1 HR e nuove tecnologie limpatto delle tecnologie sullorganizzazione del lavoro venerdì 30 Marzo...

2

La Sicurezza delle InformazioniIntroduzione al Problema

Come le aziende approcciano il problema

• problema percepito in modo parziale ed incompleto

• problema impostato in maniera non corretta

• problema affrontato “ex-post” (ossia a fronte di una necessità effettivamente intervenuta)

• emergenza affrontata da un punto di vista esclusivamente tecnico

3


Come le aziende approcciano il problema

– problema percepito in modo parziale ed incompleto – problema impostato in maniera non corretta– problema affrontato “ex-post” (ossia a fronte di una necessità effettivamente

intervenuta)

– emergenza affrontata da un punto di vista esclusivamente tecnico

4

Lo scenario• Aumento continuo esponenziale della quantità di

dati da “gestire”• Richieste formali (e legali) di mantenimento dei dati

per storicizzazione• Per essere competitivi i dati devono essere accessibili

online

E’ necessario stabilire un processo per la definizione di un Sistema di Gestione della Sicurezza (SGSI)

Cresce il livello di vulnerabilità della informazione (dato)

5

Criticità dell’IT La crescente dipendenza dalle informazioni, dai sistemi e

dai canali di comunicazione

I malfunzionamenti dell’IT impattano sempre di più sull’immagine e sulla affidabilità dell’azienda

Le tecnologie propongono nuove soluzioni che cambiano drammaticamente le organizzazioni e le procedure, creando nuove opportunità e riducendo i costi

6


La disciplina dell’IT Governance

• Studia il governo dell’Information Technology in funzione del core business

• Centralità dell’Informazione aziendale (intesa come concetto astratto, relazionato al conoscere e al sapere)

• L’informazione viene analizzata e classificata

• Viene attribuito un valore proporzionale alla sua criticità

• Si verifica quali risorse supportano l’Informazione critica

• Si associa il livello di rischio a tali risorse.

7

IT Governance: Definizione

una responsabilità dell’esecutivo e degli azionisti rappresentati dal CdA. E’ parte integrante della Governance

della azienda e consiste di strutture organizzative e di guida e processi che assicurano the l’IT aziendale supporti e ampli le

strategie e gli obiettivi dell’azienda

Processo continuo che stabilisce la politica, le norme e le procedure a livello organizzativo che competono alla

struttura incaricata del “governo” della sicurezza

IT Governance Institute® portal www.itgovernance.org

http://www.itgovernance.org/

8

Scopo dell’IT Governance• IT sia allineato con i risultati attesi e i benefici della azienda

siano raggiunti• IT consenta alla azienda di cogliere tutte le opportunità di

business e i relativi vantaggi siano massimizzati• Le risorse IT siano utilizzate responsabilmente• I rischi legati all’IT siano gestiti appropriatamente• Assicurare che la azienda possa sostenere le proprie

operazioni e che possa applicare le proprie strategie per estendere la sua attività nel futuro

9

Variabili e Informazione

Eventi

Obiettivi di businessOpportunità di businessRequisiti esterniLeggi vigenti Rischi

Informazione

EfficienzaEfficaciaConformitàAffidabilitàRiservatezzaIntegrità Disponibilità

SISTEMI APPLICATIVI

TECNOLOGIA

STATI FISICI

PERSONE

DATI

Servizio di output

Evento di imput

10

Attributi dell’Informazione

EfficienzaEfficaciaConformitàAffidabilitàRiservatezzaIntegritàDisponibilità

Business Aziendale

Sicurezza Informatica

IT

Governance

COBITCOBITISO27001ISO27001

11


Elementi significativi:

• Informazione, bene da proteggere

• le risorse di supporto all’informazione

• gli eventi che hanno influenza sulle risorse

12


Risorse a Supporto dell’Informazione

• le risorse umane• le facilities (ossia i siti fisici e tutte le attrezzature a supporto delle strutture)

• la tecnologia (hardware, software, network, etc…)

Commenti:• La tecnologia, da sola, non è sufficiente• Criticità delle risorse umane

13


Eventi che hanno impatti significativi:

• obiettivi ed opportunità di business focalizzano l’ambito di applicazione dell’IT Governance e servono a determinare le priorità

• requisiti esterni e leggi vigenti potrebbero risultare un vincolo alle possibili soluzioni adottate

• rischi rappresentano gli eventi più difficili da identificare e prevedere

14

Processo di gestione della sicurezza

• Necessità di definire un sistema di gestione della sicurezza delle informazioni (SGSI), comprendente aspetti organizzativi e gestionali, oltre ad aspetti tecnici

• Non solo la applicazione di strumenti più appropriati al singolo obiettivo di protezione (introduzione di firewall, antivirus, backup, ecc.)

• Necessità di implementare modalità di gestione complessiva della sicurezza informatica in azienda

ISO27001:2005ISO27001:2005

15

ISO27001 e ISO/IEC 17799

Specifiche ISO27001:2005

Codicedi prassi

ISO/IEC17799:2005

CERTIFICAZIONESGSI

prassi di controllo per la gestione della sicurezza informatica

specifiche e guida per l’uso dei sistemi di gestione della sicurezza informatica

16

Lo standard ISO27001• Lo standard si basa su due concetti (come ISO

9000)– Politica di sicurezza– Sistema di governo della sicurezza

Certificazione della aziendaCertificazione della azienda

17

Politica per la sicurezza

Specificazione ad alto livello degli obbiettivi per la sicurezza che l’organizzazione si propone di

conseguire

………in termini di volontà di salvaguardare la riservatezza, l’integrità e la disponibilità della

informazione in presenza di minacce.

18

Sistema di Governo

Complesso di procedure per il governo della sicurezza attuato e mantenuto dalla organizzazione per

garantire nel tempo il soddisfacimento della politica della sicurezza

Sistema di Gestione della Sicurezza delle Informazioni (SGSI)

19

Ma cosa dobbiamo mettere in sicurezza?

• I beni della azienda (asset)• Il software proprietario dell’azienda• Il business della azienda• L’immagine della azienda• La reputazione della azienda• Tutto ciò che ci viene richiesto dai vincoli legali (vedi D. lgs.

196/03: Codice in materia di dati personali)

Le informazioniLe informazioni

20

Che cosa è la Sicurezza delle Informazioni

Le informazioni sono dei beni che, come qualunque altro bene aziendale importante, hanno valore per una organizzazione e quindi necessitano di essere protetti in modo adeguato

…….assicurare la continuità aziendale, minimizzare i danni aziendali e massimizzare il rendimento del capitale investito e le opportunità di miglioramento

21

Sicurezza delle Informazioni

Preservazione della riservatezza, integrità e disponibilità delle informazioni (ISO/IEC 17799:2005 – Codice di prassi)

– RiservatezzaAssicurarsi che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso

– IntegritàSalvaguardare l’accuratezza e la completezza delle informazioni e dei beni collegati quando necessario

– DisponibilitàAssicurarsi che utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando necessario

22

La gestione delle informazioni• L’informazione è un bene• Devo definirne il valore (soggettivo)• Devo valutare il rischio associato a tale bene

– Valutazione delle minacce, dell’impatto, delle vulnerabilità delle informazioni

• Devo stimare la probabilità di accadimento di ciascun rischio

• Devo calcolare il danno stimato in caso di incidente

Analisi dei RischiAnalisi dei Rischi

23


L’implementazione e la manutenzione di un sistema di IT Governance prevedono quattro fasi cicliche, che si ripetono continuamente:

• pianificazione (plan)• attuazione (do)• monitoraggio (check)• miglioramento (correct o act) Tale ciclo è conosciuto come Ciclo PDCC (Plan-Do-Check-Correct) oppureCiclo PDCA (Plan-Do-Check-Act)

24

PDCA

Ciclo PDCA

Pianificazione(PLAN)

Miglioramento(ACT)

Monitoraggio(CHECK)

Attuazione(DO)

Istituire la politica, gli obbiettivi, i processi e le procedure per la sicurezza rilevanti per la gestione del rischio e il miglioramento della sicurezza

Attuare e operare la politica, i controlli, i processi e le procedure per la sicurezza

Valutare e misurare le prestazioni dei processi sulla base della politica e degli obiettivi per la sicurezza e dell’esperienza, riportando alla direzione i risultati

Intraprendere azioni correttive e preventive basandosi sui risultati del riesame da parte delle direzione per conseguire il miglioramento continuo di SGSI

Requisiti

25

Nuovi standard

Nuove necessità esigenze e trattamenti informatici

Nuove minacce e/o vulnerabilità

Il Ciclo di vita di un SGSI

Attuazione del SGSIAttuazione del SGSI

Gestione del rischioGestione del rischio

Definizione del perimetro del SGSIDefinizione del perimetro del SGSI

Scelta dei controlliScelta dei controlli

Definizione della politica per la sicurezza

Definizione della politica per la sicurezza

Valutazione del rischioValutazione del rischio

26


Lo scenario di riferimento e gli Standard Internazionali

Esistono per lo meno cinque categorie di documenti:

• standard tecnici (ISO, EDIFACT, etc…);• codici di comportamento (OCSE, ISACA, etc…);• criteri di qualificazione (ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, etc…);• standard professionali (COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO);• pratiche industriali o governative (ESF, I4, IBAG, NIST, DTI, etc…).

27


Differenza tra uno Standard per IT Governance (COBIT) e uno standard per la Sicurezza Informatica (ISO/IEC 27001).

COBIT - IT Governance Institute (ISACA):34 Processi di Controllo 318 Obiettivi di Controllo

ISO/IEC 27001 Sicurezza Informatica:39 Processi di Controllo133 Obiettivi di Controllo

28

Confronto COBIT – ISO27001

PROPRIETA’ DELL’INFORMAZIONECriteri di business Criteri di Sicurezza

Efficienza

Efficacia

Conformità

Affidabilità

Riservatezza

Integrità

Disponibilità

COBIT COBIT + ISO27001

Processi di controllo 34 Processi di controllo

61

Obbiettivi di Controllo 291 Obbiettivi di Controllo

160

29


Sicurezza Informatica

Sicurezza dell’Informazione

IT Governance

30


Punto di ottimo economico

Costo complessivo

Costo della sicurezza

Livello di sicurezza

Cost

o

Costo diEsposizione

31

Standard InternazionaleISO/IEC 27001:2005Struttura dello

Standard Capitolo/Paragrafo Titolo

Prefazione

0 Introduzione

1 Ambito

2 Riferimenti Normativi

3 Termini e Definizioni

4 Sistema di Gestione per la Sicurezza delle Informazioni

5 Responsabilità della Direzione

6 Audit Interni del SGSI

7 Riesame del SGSI da parte della Direzione

8 Miglioramento del SGSI

Allegato A Controlli e Obiettivi del Controllo

Allegato B Principi OCSE e il presente Standard Internazionale

Allegato C Corrispondenze tra ISO 9001:2000, ISO 14001:2004 e il presente Standard Internazionale

Bibliografia

Requisiti della

Norma

32

Responsabilità della Direzione – Clausola 5

5.1 Impegno della Direzione

a) Stabilire un SGSI ........ – l’espressione “politica della sicurezza dell’informazione” è stata rimpiazzata da “politica del SGSI” poichè il focus principale qui è sul SGSI. b) Assicurarsi che il SGSI ...... – l’espressione “obiettivi della sicurezza dell’informazione” è stata rimpiazzata con “obiettivi del SGSI” poichè il focus principale qui è sul SGSI. e) Rendere disponibili risorse adeguate ...... – la descrizione delle attività del SGSI è stata allineata con la definizione del SGSI. f) Definire i criteri ......... – questo requisito è stato espanso per coprire la decisione su “i criteri per l’accettazione dei rischi e dei livelli di rischio”. g) Assicurarsi che gli audit interni ....... – è un chiarimento e un’aggiunta all’impegno della direzione di assicurare che vengano condotti audit interni. Include un riferimento alla nuova Clausola 6.

33

Standard InternazionaleISO/IEC 27001:2005

Struttura dello Standard

Capitolo/Paragrafo Titolo


5.2 Gestione delle Risorse

5.2.1 Fornitura delle risorse

a) Stabilire, implementare, …. Il SGSI

b) Assicurare che la Sicurezza delle Informazioni supporti il business

c) Identificare e indirizzare requisiti legali e contrattuali …

d) Mantenere adeguata sicurezza …

e) Condurre riesami quando necessario …

f) Migliorare l’efficacia del SGSI …..

34


Struttura dello Standard

Capitolo/Paragrafo Titolo


5.2 Gestione delle Risorse

5.2.2 Formazione, consapevolezza e competenza

a) Determinare le competenze necessarie ….

b) Fare formazione o altre azioni ……

c) Valutare l’efficacia delle azioni intraprese ….

d) Mantenere registrazioni della formazione ….

35

5.2 Gestione delle Risorse 5.2.1 Messa a disposizione delle Risorse a) Stabilire, implementare, operare ........ – esteso al fine di coprire l’intero range di attività relative al SGSI. 5.2.2 Consapevolezza della Formazione e Competenza b) Effettuare formazione ........ – il testo è stato modificato per poter prendere in considerazione la possibilità di intraprendere altre azioni, come ad esempio quella di assumere personale già formato. Questa modifica è stata effettuata per allineare la norma alla ISO 9001:2000. c) Valutare l’efficacia ........ – questa è stata ridotta a “valutare l’efficacia delle azioni intraprese”.

36


Allegato A – Obiettivi di Controllo e Controlli

Check di verifica della provenienza di impiegati, consulenti e dipendenti di terze parti devono essere condotti in accordo alla legislazione vigente, ai regolamenti e all’etica

SelezioneA.8.1.2

impiegati, consulenti e dipendenti di terze parti devono accettare e sottoscrivere a livello di contratto i termini e le condizioni di impiego, che riguarderanno anche la sicurezza

Termini e condizioni per di impiegoA.8.1.3

Ruoli e responsabilità in ambito sicurezza di impiegati, consulenti e dipendenti di terze parti devono essere definiti e documentati in accordo alla politica aziendale

Ruoli e responsabilitàA.8.1.1

A.8.1 Prima dell’ImpiegoObiettivo: assicurare che gli impiegati, consulenti, e personale di terze parti comprendano le loro responsabilità, siano adatti a svolgere il ruolo richiesto; assicurare la riduzione del rischio di furti, frodi od uso indebito delle risorse

A.8 Sicurezza delle Risorse Umane

37



Tutti gli impiegati e, se serve, consulenti e personale di terze parti devono ricevere una formazione adeguata allo svolgimento delle proprie funzioni nell’ambito della sicurezza

Consapevolezza, formazione e addestramento sulla sicurezza delle informazioni

A.8.2.2

Ci dovranno essere provvedimenti disciplinari per gli impiegati che hanno commesso infrazioni nell’ambito della sicurezza

Procedimenti disciplinariA.8.2.3

La direzione richiederà che impiegati, consulenti e personale di terze parti agiscano in ambito di sicurezza in accordo alle politiche e alle procedure aziendali

Responsabilità della DirezioneA.8.2.1

A.8.2 Durante l’ImpiegoObiettivo: assicurare che tutti gli impiegati, consulenti, e personale di terze parti siano consci delle minacce relative alla sicurezza delle informazioni, delle loro responsabilità e obblighi e sono attrezzati per supportare le politiche di sicurezza dell’azienda per ridurre il rischio di errore umano


38



Tutti gli impiegati, consulenti e personale di terze parti devono restituire tutti i beni aziendali al termine del loro contratto

Restituzione dei beniA.8.3.2

I diritti d’accesso di impiegati, consulenti e personale di terze parti a informazioni e risorse di calcolo saranno rimossi al termine del contratto o in seguito ad una modifica

Rimozione dei diritti d’accessoA.8.3.3

La responsabilità di chi ha autorità per terminare o modificare un impiego deve essere chiaramente definita ed assegnata

Termine delle responsabilitàA.8.3.1

A.8.3 Termine o Cambiamento di ImpiegoObiettivo: assicurare che gli impiegati, consulenti, e personale di terze parti lasci un’organizzazione o un impiego in modalità controllata


39



A.11 Controllo degli Accessi

A.11.1 Requisiti di business per il controllo accessiObiettivo: controllare l’accesso all’informazione

A.11.1.1 Politica del controllo accessi

Deve essere stabilita, documentata e riesaminata una politica del controllo accessi, basata su requisiti di business e di sicurezza

40




A.11.2 Gestione degli accessi utenteObiettivo: garantire l’accesso agli utenti autorizzati e prevenire l’accesso non autorizzato ai sistemi informativi

A.11.2.1 Registrazione degli utentiDevono essere in atto procedure formali per la registrazione e de-registrazione degli utenti per assegnare e revocare gli accessi ai sistemi e servizi informativi

A.11.2.2 Gestione dei privilegiL’allocazione e utilizzo di privilegi devono essere ristretti e controllati

A.11.2.3 Gestione delle password utente

L’allocazione delle password deve essere controllata attraverso un processo di gestione formalizzato

A.11.2.4 Riesame dei diritti d’accesso utente

La direzione deve riesaminare i diritti d’accesso degli utenti ad intervalli regolari utilizzando un processo formalizzato

41



Gli utenti devono seguire buone raccomandazioni in termini di sicurezza nella scelta ed utilizzo delle password

Uso delle passwordA.11.3.1

Gli utenti si devono assicurare che la strumentazione incustodita abbia appropriata protezione

Strumentazione utente incustoditaA.11.3.2

Deve essere adottata la politica della scrivania pulita per documenti cartacei e dispositivi di immagazzinamento rimuovibili nonché la politica dello schermo pulito per le risorse di elaborazione delle informazioni

Politica della scrivania pulita e dello schermo pulitoA.11.3.3

A.11.3 Responsabilità dell’utenteObiettivo: prevenire accessi utente non autorizzati, compromissione o furto di informazioni o di risorse di elaborazione dell’informazione


42



Gli utenti avranno soltanto l’accesso ai servizi per i quali sono stati esplicitamente autorizzati

Politiche relative all’utilizzo dei servizi di reteA.11.4.1

Metodi appropriati di autenticazione saranno utilizzati per controllare l’accesso da parte di utenti remoti

Autenticazione utente per connessioni esterneA.11.4.2

L’identificazione automatica degli strumenti sarà considerata come un mezzo per autenticare connessioni da locazioni specifiche e strumenti

Identificazione della strumentazione in reteA.11.4.3

Gli accessi logici e fisici alla diagnostica e alla configurazione delle porte saranno controllate

Diagnostica remota e protezione della configurazione delle porte

A.11.4.4

A.11.4 Controllo degli accessi di reteObiettivo: prevenire l’accesso non autorizzato ai servizi di rete


43




A.11.4 Controllo degli accessi di reteObiettivo: prevenire l’accesso non autorizzato ai servizi di rete

A.11.4.5 Segregazione nelle retiGruppi di servizi informativi, utenti e sistemi di informazione saranno segregati all’interno della rete

A.11.4.6 Controllo delle connessioni di rete

Per reti condivise (soprattutto quelle che si estendono oltre i confini dell’organizzazione) la possibilità degli utenti di connettersi sarà ristretta, in accordo alle politiche aziendali, etc….

A.11.4.7 Controllo dell’instradamento in rete

Controlli sull’instradamento saranno implementati a livello di rete per garantire che che le connessioni dei computer ed il flusso informativo non violi le politiche di controllo accesso alle applicazioni aziendali

44




A.11.5 Controllo accessi al sistema operativoObiettivo: prevenire accesso non autorizzato ai sistemi operativi

A.11.5.1 Procedure di log-on sicuroL’accesso ai sistemi operativi sarà controllato da una procedura di log-on sicuro

A.11.5.2 Autenticazione e identificazione dell’utente

Ciascun utente avrà un identificativo unico per il loro uso personale e sarà definita una procedura idonea di identificazione dell’utente

A.11.5.3 Sistema di gestione passwordSistemi di gestione delle password dovranno essere interattivi e assicurare una buona qualità delle password

45




A.11.5 Controllo accessi al sistema operativoObiettivo: prevenire accesso non autorizzato ai sistemi operativi

A.11.5.4 Uso di utilità di sistemaL’utilizzo di utilità di sistemi, che sono in grado di sovrascrivere i controlli sui sistemi e sugli applicativi, dovrà essere ristretto e controllato

A.11.5.5 Scadenza della sessioneSessioni inattive dovranno essere terminate dopo un determinato periodo di inattività

A.11.5.6 Limitazione del tempo di connessione

Restrizioni sul tempo di connessione saranno utilizzate per fornire sicurezza aggiuntiva alle applicazioni ad alto rischio

46




A.11.6 Controllo accessi alle applicazioni e ai datiObiettivo: prevenire l’accesso non autorizzato all’informazione contenuta nei sistemi applicativi

A.11.6.1 Restrizioni all’accesso alle informazioni

L’accesso alle informazioni e ai sistemi applicativi da parte degli utenti e del personale di supporto dovrà essere ristretto in accordo alle politice di controllo accessi stabilite

A.11.6.2 Isolamento dei sistemi sensibili

Sistemi sensibili devono disporre di un ambiente di elaborazione dedicato ed isolato

47




A.11.7 Lavoro con computer portatili e telelavoroObiettivo: assicurare la sicurezza dell’informazione qaundo si utilizzano computer portatili o si fa telelavoro

A.11.7.1Comunicazioni e elaborazioni con computer portatili

Una politica formalizzata deve essere in atto così come appropriate misure di sicurezza per cautelarsi dai rischi di utilizzare computer portatili e dispositivi di telecomunicazione

A.11.7.2 TelelavoroUna politica, piani operativi e procedure devono essere sviluppate e implementate nelle attività di telelavoro

48

PO4 Definire i processi, l’organizzazione e le relazioni dell’IT

La definizione di una struttura IT deve essere effettuata tenendo in debita considerazione i requisiti relativi a: risorse umane, competenze, funzioni, responsabilità, autorità, ruoli e compiti, controllo.

Tale organizzazione deve essere inquadrata in una struttura dei processi IT che assicuri non solo trasparenza e controllo ma anche il coinvolgimento dell’alta direzione e del management non-IT dell’azienda.

Un comitato strategico assicura la supervisione dell’IT ed uno o più comitati guida, a cui partecipano sia l’IT sia gli utenti dell’IT, definiscono le priorità per quanto riguarda le risorse informatiche in linea con le esigenze aziendali. Per tutte le funzioni vi sono processi, politiche amministrative e procedure; in particolar modo per il controllo, la qualità, il risk management, la sicurezza informatica, la proprietà di dati e sistemi e la separazione dei ruoli.

Per poter assicurare un tempestivo supporto alle esigenze aziendali, l’IT deve essere coinvolto nei processi decisionali che lo riguardano.

49

Il controllo del processo ITDefinire i processi, l’organizzazione e le relazioni dell’ITche soddisfa i requisiti aziendali per l'IT dirispondere con prontezza alle strategie aziendali rispettando gli obblighi della governance e fornendo punti di contattochiari e competentiponendo l'attenzione sula costituzione di strutture organizzative IT trasparenti, flessibili e pronte a rispondere, oltre alla definizione edimplementazione di processi con proprietari, ruoli e responsabilità integrati nei processi aziendali e decisionaliè ottenuto tramite•la definizione di un quadro strutturale dei processi IT•la costituzione di organi e strutture organizzative appropriati•la definizione di ruoli e responsabilitàe viene misurato tramite•la percentuale di ruoli a cui corrispondono posizioni e livelli di autorità ben descritti e documentati•il numero di unità aziendali o processi non supportati dall’IT che invece dovrebbero esserlo secondo la strategia•il numero di attività specifiche dell’IT svolte al di fuori dell’organizzazione IT•che non sono approvate né soggette ai relativi standard organizzativi

50

PO4.6 Definire i ruoli e le responsabilitàDefinire e comunicare i ruoli e le responsabilità di tutto il personale IT e degli utenti finali al fine di delineare l’autorità, gli incarichi e leresponsabilità tra il personale IT e quello utente per soddisfare le esigenze dell’azienda.

PO4.10 SupervisioneAttuare adeguate forme di supervisione all’interno della funzione IT per assicurare un appropriato esercizio dei ruoli e delle responsabilità,per valutare se tutto il personale ha autorità e risorse sufficienti per esercitare il proprio ruolo e le proprie responsabilità e, più in generale,per rivedere i KPI (principali indicatori di performance).

PO4.11 Separazione dei compiti (Segregation of Duties)Attuare una divisione di ruoli e responsabilità in modo da ridurre la possibilità che un singolo individuo possa compromettere un processocritico. Assicurarsi anche del fatto che il personale svolga solo i compiti autorizzati per quanto concerne il loro lavoro e la posizioneoccupata.

51

PO4.12 Personale ITDi regola, o in caso di importanti cambiamenti dell’azienda, o degli ambienti operativi o informatici, valutare le risorse umane necessarieal fine di assicurare alla funzione IT sufficienti risorse umane per supportare adeguatamente ed appropriatamente gli obiettivi e gli scopiaziendali.

PO4.13 Personale chiave dell’ ITDefinire ed identificare le figure chiave dell’IT (ad esempio le “tavole di sostituzione”) e ridurre al minimo l’eccesso di dipendenza dasingoli individui che svolgono funzioni critiche.

PO4.14 Politiche e procedure per il personale a contrattoAssicurare che il personale a contratto ed i consulenti, che supportano la funzione IT, conoscano e rispettino le politiche dell’azienda perla protezione del patrimonio informativo aziendale quali quelle concordate nei requisiti contrattuali.

52

PO7 Gestire le risorse umane dell’IT

È acquisita e mantenuta una forza lavoro competente per creare e fornire servizi IT all’azienda. Questo risultato si ottiene applicandoprassi definite e approvate per il reclutamento, la formazione, la valutazione della performance, la promozione e la conclusione del rapporto.Questo processo è critico perché le persone sono risorse importanti, inoltre sia la governance sia l’ambiente di controllo internodipendono fortemente dalla loro motivazione e competenza.

53

Il controllo del processo ITGestire le risorse umane dell’ITche soddisfa i requisiti aziendali per l'IT diacquisire risorse competenti e motivate per creare e fornire servizi ITponendo l'attenzione suassumere e formare personale, motivarlo con percorsi di carriera chiari, assegnare ruoli corrispondenti alle rispettivecompetenze e stabilire un chiaro processo di verifica, creare descrizioni delle funzioni e assicurare chesi comprenda il concetto di dipendenza dalle personeè ottenuto tramitela verifica della performance del personalel’assunzione e formazione del personale IT per supportare i piani tattici della funzionela mitigazione del rischio di eccessiva dipendenza dalle risorse chiavee viene misurato tramite il livello di soddisfazione degli stakeholder per quanto riguarda l’esperienza ele competenze del personale ITl’avvicendamento delle risorse ITla percentuale delle risorse IT dotate delle opportune certificazioni a secondadelle esigenze del lavoro.

54

PO7.1 Assunzione e ritenzione del personaleMantenere i processi di assunzione del personale IT in linea con le policy e le procedure aziendali (es. assunzione, ambiente di lavoropositivo, orientamento). Il management attiva questi processi per assicurare all’azienda che il personale IT sia adeguatamente utilizzato epossegga le competenze necessarie per raggiungere gli obiettivi aziendali.PO7.2 Competenze del personaleVerificare regolarmente che il personale abbia le competenze per svolgere il proprio ruolo in base alla propria istruzione, formazione edesperienza. Definire i requisiti in termini di competenze principali informatiche e verificare che questi siano rispettati, ove necessario,attraverso adeguati programmi di accreditamento e certificazione.PO7.3 Assegnazione dei ruoliDefinire, monitorare e controllare i ruoli, le responsabilità e gli schemi di compensazione del personale, oltre a definire la necessità diaderire alle policy e procedure, al codice etico e alla professional practice. Il livello di controllo dovrebbe essere in linea con la delicatezzadella posizione occupata e l’entità delle responsabilità assegnate.PO7.4 Formazione del personaleFornire al personale un adeguato orientamento in fase di assunzione e formazione continua per mantenere conoscenze, competenze,

55

PO7.5 Dipendenza dai singoli individuiRidurre al minimo l’esposizione al rischio di dipendenza eccessiva dal personale più importante attraverso un’opportuna documentazionee condivisione delle conoscenze, piani di sostituzione e backup del personale.PO7.6 Procedure di autorizzazione del personaleIncludere controlli sulle precedenti esperienze del personale in fase di reclutamento. L’entità e la frequenza di tali controlli dovrebberodipendere dalla delicatezza e criticità della funzione e dovrebbero essere adottati sia per i dipendenti, sia per il personale a contratto siaper i fornitori.PO7.7 Valutazione della performance del personaleRichiedere che siano fatte prontamente e regolarmente valutazioni in base ai singoli obiettivi derivanti dagli obiettivi aziendali di lungoperiodo, gli standard definiti e le specifiche responsabilità del lavoro. La performance e la condotta del dipendente, se opportuno, dovrannoessere oggetto di attività di coaching.PO7.8 Cambiamento di mansioni e risoluzione del rapportoIn caso di variazioni delle funzioni, o specialmente nel caso di risoluzione del rapporto, adottare opportune azioni. Dovrebbe essere organizzatiil trasferimento delle conoscenze, la rassegnazione delle responsabilità e la rimozione dei diritti di accesso, in modo da minimizzarei rischi e garantire la continuità della funzione.

56

AI4 Permettere il funzionamento e l’uso dei sistemi IT

È resa disponibile la conoscenza sui nuovi sistemi. Questo processo richiede la produzione di documentazione e di manuali per gli utentie per il personale tecnico, la fornitura della formazione per assicurare l’utilizzo ed il funzionamento appropriato delle applicazioni e delleinfrastrutture.

57

Il controllo del processo ITPermettere il funzionamento e l’uso dei sistemi ITche soddisfa i requisiti aziendali per l'IT diassicurare la soddisfazione degli utenti finali con i servizi offerti e i livelli di servizio erogati e con l’integrazione senzasoluzioni di continuità di applicazioni e soluzioni tecnologiche nei processi aziendaliponendo l'attenzione sula fornitura di efficaci manuali utente e operativi e dei supporti per la formazione per trasferire le conoscenzenecessarie per utilizzare e far funzionare i sistemi con successoè ottenuto tramitelo sviluppo e disponibilità di documentazione per il trasferimento della conoscenzala comunicazione agli e la formazione degli utenti, dei responsabili dei servizi, del personaledi supporto e operativola produzione dei supporti per la formazionee viene misurato tramiteIl numero di applicazioni dove le procedure IT sono integrate nei processi aziendalisenza soluzioni di continuitàla percentuale di referenti di processi aziendali soddisfatti della formazioneapplicativa e dei materiali di supportoil numero di applicazioni con adeguato supporto formativo per gli utenti e peril personale operativo

58

AI4.2 Trasferimento di conoscenza al management aziendaleTrasferire la conoscenza sui sistemi al management aziendale per consentir loro di prendere possesso di sistemi e dati ed inoltre di assumerecoscientemente le responsabilità sui servizi erogati, sulla qualità, sui controlli interni e sui processi di amministrazionedell’applicazione.

AI4.3 Trasferimento di conoscenza agli utenti finaliTrasferire conoscenze e competenze per consentire agli utenti finali di usare efficacemente ed efficientemente il sistema applicativo persupportare i processi aziendali.

AI4.4 Trasferimento di conoscenza allo staff operativo e di supportoTrasferire conoscenza e competenze per consentire al personale operativo e di supporto tecnico di rilasciare, supportare e manutenere ilsistema applicativo e l’infrastruttura associata efficacemente ed efficientemente.

59

AI7 Installare e certificare le soluzioni e le modifiche

È necessario che i nuovi sistemi siano resi operativi quando lo sviluppo è completato. Questo richiede un test appropriato in un ambientededicato con dei dati di test significativi, la definizione del rilascio e delle istruzioni per la migrazione, la pianificazione dei rilasci edell’effettivo passaggio in produzione, la revisione post implementazione. Questo garantisce che i sistemi applicativi siano allineati conle aspettative e i risultati concordati.

60

Il controllo del processo ITInstallare e certificare le soluzioni e le modificheche soddisfa i requisiti aziendali per l'IT diavere sistemi nuovi o modificati funzionanti in ambiente di produzione senza problemi rilevanti dopo l’installazioneponendo l'attenzione suil test delle applicazioni e delle soluzioni infrastrutturali per verificare se corrispondono allo esigenze prefissatee se sono prive di errori, e la pianificazione dei rilasci in produzioneè ottenuto tramitela definizione di una metodologia di testla pianificazione dei rilascila valutazione ed approvazione dei risultati dei test da parte dei responsabili delle funzioniaziendali destinatarie dei sistemi rilasciatila verifica post implementazione dei sistemi rilasciatie viene misurato tramitela durata dei fermi delle applicazioni o numero di correzioni dei dati causatida test inadeguatila percentuale dei sistemi i cui benefici misurati attraverso il processo di postimplementazione sono in linea con i benefici attesila percentuale di progetti con piani di test documentati ed approvati

61

AI7 Installare e certificare le soluzioni e le modifiche

AI7.1 FormazioneFormare il personale dei dipartimenti utente interessati e la funzione IT che gestisce le attività operative coerentemente con il piano diformazione e implementazione e la documentazione relativa. Le attività di formazione devono essere parte di ogni progetto di sviluppo,di realizzazione o modifica dei sistemi informativi.

62

DS3 Gestire le prestazioni e la capacità produttiva

La necessità di gestire le prestazioni e la capacità produttiva delle risorse IT richiede un processo di revisione periodica delle prestazionie della capacità produttiva delle risorse IT. Questo processo include la previsione delle necessità future basata sui requisiti relativi al caricodi lavoro, alla memorizzazione e alle emergenza. Questo processo fornisce la garanzia che le risorse informative supportano i requisitidi business e sono continuamente disponibili

63

Il controllo del processo ITGestire le prestazioni e la capacità produttivache soddisfa i requisiti aziendali per l'IT diottimizzare le prestazioni delle infrastrutture, delle risorse e della capacità produttiva dell’IT per soddisfare le esigenzeaziendaliponendo l'attenzione suil raggiungimento dei tempi di risposta concordati negli SLA, la minimizzazione dei tempi di fermo e il miglioramentocontinuo delle prestazioni e della capacità produttiva dell’IT attraverso monitoraggi e misurazioni

è ottenuto tramitela pianificazione e la fornitura della necessaria capacità e disponibilità dei sistemiil controllo e la rendicontazione delle prestazioni dei sistemila modellazione e la previsione delle prestazioni dei sistemie viene misurato tramiteil numero di ore perse a causa di una insufficiente pianificazione della capacitàproduttivala percentuale di picchi dove l’utilizzo eccede l’obiettivo prefissatola percentuale di tempi di risposta non conformi agli SLA.

64

DS3.1 Pianificazione delle prestazioni e della capacità produttivaDefinire un processo di pianificazione per il riesame delle prestazioni e della capacità produttiva delle risorse IT, per assicurare che sianodisponibili prestazioni e capacità produttive ad un costo giustificabile, per far fronte ai carichi di lavoro concordati come determinato dagliaccordi sui livelli di servizio. La pianificazione della capacità produttiva e delle prestazioni dovrebbe utilizzare appropriate tecniche dimodellizzazione per produrre un modello delle performance attuali e previste, della capacità produttiva e del throughput delle risorse IT..

DS3.2 Capacità produttiva e prestazioni attualiValutare le attuali capacità produttive e le prestazioni delle risorse IT per determinare se esistono una capacità produttiva e prestazionisufficienti rispetto ai livelli di servizio concordati.

65

DS3.3 Capacità produttiva e prestazioni futureEffettuare ad intervalli regolari previsioni sulle prestazioni e sulla capacità produttiva delle risorse IT, per minimizzare il rischio di nonfornitura del servizio a causa di una insufficiente capacità produttiva o prestazioni ridotte, e per identificare anche la capacità produttivain eccesso per un possibile reimpiego. Identificare i trend dei carichi di lavoro e determinare le relative previsioni per contribuire allapianificazione delle prestazioni e della capacità produttiva.

DS3.4 Disponibilità delle risorse ITFornire la capacità produttiva e le performance richieste, prendendo in considerazione aspetti come il normale carico, le emergenze, leesigenze di memorizzazione e il ciclo di vita delle risorse IT. Dovrebbero essere definite delle linee guida per l’assegnazione delle prioritàalle attività, la gestione della tolleranza ai guasti e le modalità di allocazione delle risorse. La Direzione dovrebbe assicurare che i pianidi emergenza forniscano una adeguata soluzione per la disponibilità, la capacità produttiva e le prestazioni di ciascuna risorsa IT.

66

DS4 Assicurare la continuità del servizio

La necessità di assicurare la continuità dei servizi IT richiede lo sviluppo, la manutenzione ed il test del piano di continuità IT, l’utilizzodi sistemi di archiviazione dei dati per il ripristino del sistema collocati a sufficiente distanza dal sito e l’addestramento periodico al pianodi continuità. Un efficace processo di continuità del servizio minimizza la probabilità e l’impatto di una grave interruzione del servizioIT per processi e funzioni aziendali chiave.

67

Il controllo del processo ITAssicurare la continuità del servizioche soddisfa i requisiti aziendali per l'IT diassicurare il minimo impatto sull’azienda in caso di interruzione del servizio ITponendo l'attenzione sucostruire la capacità di ripresa (resilienza) all’interno della soluzione automatica e sviluppare, aggiornare e testareil piano di continuità IT.è ottenuto tramite lo sviluppo, la manutenzione ed il miglioramento del piano di emergenza ITl’addestramento ed il test del piano di emergenza ITla conservazione di copie del piano di emergenza e dei dati in un’ubicazione remotae viene misurato tramiteIl numero di ore perse dagli utenti per mese a causa di una interruzione nonPianificata Il numero di processi aziendali critici dipendenti dall’IT non coperti dal pianodi continuità IT.

68

DS4.1 Modello di riferimento della continuità ITSviluppare un modello di riferimento per la continuità IT che supporti la gestione della continuità aziendale attraverso un processo coerente.L’obiettivo del modello di riferimento è di aiutare a determinare le richieste di capacità di ripresa delle infrastrutture e guidare lo sviluppo di un piano di Disaster Recovery e un piano di emergenza IT. Il modello di riferimento dovrebbe indirizzare la struttura organizzativanella gestione della continuità operativa, includendo ruoli, compiti e responsabilità dei fornitori di servizi interni ed esterni, del loro management e dei loro clienti e il processo di pianificazione che crea le regole e le strutture coinvolte nella documentazione, nel testdel Disaster Recovery e del piano di emergenza IT. Il piano dovrebbe anche indirizzare aspetti come l’identificazione delle risorse critiche, il controllo ed i rapporti sulla disponibilità delle risorse critiche, i processi alternativi e i principi di salvataggio e ripristino.

DS4.2 Piano di continuità ITSviluppare il piano di continuità IT basandosi sulla struttura di riferimento e finalizzandolo alla riduzione dell’impatto o della grave interruzionedei processi e delle funzioni aziendali chiave. I piani dovrebbero essere basati sulla comprensione e valutazione del rischio dipotenziali impatti sul business e indirizzare i requisiti sulla capacità di ripresa, sui processi alternativi e sulla capacità di ripristino di tutti i servizi IT critici. I piani dovrebbero trattare i seguenti argomenti: linee guida per l’utilizzo, ruoli e responsabilità, procedure, processi dicomunicazione e approccio al test.

69

DS4.3 Risorse critiche ITConcentrare l’attenzione sugli elementi più critici del piano di continuità per costruire capacità di ripresa (resilienza) e stabilire dellepriorità per le situazioni di ripristino. Evitare di disperdere l’impegno nel ripristino di elementi poco rilevanti e assicurare risposte e ripristiniin linea con le priorità aziendali, assicurare allo stesso tempo che i costi siano mantenuti ad un livello accettabile e conformi a regolamentie requisiti contrattuali. Considerare i fabbisogni di resilienza, di risposta e di ripristino per differenti livelli, p. e. da 1 a 4 ore, da4 a 24, più di 24 ore e per periodi nei quali vengono svolte operazioni aziendali critiche.

DS4.6 Addestramento sul piano di continuità ITFornire a tutte la parti interessate regolari sessioni di addestramento relativamente alle procedure, ai ruoli e alle responsabilità in caso diincidente o disastro. Verificare e migliorare l’addestramento in accordo con i risultati dei test di emergenza.

70

DS7 Formare ed addestrare gli utenti

Un’efficace formazione di tutti gli utenti dei sistemi informativi, compresi coloro che fanno parte dell’IT, richiede l’identificazione deifabbisogni formativi di ciascun gruppo di utenti. In aggiunta all’identificazione dei fabbisogni, questo processo include la definizione el’attuazione di una strategia per un efficace addestramento e misurazione dei risultati. Un efficace programma di addestramento incrementaun efficace uso della tecnologia riducendo gli errori degli utenti, incrementando la produttività e incrementando la conformità coni controlli chiave quali le misure di sicurezza relative agli utenti.

71

Il controllo del processo ITFormare ed addestrare gli utentiche soddisfa i requisiti aziendali per l'IT diutilizzare efficientemente ed efficacemente le applicazioni e le soluzioni tecnologiche ed assicurare la conformità degliutenti con le politiche e le procedureponendo l'attenzione suuna chiara comprensione dei fabbisogni formativi, l’attuazione di una strategia di addestramento efficace e lamisurazione dei risultatiè ottenuto tramitela definizione dei curricoli di addestramento.l’organizzazione dell’addestramentol’erogazione dell’addestramentoil monitoraggio e rendicontazione dell’efficacia dell’addestramentoe viene misurato tramiteil numero di chiamate al servizio di help desk causate dalla mancanza di addestramentodel personalela percentuale di personale interessato soddisfatto dall’addestramento ricevutol’intervallo di tempo fra l’identificazione di un fabbisogno formativo el’erogazione dell’addestramento

72

DS7.1 Identificazione dei fabbisogni di formazione e di addestramentoDefinire un regolare aggiornamento dei curricoli per ciascun gruppo di utenti individuato considerando:• Strategie e necessità aziendali attuali e future• Valore dell’informazione come bene• Valori aziendali (valori etici, cultura sulla sicurezza e sul controllo, ecc.)• Implementazione di nuove infrastrutture IT e software (ad esempio package ed applicazioni)• Competenze attuali e future, profili di competenza e certificazioni necessarie come pure i requisiti di accreditamento• Metodo di erogazione (ad esempio. classe, WEB), dimensione del gruppo individuato, disponibilità e coordinamento

DS7.2 Erogazione della formazione e dell’addestramentoBasandosi sui fabbisogni di formazione ed addestramento identificati, individuare il gruppo destinatario della formazione e i suoi membri,gli istruttori ed i mentor. Registrare l’iscrizione (includendo i prerequisiti), la partecipazione e la valutazione del corso di formazione.

DS7.3 Valutazione dell’addestramento ricevutoValutare l’erogazione dei contenuti della formazione e dell’aggiornamento in funzione di interesse, qualità, efficacia, conservazione dellaconoscenza, costi e valore aggiunto. I risultati di

73

Grazie per l’attenzione!

Massimo [email protected]

1 HR e nuove tecnologie limpatto delle tecnologie sullorganizzazione del lavoro venerdì 30 Marzo...

Documents

Transcript of 1 HR e nuove tecnologie limpatto delle tecnologie sullorganizzazione del lavoro venerdì 30 Marzo...