Iniziativa : "Sessione di Studio" a Torino

Transcript

1 Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che vedrà l'intervento dei seguenti relatori Fabrizio Bulgarelli, Alberto Piamonte, Ugo Vignolo Lutati Alberto Piamonte Gianluca Vadruccio (expo2015) 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare Implementare il nuovo CYBERSECURITY FRAMEWORK USA con l'approccio ISACA Attacchi mirati e indicatori di compromissione L'incontro avrà luogo a: Torino, 2 ottobre 2014 Presso Collegio Universitario Renato Einaudi Sezione Crocetta Corso Lione Torino come da agenda allegata. La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per i rimanenti mesi del 2014 e per l anno 2015 (vedi scheda d iscrizione). Per aderire all iniziativa è richiesta la compilazione dell allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell AIEA, entro e non oltre il 30 settembre p.v. Ricordiamo che la partecipazione all evento corrisponde sino a 4 ore di credito nell ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo! Il Presidente (S. Niccolini) Milano, settembre 2014

2 Abstract delle relazioni Fabrizio Bulgarelli, Alberto Piamonte, Ugo Vignolo Lutati 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare Il 2 luglio 2013 Banca d Italia ha emanato in via definitiva il 15 aggiornamento della Circolare n. 263 del 26 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche in materia di controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari. Il Framework COBIT5 ha le caratteristiche che ne suggeriscono l utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni: fornire una guida autorevole ed universalmente accettata per la valutazione della reale capacità dei processi, l individuazione delle carenze (gap) e l implementazione delle eventuali azioni correttive; dare uno schema di riferimento generalizzato, allineato con i principali standards, in grado di fornire una semplice architettura che porti alla realizzazione di soluzioni coerenti ed integrate (contrapposte ad un approccio che preveda varie iniziative scollegate), evitando disallineamenti e duplicazioni anche rispetto ad altre iniziative non direttamente collegate alla direttiva; provvedere, per quanto riguarda l IT, una guida alla comprensione ed implementazione delle funzioni di Governance a Management richieste da BI. In quest ambito AIEA ha sviluppato un approccio metodologico originale di COBIT5 Implementation, estendibile a problematiche analoghe, mettendo anche a punto alcuni strumenti di lavoro. L intervento riprende i concetti della precedente sessione di studio e fornisce ulteriori approfondimenti / spunti / aggiornamenti sul tema. Verranno quindi presentati: Metodologia in generale Sintesi dei risultati della ricerca Considerazioni sui requisiti minimi per l adozione della metodologia (conoscenze e tempi) e delle iniziative di AIEA rivolte a soddisfarli (Formazione, Workshop tematici, traduzioni di manuali) Ultimi aggiornamenti sul tema.

3 Alberto Piamonte Implementare il nuovo CYBERSECURITY FRAMEWORK USA con l'approccio ISACA Il NIST (National Institute of Standards and Technology, USA), per dare seguito ad una specifica richiesta dal Presidente Obama, ha emesso, nel febbraio 2013 a livello internazionale, una RFI (Request for Information) sul tema, ricevendo migliaia di suggerimenti e risposte. Ad esempio, un Framework dovrebbe : - Essere flessibile: non la medesima checklist per tutti - Non essere prescrittivo - Basarsi su quanto già disponibile in termini di approcci internazionali, standards, practiche - Focalizzarsi sulla gestione del rischio piuttosto che sulla conformità -... Il NIST ha quindi indetto una serie di workshop, anche questo con una partecipazione molto ampia, ai quale ISACA ha dato un importante contributo e nei quali è stato "costruito" il Cybersecurity Framework (CFS) che è stato reso pubblico nel febbraio Nell'incontro di oggi ci proponiamo quindi di presentare brevemente il risultato di questo innovativo approccio "bottom-up" e di vedere come ad esso si adattino gli attuali strumenti ISACA. Gianluca Vadruccio Attacchi mirati e indicatori di compromissione Le infrastrutture informatiche sono ormai da qualche anno bersagliate quotidianamente da attacchi mirati a carpire informazioni riservate, personali e sensibili. Dalle banche ai governi, dalle assicurazioni agli ospedali: anche quelle società che non possiedono dati appetibili sono prese di mira solo per il fatto di intrattenere rapporti di lavoro con i reali obiettivi. Gli attacchi mirati, per loro costruzione e metodologia, non sono spesso rilevabili dalle tradizionali misure di difesa perimetrali o interne come firewall, antivirus e sistemi anti-intrusione. Si assiste pertanto ad un proliferare di botnet ad insaputa dell'utente stesso e ad insaputa anche dei gestori dei sistemi informativi. Si rischia inoltre anche di venire additati come sorgente degli attacchi a causa del fatto che gli indirizzi di provenienza sono proprio i nostri. Come prevenire tutto questo? Qual'è la strategia ottimale per limitare le infezioni? Cominciamo ad esempio a capire se la nostra rete è già stata bucata!

4 Relatori Fabrizio Bulgarelli Responsabile del team IT Audit e Compliance presso Mazars SpA, svolge da oltre 25 anni attività in ambito Information Technology con interventi di audit e compliance dei sistemi informativi presso importanti Società del settore bancario, industriale, finanziario e della pubblica amministrazione. E certificato COBIT 5 Foundation, Sicurezza Informatica ISO27001, Continuità Operativa ISO22301 e Privacy Officer ISO Presidia e coordina i progetti per la Continuità Operativa (art. 50bis del CAD) nelle Pubbliche Amministrazione dell Alto Adige, in collaborazione con Agenzia per l Italia Digitale (ex Cnipa/DigitPA).E Consigliere Direttivo di AIEA (Associazione Italiana Information Systems Auditors) ISACA Milan Chapter. Alberto Piamonte Alberto Piamonte, laureato nell Università di Padova in Ingegneria Elettronica, si occupa attualmente dello sviluppo di strumenti automatizzati e metodologie per l analisi e gestione dei rischi, la certificazione conformità e la realizzazione di efficaci ed efficienti sistemi di controllo e di governo. Consigliere AIEA con il ruolo di Research Director, si occupa attivamente dei problemi relativi al governo dei sistemi IT tenendo frequenti corsi e seminari su metodologie quali COBIT, ITIL e ISO27001 ed alla sensibilizzazione e diffusione delle relative tematiche. Inizia la sua carriera come ricercatore IBM con permanenza più che decennale nei laboratori di ricerca e sviluppo (USA, Germania, Svezia ed Italia) occupandosi principalmente di comunicazioni (SNA) e relativi problemi di sicurezza. Successivamente, come Direttore Responsabile del Marketing Olivetti per le PubblicheAmministrazioni, è stato coinvolti nella gestione e realizzazione di grandi progetti :Più recentemente come Direttore Software Europa di Amdahl Corporation si è occupato delle problematiche di gestione e sicurezza di grandi reti di utenti. Ugo Vignolo Lutati Laureato al Politecnico di Torino in Ingegneria Gestionale, dopo 10 anni di attività in PwC (tra cui uno trascorso presso la sede di Washington DC), all interno del Gruppo Risk Assurance, da poco ha deciso di intraprendere una nuova avventura con EY Advisory IT Risk Assurance. Certificato CISA e socio AIEA dal 2007, all interno di EY si occupa principalmente di IT Risk & Governance. Nel corso della sua decennale carriera ha assistito diversi Gruppi e Società su tematiche di compliance, gestione del rischio e sistemi di controllo interno, sia su processi industriali che assicurativi e bancari. Attualmente impegnato anche come seminarista presso la SAA di Torino ad un master di I livello su tematiche di IT Governance e Processi di Business. Dal 2013 collabora attivamente con AIEA a Gruppi di Lavoro su tematiche COBIT e relazione con normativa italiana e di settore.

5 Gianluca Vadruccio Laureato in Ingegneria Informatica al Politecnico di Milano e abilitato all esercizio della professione, è l attuale Responsabile della Sicurezza Informatica Expo2015 S.p.A. In precedenza ha ricoperto lo stesso incarico presso la Fondazione IRCCS Ca Granda Ospedale Maggiore Policlinico a Milano ed è stato Direttore Tecnico di Hacking Team. La sua esperienza nella sicurezza informatica si è consolidata tramite la partecipazione ed il coordinamento di svariati progetti su temi di sicurezza significativi (tra cui Vulnerability assessment e risk assessment, Ethical Hacking, Identity Management), durante la sua precedente attività presso aziende di consulenza: Ha tenuto seminari presso le università di Milano, Trento e Lecce. PROGRAMMA 8.30 Registrazione dei partecipanti presso la sede del Collegio Universitario di Torino in corso Lione Apertura dei lavori e saluto: Daniela Cellino (Vicepresidente AIEA) 9.15 Fabrizio Bulgarelli, Alberto Piamonte, Ugo Vignolo Lutati 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare Alberto Piamonte Implementare il nuovo CYBERSECURITY FRAMEWORK USA con l'approccio ISACA Coffee Break Gianluca Vadruccio Attacchi Mirati ed indicatori di compromissione Dibattito con i relatori Termine dei lavori

6 Mappa

7 Come arrivarci (1) Come arrivarci (2)

8 Come arrivarci (3) Dalla stazione di Torino Porta Susa, uscita lato Corso Inghilterra, circa 15 minuti a piedi.