Isacaroma Newsletter - Editoriale, Università, Education, Certificazioni professionali, Security, IT Governance, IS Audit & Control, Ottobre 2004, Settembre 2004, Avvisi, Novembre 2004, Dicembre 2004, Febbraio 2005, Gennaio 2005, IT Colloquia, Marzo 2005, Aprile 2005, Giugno 2005, Maggio 2005, Settembre 2005, Ottobre 2005, Crittografia, English, Novembre 2005, Antologia, Dicembre 2005, Programmazione, presidenti, Privacy, Gennaio 2006, CobiT, Febbraio 2006, Marzo 2006, Aprile 2006, Giugno 2006, Compliance, ISCOM, Luglio 2006, ENISA, Journal, Agosto 2006, IIA, Settembre 2006, Rischi, Ottobre 2006, Business Continuity, Finance, 231, Wikipedia, Owasp, week-end, ore16, Novembre 2006, Project Management, OT, Jobs, FSA, Dicembre 2006, Gennaio 2007, Febbraio 2007, Marzo 2007, Bankit, Mifid, Aprile 2007, Maggio 2007, Consob, Giugno 2007, Luglio 2007, Agosto 2007, Settembre 2007

Seminario IsacaRoma del 18 ottobre 2007 (mobile security e 231)

Fri, 28 Sep 2007 07:45:19 +0200

2 Il prossimo 18 ottobre 2007 a Roma, presso la sede CA di Viale Città d'Europa n. 679, si svolgerà un seminario gratuito organizzato da IsacaRoma, capitolo di ISACA, l'associazione degli IS Auditor e IT Security Manager.

Programma

14.15 Registrazione partecipanti
14.30 Ing. R. Ugolini – Mobile Security
16.00 Coffe break
16.15 Ing. A. Capeccioni – Legge 231
17.45 Dibattito
18.00 Chiusura lavori

La partecipazione all'incontro è gratuita ed è gradito l'invio di una email di iscrizione come indicato nella pagina di IsacaRoma dedicata all’evento.

Intervista ad Andrea Pirotti, direttore esecutivo di ENISA

Mon, 07 Jan 2008 04:37:54 +0100

080106-intervista-andrea-pirotti-enisa Agatino Grillo (AG): Buongiorno dottor Pirotti e grazie per la collaborazione. Lei è, dall'ottobre 2004, il direttore esecutivo di ENISA, l'Agenzia Europea per la Sicurezza delle Reti e dei Sistemi Informatici. Può farci una rapida presentazione della sua carriera professionale?

Risk Management – Intervista ad Alessandro Sinibaldi

Wed, 05 Dec 2007 07:48:33 +0100

071205-intervista-alessandro-sinibaldi Agatino Grillo (AG): Ciao Alessandro e grazie per la collaborazione. Vuoi fare una tua rapida presentazione professionale e personale?

Seminario IsacaRoma del 11 dicembre 2007 (Risk Management)

Tue, 04 Dec 2007 06:31:40 +0100

07-risk Il prossimo 11 dicembre 2007 a Roma, presso la sede CA di Viale Città d'Europa n. 679, si svolgerà un seminario gratuito organizzato da IsacaRoma, capitolo di ISACA, l'associazione degli IS Auditor e IT Security Manager.

Programma

14.15 Registrazione partecipanti
14.30 Dott. Alessandro Sinibaldi - Risk Management: concetti e metodologie, prima parte
16.00 Coffe break
16.15 Dott. Alessandro Sinibaldi - Risk Management: concetti e metodologie, seconda parte
17.45 Dibattito
18.00 Chiusura lavori

La partecipazione all'incontro è gratuita ed è gradito l'invio di una email di iscrizione come indicato nella pagina di IsacaRoma dedicata all’evento.

ISACA: Mapping tra COBIT 4.1 e NIST SP800

Thu, 22 Nov 2007 14:36:35 +0100

071122-isaca-conit-mapping-nist-sp800 ISACA ha rilasciato (pdf, 58 pp, 707 K, download solo per gli associati) una nuova pubblicazione della serie "COBIT Mapping” dedicata alla cross-reference tra COBIT 4.1 e la guida NIST SP800-53 Rev 1- "Recommended Security Controls for Federal Information Systems".

Cos’è COBIT?

COBIT, Control Objectives for Information and related Technology, è un insieme di best practice per la gestione manageriale dell'informatica aziendale. Si tratta di un vero e proprio framework di IT Governance creato originariamente da ISACA, Information Systems Audit and Control Association e successivamente gestito in partnership con l’IT Governance Institute (ITGI). La versione attuale, del maggio 2007, è la 4.1.

ISACA: Nuova IS Auditing Guideline – Organizzazione IT (in bozza)

Tue, 30 Oct 2007 14:55:50 +0100

071030-isaca-draft-guideline ISACA USA ha pubblicato, in bozza, la linea guida "IT Organisation" (pdf, 12 pp, 121 K). Il documento è una guida per applicare in pratica l’IS Auditing Standard S10 "IT Governance" (qui in italiano, pdf, 60 K, 2 pp).

Indice del documento

1. Background
1.1 Linkage to Standards
1.2 Linkage to COBIT
1.3 COBIT Reference
1.4 Purpose of the Guideline
1.5 Guideline Application
2. The IT organisation
2.1 Types of Organisations
2.2 IT Alignment
2.3 IT Strategic Plan
2.4 IT Steering Committee
2.5 Organisational Placement of the IT Function and Supporting Functions
2.6 IT Organisational Structure
2.7 Roles and Responsibilities
2.8 Responsibility for IT Quality Assurance
2.9 Process Outsourcing
2.10 IT Infrastructure and Computer Operations
2.11 Operations Procedures and Tasks
2.12 Application Development
2.13 Contract Adherence of the IT Function Utilising an Outsourcing Arrangement
2.14 Procedures Regarding Third Parties
2.15 Responsibility for Risk, Security and Compliance
2.16 Personnel Recruitment and Retention
3. Audit process
3.1 Planning
3.2 IS Audit Objectives
3.3 Scope of the Audit
3.4 Staffing
4. Performance of audit work
4.1 Review of the IT Organisation and the Strategic Planning Process
5. Reporting
5.1 Report Generation and Follow-up
6. Effective date

Lo standard framework

È utile ricordare che il framework di Audit proposto da ISACA si articola in tre livelli:

ISACA: COBIT per Basilea II (versione definitiva)

Mon, 29 Oct 2007 10:48:41 +0100

071029-cobit-per-basilea ISACA USA annuncia la disponibilità della versione definitiva di "IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance". Il documento può essere scaricato (per gli associati) in formato pdf (1 M, 105 pp) o acquistato on line nella versione cartacea (20 dollari per gli associati, 50 per gli altri). Il 16 maggio 2007 ISACA aveva pubblicato la prima bozza del documento di cui avevo tradotto l’indice, la prefazione e l’executive summary.

Sintesi degli interventi al workshop "Il rischio di compliance: implicazioni organizzative e di controllo", Università di Pisa

Sun, 14 Oct 2007 10:39:14 +0200

La dottoressa Laura Ciccacci ha scritto un rendiconto degli interventi che hanno avuto luogo al workshop sulla Compliance organizzato dall’Università di Pisa lo scorso 5 ottobre 2007. Il rebdiconto (diviso in due parti) è disponibile sul sito www.Compliancenet.it che ha pubblicato, recentemente, anche il mio "Cos’è la Compliance?".

JOnline, articoli di settembre 2007

Thu, 04 Oct 2007 19:50:18 +0200

071005-isaca-jol ISACA annuncia che sono disponibili (solo per gli associati) nuovi articoli in JOnline la versione on line dell'Information Systems Control Journal.
Gli articoli in JOnline sono disponibili esclusivamente agli associati per un anno dalla loro pubblicazione; successivamente diventano

AICOM: terzo convegno Compliance (Roma, 21 settembre 2007) - disponibili le presentazioni

Fri, 28 Sep 2007 16:35:20 +0200

1 Sul sito dell'Associazione Italiana Compliance (AICOM) sono disponibili le presentazioni effettuate durante il convegno "Strategie, governance, compliance: le sfide della direttiva Mifid e l'integrazione del mercato finanziario europeo" che si è tenuto il 21 settembre 2007 a Roma, presso Dexia-Crediop, con il patrocinio di AICOM.

ISACA: Information Systems Control Journal - Value and Performance in IT

Fri, 28 Sep 2007 07:36:11 +0200

1 ISACA, l’associazione internazionale degli IS Auditor e Security Manager ha pubblicato il volume Volume 5 del 2007 del suo Information Systems Control Journal dal titolo "Value and Performance in IT". La consultazione on line (html e pdf) della rivista è riservata agli associati (a cui viene recapitata anche in formato cartaceo) dotati di credenziali di autenticazione ma dopo qualche mese dalla sua pubblicazione viene rese disponibile a tutti (al momento l'ultimo numero "liberato" è il volume Volume 4 del 2006 dedicato a "Audit, Control and Security of Wireless Technologies" ).

Banca d’Italia: Istruzioni di vigilanza sulla Compliance

Thu, 12 Jul 2007 21:00:12 +0200

070712-bankit-compliance La Banca d’Italia ha emanato, il 12 luglio 2007, le disposizioni di vigilanza per le banche in materia di conformità alla norme (pdf, 50 K, 9 pp) , la cosiddetta Compliance. In linea con gli orientamenti emersi in sede internazionale, le Istruzioni:

definiscono ruoli e responsabilità degli organi di vertice delle banche in materia;
richiedono la costituzione di una funzione di Compliance quale elemento integrante del sistema dei controlli interni;
assegnano a tale funzione il presidio e la gestione del rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative o di autoregolamentazione (rischio di compliance).

Le disposizioni di vigilanza, in attuazione del principio di proporzionalità, "recano previsioni particolari" per l’articolazione della funzione all’interno dei gruppi bancari e nelle realtà aziendali minori.

Garante Privacy: Guida pratica e misure di semplificazione per le piccole e medie imprese

Fri, 22 Jun 2007 14:50:07 +0200

070622-guidaprivacypmi Il 22 giugno 2007 il Garante per la protezione dei dati personali ha pubblicato la sua "Guida pratica e misure di semplificazione per le piccole e medie imprese" (html e pdf 649 K). La guida, sotto forma di FAQ (Frequently Asked Questions) cioè di "domande e risposte" intende fornire a chi opera nella realtà delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione. La guida è completata da una check list relativa i principali adempimenti richiesti dal decreto legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali).

Garante Privacy: provvedimenti contro le compagnie telefoniche per comportamenti illeciti dei loro call center

Fri, 15 Jun 2007 11:14:33 +0200

070615-garante-telefoni Il Garante per la protezione dei dati personali, anche a seguito di innumerevoli segnalazioni e proteste giunte da cittadini infastiditi dalle continue telefonate "commerciali" dei call center delle compagnie telefoniche nonché sulla base dei risultati delle ispezioni predisposte, ha intimato a Fastweb, Tele2 Italia, Telecom Italia, Tiscali e Wind di interrompere entro il 5 luglio 2007 qualsiasi trattamento non autorizzato (leggi: telefonate non desiderate) e di adottare entro il 10 settembre 2007 misure di carattere organizzativo, tecnico e procedurale per garantire il rispetto dei cittadini. In particolare, gestori e call center dovranno:

interrompere l'uso indebito di numeri telefonici raccolti ed utilizzati a scopi commerciali senza il previsto consenso da parte degli interessati;
regolarizzare le banche dati informando gli utenti e ottenendo da essi lo specifico consenso all'utilizzo dei dati per scopi pubblicitari;
informare con la massima trasparenza gli utenti anche al momento del contatto sulla provenienza dei dati e sul loro uso;
registrare la volontà degli utenti di non essere più disturbati;
interrompere l'utilizzo illecito di dati per attivare servizi non richiesti (segreterie, linee internet veloci);
effettuare controlli sui responsabili dei trattamenti svolti presso i diversi call center.

Il Garante ricorda che per violazioni relative ad omessa o insufficiente informativa agli utenti, nel corso del 2007 sono state già avviate nei confronti di fornitori di servizi di comunicazione elettronica e call center 44 procedimenti sanzionatori, 22 dei quali già definiti con il pagamento di somme per un totale di oltre 130 mila euro.

Seminario IsacaRoma del 21 giugno 2007

Thu, 14 Jun 2007 10:02:10 +0200

070614-seminario-isacaroma Il seminario si svolgerà a Roma presso la sede CA di Viale Città d'Europa, 679.

Programma

14.15 Registrazione partecipanti
14.30 Dott. Marco Tulliani (Sara S.p.A.), Controlli applicativi di input, elaborazione, output.
16.00 Coffe break
16.15 Ing. Stefano Maccaglia, Nessus Advanced Scripting Language un flessibile strumento a servizio del Penetration Tester
17.30 Dibattito
18.00 Chiusura lavori

La partecipazione all'incontro è gratuita ed è gradito l'invio di una email di iscrizione come indicato nella pagina dedicata all’evento.