Iniziativa: "Sessione di Studio" a Milano

Транскрипт

1 Iniziativa: "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato, un incontro che vedrà l'intervento dei seguenti relatori: Fabrizio Bulgarelli (Mazars) Alberto Piamonte Natale Prampolini Pasquale Vinci (KPMG) Alfredo Gallistru, Chiara Gregis (PwC) 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare ERP Operational Security: un nuovo approccio per governare la sicurezza dei dati gestiti negli ERP COSO e Cobit5, è ancora possibile un approccio integrato? L'incontro avrà luogo a: Milano, 11 Aprile 2014 Presso UBIS UniCredit Business Integrated Solutions via Livio Cambi, 1 (MM1 - Lampugnano) come da agenda allegata. La Sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l anno 2014 (vedi scheda d iscrizione). Per aderire all iniziativa è richiesta la compilazione dell allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell AIEA, entro e non oltre il 9 Aprile p.v. Ricordiamo che la partecipazione all evento corrisponde sino a 4 ore di credito nell ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo! Il Consiglio Direttivo Milano, Aprile 2014

2 Abstract delle relazioni Fabrizio Bulgarelli (Mazars), Alberto Piamonte, Natale Prampolini 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare ed implementare Il 2 luglio 2013 Banca d Italia ha emanato in via definitiva il 15 aggiornamento della Circolare n. 263 del 26 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche in materia di controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari. Il Framework COBIT5 ha le caratteristiche che ne suggeriscono l utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni: fornire una guida autorevole ed universalmente accettata per la valutazione della reale capacità dei processi, l individuazione delle carenze (gap) e l implementazione delle eventuali azioni correttive; dare uno schema di riferimento generalizzato, allineato con i principali standards, in grado di fornire una semplice architettura che porti alla realizzazione di soluzioni coerenti ed integrate (contrapposte ad un approccio che preveda varie iniziative scollegate), evitando disallineamenti e duplicazioni anche rispetto ad altre iniziative non direttamente collegate alla direttiva; provvedere, per quanto riguarda l IT, una guida alla comprensione ed implementazione delle funzioni di Governance a Management richieste da BI. In quest ambito AIEA ha sviluppato un approccio metodologico originale di COBIT5 Implementation, estendibile a problematiche analoghe, mettendo anche a punto alcuni strumenti di lavoro. L intervento riprende i concetti della precedente sessione di studio e fornisce ulteriori approfondimenti / spunti / aggiornamenti sul tema. Verranno quindi presentati: Metodologia in generale Sintesi dei risultati della ricerca Considerazioni sui requisiti minimi per l adozione della metodologia (conoscenze e tempi) e delle iniziative di AIEA rivolte a soddisfarli (Formazione, Workshop tematici, traduzioni di manuali) Ultimi aggiornamenti sul tema. Pasquale Vinci (KPMG) ERP Operational Security: un nuovo approccio per governare la sicurezza dei dati gestiti negli ERP Quando si parla di sicurezza degli ERP ci si concentra spesso sulla sicurezza sui privilegi di accesso orientata prevalentemente alle analisi delle autorizzazioni utenti con lo scopo di rilevare e di ridurre i privilegi incompatibili con le mansioni organizzative e che potrebbero causare frodi aziendali. La sicurezza dell infrastruttura a supporto del sistema ERP (sistemi operativi, database, etc.) è in capo agli architetti di sistema che si limitano a mantenere il sistema attivo e ad applicare soluzioni naif. I sistemi ERP sono solitamente esclusi da interventi di valutazione della sicurezza: paura di interrompere il servizio e mancanza di conoscenza impedisce ai responsabili di sicurezza di testare questa infrastruttura "Mission Critical". La conseguenza è che molte implementazioni di ERP non sono sicure e risultano continuamente esposte a diversi tipi di attacchi. Si tende dunque a proteggersi perlopiù da dipendenti interni piuttosto che da possibili intrusi esterni. Nasce quindi l idea di messa in sicurezza dell infrastruttura tecnologica a supporto dell ERP, la quale si propone di identificare, controllare e proteggere informazioni non classificate mettendo in atto misure (passive e/o attive) con lo scopo di eliminare o ridurre tracce di informazioni ad un

3 potenziale nemico. L intervento illustra un approccio tecnico metodologico per consentire lo svolgimento di una puntuale valutazione della sicurezza infrastrutturale dei sistemi ERP, e per gestire e monitorare nel tempo il livello di protezione dei dati in essi gestiti. Alfredo Gallistru, Chiara Gregis (PwC) COSO e Cobit5, è ancora possibile un approccio integrato? Le linee guida dettate dal COSO (Committee of Sponsoring Organizations of the Treadway Commission) e dal COBIT sono state storicamente utilizzate in modo complementare per la definizione del sistema di controllo interno, anche precedentemente all emanazione del Sarbanes- Oxley Act del A seguito delle rispettive evoluzioni avvenute nel corso degli ultimi anni, i due framework sono ancora compatibili e complementari? ISACA ha recentemente sviluppato un white paper dal titolo Relating the COSO Internal Control Integrated Framework and COBIT in cui illustra come il modello proposto dal Cobit5 si riconduce al nuovo COSO framework.

4 Relatori Fabrizio Bulgarelli (Mazars) Svolge da oltre 25 anni attività in ambito Information Technology con interventi di audit e compliance dei sistemi informativi presso importanti Società del settore bancario, industriale, finanziario e della pubblica amministrazione. Applica i principi e le tecniche di auditing previsti dagli standard internazionali quali COBIT, ISO e ITIL. E responsabile del team IT Audit e Compliance presso Mazars SpA. E Consigliere Direttivo di AIEA () ISACA Milan Chapter. E certificato COBIT 5 Foundation, Sicurezza Informatica ISO27001, Continuità Operativa ISO22301 e Privacy Officer ISO17024, che applica costantemente durante tutte le sue attività. Presidia e coordina i progetti per la Continuità Operativa (art. 50bis del CAD) nelle Pubbliche Amministrazione dell Alto Adige, in collaborazione con Agenzia per l Italia Digitale (ex Cnipa/DigitPA). Alberto Piamonte Laureato nell Università di Padova in Ingegneria Elettronica, si occupa attualmente dello sviluppo di strumenti automatizzati e metodologie per l analisi e gestione dei rischi, la certificazione conformità e la realizzazione di efficaci ed efficienti sistemi di controllo e di governo. Oltre che svolgere in prima persona attività di consulenza, Consigliere AIEA con il ruolo di Research Director, si occupa attivamente dei problemi relativi al governo dei sistemi IT tenendo frequenti corsi e seminari su metodologie quali COBIT, ITIL e ISO27001 ed alla sensibilizzazione e diffusione delle relative tematiche. Inizia la sua carriera come ricercatore IBM con permanenza più che decennale nei laboratori di ricerca e sviluppo (USA, Germania, Svezia ed Italia) occupandosi principalmente di comunicazioni (SNA) e relativi problemi di sicurezza. Successivamente, come Direttore Responsabile del Marketing Olivetti per le Pubbliche Amministrazioni, è stato coinvolti nella gestione e realizzazione di grandi progetti Più recentemente come Direttore Software Europa di Amdahl Corporation si è occupato delle problematiche di gestione e sicurezza di grandi reti di utenti. Natale Prampolini Laureato in Ingegneria Meccanica, dal 1977 nel settore dell ICT. Attualmente consulente senior di aziende dei settori Finance, Telco, Sanità, PA e Manifatturiero. Ha conseguito numerose certificazioni, tra cui: Lead Auditor ISO27001:2013, Auditor ISO 20000, CISA, CISM, CobiT5, ITIL v.3, ISO20000, CMMI Dev 1.2 Appraiser, Lead Auditpr ISO Le esperienze pregresse comprendono posizioni di responsabilità in primarie aziende del settore, come Sun Microsystems, ITS e Olivetti. Impegnato dall'inizio della suo percorso lavorativo sui temi emergenti nel settore ICT, ha sempre cercato di coniugare la tecnologia con la fattibilità e gli aspetti di business. Le conoscenze comprendono strategie per le architetture dei sistemi informativi, progettazione di infrastrutture tecnologiche, politiche di sicurezza, Governance, Risk & Compliance, metodologie di sviluppo di qualità e valutazione delle prestazioni. Socio AIEA dal 2002, Proboviro nel triennio e

5 Pasquale Vinci (KPMG) Project Leader presso la divisione IT Advisory di KPMG, si occupa di sicurezza informatica da oltre 8 anni. Ha conseguito la certificazione CISA, CISSP e OPST. Ha maturato esperienze significative in progetti complessi nelle seguenti aree di intervento: IT Governance Risk & Compliance, Information System Audit, Segregation of Duties, Controllo Accessi con particolare attenzione al ruolo dell'infrastrutura applicativa di sistemi ERP. Attualmente è coinvolto in progetti inerenti l audit di sistemi informativi, l implementazione di controlli di sicurezza logica di sistemi ERP complessi al fine di migliorare le corrette impostazioni secondo best practice di settore e lo sviluppo di software per l identificazione automatica di frodi informatiche. Alfredo Gallistru (PwC) Socio di PwC responsabile del Gruppo IT Risk Assurance, ha iniziato nel 1991 a maturare una significativa esperienza professionale in attività di implementazione, valutazione e validazione del sistema di controllo interno, progetti di implementazione di processi di IT Governance con l utilizzo dei framework internazionali di riferimento COBIT e Val IT, progettazione, esecuzione e valutazione dei risultati delle procedure automatiche di revisione (CAAT), implementazione, valutazione e validazione dei controlli generali IT e dei controlli automatici. Socio AIEA dal 2001, fa parte del Consiglio Direttivo, nel quale attualmente ricopre il ruolo di Vice Presidente. E certificato CISA, CISM, CGEIT, CIA, ISO27001 Lead Auditor. Chiara Gregis (PwC) Laureata in Ingegneria Gestionale al Politecnico di Torino, nel 2006 inizia il proprio percorso professionale in PwC nella practice Systems & Process Assurance. Attualmente è Manager nel gruppo Risk Assurance e si occupa principalmente di tematiche gestione del rischio, sistemi di controllo interno e di compliance. Diventa socia AIEA nel 2007 e dal 2013 collabora attivamente con l associazione partecipando come istruttore al corso di preparazione all esame CISA. E certificata CISA e ISO27001 Lead Auditor.

6 14.00 Registrazionee dei partecipanti Apertura dei lavori Fabrizio Bulgarelli (Mazars), Alberto Piamonte, Natalee Prampolini 15 aggiornamento Circ. n. 263 Bankit: COBIT5 per pianificare edd implementare Pasquale Vinci (KPMG) ERP Operational Security: un nuovo approccio per governare g la sicurezza dei dati gestiti negli ERP Coffee Break PROGRAMMA Alfredo Gallistru, Chiara Gregis (PwC) COSO e Cobit5, è ancoraa possibile un approccio integrato? Dibattito con i relatori Termine dei lavori In collaborazione con: GOLDE EN SPONSOR SILVER SPONSOR Milano Via Valla, 16 Tel. +39/02/ Fax. +39/02/ / [email protected] P.IVA C.F

7 Come arrivarci: Mezzi pubblici (raccomandato) Metropolitana 1, linea rossa, fermata Lampugnano: Usciti dalla metropolitana si gira a destra e s incontra subito il complesso che ospita l evento. L ingresso è situato tra i due palazzi In Auto (sconsigliato) Ingresso Milano Certosa, seguire indicazioni per Parcheggio Lampugnano MM1 Usciti dal parcheggio si trova la fermata della metropolitana sulla destra, si prosegue diritto e s incontra subito il complesso che ospita l evento. L ingresso è situato tra i due palazzi