Gentili Associati, "Sessione di Studio" Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall'associazione Italiana Information Systems Auditors volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che avrà luogo a Milano, 26 marzo 2009 Nell ambito del Security Summit C/o Atahotel Executive Viale Don Luigi Sturzo 45 (MM2 P.ta Garibaldi) come da agenda allegata. La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l anno 2009, vedi scheda d iscrizione. Per aderire all iniziativa è richiesta la compilazione dell allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell AIEA, entro e non oltre il 24 marzo p.v. Ricordiamo che la partecipazione all evento corrisponde fino a 4 ore di credito nell ambito del CISA/CISM Continuing Education (CPE). Vi aspettiamo numerosi!! Il Presidente (Silvano Ongetta) Milano, febbraio 2009
Abstract delle relazioni Claudio Telmon e Fabrizio Baiardi (Università Pisa) Il cigno nero Le recenti vicende finanziarie hanno messo in evidenza i rischi associati ad un uso improprio degli strumenti statistici nel tentativo di valutare la probabilità di eventi futuri. Il professor Nassim Taleb, nella sua analisi dell'uso della statistica in ambito finanziario, indica con il termine "cigno nero" un evento di altissimo impatto e bassa probabilità, difficilmente ipotizzabile a priori ma facilmente giustificabile a posteriori, e mostra come in presenza di questi eventi l'uso di strumenti statistici per la gestione del rischio sia del tutto inadeguata. Anche il campo della sicurezza ICT, estremamente incerto e in rapida evoluzione, è caratterizzato dalla difficoltà di utilizzare informazioni di tipo statistico sugli eventi passati nella previsione degli eventi futuri, nonché dalla presenza di eventi a bassa probabilità e ad alto impatto. In questo intervento si vuole riflettere sui limiti di un approccio statistico alla valutazione del rischio nella sicurezza ICT, e si vogliono analizzare le possibili alternative per meglio affrontare i cigni neri. Gianluca Vadruccio (Hacking Team) La tutela del patrimonio informativo Il tema della tutela del patrimonio informativo riveste sempre più importanza, soprattutto a causa degli eventi dell ultimo anno, riguardanti la rilevante circolazione di malware per la raccolta fraudolenta di informazioni e la fuga di intellectual properties occorsa in svariate occasioni. La perdita ovvero il furto di informazioni riservate rientra nel più generale tema della perdita di confidenzialità, che può essere inteso come sottrazione di informazioni riservate da parte di entità esterne o di personale interno. La presentazione tratta in particolare queste due fattispecie, analizzando i rischi connessi con esse e le possibili contromisure tecnologiche ed organizzative. Leonardo Nobile (Deloitte ERS) Il COBIT come utilizzato da CNIPA COBIT 4.1 e' un modello di best practices per la gestione ed il controllo dell'it creato dall'isaca e dall'itgi. AIEA, il capitolo di Milano dell'isaca, tra le attività istituzionali, promuove e partecipa a gruppi di lavoro per l'approfondimento dell'applicazione di COBIT nell'ambito della Governance IT. L'intervento ha l'obiettivo da un lato di fornire una overview delle principali componenti di COBIT e dall'altro di descrivere la partecipazione di AIEA al Gruppo di Lavoro CNIPA sul tema della Linee guida sulla qualità dei beni e dei servizi ICT della Pubblica Amministrazione.
Relatori Fabrizio Baiardi (Dipartimento di Informatica, Università di Pisa) Professore ordinario presso il Dipartimento di Informatica, presiede la laurea in Informatica Applicata presso il Polo di La Spezia ed è docente di corsi sulla sicurezza informatica. Ha coordinato le collaborazioni con la Polizia Postale e delle Telecomunicazioni, il Comando Generale dell Arma dei Carabinieri ed Enel Distribuzione. La sua attività di ricerca è focalizzata su strumenti matematici per la valutazione e la gestione del rischio e la sicurezza di infrastrutture informatiche. Claudio Telmon Consulente freelance nel campo della sicurezza da quasi quindici anni. Ha gestito il laboratorio di sicurezza del Dipartimento di Informatica dell'università di Pisa, ed in seguito ha continuato a collaborare con il Dipartimento per attività di didattica e di ricerca, in particolare nel campo della gestione del rischio. Si è occupato come professionista dei diversi aspetti tecnologici e organizzativi della sicurezza, lavorando per aziende del settore finanziario, delle telecomunicazioni e per pubbliche amministrazioni. Membro del comitato direttivo del CLUSIT e socio fondatore e membro del comitato direttivo di AIPSI. Gianluca Vadruccio (Hacking Team) Ingegnere Informatico, è attualmente direttore tecnico di Hacking Team. Ha coordinato numerosi progetti di sicurezza, volti sia alla implementazione di sistemi di protezione di varia natura (Identity e Role Management; Intrusion Detection System (IDS) e Intrusion Prevention System (IPS); sistemi di url filtering, mail filtering, antispam, anti-phishing), sia alla rilevazione dei punti di debolezza. Leonardo Nobile (CISA, CISM) Laurea in Economia e Commercio, master MBA. Dopo una prima esperienza nel gruppo IBM entra in Arthur Andersen nel 96 nella divisione Technology Risk Consulting. Attualmente è Director di Deloitte ERS Enterprise Risk Services ed è responsabile del team Technology Risk Services dell Area Centro Sud. Ha maturato esperienze nell analisi e valutazione dei processi organizzativi IT, supporto alle attività di auditing finanziario, valutazione dei controlli applicativi, definizione e valutazione della conformità alla SOX, 262 e privacy, start up funzioni di IT Auditing, valutazione progetti di migrazione, conformità ai requisiti PCI DSS, sicurezza IT e IT Due Diligence.
PROGRAMMA In collaborazione con: 14.00 Registrazione dei partecipanti 14.15 Introduzione dei lavori da parte del Chairman 14.30 Claudio Telmon / Fabrizio Baiardi (Università di Pisa) Il cigno nero 15.30 Gianluca Vadruccio (Hacking Team) La tutela del patrimonio informativo 16.30 Leonardo Nobile (Deloitte ERS) Il COBIT come utilizzato da CNIPA 17.30 Domande e dibattito con i relatori 18.00 Aperitivo 1 La partecipazione all evento in oggetto corrisponde sino a 4 ore di credito nell ambito del CISA/CISM Continuing Education.
Come arrivarci: Mezzi pubblici (raccomandato) Metropolitana 2, linea verde, fermata P.ta Garibaldi FF.SS, stazione P.ta Garibaldi In Auto (assolutamente sconsigliato)