Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che avrà luogo a: come da agenda allegata. Roma, 11 dicembre 2008 Presso Hotel Universo Sala Convegni- Via Principe Amedeo, 5/B La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA sino a tutto l anno 2009, vedi scheda d iscrizione. Per aderire all iniziativa è richiesta la compilazione dell allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell AIEA, entro e non oltre il 9 dicembre p.v. Ricordiamo che la partecipazione all evento corrisponde sino a 4 ore di credito nell ambito del CISA/CISM Continuing Education (CPE). In occasione della Sessione, verranno distribuiti: i PIN ai soci AIEA che si sono certificati CISA o CISM dal 2003 e che ISACA ha elencato come rispondenti ai requisiti richiesti da ISACA stessa le copie del terzo volume delle Guide AIEA Obiettivi di controllo IT per il Sarbanes Oxley Act - 2 Edizione le copie del quarto volume delle Guide AIEA COBIT 4.1 E ISO 27001- Confronto quantitativo e qualitativo Al termine, durante il brindisi natalizio, AIEA sarà lieta di offrire, ai presenti, un omaggio. Vi Aspettiamo! Il Presidente (S. Ongetta) Roma, novembre 2008
Abstract delle relazioni Luigi Vedani ITAF uno standard per l auditing ICT A fronte della crescente proliferazione di incarichi di verifica e controllo interno delle aree IT, ISACA ha emesso dall inizio del 2008 un framework di standardizzazione, ITAF. Il documento ha l obiettivo di strutturare e normalizzare lo svolgimento e la materia delle attività di auditing. Secondo le diverse nature di incarico, a fini di attestazione di controllo interno o di consulenza, vengono specificati gli elementi considerati obbligatori, gli elementi la cui valutazione è standard e le linee guida per l approccio a tematiche puntuali. Tra gli elementi obbligatori vi è, per esempio, la definizione dei criteri di auditing ovvero la selezione degli elementi di valutazione in base a COBIT o di altri standard di settore. Altri elementi in questa classe precisano le modalità obbligatorie di preparazione e svolgimento delle attività, piuttosto che i contenuti della valutazione del Controllo Interno e dell IT Governance. La parte dedicata agli elementi standard descrive e precisa in modo strutturato diverse aree di lavoro, come i General Controls e gli Application Controls. ITAF è destinato a divenire un elemento qualificante fondamentale della pratica professionale. La relazione presenterà l organizzazione dello standard e la sua collocazione rispetto agli altri documenti di ISACA, tra cui COBIT e il booklet di standard, linee guida e procedure. Claudio Telmon e Fabrizio Baiardi (Università Pisa) Il cigno nero Le recenti vicende finanziarie hanno messo in evidenza i rischi associati ad un uso improprio degli strumenti statistici nel tentativo di valutare la probabilità di eventi futuri. Il professor Nassim Taleb, nella sua analisi dell'uso della statistica in ambito finanziario, indica con il termine "cigno nero" un evento di altissimo impatto e bassa probabilità, difficilmente ipotizzabile a priori ma facilmente giustificabile a posteriori, e mostra come in presenza di questi eventi l'uso di strumenti statistici per la gestione del rischio sia del tutto inadeguata. Anche il campo della sicurezza ICT, estremamente incerto e in rapida evoluzione, è caratterizzato dalla difficoltà di utilizzare informazioni di tipo statistico sugli eventi passati nella previsione degli eventi futuri, nonché dalla presenza di eventi a bassa probabilità e ad alto impatto. In questo intervento si vuole riflettere sui limiti di un approccio statistico alla valutazione del rischio nella sicurezza ICT, e si vogliono analizzare le possibili alternative per meglio affrontare i cigni neri. Annalisa Ruggiero (Protiviti) Gestione degli incidenti informatici: organizzazione e strumenti a supporto La gestione e il monitoraggio della sicurezza sono un problema cruciale per tutte le organizzazioni che vogliono proteggere e promuovere il proprio business. Tutte le infrastrutture di sicurezza, persino le migliori, non possono infatti fornire la garanzia assoluta di protezione del sistema informativo: sebbene negli ultimi anni gli strumenti per il miglioramento della sicurezza abbiano fatto enormi progressi, la loro efficacia è sempre limitata. Standard e framework per la gestione e il governo della sicurezza delle informazioni indicano la necessità di disporre di strutture dedicate e strumenti adeguati per la gestione di tutti quegli eventi (incidenti, frodi, attacchi, malfunzionamenti, ecc) che minacciano la riservatezza, l'integrità e la disponibilità delle informazioni. La rilevazione, la valutazione e il contenimento di questo tipo di eventi non può essere gestita come un'attività tipica dei singoli sistemi utilizzati, ma è necessario disporre di un team qualificato, procedure specifiche e adeguati strumenti.
Relatori Luigi Vedani (Studio Ingegneria Luigi Vedani) E un professionista indipendente, certificato CISA e CISM e iscritto alla sezione di Ingegneria dell Informazione dell ordine degli Ingegneri di Cremona. Svolge incarichi di auditing ICT, revisione tecnica ed impiantistica di data centre, ingegneria delle informazioni, sviluppo e revisione software, consulenza in controllo interno ed IT Governance. Collabora con imprese ed istituzioni nazionali ed internazionali. Per AIEA è docente dei corsi di preparazione alla certificazione CISM e del corso di ICT Auditing base. Fabrizio Baiardi (Università di Pisa) Professore ordinario presso il Dipartimento di Informatica dell'università di Pisa dove presiede uno dei corsi di laurea in informatica. I suoi principali interessi di ricerca sono nel campo della sicurezza informatica ed i particolare la valutazione del rischio e la gestione di infrastrutture complesse. Claudio Telmon Consulente nel campo della sicurezza ICT, membro del comitato direttivo di CLUSIT e AIPSI, collabora con l'università di Pisa nella ricerca su tematiche di gestione del rischio. Annalisa Ruggiero Annalisa Ruggiero (Protiviti), Senior Consultant dell'area Technology Risk presso l'ufficio di Annalisa dove è coinvolta nei servizi Technology Risk Consulting. Nel corso della sua carriera professionale, Annalisa ha sviluppato competenze in Technology Management, Technology Risk Management, Information Security, Technology Infrastructure e valutazione del sistema di controllo interno IT per primari gruppi multinazionali. Ha preso parte a significativi progetti di IT Governance, Risk Management ed Information Security Assessment & Implementation
PROGRAMMA 14.00 Registrazione dei partecipanti 14.15 Apertura dei lavori e saluto: Donatella Rosa (Consiglio Direttivo AIEA) 14.30 Luigi Vedani (Studio Ingegneria Luigi Vedani) ITAF uno standard per l auditing ICT 15.30 Claudio Telmon e Fabrizio Baiardi (Università Pisa) Il cigno nero 16.30 Annalisa Ruggiero (Protiviti) Gestione degli incidenti informatici: organizzazione e strumenti a supporto 17.30 Domande e dibattito con i relatori 17.50 Aperitivo e brindisi natalizio 18.15 Termine dei lavori In collaborazione con: 1 La partecipazione all evento in oggetto corrisponde sino a 4 ore di credito nell ambito del CISA/CISM Continuing Education.
Come arrivarci: Mezzi pubblici (raccomandato) - Tutti i Bus ATAC con fermata e/o capolinea a Termini - Metropolitana A e B, fermata Termini: - Usciti dalla metropolitana si gira verso Via Cavour: seconda traversa a destra