Isacaroma Newsletter - IsacaRoma Newsletter

Intervista ad Andrea Pirotti, direttore esecutivo di ENISA

Mon, 07 Jan 2008 04:37:54 +0100

080106-intervista-andrea-pirotti-enisa Agatino Grillo (AG): Buongiorno dottor Pirotti e grazie per la collaborazione. Lei è, dall'ottobre 2004, il direttore esecutivo di ENISA, l'Agenzia Europea per la Sicurezza delle Reti e dei Sistemi Informatici. Può farci una rapida presentazione della sua carriera professionale?

Risk Management – Intervista ad Alessandro Sinibaldi

Wed, 05 Dec 2007 07:48:33 +0100

071205-intervista-alessandro-sinibaldi Agatino Grillo (AG): Ciao Alessandro e grazie per la collaborazione. Vuoi fare una tua rapida presentazione professionale e personale?

Seminario IsacaRoma del 11 dicembre 2007 (Risk Management)

Tue, 04 Dec 2007 06:31:40 +0100

07-risk Il prossimo 11 dicembre 2007 a Roma, presso la sede CA di Viale Città d'Europa n. 679, si svolgerà un seminario gratuito organizzato da IsacaRoma, capitolo di ISACA, l'associazione degli IS Auditor e IT Security Manager.

Programma

14.15 Registrazione partecipanti
14.30 Dott. Alessandro Sinibaldi - Risk Management: concetti e metodologie, prima parte
16.00 Coffe break
16.15 Dott. Alessandro Sinibaldi - Risk Management: concetti e metodologie, seconda parte
17.45 Dibattito
18.00 Chiusura lavori

La partecipazione all'incontro è gratuita ed è gradito l'invio di una email di iscrizione come indicato nella pagina di IsacaRoma dedicata all’evento.

ISACA: Mapping tra COBIT 4.1 e NIST SP800

Thu, 22 Nov 2007 14:36:35 +0100

071122-isaca-conit-mapping-nist-sp800 ISACA ha rilasciato (pdf, 58 pp, 707 K, download solo per gli associati) una nuova pubblicazione della serie "COBIT Mapping” dedicata alla cross-reference tra COBIT 4.1 e la guida NIST SP800-53 Rev 1- "Recommended Security Controls for Federal Information Systems".

Cos’è COBIT?

COBIT, Control Objectives for Information and related Technology, è un insieme di best practice per la gestione manageriale dell'informatica aziendale. Si tratta di un vero e proprio framework di IT Governance creato originariamente da ISACA, Information Systems Audit and Control Association e successivamente gestito in partnership con l’IT Governance Institute (ITGI). La versione attuale, del maggio 2007, è la 4.1.

ISACA: Nuova IS Auditing Guideline – Organizzazione IT (in bozza)

Tue, 30 Oct 2007 14:55:50 +0100

071030-isaca-draft-guideline ISACA USA ha pubblicato, in bozza, la linea guida "IT Organisation" (pdf, 12 pp, 121 K). Il documento è una guida per applicare in pratica l’IS Auditing Standard S10 "IT Governance" (qui in italiano, pdf, 60 K, 2 pp).

Indice del documento

1. Background
1.1 Linkage to Standards
1.2 Linkage to COBIT
1.3 COBIT Reference
1.4 Purpose of the Guideline
1.5 Guideline Application
2. The IT organisation
2.1 Types of Organisations
2.2 IT Alignment
2.3 IT Strategic Plan
2.4 IT Steering Committee
2.5 Organisational Placement of the IT Function and Supporting Functions
2.6 IT Organisational Structure
2.7 Roles and Responsibilities
2.8 Responsibility for IT Quality Assurance
2.9 Process Outsourcing
2.10 IT Infrastructure and Computer Operations
2.11 Operations Procedures and Tasks
2.12 Application Development
2.13 Contract Adherence of the IT Function Utilising an Outsourcing Arrangement
2.14 Procedures Regarding Third Parties
2.15 Responsibility for Risk, Security and Compliance
2.16 Personnel Recruitment and Retention
3. Audit process
3.1 Planning
3.2 IS Audit Objectives
3.3 Scope of the Audit
3.4 Staffing
4. Performance of audit work
4.1 Review of the IT Organisation and the Strategic Planning Process
5. Reporting
5.1 Report Generation and Follow-up
6. Effective date

Lo standard framework

È utile ricordare che il framework di Audit proposto da ISACA si articola in tre livelli:

ISACA: COBIT per Basilea II (versione definitiva)

Mon, 29 Oct 2007 10:48:41 +0100

071029-cobit-per-basilea ISACA USA annuncia la disponibilità della versione definitiva di "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance". Il documento può essere scaricato (per gli associati) in formato pdf (1 M, 105 pp) o acquistato on line nella versione cartacea (20 dollari per gli associati, 50 per gli altri). Il 16 maggio 2007 ISACA aveva pubblicato la prima bozza del documento di cui avevo tradotto l’indice, la prefazione e l’executive summary.

Sintesi degli interventi al workshop "Il rischio di compliance: implicazioni organizzative e di controllo", Università di Pisa

Sun, 14 Oct 2007 10:39:14 +0200

La dottoressa Laura Ciccacci ha scritto un rendiconto degli interventi che hanno avuto luogo al workshop sulla Compliance organizzato dall’Università di Pisa lo scorso 5 ottobre 2007. Il rebdiconto (diviso in due parti) è disponibile sul sito www.Compliancenet.it che ha pubblicato, recentemente, anche il mio "Cos’è la Compliance?".

JOnline, articoli di settembre 2007

Thu, 04 Oct 2007 19:50:18 +0200

071005-isaca-jol ISACA annuncia che sono disponibili (solo per gli associati) nuovi articoli in JOnline la versione on line dell'Information Systems Control Journal.
Gli articoli in JOnline sono disponibili esclusivamente agli associati per un anno dalla loro pubblicazione; successivamente diventano

AICOM: terzo convegno Compliance (Roma, 21 settembre 2007) - disponibili le presentazioni

Fri, 28 Sep 2007 16:35:20 +0200

1 Sul sito dell'Associazione Italiana Compliance (AICOM) sono disponibili le presentazioni effettuate durante il convegno "Strategie, governance, compliance: le sfide della direttiva Mifid e l'integrazione del mercato finanziario europeo" che si è tenuto il 21 settembre 2007 a Roma, presso Dexia-Crediop, con il patrocinio di AICOM.

ISACA: Information Systems Control Journal - Value and Performance in IT

Fri, 28 Sep 2007 07:36:11 +0200

1 ISACA, l’associazione internazionale degli IS Auditor e Security Manager ha pubblicato il volume Volume 5 del 2007 del suo Information Systems Control Journal dal titolo "Value and Performance in IT". La consultazione on line (html e pdf) della rivista è riservata agli associati (a cui viene recapitata anche in formato cartaceo) dotati di credenziali di autenticazione ma dopo qualche mese dalla sua pubblicazione viene rese disponibile a tutti (al momento l'ultimo numero "liberato" è il volume Volume 4 del 2006 dedicato a "Audit, Control and Security of Wireless Technologies" ).

Banca d’Italia: Istruzioni di vigilanza sulla Compliance

Thu, 12 Jul 2007 21:00:12 +0200

070712-bankit-compliance La Banca d’Italia ha emanato, il 12 luglio 2007, le disposizioni di vigilanza per le banche in materia di conformità alla norme (pdf, 50 K, 9 pp) , la cosiddetta Compliance. In linea con gli orientamenti emersi in sede internazionale, le Istruzioni:

definiscono ruoli e responsabilità degli organi di vertice delle banche in materia;
richiedono la costituzione di una funzione di Compliance quale elemento integrante del sistema dei controlli interni;
assegnano a tale funzione il presidio e la gestione del rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative o di autoregolamentazione (rischio di compliance).

Le disposizioni di vigilanza, in attuazione del principio di proporzionalità, "recano previsioni particolari" per l’articolazione della funzione all’interno dei gruppi bancari e nelle realtà aziendali minori.

Garante Privacy: Guida pratica e misure di semplificazione per le piccole e medie imprese

Fri, 22 Jun 2007 14:50:07 +0200

070622-guidaprivacypmi Il 22 giugno 2007 il Garante per la protezione dei dati personali ha pubblicato la sua "Guida pratica e misure di semplificazione per le piccole e medie imprese" (html e pdf 649 K). La guida, sotto forma di FAQ (Frequently Asked Questions) cioè di "domande e risposte" intende fornire a chi opera nella realtà delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione. La guida è completata da una check list relativa i principali adempimenti richiesti dal decreto legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali).

Garante Privacy: provvedimenti contro le compagnie telefoniche per comportamenti illeciti dei loro call center

Fri, 15 Jun 2007 11:14:33 +0200

070615-garante-telefoni Il Garante per la protezione dei dati personali, anche a seguito di innumerevoli segnalazioni e proteste giunte da cittadini infastiditi dalle continue telefonate "commerciali" dei call center delle compagnie telefoniche nonché sulla base dei risultati delle ispezioni predisposte, ha intimato a Fastweb, Tele2 Italia, Telecom Italia, Tiscali e Wind di interrompere entro il 5 luglio 2007 qualsiasi trattamento non autorizzato (leggi: telefonate non desiderate) e di adottare entro il 10 settembre 2007 misure di carattere organizzativo, tecnico e procedurale per garantire il rispetto dei cittadini. In particolare, gestori e call center dovranno:

interrompere l'uso indebito di numeri telefonici raccolti ed utilizzati a scopi commerciali senza il previsto consenso da parte degli interessati;
regolarizzare le banche dati informando gli utenti e ottenendo da essi lo specifico consenso all'utilizzo dei dati per scopi pubblicitari;
informare con la massima trasparenza gli utenti anche al momento del contatto sulla provenienza dei dati e sul loro uso;
registrare la volontà degli utenti di non essere più disturbati;
interrompere l'utilizzo illecito di dati per attivare servizi non richiesti (segreterie, linee internet veloci);
effettuare controlli sui responsabili dei trattamenti svolti presso i diversi call center.

Il Garante ricorda che per violazioni relative ad omessa o insufficiente informativa agli utenti, nel corso del 2007 sono state già avviate nei confronti di fornitori di servizi di comunicazione elettronica e call center 44 procedimenti sanzionatori, 22 dei quali già definiti con il pagamento di somme per un totale di oltre 130 mila euro.

Seminario IsacaRoma del 21 giugno 2007

Thu, 14 Jun 2007 10:02:10 +0200

070614-seminario-isacaroma Il seminario si svolgerà a Roma presso la sede CA di Viale Città d'Europa, 679.

Programma

14.15 Registrazione partecipanti
14.30 Dott. Marco Tulliani (Sara S.p.A.), Controlli applicativi di input, elaborazione, output.
16.00 Coffe break
16.15 Ing. Stefano Maccaglia, Nessus Advanced Scripting Language un flessibile strumento a servizio del Penetration Tester
17.30 Dibattito
18.00 Chiusura lavori

La partecipazione all'incontro è gratuita ed è gradito l'invio di una email di iscrizione come indicato nella pagina dedicata all’evento.

IIA: IT Audit Giugno 2007

Tue, 12 Jun 2007 12:03:52 +0200

070612-itaudit-i L’Institute of Internal Auditors, IIA, ha pubblicato un nuovo numero di IT Audit (Vol. 10, 10 giugno 2007) il proprio magazine on line dedicato agli aspetti di audit della information technology.

Indice

Continuous Online Auditing in the Government Sector, di Zhu Wenming, CISA, Southeast University, China
Got XBRL? di Raquel Filipek, Editor, ITAudit
Evaluating Application Security Controls - Getting Started, di KK Mookhey, Chief Technology Officer, Network Intelligence India Pvt. Ltd.
New Developments
IT and Audit News
Tech Practices Update