Digital Risk: l’evoluzione business dell’Information Security · Cura l’audit dei sistemi informativi e l’approntamento di attività di vulnerability assessment e penetration

Digital Risk:

l’evoluzione business dell’Information Security

Conferenza sulla Business Security

in collaborazione con

Sponsor Gold dell’evento

Venerdì 15 aprile 2016

Aula Kessler dell'Università di Trento

Via Verdi, 26 Trento

ISACA VENICE Chapter

CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected]

2

Obiettivi Garantire l’Information Security nel mondo aziendale non è solo un problema “tecnologico” ma richiede la giusta considerazione di molti altri aspetti quali:

le caratteristiche del business da proteggere,

i corretti processi organizzativi da adottare,

l’adozione di un metodo e/o framework,

la conoscenza delle relazioni aziendali,

la conoscenza del livello di rischio del mondo esterno,

la necessità di non fermarsi ai sistemi informativi aziendali. Attraverso la raccolta delle testimonianze di chi affronta tutti i giorni queste situazioni cercheremo di approfondire ogni argomento.

Programma 8.30 – 9.00 Registrazione

Chairman Pierluigi Sartori, ISACA VENICE Chapter

Benvenuto Marco Salvato, Presidente ISACA VENICE Chapter

Sicurezza informatica e “business continuity”

Prof. Pierfranco Camussone

Coffe break offerto dagli Sponsor e dai Sostenitori di ISACA VENICE

L’IT audit nell’ambito del piano di audit

Roberto Taiariol, Benetton

Enabling Business Security Marco Salvato, Presidente ISACA VENICE Chapter

Secure information lifecycle: l’evoluzione della sicurezza nella gestione delle informazioni aziendali

Simone Fortin, Horizon Security

Pranzo offerto dagli Sponsor e dai Sostenitori di ISACA VENICE

Mobile Security Strategies Guido Ronchetti, IKS-TN

Tavola Rotonda: il futuro della Business Security


Dott. Diego Ponte, Università di Trento

Marco Salvato, Presidente ISACA VENICE Chapter

Roberto Taiariol, Benetton

Paolo Pittarello, IKS

Simone Fortin, Horizon Security

IT Change Management in Sanità

Franco Giampaolo, Azienda Provinciale Servizi Sanitari Trento

Misure di sicurezza: solo una casella nella strategia aziendale?

Pierluigi Sartori, Informatica Trentina

17.00 Conclusione

http://www.isacavenice.org/

mailto:[email protected]



3

Destinatari Manager, Responsabili organizzazione, Professionisti nel settore IT, Auditor, IS Auditor, Addetti ai Sistemi Informativi, Addetti alla Sicurezza delle informazioni, Responsabile della sicurezza delle informazioni, Consulenti, IT Risk Manager, Responsabile Qualità dei Dati, Responsabile Rischi Operativi, Studenti universitari o Neolaureati.

Logistica Sede: Aula Kessler c/o Dipartimento di Sociologia e Ricerca Sociale dell’Università di Trento - Via Verdi, 26 38122 Trento Data: venerdì 15 Aprile 2016 Orario: 09:00 – 17.30

Partecipazione gratuita previa iscrizione soggetta a conferma. Inviare la scheda di adesione a [email protected] entro il 10 aprile 2016.

CPE L’evento permette di acquisire 7 ore CPE per le certificazioni CISA, CISM, CGEIT, CRISC, ISO27000LA, CSSP.






4

ABSTRACT

Sicurezza informatica e “business continuity”


La sicurezza delle informazioni, o Cybersecurity secondo gli ultimi trend, è ormai una materia di primaria importanza per le aziende che vogliono proteggere il proprio patrimonio informativo.

In questo scenario che muta continuamente, spesso si ritiene che la “Sicurezza” sia solo un problema di applicazione delle tecnologie e non vengono considerati in maniera adeguata tutti gli aspetti legati all’organizzazione delle altre componenti.

L’IT audit nell’ambito del piano di audit

Roberto Taiariol – Benetton

La scelta del framework di riferimento per l’IT audit è un passo fondamentale per ottimizzare le risorse impiegate in questa attività. Le tematiche da considerare nel caso della sicurezza IT non si possono limitare al concetto di sicurezza logica ma devono anche considerare quella fisica per procedere con la corretta definizione dei target e delle modalità di effettuazione del Vulnerability Assessment e del Penetration Test.

Enabling Business Security

Marco Salvato – Presidente ISACA VENICE Chapter

Le dinamiche che emergono dalle esigenze di mercato, dalle necessità degli utenti, dalle aspettative dei clienti, dai cambiamenti tecnologici cambiano continuamente il modo di pensare, governare e gestire la sicurezza a supporto del business. L'intervento ha come obiettivo evidenziare i principali cambiamenti necessari, riportati da diverse fonti internazionali, per mantenere alta la sicurezza del nostro business.

Secure information lifecycle: l’evoluzione della sicurezza nella gestione delle informazioni aziendali

Simone Fortin – Horizon Security

Entro pochi anni la maggior parte dei processi oggi fisici sarà digitalizzata. Il cambiamento sarà tale da generare una quantità immensa di dati e informazioni. Ma quali fra questi è davvero importante e rappresenta un asset aziendale e quali non meritano alcun tipo di attenzione? Come governare la sicurezza sulle informazioni che oggi possono risiedere su un perimetro aziendale sempre più in mani altrui (es. Cloud, BYOD, etc.)?

Mobile Security Strategies

Guido Ronchetti – IKS –TN

Sempre più i servizi e dati che utilizziamo quotidianamente passano attraverso un dispositivo mobile. Identificare una buona strategia di sicurezza per tutelarsi dalle possibili minacce tipiche dei dispositivi mobili è fondamentale per prevenire danni al proprio business e alla propria immagine specie in ambito consumer. L'intervento presenterà stato dell’arte e best practice per la messa in sicurezza delle applicazioni mobile.





5

IT Change Management in Sanità

Franco Giampaolo – Azienda Provinciale Servizi Sanitari Trento

Recenti normative in materia di riduzione dei costi della sanità pubblica obbligano le aziende sanitarie ad avere molta più attenzione nel disporre le risorse tecnologiche. La gestione dei dispositivi medici, delle grandi infrastrutture, dei processi e dei modelli organizzativi e gestionali, di conseguenza, si orienta nel promuovere il ruolo delle tecnologie digitali come supporto primario di miglioramento ed innovazione. Nuovi modelli di eGovernment e tecnologie di eHealth sono stati pensati per ottimizzare i processi di cura esistenti, consentendo al cittadino una più sicura ed agile fruizione dei servizi sanitari.

Esistono alcune problematiche di natura politica, organizzativa e culturale che rendono difficile l'interpretazione di questo contesto di continuo cambiamento tecnologico, frenando l'innovazione. Risulta quindi di fondamentale importanza comprendere le reali esigenze di business e proteggere l'erogazione dei servizi secondo un adeguato bilanciamento tra costi e benefici.

Dall'analisi approfondita di un caso reale è stato possibile dedurre che, abbattendo il rischio clinico/operativo tramite l'adozione di processi organizzativi standardizzati, si possono ottimizzare i processi di cura permettendo la disposizione corretta delle risorse e la riduzione dei costi legati agli incidenti di sicurezza.

Misure di sicurezza: solo una casella nella strategia aziendale?

Pierluigi Sartori – Informatica Trentina

Nel 2015, nell’ambito della stesura di tesi di laurea del corso di "Gestione Aziendale" del Dipartimento di Economia dell'Università di Trento, è stata promossa un’indagine avente l'obiettivo di analizzare la sensibilità delle aziende del mondo ICT sul tema “Sicurezza delle Informazioni”. Argomento della tesi è quello di stimare gli impatti economici della mancata o parziale applicazione delle misure di sicurezza e dimostrare che nel mondo dell’Information Security, oggi, le competenze di tipo “Business” sono rilevanti almeno quanto quelle più “Tecniche”.

Durante la presentazione verranno presentati e commentati i risultati dell’indagine condotta.





6

BREVI NOTE PERSONALI SUI RELATORI


Laureato in Ingegneria presso il Politecnico di Milano nel 1967.

Professore Ordinario di “Organizzazione e sistemi informativi” presso la facoltà di Economia dell’Università di Trento.

Per circa 20 anni direttore dell'Area Sistemi Informativi della SDA Bocconi.

Già professore di " Information Technology e Strategia" presso l’Università L.Bocconi.

Membro di comitati scientifici di diverse riviste (tra cui Economia e Management, Mondo digitale).

Consulente per alcuni grandi gruppi bancari e imprese industriali sull’uso delle nuove tecnologie informatiche e telecomunicative.

Studioso dei nuovi modelli di business derivanti dall’impiego delle tecnologie informatiche.

Simone Fortin – Horizon Security

Professionista dell’ICT Security da quasi 15 anni, le sue principali esperienze si collocano nei diversi mercati (Telco, Energy, Finance, High Tech, etc.) dove ha seguito diversi progetti sia di natura tecnologica che organizzativa. E’ al momento impegnato a coniugare le esigenze di sicurezza e quelle di business nell'ambito della Cyber Security fra cui quelli della protezione delle Informazioni aziendali.

E’ certificato CISA, CISSP, DRI.

Giampaolo Franco – Azienda Provinciale Servizi Sanitari Trento

Giampaolo Franco CISM, da più di 10 anni esperto di Business Continuity ed Information Security presso APSS - Azienda Provinciale per i Servizi Sanitari - Trento. Si occupa di svolgere attività di analisi dei rischi, privacy compliance, awareness, internal/external audit, incident management, ottimizzazione e controllo di qualità dei processi IT. In passato ha svolto attività di project management, analisi e programmazione di software in ambito bancario. E' stato consulente dell'Università di Trento nella definizione degli aspetti di sicurezza ed organizzativi legati all'introduzione di modelli integrati di didattica digitale nella scuola. Conduce occasionalmente attività di ricerca, formazione ed awareness rivolte al personale docente ed alle comunità scolastiche.

Guido Ronchetti – IKS – TN

Guido Ronchetti si laurea in informatica presso l’Università degli Studi di Milano. E’ analista di sicurezza iOS e responsabile tecnico del team di mobile security di IKS TN. E’ Product Manager della soluzione MORE®, prodotto di sicurezza di IKS TN per le piattaforme mobile.

Marco Salvato – Presidente ISACA VENICE Chapter

Marco Salvato CISA, CICM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Approved Trainer, ha maturato un'esperienza nel settore IT superiore ai 30 anni. In passato ha lavorato come consulente e come imprenditore. Svolge attività di formazione per il capitolo in ambito CISA e COBIT 5. Attualmente lavora come Head of Governance & Organization per Generali Infrastructure Services e ricopre la carica di Presidente dell'ISACA VENICE Chapter.





7

Pierluigi Sartori – Informatica Trentina

Pierluigi Sartori, CISSP, CISM, CGEIT, CRISC e MBCI, è il Responsabile della Sicurezza presso Informatica Trentina Spa, società in-house della Provincia Autonoma di Trento e degli Enti locali trentini. Ha definito il SGSI di Informatica Trentina che ha ottenuto la certificazione ISO/IEC 27001:2005.

Opera da anni nel campo della sicurezza delle informazioni, dapprima in ambito militare presso il 2° Stormo di Treviso e successivamente in ambito privato ricoprendo posizioni di rilievo in aziende multinazionali. Convinto sostenitore dell'importanza della diffusione della "conoscenza sulla sicurezza", è socio fondatore di due chapter italiani delle maggiori organizzazioni internazionali no-profit per la promozione della cultura sulla sicurezza, ISC2-Italy e ISACA VENICE Chapter, ove ricopre anche il ruolo di Chapter Leader, Research Director e coordinatore dei corsi per la certificazione CISM.

Roberto Taiariol – Benetton

Laureato in Economia e gestione delle imprese è certificato CISA©.

Dal febbraio 2003 ricopre il ruolo di Chief Audit Executive di Benetton Group Srl dove ha creato la funzione di Internal Audit e curato l’implementazione delle relative metodologie.

Nel suo ruolo cura in particolare l’elaborazione del piano triennale di audit e la pianificazione e gestione delle attività di internal audit.

Provvede alla mappatura dei processi, all’identificazione dei rischi e alla valutazione dell’adeguatezza dei controlli in essere e delle azioni da porre in essere per far fronte alle criticità emerse (Gap Analysis).

E’ stato responsabile del progetto di adeguamento del sistema di controllo interno alla normativa del Sarbanes-Oxley Act, richiesto dalla quotazione della società al NYSE (New York Stock Exchange).

Cura l’audit dei sistemi informativi e l’approntamento di attività di vulnerability assessment e penetration test. Responsabile progetto per la “segregation of duties” nei sistemi informativi.

Ha gestito l’Implementazione e l’attività di aggiornamento del modello ex D.Lgs. 231/01. E’ componente dell’Organismo di Vigilanza ex D.lgs. 231/2001.

Precedentemente, dal 1986 al gennaio 2003 ha ricoperto diversi incarichi in Electrolux fino a diventare Direttore affari fiscali per l'Italia.





8

Iniziativa realizzata grazie a:

con il patrocinio di:

LA PARTECIPAZIONE È GRATUITA,

per l’iscrizione compilare la scheda e inviarla a [email protected]

Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma.

ISACA VENICE Chapter si riserva la facoltà di apportare qualsiasi modifica al programma dell’evento.

Sostenitore Platinum Sponsor Platinum

Sostenitore Platinum Sponsor Platinum






9

Sponsor Gold dell’evento

Informatica Trentina è la società in house per i servizi ICT dell’amministrazione provinciale e delle autonomie locali del Trentino. Svolge un ruolo di indirizzo strategico per lo sviluppo dell’ICT del settore pubblico per i suoi 215 Enti soci, realizzando l’agenda digitale trentina per innovare ed ammodernare il sistema pubblico locale, quale fattore chiave in grado di aumentare i livelli di efficienza del nostro Trentino e salvaguardare risorse da destinare agli investimenti per lo sviluppo, nonché ai servizi per i cittadini e le imprese.

Informatica Trentina Spa, quale strumento di sistema della Pubblica Amministrazione trentina, ha l’obiettivo di diffondere nel settore pubblico le nuove tecnologie dell’informazione e delle telecomunicazioni contribuendo all’ammodernamento dei sistemi informativi pubblici, anche tramite progetti di innovazione tecnologica che valorizzino le competenze e le esperienze delle imprese ICT del sistema locale.

Horizon Security, società italiana specializzata in ambito Cyber & ICT Security che opera dal 2012 sui mercati nazionali ed internazionali, attraverso investimenti in Ricerca ed una costante attività di formazione è in grado di proporre servizi e soluzioni all’avanguardia rispetto ai continui mutamenti degli scenari tecnologici e normativi.

Horizon Security può contare al momento su un team di professionisti dedicati esclusivamente all’ambito Cyber & ICT Security, che grazie a comprovate competenze, certificazioni professionali ed esperienze maturate per principali Clienti, è in grado di supportare qualunque realtà nell’adozione di soluzioni organizzative e tecnologiche necessarie a proteggere il proprio business dai principali rischi e minacce.

Grazie inoltre ad importanti collaborazioni e partnership con i principali player di mercato ed istituti di ricerca, Horizon Security rappresenta ad oggi un punto di riferimento per le aziende che necessitano di un partner di qualità, affidabile ed attento alle esigenze di business.

Fondata nel 1999, IKS è una società di consulenza che sviluppa soluzioni IT principalmente nel campo della sicurezza informatica, governance e compliance. Con sede a Padova e sedi operative a Milano, Roma, Torino e Trento IKS oggi si presenta come un gruppo aziendale in grado di fornire supporto alle aziende che affidano all’infrastruttura ICT applicazioni e servizi business critical.

Le principali aree di attività di IKS sono:

SICUREZZA, la cui priorità è quella di garantire la protezione delle aziende da violazioni e attacchi accidentali o fraudolenti, e che le risorse ed i servizi di sistema informazioni tuttavia sono accessibili, utilizzabili, garantendo l'integrità e la conformità. IKS è inoltre leader di mercato sui temi dell’antifrode in ambito bancario con soluzioni ad hoc, ad alto rendimento.

GOVERNANCE e COMPLIANCE, la risposta per gestire i processi di virtualizzazione e cloud, mantenendo allo stesso tempo adeguati livelli di performance, ottimizzando i costi IT.

ARCHITETTURE, in tempi di virtualizzazione è fondamentale ripensare al modello di infrastruttura IT con criteri legati alle modalità e tempistiche di provisioning dei sistemi, alla semplificazione dell’infrastruttura, alla riduzione dei costi e all'accelerazione del Time To Market.

In particolare IKS TN, l’azienda trentina del gruppo, è specializzata nei temi del machine learning e della sicurezza in ambito mobile e antifrode.





10

ISACA – Information Systems Audit & Control Association

E' una associazione internazionale, indipendente e senza scopo di lucro. Con oltre 140.000 associati in più di 180 Paesi, ISACA© (www.isaca.org) aiuta i leader delle imprese e dell’IT a massimizzare il valore ottenibile dalle informazioni e dalla tecnologia e a gestirne i relativi rischi.

Fondata nel 1969, ISACA è una fonte affidabile di conoscenze, standard, opportunità di relazioni e sviluppo di carriera per professional che si occupano di audit, assurance, sicurezza, rischi, privacy e governance dai sistemi informativi.

ISACA mette a disposizione Cybersecurity Nexus™, un completo insieme di risorse per i professional della cyber security, e COBIT©, un framework per le aziende che aiuta le imprese nel gestire e governare il loro sistema informativo e le tecnologie informatiche.

ISACA sviluppa e attesta le conoscenze e le competenze critiche per le imprese attraverso le seguenti certificazioni affermate in tutto il mondo: CISA® (Certified Information Systems Auditor), CISM® (Certified Information Security Manager), CGEIT® (Certified in the Governance of Enterprise IT) e CRISC™ (Certified in Risk and Information Systems Control).

Nel mondo sono associati ad ISACA più di 200 capitoli.


ISACA VENICE Chapter è un'associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi.

Riunisce coloro che nell'Italia del Nord Est svolgono attività di Governance, Auditing, Controllo e Security dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA.

L'associazione favorisce lo scambio di esperienze, promuove un processo di sensibilizzazione di tutti i livelli organizzativi aziendali alla necessità di stabilire adeguati criteri di controllo sia di affidabilità dell'organizzazione sia di sicurezza dei sistemi.

Maggiori informazioni su www.isacavenice.org

ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2015 HA RICEVUTO I SEGUENTI RICONOSCIMENTI:

honorable mention per il K. Wayne Snipes Best Chapter Award 2015

Communications Commendation.






11

Scheda di Iscrizione da inviare a [email protected] entro 10.4.2016

Digital Risk

L’evoluzione business dell’Information Security

DATI PERSONALI: Cognome:

Nome:

Indirizzo:

Cap: Città:

Città: Prov.:

Telefono: Cell:

E-mail:

ID Associato:

GARANZIE E DIRITTI DELL’INTERESSATO in ottemperanza al D. Lgs. 196/03 "Codice in materia di protezione dei dati personali". I dati personali in possesso dell'Associazione sono direttamente da Lei forniti ovvero acquisiti altrimenti nel rispetto delle disposizioni legislative vigenti e potranno formare oggetto di trattamento per gli scopi amministrativi del presente corso. Titolare del trattamento è ISACA VENICE CHAPTER che è a disposizione per l’eventuale aggiornamento, rettifica, integrazione o cancellazione.

Data

Firma

Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma.

Sede della conferenza

Aula Kessler c/o Dipartimento di Sociologia e Ricerca Sociale dell’Università di Trento

Via Verdi, 26 38122 Trento




Documents

Digital Risk: l’evoluzione business dell’Information Security · Cura l’audit dei sistemi informativi e l’approntamento di attività di vulnerability assessment e penetration