Fiat Group - AIEALa Legge 18 marzo 2008, n. 48, di ratifica alla Convenzione del Consiglio...

Pisa, maggio 2009

Fiat Group Fiat Group PREVENZIONE DEI REATI INFORMATICI:

TUTELE E ONERI PER L’AZIENDA

All rights are reserved. Duplication and/or any form of circulation of such document are forbidden without the previous written consent of Fiat SpA2

Agenda

Responsabilità Amministrativa ex D.lgs.231/01Crimini informaticiIl Modello di Organizzazione Gestione e Controllo Considerazioni

Fiat Group OverviewIT GovernancePresidio dei Processi/Attività Sensibili Individuazione dei Processi/Attività Sensibili


RESPONSABILITA’ AMMINISTRATIVA ex D.Lgs 231/01

sanzioni pecuniarie

interdizione dall’esercizio dell’attività

sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito

divieto di contrattare con la P.A., salvo che per ottenere prestazioni di un pubblico servizio

esclusione di agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi

divieto di pubblicizzare beni o servizi

Reato compiuto da un soggetto in posizione apicale dell’azienda

Interesse o vantaggio per la società

Mancanza di un adeguato sistema di controllo preventivo

SANZIONI PER LA SOCIETA’

PRINCIPALI SANZIONI DIFFERENZIATE PER TIPO DI REATO


CRIMINI INFORMATICI: Legge 48/08

Adeguamento della normativa del codice penale e del codice di rito in tema di reati informatici (dopo quasi quindici anni di applicazione della legge 547/1993, che rappresentò il primo intervento organico in materia).

Integrazione, dal punto di vista procedurale, delle modalità di accesso da parte delle forze dell’ordine ai dati di traffico conservati dagli operatori di comunicazione elettronica ai sensi dell’art. 132 del Codice della privacy (D.Lgs.196/03).

Introduzione nel D.lgs. 231/01 del nuovo art. 24 bis, che estende la responsabilitàamministrativa delle persone giuridiche anche ai c.d. reati di Criminalità Informatica.

La Legge 18 marzo 2008, n. 48, di ratifica alla Convenzione del Consiglio d’Europa sulla Criminalità informatica (cd. Convenzione di Budapest), ha determinato le seguenti modifiche:


Art. 615Art. 615-- terter: Accesso abusivo ad un sistema informatico o telematico

Art. 615Art. 615-- quaterquater: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici

Art. 615Art. 615-- quinquiesquinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informativo o telematico

Art. 617Art. 617-- quaterquater:Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche

Art. 617- quinquies: Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche

Art. 635Art. 635-- bisbis:Danneggiamento di informazioni, dati e programmi informatici

Art. 635Art. 635-- terter:Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità

Art. 635Art. 635-- quaterquater:Danneggiamento di sistemi informatici o telematici

Art. 635Art. 635-- quinquiesquinquies:Danneggiamento di sistemi informatici o telematici di pubblica utilità

Art. 640Art. 640-- quinquiesquinquies:Frode informatica del soggetto che presta servizi di certificazione di firma elettronica

Art. 491Art. 491-- bisbis:Falsità di documenti informatici

CRIMINI INFORMATICI: L’art. 24 bis D.lgs. 231/01


Art. Art. 640640--terter: : Frode informatica in danno dello Stato o di altro Ente Pubblico

Art. Art. 600600--ter e ter e quaterquater: Divulgazione, cessione e detenzione di materiale pedopornografico

Prima dell’entrata in vigore della Legge 48/08, già l’ art. 25 D.lgs. 231/01 aveva previsto l’estensione della responsabilità amministrativa delle persone giuridiche alle seguenti fattispecie di reato, cheprevedono l’utilizzo di sistemi informatici:

CRIMINI INFORMATICI: L’art. 25 D.lgs. 231/01

Art. Art. 270270--terter: : Fornitura di strumenti di comunicazione in assistenza a gruppi terroristici


CRIMINI INFORMATICI: modalità di compimento

Con riferimento alle modalità di compimento, i reati possono essere suddivisi nelle seguenti categorie:

• DANNEGGIAMENTO, ACCESSO ABUSIVO, DIFFUSIONE DI VIRUS, MATERIALI E INFORMAZIONI ILLEGALI, ATTRAVERSO:

accesso verso l’esterno per mezzo di infrastrutture aziendali

• FALSITA’ IN “DOCUMENTI INFORMATICI”, APPLICABILE

in caso di utilizzo di “firma digitale” o “firma elettronica avanzata”

• “FRODE INFORMATICA DEL CERTIFICATORE DI FIRMA ELETTRONICA”, APPLICABILE

solo in caso che l’azienda sia un “certificatore”


La responsabilità ex. art. 24-bis D.lgs. 231/01 può essere imputata all’azienda anche nelle ipotesi in cui non sia rintracciato l’autore materiale del reato.

Modello di organizzazione e di gestione

Indagini IBM hanno rilevato che il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale provengano dall'interno delle rispettive organizzazioni.

LE SOCIETA’ DEVONO ADOTTARE UN SISTEMA DI CONTROLLO PER:

Evitare la commissione di reati informatici per mezzo di infrastrutture proprie

Escludere la responsabilitàdell’azienda qualora le misure adottate non abbiano evitato la commissione del reato.



POLICY E PROCEDUREATTRIBUZIONE RESPONSABILITÀFORMAZIONEPROTEZIONEMONITORAGGIO

RAGIONEVOLE BILANCIAMENTO TRA: - CONTROLLO, OPERATIVITA’- LIMITI DI LEGGE

http://images.google.it/imgres?imgurl=http://www.clayregazzoni.com/foto_spigolature/bilancia.jpg&imgrefurl=http://www.clayregazzoni.com/spigolature.asp&usg=__2yJRVBSYpiy1F4woWBwsPvWmHBU=&h=400&w=400&sz=77&hl=it&start=14&um=1&tbnid=L2FIq97dI4ibnM:&tbnh=124&tbnw=124&prev=/images%3Fq%3Dbilancia%2Bgiustizia%26hl%3Dit%26rlz%3D1T4ADBF_itIT298IT298%26sa%3DN%26um%3D1


La prevenzione dei reati informatici deve svolgersi nel rispettodi:


Statuto dei Lavoratori L. 300/1970

Codice Privacy D.Lgs. 196/03

Provv. Gen. del Garante Privacy (Linee Guida per l’utilizzo della posta elettronica e di internet).

Es: La normativa sulla Privacy, in materia di controllo a distanza, dispone che per quanto attiene il controllo dei dati resta ferma l’applicazione della L. 300/70, che stabilisce il divieto di uso di impianti audiovisivi o altre apparecchiature per il controllo a distanza dei lavoratori, salvo accordo con i Sindacati.

Pertanto l’azienda, nell’adottare il Modello di Organizzazione Gestione e Controllo, potràprevedere l’effettuazione dei controlli sull’attività dei dipendenti svolte mediante l’uso di strumenti informatici solo previo accordo con le Organizzazioni Sindacali.


Complessità del Business:

Product portfolio

Complessità Organizzativa

Employee: 198.348 Dati World Wide al 31/12/2008

Complessità geografica

Plant: N. 203

Legal Entity: N. 633Dati World Wide al 31/12/2008

Complessità finanziaria

Net Income: €/ml 59.380

Operative Result: €/ml 2.972

Net Result: €/ml 1.721Dati World Wide al 31/12/2008

Complessità della Proprietà

Shareholder: N.>300.000 (fra cui Istituti bancari, assicurativi, etc.)Dati World Wide al 31/12/2008

Complessità strategica

Worldwide Joint-Venture

International agreement

Fiat Group Overview


COMITATI INTERSETTORIALI ( ISSO COMMITTEE, SECURITY MANAGER COMMITTEE

e COMPLIANCE OFFICER COMMITTEE)

• Definire le Politiche delle Informazioni• Coordinare tutte le funzioni• Promuovere protezione dei sistemi• Monitorare adeguatezza risorse• Proporre Audit di verifica e miglioramento

• Coordinare i Settori• Diffondere le iniziative del Security

Council presso i Settori• Garantire area Compliance• Gestire specifiche di sicurezza

nei contratti con i fornitori

SECURITY COUNCIL

Fiat Group: IT GOVERNANCE

LIVELLO CENTRALE


• Implementare le politiche e le Linee Guida definite a livello di Gruppo

• Curare i relativi Action Plan

• Valutare rischi informativi e costi/benefici delle misure da adottare all’interno dei settori

ISSO di SETTOREISSO di SETTORE

Fiat Group: IT GOVERNANCE

LIVELLO DI SETTORE


Analisi dei rischi

Pianificazione interventi Monitoraggio

Processi / Attività sensibili

Ricognizione di tutti i processi “IT” collegabili al rischio di reati informatici con interesse/vantaggio

Valutazione dei rischi in termini quantitativi e qualitativi in base all’esistenza di procedure e sistemi di controllo

Individuazione dei Gap

Definizione di criteri organizzativi

Implementazione software o hardware

Predisposizione delle procedure mancanti per la gestione dell'IT

Attuazione e divulgazione procedure

Identificazione e definizione dei controlli

Flussi informativi e reporting di eventuali violazioni

Aggiornamento periodico del sistema

Fiat Group: Presidio dei Processi/Attività Sensibili


Sono state esaminate le attività di controllo periodico

della sicurezza dei sistemi IT svolte sia con l'effettuazione di Vulnerability Assessment periodici, sia con la disponibilità di strumenti di IPS operativi sulla rete.

Fiat Group: Individuazione Processi/Attività Sensibili

E’ stato previsto un “inventario” di tutte le attività e i processi supportati dal sistema informatico e telematico per l’elaborazione e la trasmissione di dati contabili, fiscali e gestionali o di altra natura.

Sono stati selezionati quelli che potrebbero costituire un potenziale terreno fertile per la commissione dei reati presupposto.

Si è individuato il GAP esistente

IL CONTESTO DI RIFERIMENTO DEL GRUPPO FIAT:Possiede un’idonea protezioni dagli attacchi esterni (antivirus, firewall, etc)Non certifica chiavi elettroniche (firma digitale)


Sicurezza FisicaSicurezza Fisica

Sicurezza LogicaSicurezza Logica

Sicurezza di ReteSicurezza di Rete

ORGANIZZAZIONE-Policy/procedure-Separazione dei compiti-Contratti con fornitori (outsourcer)

GESTIONE SISTEMI-Installazione/mantenimento apparati-Monitoraggio accessi alla rete-Anti-spamming, virus e spyware-Black-list, white-list

UTILIZZO SISTEMI -Accessi verso l’esterno-Sistemi con chiave elettronica

Fiat Group: Individuazione Processi/Attività Sensibili

PROCESSI - ATTIVITA’ SENSIBILI


Individuazione dei rischi

Accesso abusivo ad un sistema informatico

Intercettazione, impedimento o interruzione illecita di comunicazioni o servizi

informatici

Uso di strumenti aziendali per compiere reati (furto, frode,

danneggiamento, terrorismo, pedopornografia)

Compiuto dall’esterno

Compiuto da interno


Copertura dei rischi

Protezione da accessi esterni alla reteo Firewall o IPS/IDSo Corretto disegno e configurazione del Networko Corretta implementazione delle reti Wireless

Protezione da accessi esterni alle macchine da parte di softwaremalevolo

o Antivirus/spamming/spywareo Blocco di installazioni SW

Protezione da accessi esterni alle macchine da parte di hackero Protezione delle macchine mediante autenticazione, con

complessità adeguatao Diritti delle utenze limitati alle reali necessità (es. utenti non

amministratori della PdL)Protezione fisica degli apparati e delle macchine

Protezione delle share/ftp

Compiuto dall’esterno


Copertura dei rischi

Blocco degli accessi esterni alla rete pericolosio Proxy (Black-list, white-list)o IPS/IDS

Blocco degli attacchi dalle macchineo Blocco di installazioni SWo Monitoraggio della reteo Policy (es. AD)

User awarenesso Richiamo periodico delle policy

Protezione delle macchineo Diritti delle utenze limitati alle reali necessità

(es. utenti non amministratori della PdL)o Blocco della macchina/applicativo dopo un

periodo di inutilizzo (timout)

Compiuto da interno


Centralizzazione del controllo

Il Gruppo Fiat ha centralizzato numerose attività di sicurezza, rendendo in questo modo possibile una gestione e un controllo più forti.

Le attività gestite centralmente sono attualmente:

Connessioni ad internet

Controllo degli accessi ad internet (Firewall, IPS, Proxy)

Antivirus/spamming/spyware

Posta elettronica (in fase di migrazione)

Fiat Group - AIEALa Legge 18 marzo 2008, n. 48, di ratifica alla Convenzione del Consiglio...

Documents

Transcript of Fiat Group - AIEALa Legge 18 marzo 2008, n. 48, di ratifica alla Convenzione del Consiglio...