"Sessione di Studio" a Roma Roma, 8 novembre 2007 Hote
Transcript
"Sessione di Studio" a Roma Roma, 8 novembre 2007 Hote
Al servizio dei professionisti dell’IT Governance Capitolo di Milano Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione delle iniziative promosse dall'Associazione Italiana Information Systems Auditors volte al processo di miglioramento, di formazione e informazione dei propri associati, ha organizzato un incontro che avrà luogo a: Roma, 8 novembre 2007 Presso Hotel Universo Sala Convegni- Via Principe Amedeo, 5/B come da agenda allegata. La sessione, come sempre, è gratuita per gli associati; la partecipazione è estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA sino a tutto l’anno 2008, che sottoscrivano contestualmente la relativa quota di € 180,76. Per aderire all’iniziativa è richiesta la compilazione dell’allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell’AIEA, entro e non oltre il 6 novembre p.v. Ricordiamo che la partecipazione all’evento corrisponde a 4 ore di credito nell’ambito del CISA/CISM Continuing Education (CPE). In occasione della Sessione, verranno distribuiti: • i PIN ai soci AIEA che si sono certificati CISA o CISM dal 2003 e che ISACA ha elencato come rispondenti ai requisiti richiesti da ISACA stessa • le copie del primo volume delle Guide AIEA “ Information Security Management System: Un valore aggiunto per le aziende” Vi Aspettiamo! Il Presidente (S. Ongetta) Roma, ottobre 2007 Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/700507644 E-mail: [email protected] P.IVA e C.F. 10899720154 Al servizio dei professionisti dell’IT Governance Capitolo di Milano Abstract delle relazioni Giacomo Aimasso (EXO Service) Il “Role Engineering” come presupposto per il successo dei sistemi IAM (Identity & Access Management) ll Modello RBAC (Role Based Access Control), introdotto da David Ferraiolo e Rick Kuhn del NIST, e fatto proprio, nell’Aprile 2004, dall’ANSI (American National Standards Institute) come suo Standard (Standard 359-2004), è oggi un Modello comunemente accettato per migliorare il livello di sicurezza ed è la base per qualsiasi implementazione efficace di Sistemi IAM. In esso, i Ruoli descrivono le relazioni tra gli utenti ed i relativi permessi, e possono essere strutturati gerarchicamente in modo da poter essere “mappati” con l’organizzazione aziendale. Ma come definire i Ruoli? Attraverso il RE (Role Engineering), il cui scopo, come identificato da Edward Coyne, è definire un insieme di RUOLI completo, corretto, efficace ed efficiente: questa attività è essenziale per poter avere tutti i benefici RBAC. Due sono gli approcci principali al RE: Top down (tramite analisi e scomposizione dei processi aziendali) e bottom up (tramite aggregazione dei permessi esistenti). RE è un’attività lunga e difficile, e per questo molte Aziende sono restie ad attivare un Modello RBAC; è quindi necessario affrontarlo in modo pragmatico, ponendosi inizialmente alcune domande fondamentali: “Quale approccio scegliere? Sono entrambi adatti alla mia Azienda? O non è meglio affrontare il tutto in modo nuovo?” Silvano Bari (Alitalia) Una governance pratica della privacy in azienda ovvero come essere nominati Privacy Officer e vivere… felici e contenti? L’applicazione delle norme previste nel Decreto Legislativo 196/2003 (il cosiddetto Codice Privacy) può risultare, specie per aziende di grosse dimensioni, notevolmente onerosa. Mentre alcune prescrizioni risultano tuttora di difficile interpretazione ed applicazione, la numerosità ed eterogeneità delle funzioni aziendali impattate richiede di studiare e predisporre una corretta organizzazione per il governo del processo; è necessario inoltre mettere in atto alcune regole pratiche, in particolare per quanto riguarda l’individuazione delle responsabilità, la corretta individuazione dei trattamenti di dati personali, le applicazioni informatiche che li gestiscono, la stesura dei documenti obbligatori. Marinella Marzo (PWC) I possibili scenari organizzativi derivanti dall’applicazione della Legge 262/2005 in merito al Dirigente Preposto Quali sono gli adempimenti inerenti l’applicazione della 262/05? In particolare, quali sono gli impatti organizzativi che ne derivano, soprattutto in merito alla costituzione della figura del Dirigente preposto? Dopo aver riepilogato il contesto normativo, l’intervento si propone di offrire uno schema logico di riferimento nel percorso di applicazione della legge, una panoramica sugli orientamenti nel mercato finanziario italiano, un framework metodologico per raggiungere e mantenere nel tempo la conformità alla legge. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/700507644 E-mail: [email protected] P.IVA e C.F. 10899720154 Al servizio dei professionisti dell’IT Governance Capitolo di Milano Relatori Giacomo Aimasso (EXO Service) E’ responsabile della Divisione Sicurezza in EXO Service. E’ certificato CISA e CISM. Dopo la laurea in matematica, entra nel mondo IT. Ha una vasta esperienza, sia in Italia che all’estero, di Security Management in aziende pubbliche e private ed in progetti complessi. Ha scritto articoli vari su riviste di informatica ed ha una lunga esperienza anche nella docenza presso varie, significative aziende. E’ un esperto di Problematiche e Progetti IAM, sia in ambito italiano che internazionale. Silvano Bari (Alitalia) Silvano Bari è laureato in Scienze Statistiche ed è master in Diritto dell’Informatica. Ha ricoperto il ruolo di Responsabile Sicurezza Informatica in ALITALIA – Linee Aeree Italiane, dove attualmente è Responsabile Privacy. Possiede la certificazione internazionale CISM (Certified Information Security Manager). E’ membro della ”Associazione Nazionale Docenti di Informatica Giuridica”, socio AIEA ed ISACA e socio della ”Associazione Esperti in Infrastrutture Critiche”. E’ membro di vari gruppi di ricerca sulla sicurezza delle informazioni istituiti da SINCERT (Accreditamento Organismi di Certificazione), dall’Istituto Superiore delle Comunicazioni (ISCOM), dall’Associazione Italiana Information Systems Auditors (AIEA). E’ autore di articoli pubblicati da primarie riviste del settore e, in collaborazione con altri esperti, di alcuni White Paper/Linee Guida sulla sicurezza informatica. Svolge attività di docenza presso Università ed Enti di ricerca ed è chairman e relatore presso numerose conferenze italiane ed internazionali. Marinella Marzo (PWC) Attualmente nella Financial Service Practice di PricewaterhouseCoopersAdvisory, dove è responsabile dell’Information Technology Effectiveness, vanta una pluriennale esperienza nella consulenza direzionale e nella gestione di progetti e programmi complessi. La sua esperienza, maturata presso primari clienti in ambito nazionale ed europeo, comprende tra le principali aree di competenza: revisione e ottimizzazione di organizzazioni e processi, risk management, verifica ed impostazione dei processi/controlli per il conseguimento della conformità normativa (accounting and regulatory activities, incluse Basilea II, SOX, 262), valutazione di asset/aziende (con particolare riferimento alle direzioni SI) nell’ambito di transazioni di merge/acquisition, cost analysis /benchmarking /cutting, definizione della strategia IT, disegno, sviluppo ed integrazione di sistemi informativi. CISA dal 1993. Ha un’approfondita conoscenza dei framework COSO e COBIT. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/700507644 E-mail: [email protected] P.IVA e C.F. 10899720154 Al servizio dei professionisti dell’IT Governance Capitolo di Milano Programma 14.00 Registrazione dei partecipanti 14.15 Apertura dei lavori e saluto da parte di Donatella Rosa (Consiglio Direttivo AIEA) 14.30 Giacomo Aimasso (EXO Service) Il Role Engineering come presupposto per il successo dei sistemi IAM 15.20 Silvano Bari (Alitalia) Governance della Privacy 16.10 Pausa caffè 16.25 Marinella Marzo (PWC) I possibili scenari organizzativi derivanti dall’applicazione della Legge 262/2005 in merito al Dirigente Preposto 17.15 Domande e dibattito con i relatori 18.30 Termine dei lavori I n co llabo ra zion e con: 1 La partecipazione all’evento in oggetto corrisponde a 4 ore di credito nell’ambito del CISA/CISM Continuing Education. Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/700507644 E-mail: [email protected] P.IVA e C.F. 10899720154 Al servizio dei professionisti dell’IT Governance Capitolo di Milano Come arrivarci: Mezzi pubblici (raccomandato) - Tutti i Bus ATAC con fermata e/o capolinea a Termini - Metropolitana A e B, fermata Termini: - Usciti dalla metropolitana si gira verso Via Cavour: seconda traversa a destra Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/700507644 E-mail: [email protected] P.IVA e C.F. 10899720154