La britannica Financial Services Authority FSA ha pubblicato, oggi 30 novembre 2006, una guida sintetica al proprio risk assessment framework (pdf, 2.4 M) denominato ARROW e di cui abbiamo già parlato diffusamente in questa newsletter. In questa prima parte dell’articolo sintetizziamo l’approccio di ARROW; nella seconda parte illustreremo come avviene la visita di assessment.

Mi chiedo: ma perché tante offerte di lavoro per Internal Auditor e così poche (on proporzione) per Security Consultant? Che avesse ragione MisterX?

Security (1)

Network Operations and Security Engineer

Azienda cerca, per Roma o Milano, Network Operations and Security Engineer con esperienze relative alla compliance con i requisiti SOX. Richiesti: laurea, conoscenza Cisco Wide Area Networking & Firewall Technologies, HP Openview, Cisco AVVID VoIP Infrastructure, 5-7 di esperienza nel network management, certificazioni CCDP, CCSP e/o CCNP required (obbligatorie!)

CNIPA annuncia che il prossimo venerdì 15 dicembre 2006 avrà luogo il seminario dal titolo "Identità digitale e tecnologia" dedicato agli aspetti tecnico-organizzativi connessi all’utilizzo delle smart card nei settori specifici di applicazione. Verranno illustrati i principali progetti che, a livello nazionale e comunitario, utilizzano la tecnologia della smart card.

Un testo unico per la corporate governance
di Diego Corrado ed Andrea Dossi tratto dal sito www.lavoce.info
La legge 262/2005, la cosiddetta legge sul risparmio, prevede una serie di misure volte a rafforzare i presidi che nelle società quotate sono mirati a prevenire casi di corporate malpractice e vere e proprie frodi. (1) Peraltro, quella in vigore non è la versione definitiva, poiché in attuazione della facoltà prevista dall’articolo 43, il governo ha già redatto uno schema di decreto legislativo correttivo, ora all’esame del Parlamento, per adeguare Testo unico bancario e Testo unico della finanza alle nuove disposizioni, e differire al 30 giugno 2007 il termine per le necessarie modifiche degli statuti societari, oggi fissato al prossimo 12 gennaio.

Anni fa (tempus fugit) intervistammo Igor Falcomatà creatore (founder come dicono gli amici USA) di sikurezza.org una comunità virtuale di persone che si interessano di problematiche di sicurezza informatica e della loro diffusione, principalmente per passione e/o per lavoro. Questo avviene principalmente sulle mailing list, ma anche in numerosi eventi (webbit, linuxday, smau, infosecurity, etc.) a cui partecipano relatori che si riconoscono in qualche maniera come parte di questa community. Da allora seguo regolarmente le discussioni sulle loro ML (ed ogni tanto, senza fortuna, segnalo qualche mio articolo…). Da tempo pensavo di censire regolarmente i temi delle loro discussioni segnalando magari gli interventi più accesi (mitico lo scambio di email tra Zanero, anche lui intervistato in tempi lontani, e l’avv. De Grazia sul tema dei certificati digitali…).

Stamani, come tutti i giorni, ho scandagliato il web alla ricerca di novità sulla compliance. Mentre prendevo appunti (leggi bookmarks…) ho pensato: ma perché non condividere con i lettori di IsacaRoma Newsletter le mie ricerche? E così ecco qua i frutti del mio web surfing mattutino (se avete qualche altra notizia da segnalarmi perché non mi scrivete a NOSPAMcristinaDOTcellucciATgmailDOTcom)?

IsacaRoma Newsletter sta predisponendo una linea guida sulle recenti istruzioni di vigilanza della Banca d'Italia (al momento in bozza) relative al rischio di non conformità (compliance). La linea guida sarà pubblicata on line, gratuitamente, su questa newsletter.
I contenuti saranno:

• aspetti normativi (norme, regolamenti, standard di riferimento, ecc.)
• modelli organizzativi
• risk approach & assessment
• aspetti di auditing e sicurezza
• best practice

Le aziende, le organizzazioni e le persone che vogliono contribuire a tale linea guida possono inviare una email  Cristina Cellucci (NOSPAMcristinaDOTcellucciATgmailDOTcom) indicando nell’oggetto “Compliance” ed esponendo i contenuti proposti.

La newsletter cresce (grazie lettori: dal lunedì al venerdì siete quasi 1.000 al giorno, la metà nei festivi) e dunque occorre decidere cosa fare da grandi. A riguardo il comitato direttivo di ISACA Roma ha preso alcune decisioni che vi comunicheremo nei prossimi giorni; una di queste è che avremo dei banner "pubblicitari"; qualcuno forse storcerà il naso ma la verità è che abbiamo bisogno di altre risorse per continuare a crescere.

Cccure.org noto sito web dedicato ai temi delle certificazioni professionali in ambito sicurezza ed is auditing ha reso disponibile il suo primo tutorial dedicato ai dieci domini della certificazione CISSP. Il tutorial della durata di circa due ore è realizzato in flash dà una completa overview dell’esame CISSP, dei suoi requisiti e delle modalità per prepararsi all’esame (risorse, trucchi, eccetera).

(English version)
IsacaRoma (IR): Buongiorno Dr Ciechanowicz e grazie per l’intervista. Cos’è l’Information Security Group at Royal Holloway, Università di Londra?

Chez Ciechanowicz (CC): L’Information Security Group (ISG) è uno dei più grandi "security group" del mondo in ambito accademico. ISG è contemporaneamente un’istituzione universitaria ed un ente specializzato nella ricerca e nelle practice nell’ambito della information security. In particolar modo ISG offre un ambiente di ricerca particolarmente innovativo e stimolante. Esso ospita una vasta comunità di ricercatori ed offre corsi di laurea (a vario livello) di alta qualità sia campus-based che online.