Isacaroma Newsletter - Novembre 2006

FSA's risk-based approach - parte prima

Thu, 30 Nov 2006 20:10:30 +0100

061130-fsa-risk-approach1.doc La britannica Financial Services Authority FSA ha pubblicato, oggi 30 novembre 2006, una guida sintetica al proprio risk assessment framework (pdf, 2.4 M) denominato ARROW e di cui abbiamo già parlato diffusamente in questa newsletter. In questa prima parte dell’articolo sintetizziamo l’approccio di ARROW; nella seconda parte illustreremo come avviene la visita di assessment.

JOBS: Oggi cambio lavoro!

Thu, 30 Nov 2006 06:24:03 +0100

061130-jobs Mi chiedo: ma perché tante offerte di lavoro per Internal Auditor e così poche (on proporzione) per Security Consultant? Che avesse ragione MisterX?

Security (1)

Network Operations and Security Engineer

Azienda cerca, per Roma o Milano, Network Operations and Security Engineer con esperienze relative alla compliance con i requisiti SOX. Richiesti: laurea, conoscenza Cisco Wide Area Networking & Firewall Technologies, HP Openview, Cisco AVVID VoIP Infrastructure, 5-7 di esperienza nel network management, certificazioni CCDP, CCSP e/o CCNP required (obbligatorie!)

CNIPA: Seminario di formazione: identità digitale e tecnologia

Thu, 30 Nov 2006 05:59:22 +0100

061130-cnipa CNIPA annuncia che il prossimo venerdì 15 dicembre 2006 avrà luogo il seminario dal titolo "Identità digitale e tecnologia" dedicato agli aspetti tecnico-organizzativi connessi all’utilizzo delle smart card nei settori specifici di applicazione. Verranno illustrati i principali progetti che, a livello nazionale e comunitario, utilizzano la tecnologia della smart card.

Un testo unico per la corporate governance

Thu, 30 Nov 2006 05:02:25 +0100

061130-lavoce-info Un testo unico per la corporate governance
di Diego Corrado ed Andrea Dossi tratto dal sito www.lavoce.info
La legge 262/2005, la cosiddetta legge sul risparmio, prevede una serie di misure volte a rafforzare i presidi che nelle società quotate sono mirati a prevenire casi di corporate malpractice e vere e proprie frodi. (1) Peraltro, quella in vigore non è la versione definitiva, poiché in attuazione della facoltà prevista dall’articolo 43, il governo ha già redatto uno schema di decreto legislativo correttivo, ora all’esame del Parlamento, per adeguare Testo unico bancario e Testo unico della finanza alle nuove disposizioni, e differire al 30 giugno 2007 il termine per le necessarie modifiche degli statuti societari, oggi fissato al prossimo 12 gennaio.

Sikurezza.org: di che si parla?

Thu, 30 Nov 2006 04:46:06 +0100

061130-sikurezza-org Anni fa (tempus fugit) intervistammo Igor Falcomatà creatore (founder come dicono gli amici USA) di sikurezza.org una comunità virtuale di persone che si interessano di problematiche di sicurezza informatica e della loro diffusione, principalmente per passione e/o per lavoro. Questo avviene principalmente sulle mailing list, ma anche in numerosi eventi (webbit, linuxday, smau, infosecurity, etc.) a cui partecipano relatori che si riconoscono in qualche maniera come parte di questa community. Da allora seguo regolarmente le discussioni sulle loro ML (ed ogni tanto, senza fortuna, segnalo qualche mio articolo…). Da tempo pensavo di censire regolarmente i temi delle loro discussioni segnalando magari gli interventi più accesi (mitico lo scambio di email tra Zanero, anche lui intervistato in tempi lontani, e l’avv. De Grazia sul tema dei certificati digitali…).

Compliace: letture interessanti

Wed, 29 Nov 2006 16:38:28 +0100

061129-compliance-letture Stamani, come tutti i giorni, ho scandagliato il web alla ricerca di novità sulla compliance. Mentre prendevo appunti (leggi bookmarks…) ho pensato: ma perché non condividere con i lettori di IsacaRoma Newsletter le mie ricerche? E così ecco qua i frutti del mio web surfing mattutino (se avete qualche altra notizia da segnalarmi perché non mi scrivete a NOSPAMcristinaDOTcellucciATgmailDOTcom)?

Compliace: invito a collaborare

Wed, 29 Nov 2006 07:37:10 +0100

061129-compliance-call IsacaRoma Newsletter sta predisponendo una linea guida sulle recenti istruzioni di vigilanza della Banca d'Italia (al momento in bozza) relative al rischio di non conformità (compliance). La linea guida sarà pubblicata on line, gratuitamente, su questa newsletter.
I contenuti saranno:

aspetti normativi (norme, regolamenti, standard di riferimento, ecc.)
modelli organizzativi
risk approach & assessment
aspetti di auditing e sicurezza
best practice

Le aziende, le organizzazioni e le persone che vogliono contribuire a tale linea guida possono inviare una email Cristina Cellucci (NOSPAMcristinaDOTcellucciATgmailDOTcom) indicando nell’oggetto “Compliance” ed esponendo i contenuti proposti.

ICT-Shop: il nostro primo sponsor

Tue, 28 Nov 2006 06:10:19 +0100

061128-ictshop-sponsor La newsletter cresce (grazie lettori: dal lunedì al venerdì siete quasi 1.000 al giorno, la metà nei festivi) e dunque occorre decidere cosa fare da grandi. A riguardo il comitato direttivo di ISACA Roma ha preso alcune decisioni che vi comunicheremo nei prossimi giorni; una di queste è che avremo dei banner "pubblicitari"; qualcuno forse storcerà il naso ma la verità è che abbiamo bisogno di altre risorse per continuare a crescere.

CCCURE.ORG: tutorial flash sulla certificazione CISSP

Tue, 28 Nov 2006 05:59:51 +0100

061128-cccure-flash Cccure.org noto sito web dedicato ai temi delle certificazioni professionali in ambito sicurezza ed is auditing ha reso disponibile il suo primo tutorial dedicato ai dieci domini della certificazione CISSP. Il tutorial della durata di circa due ore è realizzato in flash dà una completa overview dell’esame CISSP, dei suoi requisiti e delle modalità per prepararsi all’esame (risorse, trucchi, eccetera).

Studiare Sicurezza delle Informazioni in UK. Intervista al Dr Chez Ciechanowicz, Course Director dell’ISG

Tue, 28 Nov 2006 05:42:11 +0100

061128-isg-uk-it (English version)
IsacaRoma (IR): Buongiorno Dr Ciechanowicz e grazie per l’intervista. Cos’è l’Information Security Group at Royal Holloway, Università di Londra?

Chez Ciechanowicz (CC): L’Information Security Group (ISG) è uno dei più grandi "security group" del mondo in ambito accademico. ISG è contemporaneamente un’istituzione universitaria ed un ente specializzato nella ricerca e nelle practice nell’ambito della information security. In particolar modo ISG offre un ambiente di ricerca particolarmente innovativo e stimolante. Esso ospita una vasta comunità di ricercatori ed offre corsi di laurea (a vario livello) di alta qualità sia campus-based che online.

Interview with Dr Chez Ciechanowicz, Course Director of Information Security Group at Royal Holloway, University of London

Tue, 28 Nov 2006 05:38:10 +0100

061128-ISG-UK (traduzione italiana)
IsacaRoma (IR): Hello Dr Ciechanowicz. Could you present the Information Security Group at Royal Holloway, University of London?

Chez Ciechanowicz (CC): The Information Security Group (ISG) is one of the largest academic security groups in the world. It brings together in a single institution expertise in education, research and practice in the field of information security. The ISG offers an active research environment. It has a thriving PhD community, and offers world-leading masters degree programmes (campus-based and online), as well as postgraduate diploma programmes in information security.

IBM: convegno sul Capability Maturity Model Integration (CMMI)

Mon, 27 Nov 2006 11:03:25 +0100

061127-ibm-cmmi IBM ha organizzato, per il prossimo 14 dicembre 2006 a Milano (IBM Forum – Segrate) un convegno dal titolo "Capability Maturity Model Integration". Il Capability Maturity Model Integration è una guideline rivolta al Software Process Improvement per rendere i processi software più efficienti. Recentemente ISACA International ha rilasciato un white paper dedicato all’integrazione fra COBIT e CMMI

KPMG: Compliance - Aspetti di Information Risk Management

Mon, 27 Nov 2006 09:36:41 +0100

061127-kpmg-savastano Il dott. Raoul Savastano, associate partner di KPMG, interviene sul tema della gestione dei rischi in ambito Compliance.

IsacaRoma (IR): Buongiorno dott. Savastano e grazie per essere di nuovo con noi. Come si sta organizzando KPMG per rispondere alle nuove esigenze, nel mercato finance, a seguito delle recenti istruzioni di vigilanza della Banca d'Italia (peraltro ancora in bozza) sulla Compliance?

Compliance: il modello di FSA

Mon, 27 Nov 2006 09:24:42 +0100

061127-fsa La britannica Financial Services Authority (FSA) ha pubblicato il suo Policy Statement (pdf, 669 K) in risposta alle domande ricevute sul Consultation Paper (CP) 06/9 (Organisational systems and controls: Common platform for firms) di cui abbiamo già parlato in questa newsletter. Il CP06/9, pubblicato nel maggio 2006, conteneva le proposte di modifica della FSA in ordine al sistema dei controlli interni (Governance, Internal Audit, Business Continuity) per le aziende britanniche soggette alle nuove norme comunitarie: la Capital Requirements Directive (CRD) e la Markets in Financial Instruments Directive (MiFID). Il Policy Statement (PS) anticipa importanti elementi del modello proposto dalla FSA per la compliance nel Regno Unito. Nel seguito vedremo lo schema generale del sistema dei controlli e gli aspetti relativi alla compliance.

Carnegie Mellon University: usabilità della privacy e sicurezza

Sun, 26 Nov 2006 11:34:28 +0100

061126-universit-privacy La Carnegie Mellon University, attraverso il suo CMU Usable Privacy and Security Laboratory (CUPS), propone ai propri studenti un corso dal titolo "Usable Privacy and Security" dedicato allo studio delle interfacce utenti delle applicazioni IT dal punto di vista della sicurezza e della privacy. I docenti sono: Lorrie Cranor, Michael Reiter e Jason Hong.