Milano 21 febbraio 2013

Transcript

Iniziativa :
"Sessione di Studio" a Milano
Gentili Associati,
Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione
delle iniziative promosse dall'Associazione Italiana Information Systems Auditors
volte al processo di miglioramento, di formazione e informazione dei propri
associati, ha organizzato, un incontro che vedrà l'intervento dei seguenti relatori:
Daniele Bertolotti – Antonio Ricci
(Symantec)
Studio di un approccio di mantenimento
della conformità a PCI DSS attraverso
strumenti di governo e protezione del dato.
Paolo Gasperi (LOOGUT- Svizzera)
Quale sicurezza con i dati personali gestiti
sul web? E quale evoluzione della norma?
Giulio Destri (Università di Parma)
Governance di infrastrutture IT basate su
software open source
L'incontro avrà luogo a:
Milano, 21 Febbraio 2013
Presso
Unicredit Global Information Services
via Livio Cambi, 1 (MM1 - Lampugnano)
come da agenda allegata.
La Sessione, come sempre, è gratuita per gli associati; la partecipazione è
estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l’anno 2013
(vedi scheda d’iscrizione).
Per aderire all’iniziativa è richiesta la compilazione dell’allegata scheda di
iscrizione che dovrà pervenire alla Segreteria dell’AIEA, entro e non oltre il
19 Febbraio p.v.
Ricordiamo che la partecipazione all’evento corrisponde sino a 4 ore di credito
nell’ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE).
Vi Aspettiamo!
Il Consiglio Direttivo
Milano, Febbraio 2013
Associazione Italiana Information Systems Auditors
20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: [email protected] P.IVA 10899720154 C.F. 97109000154
Abstract delle relazioni
Daniele Bertolotti – Antonio Ricci (Symantec)
♦ Studio di un approccio di mantenimento della conformità a PCI DSS attraverso
Lo standard PCI DSS, nel suo intento di proteggere una ben determinata categoria di dati, richiama
una serie di principi comuni alla gestione dei dati che dovrebbero essere alla base di ogni sistema
informatico progettato con una solida base di buon senso. Ciò nonostante, il fallimento di questo
buon senso e delle implementazioni dei requisiti di PCI DSS sono costante oggetto di cronaca. In
questa sessione vogliamo porre attenzione alle problematiche legate al mantenimento di PCI DSS,
piuttosto che alla sua implementazione: lo scopo è quello di evidenziare quali siano le mancanze di
un approccio a PCI DSS, e alla protezione dei dati in generale, che miri solo alla copertura diretta
dei requisiti imposti e non tenga in considerazione la necessità di un programma di manutenzione
della conformità e del governo delle informazioni. Nel corso dell’intervento analizzeremo
l’interazione tra gli strumenti tecnologici per la protezione del dato, focalizzandoci sui requisiti che
rappresentano il maggior rischio di esposizione di informazioni confidenziali qualora non rispettati,
e gli strumenti di governo per il mantenimento del programma di conformità.
♦ Quale sicurezza con i dati personali gestiti sul web? E quale evoluzione della norma?
La tutela dei dati personali, e non solo, sta divenendo uno dei terreni di scontro tra le indubbie
necessità di privacy e di sicurezza e le necessità di business. I dati di navigazione internet per
esempio possono svelare molto del navigatore tracciato e costituiscono delle importanti
informazioni per il marketing; ma dove finisce la libertà di essere anonimi? Dove vengono
collezionati i dati di navigazione? Queste alcune delle domande per le quali il relatore, grazie ad un
esempio pratico sulla gestione dei dati di navigazione in un sito internet (fatta con il programma
PiWik, attuale antagonista di GoogleAnalitycs), proverà a fornire una breve panoramica della
normativa in materia di cookies, ed i possibili scenari di evoluzione del concetto di privacy.
♦ Governance di infrastrutture IT basate su software open source
Il software open source ormai ha raggiunto un livello qualitativo equivalente quello proprietario. In
particolare ciò è vero per i sistemi operativi come Linux ed il software infrastrutturale come il Web
Server Apache o il database MySQL, ma anche per librerie e componenti software come il
framework Java Hibernate o il web editor CKEditor. Rispetto a software proprietari come
Windows, però, il maggior numero di gradi di libertà del sistema da gestire impone una
metodologia molto precisa e rigida per la gestione degli aggiornamenti e della evoluzione
complessiva della infrastruttura. In particolare ciò è vero per le infrastrutture aperte alla rete, come
ad esempio le Web farm basate su piattaforma LAMP, dove spesso aggiornamenti dei singoli
software resi necessari da problematiche di sicurezza non vengono inseriti rapidamente negli
aggiornamenti ufficiali delle distribuzioni. Partendo da queste premesse, nel seminario sarà
analizzata una infrastruttura Linux tipica e, applicando good practice di analisi e gestione mutuate
da ITIL, verranno mostrate alcune metodologie per gestire l’aggiornamento dei moduli del sistema
operativo e dei software usati dalle applicazioni installati confrontando i rapporti costi-benefici
ottenibili. Gli esempi di applicazione a alcuni casi concreti di applicazione completeranno il quadro.
Relatori
Daniele Bertolotti (Symantec)
Lavora dal 2009 in Symantec, inizialmente come consulente di sicurezza informatica con focus su sistemi
SIEM e processi legati ai Security Operations Center e in seguito come specialista sulle soluzioni di Gestione
dei Rischi e delle Minacce, tra cui troviamo prodotti di IT GRC, Vulnerability Management e Real-Time
Threat Monitoring. Prima di Symantec, ha svolto attività di ricerca presso la Georgia State University con
l’obiettivo di elaborare pratiche e strumenti collaborativi per supportare con un fondamento quantitativo
concreto tutte le attività di Risk Analysis in ambito IT.
Antonio Ricci (Symantec)
Laureato in Ingegneria Informatica presso il Politecnico di Milano è focal point tecnico per l’Italia per le
soluzioni di protezione delle informazioni che comprendono prodotti di Data Loss Prevention, Encryption e
User Authentication. In questo contesto, si occupa di seguire i clienti nelle fasi di valutazione e scelta delle
soluzioni più adeguate alle loro esigenze.
In passato, ha svolto in Symantec il ruolo di consulente focalizzato sulle tematiche di security nella business
unit Professional Service e in seguito di Service Manager per i servizi di sicurezza offerti da Symantec in
cloud.
Laureato presso l’Università di Trento con una tesi sulla proprietà del software, si occupa da sempre delle
tematiche relative alle problematiche giuridiche dell'informatica. Dal 2003 al 2006 ha collaborato come
ricercatore ad un progetto di ricerca dell'Università di Bolzano in tema di Open Source. L'ultima
pubblicazione, di cui è coautore, “Di internet e delle pene”, è stata adottata da numerose scuole. Dal 2008
vive in Svizzera dove svolge la sua attività di consulente. Certificato CISM e Lead Auditor ISO27001.
Giulio Destri è laureato in ingegneria e specializzato con il dottorato di ricerca in ingegneria informatica.
Si occupa principalmente di consulenza nell’ambito di organizzazione e gestione di sistemi informativi e di
team di sviluppo software.
Ha operato sia entro importanti realtà aziendali italiane ed internazionali come European Food Security
Authority (EFSA), Barilla, il gruppo CRIF, il gruppo Telecom Italia, Banca Intesa, Novedge, Marina
Rinaldi, il gruppo ST Microelectronics e CISCO Photonics Italia, sia presso enti pubblici come la Regione
Emilia-Romagna, ospedali e PMI.
Nel corso della sua carriera ha svolto molteplici ruoli, operando come project manager, come business
analyst, come system e software architect, oltre che come formatore. E’ docente a contratto presso
l’Università di Parma, dove insegna dal 2003 Sistemi Informativi, materia per la quale ha scritto il libro di
testo “Introduzione ai Sistemi Informativi Aziendali”. Ha insegnato per 5 anni anche Ingegneria del Software
ed è stato docente durante tutta l’attività del Master of Management in Network Economy (Università
Cattolica / U.C. Berkeley).
E’ coordinatore della Commissione Informatica della Consulta Regionale Ordini Ingegneri della Lombardia.
PROGRAMMA
14.00 Registrazione dei partecipanti
14.15 Apertura dei lavori e saluto:
14.30 Daniele Bertolotti – Antonio Ricci (Symantec)
Studio di un approccio di mantenimento della conformità a PCI DSS attraverso
15.30 Paolo Gasperi (LOOGUT- Svizzera)
Quale sicurezza con i dati personali gestiti sul web? E quale evoluzione della norma?
16.30 Coffee Break
16.45 Giulio Destri (Università di Parma)
Governance di infrastrutture IT basate su software open source
17.45 Dibattito con i relatori
18.15 Termine dei lavori
I n co llabo ra zion e con:
G
GO
OLLD
DE
EN
NS
SPPO
ON
NS
SO
OR
R
S
SIILLV
VEERR S
SPPO
ON
NS
SO
ORR
Come arrivarci:
Mezzi pubblici (raccoma ndato)
Metropo litana 1 , lin ea rossa, ferma ta Lampugnano:
Usciti da lla metropo litana si g ira a d estra e s’incon tra sub ito il comp lesso ch e osp ita
l’ even to. L’ingresso è situa to tra i du e pa lazzi
In Auto (s con sig lia to)
Ing resso Milano Certo sa, segu ir e ind icazion i per Parch eggio Lampugnano MM1
Usciti da l pa rch egg io si tro va la fe rma ta d e lla metropo litana sulla destra , si p rosegu e
d ir itto e s’ in con tra subito il comp le s so che osp ita l’ e ven to. L’ ing re sso è s itua to tra i du e
p a laz z i

Milano 21 febbraio 2013

Transcript

Documenti analoghi

a Torino Torino, 17 gennaio 2008

"Sessione di Studio" a Torino Torino, 28 giugno 2007 S

10141 Torino

10141 Torino

Milano 08 marzo 2012

10141 Torino

10141 Torino

"Sessione di Studio" a Roma Roma, 8 novembre 2007 Hote

"Sessione di Studio" a Milano Unicredit Global Informa

Scarica l`allegato per maggiori informazioni

"Sessione di Studio" a Roma Roma, 23 gennaio 2008 Hote

Milano 17 Maggio 2013

Torino 26 settembre 2013