicurezza dell'informazioni e nell'area ICT.
Attività e servizi erogati:

  • Security consulting:
    • consulenza su sicurezza organizzativa e metodologica;
    • consulenza per la compliance normativa (D.Lgs 196, 231, ...);
    • consulenza per la compliance a standard internazionali (ISO27001, ITIL, ...);
    • Ethical Hacking;
  • Security technology solution:
    • sicurezza della rete (firewalling, IPS, endpoint security, Web filtering,AV, ...);
    • gestione delle identità e dei privilegi di accesso (IAM, Single sign on, strong authentication);
    • protezione dei dati e delle informazioni (DLP);
    • sicurezza del data center (business continuità e DR, backup evoluto, sicurezza nella virtualizzazione, ecc.)
  • Outsourcing H24:
    • servizi NOC/SOC;
    • presidi di sicurezza;
    • supporto remoto delle soluzioni di sicurezza;
    • servizi gestiti;

Sito web: www.business-e.it

Autori

Fragnito Angelo - Senior Security consultant, L.A.ISO27001, ITIL v3.

CBA Studio Legale e Tributario nasce dall'unione dello Studio Legale e Tributario Camozzi Bonissoni Varrenti & Associati con lo Studio Associato LCA - avvocati e commercialisti d'impresa, affermate realtà professionali che hanno messo a fattore comune le loro esperienze nell'ambito della consulenza legale e tributaria.
42 Soci ed oltre 180 professionisti dagli uffici di Milano, Roma, Padova, Venezia e Monaco di Baviera, garantiscono ai clienti servizi legali e fiscali aderenti alle esigenze del mercato.
CBA può contare su una rete globale di collaudate relazioni internazionali.
Le aree di attività e practice di punta sono:

  • Antitrust;
  • Automotive;
  • Aviation;
  • Banking & Finance;
  • Capital Markets e Regulatory;
  • Contenzioso;
  • Corporate M&A e Private Equity;
  • E-commerce;
  • Energia, Infrastrutture e Project Finance;
  • Fashion;
  • Food & beverage;
  • Giochi e Scommesse;
  • Lavoro;
  • Non profit;
  • Privacy;
  • Proprietà Industriale e Information Technology (IP e IT);
  • Real Estate;
  • Responsabilità da prodotto;
  • Restructuring;
  • Sport Media & Spettacolo;
  • Tax;
  • Tutela e trasferimento di patrimoni (Trust).

Sito web: www.cbalex.com

Autori

Pellicanò Gerolamo - Avvocato cassazionista, è of Counsel di CBA Studio Legale e Tributario. Nel 1991 ha presentato, come deputato, una delle prime proposte legislative per la tutela della privacy.

Deloitte conta 3.100 professionisti ed è una tra le più grandi realtà nei servizi professionali alle imprese in Italia, dove è presente dal 1923. L'offerta multidisciplinare, unica nel suo genere, è articolata in diverse società specializzate in singole aree professionali: audit, risk consulting, tax, consulting e financial advisory.
In Italia Deloitte ERS è costituita da oltre 200 professionisti dedicati alle tematiche di "Corporate Governance", "Internal Audit", "Regulatory Compliance", "Security & Resiliency" e "Control Assurance" vantando competenze multidisciplinari e specialistiche, molte delle quali attestate da certificazioni e titoli riconosciuti a livello internazionale quali CISA, CIA, CRSA, CCSA, CISM, CISSP, ISO 27001 Lead Auditor, Quality Assurance, LoCSI e ITIL.
Deloitte ERS propone un approccio integrato alle problematiche tecniche ed organizzative nei seguenti tre ambiti:

  • servizi di "Business Risk" supportano le organizzazioni nella definizione e raggiungimento degli obiettivi strategici attraverso un approccio sistematico che permetta di valutare e migliorare l'efficacia dei processi connessi a risk management, governance e regulatory compliance;
  • servizi di "Security & Resiliency" supportano le organizzazioni sui temi di sicurezza a 360°, dall'identificazione, analisi e gestione delle vulnerabilità e dei rischi IT, alla definizione ed implementazione di soluzioni "integrate" e "multidisciplinari;
  • servizi di "Information & Technology Risk" supportano le organizzazioni nell'identificare, sviluppare e testare politiche e procedure connesse ai processi di business, IT e di Financial Reporting, oltre che verificare l'accuratezza, la completezza e la validità dei dati elaborati dai sistemi informatici aziendali.

Deloitte ERS Enterprise Risk Services è la società del network Deloitte specializzata nei servizi in materia di Corporate Governance, Sistemi di Controllo Interno, Gestione dei rischi aziendali (Risk management) di Regulatory compliance, di Sicurezza e di Privacy

Sito web: www.deloitte.com

Autori

Andrea Longhi - Director in Deloitte Enterprise Risk Services. Lead Auditor BS7799 e Lead Auditor ISO27001.

Dario Vaccaro - Supervisor in Deloitte Enterprise Risk Services. Lead Auditor ISO27001, AIPSI/LOCSI.

Lo Studio Legale Belisario ha sedi in Roma e Potenza e, grazie alle diverse specializzazioni dei suoi componenti, opera nei diversi settori del diritto civile, penale, amministrativo e delle nuove tecnologie.
Lo Studio Legale Belisario è partner fondatore di e-Lex, network di studi legali indipendenti costituito per offrire alla propria clientela un servizio integrato a livello nazionale e internazionale che vanta una vocazione particolare in materia di diritto applicato alle nuove tecnologie, ed in particolare nei settori del diritto delle telecomunicazioni, della proprietà intellettuale ed industriale, dei profili giuridici dell'e-government e della privacy.
I professionisti di e-Lex hanno maturato una notevole esperienza nel campo dell'informatica giuridica e del diritto delle nuove tecnologie che sono oggi in grado di condividere appieno, nell'ambito del network i cui fondatori sono docenti e pubblicisti noti nel loro campo e sempre protagonisti delle discussioni legate al rapporto tra diritto e nuove tecnologie nonché ai temi delle politiche dell'innovazione.
Gli avvocati di e-Lex assistono i clienti nei settori più tradizionali del diritto civile (diritto commerciale, societario e recupero crediti), del diritto amministrativo (appalti, urbanistica, edilizia e pubblico impiego), della proprietà intellettuale ed industriale nonché del diritto penale (delitti contro il patrimonio e la pubblica amministrazione). Oltre al patrocinio dinanzi alle autorità giudiziarie (comprese le giurisdizioni superiori), gli studi legali di e-Lex forniscono supporto legale nella gestione degli affari istituzionali e dell'attività di lobby a società nazionali e multinazionali ed in particolare ad alcuni dei più grandi player e delle maggiori associazioni di categoria del mercato ICT.

Sito web: www.e-lex.it

Autori

Belisario Ernesto - Avvocato specializzato in diritto delle nuove tecnologie, docente universitario.

Ernst & Young è leader mondiale nei servizi professionali di revisione e organizzazione contabile, fiscalità, transaction e advisory. Il network Ernst & Young fornisce anche consulenza legale, nei paesi ove è consentito. In tutto il mondo le nostre 144.000 persone sono unite da valori condivisi e da un saldo impegno costantemente rivolto alla qualità. Facciamo la differenza aiutando le nostre persone, i nostri clienti e la nostra comunità di riferimento ad esprimere pienamente il proprio potenziale.
Nell'ambito dei servizi di advisory, i nostri professionisti della sub-service line IT Risk & Assurance aiutano le organizzazioni ad affrontare la sfida della gestione dei rischi informatici mantenendosi in linea con la strategia aziendale. Grazie alla vasta esperienza in questo ambito, i nostri team hanno a disposizione la profonda conoscenza tecnica e di gestione del rischio informatico della nostra organizzazione globale e possono così garantire ai clienti e alle parti interessate che i principali rischi informatici della loro organizzazione saranno identificati, compresi e gestiti in maniera efficace.
Offriamo servizi su misura, che vanno dalla valutazione e gestione del rischio informatico, sicurezza e privacy, alla revisione di controlli su specifici sistemi di Enterprise Resource Planning e terze parti.

Per maggiori informazioni: EY.InformationSecurity@it.ey.com

Sito web: www.ey.com

Autori

Mariotti Andrea - Senior Manager Ernst & Young IT Risk & Assurance Services, certificato CISA, CISM, CRISC, Lead auditor ISO27001, Lead Auditor ISO20000, socio AIEA e AIPSA.

Enrico Ciabattini - Senior IT Risk & Assurance Services.

KPMG è un network globale di servizi professionali, attivo in 152 paesi del mondo con oltre 145 mila persone. L'obiettivo di KPMG è quello di trasformare la conoscenza in valore per i clienti, per la comunità e per i mercati finanziari. Le società aderenti a KPMG condividono gli stessi valori e forniscono alle aziende clienti una vasta gamma di servizi multidisciplinari secondo standard d'eccellenza omogenei a livello internazionale.
In Italia, il network KPMG è rappresentato da diverse entità giuridiche attive nella revisione e organizzazione contabile, nel Business Advisory e nei servizi fiscali e legali.
KPMG Advisory S.p.A. con circa mille professionisti, è una delle principali società di servizi di consulenza in Italia. I professionisti KPMG Advisory intervengono su tutte le principali dimensioni del business aziendale, dalle strategie, alla finanza straordinaria, dai processi organizzativi ed operativi fino all'innovazione tecnologica.
L'IT Advisory opera in Italia con oltre 400 professionisti. I servizi IT Advisory si focalizzano sullo sviluppo, sulla gestione dei sistemi informativi e sul presidio dei relativi rischi. KPMG possiede le conoscenze e le esperienze necessarie a supportare le aziende nella ricerca di soluzioni che abilitano l'innovazione e incrementano le perfomance, bilanciando rischio informatico e necessità di raggiungere obiettivi strategici e finanziari.
Le conoscenze e competenze presenti all'interno dell'IT Advisory consentono al team di avere una visione complessiva del business dal punto di vista IT, audit e business management, di gestire il rischio tecnologico e di ottenere tutte le informazioni di cui i clienti necessitano per raggiungere i propri obiettivi strategici e finanziari.
La business unit "Security and IT Risk & Compliance", focalizzata negli ambiti della sicurezza dei sistemi informativi, compliance, sicurezza e monitoraggio delle performance, ha l'obiettivo di garantire ai propri clienti un servizio di eccellenza nella valutazione e nello sviluppo di strategie e soluzioni a supporto del business che riducono i rischi associati alla pianificazione, all'introduzione e alla scelta di tecnologie. Effettua valutazioni indipendenti sulle strategie, sui progetti e sulla sicurezza, fornendo valore e soluzioni per l'impresa nell'ambito della security, della privacy e dell'integrità dei dati; ottimizzando la gestione dei rischi e delle risorse IT con un pieno controllo dei livelli di servizio e dei costi.

Sito web: www.kpmg.com/IT

Autori

Borgonovo Alberto - Manager Information Risk Management. CISA, Lead Auditor 27001, OPST, Prince2 Foundation, ENA.

Brera Jonathan - Manager Information Risk Management. CISA, CISM, CRISC, L.A.ISO27001, L.A. BS25999, socio ISACA e AIEA.

Martegani Simona - Project Leader, Information Risk Management. Lead Auditor 27001, Lead Auditor 20000.

Pisacane Francesco - Project Leader, Information Risk Management. CRISC, L.A. ISO 27001, L.A.BS25999 Certificato ITIL V.3, Silver member ISACA e socio AIEA.

Quaroni Laura - Manager, Information Risk Management. CISA, CISM, CRISC, L.A.ISO27001, L.A. BS25999, Prince2 Foundation, ITIL Foundation, socio ISACA e AIEA.

Speich Stephane - Project Leader, Information Risk Management. L.A.ISO27001, L.A. BS25999, Prince 2 Foundation.

Presente in oltre 145 paesi nel mondo con 108.000 dipendenti e un fatturato GAAP nell'anno fiscale 2011 pari a 35,6 miliardi di dollari, Oracle Corporation propone la più ampia, completa, aperta e integrata offerta di sistemi software e hardware e vanta oggi oltre 380.000 clienti ? fra cui 100 delle imprese della classifica Fortune 100 e oltre 250.000 medie aziende. Oracle ha sempre messo la sicurezza al centro dei propri prodotti e, anche a seguito di alcune acquisizioni in quest'area (Oblix, OctetString, Thor Technologies, Bridgestream, Bharosa, Secerno, Bea, Sun, Passlogix), oggi fa sì che le organizzazioni possano contare su infrastrutture IT protette sia dalle minacce esterne che da quelle interne. Ciò è possibile grazie a prodotti, tecnologie e processi che consentono di indirizzare tutte le esigenze in termini di sicurezza, privacy e rispetto delle normative. In Italia, Oracle è impegnata a far crescere il livello di competenza del sistema attraverso la Oracle Community for Security. Nata nel 2007, si tratta della comunità dei Partner di Oracle dedicata alle tematiche che ruotano intorno alla sicurezza informatica. Oggi conta circa 30 membri.

Sito web: www.oracle.it

Autori

Angelo Bosis - Sales Consultant Senior Manager.

Alessandro Vallega - Security Business Development, Coordinatore di Oracle Community for Security, Consiglio Direttivo Clusit, membro AIEA.

Present S.p.A. è una multinazionale italiana leader nel settore dell'Information & Communication Technology (ICT), con un'ampia offerta di soluzioni e servizi, focalizzata su Consulenza, System Integration, Gestione dei Servizi e vendita di Prodotti.
I mercati di riferimento sono quelli della Pubblica Amministrazione Centrale e Locale, dell'Industria e dei Servizi sia sul territorio nazionale che presso i Paesi dell'Unione Europea.
Present ha una presenza geografica estesa su tutto il territorio nazionale con tre sedi principali a Milano, Roma, Torino. E' parte di un Gruppo che conta oltre 700 addetti e un fatturato 2010 di 46 milioni di euro.
Present controlla inoltre 2 società estere con sedi in Gran Bretagna e Francia.
L'azienda è organizzata in aree di competenza, specifiche per tecnologia e per mercato: Business Intelligence, Customer Relationship Management, Enterprise Content Management, eCommerce, eGovernment, Enterprise Resouce Planning SAP, Unified Communications, ICT Security, Software Quality Management, Servizi infrastrutturali e di Application Operation erogati attraverso il proprio Service Desk che opera in continuità H24X365.
Per l'aggiornamento dei prodotti e l'ampliamento dell'offerta, Present si avvale di propri centri di competenza e laboratori di sviluppo.
Present è un'azienda certificata ISO 9001:2008 "Sistema gestione qualità consulenza e servizi informatici - EA33, EA35" e ISO/IEC 27001:2005 "Sistema di gestione per la sicurezza delle informazioni EA33, EA35".

Sito web: http://www.it-present.com/

Autori

Francesco Severi - Security Practice Manager. Certificazioni: CISSP, ISO/IEC 27001 Lead Auditor, ITIL, PMP.

Salvatore Lombardi - Business Development Director Public Sector. Certificazioni: ISO/IEC 27001 Lead Auditor, PMP.

Protiviti è un Gruppo multinazionale di consulenza direzionale, leader nell'analisi e progettazione di modelli di Governance, Organizzazione e Controllo. Nata nel 2002 in California, Protiviti è un network caratterizzato da una presenza internazionale di rilievo con oltre 60 uffici presenti nelle principali città degli Stati Uniti, Canada, Sud America, Europa, Asia e Australia e oltre 2.500 persone.
In Italia, Protiviti opera nelle sedi di Milano, Torino e Roma e conta oltre 130 professionisti. La filiale italiana è in continua crescita, a conferma del sempre maggiore interesse del mercato delle aziende evolute nei confronti dei servizi di Governance. Obiettivo di Protiviti è la diffusione di una cultura aziendale finalizzata ad allineare i processi, i sistemi informativi e l'organizzazione alle migliori prassi internazionali. La base Clienti include oltre il 25% delle imprese del Fortune 1000.
I valori che ispirano la nostra organizzazione sono inglobati nel brand "Protiviti", studiato per essere letto e pronunciato in modo uguale in tutto il mondo e per riflettere i princìpi chiave che ispirano la nostra consulenza: professionalism, productiviti, proactiviti, objectiviti, creativiti, integriti, qualiti e responsibiliti.
Protiviti fa parte del Gruppo Robert Half International (RHI), quotato al NYSE e appartenente all'indice S&P 500, leader nel segmento Head Hunting.

Sito web: www.protiviti.it

Autori

Enrico Ferretti - Director. CISA, CGEIT, CRISC, LA ISO27001, PCI-DSS QSA, Membro AIPSA, Membro AIEA, Membro BCManager.

Antonello Gargano - Senior Consultant. Membro AIEA.

Seminaroti Paola - Consultant

All'interno del gruppo Reply SpA, Spike Reply è la società specializzata sulle tematiche relative alla Sicurezza delle Informazioni, Tutela dei Dati Personali e Gestione delle Frodi.
Spike Reply ha definito un'offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato ad un sistema informativo: dall'individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione ed implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative.
La missione di Spike Reply è di permettere ai propri clienti di effettuare il loro business in completa affidabilità e garanzia, supportandoli nello sviluppo delle idonee strategie e nella implementazione delle appropriate soluzioni per una gestione efficace della Sicurezza in azienda.
Il valore di Spike Reply si fonda su di una competenza consolidata sul campo da molteplici esperienze, dalla conoscenza approfondita delle tecnologie, degli operatori, degli standard di riferimento e delle normative di settore; lo sviluppo dell'attività operativa si articola attraverso una costante verifica delle contromisure adottate, delle procedure operative ed organizzative, della configurazione dei sistemi, delle applicazioni e delle reti.
Con questo approccio Spike Reply è in grado di aiutare i clienti a costruire lo "scudo" più efficiente contro qualsiasi tipo di minaccia e di fornire la massima garanzia su tutte le fasi di intervento.

Sito web: www.reply.eu/it

Autori

Ferrario Alan - Project Manager di progetti in ambito Governance, Risk e Compliance su clienti large account.

Ferraris Giovanni - Senior Security Consultant; progetti di sicurezza in ambito Governance, Risk e Compliance.

Roberto Leone - Senior Security Consultant; progetti di sicurezza in ambito tecnologico e GRC. Responsabile linea di offerta sulla security dei digital process.

Squilloni Valentino - Business Development Manager Large Account; gestione vendor/partner tecnologici di riferimento per la Security.

ZEROPIÙ SPA è un system integrator specializzato nel campo della sicurezza informatica dalla sua fondazione nel 1994. In questo ambito ha consolidato, nel tempo, skill e know how riconosciuti dal mercato, con focalizzazione su:

  • security Assessment;
  • identity and access Management;
  • strong authentication e mobile security;
  • secure Data Management ed encryption;
  • servizi di supporto, on site e offsite, in accordo alle best practice ITIL

ZEROPIÙ adotta, in questi ambiti, un approccio basato su ISO9000 e ISO 20000.
L'offerta di ZEROPIÙ è strutturata in tre aree: Consulenza, Progetti e Servizi.
ZEROPIÙ è presente in Italia e, attraverso la consociata ZEROPIU Nordic, nell'area scandinava.

Sito web: www.zeropiu.it

Autori

Sergio Fumagalli - VicePresident,responsabile relazioni esterne e partnership, coautore di "Privacy guida agli adempimenti", pubblicato da Ipsoa.

Paolo Librera - Technical account manager - Responsabile progetti di sicurezza in ambito IAM e mobile.

Download

È possibile scaricare il documento (aggiornato a marzo 2012) cliccando sulla copertina del libro, o sul pulsante di download.

Privacy nel Cloud
Scarica il libro

Per l'appendice citata nel documento:

Appendice 2 ("Tecnologie disponibili: la proposta Oracle") (marzo 2012)

Il documento e l'appendice sono concesse in licenza Creative Common 3.0 Italia, Attribuzione e Condividi allo stesso modo.

Tu sei libero di:

Alle seguenti condizioni:


Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s