Relatori, argomenti ed approfondimenti del prossimo seminario.

http://www.isacaroma.it/html/newsletter/?q=node/31

http://www.isacaroma.it/pdf/news/0411-041214.pdf

Il seminario

Il 14 dicembre 2004, presso l’auditorium di ATAC, via Volturno 65, si terrà il seminario di ISACAROMA dedicato ai temi della sicurezza, auditing e governance dei sistemi informativi aziendali.

Il programma previsto è il seguente:

Ore 14.00 - Apertura dei lavori

Ore 14.30 - Paolo Spagnoletti, LUISS Investigazioni telematiche. Aspetti organizzativi e tecnici

Ore 15.15 - Marco Onofri, BNL, Basilea II . Problematiche, impatti organizzativi e informatici.

Pausa caffè

Ore 16.15 - Cesare De Santis, OASI, Virus dal 2003 al 2004 ed oltre. Evoluzione della specie. A cosa dobbiamo prepararci?

Ore 17.00 - Dibattito

Ore 17.30 – Termine dei lavori

La partecipazione all’evento è gratuita previo conferma via email a:

eventi (AT) isacaroma.it

indicando come oggetto: “Seminario del 14.12.2004” e riportando nel testo il nominativo del partecipante; la partecipazione permette di ottenere 3 ore di credito nell’ambito della CISA e CISM Continuing Education Policy per il mantenimento delle certificazioni.

Per ogni aggiornamento far riferimento alla pagina del sito:

http://www.isacaroma.it/html/GiornateDiStudio.html

Investigazioni telematiche. Aspetti organizzativi e tecnici

Il relatore

L’ingegner Paolo Spagnoletti, Ufficiale in congedo dell’Arma dei Carabinieri, ha prestato servizio nella sezione progetti e nella sezione pianificazione strategica dell’Ufficio Informatica e Tlc del Comando Generale dell’Arma dei Carabinieri dove ha svolto attività di project management, di studio di fattibilità e di valutazione di diversi progetti nell’area IT ed in particolare di analisi di mercato e progettazione per architetture di sicurezza. Attualmente è ricercatore e collaboratore di cattedra presso la Facoltà di Economia, PhD student in Sistemi Informativi presso l’Università LUISS “Guido Carli” e consulente ICT. Gli interessi di ricerca si concentrano sugli aspetti organizzativi e tecnologici dell’Information System Security e della Computer and intrusion forensics.

La presentazione

La sempre crescente quantità di dati scambiati e memorizzati con il supporto dei moderni sistemi informativi in ambito PA, aziendale e privato, richiede l’utilizzo di metodologie, tecniche e strumenti d’indagine particolari sia per il funzionamento dei processi di monitoraggio e auditing che per la gestione, vista in termini di prevenzione o indagine, dei crimini telematici. Nel corso dell’intervento saranno introdotti i concetti di digital evidence, cybercrime, e computer forensics, e ne sarà illustrata l’applicabilità ai contesti aziendali in rapporto alla gestione delle minacce interne, determinate da comportamenti opportunistici degli stessi membri delle organizzazioni. Sarà inoltre messo in luce il rapporto tra la tematica delle investigazioni telematiche e quella dell’Information System security management e saranno infine elencati una serie di strumenti e tecniche di indagine, necessari a portare a termine i processi investigativi in maniera efficace.

Un’attenzione particolare sarà rivolta a contesti in cui la raccolta e l’analisi delle prove va fatta in ambienti in cui le informazioni sono distribuite su sistemi interconnessi ed eterogenei. Da quanto detto appare evidente come sia necessario adottare un approccio multidisciplinare per affrontare le tematiche sopra descritte ed in particolare come le competenze richieste siano da ricercare tanto nell’ingegneria e nelle scienze naturali quanto nelle scienze sociali, nella psicologia e nelle discipline giuridiche. Un percorso analogo è stato affrontato negli ultimi anni per quelle aree dell’ICT dove il comportamento umano rappresenta una componente di rilievo, quali l’IS design e l’IS Security management, e che hanno visto fallire approcci meccanicistici basati esclusivamente su strumenti e soluzioni di tipo tecnologico.

Approfondimenti

• Computer and Intrusion Forensics By G.Mohay, A. Anderson e altri. Artech House 2003
• Handbook of Computer Crime Investigation by Eoghan Casey
• Computer Forensics by Warren G. Kruse II, Jay G. Heiser
• Digital Evidence and Computer Crime by Eoghan Casey
• Investigative Data Mining for Security and criminal detection by Jesus Mena
• Association of Chief Police Officers (ACPO), National High-Tech Crime Unit (NHTCU)
• “Good Practice Guide for Computer based Electronic Evidence”, UK.
• A Methodology for Computer Forensics Analysis by Roberto Di Pietro and Luigi V. Mancini
• G. Me, P. Spagnoletti: A Survey of PDA Forensic Investigation, CSREA International Conference on Wireless Networks: 583-590

Basilea II . Problematiche, impatti organizzativi e informatici

Il relatore

Il dottor Marco Onofri, lavora presso Servizio ICT Auditing della Direzione Auditing della BNL, Banca Nazionale del Lavoro. Si occupa del monitoraggio di progetti informatici e della rilevazione/riorganizzazione dei processi organizzativi sia presso la capogruppo che presso le società partecipate. È referente della Direzione per i rapporti con le società di revisione in merito agli aspetti informatici.

Precedentemente ha lavorato in Reconta Ernst & Young ed in SIPE Optimation del gruppo EDS.

La presentazione

Nel 1974 le Banche Centrali appartenenti al G10 hanno costituito il Comitato di Basilea per la Vigilanza Bancaria al fine di analizzare il contesto internazionale e formulare delle indicazioni comuni per una regolamentazione di vigilanza bancaria che assicurassero stabilità al sistema complessivo.

Nel 1988, con il cosiddetto “BASILEA 1”, furono introdotti precisi requisiti patrimoniali rispetto al rischio di credito

Nel 1999 con l’aggiornamento noto come “BASILEA 2” sono state estese le categorie di rischio e le regole per la quantificazione dei rischi ed introdotti nuovi principi guida per la supervisione degli organismi di controllo nazionali, volti ad assicurare che gli intermediari si dotassero di adeguati sistemi di misurazione e controllo del rischio.

BASILEA 2 ha importanti effetti sull’attività dell’ Internal Auditing che si estende alla valutazione della:

• adeguatezza ed efficacia del Sistema dei Controlli Interni (SCI);
• economicità ed efficienza delle operazioni;
• affidabilità e tempestività del reporting

nonché alla verifica della:

• applicazione ed efficacia delle procedure di gestione del rischio;
• accuratezza ed affidabilità delle scritture contabili;
• conformità ai requisiti legali e di vigilanza.

A riguardo il Comitato di Basilea ha adottato un modello di controllo che si basa sulle stesse caratteristiche messe a punto dal Committee of Sponsoring Organization, il cosiddetto CoSO Report, che si fonda sui seguenti principi:

sorveglianza da parte degli organi direttivi (ambiente di controllo);

• valutazione dei rischi;
• struttura dei controlli;
• informazioni e comunicazioni (struttura dei flussi informativi);
• ·attività di monitoraggio.

Approfondimenti

Bank for international settlements: http://www.bis.org

Associazione Bancaria Italiana: http://www.abi.it

Banca d’Italia: http://www.bancaditalia.it

Commissione nazionale per le Società e la Borsa: http://www.consob.it

IT Governance Istitute: http://www.itgi.org

Information Systems Audit and Controll Association: http://www.isaca.org

Virus dal 2003 al 2004 ed oltre. Evoluzione della specie. A cosa dobbiamo prepararci?

Il relatore

Il dottor Cesare De Santis, CISM, lavora in OASI – Outsourcing Applicativo e Servizi Innovativi S.p.A.

Laureato in scienze statistiche ed attuariali opera da circa trenta anni sui sistemi informativi, in particolare delle banche. Negli ultimi quindici anni si è occupato di sicurezza informatica ed auditing dei sistemi informativi, coordinando diversi progetti su clienti bancari ed outsourcer informatici con l’utilizzo di metodologie di audit riconosciute in campo internazionale (CobiT). Coordina le attività aziendali di progetti, consulenze e formazione sulla tutela dei dati personali.

La presentazione

L’intervento affronta il tema dell’uso sicuro della posta elettronica in azienda e presenta i risultati delle indagini sulla diffusione dei virus e codici malevoli svolte dal servizio SECURITYNET di OASI SpA.

La rilevazione sui virus è relativa al periodo gennaio-dicembre 2003; nel 2003 la tendenza più importante è stata rappresentata dall’assoluta predominanza degli Internet worm. In un certo senso è tramontata l’era dei virus ed è iniziata quella dei network worm.

Infine sono fornite indicazioni su come affrontare le problematiche di sicurezza relative ai virus dal punto di vista degli adempimenti richiesti da “Il Codice in materia di protezione dei dati personali”.

Approfondimenti

http://www.oasi-securitynet.it/