MELANI (Melde- und Analysestelle Informationssicherung), la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, ha pubblicato il 30 aprile 2007 il suo "Quarto rapporto per la sicurezza dell’informazione relativo alla situazione in Svizzera" (pdf 501 K) relativo al secondo semestre del 2006.

La minaccia del social engineering

Il rapporto evidenzia la forte espansione del fenomeno del "social engineering" che utilizza metodi sempre più raffinati con conseguente aumento dei furti di identità e di dati. È dunque centrale la sensibilizzazione degli utenti in quanto l’anello debole della catena della sicurezza sembra sempre più essere proprio l’elemento umano. Infatti perché gli attacchi di social engineering abbiano successo occorre procurarsi informazioni sulle potenziali vittime e a tale scopo viene sempre più frequentemente utilizzato malware in maniera mirata. Tale malware, osserva il rapporto, è difficilmente intercettabile dai software antivirus usuali e viene sempre più diffuso mediante pagine Internet appositamente predisposte.

Nella prima parte di quest’articolo abbiamo illustrato i contenuti del paragrafo 2.4 "La regolamentazione e la vigilanza finanziaria" pubblicato nel "Rapporto annuale 2006" (pdf,  4.6 M, 268 pagine) della Banca Centrale Europea  ha pubblicato, lo scorso 24 aprile 2007. In questa seconda parte sintetizziamo i contenuti del paragrafo 4.4 "La sorveglianza sull’infrastruttura di mercato".

ISC2  ha pubblicato il numero di marzo/aprile della sua newsletter (pdf, 491 K) dedicata ai temi della sicurezza.

La Banca Centrale Europea ha pubblicato, lo scorso 24 aprile 2007, il suo "Rapporto annuale 2006" (pdf,  4.6 M, 268 pagine) il cui quarto capitolo è dedicato alla stabilità, regolamentazione e supervisione delle istituzioni finanziarie europee. Particolarmente interessante i paragrafi 2.4 "La regolamentazione e la vigilanza finanziaria" e 4.4 "La sorveglianza sull’infrastruttura di mercato". In questa prima parte sintetizzeremo i contenuti del primo dei due paragrafi su indicati. Nella seconda parte dell’articolo vedremo, invece, gli aspetti di supervisione delle infrastrutture.

ISACA International ha annunciato la disponibilità, solo per gli associati, della nuova versione 4.1 di COBIT. Il donwload sarà possibile, a ciascun associato, grazie ad un link ad hoc che verrà inviato ad personam via email da ISACA.
L’elenco completo delle nuove pubblicazioni online comprende:

• COBIT 4.1
• IT Governance Implementation Guide: Using COBIT and VAL IT, 2nd Edition
• IT Assurance Guide: Using COBIT
• COBIT Security Baseline, 2nd Edition (disponibile dal 14 maggio 2007)
• IT Governance Implementation Guide toolkit file
• IT Assurance Guide

L’Associazione Bancaria Italiana (ABI), in collaborazione con OS.SI.F. e ABI Lab, organizza, il 21 e 22 maggio 2007 a Roma, il convegno "Banche e Sicurezza 2007 – Soluzioni, strumenti e metodologie per una nuova strategia di protezione". L’evento è a pagamento.

Temi

Il convegno ospiterà esponenti del mondo istituzionale, accademico, finanziario ed imprenditoriale che esamineranno lo stato dell’arte e soprattutto le linee evolutive strategiche, normative e tecnologiche della gestione della sicurezza in banca.
Interverranno tra gli altri il Vice Ministro dell'Interno, il Prefetto di Roma, il Presidente della Commissione Finanza e Tesoro del Senato, il Garante per la protezione dei dati personali, la Banca d'Italia, la Guardia di Finanza, il Tribunale di Treviso, il Gov CERT, l'Interpol, la Polizia Scientifica.

Il Centro di Tecnologie Informatiche e Finanziarie (CeTIF) dell'Università Cattolica di Milano ha pubblicato una sintesi della sua ricerca dal titolo "Riflessi Organizzativi della Compliance nelle Banche" (pdf, 635 K).

Obiettivi e temi della ricerca

Il tema della Compliance è stato affrontato attraverso un’attività di ricerca e confronto (Osservatorio) con l’obiettivo di interpretare le recenti evoluzioni anche a seguito degli indirizzi di Banca d’Italia. La ricerca ha rilevato che l’orientamento oggi prevalente negli intermediari finanziari è volta a stabilire una "cultura della conformità" anche grazie all’adozione di codici di condotta in grado di garantire "ex ante" i livelli di conformità richiesti.

Bruce Schneier ha pubblicato il numero di aprile 2007 della sua newsletter Crypto-Gram. Il testo è, ovviamente, in lingua inglese. Ricordiamo che l'italiana Communication Valley traduce, con qualche settimana di ritardo, Crypto-Gram nella nostra lingua. I numeri in italiano più recenti sono relativi alla newsletter del 15 Marzo 2007 (pdf, 80 K) e del 15 Febbraio 2007 (pdf, 143 K).

Il terzo numero di COBIT Focus (volume 1, aprile 2007) è stato completamente tradotto in italiano è disponibile in formato pdf  (370 K). Si tratta di un unico documento di 12 pagine che raccoglie tutte le traduzioni del terzo numero di COBIT Focus già pubblicati in IsacaRoma Newsletter (vedi i link sottostanti).
La versione originale in lingua inglese è disponibile sul sito di ISACA.
Buona lettura a tutti.

di Delton Sylvester
(tratto da COBIT Focus 3, volume 1, aprile 2007. Traduzione dall'inglese a cura di Agatino Grillo)
Esistono numerosi framework e standard che le aziende possono utilizzare. Il problema è che c’è, in questo momento, una certa confusione, quasi una foschia su questi standard e le aziende non sono sicure di quali scegliere e di come adattarli alle proprie necessità.
Un classico esempio degli equivoci che spesso si creano sono affermazioni come la seguente: "abbiamo già [inserire qui il nome di un altro framework] e dunque non abbiamo bisogno di COBIT."