© Silvano Bari - 2006

LA SICUREZZA DELLE INFORMAZIONICOME STRUMENTO AZIENDALEDI CORPORATE GOVERNANCE

Silvano BariResponsabile Sicurezza Informatica

ALITALIA

Università di Roma “La Sapienza” - 4 dicembre 2006

© Silvano Bari - 2006

Temi di Corporate Governance Aziendale

Struttura proprietariaefficienza dei sistemi di controllo

efficienza del Consiglio di Amministrazionecorretta composizione del Consiglio di Amministrazione

protezione degli azionisti di minoranza

ma, soprattutto

il trattamento delle informazioni(in particolar modo quelle riservate)

e la loro protezione

© Silvano Bari - 2006

Testo Unico della Finanza

D.Lgs. 24 febbraio 1998, n.58TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA

(attuato dalla CONSOB con il regolamento n. 11522 del 1998)

successive modifiche/integrazioni

Legge Delega 3 ottobre 2001, n.366RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA

D. Lgs. 11 aprile 2002, n.61DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI

RIGUARDANTI LE SOCIETA’ COMMERCIALI

Legge 18 aprile 2005, n.62DISPOSIZIONI PER L’ADEMPIMENTO DI OBBLIGHI DERIVANTI

DALL’APPARTENENZA DELL’ITALIA ALLE COMUNITA’ EUROPEE

Legge 28 dicembre 2005, n.262DISPOSIZIONI PER LA TUTELA DEL RISPARMIO

E LA DISCIPLINA DEI MERCATI FINANZIARI

Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006

© Silvano Bari - 2006

Testo Unico della Finanza

REGOLE PER GARANTIREUNA MIGLIORE GOVERNANCE

DELLE SOCIETA’ QUOTATE

E PER LA TUTELA DI TUTTI I SOGGETTIINTERESSATI ALLA VITA DELL’IMPRESA

CONTROLLO DELL’IMPRESASTRUTTURA PROPRIETARIA

EFFICIENZA GESTIONALE

ma soprattutto…...

© Silvano Bari - 2006

Testo Unico della Finanza

MAGGIORE TRASPARENZA E CONTROLLODELL’INFORMATIVA SOCIETARIA

obblighi di pubblicità degli assetti societari

obblighi di informativa al pubblico

obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio sindacale e amministratori) e la società di revisione

gestione delle “informazioni privilegiate” (registro degli accessi)

attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti

adempimenti per la prevenzione degli abusi di mercato

dichiarazioni di rispondenza al vero

© Silvano Bari - 2006

Testo Unico della Finanza

Sanzioni civili e penali

false informazioni nelle comunicazioni previste

utilizzazione e divulgazione di notizie riservate

abuso di “informazioni privilegiate”

© Silvano Bari - 2006

Codice Preda

Codice di autodisciplina per le società quotate(elaborato nel 1999 nell’ambito di Borsa Italiana S.p.A.

e riaggiornato nel marzo 2006)

trattamento delle informazioni societarie

adozione di una procedura (approvata dal Consiglio di Amministrazione)

per la gestione interna e la comunicazione all’esternodi documenti ed informazioni

(con particolare riferimento alle informazioni privilegiate)

© Silvano Bari - 2006

Circolare ISVAP n. 577/D del 30 dicembre 2005

Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo

indica modi e mezzi (anche informatici) per la conformità delle imprese assicuratrici,in tema di rischio e controllo del rischio

qualità dei dati, dei flussi informativi, dei canali di comunicazionealta tecnologia del sistema informatico

protezione dal deterioramento e dalla perdita dei dati

© Silvano Bari - 2006

D. Lgs. 231/2001

Responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti,e/o dipendentinell’interesse o a vantaggio dell’ente stesso

Market abuse:abuso di informazioni privilegiate per acquisto o vendita

di strumenti finanziaricomunicazioni di informazioni privilegiate

in caso di illecito commesso da soggetti apicalipresunzione di colpevolezza della società

(inversione dell’onere della prova)

© Silvano Bari - 2006

Privacy e protezione dei dati personali

Direttiva comunitaria n.467/1995

Legge n. 675/1996Istituzione del Garante Privacy

DPR 318/1999

D. Lgs. 196/2003(Codice sulla protezione dei dati personali)

© Silvano Bari - 2006

D. Lgs. 30 giugno 2003, n.196

Misure minime di sicurezza

Misure idonee di sicurezza

Codice sulla protezione dei dati personali

© Silvano Bari - 2006

D. Lgs. 30 giugno 2003, n.196

Misure minime di sicurezza

elencate nell’allegato B - Disciplinare tecnico

Sistema di autenticazione informatica

Sistema di autorizzazione

Altre misure di sicurezza

Documento programmatico sulla sicurezza

Ulteriori misure in caso di trattamento di dati sensibili

reato di omessa adozione di misure di sicurezza

sanzioni penali

© Silvano Bari - 2006

D. Lgs. 30 giugno 2003, n.196

Misure idonee di sicurezza

non sono indicate dalla leggema devono essere scelte dall’azienda

sulla base:

del progresso tecnicodella natura dei dati

delle specifiche caratteristiche del trattamento

reato di omessa adozione di misure idonee

sanzioni civili

© Silvano Bari - 2006

D. Lgs. 30 giugno 2003, n.196

Il trattamento dei dati personali assimilato all’esercizio di attività pericolose

(riferimento all’art.2050 c.c.)

Inversione dell’onere della prova

© Silvano Bari - 2006

Normative Internazionali

Sarbanes-Oxley Act (SOX) del 2002Per le società quotate in borsa negli Stati Uniti e le aziende contabili:

standard per la divulgazione di informazioni finanziarie e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario

Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II)Pubblicato dalla Banca dei Regolamenti Internazionali: nuovi standard per la

misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale

Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act)Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti

finanziari: riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla

Health Insurance Portability and Accountability Act (HIPAA)E’ volta a garantire l’interscambio delle informazioni sanitarie e indica i

requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti

1/2

© Silvano Bari - 2006

Normative Internazionali

Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11)Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della

persona, alimentari: rigorose procedure tecniche per l’utilizzo e l’archiviazione dei record in formato elettronico

Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4tipi di comunicazioni che devono essere conservate da membri, agenti

e intermediari di borsa e in quali luoghi

National Association of Securities Dealers (NASD) norme 3010 e 3110per le società soggette alle norme 17a-3 e 17a-4 della SEC

procedure per la ricerca e la revisione delle comunicazioni in formato elettronico. strategie di conservazione della documentazione e dei dati delle transazioni

Federal Information Security Management Act (FISMA)è rivolto alle agenzie federali

programmi per la sicurezza dei propri sistemi e risorse informative.

2/2

© Silvano Bari - 2006

Prime conclusioni

importanza della circolazione dell’informazione tra gli organi aziendali

attendibilità dei dati

riservatezza delle informazioni “privilegiate”

sicurezza delle informazioni critiche per il business

protezione dei dati delle terze parti (shareholders)

© Silvano Bari - 2006

Prime conclusioni

Protezione delle informazionicome

strumento aziendale di Corporate Governance

garanzia di

disponibilità

integritàriservatezza

© Silvano Bari - 2006

Come prevenire le responsabilità in azienda

Necessità di:

adottare ed attivare un modello efficacedi organizzazione, gestione e controllo

della protezione del patrimonio informativo

istituire una funzione di vigilanzasull’efficacia del modello

© Silvano Bari - 2006

Classificazionee misure di

protezione dati

ISMSINFORMATION SECURITY MANAGEMENT SYSTEM(secondo uno standard consolidato e riconosciuto)

PoliticheLinee GuidaProcedure

MisureTecnologiche

FormazioneMisure

Applicative

Sicurezza Fisica

Classificazionee misure di

protezione dati

Compliance conleggi e normative Monitoring

e controllo

AuditingMisure

organizzative

Risk assessmente gap analysis

Un modello di protezione delle informazioni

© Silvano Bari - 2006

PoliticheOrganizzazione (ruoli/responsabilità)

Controllo assetsPersonale

Sicurezza fisica/ambientaleSicurezza delle comunicazioni/operazioni

Controllo accessiSicurezza dello sviluppo/manutenzione

Gestione degli incidentiBusiness continuity

Conformità (leggi, direttive, ecc.)

Lo standard BS7799

Standard internazionale del British Standard Institutericonosciuto anche dalla ISO

Norma ISO17799Schema di best practices

Norma ISO27001Quadro di riferimento per un ISMS

© Silvano Bari - 2006

Lo sviluppo di un ISMS non garantiscedi per sè la sicurezza…

ma garantisce processi stabili, ripetibili e controllati

per cui la probabilità di un evento negativosi riduce

UTILITA’ A LIVELLO PROBATORIO

Validità del modello

© Silvano Bari - 2006

Perché la certificazione?

© Silvano Bari - 2006

Perché la certificazione di un ISMS

Essere sicuri di condividere i benefici delle migliori pratichedi sicurezza a livello internazionale

Ottenere la verifica, da parte di un organismo terzo,di un corretto svolgimento delle attività di sicurezza

Ottenere un attestato per rafforzare l’immagineaziendale e indurre maggior fiducia nei clienti

Ridurre il premio di assicurazione della Information Technology

Dimostrare, in caso di danni a terzi (responsabilità civile/penale) di aver fatto tutto il possibile per evitare i danni

Ottenere una ulteriore e specificacertificazione di qualità e sicurezza del sito Internet

© Silvano Bari - 2006

La certificazione dei siti internet

Vantaggi:

Miglioramento dell’immagine aziendale

Creazione di fiducia nel cliente(trasparenza, eticità nel trattamento dei dati,

completezza delle informazioni, sicurezza dei dati e dei pagamenti)

LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI PER LA CERTIFICAZIONE DEL SITO INTERNET

© Silvano Bari - 2006

La certificazione di accessibilità

Legge 9 gennaio 2004, n.4 (Legge Stanca)Disposizioni per favorire l’accesso dei soggetti disabili

agli strumenti informatici

si applica a:

pubbliche amministrazioni,

enti pubblici economici,

aziende private concessionarie di servizi pubblici,

aziende municipalizzate regionali,

enti di assistenza e di riabilitazione pubblici,

aziende di trasporto e di telecomunicazione a prevalente partecipazione di capitale pubblico,

aziende appaltatrici di servizi informatici

© Silvano Bari - 2006

La certificazione di accessibilità

I siti web delle pubbliche amministrazioni dovranno essere accessibili secondo

le linee guida definite nel regolamento tecnico

Obbligo della Pubblica Amministrazione (sono previste sanzioni e nullità dei contratti)

Incentivazione nei confronti dei privati(bollino da apporre sul sito)

Definizione di uno standard BSIBS PAS 78

© Silvano Bari - 2006

Dott. Silvano BariResponsabile Sicurezza Informatica

ALITALIA

bari.silvano@alitalia.it