Milano 21 febbraio 2013
Transcript
Milano 21 febbraio 2013
Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione delle iniziative promosse dall'Associazione Italiana Information Systems Auditors volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato, un incontro che vedrà l'intervento dei seguenti relatori: Daniele Bertolotti – Antonio Ricci (Symantec) Studio di un approccio di mantenimento della conformità a PCI DSS attraverso strumenti di governo e protezione del dato. Paolo Gasperi (LOOGUT- Svizzera) Quale sicurezza con i dati personali gestiti sul web? E quale evoluzione della norma? Giulio Destri (Università di Parma) Governance di infrastrutture IT basate su software open source L'incontro avrà luogo a: Milano, 21 Febbraio 2013 Presso Unicredit Global Information Services via Livio Cambi, 1 (MM1 - Lampugnano) come da agenda allegata. La Sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l’anno 2013 (vedi scheda d’iscrizione). Per aderire all’iniziativa è richiesta la compilazione dell’allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell’AIEA, entro e non oltre il 19 Febbraio p.v. Ricordiamo che la partecipazione all’evento corrisponde sino a 4 ore di credito nell’ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo! Il Consiglio Direttivo Milano, Febbraio 2013 Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Abstract delle relazioni Daniele Bertolotti – Antonio Ricci (Symantec) ♦ Studio di un approccio di mantenimento della conformità a PCI DSS attraverso strumenti di governo e protezione del dato. Lo standard PCI DSS, nel suo intento di proteggere una ben determinata categoria di dati, richiama una serie di principi comuni alla gestione dei dati che dovrebbero essere alla base di ogni sistema informatico progettato con una solida base di buon senso. Ciò nonostante, il fallimento di questo buon senso e delle implementazioni dei requisiti di PCI DSS sono costante oggetto di cronaca. In questa sessione vogliamo porre attenzione alle problematiche legate al mantenimento di PCI DSS, piuttosto che alla sua implementazione: lo scopo è quello di evidenziare quali siano le mancanze di un approccio a PCI DSS, e alla protezione dei dati in generale, che miri solo alla copertura diretta dei requisiti imposti e non tenga in considerazione la necessità di un programma di manutenzione della conformità e del governo delle informazioni. Nel corso dell’intervento analizzeremo l’interazione tra gli strumenti tecnologici per la protezione del dato, focalizzandoci sui requisiti che rappresentano il maggior rischio di esposizione di informazioni confidenziali qualora non rispettati, e gli strumenti di governo per il mantenimento del programma di conformità. Paolo Gasperi (LOOGUT- Svizzera) ♦ Quale sicurezza con i dati personali gestiti sul web? E quale evoluzione della norma? La tutela dei dati personali, e non solo, sta divenendo uno dei terreni di scontro tra le indubbie necessità di privacy e di sicurezza e le necessità di business. I dati di navigazione internet per esempio possono svelare molto del navigatore tracciato e costituiscono delle importanti informazioni per il marketing; ma dove finisce la libertà di essere anonimi? Dove vengono collezionati i dati di navigazione? Queste alcune delle domande per le quali il relatore, grazie ad un esempio pratico sulla gestione dei dati di navigazione in un sito internet (fatta con il programma PiWik, attuale antagonista di GoogleAnalitycs), proverà a fornire una breve panoramica della normativa in materia di cookies, ed i possibili scenari di evoluzione del concetto di privacy. Giulio Destri (Università di Parma) ♦ Governance di infrastrutture IT basate su software open source Il software open source ormai ha raggiunto un livello qualitativo equivalente quello proprietario. In particolare ciò è vero per i sistemi operativi come Linux ed il software infrastrutturale come il Web Server Apache o il database MySQL, ma anche per librerie e componenti software come il framework Java Hibernate o il web editor CKEditor. Rispetto a software proprietari come Windows, però, il maggior numero di gradi di libertà del sistema da gestire impone una metodologia molto precisa e rigida per la gestione degli aggiornamenti e della evoluzione complessiva della infrastruttura. In particolare ciò è vero per le infrastrutture aperte alla rete, come ad esempio le Web farm basate su piattaforma LAMP, dove spesso aggiornamenti dei singoli software resi necessari da problematiche di sicurezza non vengono inseriti rapidamente negli aggiornamenti ufficiali delle distribuzioni. Partendo da queste premesse, nel seminario sarà analizzata una infrastruttura Linux tipica e, applicando good practice di analisi e gestione mutuate da ITIL, verranno mostrate alcune metodologie per gestire l’aggiornamento dei moduli del sistema operativo e dei software usati dalle applicazioni installati confrontando i rapporti costi-benefici ottenibili. Gli esempi di applicazione a alcuni casi concreti di applicazione completeranno il quadro. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Relatori Daniele Bertolotti (Symantec) Lavora dal 2009 in Symantec, inizialmente come consulente di sicurezza informatica con focus su sistemi SIEM e processi legati ai Security Operations Center e in seguito come specialista sulle soluzioni di Gestione dei Rischi e delle Minacce, tra cui troviamo prodotti di IT GRC, Vulnerability Management e Real-Time Threat Monitoring. Prima di Symantec, ha svolto attività di ricerca presso la Georgia State University con l’obiettivo di elaborare pratiche e strumenti collaborativi per supportare con un fondamento quantitativo concreto tutte le attività di Risk Analysis in ambito IT. Antonio Ricci (Symantec) Laureato in Ingegneria Informatica presso il Politecnico di Milano è focal point tecnico per l’Italia per le soluzioni di protezione delle informazioni che comprendono prodotti di Data Loss Prevention, Encryption e User Authentication. In questo contesto, si occupa di seguire i clienti nelle fasi di valutazione e scelta delle soluzioni più adeguate alle loro esigenze. In passato, ha svolto in Symantec il ruolo di consulente focalizzato sulle tematiche di security nella business unit Professional Service e in seguito di Service Manager per i servizi di sicurezza offerti da Symantec in cloud. Paolo Gasperi (LOOGUT- Svizzera) Laureato presso l’Università di Trento con una tesi sulla proprietà del software, si occupa da sempre delle tematiche relative alle problematiche giuridiche dell'informatica. Dal 2003 al 2006 ha collaborato come ricercatore ad un progetto di ricerca dell'Università di Bolzano in tema di Open Source. L'ultima pubblicazione, di cui è coautore, “Di internet e delle pene”, è stata adottata da numerose scuole. Dal 2008 vive in Svizzera dove svolge la sua attività di consulente. Certificato CISM e Lead Auditor ISO27001. Giulio Destri (Università di Parma) Giulio Destri è laureato in ingegneria e specializzato con il dottorato di ricerca in ingegneria informatica. Si occupa principalmente di consulenza nell’ambito di organizzazione e gestione di sistemi informativi e di team di sviluppo software. Ha operato sia entro importanti realtà aziendali italiane ed internazionali come European Food Security Authority (EFSA), Barilla, il gruppo CRIF, il gruppo Telecom Italia, Banca Intesa, Novedge, Marina Rinaldi, il gruppo ST Microelectronics e CISCO Photonics Italia, sia presso enti pubblici come la Regione Emilia-Romagna, ospedali e PMI. Nel corso della sua carriera ha svolto molteplici ruoli, operando come project manager, come business analyst, come system e software architect, oltre che come formatore. E’ docente a contratto presso l’Università di Parma, dove insegna dal 2003 Sistemi Informativi, materia per la quale ha scritto il libro di testo “Introduzione ai Sistemi Informativi Aziendali”. Ha insegnato per 5 anni anche Ingegneria del Software ed è stato docente durante tutta l’attività del Master of Management in Network Economy (Università Cattolica / U.C. Berkeley). E’ coordinatore della Commissione Informatica della Consulta Regionale Ordini Ingegneri della Lombardia. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 PROGRAMMA 14.00 Registrazione dei partecipanti 14.15 Apertura dei lavori e saluto: 14.30 Daniele Bertolotti – Antonio Ricci (Symantec) Studio di un approccio di mantenimento della conformità a PCI DSS attraverso strumenti di governo e protezione del dato. 15.30 Paolo Gasperi (LOOGUT- Svizzera) Quale sicurezza con i dati personali gestiti sul web? E quale evoluzione della norma? 16.30 Coffee Break 16.45 Giulio Destri (Università di Parma) Governance di infrastrutture IT basate su software open source 17.45 Dibattito con i relatori 18.15 Termine dei lavori I n co llabo ra zion e con: G GO OLLD DE EN NS SPPO ON NS SO OR R S SIILLV VEERR S SPPO ON NS SO ORR Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154 Come arrivarci: Mezzi pubblici (raccoma ndato) Metropo litana 1 , lin ea rossa, ferma ta Lampugnano: Usciti da lla metropo litana si g ira a d estra e s’incon tra sub ito il comp lesso ch e osp ita l’ even to. L’ingresso è situa to tra i du e pa lazzi In Auto (s con sig lia to) Ing resso Milano Certo sa, segu ir e ind icazion i per Parch eggio Lampugnano MM1 Usciti da l pa rch egg io si tro va la fe rma ta d e lla metropo litana sulla destra , si p rosegu e d ir itto e s’ in con tra subito il comp le s so che osp ita l’ e ven to. L’ ing re sso è s itua to tra i du e p a laz z i Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154