information risk management d.lgs. 231 e reati … · d.lgs. 231 e reati informatici, strumenti e...
TRANSCRIPT
D.Lgs. 231 e reati informatici, strumenti
e modelli di controllo integratiConvegno AIEA
Roma, 3 marzo 2010
INFORMATION RISK MANAGEMENT
ADVISORY
1
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
2
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
L’evoluzione della normativa societaria
In generale, la produzione normativa degli ultimi anni, e quindi anche il D.Lgs. 231/01, ha
posto particolare enfasi sull’adeguatezza del sistema di controllo interno aziendale e
quindi sulla capacità da parte degli organi societari di definire adeguati sistemi di controllo che
garantiscano il rispetto delle politiche e procedure aziendali da un lato e dall‟altro il
raggiungimento degli obiettivi prefissati.
Introduzione
3
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Introduzione
La ‘ragnatela normativa’ si è complicata dal 2003 ad oggi.
Legge sul
risparmio
Sarbanes
Oxley Act
Codici di
Comportamento
Certificazione
Qualità
Basilea 2
e sistema
Bancario
Borsa e
Mercati
Finanziari
Organi di
Vigilanza Ambiente
Market
Abuse
Internal
Dealing
IAS
IFRS
Privacy
L. 626/94
D.Lgs. 231/01
Evoluzione
Norme
Tributarie
Riforma
Diritto
Societario
20032005
20012002
2005
2003
2002
2003
20041990-
2003
2006
2004
2006
Antiriciclaggio
2007
DAFC/CFO
4
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
5
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Il D.Lgs. 231/2001
La responsabilità amministrativa degli enti
A norma del D.Lgs. 8 giugno 2001, n. 231 (di seguito „Decreto‟), le società sono passibili di
responsabilità amministrativa per i reati commessi a loro vantaggio o nel loro interesse da:
persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell‟ente o
da chi esercita, anche di fatto, funzioni di direzione e controllo
persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto
precedente
La responsabilità in sede penale degli enti si aggiunge a quella delle persone fisiche
che li rappresentano e che materialmente hanno realizzato l’illecito.
6
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
La Responsabilità Amministrativa degli enti in sede penale, si aggiunge a quella della persona
fisica che ha materialmente realizzato il fatto illecito. E‟ da precisare che la responsabilità
sorge in occasione della realizzazione di determinati tipi di reati commessi da parte di
soggetti legati a vario titolo all‟ente e solo nelle ipotesi che la condotta illecita sia stata
realizzata nell’interesse o a vantaggio di esso.
Reato
Il reato rientra nella tipologia prevista
dalla 231
Il reato è nell‟interesse e/o
vantaggio dell‟ente
Responsabilità
Amministrativa
Responsabilità
Penale
Persona Fisica
Ente
Il D.Lgs. 231/2001
7
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
L’esimente della responsabilità
L„esimente dalla responsabilità dell‟ente, offerta dal Decreto, si realizza se lo stesso è in
grado di provare:
che ha preventivamente adottato ed efficacemente attuato modelli organizzativi e di
gestione idonei a individuare e prevenire reati della specie di quello verificatosi
che ha affidato ad un proprio organismo (Organismo di Vigilanza) - dotato di autonomi
poteri di iniziativa e di controllo - il compito di vigilare sul funzionamento e l‟osservanza dei
modelli e di curarne il loro aggiornamento
la violazione fraudolenta dei modelli da parte degli autori del reato
la diligenza dell’Organismo di Vigilanza e dei soggetti incaricati della gestione e del
controllo.
Il D.Lgs. 231/2001
8
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
1 Mappatura Processi „a rischio‟
2 Elenco rischi potenziali per
processo
3 Analisi del sistema di controllo
preventivo
4 Valutazione dei rischi residui
5 Adeguamento sistema di
controllo preventivo
Pro
ce
sso
di
Ris
k m
an
ag
em
en
tL‟ente deve:
aver preventivamente adottato ed
efficacemente attuato modelli
organizzativi e di gestione idonei ad
individuare e prevenire reati;
aver implementato un organismo con
il compito di vigilare sul
funzionamento e l‟osservanza dei
modelli e di curarne il loro
aggiornamento;
dimostrare la diligenza dell’organismo
di vigilanza e dei soggetti incaricati della
gestione e del controllo.
Codice Etico Sistema Org.vo
Procedure Manuali ed Informatiche
Comunicazione al personale
Poteri Autorizzativi di firma
Sistema di controllo
Il M.O.G.C. (Modello di Organizzazione Gestione e Controllo) quale esimente della responsabilità
dell’ente.
Un modello organizzativo è un complesso di regole, strumenti e condotte finalizzato a dotare l‟Ente:
di un efficace sistema organizzativo e di gestione
(ragionevolmente) idoneo a individuare e prevenire le condotte penalmente rilevanti poste in essere dall‟Ente stesso o
dai soggetti sottoposti alla sua direzione e/o vigilanza.
Il D.Lgs. 231/2001
Linee GuidaAdempimenti organizzativi
9
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Le misure sanzionatorie
Le misure sanzionatorie previste dal Decreto sono:
Sanzione pecuniaria, da €25.823 a €1.549.371
Sanzione interdittiva, della durata compresa tra 3 mesi e 2 anni:
interdizione dall‟esercizio dell‟attività
sospensione o revoca delle autorizzazioni, licenze o concessioni
divieto di contrattare con la PA
esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli concessi
divieto di pubblicizzare beni o servizi
Confisca del profitto ottenuto e pubblicazione della sentenza.
Il D.Lgs. 231/2001
10
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
(*) La legge 16 marzo 2006, n. 146 (pubblicata sulla Gazzetta Ufficiale n. 85 dell’11 aprile 2006) ratifica e dà esecuzione alla Convenzione ed ai Protocolli
delle Nazioni Unite contro il crimine organizzato transnazionale.
Il D.Lgs. 231/2001
Le fattispecie di reato rilevanti sono comprese nelle seguenti categorie:
delitti contro la pubblica amministrazione (artt. 24 e 25 del Decreto)
reati informatici (Art. 24-bis del Decreto)
delitti di criminalità organizzata (Art. 24-ter del Decreto)
falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del
Decreto)
delitti contro l‟industria e il commercio (art. 25-bis 1 del Decreto)
reati societari (art. 25-ter del Decreto)
delitti con finalità di terrorismo ed eversione dell‟ordine democratico (Art. 25-quater del Decreto)
delitti contro la personalità individuale (art. 25-quater 1 e art. 25-quinquies del Decreto)
abusi di mercato (Art. 25-sexies del Decreto)
salute e sicurezza sul lavoro (art. 25-septies del Decreto)
reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (Art. 25-opties del Decreto)
delitti in materia di violazione del diritto d‟autore (art. 25-novies del Decreto)
induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 25 novies del
Decreto)
reati transnazionali (Art. 10 - Legge 16 Marzo 2006 n.146)*.
11
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
12
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Per crimine informatico intendiamo ogni comportamento previsto e punito dal codice
penale o da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un
elemento determinante ai fini della qualificazione del fatto di reato
Si utilizza il termine ‘reato informatico’ per indicare qualsiasi condotta realizzata per
mezzo delle nuove tecnologie o comunque rivolta contro i beni informatici, sanzionata
dall‟ordinamento penale. Può essere considerato reato informatico tanto la frode
commessa attraverso il computer che il danneggiamento del sistema informatico
Una definizione „dottrinaria‟ di crimine informatico è:
crimine nel quale un sistema di elaborazione o una sua parte ricopre uno dei seguenti ruoli:
oggetto (ciò include la distruzione o la manipolazione dell‟elaboratore, dei dati e dei
programmi in esso contenuti e delle relative apparecchiature di supporto)
soggetto (quando l‟elaboratore è il luogo, il motivo o la fonte del crimine)
strumento (quando ciò che avviene in relazione all‟elaborazione non è di per sé
illegale, ma serve a commettere crimini di altro tipo, es. sabotaggio). In pratica un
sistema di elaborazione, o ciò che viene prodotto dall‟elaboratore, è usato come mezzo
per compiere frodi, sabotaggi, falsificazioni.
I reati informatici
13
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
L’art.7, L. 18.03.2008, n.48 (‘Ratifica ed esecuzione della Convenzione del Consiglio
d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di
adeguamento dell’ordinamento interno’) pubblicata in G.U. n. 80 del 4 aprile 2008 ha
introdotto l‟art. 24-bis all‟interno del Decreto il quale:
recepisce l‟art. 491-bis c.p. che, a sua volta, estende le ipotesi di falsità in atti di cui al
Libro II, Titolo VII, Capo III c.p. a tutte le fattispecie delittuose in cui una o più delle suddette
falsità abbia ad oggetto un c.d. ‘documento informatico’
introduce all‟interno del Decreto alcune ipotesi di reato in materia di criminalità
informatica, già disciplinate all‟interno del Codice Penale.
I reati informatici
14
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
I reati informatici
Art. 615-ter: Accesso abusivo ad un sistema informatico o telematico
Art. 615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici
Art. 615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a
danneggiare o interrompere un sistema informativo o telematico
Art. 617-quarter: Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche
Art. 617-quinquies: Installazione di apparecchiature atte ad intercettare, impedire od interrompere
comunicazioni informatiche o telematiche
Art. 635-bis: Danneggiamento di informazioni, dati e programmi informatici
Art. 635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati
dallo Stato o da altro ente pubblico o comunque di pubblica utilità
Art. 635-quarter: Danneggiamento di sistemi informatici o telematici
Art. 635-quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità
Art. 640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma elettronica
Art. 491-bis: Falsità di documenti informatici.
15
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
I reati informatici
Reato Condotta Ipotesi di reato
ART. 615-ter
‘Accesso abusivo ad un
sistema informatico o
Telematico’
Punisce la condotta di chi si introduce
abusivamente, ossia eludendo una qualsiasi forma,
anche minima, di barriere ostative all‟accesso, in un
sistema informatico o telematico protetto da misure
di sicurezza, ovvero vi si mantiene contro la volontà
di chi a diritto di escluderlo.
Soggetti che si introducono nel sistema
informatico della Società per effettuare
operazioni che portino un interesse o
vantaggio per la Società (diminuzione
del credito dei clienti, maggiorazione
dei costi dei servizi erogati, fatturazione
di servizi non richiesti).
Soggetti si introducono abusivamente
in sistemi informatici esterni al fine di
procurare un interesse o vantaggio alla
Società. Ad esempio:
accesso abusivo nel sistema
informatico di un concorrente al fine
di conoscere l'offerta economica
presentata per la partecipazione alla
gara di appalto;
accesso abusivo nel sistema
informatico di un concorrente al fine
di conoscere il portafoglio clienti.
Es. Protocolli di controllo
Definizione di una Politica sulla sicurezza delle informazioni come la gestione
e uso delle password, le modalità di effettuazione dei log-in e log-out, l'uso
della posta elettronica, le modalità di utilizzo dei supporti rimovibili, l'uso dei
sistemi di protezione (antivirus, spam, phishing, spy)
Inventario aggiornato dell'hardware e del software in uso agli utenti
Procedure formali per l‟assegnazione di privilegi speciali (ad es.
amministratori di sistema, super-user)
Tracciamento degli accessi degli utenti alla rete aziendale
Controlli sugli accessi agli applicativi effettuati dagli utenti
Tracciamento e monitoraggio degli eventi di sicurezza sulla rete.
16
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
17
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Modelli e strumenti di controllo
In seguito all’introduzione dei crimini informatici tra quelli previsti dal D.Lgs. 231/2001,
gli enti dovranno adottare modelli e strumenti concreti di organizzazione, gestione,
monitoraggio e controllo al fine di:
garantire la protezione del patrimonio informativo
assicurare il corretto utilizzo delle risorse tecnologiche
disporre di evidenze che documentino l‟efficacia dei controlli implementati.
Dovranno essere predisposte preventive ed idonee misure di sicurezza e di controllo
per prevenire potenziali reati informatici mediante l’ausilio di strumenti tecnologici
18
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Modelli e strumenti di controllo
L’ente non risponde dei reati informatici compiuti attraverso l’utilizzo dei propri sistemi
informatici se e solo se prova:
di avere adottato e attuato efficacemente modelli di gestione idonei a prevenire il reato
di avere affidato ad un organismo dotato di autonomi poteri d‟iniziativa e di controllo, la
vigilanza e l‟aggiornamento di tali modelli
l‟elusione fraudolenta di tali modelli di organizzazione e gestione.
19
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Modelli e strumenti di controllo
Principi di controllo:
Separazione dei ruoli
Sistemi autorizzativi (processi, procedure e meccanismi tecnici)
Sistemi di controllo degli accessi (processi, procedure e meccanismi tecnici)
Tracciamento delle attività svolte sui sistemi/sulla rete
Monitoraggio ed esecuzione di verifiche periodiche
Documentazione dei controlli adottati e conservazione delle evidenze raccolte
Gestione degli incidenti di sicurezza
Formazione e sensibilizzazione del personale.
20
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Norme Cogenti
(Leggi - Decreti Legislativi
Provvedimenti - Delibere)
Policy
Linee Guida di Gruppo
Manuali e Istruzioni di Lavoro
Linee Guida
Procedure Operative
Procedure
Organizzative
Procedure Organizzative DirezionaliLinee Guida Tecniche
Policy Generali di Gruppo
Perché
Normative emesse
da Funzioni
Centrali
Cosa
Come
Normative
emesse da
BU
Framework Procedurale
Standard e CertificazioniProcedure di Sistema
Qualità
Policy e procedure di sicurezza
Modelli e strumenti di controllo
21
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Quantity
Automated
Manual
Preventive
Detective
I controlli perdono di significato se non
sono associati ad obiettivi specifici
Modelli e strumenti di controllo
Controlli di sicurezza
I controlli rappresentano uno strumento per
gestire e mitigare i rischi:
un controllo può consistere in una attività –
manuale o automatica – in grado di
validare le informazioni e garantire il
governo del contesto operativo
un controllo può essere incorporato
all‟interno dei processi e dei sistemi IT, al
fine di supportare una corretta gestione dei
rischi.
22
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
23
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Analisi
preliminare
Risk Self
Assessment e
Gap Analysis
Attuazione
Richiesta, raccolta e analisi
della documentazione
Analisi dell‟ambiente aziendale,
delle attività della società e ella
relativa struttura organizzativa
Interviste preliminari con il
management per
l‟individuazione delle attività
sensibili e delle aree di rischio
Interviste con il management
responsabile delle aree
sensibili individuate.
Control Risk Self Assessment
ai fini della quantificazione dei
rischi e dell‟identificazione dei
controlli per ciascuna attività
sensibile.
Gap Analysis tra il sistema di
controllo interno rilevato e il
“desiderato” come confronto
rispetto alle Best Practices.
Aggiornamento o
predisposizione di:
modello
procedure relative attività
a rischio di reato
codice etico
criteri di formazione e
modalità operative
dell‟OdV
attività di formazione e
informazione
Fasi
Attività
Principali
Mappatura preliminare delle
attività sensibili
Individuazione soggetti da
intervistare e destinatari
questionari
Mappatura delle aree a rischio
Gap analysis
Piano di lavoro per le azioni
migliorative o del sistema di
controllo interno
Parti speciali del Modello
Deliverables
24
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Rischio
potenzialeControllo
Rischio
residuoAttività sensibile
Gestione di accessi, account e profili
Gestione delle reti di telecomunicazioni
Gestione dei sistemi software
Gestione dei sistemi hardware
Gestione degli accessi fisici ai siti ove risiedono le infrastrutture IT
Gestione della documentazione in formato digitale
Rischio potenziale e residuo
Rischio alto
Rischio medio
Rischio basso
Controllo
Controllo carente
Controllo medio
Controllo buono
Autovalutazione dei rischi e dei controlli
25
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Matrice attività di controllo/reati
26
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Punti di attenzione
Identificazione e mappatura delle attività sensibili
Modello di valutazione dei rischi:
Valutazione dei rischi di sicurezza
Valutazione delle attività di controllo.
Modelli di controllo per i crimini informatici:
Processi
Policy e Procedure
Controlli di sicurezza da implementare/monitorare.
Approccio metodologico e best practice
27
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Sicurezza delle informazioni - Una visione integrata
Business
IT
La sicurezza delle informazioni è
strettamente connessa a tutti gli
aspetti legati:
al business
all‟infrastruttura tecnologica
Inoltre rappresenta un requisito
necessario a tutti i livelli di ogni
organizzazione
Sicurezza
Sicurezza
Sicurezza
Sicurezza
Sicurezza
Strategia
Persone
Processi e organizzazione
Tecnologia
Infrastrutture
28
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Sicurezza delle informazioni - Un modello di gestione integrata
Gestione integrata
della sicurezza
Processi
Processi operativi e di supporto
Organizzazione delle attività
Ruoli e responsabilità
Infrastrutture
Protezione del perimetro
aziendale e controllo degli accessi
Sistemi di sicurezza
Analisi dei rischi
Protezione infrastrutture critiche
Tecnologia
Analisi dei rischi
Protezione delle informazioni
Security Operations
Computer/Network security
Procedure e pratiche di security
Gestione e controllo degli accessi
Persone
Formazione e sensibilizzazione
Procedure per le risorse umane
Report degli incidenti
Fornitori
Audit periodici
Integrità ed etica
29
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Sicurezza delle informazioni – Standard di riferimento
Lo standard ISO 27001 (Information security management systems – Requirements) è
comunemente adottato a livello internazionale per l‟implementazione di sistemi di gestione
della sicurezza delle informazioni e la loro eventuale certificazione, e fornisce indicazioni in
merito alle seguenti aree di controllo:
Approccio metodologico e best practice
Security Policy
Organization of information security
Asset management
Human resources security
Physical and environmental security
Communications and operations
management.
Access Control
Information systems acquisition,
development and maintenance
Information security incident management
Business Continuity management
Compliance.
30
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Approccio metodologico e best practice
Focus su:
Strategie
Organizzazione
Processi
Policy e procedure
Corporate
Governance
IS
Governance
Business
Information
Systems
Necessari per:
Controllo e gestione dei rischi
Compliance alle normative
Misurazione delle performance
Creazione di valore
IT
Governance
IT Governance – Elementi fondamentali
31
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
IT Governance – standard di riferimento
COBIT (Control Objectives for Information and related Technology): è un insieme di
pubblicazioni che definiscono un modello di riferimento e delle best practice per l‟ IT control e l‟
IT Governance
Approccio metodologico e best practice
Sistema di
Controllo IT
Modello CobiT in cui gli obiettivi di controllo sono
organizzati secondo diverse dimensioni:
Requisiti di business
Tipologie di risorse IT
Processi.
32
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Agenda
Introduzione
Il D.Lgs. 231/2001
I reati informatici
Modelli e strumenti di controllo
Approccio metodologico e best
practice
Privacy e D.Lgs.231
33
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Privacy e D.Lgs.231
La normativa Privacy (D.Lgs. 196/2003) copre l‟intero ambito dei processi aziendali e, se
implementata correttamente e mantenuta costantemente, offre strumenti utili per prevenire e
provare gli illeciti di cui alla disciplina del D.Lgs. 231/2001.
L‟applicazione delle misure di sicurezza richieste dalla normativa Privacy è fondamentale per
l‟adeguamento al sistema 231 per poter gestire una serie di rischi (accessi non autorizzati,
trattamenti illeciti, ecc.).
34
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Privacy e D.Lgs.231
Decreto Legislativo 196/2003 ‘Codice in materia di protezione dei dati personali’:
il tema della Privacy è correlato al corretto trattamento ed alla protezione dei dati
personali relativi a persone fisiche o giuridiche
la gestione di tali aspetti si realizza attraverso l‟individuazione degli adempimenti previsti
dal Testo Unico Privacy, valutando i rischi principali e le contromisure di sicurezza
necessarie.
Sicurezza
D.Lgs. 196/03
Adempimenti legali
Analisi dei rischi
DPS
Misure minime di
sicurezza
Rilevazione e
analisi di dati e
processi
Gestione
integrata
della Privacy
e della sicurezza
delle informazioni
Privacy
35
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Privacy e D.Lgs.231
Adempimenti
formali
Gestione delle informative e dei consensi nei confronti di: clienti, dipendenti, fornitori,
eventuali ulteriori interessati di cui vengano acquisiti i dati personali
Nomina degli incaricati ai trattamenti (e dei responsabili laddove definiti)
Notificazione all‟Autorità Garante di particolari trattamenti
Gestione richieste autorizzazioni generali all‟Autorità Garante di trattamenti di dati
personali sensibili/giudiziari
Riscontro all‟interessato
Nomina dei responsabili esterni e definizione delle modalità di verifica
Redazione ed aggiornamento del DPS (e sua inclusione nella relazione
accompagnatoria del bilancio annuale)
Adempimenti
di sicurezza
Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con
strumenti elettronici (sistemi di autenticazione, di autorizzazione, antivirus, backup …
Adozione delle misure minime di sicurezza per i trattamenti di dati personali effettuati con
supporti cartacei (procedure di controllo degli accessi, …)
Realizzazione di attività formative per gli incaricati
Realizzazione di attività di sicurezza a supporto della redazione del DPS (analisi dei
rischi periodica (almeno annuale) sui trattamenti dei dati personali effettuati, attività di
audit volte ad individuare aree di scopertura, pianificazione delle misure di sicurezza da
adottare …)
I principali adempimenti Privacy
36
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Privacy e D.Lgs.231
Il modello di gestione della Privacy
Governo e
gestione della
compliance alla
Privacy
Monitoraggio della normativa nazionale
ed internazionale applicabile al contesto
aziendale
Adozione delle azioni di rimedio per
garantire la conformità alla normativa
Identificazione delle aree di non
conformità/di miglioramento degli aspetti
di sicurezza
Legal
Legal
Fz Businss
IT/Security
HR
Audit dell‟adozione degli adempimenti
formali e di quelli di sicurezza
Audit
Fz. di controllo
Legal
Fz Businss
IT/Security
HR
Legal Fz
Businss
IT/Security
HR
Analisi periodica dei rischi correlati
ai dati personali trattati IT/Security
Legal
Audit/Fz. di controllo
Emissione linee guida/policy/procedure
ambito privacy
Adozione delle misure per adeguamento
ad adempimenti di sicurezza
Adozione delle misure per adeguamento
ad adempimenti di sicurezza nelle attività
di business
Legal
Fz Businss
IT/Security
HR
Identificazione delle misure e delle azioni
da adottare per garantire la conformità
Censimento dei trattamenti dei dati
personali
37
© 2010 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
(“KPMG International”), entità di diritto svizzero. Tutti i diritti riservati.
Privacy e D.Lgs.231
Possibili punti di integrazione:
Modelli organizzativi
Processi e procedure
Approcci e modelli di valutazione dei rischi – DPS
Disciplinare utilizzo posta elettronica e internet (linee guida del Garante del marzo 2007)
Formazione del personale
Rapporti con l‟OdV (protezione della documentazione, protezione dei flussi informativi,
rapporti con i responsabili Privacy, poteri di accesso alle banche dati, ecc.).