10141 Torino
Transcript
10141 Torino
Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione delle iniziative promosse dall'Associazione Italiana Information Systems Auditors volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che vedrà l'intervento dei seguenti relatori Il processo di audit: è possibile migliorare? Web (in)security: le principali criticità delle web application nel 2015 Introduzione al progetto OWASP e sua applicazione in ambito mobile e IoT Roberto Seni Mattia Reggiani (KPMG) Vito Logrillo (Aizoon) L'incontro avrà luogo a: Torino, Giovedì 24 settembre 2015 Presso Collegio Universitario Renato Einaudi Sezione Crocetta Corso Lione 24 - 10141 Torino come da agenda allegata. Proseguendo nelle azioni finalizzate a migliorare i servizi offerti agli associati, utilizzeremo la nuova modalità di iscrizione alle Sessioni di Studio gestita attraverso la piattaforma web accessibile al seguente indirizzo: http://videosessioni.aiea.jed.st/ La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l’anno 2015(vedi scheda d’iscrizione). Per aderire alla Sessione di Studio Vi chiediamo perciò di accedere alla piattaforma e confermare la Vostra partecipazione, entro e non oltre il 22 Settembre p.v. Ricordiamo che la partecipazione all’evento corrisponde sino a 4 ore di credito nell’ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo! Il Presidente (S. Niccolini) Milano, settembre 2015 Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Abstract delle relazioni Roberto Seni Il processo di audit: è possibile migliorare? Molti sistemi organizzati (responsabilità civile, qualità, sicurezza, ambiente …) stabiliscono l’obbligo di una sorveglianza continua sull’adeguatezza delle regole e sul loro costante rispetto; seguendo però il principio della sola obbligatorietà, le attività di audit rischiano di essere eseguite solo perché è un mero atto dovuto. La norma UNI EN ISO 19011 stabilisce i requisiti, i criteri ed i metodi, che possono essere applicati per gestire il processo di audit in modo efficace ed efficiente. Pur essendo una normativa ad applicazione volontaristica, i contenuti di questo standard rivelano però utili spunti per rimettere in discussione i metodi adottati. Escludendo alcuni temi ormai probabilmente assodati (es. definizioni, terminologie, indipendenza, competenza), è opportuno esaminare alcuni aspetti non sempre considerati: • L’applicabilità dei principi PDCA all’intero processo (5.2) • Determinazione e condivisione degli obiettivi dell’attività dell’audit (5.2) • Individuazione degli attori sulla scena del processo di audit ed i loro ruoli: committente, auditor, responsabile dell’area verificata (5.3) • Definizione dei metodi per una programmazione mirata: Individuazione degli strumenti da utilizzare per gestire i risultati (es. uso di database), determinazione dei dati di partenza, composizione del team, periodicità, sorveglianza sul programma, riesame periodico (5.3) • Determinare i metodi di pianificazione del singolo audit: su cosa indagare, con quale estensione, con quali evidenze: preparare check list e non limitare l’audit ad una banale elenco di cose che non vanno, fornire adeguate informazioni a futuri auditors (6.2) • Garantire una efficace ed efficiente comunicazione interna e gestione del follow up da esiti negativi: root cause analysis, pianificazione delle azioni di miglioramento e verifica della loro efficacia (6.8) Mattia Reggiani (KPMG) Web (in)security: le principali criticità delle web application nel 2015 La notevole evoluzione delle minacce ai dati ed alle informazioni aziendali richiede un approccio strutturato al fine di verificarne ed indirizzarne in maniera efficace tutti i requisiti di sicurezza. Tra questi, una particolare rilevanza è sicuramente attribuibile a quelli legati alle configurazioni dei sistemi ed alla gestione delle vulnerabilità correlate, soprattutto in relazione alle tecnologie più innovative come la recente diffusione di HTML5, divenuto il nuovo standard per le pagine Web. Partendo da tale presupposto, l’intervento presenterà il contesto attuale delle minacce, focalizzandosi poi sulla presentazione di alcune aree critiche relative alle applicazioni web che, se non opportunamente governate, potrebbero creare delle importanti falle di sicurezza. In particolare, sarà descritta la vulnerabilità HTML5 Injection e saranno mostrati scenari reali nelle quali è possibile sfruttarla come vettore di minaccia. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Vito Logrillo (Aizoon) Introduzione al progetto OWASP e sua applicazione in ambito mobile e IoT L'Open Web Application Security Project (OWASP) è un'open community nata nel 2001 avente come obiettivo la definizione di linee guida, metodologie, standard e strumenti utili alla prevenzione e all'analisi di vulnerabilità software. Tra i diversi progetti portati avanti dalla community è da considersi di particolare importanza l'OWASP Top Ten, il cui fine ultimo consiste nell'identificazione dei maggiori rischi di cui può essere affetto un prodotto software e sensibilizzare le organizzazioni alle problematiche legate alla sicurezza. L'evoluzione di dispositivi mobile e di sistemi embedded ha permesso lo sviluppo di applicativi sempre più integrati tra di loro ed in grado di dialogare con infrastrutture server-side, con servizi di autenticazione remota e piattaforme cloud: i problemi inizialmente pensati per le sole applicazioni web diventano quindi comuni ai dispositivi di nuova generazione ma necessitano di un'analisi che tenga conto del nuovo ambito e contesto. L'OWASP Mobile Top Ten è la risposta a queste nuove esigenze. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Relatori Roberto Seni 67 anni, laureato in ingegneria meccanica al Politecnico di Torino nel 1976, imprenditore nel settore metalmeccanico dal 1973 al 1990, consulente di alta direzione aziendale per la generazione e gestione di sistemi organizzati per la qualità secondo diversi schemi certificativi (9001, 9100, 17024, AS 7003), per l’ambiente (14001) e per la sicurezza (18001) dal 1989 principalmente per i seguenti settori: o Meccanico (gruppi, impianti e lavorazioni di componenti ad impiego automobilistico, aeronautico, navale e secondo direttive comunitarie PED, ATEX, macchine …) o Metallurgico o Servizi: prove di laboratorio e prove non distruttive. Prestazione di servizi complementari di auditing interno, di assistenza ad audit di parte seconda e terza, formazione di auditors interni. Mattia Reggiani (KPMG) Mattia è un consultant della Line of Service IRM (Information Risk Management) di KPMG Advisory. Appassionato di “Offensive Security”, laureato in Sicurezza Informatica presso l’Università degli Studi di Milano e certificato Ethical Hacker (CEH), si occupa prevalentemente di ethical hacking, forensics analysis e web application security. Vito Logrillo (Aizoon) Ingegnere elettronico con esperienza decennale nello sviluppo HW/FW su sistemi embedded per differenti business sector, ricopre attualmente il ruolo di security specialist in ambito embedded e mobile presso diverse realtà internazionali. PROGRAMMA 8.30 Registrazione dei partecipanti presso la sede del Collegio Universitario di Torino in corso Lione 24 9.30 Apertura dei lavori e saluto: Daniela Cellino (Vicepresidente AIEA) Roberto Seni - Il processo di audit: è possibile migliorare? 10.15 Mattia Reggiani (KPMG): Web (in)security: le principali criticità delle web 11.00 application nel 2015 Coffee Break 9.00 11.15 Vito Logrillo (Aizoon) – Introduzione al progetto OWASP e sua applicazione 12.30 in ambito mobile e IoT Dibattito con i relatori 13.00 Termine dei lavori Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Mappa Come arrivarci (1) Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Come arrivarci (2) Come arrivarci (3) Dalla stazione di Torino Porta Susa, uscita lato Corso Inghilterra, circa 15 minuti a piedi. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154