La Governance della sicurezza nell’ Agenzia Spaziale...

La Governance della sicurezza nell’ Agenzia Spaziale Europea

Stefano ZattiESA Security Office ManagerEuropean Space Agency

Stefano Zatti ESA Unclassified-Releasable to the Public

Sommario

Programma· Introduzione all’ESA· Sicurezza all’ESA· Modello di maturitá ed evoluzione· Le quatto fasi dello sviluppo della sicurezza

aziendale· Il processo decisionale· La divisione dei ruoli e dei poteri· Lessons learned e conclusioni

A questo scopo l'ESA:

Organizzazione intergovernativa la cui missione è quella di garantire e promuovere, a fini esclusivamente pacifici:

Gli obiettivi dell'ESA

• la scienza, la ricerca e le tecnologie spaziali• le applicazioni spaziali

• svolge attività e programmi spaziali• conduce una politica spaziale a lungo termine• segue una politica industriale specifica• coordina i programmi spaziali europei con i programmi

nazionali

03/2005 - 2

Stati membri dell'ESAL'ESA ha 19 stati membri:

• Austria, Belgio, Danimarca, Germania, Finlandia, Francia, Grecia, Italia, Irlanda, Lussemburgo, Norvegia, Paesi Bassi, Portogallo, Regno Unito, Rep Ceca, Romania,Spagna, Svezia e Svizzera.

• Il Canada partecipa ad alcuni progetti nel quadro di un accordo di cooperazione.

Ultima ad aderire nel 2010 la Romania. Prossimi alcuni membri EU dell’est (Ungheria, Polonia…)


Le missioni spaziali hanno un valore per tutti i cittadini dell’Europa

La vita dei cittadini puó essere migliorata dai contributi dello spazio -> nuove esigenze di sicurezza post 9/11

Gli elementi di sicurezza del Frame Program 7 e la European Security and Defense Policy dell’Unione Europea possono essere supportate da specifiche missioni spaziali:

European Space Policy (ESP)

Sinergia fra attivitá civili e militari, terrestri e spaziali, con dati di diversa classificazione di sicurezza

Le infrastrutture chiave che forniscono accesso allo e dati dallo spazio devono essere protette

Nella direttiva EPCIP, lo spazio e‘ considerato una infrastruttura critica per l‘ Europa.

Lo Spazio come elemento per la sicurezza dei cittadini Europei


Alcune missioni attuali dell’ESA

Mars Express

Stazione Spaziale (ISS) :

ATV & Columbus

Rosetta

Venus Express

ENVISAT

ERS-1/2

UsandoUsando il radar per il radar per osservareosservare la Terra: ERS e la Terra: ERS e ENVISATENVISAT

ERS

Un nuovo programma chesviluppa servizi operatividi osservazione della Terra, per domini nuovi quali:

•Gestione delle emergenze•Monitoraggio di:

• qualitá dell’aria• territorio• colture• oceani e ghiacci

•Movimenti di popolazioni navi e oggetti•Possibili implicazioni di sicurezza

GMES : Global Monitoring for the GMES : Global Monitoring for the EnvironemntEnvironemnt and Securityand Security


ESA GSC (GMES SPACE COMPONENT) MISSION

L’ ESA sta sviluppando tre satelliti “Sentinels”, in supporto ciascuno di una missione dedicata:– Sentinel 1 – SAR imaging

• Con ogni tempo, applicazioni giorno/notte, interferometria

– Sentinel 2 – Immagini multispettrali• Applicazioni sul territorio: urbanizzazione, foreste, agricoltura,

– Sentinel 3 – Monitoraggio degli oceani e delle terre emerse

• Colore degli oceani, vegetazione, mare/terra, temperature, altimetria

Le Le missionimissioni per la per la sicurezzasicurezzaGalileo: Galileo: navigazionenavigazione satellitaresatellitare"Made in Europe""Made in Europe"

Un sistema di navigazione completo a controlloEuropeo, sviluppato dall’ ESA e dalla commissione EU con compartecipazioneparitaria

30 satelliti su tre orbite circolari, inclinate 56°

all’ Equatore, all’ altitudine di 23 222 km

Una volta che sará operativo, offrira’ all’ Europa e al mondo capacita’ di posizionamento accurate e sicure a vari livelli di precisione

Applicazioni supportate da Galileo: controllo delle strade, ferrovie, traffico aereo e marittimo, sincronizzazione della trasmissione dei dati

Benefici economici: ritorno sugli investimenti dei privati di un fattore 4.6 e creazione di 140 000 posti di lavoro


ESRIN come stabilimento dell’ESA in Italia

Visitatori all’anno 30000 +

Di cui circa 10000 in conferenze Internazionali

Fondato nel 1966

21.000sqm (costruiti)

Personale sul sito: 600 in

media


ESRIN: il centro di supporto multi- missione per le missioni EO

Fornisce direzione e gestione delle missioni, sfruttamento dei dati, sviluppo di applicazioni, ingegneria del segmento di terra per missioni di Osservazione della Terra, in particolare ERS, ENVISAT, Cryosat, Goce, e GMES


Centro di sviluppo del piccolo lanciatore VEGA, in un team integrato ESA/ASI/Industria del polo di Colleferro

ESRIN: il centro di supporto multi- missione


ESRIN ospita il sistema informativo dell ’ ESA, gestito dal Dipartimento di Informatica, che fornisce: – Corporate Business Applications

ERP; Gestione progetti, sistemi finanziari, del personale, dei contratti e per gli acquisti

Intranet Information Management, basi di dati aziendali– Corporate Information Technology Infrastructure

ESACOM, connettivitá locale e verso il mondo

Produttivitá (desktop e back-end)

Infrastruttura base di Web hosting

Sicurezza (firewall, desktop, e-mail, web, etc…)

ESRIN é coinvolto nell’utilizzazione della tecnologia GRID – ora Cloud Computing - per l ’ osservazione della terra, usando connettivitá a larga banda (via GARR) verso altri centri di ricerca

ESRIN: Il centro di competenza dei sistemi informativi


ESA ha siti in tutto il mondo, ma con maggiore concentrazione in Europa. Caratteristiche del sistema informativo dell’ESA

– 30 siti interconnessi dalla ESACOM Wide Area Network– 4000+ utenti collegati in rete– Alta variabilitá di utilizzo: manager, ricercatori, tecnici, amministrativi, visitatori, astronauti

Alto grado di interazione con partner esterni: – Agenzie Spaziali Nazionali Europee (CNES, DLR, ASI, etc,..)– Industria Spaziale Europea (EADS, Thales Alenia, etc..)– Altre Agenzie Spaziali (NASA, CSA, RK, JAXA)

Alto grado di diversitá dei requisiti di sicurezza– Missioni scientifiche – integritá, autenticitá di origine dei dati– Missioni abitate – protezione vita umana– Osservazione della terra – integrità, autenticità, qualità– Navigazione – confidenzialitá – autenticitá

ESA Il sistema informativo

Sicurezza: A Matter of Balance

C’é una relazione inversa fra la convenienza (facilitá di utilizzo) e la sicurezza.

Aumentando la sicurezza, si perde convenienza.

Come bilanciarle?

Convenience

Security


SICUREZZA = Le 3 P

Persone (people) Il fattore umano– Consapevolezza, conoscenza, comportamento …

Processi Organizzazione– Embedding, procedure & management

Prodotti

Infrastrutture– Risorse, tecnologia, controllo

Politica di sicurezza = un “trade off”SICUREZZA 100 0USABILITA’ 0 100

La sicurezza come un concetto nuovo per l’Agenzia

Necessità e consapevolezza in aumento per fattori esterni

Far capire il messaggio

DIMOSTRARE I BISOGNI FORNIRE SOLUZIONI

Governance della sicurezza in ESACapire i processi 1/4


Governance della sicurezza in ESA Fattori di influenza 2/4

Fattori esterni:– Evoluzione dell’ Internet (o Rivoluzione)– Minacce che crescono esponenzialmente– Partecipazione a missioni dual-use

Fattori interni:– Apertura al mondo esterno (dati missione) – Collaborazione con partner esterni– Protezione dai danni possibili – valore per il

contribuente Europeo– Classificazione formale delle informazioni


Quali sono i requisiti degli utenti?

Proteggere l’ ESA e le sue missioni:– Reputazione– Immagine pubblica– Risorse (Sistemi, Reti, Personale)– Dati ( C I A )

Proteggere gli Utenti e i Clienti:– Risorse (Sistemi, Reti, Personale)– Dati ( C I A )

Pur lasciando la massima libertá possibile di contatti e scambio di informazioni

Governance della sicurezza in ESARequisiti 3/4


Chi fa che cosa ? Con che fondi? Opzioni:

Resposabilità centrale

Responsabilità periferiche– Siti– Missioni

Governance della sicurezza in ESADeterminare le responsabilità 4/4


Modello di maturita’del processo di sicurezza

Proposto da Van Mien - Gartner Ricalca le fasi di sviluppo della civiltá umana

– Fase 1: Cacciatori-raccoglitori– Fase 2: Feudale– Fase 3: Rinascimento– Fase 4: Industriale


Elementi caratterizzanti il grado di sviluppo

Tecnologie di sicurezzaPercezione della sicurezza all’interno

dell’impresaOrigine del budget Definzione delle responsabilitáGovernanceMaturitá della organizzazione della

sicurezza


Fase 1 Cacciatori-raccoglitori all’ESA: 1993-1995

Sistemi protetti individualmente, con i loro profili di accesso: password e ACLs

Sicurezza specifica ai progetti (ERS, ISO, etc…)

Minacce molto limitate: anche gli hackers stanno imparando. Ma NON sono zero!!

Accessi ad Internet separati e gestiti localmente via Internet accademica locale (NREN)

Nessuna percezione dei rischi

Nessun budget specializzato

Nessuna analisi degli incidenti- reazioni


Fase 2 Il Feudalesimo all’ESA: 1995-1999 - misure tecniche

Accessi ad Internet separati e gestiti localmente via NREN nazionali (backbone EuropaNet)

Firewall locali installati e gestiti localmente

Back-doors e by-pass dappertutto

Sicurezza specifica ai progetti: sistemi

Identificazione degli utenti in registri locali

Mail server autonomi senza immagine comune: [email protected]

Minacce in aumento: anche gli hackers stanno imparando


Scarsa percezione dei rischi - ingenuità

Nessun budget specializzato -> corsa individuale agli acquisti di soluzioni offerte localmente – shelfware

Frammentazione delle responsabilitá

Nessun allineamento fra l’IT e il business process

Scarsa visibilitá: tutto é tenuto segreto

Fase 2 Il Feudalesimo all’ESA: 1995-1999 - misure organizzative


Perimetro sicuro ?

I primi firewall ESA sono single-homed!

Filtro a livello applicativo via proxy

Il rispetto della policy é un optional

Corridor engineering

2400+ regole fra firewall e routers

RetiInterne

RetiEsterne

Firewall

The ESA network security policy: 1999

Prima regola ufficiale di sicurezza in ESA

23 interazioni coi clienti per farla approvare

Nessun mandato ufficiale per farla rispettare

Accompagnata da un documento di implementazione basato sulla tecnologia del momento

External Networks

ESARestrictedNetworks

ESA External Services Networks

ESA Internal Services Networks

ESAFirewall

ESAFirewall


Fase 3 Il Rinascimento dell’ESA: 1999-2003 - misure tecniche

Re-engineering dei firewall secondo regole comuni

Tecnologia: proxy a livello applicativo

Amministrazione centralizzata dei firewall

Lotus Notes come strumento di produttivitá aziendale– sicurezza della posta (all’interno)– Sicurezza della gestione documentale

Applicazione delle norme piú restrittive di crittografia (US rilassa restrizioni-Wassenaar)

Il primo antivirus comune (McAfee)

Il primo accesso remoto comune (SNK)


Fase 3 Il Rinascimento dell’ESA: 1999-2003 - governance

Responsabilitá identificate (informatica) e federate

Nascita del Dipartimento di Informatica

Gli esperti sono organizzati nell’ ESACERT

Processo di IT Integrato col business

Budget di sicurezza identificato (ma limitato!)

Contributi dei clienti per servizi specifici

Approccio sistematico alle policy

SLA per controllare i livelli di sicurezza ed i costi (TCO)

Security Officer per definire le policy e coordinare i dettagli implementativi in rapporto ai requisiti aziendali


La sicurezza del sistema informativo ESA - 1/3

Sicurezza della Distributed Computing Infrastructure (PC): – McAfee Anti-Virus con aggiornamenti automatici obbligatori

(Console in-house)– Dati sul disco dei PC visibili solo al proprietario, con possibilitá di

criptarli (obbligatorio in alcuni casi) – Autenticazione degli utenti centralizzata con Active Directory – Personal firewall quando un portatile é collegato fuori sede– Accesso ubiquo wireless all’ Intranet aziendale, autenticato e criptato

via meccanismi standard – Tutte le vulnerabilitá e gli allarmi sono pre-valutati dall’ ESACERT

e gli aggiornamenti approvati sono forzati sui PC da un sistema di gestione centralizzato


La sicurezza del sistema informativo ESA - 2/3

Sicurezza dei sistemi di produttivitá– Lotus Notes é lo strumento comune per lo scambio e la gestione di

documenti ed informazioni e la gestione dei flussi di lavoro– Un indirizzo uguale per tutti: [email protected]– Firme digitali e confidenzialitá forniti da Lotus Notes: firma digitale

(X509) e criptazione– Anti-Virus obbligatorio su tutte le le gateway di posta interne e sui

database di Lotus Notes (Symantech)– Gestione delle liste di posta (annunci controllati)– Filtraggio anti-virus sulle gateway di posta esterne– Filtraggio anti-spam sulle gateway di posta esterne– Certification Authority e generatore / gestore delle chiavi– Meccanismi per lo scambio sicuro di messaggi con l’esterno (PKI-S-

MIME) (pilota)


La sicurezza del sistema informativo ESA oggi - 3/3

Sicurezza della rete ESACOM– Cablaggio strutturato e LAN virtuali (IEEE 802.1q)– Autenticazione degli utenti ad ogni accesso di rete, integrata con

login dal PC via Active Directory (IEEE 802.1x)– Accessi ad Internet locali in alcuni dei 30 siti, forniti e gestiti

centralmente dal fornitore del servizio di rete– Firewall presenti a tutti i siti con accesso Internet, gestiti

centralmente dal fornitore di rete, con supporto 24/7 – Demilitarized Zones (DMZ) dove la policy é definita dal cliente– Accesso remoto per utenti mobili e residenziali via Virtual Private

Network e gateway di autenticazione comune


ESACERT

Il centro operativo della sicurezza ICT in ESA

Dimensioni:– Centro di Coordinazione– Centro di Servizio– Centro di Competenza

Punto focale in ESA per tuttala sicurezza delle informazioni

Interfaccia interna e esterna

Produce advisories e allarmi verso i responsabili

Produce guideline e best practices

Alimenta una cultura di sicurezza attraverso l’ESA

Approvato internationalmente (FIRST, Terena)


Fase 4 L’ albore della societa industriale all’ESA: misure tecniche

Sicurezza come un processo globale: quattro pilastri, una unica Policy

Outsourcing dei Firewall: servizi gestitiAccesso remoto: i Mobility PacksAccesso alla rete Intranet: controllo al loginProtezione dei messaggi di posta entrante:

Anti-spam e anti-virus

I quattro pilastri della sicurezza

Sicurezza FisicaPrevenire accessi fisici non autorizzati a luoghi e risorse dell’ESA

Protezione delle informazioniPreparazione, distribuzione, trasmissione, storage e distruzione di informazioni propietarie, sensitive o classificate dell’ESA o dei suoi partner

Sicurezza del PersonaleGestione del processo che associa la fiducia agli individui

Sicurezza dell’IT e delle comunicazioni (Infosec) Protezione da accessi non autorizzati, dalla perdita di integritá e di disponibilitá, di informazioni conservate in forma elettronica

INFOSEC Il firewall come un servizio gestito (managed service)

Analisi indipendente della configurazione

Tecnologia-stateful inspection

Revisione della precedente implementazione dovuta alla nuova tecnologia

Nuove regole e nuovo processo di approvazione

Evoluzione verso la deep- packet inspection

L’evoluzione della policy: le DMZ

DMZ: sotto-reti limitate la cui politica di accesso é definita dal clienti

Protette dal firewall

Protette anche una dall’altra

Per web server, sistemi gestiti remotamente, file repository, dati di missione, etc…


L’ albore della societa industriale all’ESA: Governance

Responsabilità specifiche per la sicurezza per policy e implementazione

Definizione della Policy a livello globale

Definizione dei principi e delle interfacce

Allineamento con standard e best-practice

Definizione dei ruoli e delle responsabilitá

Collezione di misure e dati quantitativi

Un budget corporate per la sicurezza

Collegamento della strategia di sicurezza con gli obiettivi corporate dell’azienda

Gestione delle crisi e della continuitá del servizio


La Policy La Policy didi SicurezzaSicurezza delldell’’ ESA (1/3)ESA (1/3)

ESA Security Regulations

Mem

ber

Stat

es +ES

A

ESA

Cor

pora

te

Leve

l

GeneralDirectives

PhysicalSecurity

Directives

P O

L I

C Y

P O

L I

C Y

Specific Security Procedures

Esta

blis

hmen

ts+

Info

rmat

ion

Syst

ems

+ Pr

ojec

ts

IMPL

EMEN

TATI

ON

IMPL

EMEN

TATI

ON

Information Protection Directives

PersonnelSecurity

Directives

InfoSecDirectives

ESA Security Directives

SecOP SecOP SecOPSecOP

ESA Security Agreement

Mem

ber

Stat

es(S

EC)


ESA SECURITY POLICY = ESA Security Agreement+ ESA Security Regulations + ESA Security Directives

ESA Security Agreement - 2002– Trattato Internazionale fra l’ ESA e gli Stati membri– Ratificato dal Consiglio ESA e dai parlamenti nazionali

ESA Security Regulations - 2003– Raccomandate dal Security Committee– Approvate dal Consiglio dell’ ESA– Definiscono un quadro normativo per la produzione,

conservazione e disseminazione di informazioni classificate– 4 livelly di sensitivitá e corrispondente protezione:

Restricted, Confidential, Secret, Top Secret– Definiscono il ruolo dell’Ufficio di Sicurezza– Definiscono le relazioni fra l’Ufficio di Sicurezza e gliuffici rispettivi degli stati membri (NSA)



Le Security Directives interpretano le Regulations e assistono lo Staff nella loro implementazione.– Sviluppate dall’ufficio di Sicurezza in ambito di Security Committee– Ampiamente discusse internamente con le organizzazioni responsabili

per l’ implementazione– Approvate dal Direttore Generale e pubblicate agli Staff – Il loro utilizzo:

• Traducono le Security Regulations in un “manuale di cucina”• Assorbono tutti i frammentati documenti di Policy pre-esistenti• Sviluppano i concetti aggiuntivi necessari per gestire le

informazioni classificate• Infine, le Security Operational Procedures (SecOps), basate

sulle Directives, regolano la sicurezza al livello locale e dei singoli sistemi (e.g., ITC, Progetti, ISS, etc…)



Principi (1/2)

Definizione di sicurezza: (Encycolpedia Britannica) Any of various means or devices designed to guard persons and property (+information) against a broad range of hazards, including crime, fire, accidents, espionage, sabotage, subversion, and attack.

Sinergia: Un sistema di sicurezza consiste di una base operativa di protezione con una capacitá aggiuntiva opzionale di trattare informazioni sotto un sistema di classificazione formale

Copertura “olistica”: Lo stesso processo deve coprire i quattro pilastri della sicurezza: Fisica, Personale, Gestione Documentale, Informazioni e Comunicazioni (INFOSEC)


Necessitá (rasoio di Occam): L’implementazione deve essere mantenuta al livello minimo necessario per contrastare i rischi (non tutti i Clienti richiedono lo stesso livello di sicurezza, non tutte le soluzioni si applicano a tutti i sistemi -> E’ necessario un risk assessment)

Separazione dei poteri: La responsabilitá per la definizione della security policy (legislativa) e il controllo della sua corretta implementazione (giudiziaria) deve essere separata e independenzte dalla implementazione della sicurezza entro un sistema specifico (esecutivo)

Certificazione: La conformitá di un sistema con la policy aziendale e con i suoi propri requisiti deve essere certificata da un’ istituzione indipendente (> l’ ufficio di sicurezza)

Accreditazione (omologazione): E’ richiesta per i sistemi che trattano informazioni classificate

Principi (2/2)


La gestione della sicurezza: standard e best practice

ITIL Best practice for Security Management– La gestione della sicurezza delle informazioni é il processo

di gestione di un livello di sicurezza pre-definito su tutti i servizi IT

– Basato su un Service Level Agreement specifico sulla sicurezza (Security SLA)

– Partendo dall’ SLA, la gestione dell sicurezza (Security Management) ci assicura che:

• Misure appropriate sono implementate e mantenute• Esiste la capacitá di reagire prontamente agli incidenti• Verifiche periodiche dimostrano che le misure prese sono adeguate• Rapporti periodici vengono prodotti per ritrarre lo stato della

sicurezza


BS 7799 – ISO 17799 – ISO 27001: Code of practice for information security management

Molto comprensivo– Organizational security– Asset classification and control– Personnel security– Physical and environmental – Communications and Operations management – Access control – Systems development and maintenance– Business continuity management – Compliance

Valutare i rischi

Selezionare e monitorare i parametri di controllo

La gestione della sicurezza: standard e best practice

Il processo di sicurezza del sistema informativo

Information Security Policy

Risk analysis

Planning

Operational measures

Evaluation and audit

Business drivers and external influences

Il processo di gestione della sicurezza IT

Act

Control

Check Do

Plan

IT Service ProviderImplements SLA

CustomerDefines requirements based on business needs

Report Security SLAAudit


Security manager vs. Security Officer

Security manager (IT NSM)– Responsabile per il processo di gestione della sicurezza– Parte della funzione di fornitore (provider): controlla la

corretta fornitura del servizio e le prestazioni dell’SLA della sicurezza

– Ogni parametro é collegato a specifiche misure di sicurezza per sistema e per unitá di conto nella organizzazione del fornitore del servizio

– E’ coinvolto nella gestione di incidenti specifici– La implementazione e le operazioni sono (possono

essere) delegate al fornitore del servizio industriale (in caso di outsourcing)

– Ha/controlla il budget per la sicurezza del suo sistema


Security manager vs Security Officer

Security Officer – Funzione a livello corporate: Intermediario fra il

security manager e gli interessi dell’Azienda– Definisce ed interpreta la policy dell’ azienda– Coordinatore dell’ escalation in caso di incidenti che

investono diversi sistemi– Coordinatore degli obblighi di sicurezza dal lato cliente

(autorizzationi, procedure, linee-guida (passwords), …)– Consulente per la definizione dei requisiti di sicurezza

da specificare nell’ SLA – Coordina la valutazione dei rischi globali di impresa– Ha accesso diretto al management esecutivo (ESA DG)


La separazione dei ruoli

Il security officer – legislativo e giudiziario– Riporta direttamente all’esecutivo– Fa le regole– Autorizza richieste ed eccezioni alle regole– Controlla la loro corretta applicazione > Ispezioni

Il security manager - esecutivo– Riporta all’organizzazione operativa– Esegue le funzioni di sicurezza– Ha il budget– Controlla l’esecuzione dei contratti operativi– Risponde ai clienti


Fattore di complessità in ESA

L’ESA é basata su progetti/missioni

Rispettare l’ autonomia dei progetti e dei sistemi indipendenti (EO, Scienza, ISS)

Ciascuna missione definisce un security manager

Analisi dei requisiti e dei rischi (ISO 27001)

SSRS e SECOPS per progetto/sistema

Coordinamento a livello agenzia di tutti i security manager da parte del security officer


Gestione delle crisi

Gli eventi critici devono essere gestiti end-to-end

L’ ESACERT agisce come punto focale per la gestione delle crisi per quanto riguarda il sistema informativo

L’ ESACERT definisce una procedura per la gestione degli incidenti, che coinvolge i vari security manager e il security office

L’ ESACERT classifica gli incidenti, correlandoli alle categorie di crisi piú generali se necessario

Le azioni dirette sugli apparati vengono effettuate dalle organizzaioni responsabili per la loro gestione (operatori)

Il security office analizza le esperienze e valuta l’impatto sulla, per una possibile retroazione, e gestisce I rapporti con le Autorità


Conclusioni 1: Lezioni da imparare

La sicurezza puó nascere dalle radici e crescere coi requisiti, ma deve essere sanzionata dall’alto

Gli incidenti aiutano ad aumentare il grado di sensibilitá (grazie, Hackers!!)

Il rapporto (buy-in) con gli utenti é fondamentale per assicurare la conformitá alle regole

La cultura della sicurezza é parte integrante della cultura aziendale (training & awareness)

Il budget della sicurezza deve essere identificato esplicitamente all’interno del budget operativo di un sistema e dimensionato rispetto ai rischi


Conclusioni 2: Condizioni per il successo

Condizioni fondamentali da realizzare, su cui concentare gli sforzi:– Supporto del top management – Organizzazione indipendente, con accesso diretto al

CEO, simile e parallela a quella della Qualitá– Supporto degli utenti: campagne di informazione,

senzibilizzazione, training, gruppi utenza, delega– Percezione utente di protezione, non di imposizione

(good guy vs bad guy)– Non esagerare con le misure: commisurarle ai rischi!

(metodologie per la valutazione rischi)


GRAZIE!!!!

[email protected]

La Governance della sicurezza nell’ Agenzia Spaziale...

Documents

Transcript of La Governance della sicurezza nell’ Agenzia Spaziale...