novembre 2004, numero 8 Sommario Email: newsletter (AT) isacaroma.it http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 Versione pdf: http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf (2,2 M) Versione txt: http://www.isacaroma.it/pdf/news/0411-isacaroma-news.txt (70 K) EDITORIALE DEL PRESIDENTE I GIOVEDÌ SERA DELL'ISACAROMA Il calendario degli eventi 2005, corso di preparazione per gli esami di certificazione, il nuovo sito web. 1 ISACAROMA EDUCATION ANTEPRIMA SEMINARIO 14 DICEMBRE E CALENDARIO EVENTI EDUCATION 2005 Il calendario dei corsi gennaio-giugno 2005 2 SPECIALE SICUREZZA PA INTERVISTA A LUISA FRANCHINA DIRETTORE GENERALE DELL'ISTITUTO SUPERIORE DELLE COMUNICAZIONI E DELLA TECNOLOGIA DELL'INFORMAZIONE Il ruolo dell'Istituto, l'Osservatorio nazionale per la sicurezza delle reti, la protezione delle infrastrutture critiche ICT. 8 CERTIFICAZIONI PROFESSIONALI ACFE: L'ASSOCIAZIONE DEI PROFESSIONISTI ANTI FRODE, di Fabio Tortora Anche in Italia è presente un capitolo dell'ACFE, l'associazione degli specialisti anti frode. Skill e conoscenze richieste per ottenere la certificazione professionale. 14 METRICHE PER LA MISURAZIONE DEL SOFTWARE, di Loredana Mancini Il GUFPI-ISMA è l'associazione italiana per la promozione, la diffusione e lo sviluppo delle tecniche quantitative di misurazione del software. 18 Sommario (segue) UN LIBRO AL MESE BEYOND FEAR DI BRUCE SCHNEIER, recensito da Stefano Zanero Le scelte di sicurezza sono spesso, anzi quasi sempre, dettate da considerazioni che di logico e razionale non hanno nulla! 21 ICT SECURITY INTERVISTA A SALVATORE ARANZULLA, CACCIATORE DI BUG Ha 14 anni, ha scoperto gravi bug di Google, si definisce il più piccolo divulgatore informatico del mondo. 22 IS AUDIT & CONTROL PROTIVITI ITALIA, INDIPENDENT RISK CONSULTING Governance, Risk Management e Controllo Interno: le nuove sfide dell' IS Auditor; un punto di vista indipendente. 24 SYSTEMS & PROCESS ASSURANCE IN PRICEWATERHOUSECOOPERS Il mestiere di IS Auditor in una "Big Four"; intervista ad Alfredo Gallistru, senior manager di PwC. 28 VITA ASSOCIATIVA NOTIZIE DA ISACA INTERNATIONAL Rilasciata la versione 3.2 di CobiT OnLine; webcast su sicurezza e auditing; certificazioni CISM a quota 5.000; note dal Board Meeting di ottobre 2004. 30 IT CONTROL JOURNAL DI NOVEMBRE 2004 È disponibile, per gli associati, il sesto numero del 2004 dell' Information Systems Control Journal dedicato ai temi della formazione e del ruolo professionale degli IS Auditor. 32 INDICE DI TUTTI GLI ARTICOLI Tutti gli articoli pubblicati dalla newsletter. 33 Editoriale del Presidente I GIOVEDÌ SERA DELL'ISACAROMA Il calendario degli eventi 2005, corso di preparazione per gli esami di certificazione, il nuovo sito web. http://www.isacaroma.it/html/newsletter/?q=node/30 http://www.isacaroma.it/pdf/news/0411-editoriale.pdf Claudio Cilli, CIA, CISA, CISSP, CISM, presidente di IsacaRoma, membro dello standard Board di Isaca International. Può essere contattato attraverso: c.cilli (AT) isacaroma.it Gentili associati, ricordo a tutti che il prossimo 14 dicembre avrà luogo il nuovo seminario dedicato ai temi più attuali della nostra professione. Rimanendo in ambito formazione, abbiamo definito, come anticipato nello scorso numero, il calendario completo degli eventi "education" dell'associazione per il primo semestre del prossimo anno così da facilitare la pianificazione dei propri impegni professionali. Oltre alle giornate dedicate alla preparazione degli esami CISA e CISM abbiamo previsto, ogni mese, un giovedì sera (o meglio pomeriggio) dedicato ai seminari IsacaRoma, che saranno dedicati sia a temi monotematici che pluritematici. Stiamo predisponendo i temi di ciascun seminario e dunque invito tutti a proporre argomenti di interesse inviando una email a: eventi (AT) isacaroma.it. Per quanto riguarda questo numero della newsletter segnalo l'intervista all'ingegner Franchina, Direttore Generale dell'Istituto Superiore delle Comunicazioni e della Tecnologia dell'informazione che riprende il discorso sulla sicurezza nella PA già iniziato, nel numero precedente, dal dottor Pirotti Executive Director di ENISA, l'agenzia europea per la sicurezza ICT. Ringrazio inoltre gli amici del GUFPI e dell'ACFE per i loro contributi editoriali per la sezione relativa alle certificazioni professionali e i colleghi di Protiviti e PwC per la collaborazione che ci hanno offerto sul tema "il mestiere dell'IS Auditor". Infine un ringraziamento particolare a Salvatore "il più piccolo divulgatore informatico del mondo" che ci ha raccontato la sua esperienza di bug hunter. Last but not least, è online la nuova versione del sito dell'associazione grazie al lavoro di Romeo; abbiamo cercato di razionalizzare i contenuti e la forma con un occhio particolare ai temi dell'accessibilità. Diteci cosa ne pensate! A tutti un cordiale saluto. Claudio Cilli, Presidente IsacaRoma Roma Charter Education. ANTEPRIMA SEMINARIO 14 DICEMBRE Relatori, argomenti ed approfondimenti del prossimo seminario. http://www.isacaroma.it/html/newsletter/?q=node/31 http://www.isacaroma.it/pdf/news/0411-041214.pdf Il seminario Il 14 dicembre 2004, presso l'auditorium di ATAC, via Volturno 65, si terrà il seminario di ISACAROMA dedicato ai temi della sicurezza, auditing e governance dei sistemi informativi aziendali. Il programma previsto è il seguente: Ore 14.00 - Apertura dei lavori Ore 14.30 Paolo Spagnoletti, LUISS Investigazioni telematiche. Aspetti organizzativi e tecnici Ore 15.15 Marco Onofri, BNL Basilea II . Problematiche, impatti organizzativi e informatici. Pausa caffè Ore 16.15 Cesare De Santis, OASI Virus dal 2003 al 2004 ed oltre. Evoluzione della specie. A cosa dobbiamo prepararci? Ore 17.00 - Dibattito Ore 17.30 - Termine dei lavori La partecipazione all'evento è gratuita previo conferma via email a: eventi (AT) isacaroma.it indicando come oggetto: "Seminario del 14.12.2004" e riportando nel testo il nominativo del partecipante; la partecipazione permette di ottenere 3 ore di credito nell'ambito della CISA e CISM Continuing Education Policy per il mantenimento delle certificazioni. Per ogni aggiornamento far riferimento alla pagina del sito: http://www.isacaroma.it/html/GiornateDiStudio.html Investigazioni telematiche. Aspetti organizzativi e tecnici Il relatore L'ingegner Paolo Spagnoletti, Ufficiale in congedo dell'Arma dei Carabinieri, ha prestato servizio nella sezione progetti e nella sezione pianificazione strategica dell'Ufficio Informatica e Tlc del Comando Generale dell'Arma dei Carabinieri dove ha svolto attività di project management, di studio di fattibilità e di valutazione di diversi progetti nell'area IT ed in particolare di analisi di mercato e progettazione per architetture di sicurezza. Attualmente è ricercatore e collaboratore di cattedra presso la Facoltà di Economia, PhD student in Sistemi Informativi presso l'Università LUISS "Guido Carli" e consulente ICT. Gli interessi di ricerca si concentrano sugli aspetti organizzativi e tecnologici dell'Information System Security e della Computer and intrusion forensics. La presentazione La sempre crescente quantità di dati scambiati e memorizzati con il supporto dei moderni sistemi informativi in ambito PA, aziendale e privato, richiede l'utilizzo di metodologie, tecniche e strumenti d'indagine particolari sia per il funzionamento dei processi di monitoraggio e auditing che per la gestione, vista in termini di prevenzione o indagine, dei crimini telematici. Nel corso dell'intervento saranno introdotti i concetti di digital evidence, cybercrime, e computer forensics, e ne sarà illustrata l'applicabilità ai contesti aziendali in rapporto alla gestione delle minacce interne, determinate da comportamenti opportunistici degli stessi membri delle organizzazioni. Sarà inoltre messo in luce il rapporto tra la tematica delle investigazioni telematiche e quella dell'Information System security management e saranno infine elencati una serie di strumenti e tecniche di indagine, necessari a portare a termine i processi investigativi in maniera efficace. Un'attenzione particolare sarà rivolta a contesti in cui la raccolta e l'analisi delle prove va fatta in ambienti in cui le informazioni sono distribuite su sistemi interconnessi ed eterogenei. Da quanto detto appare evidente come sia necessario adottare un approccio multidisciplinare per affrontare le tematiche sopra descritte ed in particolare come le competenze richieste siano da ricercare tanto nell'ingegneria e nelle scienze naturali quanto nelle scienze sociali, nella psicologia e nelle discipline giuridiche. Un percorso analogo è stato affrontato negli ultimi anni per quelle aree dell'ICT dove il comportamento umano rappresenta una componente di rilievo, quali l'IS design e l'IS Security management, e che hanno visto fallire approcci meccanicistici basati esclusivamente su strumenti e soluzioni di tipo tecnologico. Approfondimenti * Computer and Intrusion Forensics By G.Mohay, A. Anderson e altri. Artech House 2003 * Handbook of Computer Crime Investigation by Eoghan Casey * Computer Forensics by Warren G. Kruse II, Jay G. Heiser * Digital Evidence and Computer Crime by Eoghan Casey * Investigative Data Mining for Security and criminal detection by Jesus Mena * Association of Chief Police Officers (ACPO), National High-Tech Crime Unit (NHTCU) * "Good Practice Guide for Computer based Electronic Evidence", UK. * A Methodology for Computer Forensics Analysis by Roberto Di Pietro and Luigi V. Mancini * G. Me, P. Spagnoletti: A Survey of PDA Forensic Investigation, CSREA International Conference on Wireless Networks: 583-590 Basilea II . Problematiche, impatti organizzativi e informatici Il relatore Il dottor Marco Onofri, lavora presso Servizio ICT Auditing della Direzione Auditing della BNL, Banca Nazionale del Lavoro. Si occupa del monitoraggio di progetti informatici e della rilevazione/riorganizzazione dei processi organizzativi sia presso la capogruppo che presso le società partecipate. È referente della Direzione per i rapporti con le società di revisione in merito agli aspetti informatici. Precedentemente ha lavorato in Reconta Ernst & Young ed in SIPE Optimation del gruppo EDS. La presentazione Nel 1974 le Banche Centrali appartenenti al G10 hanno costituito il Comitato di Basilea per la Vigilanza Bancaria al fine di analizzare il contesto internazionale e formulare delle indicazioni comuni per una regolamentazione di vigilanza bancaria che assicurassero stabilità al sistema complessivo. Nel 1988, con il cosiddetto "BASILEA 1", furono introdotti precisi requisiti patrimoniali rispetto al rischio di credito Nel 1999 con l'aggiornamento noto come "BASILEA 2" sono state estese le categorie di rischio e le regole per la quantificazione dei rischi ed introdotti nuovi principi guida per la supervisione degli organismi di controllo nazionali, volti ad assicurare che gli intermediari si dotassero di adeguati sistemi di misurazione e controllo del rischio. BASILEA 2 ha importanti effetti sull'attività dell' Internal Auditing che si estende alla valutazione della: * adeguatezza ed efficacia del Sistema dei Controlli Interni (SCI); * economicità ed efficienza delle operazioni; * affidabilità e tempestività del reporting nonché alla verifica della: * applicazione ed efficacia delle procedure di gestione del rischio; * accuratezza ed affidabilità delle scritture contabili; * conformità ai requisiti legali e di vigilanza. A riguardo il Comitato di Basilea ha adottato un modello di controllo che si basa sulle stesse caratteristiche messe a punto dal Committee of Sponsoring Organization, il cosiddetto CoSO Report, che si fonda sui seguenti principi: * sorveglianza da parte degli organi direttivi (ambiente di controllo); * valutazione dei rischi; * struttura dei controlli; * informazioni e comunicazioni (struttura dei flussi informativi); * attività di monitoraggio. Approfondimenti Bank for international settlements: http://www.bis.org Associazione Bancaria Italiana: http://www.abi.it Banca d'Italia: http://www.bancaditalia.it Commissione nazionale per le Società e la Borsa: http://www.consob.it IT Governance Istitute: http://www.itgi.org Information Systems Audit and Controll Association: http://www.isaca.org Virus dal 2003 al 2004 ed oltre. Evoluzione della specie. A cosa dobbiamo prepararci? Il relatore Il dottor Cesare De Santis, CISM, lavora in OASI - Outsourcing Applicativo e Servizi Innovativi S.p.A. Laureato in scienze statistiche ed attuariali opera da circa trenta anni sui sistemi informativi, in particolare delle banche. Negli ultimi quindici anni si è occupato di sicurezza informatica ed auditing dei sistemi informativi, coordinando diversi progetti su clienti bancari ed outsourcer informatici con l'utilizzo di metodologie di audit riconosciute in campo internazionale (CobiT). Coordina le attività aziendali di progetti, consulenze e formazione sulla tutela dei dati personali. La presentazione L'intervento affronta il tema dell'uso sicuro della posta elettronica in azienda e presenta i risultati delle indagini sulla diffusione dei virus e codici malevoli svolte dal servizio SECURITYNET di OASI SpA. La rilevazione sui virus è relativa al periodo gennaio-dicembre 2003; nel 2003 la tendenza più importante è stata rappresentata dall'assoluta predominanza degli Internet worm. In un certo senso è tramontata l'era dei virus ed è iniziata quella dei network worm. Infine sono fornite indicazioni su come affrontare le problematiche di sicurezza relative ai virus dal punto di vista degli adempimenti richiesti da "Il Codice in materia di protezione dei dati personali". Approfondimenti http://www.oasi-securitynet.it/ Roma Charter Education. CALENDARIO EVENTI EDUCATION 2005 Disponibili sul sito il calendario completo del primo semestre 2005. http://www.isacaroma.it/html/newsletter/?q=node/32 http://www.isacaroma.it/pdf/news/0411-calenda.pdf Legenda Riepilogo degli eventi: Data Argomento 27 gennaio giovedì seminario monotematico 24 febbraio giovedì seminario monotematico 31 marzo giovedì seminario pluritematico 2 aprile sabato preparazione esame 8,9 aprile ven e sab. preparazione esame 22,23 aprile ven e sab. preparazione esame 28 aprile giovedì seminario monotematico 8,9 maggio ven e sab. preparazione esame 22,23 maggio ven e sab. preparazione esame 28 maggio giovedì seminario monotematico 11 giugno giovedì esame CISA/CISM 30 giugno giovedì seminario pluritematico Link Scarica il calendario degli eventi in formato pdf: http://www.isacaroma.it/pdf/calendario2005.pdf (35 K) Speciale Sicurezza. Intervista a Luisa Franchina Direttore Generale dell'Istituto Superiore delle Comunicazioni e della Tecnologia dell'Informazione Il ruolo dell'I.S.C.T.I., l'Osservatorio nazionale per la sicurezza delle reti e la tutela delle comunicazioni, il gruppo di lavoro per la protezione delle infrastrutture critiche informatiche. http://www.isacaroma.it/html/newsletter/?q=node/33 http://www.isacaroma.it/pdf/news/0411-franchina.pdf L'ing. Luisa Franchina è Direttore Generale del Ministero delle Comunicazioni. Precedentemente ha lavorato in Solving International, Xfera e Deloitte Consulting. È stata docente presso l'Università di Roma "La Sapienza". Contatti: luisa.franchina@comunicazioni.it Cos'è l'Istituto Superiore delle comunicazioni e delle tecnologie dell'informazione presso il Ministero Comunicazioni? L'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione è stato costituito nel 1907; nel 1923 vi è stata annessa la Scuola Superiore di Specializzazione in Telecomunicazioni. L'Istituto ha numerosi ambiti di attività: * misure (segnalo tra gli altri le misure su parametri di qualità del servizio e di sicurezza delle reti); * omologazioni (obbligatorie e volontarie); * certificazioni (obbligatorie e volontarie: segnalo tra le altre le certificazioni dell'Organismo per la Sicurezza); * formazione; * regolamentazione e standardizzazione (nazionale e internazionale); * ricerca di base e applicata. La normazione tecnica, soprattutto quella di carattere internazionale in cui l'Istituto è attore attivo e propositivo, riveste un ruolo sempre più rilevante vista anche l'esigenza, nata specialmente tra gli ormai numerosi gestori di reti e servizi di telecomunicazione, di chiarezza e standardizzazione in ambito normativo. L'ISCTI, tramite il CONCIT (ente formato da CEI, UNI e dallo stesso Istituto e riconosciuto a livello europeo) effettua la trasposizione nell'ordinamento nazionale delle norme europee emesse dall'ETSI. Per l'attività di normazione l'Istituto Superiore C.T.I. fornisce il personale qualificato a rappresentare l'Amministrazione con funzioni di Capo Delegazione dei gruppi nazionali presenti nelle varie commissioni e gruppi tecnici di studio. Struttura dell'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (I.S.C.T.I.). Fonte: http://www.comunicazioni.it/it/index.php?Mn1=9&Mn2=35 Inoltre, aderendo ad una specifica richiesta della Presidenza del Consiglio dei Ministri, è stato allestito un Centro per la Valutazione della sicurezza informatica di prodotti e sistemi destinati a gestire dati coperti dal Segreto di Stato o di vietata divulgazione (CE.VA.). Cos'è l'Organismo di Certificazione della sicurezza dei sistemi e prodotti informatici commerciali? Su richiesta della Presidenza del Consiglio dei Ministri, l'Istituto si è attivato per istituire l'Organismo di Certificazione della sicurezza dei sistemi e prodotti informatici commerciali. L'ISCTI collabora con l'IMQ insieme al quale svolge attività di verifica e controllo sui Sistemi di Qualità Aziendale in osservanza delle norme UNI EN ISO 9000, o nell'attività di controllo dei Laboratori Accreditati e degli Organismi Notificati a fronte della norma UNI CEI EN 45001. L'Istituto, possedendo le competenze, i laboratori e le attrezzature per l'effettuazione delle prove tecniche è Organismo Notificato ai sensi delle Direttive "riguardanti le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento in ambito europeo della loro conformità" e ricopre il ruolo di "Competent Body" in materia di compatibilità elettromagnetica. L'Istituto ha sottoscritto nel 2002 il contratto internazionale per diventare Ente di Certificazione Europeo per conto del TETRA MoU. L'ISCTI detiene inoltre il database dei numeri "portati" in tecnologia GSM e UMTS e altri database relativi alle assegnazioni numeriche. Lei dirige anche l'Osservatorio nazionale per la Sicurezza delle Reti e la Tutela delle Comunicazioni. Di che si tratta? L'osservatorio interministeriale per la sicurezza delle reti e la tutela dell'informazione è presieduto dal Segretario Generale del Ministero delle comunicazioni con il supporto tecnico della sottoscritta ed è composto da rappresentanti dei ministeri delle comunicazioni, della giustizia, dell'interno, della difesa, delle attività produttive e della Presidenza del Consiglio dei ministri - dipartimento per la funzione pubblica e dipartimento per l'innovazione e le tecnologie. I compiti dell'osservatorio sono i seguenti: * predisposizione degli atti normativi in materia di sicurezza delle reti, di tutela delle comunicazioni e di attività investigative ai fini di giustizia, comprendendo la rete Internet anche a tutela dei minori; * tenuta dei rapporti con gli organismi nazionali ed internazionali che si occupano dell'argomento; * monitoraggio delle attività e della condotta degli operatori assoggettati ad obblighi verso l'Autorità ed altri organismi; * monitoraggio dello sviluppo tecnologico del settore, con specifico riguardo alla sicurezza; * collaborazione e consulenza, per gli aspetti tecnologici, alle amministrazioni pubbliche che manifestino l'esigenza di implementare la sicurezza dei propri "punti sensibili"; * consulenza alle pubbliche amministrazioni nell'indicazione degli operatori che forniscono servizi di telecomunicazione anche in base al livello dell'offerta di sicurezza ed ai costi; * definizione di un "livello minimo" di sicurezza indispensabile per ottenere l'accesso alle reti pubbliche; * formulazione di suggerimenti per la protezione delle infrastrutture civili relativamente ai temi degli attacchi e dei rischi di tipi elettronico ed elettromagnetico; * indicazioni circa la certificazione ed elaborazione degli standard di sicurezza dei servizi e delle infrastrutture di telecomunicazioni; * promozione di azioni di sensibilizzazione con apposite campagne informative; * collaborazione con il Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni Che tipo di lavoro svolge l'Osservatorio? L'Osservatorio lavora attraverso Gruppi di lavoro ad hoc; sono attualmente attivi sei gruppi di lavoro che si occupano di: 1. obblighi di legge degli operatori TLC; 2. regolamentazione sulla portabilità dei numeri (trasmesso all'Ufficio Legislativo del Ministero Comunicazioni in luglio 2004); 3. codice di autoregolamentazione sui servizi a sovrapprezzo e sullo SPAM (in collaborazione con il Garante della Privacy); 4. conservazione e trattamento dei dati (in collaborazione con il Garante della Privacy che sta lavorando al codice di autoregolamentazione relativo); 5. redazione di linee guida su Sicurezza delle Reti e delle infrastrutture TLC per le Infrastrutture Critiche informatizzate (in collaborazione con le infrastrutture critiche del Paese); 6. redazione di linee guida sui metodi di analisi dei rischi per la sicurezza delle reti (in collaborazione con aziende private esperte del settore). Una prima versione dei documenti obiettivo degli ultimi due gruppi è già pronta ed in fase di "editing". Può dirci qualcosa in più riguardo le linee guida sulla sicurezza? Per quanto riguarda le linee guida su Sicurezza delle Reti e delle infrastrutture TLC per le Infrastrutture Critiche informatizzate, si tratta di un'attività di analisi specifica per le criticità legate all'interdipendenza delle CNI tradizionali con le infrastrutture di Telecomunicazione, comprendendo in queste le reti informatiche e di telecomunicazione in senso stretto. Le infrastrutture critiche (CNI - Critical National Infrastructure) sono aree appartenenti al settore pubblico o privato che sono ritenute critiche per il funzionamento economico, politico, sociale del paese. Tra queste possiamo ricordare ad esempio il settore dei trasporti, quello dell'energia, del gas, dell'acqua, quello finanziario e quello della sanità. Tali infrastrutture possono essere soggette ad eventi critici di varia natura in grado di comprometterne direttamente od indirettamente l'efficienza. Gli eventi critici sono, in prima approssimazione, riconducibili o ad attacchi intenzionali o a disastri naturali. Per il loro funzionamento, le CNI si basano sempre di più su infrastrutture di telecomunicazione (CII - Critical Information Infrastructure). Tali reti devono non solo permettere l'operatività della CNI in normali condizioni di funzionamento, ma anche e soprattutto garantire un'adeguata capacità operativa in caso d'eventi critici. Si noti che gli eventi critici possono riguardare non solo la CNI ma anche direttamente la relativa infrastruttura di telecomunicazione. Inoltre sia le CNI sia le CII possono essere soggette a guasti, anche in assenza di eventi esterni. Il fine del documento è di fornire alle CNI le indicazioni basilari su come strutturare adeguatamente il proprio sistema di comunicazione, in modo da garantire la necessaria efficacia anche a fronte di situazioni d'emergenza. Obiettivo del Gruppo di Lavoro è la redazione di un documento, un Libro Bianco, corredato da linee guida, che tratti con specifico riferimento alla situazione italiana, i seguenti aspetti: * Qualità del Servizio e della Sicurezza delle Reti tenendo anche in considerazione gli Standard e le Normative di Riferimento Nazionali ed Internazionali; * Le interdipendenze tra CNI e le CII; * Individuazione di un'insieme comune di minacce da prevenire e contrastare; * Individuazione un insieme minimo di parametri per la sicurezza; * Individuazione di parametri tecnici minimi che garantiscano i livelli di QoS adeguati a garantire la minor criticità; * Analisi dei parametri tecnici, degli elementi di trasparenza e dei termini legali che è consigliabile adottare all'interno delle relazioni contrattuali commerciali e nei Service Level Agreement (SLA) siglate con i Fornitori; * Individuazione dei parametri minimi necessari al raggiungimento del necessario livello di resilienza e di business continuity; * Adeguamento dei piani di disaster recovery alle esigenze date dalle interdipendenze; * Descrizione del ruolo potenziale che possono svolgere le Istituzioni nell'individuazione e realizzazione di strategie comuni di protezione; * Proposte di autoverifica sull'attuale livello di criticità ed organizzazione pertinente all'interno della propria CNI. Può raccontarci qualcosa sull' incontro che l'Osservatorio ha organizzato sul tema delle infrastrutture critiche del marzo 2004? Il Ministro Gasparri è molto attento e sensibile al tema della sicurezza delle reti e dell'informazione. Fu lui ad aprire il convegno tenuto a marzo 2004 sulla protezione delle infrastrutture critiche e il ruolo dei Governi sul tema. Il Ministero delle Comunicazioni, attraverso l'Osservatorio, ha organizzato a Roma questo incontro con tutti i Governi mondiali sul tema delle infrastrutture critiche: due giorni, di cui uno dedicato solo ai rappresentanti governativi e uno aperto alle esperienze industriali e allo scambio di opinioni con i produttori di sicurezza. Erano presenti tutti gli Stati Europei (EU 25) e molti Paesi stranieri, tra cui Giappone, India, Cina e USA. E' stato il primo esempio "reale" di impegno fattivo per l'information sharing. L'Italia ha aperto il dibattito "raccontando e raccontandosi" rispetto all'esperienza del blackout del 28 settembre 2003: hanno parlato gli esperti della Protezione civile e di varie altre infrastrutture. Questo esempio ha per così dire "aperto le acque" e tutti hanno poi partecipato al dibattito in modo anche informale, mettendo i reali problemi sul piatto e condividendo esperienza e best practice. Una prima importante occasione per aumentare la consapevolezza del problema, era stata il Workshop on Critical Information Infrastructure Protection organizzato dall'Ufficio del Primo Ministro e l'Ambasciata Americana a Roma nel Maggio 2002. Si è poi appena concluso un terzo incontro bilaterale tra Italia e USA sul tema delle Infrastrutture critiche informatizzate, svolto a Washington dal 15 al 17 novembre 2004, al quale hanno partecipato tutti i dicasteri coinvolti nella protezione delle CIIP. Il principale risultato è stata una condivisione delle best practice organizzative per il coordinamento della protezione delle CIIP a livello governativo. In quell'occasione abbiamo rincontrato i colleghi statunitensi che avevano partecipato al Convegno di Roma e che ci hanno espressamente chiesto di ripetere l'iniziativa nel prossimo anno per farci promotori anche di un "ponte" tra Europa e Stati Uniti sul tema dell'information sharing. Nel 2005 è previsto un follow up dell'incontro di marzo 2004, sempre a Roma e con la cooperazione, se possibile, dell'ENISA (European Network and Information Security Agency). Sul tema della difesa delle infrastrutture critiche: che rapporto c'è fra l'Osservatorio ed il "Gruppo di lavoro per la protezione delle infrastrutture critiche informatiche" presso il Ministero delle Innnovazione Tecnologica? Nel Maggio 2002 la Commissione dei Ministri per la Società dell'Informazione ha realizzato il documento Linee Guida del Governo per lo sviluppo della Società dell'Informazione. Le Linee Guida descrivono e definiscono l'impegno del Governo a condurre l'Italia in una posizione di protagonista nell'era digitale, modernizzando il Paese attraverso un utilizzo diffuso delle nuove tecnologie ICT sia nel pubblico che nel privato. Copertina de "La Comunicazione, Note Recensioni & Notizie", Pubblicazioni dell' IStituto Superiore C.T.I http://www.comunicazioni.it/it/index.php?Mn1=9&Mn2=84 Ma un aumento del traffico e del suo utilizzo richiede altresì un parallelo aumento della sicurezza nell'uso della rete, nonché la realizzazione di un modello della sicurezza che sia in grado di avvicinare i cittadini e le imprese alla rete, soprattutto nelle interrelazioni con la Pubblica Amministrazione. Nelle Linee Guida viene trattato anche il problema della sicurezza delle reti e viene introdotto un piano nazionale per la sicurezza ICT e la privacy basato sulle seguenti azioni: * Direttiva sulla sicurezza ICT: tale direttiva definisce una "Base minima di sicurezza" a cui tutte le Amministrazioni devono allinearsi dopo avere effettuato una autovalutazione sul proprio livello di sicurezza ICT. * Comitato Tecnico Nazionale sulla sicurezza ICT: ha il compito di indirizzare e coordinare tutte le attività e gli sforzi relativi al fine di definire il Modello Nazionale di Sicurezza e quindi di predisporre gli interventi di natura organizzativa e tecnica. La composizione e l'attività del comitato si basa sulla piena collaborazione tra il Ministero delle Comunicazioni ed il Dipartimento per l'Innovazione e le Tecnologie. * Modello organizzativo sulla sicurezza ICT: realizzazione di un'architettura nazionale in termini di strutture e responsabilità sulla sicurezza ICT, capace di sviluppare linee guida, raccomandazioni, standard e tutte le procedure di certificazione. * Piano Nazionale sulla sicurezza: predisposizione di un Piano Nazionale di Sicurezza che definisce attività, responsabilità, tempi per l'introduzione degli standard e delle metodologie necessarie per pervenire alla certificazione di sicurezza nella Pubblica Amministrazione. * Certificazione di sicurezza: le Amministrazioni più aperte e con uffici in rete hanno bisogno di più sicurezza certificata. Occorre richiedere sempre prodotti e servizi certificati. In Italia abbiamo un Ente di certificazione internazionale per la sicurezza di prodotti e servizi che è l'Istituto Superiore delle Comunicazioni, interno al Ministero delle Comunicazioni. Nel Marzo 2003, è stato istituito il Gruppo di Lavoro sulla Protezione delle Infrastrutture Critiche Informatizzate, nel quale hanno collaborato sia i rappresentanti dei diversi dicasteri interessati alla gestione di infrastrutture critiche (Ministero dell'Interno, delle Infrastrutture, delle Comunicazioni, Dipartimento per l'Innovazione tecnologica, ecc.), sia i principali operatori privati (ABI, ASI, CESI, GRTN, RFI, Snam Rete Gas, Telecom Italia, Wind e altri), oltre che esponenti del mondo della ricerca e dell'accademia. L'obiettivo di tale Gruppo di Lavoro è stato quello di aiutare le istituzioni ad una migliore comprensione dei problemi associati alla CIIP, in particolare guasti accidentali e volontari, e di fornire una base per l'individuazione di requisiti organizzativi e di iniziative volte ad incrementare la robustezza delle infrastrutture critiche. Il Gruppo di Lavoro sulla Protezione delle Infrastrutture Critiche Informatizzate ha rilasciato nell'Ottobre del 2003 il documento Protezione delle Infrastrutture Critiche Informatizzate - La realtà Italiana che rappresenta il risultato del lavoro svolto. Il documento descrive molti elementi delle Infrastrutture del nostro Paese, enfatizzando le loro interdipendenze e suggerendo strategie per la CIIP. In particolare il Gruppo di Lavoro suggerisce che la piena responsabilità per la corretta implementazione delle politiche di sicurezza dovrebbe essere attribuita ai singoli proprietari ed operatori delle infrastrutture critiche, mentre le istituzioni sono ritenute responsabili della definizione dell'insieme delle indicazioni utili per minimizzare le interdipendenze e gli effetti di guasti a cascata. Il documento suggerisce inoltre: * La costituzione di un Gruppo di Interesse Nazionale con il compito di controllare i requisiti dei vari proprietari ed operatori. * La definizione di un ambito di ricerca e sviluppo nazionale nell'area della Protezione delle Infrastrutture Critiche. * La realizzazione di un Centro Virtuale di Simulazione e Analisi delle Interdipendenze Il lavoro dell'Osservatorio fa seguito a quella del Gruppo di lavoro sulla Protezione delle Infrastrutture Critiche Informatizzate e ne mantiene buona parte dei partecipanti, pur avendo inserito molti altri attori. Abbiamo un ottimo rapporto con tutti gli attori del tema sicurezza delle reti in Italia e poniamo molta attenzione a coinvolgere sempre tutti in ogni iniziativa. Non va poi dimenticato il contributo fondamentale della Fondazione Ugo Bordoni, i cui ingegneri sono sempre al mio fianco nella trattazione di questi argomenti con un'esperienza e una preparazione ineguagliabili. L'ottimo rapporto con i colleghi del CNIPA e del Dipartimento Innovazione Tecnologica, del Ministero dell'Interno, del Ministero della Difesa, del Ministero Attività Produttive, del Dipartimento della Protezione Civile e della Presidenza del Consiglio è all'origine del nostro entusiasmo e dei molti risultati raggiunti dalle Istituzioni in questo settore. Che cosigli può dare ai nostri associati sul "mestiere" di "Security Manager"? Consiglio una laurea in informatica o in ingegneria (meglio se con specializzazione in elettronica). È ormai indispensabile l'esperienza all'estero e magari un master di stampo economico, che non fa mai male per imparare ad avere contatti personali con i manager responsabili della strategia di impresa e per capire la fattibilità economica delle proprie idee tecniche. Raccomando inoltre la conoscenza ottima dell'inglese e magari di un'altra lingua. Grazie ingegnere. Grazie a voi Articoli collegati Intervista ad Andrea Pirotti, executive director di ENISA, ISACAROMA Newsletter, numero 7, ottobre 2004 http://www.isacaroma.it/html/newsletter/?q=node/17 Associazioni e certificazioni professionali ACFE: l'associazione dei professionisti anti frode di Fabio Tortora Anche in Italia è presente un capitolo dell'ACFE, l'associazione degli specialisti anti frode. Skill e conoscenze richieste per ottenere la certificazione professionale. http://www.isacaroma.it/html/newsletter/?q=node/34 http://www.isacaroma.it/pdf/news/0411-acfe.pdf Fabio Tortora, Certified Fraud Examiner, è presidente del capitolo italiano dell' ACFE. Laureato in Economia e Commercio, ha iniziato la sua esperienza professionale nel Gruppo Bancario Ambroveneto passando poi in Andersen Consulting. Oggi è Direttore del Marketing Strategico e responsabile delle soluzioni Anti-Frode di Experian, società leader negli strumenti per la gestione ed il controllo dei rischi di Credito. Contatti: fabio_tortora@yahoo.it Grazie ad un gruppo di volenterosi ed entusiasti professionisti che già da anni operano con successo nel campo della lotta alle frodi nelle sue varie forme, è presente anche in Italia il chapter dell'Association of Certified Fraud Examiners, ACFE, http://www.cfenet.com . L'ACFE è nata ad Austin, Texas, per opera di un ex agente dell'FBI, Joseph T. Wells che ancora oggi ispira e governa l'associazione; si tratta di una realtà no-profit la cui mission è quella di contribuire a ridurre drasticamente l'incidenza del fenomeno della frode e del c.d. white collar crimes. L'associazione L'ACFE raccoglie oggi più di 30.000 associati in oltre 100 paesi e rappresenta quindi un network mondiale la cui funzione principale è quella di far circolare la conoscenza e di favorire, anche attraverso adeguati strumenti di formazione, lo sviluppo professionale dei Certified Fraud Examiners (CFE). In tal senso l'ACFE oltre ad organizzare corsi di formazione, alcuni dei quali saranno disponibili in Italia dal prossimo anno, sviluppa programmi di collaborazione col mondo universitario fornendo supporto e materiale educativo: oggi sono oltre 200 le università che hanno inserito corsi sulla tematica dell'anti-frode in collaborazione con l'ACFE. I capitoli locali Lo sviluppo dei capitoli locali è finalizzata alla diffusione della cultura anti-frode e della figura e ruolo del CFE; tra le funzioni dei capitoli c'è inoltre quella di assicurare che chi ottiene la qualifica di CFE, oltre a rispettare il rigoroso codice etico della professione, mantenga un elevato standard professionale attraverso un processo continuo di formazione ed aggiornamento. La certificazione professionale È doveroso premettere che data la variegata natura del fenomeno fraudolento, non esiste di fatto uno standard di esperto di frodi valido in assoluto. La frode abbraccia infatti vari campi, da quello informatico e quello contrattuale, da quello legato all'infedeltà od agli abusi del dipendente aziendale alla "creatività" contabile di manager senza troppi scrupoli, dalla contraffazione all'antiriciclaggio, alla corruzione. In ciascuno di questi campi prevale un determinato tipo di competenza: informatica, legale, contabile, organizzativa, criminologia, etc. Ciascuno di questi campi possiede i suoi esperti ed i suoi canali di formazione. I tipici CFE sono dunque: Internal Auditors, Investigatori, Avvocati, Commercialisti, Personale delle Forze di Polizia, ricercatori e accademici. Elemento comune è l'approccio sistematico ad etico al contrasto delle frodi, la ricerca dell'eccellenza nello svolgimento della propria professione, nella percezione della frode come problema "sociale", nello sviluppo di metodologie e best practice di prevenzione, di investigazione, di deterrenza. All'interno dell'ACFE tutto questo diventa patrimonio comune grazie al quale, nel rispetto dell'assoluta riservatezza e tutela dei propri clienti-vittime, è possibile sviluppare dei modelli di "difesa". L'Associazione, attraverso i CFE, ha avuto segnalazione di oltre 1 milione di casi sospetti grazie ai quali è stato sviluppato un ampio catalogo di strumenti di formazione e auto-formazione. I benefici di conseguire la certificazione CFE sono, tra gli altri, quelli di ottenere un certificato professionale riconosciuto a livello internazionale, accedere a risorse ed ad un network mondiale, usufruire di un ampia possibilità di corsi e strumenti di formazione, cogliere nuove opportunità professionali e di carriera, poter svolgere un ruolo attivo all'interno di uno dei chapter locali. Il fondatore dell' associazione: Joseph T. Wells (fonte: http://www.cfenet.com/about/josephtwells.asp) Il lavoro di un CFE Un CFE deve essere in grado di fornire un supporto qualificato per analizzare e risolvere casi di frode o di abuso e di assistere i propri clienti nell'attività di prevenzione e deterrenza delle frodi e dei white-collar crime. I CFE devono mantenere elevati standard sul piano etico e morale e sottoporsi, sotto questo punto di vista, a dei rigidi controlli da parte dell'ACFE. Esiste uno standard per l'ammissione dei candidati che devono possedere dei requisiti minimi tali da dimostrare il possesso degli skill di base adeguati. In particolare, occorre una laurea ed una adeguata esperienza in campi di attività riconducibili all'area della lotta alle frodi. Il passo successivo è o sostenere l'esame o richiedere la certificazione "by Waiver"; tale opzione è riservata a chi lavora da almeno 8 anni "in trincea" e fornisce adeguata documentazione a riprova. Personalmente suggerisco, a chi intende avvicinarsi alla professione e a chi non ritiene di possedere realmente adeguati skill in materia, di evitare scorciatoie al solo fine di ottenere un certificato da appendere alla parete dell'ufficio e di seguire la via dell'esame, sicuramente più complessa ma utile sul piano della formazione e di soddisfazione a livello personale per il traguardo finale. Il chapter italiano si sta strutturando per dare il massimo supporto a chi intende sostenere l'esame ed avviarsi verso una professione da CFE. È possibile ottenere tutte le informazioni necessarie collegandosi alle relative pagine del sito dell'ACFE: http://www.cfenet.com/cfe/StepsWaiver.asp o inoltrando una e-mail all'indirizzo: acfeitalia@yahoo.it. Per quanto riguarda le attività del neo-nato chapter, in attesa di inaugurare il sito che è in via di sviluppo, è attiva una newsletter cui si può accedere dal sito ACFE (con ricerca sui Local Chapter) o direttamente all'indirizzo: http://cfenet.com/chapters/ChapterList.asp Come ottenere la certificazione. L'esame CFE riguarda quattro aree: 1. Criminology & Ethics: lo scopo di questa sezione è verificare le conoscenze dei concetti base di criminologia e dei principi etici dei professionisti anti frode; 2. Financial Transactions: questa sezione si occupa delle frodi nelle transazioni commerciali e richiede la conoscenza di argomenti quali contabilità, auditing, controlli interni; 3. Fraud Investigation: in quest'area sono richieste conoscenze relative agli incarichi innvestigativi (interviste, valutazione delle prove, redazione dei rapporti, etc.); 4. Legal Elements of Fraud: in questa sezione sono valutate le conoscenze legali e normative. L'esame si effettua online, nelle modalità illustrate nel sito di ACFE, e può essere sostenuto in qualsiasi momento; ogni sezione prevede 125 domande a ciascuna delle quali si deve rispondere entro 75 secondi. CFE Practice Quiz Sul sito CFE è presente un esempio di 20 domande di prova per l'esame: il CFE Practice Quiz. Di seguito riportiamo, in inglese, le prime tre domande, relative all'area "Criminology and Ethics" (le risposte sono sul sito). 1. Given all of the following fraud prevention methods within organizations, which one is probably the most effective? a. reducing rationalization b. having an open-door policy c. increasing the perception of detection d. screening employees 2. Beta, a fraud suspect, said he stole money from the ABC Company because the company didn't pay its entry-level workers a living wage. The view that crime is primarily caused by a disadvantaged economic class position is called: a. economic theory b. social process theory c. social structure theory d. none of the above 3. Blue, a fraud offender, had no known history of criminality. One theory of crime causation suggests that people are not inherently bad, but rather are taught to commit crime through life's experiences. This is called the: a. social causation theory b. trait theory c. social learning theory d. none of the above Il Rapporto 2004 sulle frodi L'ACFE ha reso pubblico il "Report to the Nation on Occupational Fraud and Abuse" relativo al 2004 il cui testo completo può essere liberamente scaricato in: http://cfenet.com/pdfs/2004RttN.pdf. Lo studio analizza 508 casi di frodi perpetrate da dipendenti ed amministratori che hanno causato perdite totali per 761 milioni di dollari. I dati sono tratti dai CFE che si sono occupati dei casi stessi. Il rapporto fornisce, inoltre, interessanti valutazioni sia sulle modalità con cui avvengono le frodi sia sulle contromisure che possono essere adottate. Lo studio si conclude con una interessante tassonomia delle frodi in azienda. fonte: http://www.cfenet.com/resources/RttN.asp Associazioni e certificazioni professionali Metriche per la misurazione del software di Loredana Mancini Il GUFPI-ISMA (Gruppo Utenti Function Point Italia - Italian Software Metrics Association) è l'associazione italiana per la promozione, la diffusione e lo sviluppo delle tecniche quantitative di misurazione del software, inclusa la metodica dei Function Point emessa dall'IFPUG. http://www.isacaroma.it/html/newsletter/?q=node/35 http://www.isacaroma.it/pdf/news/0411-gufpi.pdf Loredana Mancini, presidente di GUFPI-ISMA, Director del Security Competence Center di Getronics, segue il tema metriche dal 1986. Ha lavorato nei progetti SPICE e CMM e nelle attività di localizzazione delle linee guida IFPUG e del metodo COSMIC. Contatti: Loredana.Mancini@getronics.com L'associazione GUFPI-ISMA, http://www.gufpi.org, è l'associazione italiana per la promozione, la diffusione e lo sviluppo delle tecniche quantitative di misurazione del software, inclusa la metodica dei Function Point. L'associazione è nata nel 1989 come punto di incontro per gli esperti e le aziende che adottavano metriche, in particolare i Function Point, per la gestione e pianificazione di progetti software. Soci fondatori sono stati Getronics e SOGEI; oggi circa 50 società partecipano a GUFPI o ne sostengono le attività. Scopi dell'associazione sono: * la promozione e lo sviluppo delle tecniche quantitative di misurazione dei prodotti, processi e servizi ICT ed in particolare delle tecniche di misura funzionale del software come i Function Point, attraverso la collaborazione, la ricerca e lo scambio di esperienze tra i soci partecipanti; * la promozione, lo sviluppo e il coordinamento di attività volte all'aggiornamento culturale e professionale tra i suoi soci; * la preparazione, l'organizzazione e la partecipazione a meeting, seminari di studio e manifestazioni, anche all'estero, con l'utilizzo di attrezzature e/o materiali propri o altrui; * la promozione e lo sviluppo delle attività dell'Associazione attraverso la pubblicazione e/o distribuzione, anche in via digitale e telematica, di periodici specializzati, di manuali, nonché del materiale e della documentazione tecnica prodotta a beneficio dei soci e di tutti gli interessati; * lo studio e la valorizzazione delle attività dell'Associazione attraverso l'adesione ad altre associazioni internazionali aventi analoghi scopi, quali IFPUG o ISBSG nonché attraverso la collaborazione con organismi internazionali come UE, IEEE, ISO, UNI, UNINFO; * l'individuazione di convenzioni con enti pubblici o privati per la gestione di corsi e seminari. home page sito GUFPI - ISMA fonte: http://www.gufpi.org Le attività Le attività consistono in gruppi di lavoro temporanei finalizzati allo studio di argomenti specifici ed in gruppi di lavoro stabili per l'analisi continua e l'aggiornamento delle tecniche utilizzate. Oggi sono attivi 3 gruppi di lavoro: 1. CPC, Counting Practice Committee, che ha i seguenti obiettivi: * contribuire al miglioramento della formulazione delle regole di conteggio relative alla metrica dei Function Point; * favorire una omogenea interpretazione delle regole stesse a livello interaziendale; * contribuire al processo di diffusione e promozione degli standard a livello nazionale; * favorire l'interscambio informativo con le organizzazioni internazionali che hanno obiettivi analoghi. 2. SBC, Software Benchmarking Committee, che riunisce i membri interessati all'approfondimento delle tecniche di standardizzazione usate per confrontare diverse performance con particolare riferimento alle produttività e costi unitari. Il SBC si propone di: * aggiornare i membri sulla letteratura di settore e raccogliere riferimenti metrici pubblici; * promuovere la raccolta dei dati; * mantenere i contatti internazionali con l'ISBSG (International Software Benchmarking Standards Group) collegato con il comitato sul Benchmarking dell'IFPUG (International Function Point Users Group); * stabilire accordi con simili attività di ricerca svolte in ambito accademico. 3. SMC, Software Measurement Committee, costituito nel febbraio 2001 con l'obiettivo di occuparsi degli aspetti di misurazione da un punto di vista non funzionale e trattare aspetti organizzativi quali piani di misurazione, iniziative di miglioramento del processo di sviluppo del software (software process improvement), tool metrici e misurazione delle performance del software. Le certificazioni Al momento sono disponibili, attraverso IFPUG, Quattro tipi di certificazioni: 1. Certified Function Point Specialist (CFPS) - questo tipo di certificazione è indirizzata al singolo Function Point Specialist; 2. Certified Software Measurement Specialist (CSMS) - (la più recente: disponibile da agosto 2004) - questo tipo di certificazione allarga la certificazione su una singola metrica al tema più generale di competenza sul tema metriche; 3. Training Materials Certification - questo tipo di certificazione viene applicata al materiale utilizzato per attività di training sui Function Point; 4. Software Certification - questo tipo di certificazione viene applicata agli strumenti di conteggio dei Function Point. Cosa sono i Function Point? Il problema della stima e quantificazione delle dimensioni di un sistema software è sempre stato l'anello debole dell'attività di pianificazione impegni e gestione progetti. Le metriche spesso utilizzate si basavano su una stima delle dimensioni del software utilizzando il concetto di "linea di codice" (LOC: Line of Code), nelle sue diverse interpretazioni, LOC, SourceLOC, ecc. Come si può facilmente intuire tale tipo di misurazione, ha in sé il problema della standardizzazione; infatti il conteggio delle linee di codice può dipendere sia dal linguaggio, sia dall'ambiente di sviluppo, sia dalle modalità di conteggio. Inoltre negli attuali sistemi di sviluppo le attività di integrazione rappresentano un fattore sempre più preponderante rispetto alle pure attività di sviluppo o manutenzione del software. Proprio per superare tali limiti è stata studiata da Allan J. Albrecht una metodologia denominata Function Point Analysis (FPA). I F.P. sono una metrica di tipo funzionale che cerca, tramite oggetti propri, di individuare le dimensioni di un sistema quantificando le funzioni consegnate all'utente e quindi forniscono una quantificazione di livello superiore rispetto alla rappresentazione tecnica. Dagli iniziali F.P. definiti da Albrecht la metrica funzionale ha subito molte evoluzioni e oggi esistono organismi di standardizzazione a livello internazionale che hanno il compito di far evolvere questa tipologia di approcci e di superarne le eventuali criticità di applicazione e d'uso. In ambito IFPUG è stato creato un metodo di certificazione dei "conteggiatori", che migliora il calcolo dei FP purché lo rende indipendente dall'interpretazione della singola persona. In Italia il GUFPI ha recepito questa certificazione ed ha tradotto le linee guida e gli esami di certificazione, per permettere ad una più vasta platea di usufruire della certificazione. Un libro al mese Beyond Fear di Bruce Schneier recensito da Stefano Zanero Le scelte di sicurezza sono spesso, anzi quasi sempre, dettate da considerazioni che di logico e razionale non hanno nulla! http://www.isacaroma.it/html/newsletter/?q=node/36 http://www.isacaroma.it/pdf/news/0411-zanero.pdf Stefano Zanero è associato IEEE, ACM e CLUSIT. Cura per ComputerWorld Italia, la rubrica "Diario di un Security Manager". È inoltre socio e responsabile tecnico di Secure Network S.r.l., una società di consulenza, formazione e servizi alle imprese in tema di sicurezza dell'informazione. Può essere contattato alla seguente email: zanero@elet.polimi.it L'ultimo libro di Bruce Schneier, "Beyond Fear", tratta diffusamente del concetto della sicurezza (non solo informatica) come negoziazione tra le priorità ("agende") dei diversi attori. Con la consueta lucidità, Schneier ci pone di fronte ad una abbacinante verità che non ammetteremmo mai volentieri: le scelte di sicurezza sono spesso, anzi quasi sempre, dettate da considerazioni che di logico e razionale non hanno nulla. Il sottotitolo è chiarificatore: "Pensare razionalmente alla sicurezza in un mondo incerto": sfatando facili errori e luoghi comuni, Schneier ci propone un vero e proprio modello per riflettere seriamente sulle soluzioni che ci vengono proposte e sui problemi, e per non farci abbindolare dalle facili soluzioni proposte da sedicenti esperti (politici e non). Nel mirino del "technopundit" americano cadono, insieme, le paure del cyberterrorismo e i controlli di sicurezza agli aeroporti, la profilatura personale e le metodologie di intercettazione delle comunicazioni. Una lettura leggera e insieme stimolante, profonda senza essere tecnica, adeguata a tutti coloro che per passione, per dovere, per lavoro o per hobby si occupano, o vorrebbero occuparsi, di sicurezza. Per saperne di più * Bruce Schneier: http://www.schneier.com/ * Beyond Fear: http://www.schneier.com/book-beyondfear.html * audio Intervista (in inglese) a Bruce Schneier: http://www.itconversations.com/download.php?id=119&format=mp3 * Il sito della società fondata da Bruce Schneier: * http://www.counterpane.com/index.html Altri articoli di Stefano Zanero * Intervista a Stefano Zanero, Isacaroma Newsletter ottobre 2004, numero 7: http://www.isacaroma.it/html/newsletter/?q=node/19 * presentazione di ISESTORM, Isacaroma Newsletter agosto 2004, numero 5 ICT Security Intervista a Salvatore Aranzulla, cacciatore di bug Ha 14 anni, ha scoperto gravi bug di Google, si definisce il più piccolo divulgatore informatico del mondo. http://www.isacaroma.it/html/newsletter/?q=node/37 http://www.isacaroma.it/pdf/news/0411-aranzulla.pdf Ciao Salvatore e grazie per averci concesso questa intervista. Raccontaci di te. Quanti anni hai, cosa studi? Sono un ragazzo "normale", ho 14 anni e studio al Liceo Scientifico "V. Romano" di Piazza Armerina. Come ti sei avvicinato all'informatica? Come hai cominciato a fare il cacciatore di bachi informatici? Mi sono avvicinato all'informatica per caso. Accompagnavo i miei genitori fuori paese, intenzionati a comprare un climatizzatore, quando li ho convinto ad informarci circa l'acquisto di un computer. Entrati nel negozio, per informarci, sono riuscito (gridando e piangendo a più non posso) a farmi acquistare un PC. Da allora non mi sono più fermato, andando sempre alla ricerca di maggiori informazioni e cercando di avere sempre più conoscenze. Non mi stanco mai: più so e più voglio sapere. E proprio per questa voglia di sapere sto cercando di avvicinarmi al mondo della sicurezza informatica, che rappresenta, per me, la mia prossima sfida. Nelle ultime settimane sei diventato famoso per avere scoperto alcune importanti vulnerabilità di Google, poi prontamente corrette dalla società americana. Sei stato contattato e ringraziato da Google? Sì sono stato contattato da Google che mi ha ringraziato per la scoperta dei due bug ma, allo stesso tempo, mi ha "tirato" un po' le orecchie perché a loro non è giunta la segnalazione dei bug: l'avevo inviata a italia@google.com mentre mi hanno segnalato per il futuro, di scrivere a security@google.com Hai collaborato, per gli aspetti di sicurezza, a due noti progetti opensource: ASP-Nuke, http://www.aspnuke.it/ e Dblog, http://www.dblog.it/. Come è andata? Ho collaborato con questi due progetti per la sicurezza segnalando i bug che ho scoperto che sono stati prontamente corretti dai relativi staff che mi hanno ringraziato. Sul tuo sito, http://mirabilweb.altervista.org/index.php, ti definisci "il più piccolo divulgatore informatico al mondo". Cosa intendi? Il mio lavoro è simile a quello di un giornalista: divulgare notizie e curiosità, anche se, in questo caso, legate all'informatica. Non potendo usare, per ovvi motivi, il termine "giornalista" per definirmi ho usato un suo sinonimo: "divulgatore". Il lavoro che faccio in rete è infatti quello di cercare e segnalare curiosità sull'informatica, oltre che scrivere tutorial e dedicarmi alla programmazione. Parliamo di hacker; è un termine che negli ultimi anni ha assunto una connotazione negativa mentre in origine indicava un appassionato di computer che non si limitava ad usare passivamente i tool ma li smontava e li ottimizzava. Qual è la tua opinione a riguardo? Purtroppo i mass media di oggi hanno dato (impropriamente) al termine "hacker" il significato di "criminale informatico". Io non sono d'accordo con la connotazione che questo termine ha assunto e resto "fedele" al significato originario, ovvero quello di un vero smanettone informatico. Cos'è MW Hardware MAX, http://www.hardwaremax.it/ ? MW Hardware MAX è un sito che ho creato assieme al mio amico Igor Lucifaro su informatica e web. Oggi, con circa 5000 utenti al giorno, è uno fra i siti più visitati su informatica. Tutti i giorni segnaliamo novità legate al settore dell'hardware e non. Ma a scuola come va? I tuoi insegnanti apprezzano le tue molteplici attività IT? A scuola penso di andare bene: ho una media dell'8/9. Sinceramente parlando, i miei insegnanti non hanno ancora avuto modo di conoscere la mia passione per l'informatica. Cosa consigli a chi volesse seguire le tue orme e diventare un divulgatore o un bug hunter? Non mi ritengo, per il momento, una persona in grado di dare consigli: anch'io ho ancora molto da imparare. Un consiglio che però dò a tutti è: leggere, leggere e ... leggere su informatica ;-) Che altri interessi hai oltre l'informatica? Che stai leggendo in questo periodo? Oltre all'informatica, un altro mio interesse è la lettura, seppur ancorata a questo settore: la maggior parte dei libri che leggo trattano internet o i PC ;-) In questo periodo non sto leggendo nessun libro in particolare. L'E-book di Salvatore: "Crea il tuo sito in ASP" disponibile in http://mirabilweb.altervista.org/pagina.php?pagina=libro IS Audit & Control Protiviti Italia, indipendent risk consulting Governance, Risk Management e Controllo Interno: le nuove sfide dell' IS Auditor; un punto di vista indipendente. http://www.isacaroma.it/html/newsletter/?q=node/38 http://www.isacaroma.it/pdf/news/0411-protiviti.pdf Alberto Carnevale e Giacomo Galli, Managing Directors di Protiviti, network internazionale indipendente, leader nell'offerta di servizi di Risk Consulting e Internal Auditing, hanno gentilmente accettato di rispondere a qualche domanda sul processo di selezione e formazione del proprio personale professionale. Grazie per la collaborazione. Volete rapidamente descriverci Protiviti? Protiviti è un gruppo di consulenza indipendente dai network di revisione contabile, con sede in California e filiali in Francia, Inghilterra, UK, Giappone, Australia e Italia. Protiviti è leader nell'offerta di servizi consulenziali di Corporate Governance, Risk Management e Internal Auditing. Protiviti è controllata da Robert Half International Inc., leader nei settori del lavoro temporaneo professionale e manageriale nonché del reclutamento specializzato. Il Gruppo conta nel mondo oltre 1.000 professionisti dipendenti e un data base di circa 70.000 risorse a progetto. Dal 1° gennaio 2004, Protiviti ha aperto una propria filiale in Italia, con sedi a Milano e Torino, che ad oggi può già contare oltre 40 professionisti, tra personale dipendente e risorse a progetto. L'offerta di Protiviti in Italia è rivolta alle aziende che intendono adeguarsi ai più elevati standard qualitativi in tema di Governance, Risk Management e Controllo Interno. Come si pronuncia Protiviti? Protiviti si legge all'italiana, con l'accento sulla o. Da che esperienze professionali provenite? Alberto Carnevale è stato il responsabile dei servizi di risk consulting in Italia di una delle "big four" ed è docente presso il Master di Direzione di Impresa del corso di Enterprise Risk Management presso l' Università di Torino. Giacomo Galli è stato amministratore delegato di una società di risk consulting appartenente al network di una delle "big four" in Italia, nonché responsabile nazionale, per lo stesso network, dei servizi consulenziali di Capital Market, Finanza Derivata e Risparmio Gestito. L'intero staff della società italiana è composto da professionisti con competenze specifiche nelle tre aree di attività descritte e con esperienze maturate in Italia e all'estero. Precedentemente avete lavorato in network di società di revisione; ora siete a capo di una società di consulenza indipendente. Ci sono differenze di fondo nell'approccio ai controlli e all'audit? La possibilità di concentrare le nostre energie sulle tematiche legate al risk consulting e all'internal auditing consente di proporre un approccio molto più articolato e sempre aderente alle esigenze del cliente. Le nostre persone non sono distratte da altre attività che per forza di cosa sono tipiche di un network di revisione esterna. Inoltre le nostre competenze professionali sono valorizzate dalla possibilità di dare un reale punto di vista indipendente che non è influenzato da alcun "retropensiero" legato a passati o futuri altri incarichi di revisione esterna o consulenziali. Come avviene il processo di selezione del vostro personale professionale? Preferite assumere neolaureati da formare o cercate anche professionisti già esperti? Investite molto in formazione? Cerchiamo entrambe le figure professionali. Stiamo crescendo rapidamente ma abbiamo adottato e intendiamo mantenere un rigidissimo processo di selezione ricercando l'eccellenza delle nostre risorse. Gli investimenti in formazione (erogata dal nostro personale esperto, acquisita dall'esterno da università ed associazioni e fornita dal nostro network in remoto o presso sedi estere) sono cospicui e rappresentano una delle principali voci di spesa della nostra società. Qual è la carriere prevista? Il percorso di carriera è molto semplice (pochi gradi dal livello di ingresso, al passaggio a consultant e senior consultant, fino ai livelli dirigenziali) e in nessun caso legato ad automatismi temporali. Ogni persona in Protiviti ha chiaro in mente quali sono i suoi obiettivi per il passaggio al grado superiore e sa cosa deve dimostrare per ottenere tale passaggio. Ciò avviene al momento giusto seguendo un processo di valutazione molto diretto e semplificato dalle dimensioni "gestibili" della nostra struttura. Aziendalmente, favorite l'ottenimento di certificazioni professionali quali CISA, CISSP, CIA o BS7799 - Lead Auditor? Avete molti consulenti "certificati"? Noi paghiamo ai nostri dipendenti i costi relativi alla formazione e all'iscrizione agli esami per l'ottenimento delle principali certificazioni professionali. Ad oggi alcune nostre risorse hanno già ottenuto significati attestati dalle principali categorie di settore. Il vostro approccio per i servizi di Risk Consulting e Internal Auditing si basa su standard internazionali (quali?), su metodologie proprietarie o su una via di mezzo? La base di tutta la nostra metodologia è legata a standard internazionali di riferimento ed in particolare al COSO. Siamo onorati di segnalare al riguardo che uno dei nostri Managing Director Statunitensi, James De Loach, fa parte del Board del COSO. Riteniamo di avere sviluppato la piu' completa, dettagliata e robusta metodologia esistente su tali servizi. Inoltre la filosofia della nostra organizzazione è che tale struttura è un patrimonio comune e quindi abbiamo creato un sito (www.knoledgeleader.com) dove, gratuitamente per i primi 30 giorni, è possibile accedere all'intero insieme della nostra metodologia. Negli ultimi mesi eventi importanti in ambito internazionale e nazionale hanno spinto le autorità di controllo e le stesse società di revisione e consulenza verso un rafforzamento dei controlli e dell'indipendenza. Qual è la posizione di Protiviti a riguardo? Ciò implica un cambiamento anche per la professionalità degli auditor? La nostra posizione è che la funzione di internal auditor oggi viene sempre piu' investita da responsabilità e nuove mission. Questo comporta la necessità di una sostanziale rivisitazione dei tradizionali skill degli auditor interni e quindi il bisogno di aggiornare le professionalità alle mutate richieste dell'ambiente di controllo. Noi ci proponiamo come reale interlocutore delle funzioni di internal auditor: il primo loro consulente esclusivo ed indipendente. Si parla sempre più di società dell'informazione; che riflesso ha ciò per l'auditing, il controllo e la sicurezza? Non si rischia di essere messi in difficoltà dalla quantità di informazioni che ci arrivano? Il concetto di società dell'informazione è ormai una realtà ed il fattore produttivo scarso è proprio l'informazione! Il problema risiede nella selezione delle informazioni utili per adempiere ai propri compiti nella maniera più efficace ed efficiente. La conseguenza è che occorre studiare e implementare sistemi che consentano il trattamento di informazioni con contenuto meno strutturato del classico dato numerico; un esempio su tutti sono le informazioni relative ai rischi operativi. La vera difficoltà sarà di natura culturale e dovrà vedere impegnate le organizzazioni complesse a tutti i livelli, a partire dal Top Management. Parlando di Technology Risk qual è la vostra opinione a riguardo? Spesso la gestione dei rischi IT viene risolta solo con un approccio per prodotti. È sufficiente? Le infrastrutture tecnologiche a presidio dei rischi sono necessarie. Ma l'esperienza ci dice che il rapporto tra l'utente e la tecnologia è il punto di snodo essenziale. In nessun caso il comportamento umano può essere codificato e preventivamente monitorato con controlli automatici. E' un problema culturale ed è legato ai processi core di ogni attività. Riteniamo essenziale, in tema di Technology Risk, un approccio che contemperi tali esigenze e che non sia racchiuso nella "torre eburnea" dell'IT aziendale. Privacy, d.lgs. 231/2001, Business Continuity, Basilea II, Corporate Governance... sembrerebbe un mercato di servizi per le imprese in grande espansione. C'è spazio solo per le grandi multinazionali o serve un approccio specialistico? L'approccio che noi riteniamo vincente è quello specialistico. Questo non vuol dire però che crediamo nel proliferare di piccole "boutique" locali. Le tematiche sono tali che la necessità di poter contare su esperienze a livello multinazionale e su risorse di un grande gruppo investite nella ricerca continua non può non essere tenuta in conto nella stesura di un serio Business Model. Ecco perché riteniamo di avere un reale vantaggio competitivo sul mercato Avete qualche consiglio per chi volesse intraprendere questa professione? Chiunque vuole seriamente intraprendere questa professione deve essere intimamente convinto che il controllo non è e non deve essere una attività fine a se stessa o avulsa dal core business aziendale. Un professionista della materia deve essere consapevole che è partecipe della catena del valore di una azienda e come tale si deve comportare. Avete qualche lettura da consigliare ai nostri lettori anche non direttamente connessa a questo mestiere? "Accounting for growth: Stripping the camouflage from company accounts" di Terry Smith, un vecchio libro sempre interessante su come le aziende cercano, a volte, strade "alternative" ai propri problemi. Grazie e buon lavoro! IS Audit & Control Systems & Process Assurance in PricewaterhouseCoopers Il mestiere di IS Auditor in una "Big Four"; intervista ad Alfredo Gallistru, senior manager di PwC. http://www.isacaroma.it/html/newsletter/?q=node/39 http://www.isacaroma.it/pdf/news/0411-pwc.pdf Alfredo Gallistru, CISA, CISM è Senior Manager, responsabile del gruppo Systems & Process Assurance di PwC. Ha oltre 13 anni di esperienza in clienti nazionali e multinazionali appartenenti a diversi settori. Contatti: alfredo.gallistru@it.pwc.com Il dott. Alfredo Gallistru, Senior Manager di Systems & Process Assurance di PwC ha gentilmente accettato di raccontarci come avviene la selezione e la formazione dei revisori informatici o IS Auditor presso PwC una delle "Big Four" della revisione contabile internazionale. Ciao Alfredo e grazie per il tuo intervento. Vuoi descriverci, brevemente, cos'è Systems & Process Assurance (SPA) e come si colloca all'interno di PwC? Il gruppo SPA è una parte integrante di PwC Assurance con particolare competenza nell'ambito dei Sistemi, Processi, Controllo Interno. Nel gruppo lavorano esperti di sistemi di controllo e di gestione, specialmente in area ICT. Il gruppo è caratterizzato da una approfondita conoscenza dei processi di controllo e di business, siano essi core o di supporto, che forniscono dati ed informazioni per la contabilità ed il reporting. Obiettivo è l'analisi indipendente e la valutazione dei sistemi e dei processi che supportano la governance, i controlli e la compliance. Gli IS Auditor di PwC si occupano sia di "revisione informatica" per la certificazione di bilancio, sia di "consulenza" in ambito ICT Auditing? Gli IS Auditor del gruppo SPA svolgono differenti tipi di compiti che includono supporto ad attività di revisione esterna, attività di internal audit, opinioni formali che forniscono "assurance" a terze parti nonché attività di pura consulenza in cui le nostre competenze vengono messe al servizio del cliente. Qual è la carriere prevista? Per i primi tre anni i neo-assunti, senza precedenti esperienze lavorative, sono a stretto contatto dei senior che riportano, a loro volta, ai manager e senior manager per le attività svolte. Per ogni progetto vi è una specifica valutazione; ad ottobre viene effettuato un colloquio con il proprio tutor; in tale sede, sulla base delle valutazioni, viene determinato l'incremento retributivo e l'avanzamento di carriera con conseguente assunzione di maggiori responsabilità. Per i colleghi con qualche anno di esperienza nel nostro gruppo è prevista la possibilità di fare un'esperienza presso una sede PwC all'estero. Attualmente, ad esempio, due dei nostri senior sono in USA per un periodo di 9 mesi coinvolti in progetti Sarbanes-Oxley. Come avviene il processo di selezione? Preferite assumere neolaureati da formare o cercate anche professionisti già esperti? Investite molto in formazione? La selezione è uno degli aspetti più delicati nello svolgimento della nostra professione e dedichiamo ad essa particolare attenzione. Le nostre selezioni si indirizzano prevalentemente su neolaureati da inserire nel nostro percorso di carriera e formazione. Un gruppo in forte crescita come il nostro non può però trascurare l'inserimento mirato di figure più esperte. Attualmente, ad esempio, è in corso la ricerca di risorse esperte per i livelli di senior e manager. La formazione è una delle nostre priorità e gli investimenti in questo ambito sono certamente da giudicare rilevanti. Avviene sia tramite corsi organizzati a livello nazionale, sia tramite partecipazione ai corsi organizzati a livello europeo dal nostro network. Occasionalmente partecipiamo a corsi organizzati da società esterne, che fanno riferimento a standard e che permettano un approccio collaudato nella risoluzione di problematiche. Comunque, non è da trascurare il training on the job la cui utilità viene massimizzata da una attività di coaching a cui sono tenuti i membri più esperti del team. Favorite le certificazioni professionali quali CISA, CISSP, CIA o BS7799 - Lead Auditor? Avete molti revisori "certificati"? A tutti i membri del gruppo viene richiesto di prepararsi alla certificazione CISA, a cui attribuiamo grande importanza. Riteniamo infatti che essa rappresenti un marchio di eccellenza nella qualità delle nostre attività e che fornisca le esatte competenze utili allo svolgimento di gran parte delle nostre attività. Abbiamo diversi IS Auditor certificati CISA e ci teniamo a far crescere tale numero il più possibile. Abbiamo affidato ad uno dei nostri senior più validi il compito di fare loro da tutor incoraggiandoli e supportandoli nello studio nel corso dell'anno. Anche le altre certificazioni da te citate sono tenute in grande considerazione all'interno del nostro gruppo. Alcuni colleghi sono certificati CIA o BS7799LA. Il mestiere di IS Auditor, in PwC, si basa su standard internazionali, su metodologie proprietarie o su una via di mezzo? Gli standard a cui ci riferiamo nello svolgimento dei nostri incarichi sono quelli stabiliti da guideline interne, anche se vi sono richiami agli standard internazionalmente riconosciuti, quali ad esempio il COSO Report e CobiT. Hai qualche consiglio per chi volesse intraprendere questa professione? Chi vuole intraprendere questa professione deve avere una forte propensione al lavoro ed in particolare al lavoro in team; è fondamentale, inoltre, la continua comprensione ed approfondimento delle metodologie specifiche di tale "mestiere". All' IS Auditor sono, infatti, richieste competenze specifiche ed un continuo aggiornamento professionale che consente un approccio critico alle problematiche IS, al fine della prevenzione del rischio. Grazie Alfredo. Vita associativa NOTIZIE DA ISACA INTERNATIONAL Rilasciata la versione 3.2 di CobiT OnLine; disponibili i nuovi webcast su sicurezza e auditing; certificazioni CISM a quota 5.000; note dal Board Meeting di ottobre 2004 http://www.isacaroma.it/html/newsletter/?q=node/40 http://www.isacaroma.it/pdf/news/0411-isaca.pdf Rilasciata la versione 3.2 di CobiT OnLine Da dicembre 2004 è disponibile la nuova release di CobiT OnLine che offre, oltre alle funzionalità già previste nella precedente versione (e descritte nell'articolo) nuove caratteristiche quali: * nuovo reporting per il benchmarking, con miglioramento delle rappresentazioni grafiche; * "Why do it" statement a livello di framework; * funzionalità avanzate di filtering; * accesso facilitato alle control practice; * possibilità di editing del database, ora esportabile in formato access e modificabile dall'utilizzatore. Contatti per ulteriori informazioni: bselby@isaca.org Per abbonarsi al servizio: bookstore@isaca.org Nuovi webcast su sicurezza e auditing I webcast sono disponibili in: http://www.isaca.org/webcasts e comprendono: * Auditors and Quality Assurance: Achieving Enterprise Security Through * Collaboration * Introduction to Information Security Architecture * How to Carry Out a Strategic COBIT-based IT Risk Assessment * An Overview of Threat and Vulnerablility Analysis * IT Risk Management: A Case of E-commerce Availability * The IT Balanced Scorecard È possibile ottenere, con i webcast, un credito CPE per il mantenimento della certificazione CISA/CISM. Certificazioni CISM a quota 5.000 Robert Schlansker di Fairfax, Virginia, USA, principal information security engineer, è il certificato CISM numero 5.000! Note dal Board Meeting di ottobre 2004 Si è svolto a Melbourne il meeting tra l'ISACA Board of Director e l'ITGI Board of Trustees. Tra le decisioni prese, segnaliamo: * l'aggiornamento dell'ISACA/ITGI governance practice; * nuove in iniziative in ambito CobiT: o redazione della nuova componente Control Objectives, o definizione di un CobiT Learning Project entro il 2005, o nuovo progetto dal titolo (provvisorio) "CobiT Financials" * attività su "Sarbanes-Oxley Act": aggiornamento dei documenti in un ottica internazionale (non-country-specific). Vita associativa IT CONTROL JOURNAL DI NOVEMBRE 2004 È disponibile, per gli associati, il sesto numero del 2004 dell' Information Systems Control Journal dedicato ai temi della formazione (Audit Education) e del ruolo professionale (the Auditor's Role). http://www.isacaroma.it/html/newsletter/?q=node/41 http://www.isacaroma.it/pdf/news/0411-icj.pdf Elenco degli articoli: A Wake Up Call to All Information Security and Audit Executives: Become Business-relevant Patrick Taylor Building an Educational Response to Terrorism: A Multifaceted Problem, A Multidimensional Response William V. Maconachy, Ph.D., Corey Schou, Ph.D., James Frost, Ph.D., and John Springer, Ed.D. COBIT: An Ideal Tool for Teaching Information Security Management Malcolm Pattinson, CISA Information Technology Auditing and Cybercommerce: A Risk Perspective Jagdish Pathak, Ph.D. ISACA Model Curriculum 2004: Continuing to Invest in the Future Dr. Alan T. Lord, CISA, CPA, and Frederick Gallegos, CISA, CGFM, CDE On Security Education, Training and Certifications Julie J.C.H. Ryan, D.Sc., and Corey D. Schou The Institutional Need for Comprehensive Auditing Strategies Stu Milus Utilization of Generalized Audit Software in an Information Systems Auditing Course Gary B. McCombs, CPA, and Mohsen Sharifi, Ph.D., CMA, CQA, RAB-QA Frameworkers of the World, Unite Steven J. Ross, CISA, CISSP The IT Dimension of Basel II Erik Guldentops, CISA, CISM Educating the Masses: Audit, Control and Security of Information Systems Today and Tomorrow Frederick Gallegos, CISA, CDE, CGFM Newsletter Indice di tutti gli articoli Tutti gli articoli pubblicati dalla newsletter http://www.isacaroma.it/html/newsletter/?q=node/42 http://www.isacaroma.it/pdf/news/0411-indice.pdf Anno mese num. sezione titolo autore url url2 2004 aprile 1 Editoriale Presentazione newsletter Cilli Claudio http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf 2004 aprile 1 ICT Audit & Control CobiT 3.1 Grillo Agatino http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf 2004 aprile 1 ICT Audit & Control CobiT for Serbanes-Oxley Grillo Agatino http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf 2004 aprile 1 ICT Audit & Control CobiT Mapping Grillo Agatino http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf 2004 aprile 1 Associazione Corsi preparazione alla certificazione CISA 2004 Redazione http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf aprile 1 Associazione Consiglio Direttivo Redazione http://www.isacaroma.it/pdf/news/0404-isacaroma-news.pdf 2004 maggio 2 Editoriale Prossime iniziative Cilli Claudio http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 ICT Audit & Control CobiT, assicurare la continuità del servizio Grillo Agatino http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione Convegno nazionale del capitolo Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione ISACA Roma Learning On Line Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione Newsletter online Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione Information Systems Control Journal maggio 2004 Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione 2004 ISACA Membership Survey Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione Statistiche sulle certificazioni Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 maggio 2 Associazione Partnership internazionali Redazione http://www.isacaroma.it/pdf/news/0405-isacaroma-news.pdf 2004 giugno 3 Editoriale L'importanza di chiamarsi CISA Cilli Claudio http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 ICT Audit & Control Introduzione a CobiT Grillo Agatino http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione Iniziative del Capitolo Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione Convegno del 3 Giugno Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione Isaca Roma Spqr Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione Isaca International News Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione Webcast Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Associazione It Control Objectives For Sarbanes-Oxley Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 giugno 3 Certificazione C(Ertification)-Day resoconto, semiserio, dell'esame CISA del 12 Giugno Redazione http://www.isacaroma.it/pdf/news/0406-isacaroma-news.pdf 2004 luglio 4 Certificazione Security+ CompTIA Bernini Fabrizio http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 Editoriale Formazione ed aggiornamento professionale: la sfida globale Cilli Claudio http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 ICT Audit & Control CobiT: Security Baseline Grillo Agatino http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 Certificazione CISSP Mariani Francesco http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 Associazione Comitato Direttivo del 15 luglio Redazione http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 Associazione Intervista con Allan Boardman, Presidente del capitolo ISACA di Londra Redazione http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 luglio 4 Certificazione GCFW - GIAC Valerio Sonia http://www.isacaroma.it/pdf/news/0407-isacaroma-news.pdf 2004 agosto 5 Certificazione CIA Cilli Claudio http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Editoriale Certificazione CISA: al passo con i tempi! Cilli Claudio http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 ICT Audit & Control Information Security Governance A call to action Grillo Grillo Agatino http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Associazione Comitato Direttivo del 15 luglio Redazione http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Associazione e-Commerce Security Redazione http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Associazione Board Briefing on IT Governance Redazione http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Associazione La prima CobiT User Convention Redazione http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Associazione Novità CobiT Redazione http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Certificazione OSSTMM Professional Security Analyst (OPSA) Valerio Sonia http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 agosto 5 Certificazione ISESTORM Zanero Stefano http://www.isacaroma.it/pdf/news/0408-isacaroma-news.pdf 2004 settembre 6 Editoriale Harmonisation Project Cilli Claudio http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 Certificazione Project Management Professional (PMP) Di Stefano Gian Luca http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 Certificazione Certificazione Lead Auditor BS7799: manuale di sopravvivenza Giustozzi Corrado http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Audit & Control IT Governance: COSO Enterprise Risk Management Framework Grillo Agatino http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 Education Intervista a Ugo Spaziani nuovo responsabile dell'education di ISACA Roma Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 Education Giornata di studio del 28 ottobre Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Audit & Control Cobit in Academia Program Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Audit & Control Università Ca' Foscari di Venezia Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Audit & Control MACS , Executive Master in Advanced Computer Science Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Audit & Control Università "La Sapienza" di Roma, facoltà di scienze M.F.N. Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 settembre 6 ICT Security Il mestiere di Security Consultant: Intervista a Giulio Carducci Redazione http://www.isacaroma.it/pdf/news/0409-isacaroma-news.pdf 2004 ottobre 7 Editoriale Certificazione ISO/IEC 17024 per CISA e CISM Cilli Claudio http://www.isacaroma.it/html/newsletter/?q=node/14 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf 2004 ottobre 7 ICT Audit & Control Lezioni di IS Auditing Grillo Agatino http://www.isacaroma.it/html/newsletter/?q=node/21 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-lezioni.pdf 2004 ottobre 7 Associazione Notizie da Isaca International Redazione http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf 2004 ottobre 7 ICT Audit & Control I nuovi standard di IS Auditing Redazione http://www.isacaroma.it/html/newsletter/?q=node/20 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-standard.pdf 2004 ottobre 7 ICT Security Intervista ad Andrea Pirotti, Executive Director di ENISA Redazione http://www.isacaroma.it/html/newsletter/?q=node/17 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-pirotti.pdf 2004 ottobre 7 ICT Security ENISA, l'agenzia di sicurezza europea Redazione http://www.isacaroma.it/html/newsletter/?q=node/23 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-enisa.pdf 2004 ottobre 7 ICT Security Intervista a Dario Forte, docente di "Gestione degli incidenti informatici" Redazione http://www.isacaroma.it/html/newsletter/?q=node/18 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-forte.pdf 2004 ottobre 7 ICT Security forte gb Redazione http://www.isacaroma.it/html/newsletter/?q=node/24 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-gb-forte.pdf 2004 ottobre 7 ICT Security Intervista a Stefano Zanero, dottorando di ricerca in Ict Security Redazione http://www.isacaroma.it/html/newsletter/?q=node/19 http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-zanero.pdf 2004 ottobre 7 ICT Security zanero gb Redazione http://www.isacaroma.it/pdf/news/0410-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0410-gb-zanero.pdf 2004 novembre 8 Editoriale I giovedì sera dell'ISACAROMA Cilli Claudio http://www.isacaroma.it/html/newsletter/?q=node/30 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-editoriale.pdf 2004 novembre 8 Certificazione Metriche per la misurazione del software Mancini Loredana http://www.isacaroma.it/html/newsletter/?q=node/35 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-gufpi.pdf 2004 novembre 8 Associazione Notizie da ISACA International Redazione http://www.isacaroma.it/html/newsletter/?q=node/40 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-isaca.pdf 2004 novembre 8 Associazione It Control Journal di novembre 2004 Redazione http://www.isacaroma.it/html/newsletter/?q=node/41 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-icj.pdf 2004 novembre 8 Education Anteprima seminario 14 Dicembre Redazione http://www.isacaroma.it/html/newsletter/?q=node/31 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-041214.pdf 2004 novembre 8 Education Calendario Eventi Education 2005 Redazione http://www.isacaroma.it/html/newsletter/?q=node/32 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-calenda.pdf 2004 novembre 8 ICT Audit & Control Protiviti Italia, Indipendent Risk Consulting Redazione http://www.isacaroma.it/html/newsletter/?q=node/38 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-protiviti.pdf 2004 novembre 8 ICT Audit & Control Systems & Process Assurance in PricewaterhouseCoopers Redazione http://www.isacaroma.it/html/newsletter/?q=node/39 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-pwc.pdf 2004 novembre 8 ICT Security Intervista A Luisa Franchina Direttore Generale dell'Istituto Superiore delle Comunicazioni e della Tecnologia dell'informazione Redazione http://www.isacaroma.it/html/newsletter/?q=node/33 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-franchina.pdf 2004 novembre 8 ICT Security Intervista a Salvatore Aranzulla, cacciatore di bug Redazione http://www.isacaroma.it/html/newsletter/?q=node/37 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-aranzulla.pdf 2004 novembre 8 Certificazione ACFE: l'associazione dei professionisti anti frode Tortora Fabio http://www.isacaroma.it/html/newsletter/?q=node/34 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-acfe.pdf 2004 novembre 8 Un libro al mese Beyond Fear di Bruce Schneier Zanero Stefano http://www.isacaroma.it/html/newsletter/?q=node/36 http://www.isacaroma.it/pdf/news/0411-isacaroma-news.pdf http://www.isacaroma.it/pdf/news/0411-zanero.pdf ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 1 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ISACAROMA Newsletter - novembre 2004 6 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 20 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 22 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ICT Security ISACAROMA Newsletter - novembre 2004 27 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004 38 Notiziario informativo per gli associati IsacaRoma versione pdf delle pagine weeb in http://www.isacaroma.it/html/newsletter/?q=taxonomy/term/11 ISACAROMA Newsletter - novembre 2004 ISACAROMA Newsletter - novembre 2004