I primi 100 giorni

del Responsabile della Sicurezza delle Informazioni

Nella piccola e media impresa italiana negli ultimi anni si è assistito, in ambito IT, al consolidamento di alcuni orientamenti di lungo periodo (digitalizzazione, multicanalità, …) e all’affermazione di nuovi paradigmi (i servizi di Cloud Computing, i Social Network, il Mobile Computing, …) che, se da un lato consentono al Made in Italy di dotarsi di modelli e strumenti sempre più sofisticati ma sostenibili per il raggiungimento degli obiettivi di business, dall’altro espongono i dati e le informazioni aziendali a nuovi rischi di sicurezza.

È quindi evidente come queste nuove sfide vadano a rendere ancora più complesso il compito di chi ha l’onore e l’onere di proteggere il patrimonio informativo di un'organizzazione piccola o grande a piacere.

Tale figura, nell'attuale contesto, avrà sicuramente molte attività da realizzare: alcune semplici, altre più complesse, altre ancora obbligatorie per legge, per non parlare poi di una pletora di azioni decisamente importanti ma poco visibili al top management.

Per questo motivo è ragionevole pensare che il Responsabile della Sicurezza delle Informazioni si trovi nella condizione di domandarsi quali aspetti e attività debbano essere affrontati per primi, quali approcci, metodologie e strumenti debba utilizzare per svolgere al meglio le attività di sua competenza, e ancora: esistono degli aspetti comuni a tutte le diverse possibili situazioni? E quali di questi dovrebbero avere massima priorità nel contesto attuale?

Obiettivo principale de "I primi 100 giorni del Responsabile della Sicurezza delle Informazioni" è, quindi, quello di fornire una serie di spunti non solo di natura metodologica, ma anche di carattere pratico, ad un Responsabile neo incaricato della protezione dei dati e delle informazioni in una impresa del Made in Italy contribuendo, inoltre, in maniera pragmatica, alla creazione di una base di consapevolezza e di competenze sui temi concreti della sicurezza delle informazioni.

Motivazione degli autori

Questo minisito e il materiale prodotto sono il frutto del lavoro di una quindicina tra aziende, studi legali, consulenti direzionali e associazioni che collaborano regolarmente da alcuni anni, sui temi di attualità dell'Information Security. Ciò che unisce gli autori è la Oracle Community for Security e la consapevolezza che sia necessario operare a livello culturale in modo da elevare il livello della sicurezza di cui si dotano le aziende.

Con il presente documento, Oracle Community for Security vuole supportare il Responsabile della Sicurezza delle Informazioni ad indirizzare opportunamente le scelte nel breve periodo (da qui il titolo dei suoi primi 100 giorni) definendo degli obiettivi concreti, proponendo le azioni che portino ad ottenere risultati visibili, nonché offrendo un approccio che ne consenta il mantenimento ed il miglioramento nel tempo.

A chi si rivolge?

Questo documento è stato pensato ed elaborato per tutti coloro i quali, all'interno di un'organizzazione privata appartenente al cosiddetto Made in Italy operante in un qualsiasi settore d'attività (agricoltura, industria, terziario, ecc.), hanno ricevuto il mandato di provvedere alla messa in sicurezza del patrimonio informativo aziendale e che non hanno esperienze specifiche in ambito di sicurezza informatica, né, a maggior ragione, di sicurezza delle informazioni.

Il documento, infatti, tratta la tematica secondo un approccio graduale, dal generale allo specifico, dagli aspetti legali alle azioni imprescindibili per proteggere i dati, attraversando temi rilevanti come quelli delle buone pratiche, della formazione, della consapevolezza e del reporting fornendo una serie di spunti non solo di natura metodologica, ma anche di carattere pratico che saranno di sicuro interesse per tutti coloro che hanno ricevuto l'incarico di responsabile della sicurezza delle informazioni.

Rassegna Stampa

Cliccare sul titolo dell'articolo per visualizzarne la versione completa.

Le incombenze del CISO neo insediato

Un decalogo per aiutare il Responsabile della Sicurezza delle Informazioni della media impresa italiana a districarsi tra le complessità del suo rolo nei cento giorni successivi al suo insediamento.

15/03/2013

Cosa deve fare un Ciso nei suoi primi cento giorni

Uno studio di Oracle Community for Security definisce il catalogo del Responsabile della Sicurezza delle Informazioni dalla definizione condivisa degli obiettivi all'analisi di minacce e vulnerabilità, dalla gestione del rischio, al riesame del processo.

14/03/2013

Cosa deve fare un Ciso nei suoi primi cento giorni

Uno studio di Oracle Community for Security definisce il catalogo del Responsabile della Sicurezza delle Informazioni dalla definizione condivisa degli obiettivi all'analisi di minacce e vulnerabilità, dalla gestione del rischio, al riesame del processo.

14/03/2013

Security Summit 2013: Oracle Community for Security

La comunità dei partner Oracle focalizzata sui temi della sicurezza informatica in azienda, ha messo a fuoco le sfide che attendono il Responsabile della Sicurezza delle Informazioni al suo insediamento in questo ruolo, con particolare riferimento al contesto della media impresa italiana.

13/03/2013


Autori


Questo lavoro è frutto della collaborazione dei seguenti autori e contributori.

Abeti Riccardo Studio Legale Abeti Membro del Comitato Esecutivo e Presidente della Commissione "New Technology, Personal Data and Communication Law" dell’Unione Avvocati Europei. Specializzato nel diritto delle nuove tecnologie.
Anzanello Roberto AUSED / Electrolux IT Solutions Technical specialist IT Security Infrastructure Team EMEA
Arena Orlando SafeNet Regional Sales Director, Italy, Malta, Greece & Cyprus
Baldassarre Pasqualino NexSoft ITC System Integrator - Responsabile Area Progetti
Bazzani Massimo Alfa Group Delivery Manager in SEC Consulting, la Security Division di ALFA GROUP
Bechelli Luca CLUSIT Libero professionista, Membro del Consiglio Direttivo CLUSIT
Bernardi Bruno CSQA Certificazioni Responsabile Divisione Tecnologie e Sicurezza ICT
Bosis Angelo Oracle Sales Consulting Senior Manager
Brera Jonathan KPMG Advisory Manager Information Risk management. CISA, CISM, CRISC, L.A.ISO27001, L.A. BS25999 / ISO22301, Prince2 Foundation, socio ISACA e AIEA
Canetta Riccardo SafeNet Regional Sales Manager, Italy
Capozucca Paolo SEC Alfagroup CEO di SEC Consulting, (Security Division di ALFA GROUP) affiliata italiana di COMSEC, Socio AIEA, capitolo milanese di ISACA, membro CLUSIT
Castello Andrea CSQA Certificazioni Responsabile schemi di Certificazione, Divisione Tecnologie e Sicurezza ICT
Cusello Giuseppe Alfa Group Presale Manager in SEC Consulting, la Security Division di ALFA GROUP
Esposito Alfredo Infocert Responsabile della Sicurezza delle Informazioni
Fumagalli Sergio ZEROPIU VP, marketing, relazioni esterne e partnership. Responsabile attività di consulenza sulla Privacy, coautore di "Privacy guida agli adempimenti", Ipsoa 2005
Gatti Francesca AUSED CISA, CGEIT, Consiglio Direttivo AUSED, Coordinatrice dell’Osservatorio Sicurezza e Compliance di AUSED
Girolimetto Martina CSQA Certificazioni Marketing & Comunicazione
Goisis Andrea ZEROPIU Advisory & Presales Specialist
Guerriero Vito KPMG Advisory Project Leader Information Risk Management, CISA, CRISC, L.A.ISO27001, CobiT 4.1 Foundation, ITIL v.3 Foundation, Prince2 Foundation, socio ISACA e AIEA
Longhi Andrea Consulente direzionale Security Governance, Business Continuity, Risk Management, Compliance. LA ISO27001, socio CSA
Mariotti Andrea Ernst & Young Director IT Risk &Assurance Services, CISA, CISM, CRISC, Lead auditor ISO27001, Lead Auditor ISO20000, socio AIEA e AIPSA
Obialero Roberto ADS - Automated Data Systems Business Development IT Security & Infrastructures, GCFA, GCFW
Pennasilico Alessio CLUSIT Security Evangelist @Alba S.T., Direttivo e CTS Clusit, Direttivo AIP
Piamonte Alberto AIEA Metodologie di Governance IT, COBIT5. Consigliere AIEA e Research Director
Ramaioli John Mario Banca Popolare di Milano Direzione Information Technology, Responsabile Area Sicurezza e Continuità Operativa. Consiglio Direttivo Abilab
Ronchetti Enrico Kelyan Database Architect & Data Security Architect
Russo Giuseppe Oracle Chief Technologist e Security Top Gun, Oracle Italia
Sanseverino Marco KPMG Advisory Senior Security Consultant, Information Risk Management CISSP, L.A.ISO27001, CobiT 4.1 Foundation
Saulli Fabio BSC Consulting Business Unit Manager Area Sicurezza IT
Spreafico Giulio AIEA Ingegnere, consulente di Governance IT, Sicurezza, Business Continuity e Privacy, certificato CISA, CISM, CGEIT e CRISC da ISACA, IS Auditor e docente AIEA
Telmon Claudio CLUSIT Libero professionista - membro del Comitato direttivo Clusit
Torre Vittorio NexSoft IT GRC Manager. CISSP, CISA, ISO 27001 LA
Vallega Alessandro Oracle Security Business Development Manager, Consiglio Direttivo Clusit, Coordinatore della Oracle Community for Security
Vicini Maria Cristina BSC Consulting Responsabile Area Nord, esperta di Digital Identity, Database Security, DLP, Mobile Security, Privacy e altro in area Information Security

Download

È possibile fare il download del documento (aggiornato a febbraio 2014) tramite i seguenti link:

I Primi 100 giorni
Scarica il libro

Si segnala che nel Rapporto Clusit 2015 è stato inserito un breve articolo sul ROSI (Return on Security Investiments).

L’intero rapporto é reperibile qui: http://www.clusit.it/rapportoclusit/ Il solo Focus on sul ROSI é scaricabile in italiano qui e in inglese qui


Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s