10141 Torino

Iniziativa :
"Sessione di Studio" a Torino
Gentili Associati,
Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione
delle iniziative promosse dall'Associazione Italiana Information Systems Auditors
volte al processo di miglioramento, di formazione e informazione dei propri
associati, ha organizzato un incontro che vedrà l'intervento dei seguenti relatori
Il processo di audit: è possibile
migliorare?
Web (in)security: le principali criticità
delle web application nel 2015
Introduzione al progetto OWASP e sua
applicazione in ambito mobile e IoT
Roberto Seni
Mattia Reggiani (KPMG)
Vito Logrillo (Aizoon)
L'incontro avrà luogo a:
Torino, Giovedì 24 settembre 2015
Presso
Collegio Universitario Renato Einaudi
Sezione Crocetta
Corso Lione 24 - 10141 Torino
come da agenda allegata.
Proseguendo nelle azioni finalizzate a migliorare i servizi offerti agli associati,
utilizzeremo la nuova modalità di iscrizione alle Sessioni di Studio gestita
attraverso la piattaforma web accessibile al seguente indirizzo:
http://videosessioni.aiea.jed.st/
La sessione, come sempre, è gratuita per gli associati; la partecipazione è
estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l’anno
2015(vedi scheda d’iscrizione).
Per aderire alla Sessione di Studio Vi chiediamo perciò di accedere alla
piattaforma e confermare la Vostra partecipazione, entro e non oltre il
22 Settembre p.v.
Ricordiamo che la partecipazione all’evento corrisponde sino a 4 ore di credito
nell’ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE).
Vi Aspettiamo!
Il Presidente
(S. Niccolini)
Milano, settembre 2015
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Abstract delle relazioni
Roberto Seni
Il processo di audit: è possibile migliorare?
Molti sistemi organizzati (responsabilità civile, qualità, sicurezza, ambiente …) stabiliscono
l’obbligo di una sorveglianza continua sull’adeguatezza delle regole e sul loro costante rispetto;
seguendo però il principio della sola obbligatorietà, le attività di audit rischiano di essere eseguite
solo perché è un mero atto dovuto.
La norma UNI EN ISO 19011 stabilisce i requisiti, i criteri ed i metodi, che possono essere
applicati per gestire il processo di audit in modo efficace ed efficiente. Pur essendo una normativa
ad applicazione volontaristica, i contenuti di questo standard rivelano però utili spunti per rimettere
in discussione i metodi adottati. Escludendo alcuni temi ormai probabilmente assodati (es.
definizioni, terminologie, indipendenza, competenza), è opportuno esaminare alcuni aspetti non
sempre considerati:
• L’applicabilità dei principi PDCA all’intero processo (5.2)
• Determinazione e condivisione degli obiettivi dell’attività dell’audit (5.2)
• Individuazione degli attori sulla scena del processo di audit ed i loro ruoli: committente,
auditor, responsabile dell’area verificata (5.3)
• Definizione dei metodi per una programmazione mirata: Individuazione degli strumenti da
utilizzare per gestire i risultati (es. uso di database), determinazione dei dati di partenza,
composizione del team, periodicità, sorveglianza sul programma, riesame periodico (5.3)
• Determinare i metodi di pianificazione del singolo audit: su cosa indagare, con quale
estensione, con quali evidenze: preparare check list e non limitare l’audit ad una banale
elenco di cose che non vanno, fornire adeguate informazioni a futuri auditors (6.2)
• Garantire una efficace ed efficiente comunicazione interna e gestione del follow up da esiti
negativi: root cause analysis, pianificazione delle azioni di miglioramento e verifica della
loro efficacia (6.8)
Mattia Reggiani (KPMG)
Web (in)security: le principali criticità delle web application nel 2015
La notevole evoluzione delle minacce ai dati ed alle informazioni aziendali richiede un approccio
strutturato al fine di verificarne ed indirizzarne in maniera efficace tutti i requisiti di sicurezza.
Tra questi, una particolare rilevanza è sicuramente attribuibile a quelli legati alle configurazioni dei
sistemi ed alla gestione delle vulnerabilità correlate, soprattutto in relazione alle tecnologie più
innovative come la recente diffusione di HTML5, divenuto il nuovo standard per le pagine Web.
Partendo da tale presupposto, l’intervento presenterà il contesto attuale delle minacce,
focalizzandosi poi sulla presentazione di alcune aree critiche relative alle applicazioni web che, se
non opportunamente governate, potrebbero creare delle importanti falle di sicurezza. In particolare,
sarà descritta la vulnerabilità HTML5 Injection e saranno mostrati scenari reali nelle quali è
possibile sfruttarla come vettore di minaccia.
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Vito Logrillo (Aizoon)
Introduzione al progetto OWASP e sua applicazione in ambito mobile e
IoT
L'Open Web Application Security Project (OWASP) è un'open community nata nel 2001 avente
come obiettivo la definizione di linee guida, metodologie, standard e strumenti utili alla
prevenzione e all'analisi di vulnerabilità software.
Tra i diversi progetti portati avanti dalla community è da considersi di particolare importanza
l'OWASP Top Ten, il cui fine ultimo consiste nell'identificazione dei maggiori rischi di cui può
essere affetto un prodotto software e sensibilizzare le organizzazioni alle problematiche legate alla
sicurezza.
L'evoluzione di dispositivi mobile e di sistemi embedded ha permesso lo sviluppo di applicativi
sempre più integrati tra di loro ed in grado di dialogare con infrastrutture server-side, con servizi di
autenticazione remota e piattaforme cloud: i problemi inizialmente pensati per le sole applicazioni
web diventano quindi comuni ai dispositivi di nuova generazione ma necessitano di un'analisi che
tenga conto del nuovo ambito e contesto.
L'OWASP Mobile Top Ten è la risposta a queste nuove esigenze.
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Relatori
Roberto Seni
67 anni, laureato in ingegneria meccanica al Politecnico di Torino nel 1976, imprenditore nel settore
metalmeccanico dal 1973 al 1990, consulente di alta direzione aziendale per la generazione e
gestione di sistemi organizzati per la qualità secondo diversi schemi certificativi (9001, 9100,
17024, AS 7003), per l’ambiente (14001) e per la sicurezza (18001) dal 1989 principalmente per i
seguenti settori:
o
Meccanico (gruppi, impianti e lavorazioni di componenti ad impiego automobilistico,
aeronautico, navale e secondo direttive comunitarie PED, ATEX, macchine …)
o
Metallurgico
o
Servizi: prove di laboratorio e prove non distruttive.
Prestazione di servizi complementari di auditing interno, di assistenza ad audit di parte seconda e
terza, formazione di auditors interni.
Mattia Reggiani (KPMG)
Mattia è un consultant della Line of Service IRM (Information Risk Management) di KPMG
Advisory.
Appassionato di “Offensive Security”, laureato in Sicurezza Informatica presso l’Università degli
Studi di Milano e certificato Ethical Hacker (CEH), si occupa prevalentemente di ethical hacking,
forensics analysis e web application security.
Vito Logrillo (Aizoon)
Ingegnere elettronico con esperienza decennale nello sviluppo HW/FW su sistemi embedded per
differenti business sector, ricopre attualmente il ruolo di security specialist in ambito embedded e
mobile presso diverse realtà internazionali.
PROGRAMMA
8.30
Registrazione dei partecipanti presso la sede del Collegio Universitario di Torino in
corso Lione 24
9.30
Apertura dei lavori e saluto: Daniela Cellino (Vicepresidente AIEA)
Roberto Seni - Il processo di audit: è possibile migliorare?
10.15
Mattia Reggiani (KPMG): Web (in)security: le principali criticità delle web
11.00
application nel 2015
Coffee Break
9.00
11.15
Vito Logrillo (Aizoon) – Introduzione al progetto OWASP e sua applicazione
12.30
in ambito mobile e IoT Dibattito con i relatori
13.00
Termine dei lavori
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Mappa
Come arrivarci (1)
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Come arrivarci (2)
Come arrivarci (3)
Dalla stazione di Torino Porta Susa, uscita lato Corso Inghilterra, circa 15 minuti a piedi.
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154