AGENDA
27
e 28 Settembre 2006 - 27th
and 28th September 2006
*
* *
27
Settembre 2006 - 27 September
2006
Orari:
dalle 9.00 alle 17.30 - Hours: 9.00am - 5.30pm
REGISTRAZIONI
- REGISTRATIONS
CONFERENCE
PREMESSA
- PREAMBLE
Presentazione
del 3° SEI?
3rd
SEI? Presentation
JEKPOT
Carlo Sorge. chairman
GESTIONE
DELLA SICUREZZA DELLE INFORMAZIONI
INFORMATION SECURITY MANAGEMENT
La sicurezza ICT delle pubbliche amministrazioni:
un fondamentale per l'e-government
Ict security for the public administration:
a must for the e-government
CNIPA
Claudio Manganelli,
it director
-
L'esigenza della sicurezza ICT per le amministrazioni pubbliche
e per i cittadini.
- Iniziative legislative e attività operative attuali.
- Esigenza di una struttura nazionale
Minaccia
criminale informatica:
evoluzione e tendenze
Computer crime:
state of the art and trends
MINISTERO
DELL'INTERNO
Polizia postale e delle comunicazioni
Domenico Vulpiani,
director
Overview
sul computer crime
La
certificazione della sicurezza dei sistemi ICT:
l'OCSI ed il relativo Schema Nazionale (DPCM 30/10/2003)
Security certification of ict systems:
OCSI and related national schema (DPCM 30/10/2003)
MINISTERO
DELLE COMUNICAZIONI
OCSI
- Organismo Certificazione Sicurezza Informatica
Franco Guida,
vice-director
Posto
che ISCOM è l'OCSI per i prodotti di sicurezza informatica,
la certificazione avviene in base a parametri e test di affidabilità
atti a garantire la sicurezza dei sistemi informatici
Azioni
in corso sulla certificazione di sicurezza
dei sistemi ict non classificati
Actions on security cerftification
of non-classified ict systems
MINISTERO
DELLA DIFESA
D.G.
Teledife
Giuseppe Ilacqua,
ammiraglio
L'Amministrazione
della Difesa è tra le prime organizzazioni impegnate ad ottenere
la certificazione dei propri sistemi ict
sia di quelli “classificati”, che trattano informazioni coperte
dal Segreto di Stato, sia di quelli “non classificati” che possono
avere le funzioni piu’ varie (logistiche, gestionali, finanziarie,
...).
La
certificazione AIPSI per la localizzazione
delle competenze di sicurezza informatica
AIPSI certification for the localization
of ict security competencies
AIPSI
- Associazione Italiana Professionisti Sicurezza Informatica
Claudio Telmon,
board member
Tramite
la presentazione dell'esperienza di AIPSI nel campo della localizzazione
delle competenze di sicurezza informatica, verrà presentata
una metodologia in grado di rispondere alle esigenze dell'it compliance
dei professionisti, permettendo a
chi già dispone di una certificazione professionale tecnica di verificare
e dimostrare la propria preparazione nell'affrontare le peculiarità
italiane ed europee.
Coffee break
GESTIONE
OPERATIVA DELLA SICUREZZA
OPERATIONAL SECURITY MANAGEMENT
Gestione
delle identità
e approccio integrato alla gestione della conformità alle
normative
Identity management
and integrated approach to compliance
KPMG
Davide Grassano, partner KPMG Information Risk Management
La
gestione integrata della compliance, può essere affrontata con modelli
organizzativi e approcci che consentono una gestione integrata efficace;
introducendo soluzioni come l'Identity Management, che permettono
di raggiungere un equilibrio tra esigenze d'adeguamento alle normative,
di sicurezza delle informazioni e controllo interno e di efficienza.
La relazione affronterà i seguenti argomenti principali:
- La gestione integrata della compliance
- Identity Management (I.M.)
- Driver di un progetto di I.M.
- Elementi di un progetto di I.M. e possibile scenario
- Componenti di una soluzione di I.M.
Unified
compliance: metodologie operative
per la riduzione dei costi di esercizio
Unified
compliance: operative methodologies
to reduce the running costs
NETIQ
Marco Colonna,
sales engineer southern europe
Con
la proliferazione normativa in tema di Sicurezza ICT, il costo sociale
imputato alle aziende italiane impone la ricerca di nuove strategie
per un miglioramento dell’efficacia della sua gestione. Dalle fasi
di valutazione iniziale del rischio operativo a quelle della sua
gestione ordinaria, NetIQ offre soluzioni che intervengono sui costi
di gestione delle politiche e delle procedure che scaturiscono dall'applicazione
delle norme di competenza. In particolare, la strategia Knowledge-Based
Service Assurance di NetIQ abilita una più efficiente gestione
della Sicurezza ICT in grado di garantire l’abbattimento dei costi
della gestione operativa e di fornire le informazioni necessarie
per l’aumento delle performance di business
Lunch break
Orari:
dalle 14.30 - Hours: from 2.30pm
ESPERIENZE
- EXPERIENCES
Presentazioni
di case study
Case
study presentation
Sicurezza
delle informazioni e normativa di riferimento:
costrizioni od opportunità?
ALITALIA
Silvano Bari, security manager
Nel
corso dell'intervento verranno analizzati alcuni aspetti relativi
al quadro legislativo attinente la sicurezza delle informazioni,
esaminando le responsabilità derivanti da tali normative e come
sia possibile prevenire o quantomeno ridurre le responsabilità degli
amministratori e nel contempo approfittarne per rilanciare l'immagine
aziendale.
- La sicurezza delle informazioni come strumento di Corporate Governance
- Il quadro legislativo e la responsabilità degli amministratori
- Le normative di sicurezza delle informazioni
- Il ruolo delle certificazioni
- Come prevenire o ridurre le responsabilità
Sei a norma?
- Compliance
La
creazione della qualità nei processi IT
attraverso la certificazione Sarbanes-Oxley
BAYER
Ferruccio Radici, it infrastructure manager
La
presentazione evidenzia come l'introduzione della SOX sia stata
implementata non soltanto in termini di "compliance" con la legge
USA ma anche in termini di incremento della qualita' nella gestione
dei Servizi IT.
- Obiettivi; oltre alla "compliance", un incremento della qualita'
nella gestione dei "Servizi IT"
- Introduzione e cocnetti principali della SOX (Sarbanes-Oxley Act)
- Il "Framework" e la metodologia COBIT utilizzata dalla SOX
- I processi IT coinvolti dalla SOX -
Risultati ottenuti
Sei
a rischio? - Risk management
Utilizzo
di ontologie
nella modellizzazione dei rischi informatici
Use
of ontology
in the it risk modelization
BANCA
FINNAT
Massimo Coletti,
security manager
Verrà descritto l'approccio seguito in Banca Finnat per la costruzione
di un modello unificato di identificazione dei rischi per la sicurezza
delle informazioni. Il modello sfrutta tecniche e standard mutuati
dal "Semantic Web" per realizzare un'ontologia di: requisiti normativi,
struttura del sistema, classificazione delle minacce ed individuazione
dei rischi. Nel corso dell'intervento verranno descritte le motivazioni
dell'approccio seguito, la metodologia e gli strumenti usati, i
primi risultati del progetto.
Chi
sei? - Identity and access management
Furto
di identità:
come ridurre il rischio di esserne vittima
Identity
theft:
how to reduce the risk to fall in it
ISACA
ROMA
Claudio Cilli,
chairman
- Definizione di "furto di identità"
- Perché si verifica
- Come avviene: esempi
- Il vero danno
- Contromisure
Come
facilitare la conformità alle normative
tramite l'adozione dell'RBAC (Role Based Access Control)
How
to facilitate the it compliance
by RBAC
(Role Based Access Control)
ENGIWEB
SECURITY
Alberto Ocello,
general manager
Tramite
la presentazione di un case study italiano in tema di RBAC
- Role Based Access Control si cercherà di dare risposta
ai seguenti quesiti:
- relazione dell'RBAC con i sistemi di Identity & Access Management
- a chi serve l'RBAC
- come può l'RBAC aiutare una organizzazione ad accrescere il proprio
livello di sicurezza
- come può l'RBAC essere conforme alle condizioni imposte
dalle normative vigenti
Sei informato?
- Information analysis
Criminal
profiling
degli insiders e degli outsiders
Insiders
and outsiders
criminal profiling
ICAA
- International Crime Analysis Association
Marco Strano,
president
Le
organizzazioni pubbliche e private sono oggetto di attacchi informatici
provenienti dall'esterno (outside attack) e dall'interno (inside
attack). La relazione propone un approccio psico-criminologico da
affiancare a quello tecnologico per ciò che attiene alla prevenzione
e repressione di tale forma di illeciti. In particolare saranno
proposte delle innovative tecniche di criminal profiling basate
sull'impiego di honeynet e di sistemi esperti.
*
* *
28
Settembre 2006 - 28 September 2006
Orari:
dalle 9.00 alle 16.30 - Hours: 9.00am - 4.30pm
REGISTRAZIONI
- REGISTRATIONS
TUTORIAL
KM SECURITY
Gestire la sicurezza del patrimonio conoscitivo di un'organizzazione
a
cura di JEKPOT Partner
certificato
Il
tutorial si propone di presentare una metodologia per il controllo
interno di un'organizzazione al fine di salvaguardarne il patrimonio
conoscitivo. Il controllo interno è l'insieme della struttura organizzativa,
dei metodi e delle procedure adottati da un'organizzazione al fine
di conseguire obiettivi quali assicurare il rispetto delle politiche
emanate dalla direzione, salvaguardare i beni aziendali e assicurare
l'accuratezza, l'affidabilità e la riservatezza delle informazioni
trattate.
Scopo
del tutorial è di descrivere la struttura, il ruolo e la collocazione
della funzione di controllo interno. Saranno illustrati principi
e metodologie dell'auditing; tecniche di reporting e check-list.
Ciò con l'ausilio di molteplici esempi pratici.
Il
tutorial è particolarmente indicato per responsabili e addetti esecutivi
delle funzioni Information Systems Auditing, Security Administration
e per addetti ai processi di controllo dell'Information Technology.
*
* *
Introduzione
Gestire
e proteggere il patrimonio conoscitivo delle organizzazioni
JEKPOT
Carlo Sorge,
chairman
PRIMA
PARTE
Lo stato dell'arte in tema
di sicurezza
Panoramica sulla sicurezza informatica, perché la sicurezza, origini
Leggi,
direttive e norme internazionali in tema di sicurezza
La legislazione in Italia
La
sicurezza dei sistemi informativi
Il fenomeno degli hacker e degli insider,
minacce, metodologie di intrusione, contromisure
Sistemi
e metodologie di controllo accessi ai sistemi informatici
Risk
Analysis e Risk Management
Gestione del rischio, come affrontare la pianificazione e la
revisione di un sistema di sicurezza, necessità di adottare metodologie
complete ed esaurienti
Lunch
break
SECONDA
PARTE
L'auditing
Principi di Information System Auditing
Obiettivi
dell'Audit
Struttura e tipologia dei controlli nell'area IT
Metodologie
disponibili
Filosofie di approccio, principali strumenti
La
valutazione del sistema di controllo interno
Come organizzare un procedimento di analisi;
che cosa si intende per revisione di un sistema informativo
Gli
"audit trail"
Come raccogliere, analizzare e conservare le evidenze
Ruoli
e responsabilità
Analisi dei ruoli nell'organizzazione, conflitti e collusioni
Politica
di sicurezza
Esempio di stesura di una politica di sicurezza aziendale
Obiettivi
e verifica
Come verificare la correttezza e l'applicazione di una politica
di sicurezza
Tea
break
TERZA
PARTE
Biblioteca di audit
Check-list
e controlli
Esempio
applicativo:
verifica di un sistema informativo di gestione
della conoscenza composto da diverse unità interconnesse
* * *
