Un approccio integrato e innovativo alla “compliance ... · aziende al tema della conformità dei...

Un approccio integrato e innovativo alla “complianc e” aziendale: da obbligo normativo a vantaggio competit ivo

14 Aprile 2011

Un approccio integrato e innovativo alla “complianc e” aziendale: da obbligo normativo a vantaggio competit ivo

Aprile 2011

1. Il tema della compliance

2. L’evoluzione della percezione della compliance nel le aziende

3. Le norme sui Sistemi di Gestione

LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO


4. Le aree di integrazione

5. Oggetto dei diversi Sistemi di Gestione

6. Qualche dato numerico

7. L’approccio integrato per i modelli

8 . L’approccio integrato: i principi di riferimen to

9. Una sintesi per il governo dei diversi Sistemi d i Gestione

2. L’evoluzione della percezione della compliance nel le aziende


LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO


5. Oggetto dei diversi Sistemi di Gestione

7. L’approccio integrato per i modelli

8 . L’approccio integrato: i principi di riferimen to

9. Una sintesi per il governo dei diversi Sistemi d i Gestione

2

Compliance: attività che individuano, valutano, supportano, controllano e decidono sulle azioni da intraprendere in merito al rischio di sanzioni legali o amministrative, perdite operative, deterioramento della reputazione aziendale dovute al mancato rispetto di

IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)

reputazione aziendale dovute al mancato rispetto di

�Leggi

�Regolamenti

�Procedure e Codici di

�Best practice

attività che individuano, valutano, supportano, controllano e decidono sulle azioni da intraprendere in merito al rischio di sanzioni legali o amministrative, perdite operative, deterioramento della reputazione aziendale dovute al mancato rispetto di


reputazione aziendale dovute al mancato rispetto di

di condotta

3

La forte evoluzione normativa degli ultimi anni ha determinato una maggiore attenzione da parte delle aziende al tema della conformità dei comportamenti e delle prassi aziendali, al dettato normativo e, in generale, alle

IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/

prassi aziendali, al dettato normativo e, in generale, alle norme di autoregolamentazione, come ad esempio:

�Responsabilità amministrativa delle persone giuridiche

�Responsabilità Sociale

�Modelli caratteristici dei SGQ (certificazioni e

accreditamenti)

Privacy e tutela dei dati personali�Privacy e tutela dei dati personali

�Sicurezza delle informazioni

�Testo unico ambientale

�Salute e sicurezza sul lavoro

La forte evoluzione normativa degli ultimi anni ha determinato una maggiore attenzione da parte delle aziende al tema della conformità dei comportamenti e delle prassi aziendali, al dettato normativo e, in generale, alle


prassi aziendali, al dettato normativo e, in generale, alle norme di autoregolamentazione, come ad esempio:

Responsabilità amministrativa delle persone giuridiche

Responsabilità Sociale

Modelli caratteristici dei SGQ (certificazioni e

Privacy e tutela dei dati personaliPrivacy e tutela dei dati personali

Sicurezza delle informazioni

Testo unico ambientale

Salute e sicurezza sul lavoro

4

�Visione più diffusa

Ostacolo alla efficienzaun diffuso eccesso di burocratizzazione

L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)

�La risposta

Sviluppare sinergie tra i diversi Modelli Organizzativi

Infatti, pur perseguendo finalità diverse tutti i modelli condividono la ricerca della correttezza, trasparenza e tracciabilità nei processi organizzativi aziendali.

efficienza delle attività aziendali provocando burocratizzazione.


tra i diversi Modelli Organizzativi

Infatti, pur perseguendo finalità diverse tutti i modelli ricerca della correttezza, trasparenza e

tracciabilità nei processi organizzativi aziendali.

5

Tra l’altro…..

Il mancato rispetto

L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/

Il mancato rispetto

di:

�Le Buone Pratiche

Professionali

�D.Lgs. 231/2001

�D.Lgs. 196/2003

�D.Lgs. 81/2008�D.Lgs. 81/2008

Un qualunque “Incidente” quanto

costa??

Tra l’altro…..

Può portare a


Può portare a

�Perdita di clientela

�Sanzioni

�Richiesta di danni

�Contenziosi

�Danni di immagine

�Responsabilità Penali

Un qualunque “Incidente” quanto

costa??

�Responsabilità Penali

6

�Approccio al Mercato

LE NORME SUI SISTEMI LE NORME SUI SISTEMI

�D. Lgs. 152/2006

(T.U. ambiente)

�D. Lgs. 81/2008

(T.U. sicurezza lavoro)

�D. Lgs. 196/2003

(Privacy)(Privacy)

�D. Lgs. 231/2001

(Modelli organizzativi)

ISO 9001

LE NORME SUI SISTEMI DI GESTIONELE NORME SUI SISTEMI DI GESTIONE

ISO 14001

BS OHSAS 18001

ISO 27001

ISO 9001

BS OHSAS 18001

SA 8000

7

LE AREE LE AREE

SISTEMA Ex

ISO 27001 e D.Lgs. 196/2003

Reati personalità

Reati Ambientali Delitti contro P.A. patrimonio mediante frode, pubblica fede e reati societari,

LE AREE DI INTEGRAZIONELE AREE DI INTEGRAZIONE

ISO 9001Reati informatici e violazioni TU

Privacy

SISTEMA DI GESTIONE Ex D.Lgs 231/2001

SA 8000

ISO 27001 e D.Lgs. 196/2003

Reati personalità individuale

8

Delitti contro P.A. patrimonio mediante frode, pubblica fede e reati societari,

reati informatici, etc

Reati in materia di salute e sicurezza sul luogo di lavoro

� Qualità: Capacità di soddisfare le esigenze dei clienti

� Ambiente: Contesto nel quale l’organizzazione opera, comprendente l’aria, l’acqua, il terreno, le risorse naturali, la flora, la fauna, gli esseri umani e le loro

L’OGGETTO DEI DIVERSI SISTEMI L’OGGETTO DEI DIVERSI SISTEMI

naturali, la flora, la fauna, gli esseri umani e le loro interrelazioni

� Salute e Sicurezza nei luoghi di lavoro: fattori inerenti al benessere dei dipendenti, dei lavoratori temporanei, del personale con cui si interagisce, dei visitatori e di ogni altra persona dell’ambiente di lavoro

� Sicurezza delle informazioni: conservazione della riservatezza, integrità e disponibilità conservazione della riservatezza, integrità e disponibilità delle informazioni

� Responsabilità amministrativa e Responsabilità Sociale: L’insieme di pratiche di gestione che consentono di minimizzare i rischi connessi ai reati e l’impatto negativo delle attività dell’organizzazione sulla società

: Capacità di soddisfare le esigenze dei clienti

Contesto nel quale l’organizzazione opera, comprendente l’aria, l’acqua, il terreno, le risorse naturali, la flora, la fauna, gli esseri umani e le loro

L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (1/2)L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (1/2)

naturali, la flora, la fauna, gli esseri umani e le loro

Salute e Sicurezza nei luoghi di lavoro: Condizioni e fattori inerenti al benessere dei dipendenti, dei lavoratori temporanei, del personale con cui si interagisce, dei visitatori e di ogni altra persona dell’ambiente di lavoro

Sicurezza delle informazioni: Garanzia di conservazione della riservatezza, integrità e disponibilità conservazione della riservatezza, integrità e disponibilità

Responsabilità amministrativa e Responsabilità L’insieme di pratiche di gestione che consentono

di minimizzare i rischi connessi ai reati e l’impatto negativo delle attività dell’organizzazione sulla società

9

Qualità ambientale soddisfa i bisogni della collettività presente e futura nel quadro dello sviluppo sostenibile conseguibile mediante la certificazione di sistema ISO 14001, ovvero di prodotto mediante “etichette ambientali” Eco-label

Il passaggiodalla“qualità economica”:Finalizzata al soddisfacimento

L’OGGETTO DEI DIVERSI SISTEMI L’OGGETTO DEI DIVERSI SISTEMI

Eco-label

Qualità del lavoro tutela i bisogni di salute e sicurezza sul lavoro conseguibile tramite un adeguato approccio di sistema certificando i SGSL mediante la BS OHSAS 18001

Qualità delle informazioni consentire un efficace fruizione delle informazioni D. Lgs 196/2003 conseguibile mediante certificazioni di sistema ISO 27001

soddisfacimento delleesigenze del cliente nel quadro di unaspecifico rapporto contrattuale

Alla “qualità sociale”: una forma piùampia di qualità, diretta alla ISO 27001

Qualità etica riguarda la Responsabilità amministrativa e sociale delle imprese (CSR) e le problematiche di prevenzione dei rischi “reato” e sociali connesse con le attività aziendali gestendo gli adempimenti D. Lgs. 231/2001 ovvero approcci di sistema (SA 8000).

diretta alla soddisfazionedi una più vasta gamma di bisogniespressi da un più ampio contesto di partiinteressate

soddisfa i bisogni della collettività presente e futura nel quadro dello sviluppo sostenibile conseguibile mediante la certificazione di sistema ISO 14001, ovvero di prodotto mediante “etichette ambientali”

L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (2/2)L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (2/2)

tutela i bisogni di salute e sicurezza sul lavoro conseguibile tramite un adeguato approccio di sistema certificando i SGSL mediante la BS OHSAS 18001

Qualità delle informazioni protegge la riservatezza e a consentire un efficace fruizione delle informazioni D. Lgs 196/2003 conseguibile mediante certificazioni di sistema

riguarda la Responsabilità amministrativa e sociale delle imprese (CSR) e le problematiche di prevenzione dei rischi “reato” e sociali connesse con le attività aziendali gestendo gli adempimenti D. Lgs. 231/2001 ovvero approcci di sistema (SA 8000).

10

Certificazioni di Qualità:settembre 2010, fatturato globale dei primi 7 enti certificatori €196 mln. oltre l’indotto? (consulenti, addetti interni, investimenti per adeguamento sistemi)

Certificazioni ambientali

QUALCHE DATO NUMERICO …QUALCHE DATO NUMERICO …

Certificazioni ambientalicertificazioni “verdi” standard ISO 14001 e simili (dati ACCREDIA)

Certificazioni sicurezza delle informazioni:300 società certificate tra gruppi industriali, società di servizi, finanziarie e piccole organizzazioni con un forte incremento nell’ultimo anno (dati ACCREDIA)

Certificazioni salute e sicurezza del lavoro:Certificazioni salute e sicurezza del lavoro:anni +50% anno di certificazioni negli ultimi 3 anni incidenti su imprese con certificazioni accreditate (dati INAIL)

Certificazioni Qualità etica:8000) Italia primo posto al mondo, 34,29% dei siti certificati su scala mondiale 199.835 lavoratori coinvolti (14,64% del totale) terzo posto mondiale

Certificazioni di Qualità: 140 mila siti accreditati al 30 settembre 2010, fatturato globale dei primi 7 enti certificatori 196 mln. oltre l’indotto? (consulenti, addetti interni, investimenti per adeguamento sistemi)

Certificazioni ambientali: Italia 4° posto al mondo per le

QUALCHE DATO NUMERICO …QUALCHE DATO NUMERICO …

Certificazioni ambientali: Italia 4° posto al mondo per le certificazioni “verdi” standard ISO 14001 e simili (dati

Certificazioni sicurezza delle informazioni: In Italia circa 300 società certificate tra gruppi industriali, società di servizi, finanziarie e piccole organizzazioni con un forte incremento nell’ultimo anno (dati ACCREDIA)

Certificazioni salute e sicurezza del lavoro: negli ultimi 3 Certificazioni salute e sicurezza del lavoro: negli ultimi 3 anni +50% anno di certificazioni negli ultimi 3 anni -20% incidenti su imprese con certificazioni accreditate (dati INAIL)

Certificazioni Qualità etica: approccio di sistema (SA 8000) Italia primo posto al mondo, 34,29% dei siti certificati su scala mondiale 199.835 lavoratori coinvolti (14,64% del totale) terzo posto mondiale

11

UN APPROCCIO INTEGRATO PER I MODELLI (1/2)UN APPROCCIO INTEGRATO PER I MODELLI (1/2)

Riesame e miglioramento

Attuazione e modalità operative


Miglioramento Continuo

Esame iniziale

Politica

Pianificazione

12

Act (RE Agire): metterein atto azioniopportune a fronte dei risultati dei controlli

UN APPROCCIO INTEGRATO PER I MODELLI (2/UN APPROCCIO INTEGRATO PER I MODELLI (2/

risultati dei controlli

Check (controllare):Check (controllare):eseguire i controllipianificati nella fasePlan, misurando ivalori e analizzando i risultati

Plan (pianificare):Fissare obiettivi,risorse, metodi,indicatori, livelli

…… tramite questo approccio


Do (fare): Applicare

indicatori, livellidi accettabilità,modalità esecutive

Do (fare): Applicarequanto pianificato

13

1°°°° Principio : Approccio basato sui processi

L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI

a) Identificare i processi necessari per l’applicazione in tutta l'organizzazione dei vari Sistemi di Gestione (Responsabilità Amministrativa e Sociale, Sicurezza e Tutela, Qualità …)

b) Stabilire la significatività, la sequenza e l'interazione di questi processi

c) Determinare i criteri e i metodi necessari per assicurare l‘adeguata rappresentazione, l’efficiente attuazione e l’efficace controllo di questi processi

d) Assicurare la disponibilità di risorse e di informazioni necessarie per supportare l'attuazione e il monitoraggio di necessarie per supportare l'attuazione e il monitoraggio di questi processi

e) Misurare, monitorare e analizzare questi processi

f) Adottare azioni necessarie per raggiungere i risultati pianificati e il miglioramento continuo di questi processi

Principio : Approccio basato sui processi

L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (1/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (1/7)

Identificare i processi necessari per l’applicazione in tutta l'organizzazione dei vari Sistemi di Gestione (Responsabilità Amministrativa e Sociale, Sicurezza e Tutela, Qualità …)

Stabilire la significatività, la sequenza e l'interazione di

Determinare i criteri e i metodi necessari per assicurare l‘adeguata rappresentazione, l’efficiente attuazione e l’efficace controllo di questi processi

Assicurare la disponibilità di risorse e di informazioni necessarie per supportare l'attuazione e il monitoraggio di

14

necessarie per supportare l'attuazione e il monitoraggio di

Misurare, monitorare e analizzare questi processi

Adottare azioni necessarie per raggiungere i risultati pianificati e il miglioramento continuo di questi processi

L’approccio è caratterizzato da:

� Standardizzazione delle all’interno di ciascun processo,

1°°°° Principio : Approccio basato sui processi (segue)


all’interno di ciascun processo, la decisione (autorizzazione ed impulso decisionale), il soggetto che esegue soggetti cui è affidato il controllo “segregazione delle funzioni”);

� Rispetto del principio della separazione delle funzioniin base al quale nessuno può gestire in autonomia un intero processo e la definizione di poteri autorizzativi coerenti con le responsabilità assegnate;responsabilità assegnate;

� Traccia scritta di ciascun passaggio rilevante del processo (c.d. “tracciabilità”) sorveglianza sul sistema ed il monitoraggio sull’aderenza agli standard e alle procedure;

� Adeguato livello di formalizzazionecomunicazione efficace.

L’approccio è caratterizzato da:

delle attività con la distinzione, all’interno di ciascun processo, tra il soggetto che assume

Principio : Approccio basato sui processi (segue)


all’interno di ciascun processo, tra il soggetto che assume (autorizzazione ed impulso decisionale), il

soggetto che esegue tale decisione e il soggetto o i cui è affidato il controllo del processo (c.d.

“segregazione delle funzioni”);

Rispetto del principio della separazione delle funzioni, in base al quale nessuno può gestire in autonomia un intero processo e la definizione di poteri autorizzativi coerenti con le responsabilità assegnate;responsabilità assegnate;

ciascun passaggio rilevante del processo (c.d. “tracciabilità”) per assicurare la sorveglianza sul sistema ed il monitoraggio sull’aderenza agli standard e alle procedure;

formalizzazione per una comunicazione efficace.

15

� Individuazione delle attività o situazioni che possono essere Fonti di Rischio


2°°°° Principio : Focalizzazione sui rischi

essere Fonti di Rischio

�Valutazione dell’ Ampiezza e Impatto volta identificate le attività sensibili fonti rischio

�Gestione dei rischidi controllo” (misure volte al loro contenimento) tenendo conto del livello accettabile di rischio e delle risorse disponibili

delle attività o situazioni che possono Fonti di Rischio


Principio : Focalizzazione sui rischi

Fonti di Rischio

Ampiezza e Impatto dei Rischi una volta identificate le attività sensibili fonti rischio

tramite l’Adozione di “Protocolli ” (misure volte al loro contenimento)

tenendo conto del livello accettabile di rischio e delle

16

3°°°° Principio : Approccio sistemico della gestione (Governo dei processi)

�Consapevolezza dell’identificazione, comprensione e gestione di un sistema di processi interconnessi


gestione di un sistema di processi interconnessimirati a determinati obiettivi

�Definizione di una struttura standard redazione integratae altra documentazione relativa a qualità, ambiente, sicurezza e tutela della salute, privacy, etica e responsabilità amministrativa)

�Razionalizzazionelivello monitoraggio dei processi, 23° livello Certificazioni/Attestazioni da parte di un Ente Terzo)

Principio : Approccio sistemico della gestione

dell’identificazione, comprensione e sistema di processi interconnessi,


sistema di processi interconnessi, mirati a determinati obiettivi

struttura standard per la integrata della documentazione (procedure

e altra documentazione relativa a qualità, ambiente, sicurezza e tutela della salute, privacy, etica e responsabilità amministrativa)

delle modalità di controllo (1°livello monitoraggio dei processi, 2° livello Audit Interni, livello Certificazioni/Attestazioni da parte di un Ente

17

4°°°° Principio : Alto commitment del management e coinvolgimento del personale

�Creazione e sostegno


�Creazione e sostegnovalori comuni e modelli correttezza da estendere a tutti i livelli dell’organizzazione.

�Coinvolgimento di tuttedell’organizzazione, solo la loro permette di porre le loro organizzazione.

�Valutazione costante della sistema di regole consanzioni connesse alla loro mancata attuazione.

Principio : Alto commitment del management e coinvolgimento del personale

sostegno, da parte del vertice aziendale, di


sostegno, da parte del vertice aziendale, di modelli di regole etiche e di

da estendere a tutti i livelli

tutte le risorse umanedell’organizzazione, solo la loro piena partecipazione permette di porre le loro capacità al servizio di tutta la

costante della effettiva attuazione del di regole con la coerente applicazione delle connesse alla loro mancata attuazione.

18

5°°°° Principio : Valutazione, definizione, adeguamento protocolli organizzativi

� I “protocolli” vanno definiscono le regole attraverso le quali si esplicano


definiscono le regole attraverso le quali si esplicano gli adempimenti e i comportamentidipendenti della società debbono delle loro mansioni, al fine di prevenire o mitigare i rischi previsti dal Modello e da successive integrazioni.

� I protocolli devono essere interna della società, intendendo con ciò le disposizioni interna della società, intendendo con ciò le disposizioni emanate dai vertici aziendali che conferiscono, ai vari livelli dell’organizzazione, compiti e poteri, definiscono le modalità procedurali e prescrivono i comportamenti relativi all’applicazione di leggi e normative delle Autorità di riferimento.

Principio : Valutazione, definizione, adeguamento protocolli organizzativi

” vanno intesi come tutti gli atti che definiscono le regole attraverso le quali si esplicano


definiscono le regole attraverso le quali si esplicano gli adempimenti e i comportamenti ai quali i dipendenti della società debbono attenersi nell’esercizio

al fine di prevenire o mitigare i previsti dal Modello e da successive integrazioni.

devono essere desumibili dalla normativa della società, intendendo con ciò le disposizioni della società, intendendo con ciò le disposizioni

emanate dai vertici aziendali che conferiscono, ai vari livelli dell’organizzazione, compiti e poteri, definiscono le modalità procedurali e prescrivono i comportamenti relativi all’applicazione di leggi e normative delle Autorità

19

6°°°° Principio : Miglioramento Continuo

�Il Miglioramento continuoobiettivo permanente


�Presuppone attività di pianificazione delle misurazione e monitoraggio

�Modalità (tempi e modi) dell’efficacia ed efficienza dei Sistemi di Gestione adottati

Principio : Miglioramento Continuo

Il Miglioramento continuo dovrebbe essere un obiettivo permanente dell’organizzazione


attività di definizione degli obiettivi e delle azioni , nonché modalità di monitoraggio dei risultati

(tempi e modi) prestabilite per il Riesamedell’efficacia ed efficienza dei Sistemi di Gestione adottati

20

ISO 9001

Politica x

Obiettivi x

UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI

Obiettivi x

Gestione Risorse x

Formazione eaddestramento x

Gestione Documenti x

Registrazioni x

Controlli x

Monitoraggi x

NC, AC, AP xNC, AC, AP x

Audit interni del SG x

Riesame della direzione x

Miglioramento x

Certificabilità x

ISO 9001 ISO 14001OHSAS 18001

ISO27001 SA 8000

x x x x x

x x x x x

UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI DI GESTIONEUNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI DI GESTIONE

x x x x x

x x x x

x x x x

x x x x

x x x x x

x x x x

x x x x x

x x x x xx x x x x

x x x x

x x x x x

x x x x

x x x x x

21

Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Sicurezza delle Informazioni

(ISO 27001:2005)14 Aprile 2011

Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Sicurezza delle Informazioni

(ISO 27001:2005)Aprile 2011

1. La Norma ISO/IEC 27001:2005

2. D.Lgs. 196/2003 ISO/IEC 27001

3. ISO/IEC 27001 : vantaggi dell’adozione

SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONISISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI


4. Il percorso per l’implementazione di un SGSI

1. La Norma ISO/IEC 27001:2005

196/2003 ISO/IEC 27001 D.Lgs. 231/2001:aspetti comuni


GESTIONE PER LA SICUREZZA DELLE INFORMAZIONIGESTIONE PER LA SICUREZZA DELLE INFORMAZIONI


4. Il percorso per l’implementazione di un SGSI

23

La norma ISO/IEC 27001:2005 rappresenta oggi il riferimento riconosciuto a livello mondiale per la certificazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) delle Organizzazioni di tutti i settori e di tutte le dimensioni e rappresenta:

LA NORMA ISO/IEC 27001: 2005

•un approccio sistematico per pianificare, attuare, monitorare e migliorare un SGSI mediante un approccio basato sul ciclo PLAN-DO-CHECK-ACT di Deming e un processo di miglioramento continuo;

•uno standard gestionale, non tecnicoconsiderazione tutti gli aspetti della sicurezza delle informazioni: Organizzazione, Persone, Luoghi Fisici, Documenti Cartacei, Sistemi IT;Sistemi IT;

•uno standard certificabile;

•uno standard per gli audit;

•un approccio basato sulla valutazione del rischio;

•un framework di controllo per la gestione della sicurezza delle informazioni (Annex A –

La norma ISO/IEC 27001:2005 rappresenta oggi il riferimento riconosciuto a livello mondiale per la certificazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) delle Organizzazioni di tutti i settori e di tutte le dimensioni e

LA NORMA ISO/IEC 27001: 2005

un approccio sistematico per pianificare, attuare, monitorare e migliorare un SGSI mediante un approccio basato sul ciclo

ACT di Deming e un processo di miglioramento continuo;

uno standard gestionale, non tecnico-informatico, che prende in considerazione tutti gli aspetti della sicurezza delle informazioni: Organizzazione, Persone, Luoghi Fisici, Documenti Cartacei,

24

uno standard certificabile;

uno standard per gli audit;

un approccio basato sulla valutazione del rischio;

un framework di controllo per la gestione della sicurezza delle – Obiettivi di controllo e controlli).

ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: ASPETTI COMUNI (1/3)

ISO/IEC 27001:2005

D.Lgs231/2001

D.Lgs196/2003

D.Lgs 231/2001: ASPETTI COMUNI (1/3)

Aspetti comuni del modello di gestione ISO/IEC 27001, con

D.lgs/196/2003 e D.Lgs231/2001

•Attività periodiche di analisi e trattamento del rischio (par. 4.2.1, ,4.2.2, 4.2.3);,4.2.2, 4.2.3);

•Definizione di piani di formazione e consapevolezza (par 4.2.2 e 5.2.2);

•Attività periodiche di controllo, monitoraggio e audit (par. 4.2.3 e 6);

•Specifici controlli nei processi di gestione del personale e delle Terze Parti (Annex A – A.6 e A.8)

•Specifici controlli nei processi di controllo degli accessi fisici e logici (Annex A – A.9 e A.11);

25

(Annex A – A.9 e A.11);•Specifici controlli nei processi di sviluppo software ,changemanagement e manutenzione dei sistemi (Annex A – A.10 e A.12);

•Specifici controlli nei processi di continuità operativa (Annex A –A.14).

• La norma ISO/IEC 27001:2005 presenta all’interno dell’Annex A una sezione specifica di obiettivi di controllo e controlli specificamente alla compliance (A.15 particolare focus sulla conformità alle normative (Privacy,


particolare focus sulla conformità alle normative (Privacy, Diritto d’Autore, ecc.).

• Lo scopo della norma comprende non solo i Dati Personali ma tutte le informazioni che possono avere un forte impatto sul business dell’organizzazione: di conseguenza l’ambito di applicazione è più ampio dei requisiti del Codice in Materia di Protezione dei Dati Personali che ne vengono ricompresi.

La norma ISO/IEC 27001:2005 presenta all’interno dell’Annex A una sezione specifica di obiettivi di controllo e controlli

alla compliance (A.15 – Compliance) con un particolare focus sulla conformità alle normative (Privacy,


particolare focus sulla conformità alle normative (Privacy,

Lo scopo della norma comprende non solo i Dati Personali ma tutte le informazioni che possono avere un forte impatto sul business dell’organizzazione: di conseguenza l’ambito di applicazione è più ampio dei requisiti del Codice in Materia di Protezione dei Dati Personali che ne vengono ricompresi.

26

• La prevenzione dei rischi relativi a reati informatici previsti dal D.Lgs.231/2001 è direttamente correlata alla gestione della sicurezza delle informazioni per specifiche tipologie di dati trattati (es. Art. 24 – Truffa in danno dello stato e frode


trattati (es. Art. 24 – Truffa in danno dello stato e frode informatica, Art. 24 bis –illecito dei dati, ecc.).

• Molti dei processi previsti dalla ISO/IEC 27001:2005 sono comuni al Modello di gestione della Privacy e al Modello di Organizzazione e Gestione 231/01.

La prevenzione dei rischi relativi a reati informatici previsti dal D.Lgs.231/2001 è direttamente correlata alla gestione della sicurezza delle informazioni per specifiche tipologie di dati

Truffa in danno dello stato e frode


Truffa in danno dello stato e frode – Delitti informatici e trattamento

Molti dei processi previsti dalla ISO/IEC 27001:2005 sono comuni al Modello di gestione della Privacy e al Modello di Organizzazione e Gestione 231/01.

27

ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (1/3)

La certificazione ISO/IEC 27001:2005 è una tangibile dimostrazione dell’impegno delle Organizzazioni nella Gestione delle Informazioni.

Essa può offrire vantaggi chiave nei processi di compliance alle Essa può offrire vantaggi chiave nei processi di compliance alle normative applicabili in termini di:

• Efficientamento dei Modelli di Compliance

• Minimizzazione dei rischi

• Audit indipendenti

D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (1/3)

La certificazione ISO/IEC 27001:2005 è una tangibile dimostrazione dell’impegno delle Organizzazioni nella Gestione

Essa può offrire vantaggi chiave nei processi di compliance alle Essa può offrire vantaggi chiave nei processi di compliance alle normative applicabili in termini di:

Efficientamento dei Modelli di Compliance

Minimizzazione dei rischi

Audit indipendenti

28

ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (2/3)


L’implementazione di un SGSI conforme alla norma ISO/IEC27001:2005, avendo un ambito esteso alla protezione di tutto il patrimonio informativo significativo per di tutto il patrimonio informativo significativo per l’organizzazione, può supportare le aziende nella razionalizzazione delle procedure di compliance e controllo esistenti, incrementando l’efficacia e l’efficienza delle stesse, attraverso la creazione di un modello integrato che preveda una piattaforma trasversale.

Ciò consente di evitare la replicazione di attività tipiche dei modelli di organizzazione, compliance e controllo (es. formazione, gestione e trattamento del rischio, ecc.), formazione, gestione e trattamento del rischio, ecc.), mantenendole all’interno di un quadro di processo chiaro e coerente.

In altre Nazioni Europee i sistemi ISO/IEC 27001 sono stati raccomandati come mezzi per essere conformi alle normative sulla gestione e protezione dei dati.

D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (2/3)


L’implementazione di un SGSI conforme alla norma ISO/IEC27001:2005, avendo un ambito esteso alla protezione di tutto il patrimonio informativo significativo per di tutto il patrimonio informativo significativo per l’organizzazione, può supportare le aziende nella razionalizzazione delle procedure di compliance e controllo esistenti, incrementando l’efficacia e l’efficienza delle stesse, attraverso la creazione di un modello integrato che preveda una piattaforma trasversale.

Ciò consente di evitare la replicazione di attività tipiche dei modelli di organizzazione, compliance e controllo (es. audit, formazione, gestione e trattamento del rischio, ecc.),

29

formazione, gestione e trattamento del rischio, ecc.), mantenendole all’interno di un quadro di processo chiaro e

In altre Nazioni Europee i sistemi ISO/IEC 27001 sono stati raccomandati come mezzi per essere conformi alle normative sulla gestione e protezione dei dati.

ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE(3/3)


I controlli e i processi definiti dalla Norma consentono di instaurare un frameworkrischi relativi alla sicurezza delle informazioni, compresi quelli inerenti alla commissione di illeciti e all’infrazione della inerenti alla commissione di illeciti e all’infrazione della legislazione applicabile attraverso il ricorso ad un processo di miglioramento continuo per l’intera rete informativa aziendale, a tutti i livelli.

Audit indipendenti

I sistemi di gestione, strutturati secondo norme tecniche internazionali previste espressamente per la certificazione da parte di un Ente terzo indipendente, sono un potente parte di un Ente terzo indipendente, sono un potente strumento per tenere sotto controllo e governare i rischi legati alle attività di un’organizzazione, compresi i rischi di compliance.

Ciò consente di ottenere una visione obiettiva in grado conferire una maggior fiducia nelle misure di sicurezza aziendale secondo la miglior esperienza di settore.

D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE(3/3)


I controlli e i processi definiti dalla Norma consentono di framework orientato alla minimizzazione dei

rischi relativi alla sicurezza delle informazioni, compresi quelli inerenti alla commissione di illeciti e all’infrazione della inerenti alla commissione di illeciti e all’infrazione della legislazione applicabile attraverso il ricorso ad un processo di miglioramento continuo per l’intera rete informativa aziendale,

I sistemi di gestione, strutturati secondo norme tecniche internazionali previste espressamente per la certificazione da parte di un Ente terzo indipendente, sono un potente

30

parte di un Ente terzo indipendente, sono un potente strumento per tenere sotto controllo e governare i rischi legati alle attività di un’organizzazione, compresi i rischi di

Ciò consente di ottenere una visione obiettiva in grado conferire una maggior fiducia nelle misure di sicurezza aziendale secondo la miglior esperienza di settore.

IL PERCORSO PER L’IMPLEMENTAZIONE DI UN SGSI (1/2)

La realizzazione di un SGSI consente di instaurare un processo continuo di controllo e miglioramento nella sicurezza delle informazioni e nella compliance alle normative ad esse legate (D.Lgs. 196/2003, D.Lgs. 231/2001, D.Lgs. 262:2005, Protezione del diritto d’autore e di altri diritti connessi al suo Protezione del diritto d’autore e di altri diritti connessi al suo esercizio: Legge 633/41 e Decreto Legislativo n. 518 del 29/12/1992, ecc.).


La realizzazione di un SGSI consente di instaurare un processo continuo di controllo e miglioramento nella sicurezza delle informazioni e nella compliance alle normative ad esse legate (D.Lgs. 196/2003, D.Lgs. 231/2001, D.Lgs. 262:2005, Protezione del diritto d’autore e di altri diritti connessi al suo Protezione del diritto d’autore e di altri diritti connessi al suo esercizio: Legge 633/41 e Decreto Legislativo n. 518 del

31

L’implementazione di un SGSI conforme alla Norma ISO/IEC 27001:2005 ha una durata dipendente dal contesto aziendale e dalla maturità del modello interno di security e compliance in termini di policy, procedure, attività di controllo e di gestione del rischio.


L’implementazione di un SGSI conforme alla Norma ISO/IEC 27001:2005 ha una durata dipendente dal contesto aziendale e dalla maturità del modello interno di security e compliance in termini di policy, procedure, attività di controllo e di gestione del


32

Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Tutela della Privacy (D.L gs. 196/03)

14 Aprile 2011

Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Tutela della Privacy (D.L gs. 196/03)

Aprile 2011

1. Il D.Lgs.196/2003

2. D.Lgs. 196/2003 - ISO/IEC 27001

3. D.Lgs. 196/2003: vantaggi dell’adozione

SISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACYSISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACY

3. D.Lgs. 196/2003: vantaggi dell’adozione

4. Il percorso per l’implementazione

ISO/IEC 27001 - D.Lgs. 231/2001:aspetti comuni

196/2003: vantaggi dell’adozione

SISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACYSISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACY

196/2003: vantaggi dell’adozione

4. Il percorso per l’implementazione

34

IL D.LGS, 196/2003IL D.LGS, 196/2003

Il D.Lgs 196/2003 riconosce il diritto dell’individuo alla tutela

dei propri dati personali, e conseguentemente disciplina le

diverse operazioni di gestione (tecnicamente diverse operazioni di gestione (tecnicamente

dei dati, riguardante la raccolta, l'elaborazione, il raffronto,

la cancellazione, la modificazione, la comunicazione o la

diffusione degli stessi garantendo quindi ’’che il trattamento

dei dati personali si svolga nel rispetto dei diritti e delle

libertà fondamentali, nonché della dignità dell'interessato,

con particolare riferimento alla riservatezza, all'identità

personale e al diritto alla protezione dei dati personali’’.

, 196/2003, 196/2003

Il D.Lgs 196/2003 riconosce il diritto dell’individuo alla tutela

dei propri dati personali, e conseguentemente disciplina le

diverse operazioni di gestione (tecnicamente ’’trattamento’’) diverse operazioni di gestione (tecnicamente ’’trattamento’’)

dei dati, riguardante la raccolta, l'elaborazione, il raffronto,

la cancellazione, la modificazione, la comunicazione o la

diffusione degli stessi garantendo quindi ’’che il trattamento

dei dati personali si svolga nel rispetto dei diritti e delle

libertà fondamentali, nonché della dignità dell'interessato,

35

con particolare riferimento alla riservatezza, all'identità

personale e al diritto alla protezione dei dati personali’’.

IL D.LGS.

NORMATIVA PRIVACY

Il contesto normativo europeo esercita un crescente impatto sui rapporti economici e sociali massivi (società complessa = società dell’informazione)

L’intento dei legislatori:

� Armonizzazione

� Equilibrio

� Particolare attenzione a situazioni soggettive di svantaggio

(società complessa = società dell’informazione)

Peculiarità

della normativa

sulla privacy

D.LGS. 196/2003

NORMATIVA PRIVACY – INQUADRAMENTO E TENDENZE

Il contesto normativo europeo esercita un crescente impatto sui rapporti economici e sociali massivi (società complessa = società dell’informazione)

L’intento dei legislatori:

Armonizzazione

Particolare attenzione a situazioni soggettive di svantaggio

“the right to be alone”

(società complessa = società dell’informazione)

“the right to be alone”

“the right to privacy”

Disciplina organica

e norme aperte

Integrazione tra fonti

normative

IL D.LGS. 196/2003

PRINCIPALI FILONI DI DISCIPLINA DEL T.U.

Tutelare gli interessati (consumatori,

utenti, cittadini, contraenti, pazienti, ecc.)

trasparenzasia nel

settore

pubblico

che

privato

presso il Garante,

IL D.LGS. 196/2003

PRINCIPALI FILONI DI DISCIPLINA DEL T.U.

Tutelare gli interessati (consumatori,

utenti, cittadini, contraenti, pazienti, ecc.)

trasparenza sicurezza dei

dati

misure di

natura fisica,

logica,

organizzativa,

procedurale,

etc

strumenti di

tutela

etc

presso il Garante,

oltre che

giurisdizionali

IL D.LGS. 196/2003

Riservatezza dei dati “the right to be alone”

Integrità dei dati

IL D.LGS. 196/2003

Riservatezza dei dati “the right to be alone”

Integrità dei dati

Correttezza dei dati

“diritto di controllo e trasparenza”


38

Aggiornamento dei dati


D.Lgs. 196/2003 - ISO/IEC 27001

1.COMPLIANCE FORMALE (ADEMPIMENTI BASILARI)

Tutela dei dati personali


2.COMPLIANCE SOSTANZIALE (VANTAGGI STRATEGICI)

Redazione ed

Aggiornamento

del DPS

Definizione

processi

Organigramma

privacy

ISO/IEC 27001 – D.Lgs. 231/2001: aspetti comuni


Tutela dei dati personali


2.COMPLIANCE SOSTANZIALE (VANTAGGI STRATEGICI)

Adempimento di

prescrizioni

specifiche

Adempimento

delle misure

minime

Organigramma

privacy

Privacy policy

integrata: oltre le

misure minime

Aggiornamento

continuo e sviluppo

di cultura in

materia di privacy

D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE

LIVELLO DI RISCHIO 1

Si effettuano solo alcuni trattamenti di dati

personali comuni, nell’ambito di un numero

ridotto e stabile di processi aziendali.ridotto e stabile di processi aziendali.

LIVELLO

Si effettuano trattamenti di dati personali anche

sensibili e/o giudiziari, ma nell’ambito di un

numero ridotto e stabile di processi aziendali.

LIVELLO DI RISCHIO 3

Si effettuano trattamenti di dati personali

anche sensibili e/o giudiziari nell’ambito

di complessi e/o numerosi processi aziendali.


LIVELLO DI RISCHIO 1 – STANDARD

Si effettuano solo alcuni trattamenti di dati

personali comuni, nell’ambito di un numero

ridotto e stabile di processi aziendali.ridotto e stabile di processi aziendali.

LIVELLO DI RISCHIO 2 - ELEVATO

Si effettuano trattamenti di dati personali anche

sensibili e/o giudiziari, ma nell’ambito di un

numero ridotto e stabile di processi aziendali.

LIVELLO DI RISCHIO 3 - CRITICO

Si effettuano trattamenti di dati personali

anche sensibili e/o giudiziari nell’ambito

di complessi e/o numerosi processi aziendali.

DA OBBLIGO NORMATIVO A OPPORTUNITA’

La compliance sostanziale permette:


• L’effettivo adempimento dei requisiti di cui al sistema normativo

• Lo sviluppo di Best Practice

• Un miglioramento dell’immagine aziendale percepita da utenti/clienti, fornitori, lavoratori, terzi ecc.

• Una riduzione dei rischi di sanzioni e di possibili richieste di danni

• Business continuity

• Un’accresciuta capacità di allineamento all’evoluzione in materia di protezione dei dati personali e di sicurezza dei dati

DA OBBLIGO NORMATIVO A OPPORTUNITA’

DA ONERE A INVESTIMENTO

La compliance sostanziale permette:


L’effettivo adempimento dei requisiti di cui al sistema

Lo sviluppo di Best Practice

Un miglioramento dell’immagine aziendale percepita da utenti/clienti, fornitori, lavoratori, terzi ecc.

Una riduzione dei rischi di sanzioni e di possibili richieste di

Un’accresciuta capacità di allineamento all’evoluzione in materia di protezione dei dati personali e di sicurezza dei dati

art. 15 TU “

Alcuni esempi di norme che rendono necessaria una compliance

sostanziale integrata (D.Lgs. 231/2001, ISO 27001):


•art. 15 TU “

altri per effetto del trattamento dei dati

personali è tenuto al risarcimento ai sensi

dell’art. 2050 del codice civile

•art. 161 TU “

disposizioni di cui all‘art. 13 (disposizioni di cui all‘art. 13 (

informativa) è punita con la sanzione

amministrativa del pagamento di una

somma da Euro 6.000 a 36.000

art. 15 TU “Chiunque cagiona danno ad

Alcuni esempi di norme che rendono necessaria una compliance

sostanziale integrata (D.Lgs. 231/2001, ISO 27001):


art. 15 TU “Chiunque cagiona danno ad

altri per effetto del trattamento dei dati

personali è tenuto al risarcimento ai sensi

art. 2050 del codice civile”

art. 161 TU “La violazione delle

disposizioni di cui all‘art. 13 (i.e. disposizioni di cui all‘art. 13 (i.e.

) è punita con la sanzione

amministrativa del pagamento di una

Euro 6.000 a 36.000”

IL PERCORSO PER L’IMPLEMENTAZIONE

Preliminari Progettuale

Dominio del sistema

normativo di tutela

Analisi processi,

rischi, minacce e

dei dati personali

Individuazione delle

norme da applicare

alle fattispecie

concrete

Assessment iniziale;

analisi e classificaz.

criticità

Definizione

privacy policy e

controlli

delle attività

aziendali e dei

relativi processi

Piano di progetto

Costituzione gruppi

di lavoro


Progettuale Applicativa Controllo

Analisi processi,

rischi, minacce e

Sviluppo

organizzativo

Audit

6/9/12 mesi

criticità

Definizione

privacy policy e

controlli

Implementazione

misure

organizzative,

logiche, fisiche e

procedurali

Definizione azioni

correttive

Controlli

periodici dei

livelli di

adeguamento

Aggiornamento

rispetto alla

normativa

Formazione

COMMITMENT ALTA

DIREZIONE

• Capitale

umano

• Know how


COINVOLGIMENTO

STRUTTURE AZIENDALI

DI COORDINAMENTO E

SUPPORTO

• Capitale

umano

• Know how

COINVOLGIMENTO

STRUTTURE

AZIENDALI

OPERATIVE

(*) Business Process Reengineering (**) Information & Communication Technology

• Coordinamento del

progetto

• Indirizzo del lavoro

• Impulso organizzativo

COMMITMENT ALTA

DIREZIONE


•Competenze

• Impulso organizzativo

TEAM DI LAVORO

BUSINESS VALUE

•Competenze

multidisciplinari:

• business strategy

• BPR*

• legale

• ICT**

COINVOLGIMENTO

STRUTTURE

AZIENDALI

OPERATIVE

(*) Business Process Reengineering (**) Information & Communication Technology

I RISULTATI DELL’USO DI UNA METODOLOGIA INTEGRATA

R

Naturalmente la compliance privacy

ma soprattutto…

RISULTAT

individuazione

miglioramento

del

coordinamento TI

individuazione

di opportunità

strategiche

extra-privacy

intragruppo


Naturalmente la compliance privacy

miglioramento

coordinamento

impatto

positivo sulla

motivazione

delle risorse

umane

corretta

interpretazione

dei processi

operativi

intragruppo

R

Ma anche…


RISULTAT

maggiore

efficienza ed

riduzione dei

rischi sulla

continuità del

business

TI

efficienza ed

efficacia

nell’utilizzo dei

sistemi e delle

reti


riduzione dei

rischi sulla

continuità del

business

garanzia

dell’adeguamento

specifico alle altre

normative di

compliance

Un approccio integrato e innovativo alla “compliance ... · aziende al tema della conformità dei...

Documents

Transcript of Un approccio integrato e innovativo alla “compliance ... · aziende al tema della conformità dei...