fiat group - aieala legge 18 marzo 2008, n. 48, di ratifica alla convenzione del consiglio...
TRANSCRIPT
Pisa, maggio 2009
Fiat Group Fiat Group PREVENZIONE DEI REATI INFORMATICI:
TUTELE E ONERI PER L’AZIENDA
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA2
Agenda
Responsabilità Amministrativa ex D.lgs.231/01Crimini informaticiIl Modello di Organizzazione Gestione e Controllo Considerazioni
Fiat Group OverviewIT GovernancePresidio dei Processi/Attività Sensibili Individuazione dei Processi/Attività Sensibili
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA3
RESPONSABILITA’ AMMINISTRATIVA ex D.Lgs 231/01
sanzioni pecuniarie
interdizione dall’esercizio dell’attività
sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito
divieto di contrattare con la P.A., salvo che per ottenere prestazioni di un pubblico servizio
esclusione di agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi
divieto di pubblicizzare beni o servizi
Reato compiuto da un soggetto in posizione apicale dell’azienda
Interesse o vantaggio per la società
Mancanza di un adeguato sistema di controllo preventivo
SANZIONI PER LA SOCIETA’
PRINCIPALI SANZIONI DIFFERENZIATE PER TIPO DI REATO
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA4
CRIMINI INFORMATICI: Legge 48/08
Adeguamento della normativa del codice penale e del codice di rito in tema di reati informatici (dopo quasi quindici anni di applicazione della legge 547/1993, che rappresentò il primo intervento organico in materia).
Integrazione, dal punto di vista procedurale, delle modalità di accesso da parte delle forze dell’ordine ai dati di traffico conservati dagli operatori di comunicazione elettronica ai sensi dell’art. 132 del Codice della privacy (D.Lgs.196/03).
Introduzione nel D.lgs. 231/01 del nuovo art. 24 bis, che estende la responsabilitàamministrativa delle persone giuridiche anche ai c.d. reati di Criminalità Informatica.
La Legge 18 marzo 2008, n. 48, di ratifica alla Convenzione del Consiglio d’Europa sulla Criminalità informatica (cd. Convenzione di Budapest), ha determinato le seguenti modifiche:
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA5
Art. 615Art. 615-- terter: Accesso abusivo ad un sistema informatico o telematico
Art. 615Art. 615-- quaterquater: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici
Art. 615Art. 615-- quinquiesquinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informativo o telematico
Art. 617Art. 617-- quaterquater:Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
Art. 617- quinquies: Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche
Art. 635Art. 635-- bisbis:Danneggiamento di informazioni, dati e programmi informatici
Art. 635Art. 635-- terter:Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità
Art. 635Art. 635-- quaterquater:Danneggiamento di sistemi informatici o telematici
Art. 635Art. 635-- quinquiesquinquies:Danneggiamento di sistemi informatici o telematici di pubblica utilità
Art. 640Art. 640-- quinquiesquinquies:Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
Art. 491Art. 491-- bisbis:Falsità di documenti informatici
CRIMINI INFORMATICI: L’art. 24 bis D.lgs. 231/01
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA6
Art. Art. 640640--terter: : Frode informatica in danno dello Stato o di altro Ente Pubblico
Art. Art. 600600--ter e ter e quaterquater: Divulgazione, cessione e detenzione di materiale pedopornografico
Prima dell’entrata in vigore della Legge 48/08, già l’ art. 25 D.lgs. 231/01 aveva previsto l’estensione della responsabilità amministrativa delle persone giuridiche alle seguenti fattispecie di reato, cheprevedono l’utilizzo di sistemi informatici:
CRIMINI INFORMATICI: L’art. 25 D.lgs. 231/01
Art. Art. 270270--terter: : Fornitura di strumenti di comunicazione in assistenza a gruppi terroristici
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA7
CRIMINI INFORMATICI: modalità di compimento
Con riferimento alle modalità di compimento, i reati possono essere suddivisi nelle seguenti categorie:
• DANNEGGIAMENTO, ACCESSO ABUSIVO, DIFFUSIONE DI VIRUS, MATERIALI E INFORMAZIONI ILLEGALI, ATTRAVERSO:
accesso verso l’esterno per mezzo di infrastrutture aziendali
• FALSITA’ IN “DOCUMENTI INFORMATICI”, APPLICABILE
in caso di utilizzo di “firma digitale” o “firma elettronica avanzata”
• “FRODE INFORMATICA DEL CERTIFICATORE DI FIRMA ELETTRONICA”, APPLICABILE
solo in caso che l’azienda sia un “certificatore”
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA8
La responsabilità ex. art. 24-bis D.lgs. 231/01 può essere imputata all’azienda anche nelle ipotesi in cui non sia rintracciato l’autore materiale del reato.
Modello di organizzazione e di gestione
Indagini IBM hanno rilevato che il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale provengano dall'interno delle rispettive organizzazioni.
LE SOCIETA’ DEVONO ADOTTARE UN SISTEMA DI CONTROLLO PER:
Evitare la commissione di reati informatici per mezzo di infrastrutture proprie
Escludere la responsabilitàdell’azienda qualora le misure adottate non abbiano evitato la commissione del reato.
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA9
Modello di organizzazione e di gestione
POLICY E PROCEDUREATTRIBUZIONE RESPONSABILITÀFORMAZIONEPROTEZIONEMONITORAGGIO
RAGIONEVOLE BILANCIAMENTO TRA: - CONTROLLO, OPERATIVITA’- LIMITI DI LEGGE
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA10
La prevenzione dei reati informatici deve svolgersi nel rispettodi:
Modello di organizzazione e di gestione
Statuto dei Lavoratori L. 300/1970
Codice Privacy D.Lgs. 196/03
Provv. Gen. del Garante Privacy (Linee Guida per l’utilizzo della posta elettronica e di internet).
Es: La normativa sulla Privacy, in materia di controllo a distanza, dispone che per quanto attiene il controllo dei dati resta ferma l’applicazione della L. 300/70, che stabilisce il divieto di uso di impianti audiovisivi o altre apparecchiature per il controllo a distanza dei lavoratori, salvo accordo con i Sindacati.
Pertanto l’azienda, nell’adottare il Modello di Organizzazione Gestione e Controllo, potràprevedere l’effettuazione dei controlli sull’attività dei dipendenti svolte mediante l’uso di strumenti informatici solo previo accordo con le Organizzazioni Sindacali.
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA11
Complessità del Business:
Product portfolio
Complessità Organizzativa
Employee: 198.348 Dati World Wide al 31/12/2008
Complessità geografica
Plant: N. 203
Legal Entity: N. 633Dati World Wide al 31/12/2008
Complessità finanziaria
Net Income: €/ml 59.380
Operative Result: €/ml 2.972
Net Result: €/ml 1.721Dati World Wide al 31/12/2008
Complessità della Proprietà
Shareholder: N.>300.000 (fra cui Istituti bancari, assicurativi, etc.)Dati World Wide al 31/12/2008
Complessità strategica
Worldwide Joint-Venture
International agreement
Fiat Group Overview
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA12
COMITATI INTERSETTORIALI ( ISSO COMMITTEE, SECURITY MANAGER COMMITTEE
e COMPLIANCE OFFICER COMMITTEE)
• Definire le Politiche delle Informazioni• Coordinare tutte le funzioni• Promuovere protezione dei sistemi• Monitorare adeguatezza risorse• Proporre Audit di verifica e miglioramento
• Coordinare i Settori• Diffondere le iniziative del Security
Council presso i Settori• Garantire area Compliance• Gestire specifiche di sicurezza
nei contratti con i fornitori
SECURITY COUNCIL
Fiat Group: IT GOVERNANCE
LIVELLO CENTRALE
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA13
• Implementare le politiche e le Linee Guida definite a livello di Gruppo
• Curare i relativi Action Plan
• Valutare rischi informativi e costi/benefici delle misure da adottare all’interno dei settori
ISSO di SETTOREISSO di SETTORE
Fiat Group: IT GOVERNANCE
LIVELLO DI SETTORE
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA14
Analisi dei rischi
Pianificazione interventi Monitoraggio
Processi / Attività sensibili
Ricognizione di tutti i processi “IT” collegabili al rischio di reati informatici con interesse/vantaggio
Valutazione dei rischi in termini quantitativi e qualitativi in base all’esistenza di procedure e sistemi di controllo
Individuazione dei Gap
Definizione di criteri organizzativi
Implementazione software o hardware
Predisposizione delle procedure mancanti per la gestione dell'IT
Attuazione e divulgazione procedure
Identificazione e definizione dei controlli
Flussi informativi e reporting di eventuali violazioni
Aggiornamento periodico del sistema
Fiat Group: Presidio dei Processi/Attività Sensibili
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA15
Sono state esaminate le attività di controllo periodico
della sicurezza dei sistemi IT svolte sia con l'effettuazione di Vulnerability Assessment periodici, sia con la disponibilità di strumenti di IPS operativi sulla rete.
Fiat Group: Individuazione Processi/Attività Sensibili
E’ stato previsto un “inventario” di tutte le attività e i processi supportati dal sistema informatico e telematico per l’elaborazione e la trasmissione di dati contabili, fiscali e gestionali o di altra natura.
Sono stati selezionati quelli che potrebbero costituire un potenziale terreno fertile per la commissione dei reati presupposto.
Si è individuato il GAP esistente
IL CONTESTO DI RIFERIMENTO DEL GRUPPO FIAT:Possiede un’idonea protezioni dagli attacchi esterni (antivirus, firewall, etc)Non certifica chiavi elettroniche (firma digitale)
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA16
Sicurezza FisicaSicurezza Fisica
Sicurezza LogicaSicurezza Logica
Sicurezza di ReteSicurezza di Rete
ORGANIZZAZIONE-Policy/procedure-Separazione dei compiti-Contratti con fornitori (outsourcer)
GESTIONE SISTEMI-Installazione/mantenimento apparati-Monitoraggio accessi alla rete-Anti-spamming, virus e spyware-Black-list, white-list
UTILIZZO SISTEMI -Accessi verso l’esterno-Sistemi con chiave elettronica
Fiat Group: Individuazione Processi/Attività Sensibili
PROCESSI - ATTIVITA’ SENSIBILI
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA17
Individuazione dei rischi
Accesso abusivo ad un sistema informatico
Intercettazione, impedimento o interruzione illecita di comunicazioni o servizi
informatici
Uso di strumenti aziendali per compiere reati (furto, frode,
danneggiamento, terrorismo, pedopornografia)
Compiuto dall’esterno
Compiuto da interno
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA18
Copertura dei rischi
Protezione da accessi esterni alla reteo Firewall o IPS/IDSo Corretto disegno e configurazione del Networko Corretta implementazione delle reti Wireless
Protezione da accessi esterni alle macchine da parte di softwaremalevolo
o Antivirus/spamming/spywareo Blocco di installazioni SW
Protezione da accessi esterni alle macchine da parte di hackero Protezione delle macchine mediante autenticazione, con
complessità adeguatao Diritti delle utenze limitati alle reali necessità (es. utenti non
amministratori della PdL)Protezione fisica degli apparati e delle macchine
Protezione delle share/ftp
Compiuto dall’esterno
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA19
Copertura dei rischi
Blocco degli accessi esterni alla rete pericolosio Proxy (Black-list, white-list)o IPS/IDS
Blocco degli attacchi dalle macchineo Blocco di installazioni SWo Monitoraggio della reteo Policy (es. AD)
User awarenesso Richiamo periodico delle policy
Protezione delle macchineo Diritti delle utenze limitati alle reali necessità
(es. utenti non amministratori della PdL)o Blocco della macchina/applicativo dopo un
periodo di inutilizzo (timout)
Compiuto da interno
All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA20
Centralizzazione del controllo
Il Gruppo Fiat ha centralizzato numerose attività di sicurezza, rendendo in questo modo possibile una gestione e un controllo più forti.
Le attività gestite centralmente sono attualmente:
Connessioni ad internet
Controllo degli accessi ad internet (Firewall, IPS, Proxy)
Antivirus/spamming/spyware
Posta elettronica (in fase di migrazione)