Upload
cristiana-cappelli
View
212
Download
0
Embed Size (px)
Citation preview
© Silvano Bari - 2006
LA SICUREZZA DELLE INFORMAZIONICOME STRUMENTO AZIENDALEDI CORPORATE GOVERNANCE
Silvano BariResponsabile Sicurezza Informatica
ALITALIA
Università di Roma “La Sapienza” - 4 dicembre 2006
© Silvano Bari - 2006
Temi di Corporate Governance Aziendale
Struttura proprietariaefficienza dei sistemi di controllo
efficienza del Consiglio di Amministrazionecorretta composizione del Consiglio di Amministrazione
protezione degli azionisti di minoranza
ma, soprattutto
il trattamento delle informazioni(in particolar modo quelle riservate)
e la loro protezione
© Silvano Bari - 2006
Testo Unico della Finanza
D.Lgs. 24 febbraio 1998, n.58TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA
(attuato dalla CONSOB con il regolamento n. 11522 del 1998)
successive modifiche/integrazioni
Legge Delega 3 ottobre 2001, n.366RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA
D. Lgs. 11 aprile 2002, n.61DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI
RIGUARDANTI LE SOCIETA’ COMMERCIALI
Legge 18 aprile 2005, n.62DISPOSIZIONI PER L’ADEMPIMENTO DI OBBLIGHI DERIVANTI
DALL’APPARTENENZA DELL’ITALIA ALLE COMUNITA’ EUROPEE
Legge 28 dicembre 2005, n.262DISPOSIZIONI PER LA TUTELA DEL RISPARMIO
E LA DISCIPLINA DEI MERCATI FINANZIARI
Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006
© Silvano Bari - 2006
Testo Unico della Finanza
REGOLE PER GARANTIREUNA MIGLIORE GOVERNANCE
DELLE SOCIETA’ QUOTATE
E PER LA TUTELA DI TUTTI I SOGGETTIINTERESSATI ALLA VITA DELL’IMPRESA
CONTROLLO DELL’IMPRESASTRUTTURA PROPRIETARIA
EFFICIENZA GESTIONALE
ma soprattutto…...
© Silvano Bari - 2006
Testo Unico della Finanza
MAGGIORE TRASPARENZA E CONTROLLODELL’INFORMATIVA SOCIETARIA
obblighi di pubblicità degli assetti societari
obblighi di informativa al pubblico
obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio sindacale e amministratori) e la società di revisione
gestione delle “informazioni privilegiate” (registro degli accessi)
attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti
adempimenti per la prevenzione degli abusi di mercato
dichiarazioni di rispondenza al vero
© Silvano Bari - 2006
Testo Unico della Finanza
Sanzioni civili e penali
false informazioni nelle comunicazioni previste
utilizzazione e divulgazione di notizie riservate
abuso di “informazioni privilegiate”
© Silvano Bari - 2006
Codice Preda
Codice di autodisciplina per le società quotate(elaborato nel 1999 nell’ambito di Borsa Italiana S.p.A.
e riaggiornato nel marzo 2006)
trattamento delle informazioni societarie
adozione di una procedura (approvata dal Consiglio di Amministrazione)
per la gestione interna e la comunicazione all’esternodi documenti ed informazioni
(con particolare riferimento alle informazioni privilegiate)
© Silvano Bari - 2006
Circolare ISVAP n. 577/D del 30 dicembre 2005
Istituto per la Vigilanza sulle Assicurazioni Private e di Interesse Collettivo
indica modi e mezzi (anche informatici) per la conformità delle imprese assicuratrici,in tema di rischio e controllo del rischio
qualità dei dati, dei flussi informativi, dei canali di comunicazionealta tecnologia del sistema informatico
protezione dal deterioramento e dalla perdita dei dati
© Silvano Bari - 2006
D. Lgs. 231/2001
Responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti,e/o dipendentinell’interesse o a vantaggio dell’ente stesso
Market abuse:abuso di informazioni privilegiate per acquisto o vendita
di strumenti finanziaricomunicazioni di informazioni privilegiate
in caso di illecito commesso da soggetti apicalipresunzione di colpevolezza della società
(inversione dell’onere della prova)
© Silvano Bari - 2006
Privacy e protezione dei dati personali
Direttiva comunitaria n.467/1995
Legge n. 675/1996Istituzione del Garante Privacy
DPR 318/1999
D. Lgs. 196/2003(Codice sulla protezione dei dati personali)
© Silvano Bari - 2006
D. Lgs. 30 giugno 2003, n.196
Misure minime di sicurezza
Misure idonee di sicurezza
Codice sulla protezione dei dati personali
© Silvano Bari - 2006
D. Lgs. 30 giugno 2003, n.196
Misure minime di sicurezza
elencate nell’allegato B - Disciplinare tecnico
Sistema di autenticazione informatica
Sistema di autorizzazione
Altre misure di sicurezza
Documento programmatico sulla sicurezza
Ulteriori misure in caso di trattamento di dati sensibili
reato di omessa adozione di misure di sicurezza
sanzioni penali
© Silvano Bari - 2006
D. Lgs. 30 giugno 2003, n.196
Misure idonee di sicurezza
non sono indicate dalla leggema devono essere scelte dall’azienda
sulla base:
del progresso tecnicodella natura dei dati
delle specifiche caratteristiche del trattamento
reato di omessa adozione di misure idonee
sanzioni civili
© Silvano Bari - 2006
D. Lgs. 30 giugno 2003, n.196
Il trattamento dei dati personali assimilato all’esercizio di attività pericolose
(riferimento all’art.2050 c.c.)
Inversione dell’onere della prova
© Silvano Bari - 2006
Normative Internazionali
Sarbanes-Oxley Act (SOX) del 2002Per le società quotate in borsa negli Stati Uniti e le aziende contabili:
standard per la divulgazione di informazioni finanziarie e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario
Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II)Pubblicato dalla Banca dei Regolamenti Internazionali: nuovi standard per la
misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale
Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act)Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti
finanziari: riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla
Health Insurance Portability and Accountability Act (HIPAA)E’ volta a garantire l’interscambio delle informazioni sanitarie e indica i
requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti
1/2
© Silvano Bari - 2006
Normative Internazionali
Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11)Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della
persona, alimentari: rigorose procedure tecniche per l’utilizzo e l’archiviazione dei record in formato elettronico
Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4tipi di comunicazioni che devono essere conservate da membri, agenti
e intermediari di borsa e in quali luoghi
National Association of Securities Dealers (NASD) norme 3010 e 3110per le società soggette alle norme 17a-3 e 17a-4 della SEC
procedure per la ricerca e la revisione delle comunicazioni in formato elettronico. strategie di conservazione della documentazione e dei dati delle transazioni
Federal Information Security Management Act (FISMA)è rivolto alle agenzie federali
programmi per la sicurezza dei propri sistemi e risorse informative.
2/2
© Silvano Bari - 2006
Prime conclusioni
importanza della circolazione dell’informazione tra gli organi aziendali
attendibilità dei dati
riservatezza delle informazioni “privilegiate”
sicurezza delle informazioni critiche per il business
protezione dei dati delle terze parti (shareholders)
© Silvano Bari - 2006
Prime conclusioni
Protezione delle informazionicome
strumento aziendale di Corporate Governance
garanzia di
disponibilità
integritàriservatezza
© Silvano Bari - 2006
Come prevenire le responsabilità in azienda
Necessità di:
adottare ed attivare un modello efficacedi organizzazione, gestione e controllo
della protezione del patrimonio informativo
istituire una funzione di vigilanzasull’efficacia del modello
© Silvano Bari - 2006
Classificazionee misure di
protezione dati
ISMSINFORMATION SECURITY MANAGEMENT SYSTEM(secondo uno standard consolidato e riconosciuto)
PoliticheLinee GuidaProcedure
MisureTecnologiche
FormazioneMisure
Applicative
Sicurezza Fisica
Classificazionee misure di
protezione dati
Compliance conleggi e normative Monitoring
e controllo
AuditingMisure
organizzative
Risk assessmente gap analysis
Un modello di protezione delle informazioni
© Silvano Bari - 2006
PoliticheOrganizzazione (ruoli/responsabilità)
Controllo assetsPersonale
Sicurezza fisica/ambientaleSicurezza delle comunicazioni/operazioni
Controllo accessiSicurezza dello sviluppo/manutenzione
Gestione degli incidentiBusiness continuity
Conformità (leggi, direttive, ecc.)
Lo standard BS7799
Standard internazionale del British Standard Institutericonosciuto anche dalla ISO
Norma ISO17799Schema di best practices
Norma ISO27001Quadro di riferimento per un ISMS
© Silvano Bari - 2006
Lo sviluppo di un ISMS non garantiscedi per sè la sicurezza…
ma garantisce processi stabili, ripetibili e controllati
per cui la probabilità di un evento negativosi riduce
UTILITA’ A LIVELLO PROBATORIO
Validità del modello
© Silvano Bari - 2006
Perché la certificazione?
© Silvano Bari - 2006
Perché la certificazione di un ISMS
Essere sicuri di condividere i benefici delle migliori pratichedi sicurezza a livello internazionale
Ottenere la verifica, da parte di un organismo terzo,di un corretto svolgimento delle attività di sicurezza
Ottenere un attestato per rafforzare l’immagineaziendale e indurre maggior fiducia nei clienti
Ridurre il premio di assicurazione della Information Technology
Dimostrare, in caso di danni a terzi (responsabilità civile/penale) di aver fatto tutto il possibile per evitare i danni
Ottenere una ulteriore e specificacertificazione di qualità e sicurezza del sito Internet
© Silvano Bari - 2006
La certificazione dei siti internet
Vantaggi:
Miglioramento dell’immagine aziendale
Creazione di fiducia nel cliente(trasparenza, eticità nel trattamento dei dati,
completezza delle informazioni, sicurezza dei dati e dei pagamenti)
LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI PER LA CERTIFICAZIONE DEL SITO INTERNET
© Silvano Bari - 2006
La certificazione di accessibilità
Legge 9 gennaio 2004, n.4 (Legge Stanca)Disposizioni per favorire l’accesso dei soggetti disabili
agli strumenti informatici
si applica a:
pubbliche amministrazioni,
enti pubblici economici,
aziende private concessionarie di servizi pubblici,
aziende municipalizzate regionali,
enti di assistenza e di riabilitazione pubblici,
aziende di trasporto e di telecomunicazione a prevalente partecipazione di capitale pubblico,
aziende appaltatrici di servizi informatici
© Silvano Bari - 2006
La certificazione di accessibilità
I siti web delle pubbliche amministrazioni dovranno essere accessibili secondo
le linee guida definite nel regolamento tecnico
Obbligo della Pubblica Amministrazione (sono previste sanzioni e nullità dei contratti)
Incentivazione nei confronti dei privati(bollino da apporre sul sito)
Definizione di uno standard BSIBS PAS 78
© Silvano Bari - 2006
Dott. Silvano BariResponsabile Sicurezza Informatica
ALITALIA