Perché è necessario un Audit di Sicurezza ed un Risk Assessment?
La gestione dei rischi è parte integrante di qualsiasi attività quotidiana, nella maggior parte dei casi viene eseguita inconsciamente e automaticamente. Nel mondo dell’IT la gestione del rischio è alla base della continuità del servizio, spesso però le conseguenze sono sottovalutate o completamente dimenticate. La compromissione di un sistema informatico può avere diversi vettori, negli ultimi anni gli attacchi più devastanti hanno avuto successo proprio a causa della mancanza di valutazione e gestione del rischio. L’analisi di sicurezza permette di capire la maturità aziendale circa la protezione dei sistemi, la valutazione del rischio determina l’esposizione e le conseguenze di quanto scoperto tramite l’analisi. Sponsor dell’evento: Titolari e Manager aziendali, imprenditori, dirigenti e quadri in ambito pubblico e privato, Project Manager, Delivery Manager, Security Manager. Tutte le figure con un potere decisionale aziendale che partecipano come stakeholder a progetti di digitalizzazione, tutti gli addetti ai lavori nel mondo digitale: sviluppatori, responsabili e gestori delle infrastrutture IT, tutte le figure che garantiscono l’operatività dei servizi IT. Descrizione Diverse multinazionali hanno dimostrato di sottovalutare l’analisi dei rischi con spiacevoli conseguenze. Il Risk management è un’attività che riguarda le piccole, medie e grandi imprese. Il risk management va indirizzato anche nella gestione della reputazione personale ed aziendale su internet. Linkedin è oggigiorno la più usata ed importante piattaforma di social media orientata al business ad ai professionisti. I potenti strumenti permettono di costruire un portafoglio di contatti professionali molto mirato e di svolgere anche un efficace attività di social media marketing. L’evento sarà presentato e moderato da Andrea Cherubini, presidente di itSMF e responsabile per il Ticino con esperienze pluriennali nella gestione progetti IT, governance e gestione dei servizi IT, certificato Prince2, ITIL e ISO 27001, ben supportato dai seguenti esperti di settore: Per tutti i partecipanti è prevista una pausa caffè intermedia ed un buffet a fine dell’evento. ✔Andrea Cherubini, Presidente svizzero di itSMF, laureato alla SUPSI in IT Management e Governance, oltre 15 anni di esperienza in ambito IT, specializzato e certificato nella gestione dei Progetti IT, Servizi IT e della Governance IT. ✔ Paolo Geninazzi, Senior Security Engineer presso la UMB AG, consulente esterno di sicurezza per IBM e Cisco (USA). Master in Technology and Policy Program MIT Boston, CISA, CCIE. ✔ Gianni Simonato, Acceleratore di Impresa, Linkedin Sales Navigator Trainer | MarTech & SalesTech Expert, Fondatore MyAcademy GmbH, Member S-GE (Switzerland Global Enterprise) e Sponsor Ticino SVC (Swiss Venture Club) 15:30 – Registrazione ed accoglienza Quota di partecipazione: CHF 50.00
Ne parliamo apertamente con voi.[ il 23-10-2019 | dalle 15:30 alle 18:30 ]
Parco Maraini – Sala Multiuso – Via Massagno 36, 6900 Lugano
Quota di partecipazione: 50.- CHF
Destinatari
L’evento è un workshop con una tavola rotonda finale focalizzato sui temi della sicurezza informatica legata alle revisioni periodiche (audit) ed alla gestione e valutazione dei rischi sia interni che esterni.
Le domande a cui risponderemo anche con esempi pratici:
👉Come si è arrivati al risk management?
👉Quali sono i benefici e le possibilità offerte da questo approccio?
👉C’è una dimensione o complessità aziendale che ne beneficia maggiormente?
👉Perché è necessario abbinare un audit di sicurezza alla gestione dei rischi?
👉Quali sono le differenze?
👉Perché preferirlo in alcuni casi specifici ad un penetration test?
👉Quali strategie preventive adottare per proteggere i nostri dati aziendali su internet?
👉Quali cautele adottare, chi infine se ne deve occupare?
Con l’evoluzione delle tecnologie inoltre le metodologie per il controllo della sicurezza si sono evolute e hanno modellato questo panorama in maniera completamente diversa.
E’ quindi importante analizzare tutti i rischi derivanti dalla presenza di profili professionali e pagine aziendali su Linkedin, quali cautele adottare, chi se ne deve occupare, strategie preventive da adottare.
✔Paolo Geninazzi, Senior Security Engineer presso la UMB AG, consulente esterno di sicurezza per IBM e Cisco (USA). Master in Technology and Policy Program MIT Boston, CISA, CCIE.
✔Gianni Simonato, Fondatore MyAcademy GmbH, Acceleratore di Impresa, Linkedin Sales Navigator Trainer | MarTech & SalesTech Expert, Member S-GE (Switzerland Global Enterprise) e Sponsor Ticino SVC (Swiss Venture Club)
Tutti gli iscritti paganti riceveranno in omaggio l’affiliazione annuale individuale ad itSMF.
Vi aspettiamo!Relatori
LinkedIn: https://www.linkedin.com/in/andreacherubini/
Linkedin: https://www.linkedin.com/in/paolo-geninazzi-6b37244b/
Linkedin: https://www.linkedin.com/in/giannisimonato/Programma
16:00 – Presentazione evento ed introduzione da parte di itSMF
16.15 – Risk assessment e risk management
16.45 – Pausa caffè
17.00 – Audit di sicurezza
17.30 – Modern selling e rischi derivanti dalla presenza di profili su Linkedin
17.50 – Q&A finali, tavola rotonda aperta a tutti e moderata dai relatori
18.10 – Aperitivo finale con conclusione e networking professionaleIscrizione
Cos’è la IT governance e ITSM?
Spesso tendiamo a dare le definizioni e le spiegazioni dei concetti di base all’inizio di un percorso (di vita, formativo, professionale, etc…) e poi durante il cammino le assunzioni, le convinzioni e talvolta le certezze ci fanno credere che ciò sia assodato, consolidato e chiaro a tutti, fermo poi scoprire che questo non è affatto vero per cui tali concetti andrebbero ripetuti più volte nel tempo, se possibile chiariti ancora meglio ed in modo più pratico.
Da un lato va considerato che l’esperienza del cammino ci permette di acquisire una maggiore coscienza e saggezza in grado di migliorare la condizione iniziale, e dall’altro i riscontri ed i quesiti che otteniamo indietro ci servono per capire se e quali concetti non sono ancora ben chiari a tutti perché sono concepiti e metabolizzati da una base di conoscenze ed esperienze pregresse differenti.
Che cos’è la governance IT, dunque?
Il cuore contenutistico di itSMF ruota attorno alla discussione e divulgazione dei concetti di IT Governance ed IT Service Management, ma che cosa sono? Sono tra di loro relazionati? E come?
Partirei da dove praticamente tutti oggigiorno possono facilmente e velocemente documentarsi senza avere delle competenze più o meno certificare pregresse: Wikipedia.
Vi premetto che in questo caso la base di partenza è già di per sé buona [n.d.r.]:
«IT Governance, o governo dell’IT nella forma italiana, si intende quel sottoinsieme del governo di impresa (l’insieme generale delle regole che disciplinano la direzione e la gestione di ogni impresa) che si occupa di gestire la funzione IT aziendale (che eroga servizi IT banalmente attraverso tutti i suoi “sistemi” informatizzati) nella direzione di allinearla alle finalità aziendali e di gestire efficacemente tutti i rischi ad essa associati»
Una delle attività chiave di analisi è l’IT Audit, revisione IT nella forma italiana, che permette di fotografare la situazione attuale per definire tutte le criticità ed avviare le attività per ottenere la situazione desiderata.
La letteratura offre due altre importanti definizioni di IT Governance:
✔una dell’IT Governance Institute: «è parte integrante della governance aziendale, di responsabilità diretta del consiglio di amministrazione e del management esecutivo, ed è costituita dalla direzione, struttura organizzativa e dai processi in grado di assicurare che la funzione IT sostenga ed estenda gli obiettivi e le strategie dell'organizzazione.»
✔una di ISACA (Information Systems Audit and Control Association, i creatori di Cobit n.d.r.) «la capacità organizzativa e la responsabilità esercitata dalla direzione aziendale, dai manager esecutivi e dai manager IT di assicurare la formulazione ed il controllo di una strategia IT in grado di assicurare un’integrazione tra business ed IT».
I principali obiettivi e finalità sono:
👉assicurare che gli investimenti IT generino valore per l’azienda
👉assicurare la gestione e la mitigazione dei rischi IT associati
Questi obiettivi dipendono dalla realizzazione di una struttura organizzativa aziendale con ruoli e responsabilità ben definiti e da una gestione ottimale di tutte le risorse: processi e risorse umane (i principali attori dei processi), dati, infrastruttura, software ed applicazioni.
In sostanza la IT Governance si preoccupa di determinare la direzione aziendale strategica attraverso la definizione di tutti i bisogni aziendali e di prendere decisioni in merito agli sforzi da intraprendere per raggiungere gli obiettivi aziendali ed allineare gli obiettivi IT al loro raggiungimento.
Che cos’è l’IT Service Management?
Prima di fornire alcune definizioni in merito è importante introdurre il concetto centrico “everything as a service”, apparso nella letteratura IT per definire inizialmente gli approcci ed i modelli di Cloud Computing ma che è stato subito sdoganato in quanto pienamente identificabile anche in ambienti privati e locali aziendali cosiddetti “on-premise”, dove la funzione IT è di fatto sempre e comunque legata all’erogazione di servizi seppur in modalità a volte meno strutturata e formalizzata.
La funzione IT fornisce un insieme di servizi e di conseguenza prima di focalizzarsi sulla tecnologia, deve prima di tutto considerare la qualità dei servizi che eroga (attraverso la tecnologia) e la relazione con il “cliente” finale.
Per questo si può asserire che ITSM ha una logica di servizio totalmente agnostico e disaccoppiato dalla tecnologia.
Ecco una prima definizione molto letteraria, tratta da Wikipedia e leggermente perfezionata: L'IT Service Management (o gestione dei servizi IT, abbreviato in ITSM) è una disciplina che si occupa di pianificare, progettare, realizzare, mettere in funzione e controllare i servizi IT offerti agli utenti/clienti attraverso uno schema definito di processi, diretti da policies (decisioni aziendali), e procedure con una logica di miglioramento continuo».
ITIL assieme alla definizione di ITSM fornisce la definizione di servizio:
«Un servizio è il mezzo che permette ad un’organizzazione, assumendosi i costi ed i rischi iniziali, di fornire valore ai clienti attraverso la facilitazione dell’ottenimento dei risultati prefissati.»
E quindi ITSM: «La gestione dei servizi è un insieme di capacità organizzative specializzate a fornire valore ai clienti/utenti sotto forma di servizi.»
Per concludere, seppur apparentemente più concisa, ITIL fornisce un bella definizione di ITSM con una visione più centrica e di business dell’IT, con uno sguardo più rivolto ai fruitori dei servizi ed all’esterno e meno all’interno della funzione IT stessa e del suo ciclo di vita.
Come si relazionano tra loro?
In realtà IT Governance ed ITSM sono strettamente correlati tra loro esattamente come la visione e la strategia si relazionano con la tattica e l’operatività.
Se la visione dà l’idea di quale direzione un’azienda vuole intraprendere o il risultato che vorrebbe ottenere, la strategia è l’insieme dei piani decisionali aziendali che permetteranno di realizzare la visione, mentre la tattica raccoglie tutte le azioni e le attività tangibili attuate per mettere in pratica la strategia nella direzione della visione.
In questo senso IT Governance è la strategia mentre IT Service Management ingloba tutte le azioni tattiche per attuare la strategia attraverso il ciclo di vita dei servizi.
Autore: Andrea Cherubini
itSMF partecipa all’evento sulla Cyber Security
Lo scorso martedì 11 Dicembre, itSMF ha partecipato all’evento sulla Cyber Security a Lugano, precisamente all’Hotel Dante, dove sono stati affrontati vari aspetti legati alla misurazione della vulnerabilità umana ed aziendale attraverso un tipico e comune attacco di tipo Social Engineering, perpetrato dai cyber-criminali, che può facilmente scalare dal phishing sino al pieno possesso del computer e dell’infrastruttura informatica, eludendo i vari sistemi aziendali di prevenzione e di controllo della sicurezza attiva e passiva.
E’ una classica situazione di pericolo a cui molte aziende risultano ancora vulnerabili, per questo i responsabili e gestori della sicurezza informatica in primis, della governance e compliance aziendale, senza omettere le risorse umane nella collaborazione a sensibilizzare il personale verso una loro corretta consapevolezza ed adeguata formazione, devono poter comprendere e “misurare” attentamente per trovarsi in grado di poter far fronte all’accadimento.
E’ un evento che culmina con una simulazione di live hacking ed è molto finalizzato al doppio filone causa-effetto e relativo impatto ma con un’attenta riflessione sulla consapevolezza e capacità di saper analizzare queste tipologie di rischio per poter essere gestite con il giusto livello di gravità e priorità al fine di prendere preventivamente ed attivamente delle efficaci contromisure.
Ogni efficace contromisura non è derivata da un’azione spontanea intrapresa operativamente senza un’analisi ed un concordato aziendale ma da una politica di governance aziendale finalizzata allo specifico obiettivo che abbia valutato gli investimenti necessari a mitigare la tipologia di rischio.
L’invito è corroborato a consolidare il rapporto di partnership tra itSMF e le aziende leader nel territorio con specifiche e certificate competenze negli ambiti toccati dalla IT governance e dal Service Management per poter definire quei processi aziendali naturali di tipo top-down per la gestione ottimale dei servizi IT, sempre più importanti e coinvolti direttamente nel core business.
Autore: Andrea Cherubini
itSMF Ticino presenta il futuro della IT Governance sul territorio
Con l’avvento della rivoluzione digitale la gestione delle politiche aziendali e dei servizi IT coinvolgono sempre più figure aziendali che hanno un potere decisionale al di fuori della funzione IT. E’ importante comprendere le dinamiche e farsi trovare preparati: il “time to market” non può attendere. “Chi ben comincia è a metà dell’opera”.
[ il 20-11-2018 | dalle 15:30 alle 18:30 ]
SALA BEATRICE – HOTEL DANTE | Piazza Cioccaro 5 – 6900 LUGANO
Quota di partecipazione: 60.- CHF
SPONSOR DELL’EVENTO:
Destinatari
Titolari e Manager aziendali, imprenditori, dirigenti e quadri in ambito pubblico e privato, Project Manager, Delivery Manager. Tutte le figure con un potere decisionale aziendale: responsabili Marketing e Comunicazione, responsabili acquisti, responsabili organizzazione, e tutti gli addetti ai lavori nel mondo digitale: sviluppatori, responsabili e gestori delle infrastrutture IT, tutte le figure che garantiscono l’operatività dei servizi IT
Descrizione
Se la parola “IT Governance” o “governo dell’IT” non è di per sé molto utilizzata nel linguaggio comune aziendale, tutto ciò che riferisce ad essa sono in realtà nella bocca di tutti.
Pianificare, regolamentare, politiche o policies, piano strategico, progettare, modellare, flussi di lavoro, gestire i rischi informatici, processi aziendali, solo per citarne alcuni.
Il successo della digitalizzazione delle aziende, come per qualsiasi progetto, parte dalle politiche che le aziende decidono di attuare attraverso i loro processi di implementazione.
Il ritorno degli investimenti stimati non si misurano solo nel valore del prodotto finale realizzato ma anche nei tempi e nei modi con cui il sistema impresa riesce a mettere il prodotto nella condizione di produttività (appunto l’espressione “time to market”).
Per ottenere questo è necessario alla base far crescere in modo ortogonale la conoscenza in termini di:
⧫ consapevolezza
⧫ competenze di base
⧫ conoscenza delle pratiche di approccio
⧫ conoscenza degli strumenti di implementazione
in relazione con la loro diffusione verso una platea ampia ed eterogenea di figure professionali, oltre a quelle IT e manageriali.
Per ottenere i maggiori benefici possibili dalla trasformazione digitale vanno considerati alcuni tra i fattori critici di successo:
✔ sfruttare tutti gli automatismi possibili
✔ diffondere una cultura digitale aziendale
✔ semplificare i processi decisionali ed i flussi di lavoro
✔ adottare un sistema di orchestrazione o approccio collaborativo dei team
In questo evento, con due speaker ospiti d’eccezione, mostreremo le nuove metodologie, i nuovi standard pensati per le sfide del presente e futuro.
Per diffondere la giusta cultura aziendale è anche necessario un concetto di strategia ed un linguaggio efficace e più possibile semplice, convincente e diretto; è quello che vogliamo trasmettere durante tutti i nostri appuntamenti futuri che saranno in anteprima presentati.
Relatori
Andrea Cherubini, Presidente svizzero di itSMF, laureato alla SUPSI in IT Management e Governance, con la ventennale esperienza in ambito IT ricoprendo molti ruoli e funzioni, si è specializzato e certificato nella gestione dei Progetti IT, Servizi IT e della IT Governance.
LinkedIn: https://www.linkedin.com/in/andreacherubini/
Sebastién Martin, membro di comitato ed ex-presidente di itSMF, esperto di Service Management e Service Manager alla Richemont International di Ginevra, vanta una ventennale esperienza internazionale nella gestione dei Servizi IT in realtà aziendali molto importanti. Certificato ITIL ed IT4IT.
Linkedin: https://www.linkedin.com/in/smartinconsultantitil/
Omar Terzi, consulente aziendale e coach, docente SUPSI di strategia, presenta con un linguaggio semplice e diretto alcuni concetti legati all’introduzione della governance.
Linkedin: https://www.linkedin.com/in/omar-terzi-88839a1/
NB: per tutti i partecipanti è previsto un caffè di benvenuto all’inizio dell’evento ed un buffet a fine dell’evento per scambiarsi opinioni e consigli.
Programma
[15:30] Accoglienza e caffè di benvenuto
[16:00] itSMF il futuro della governance in Ticino – I valori, il programma e le migliori pratiche
Andrea Cherubini – Presidente e responsabile regionale di itSMF Svizzera.
[16.25] Domande e discussione
[16.30] (intervento in inglese) IT4IT il nuovo standard di riferimento architetturale – Nato per gestire il business IT nelle moderne organizzazioni che adottano il Cloud-sourcing, l’intermediazione dei servizi, Agile, DevOps. IT4IT è meglio di ITIL? Il differente approccio nella gestione dei processi IT.
Sebastién Martin – membro di comitato itSMF ed ex-presidente, ventennale esperienza in ambito internazionale nel Service Management. Certificato ITIL e IT4IT.
[17.00] Domande e discussione con il relatore
[17.10] La strategia di divulgazione e confronto della governance – Dai meccanismi decisionali del nostro cervello alle possibili soluzioni comunicative per essere diretti, efficaci a trasmettere le direttive, la consapevolezza e le conoscenze di base
Omar Terzi – consulente aziendale e coach, docente SUPSI di strategia.
[17.40] Domande e discussione con il relatore
[17.50] Aperitivo con conclusione, domande e networking
Iscrizione
Quota di partecipazione:
CHF 60.00