LA SICUREZZA DELLE INFORMAZIONI
COME STRUMENTO AZIENDALE
DI CORPORATE GOVERNANCE
Silvano Bari
Certified Information Security Manager
ISACA
Università di Roma “La Sapienza” - 12 gennaio 2009
© Silvano Bari - 2009
Temi di Corporate Governance Aziendale
struttura proprietaria
efficienza dei sistemi di controllo
efficienza del Consiglio di Amministrazione
corretta composizione del Consiglio di Amministrazione
protezione degli azionisti di minoranza
ma, soprattutto
il trattamento delle informazioni
(in particolar modo quelle riservate)
e la loro protezione
© Silvano Bari - 2009
Testo Unico della Finanza
D.Lgs. 24 febbraio 1998, n.58
TESTO UNICO DELLE DISPOSIZIONI IN MATERIA DI INTERMEDIAZIONE FINANZIARIA
(attuato dalla CONSOB con il regolamento n. 11522 del 1998)
successive modifiche/integrazioni
Legge Delega 3 ottobre 2001, n.366
RIORDINA COMPLESSIVAMENTE LA REGOLAMENTAZIONE SOCIETARIA
D. Lgs. 11 aprile 2002, n.61
DISCIPLINA DEGLI ILLECITI PENALI E AMMINISTRATIVI
RIGUARDANTI LE SOCIETA’ COMMERCIALI
Legge 18 aprile 2005, n.62
DISPOSIZIONI PER L’ADEMPIMENTO DI OBBLIGHI DERIVANTI
DALL’APPARTENENZA DELL’ITALIA ALLE COMUNITA’ EUROPEE
Legge 28 dicembre 2005, n.262
DISPOSIZIONI PER LA TUTELA DEL RISPARMIO
E LA DISCIPLINA DEI MERCATI FINANZIARI
Comunicazione CONSOB n. DME/6027054 del 28 marzo 2006
© Silvano Bari - 2009
Testo Unico della Finanza
REGOLE PER GARANTIRE
UNA MIGLIORE GOVERNANCE
DELLE SOCIETA’ QUOTATE
E PER LA TUTELA DI TUTTI I SOGGETTI
INTERESSATI ALLA VITA DELL’IMPRESA
CONTROLLO DELL’IMPRESA
STRUTTURA PROPRIETARIA
EFFICIENZA GESTIONALE
ma soprattutto…...
© Silvano Bari - 2009
Testo Unico della Finanza
MAGGIORE TRASPARENZA E CONTROLLO
DELL’INFORMATIVA SOCIETARIA
obblighi di pubblicità degli assetti societari
obblighi di informativa al pubblico
obbligo di circolazione delle informazioni rilevanti tra organi sociali (collegio
sindacale e amministratori) e la società di revisione
gestione delle “informazioni privilegiate” (registro degli accessi)
attenzione ad internet come mezzo di diffusione di informazioni false o fuorvianti
adempimenti per la prevenzione degli abusi di mercato
dichiarazioni di rispondenza al vero
© Silvano Bari - 2009
Testo Unico della Finanza
false informazioni nelle comunicazioni previste
utilizzazione e divulgazione di notizie riservate
abuso di “informazioni privilegiate”
Sanzioni civili e penali
© Silvano Bari - 2009
Codice Preda
Codice di autodisciplina per le società quotate
(elaborato nel 1999 nell’ambito di Borsa Italiana S.p.A.
e riaggiornato nel marzo 2006)
trattamento delle informazioni societarie
adozione di una procedura
(approvata dal Consiglio di Amministrazione)
per la gestione interna e la comunicazione all’esterno
di documenti ed informazioni
(con particolare riferimento alle informazioni privilegiate)
© Silvano Bari - 2009
Circolare ISVAP n. 577/D del 30 dicembre 2005
Istituto per la Vigilanza sulle Assicurazioni Private
e di Interesse Collettivo
indica modi e mezzi (anche informatici) per
la conformità delle imprese assicuratrici,
in tema di rischio e controllo del rischio
qualità dei dati, dei flussi informativi, dei canali di comunicazione
alta tecnologia del sistema informatico
protezione dal deterioramento e dalla perdita dei dati
© Silvano Bari - 2009
D. Lgs. 231/2001
Responsabilità amministrativa dell’ente per reati posti in essere
da amministratori, dirigenti,e/o dipendenti
nell’interesse o a vantaggio dell’ente stesso
Market abuse:
abuso di informazioni privilegiate per acquisto o vendita
di strumenti finanziari
comunicazioni di informazioni privilegiate
in caso di illecito commesso da soggetti apicali
presunzione di colpevolezza della società
(inversione dell’onere della prova)
© Silvano Bari - 2009
Privacy e protezione dei dati personali
Direttiva comunitaria n.467/1995
Legge n. 675/1996
Istituzione del Garante Privacy
DPR 318/1999
D. Lgs. 196/2003
(Codice sulla protezione dei dati personali)
© Silvano Bari - 2009
D. Lgs. 30 giugno 2003, n.196
Codice sulla protezione dei dati personali
Misure minime di sicurezza
Misure idonee di sicurezza
© Silvano Bari - 2009
D. Lgs. 30 giugno 2003, n.196
Misure minime di sicurezza
elencate nell’allegato B - Disciplinare tecnico
Sistema di autenticazione informatica
Sistema di autorizzazione
Altre misure di sicurezza
Documento programmatico sulla sicurezza
Ulteriori misure in caso di trattamento di dati sensibili
reato di omessa adozione di misure di sicurezza
sanzioni penali
© Silvano Bari - 2009
D. Lgs. 30 giugno 2003, n.196
Misure idonee di sicurezza
non sono indicate dalla legge
ma devono essere scelte dall’azienda
sulla base:
del progresso tecnico
della natura dei dati
delle specifiche caratteristiche del trattamento
reato di omessa adozione di misure idonee
sanzioni civili
© Silvano Bari - 2009
D. Lgs. 30 giugno 2003, n.196
Il trattamento dei dati personali
assimilato all’esercizio di attività pericolose
(riferimento all’art.2050 c.c.)
Inversione dell’onere della prova
© Silvano Bari - 2009
Normative Internazionali
Sarbanes-Oxley Act (SOX) del 2002
Per le società quotate in borsa negli Stati Uniti e le aziende contabili:
standard per la divulgazione di informazioni finanziarie
e per la garanzia di riservatezza, integrità e disponibilità delle informazioni di reporting finanziario.
Nuovo accordo di Basilea sulla regolamentazione del capitale (Basilea II)
Pubblicato dalla Banca dei Regolamenti Internazionali :
nuovi standard per la misurazione del rischio nelle banche che gestiscono transazioni monetarie a livello internazionale.
Gramm-Leach-Bliley Act (GLBA) del 1999 (Financial Services Modernization Act)
Riguarda banche, società di investimento, compagnie di assicurazioni e altri istituti finanziari:
riservatezza della documentazione sui clienti e misure di salvaguardia per proteggerla.
Health Insurance Portability and Accountability Act (HIPAA)
E’ volta a garantire l’interscambio delle informazioni sanitarie
e indica i requisiti relativi alla sicurezza e alla privacy delle informazioni sui pazienti.
Title 21 Code of Federal Regulations Part 11 (21 CFR Part 11)
Emanata dalla U.S. FDA per le aziende dei settori biofarmaceutici, per la cura della persona, alimentari:
rigorose procedure tecniche per l’utilizzo e l’archiviazione dei record in formato elettronico.
Securities and Exchange Commission (SEC) norme 17a-3 e 17a-4
tipi di comunicazioni che devono essere conservate da membri, agenti e intermediari di borsa e in quali luoghi
National Association of Securities Dealers (NASD) norme 3010 e 3110
per le società soggette alle norme 17a-3 e 17a-4 della SEC
procedure per la ricerca e la revisione delle comunicazioni in formato elettronico.
strategie di conservazione della documentazione e dei dati delle transazioni
Federal Information Security Management Act (FISMA)
è rivolto alle agenzie federali
programmi per la sicurezza dei propri sistemi e risorse informative.
© Silvano Bari - 2009
Prime conclusioni
importanza della circolazione dell’informazione
tra gli organi aziendali
attendibilità dei dati
riservatezza delle informazioni “privilegiate”
sicurezza delle informazioni critiche per il business
protezione dei dati delle terze parti (shareholders)
© Silvano Bari - 2009
Prime conclusioni
Protezione delle informazioni
come
strumento aziendale di
Corporate Governance
garanzia di
disponibilità
integrità
riservatezza
© Silvano Bari - 2009
Come prevenire le responsabilità in azienda
Necessità di:
adottare ed attivare un modello efficace
di organizzazione, gestione e controllo
della protezione del patrimonio informativo
istituire una funzione di vigilanza
sull’efficacia del modello
© Silvano Bari - 2009
Un modello di protezione delle informazioni
Politiche
Linee Guida
Procedure
Misure
Tecnologiche
Compliance con
leggi e normative
Classificazione
Risk assessment
e misure di
e gap analysis
protezione dati
Classificazione
Sicurezza e misure di
Fisica protezione dati
Formazione
Monitoring
e controllo
Misure
Applicative
Auditing
Misure
organizzative
ISMS
INFORMATION SECURITY MANAGEMENT SYSTEM
(secondo uno standard consolidato e riconosciuto)
© Silvano Bari - 2009
Lo standard ISO27001
Standard internazionale ISO
(ex BS7799)
Norma ISO27002
Schema di best practices
Norma ISO27001
Quadro di riferimento per un ISMS
Politiche
Organizzazione (ruoli/responsabilità)
Controllo assets
Personale
Sicurezza fisica/ambientale
Sicurezza delle comunicazioni/operazioni
Controllo accessi
Sicurezza dello sviluppo/manutenzione
Gestione degli incidenti
Business continuity
Conformità (leggi, direttive, ecc.)
© Silvano Bari - 2009
Validità del modello
Lo sviluppo di un ISMS non garantisce
di per sè la sicurezza…
ma garantisce
processi stabili, ripetibili e controllati
per cui la probabilità di un evento negativo
si riduce
UTILITA’ A LIVELLO PROBATORIO
© Silvano Bari - 2009
Perché la certificazione?
© Silvano Bari - 2009
Perché la certificazione di un ISMS
Dimostrare, in caso di danni a terzi (responsabilità civile/penale)
di aver fatto tutto il possibile per evitare i danni
Essere sicuri di condividere i benefici delle migliori pratiche
di sicurezza a livello internazionale
Ottenere la verifica, da parte di un organismo terzo,
di un corretto svolgimento delle attività di sicurezza
Ottenere un attestato per rafforzare l’immagine
aziendale e indurre maggior fiducia nei clienti
Ridurre il premio di assicurazione
della Information Technology
Ottenere una ulteriore e specifica
certificazione di qualità e sicurezza del sito Internet
© Silvano Bari - 2009
La certificazione dei siti internet
Vantaggi:
Miglioramento dell’immagine aziendale
Creazione di fiducia nel cliente
(trasparenza, eticità nel trattamento dei dati,
completezza delle informazioni,
sicurezza dei dati e dei pagamenti)
LA SICUREZZA IT È UNO DEI PRESUPPOSTI BASILARI
PER LA CERTIFICAZIONE DEL SITO INTERNET
© Silvano Bari - 2009
La certificazione di accessibilità
Legge 9 gennaio 2004, n.4 (Legge Stanca)
Disposizioni per favorire l’accesso dei soggetti disabili
agli strumenti informatici
si applica a:
pubbliche amministrazioni,
enti pubblici economici,
aziende private concessionarie di servizi pubblici,
aziende municipalizzate regionali,
enti di assistenza e di riabilitazione pubblici,
aziende di trasporto e di telecomunicazione
a prevalente partecipazione di capitale pubblico,
aziende appaltatrici di servizi informatici
© Silvano Bari - 2009
La certificazione di accessibilità
I siti web delle pubbliche amministrazioni
dovranno essere accessibili secondo
le linee guida definite nel regolamento tecnico
Obbligo della Pubblica Amministrazione
(sono previste sanzioni e nullità dei contratti)
Incentivazione nei confronti dei privati
(bollino da apporre sul sito)
Definizione di uno standard BSI
BS PAS 78
© Silvano Bari - 2009
Dott. Silvano Bari
Certified Information Security Manager
ISACA
[email protected]
© Silvano Bari - 2009