Sicurezza

ComplianceNet: Buongiorno Alain. Vuoi presentare Regulatory Consulting, società di cui sei partner?

Alain De Cristofaris:  Regulatory Consulting, costituita nel 1999 su iniziativa di ex funzionari delle due autorità di controllo del settore finanziario (Banca d’Italia e Consob), opera nel settore dell’assistenza e della consulenza a favore di intermediari finanziari, con particolare riferimento all’attività di interpretazione ed applicazione pratico-operativa della normativa di riferimento. Negli ultimi anni, infatti, la modernizzazione e globalizzazione del mercato degli intermediari finanziari non si è tradotta in una deregolamentazione, ma in una ri-regolamentazione, a volte anche assai pervasiva e sicuramente complessa, che ha dettato le nuove "regole del gioco". Il rispetto della conformità alle "regole", la compliance, richiede capacità interpretative basate su profili professionali interdisciplinari, in grado di cogliere gli aspetti economici, tecnici e giuridici delle fattispecie.

ComplianceNet:  In questo contesto qual è il tuo ambito di competenza?

Ho avuto modo di partecipare al recente convegno "Massima trasparenza sull'operato degli Amministratori di Sistema" che ha avuto luogo venerdì 24 Aprile 2009 a cura del Master in Sicurezza del Dipartimento di Informatica dell’Università di Roma "La Sapienza".
Il convegno ha analizzato le problematiche relative al recente (e dibattuto) provvedimento del Garante per la protezione dei dati personali "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" del 27 novembre 2008, in G.U. n. 300 del 24 dicembre 2008. Ero interessato, in particolar modo, alla presentazione di Cosimo Comella (qui in pdf, 103 K, 22 pp), Dirigente Dipartimento di Informatica e Tecnologie del Garante per la Protezione dei Dati Personali, che speravo potesse sciogliere alcuni dei dubbi sul provvedimento del novembre 2008.
Premesso che il convegno è stato molto interessante e che organizzatori e relatori hanno svolto un ottimo lavoro, tuttavia a conclusione dell’evento rimangono numerosi punti interrogativi.
Il rappresentante del Garante ha infatti sottolineato più volte che il provvedimento sull’amministratore di sistema va inteso come un documento di indirizzo, che fissa cioè le linee guida ed i principi da seguire e non come un elenco di requisiti a cui assolvere in maniera puntuale ed uguale per tutti.

ComplianceNet: Buongiorno Ivan. Vuole presentarsi e presentare Communication Valley  ?

Ivan Pastorini: Sono Ivan Pastorini, amministratore delegato di Communication Valley, società del gruppo Reply S.p.A. Communication Valley è una società specializzata nell’erogazione di servizi di sicurezza informatica.

ComplianceNet: Cos’è il Security Operations Center (SOC) di Communication Valley?

Ivan Pastorini: In questa struttura operano ogni giorno circa 50 persone. L’ambito è un’ampia gamma di servizi di sicurezza che vengono erogati secondo una modalità direi unica, quantomeno nel panorama nazionale. É una struttura di proprietà italiana, ubicata in Italia, che interagisce con i clienti in lingua italiana, eroga i propri servizi 24 ore su 24, 365 giorni l’anno e in maniera remota. Il SOC di Communication Valley riunisce una vasta gamma di competenze che mette a disposizione dei propri clienti attraverso canali di comunicazione ovviamente configurati secondo i più evoluti standard di sicurezza. L’aspetto fondamentale è che è il nostro SOC è una struttura unica anche perché è totalmente focalizzata sulla sicurezza e non è un centro che eroga “anche” servizi di sicurezza. Qui tutte le competenze, i servizi, e direi anche i ricavi, sono totalmente nell’ambito della sicurezza informatica.

ComplianceNet: Buonasera Giacomo e grazie di essere con noi. Vuole presentarsi rapidamente e presentare Spike Reply?

Giacomo Segalli: Buonasera. Sono Giacomo Segalli, Amministratore Delegato di Spike Reply, la società del gruppo Reply specializzata sulle tematiche relative all’area della sicurezza, delle frodi e della tutela dei dati personali. Prima di unirmi, nel 2002, a Reply sono stato Managing Director di Evidian, gruppo Bull, per 3 anni. Precedentemente ho avuto esperienze in IBM e HP.

ComplianceNet: Cosa caratterizza Spike Reply rispetto alle altre società che offrono prodotti e servizi in ambito security?

Giacomo Segalli: Direi due elementi.

• In primo luogo le caratteristiche di Spike Reply in termini di dimensione aziendale e di ampiezza dell’offerta caratteristica. Ad oggi contiamo su un organico di oltre 200 addetti con più di 200 certificazioni, altamente specializzati sulle principali tecnologie e soluzioni e attivi presso i principali organismi e istituti internazionali; abbiamo definito un’offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato a un sistema informativo: dall’individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione e di implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative o di ritenzione del rischio. In aggiunta, forse l’unica azienda italiana a poterlo dichiarare, abbiamo anche completato la filiera sulla modalità di erogazione dei servizi: consulenza, servizi professionali, realizzazione di progetti chiavi in mano, servizi di gestione e monitoraggio da remoto tramite un SOC proprietario.
• In secondo luogo i grandi vantaggi e le sinergie derivati dall’appartenenza al Gruppo Reply, un gruppo che conta circa 2800 addetti, attivo in tutta Europa, che è leader indiscusso nella progettazione e nell'implementazione di soluzioni basate sui nuovi canali di comunicazione ed i media digitali. Il modello organizzativo di Reply si basa su una struttura a rete costituita da società controllate e focalizzate per linee di offerta, che costituiscono centri di eccellenza in grado di posizionarsi come “Best in Class” nei rispettivi ambiti di competenza. Questo modello coniuga la capacità progettuale ed organizzativa di un’entità di grandi dimensioni con la flessibilità, la specializzazione e il dinamismo delle piccole strutture.

Il CNIPA ha pubblicato sul proprio sito il "Secondo rapporto sullo stato della sicurezza ICT delle PAC" (pdf , 779 K, 28 pp) relativo all’anno 2007.
La raccolta dei dati necessari e la valutazione del livello di sicurezza è stata fornita dalle rilevazioni annuali che il CNIPA ha svolto presso le stesse Amministrazioni per la produzione della relazione sullo stato dell’ICT della PAC.
I dati, che si riferiscono all’anno 2007, sono stati classificati secondo uno schema che ha permesso di delineare un modello di riferimento per gli aspetti operativi.
Nel presentare il rapporto si sottolinea come "l’attività di produzione delle relazioni permette al CNIPA anche di definire interventi mirati al miglioramento dello stato complessivo della sicurezza ICT delle PAC. La relazione sulla sicurezza ICT è destinata in primo luogo alle Amministrazioni, come contributo conoscitivo dello stato della sicurezza ICT della loro area di attività, ma anche all’intera comunità nazionale come aiuto informativo e metodologico in tema di sicurezza ICT".

Il 3 giugno 2008 l’ISO ha pubblicata la nuova norma ISO/IEC 38500 "Corporate governance of information technology" che si rivolge all’alta direzione come ausilio per l’assessment e di monitoraggio dei sistemi informativi, anche in ottica di compliance cioè volta ad assicurare che le tecnologie informatiche utilizzate rispettino gli obblighi regolamentari, legislativi, giuridici e contrattuali.
La norma stabilisce le definizioni, i principi e un modello di governance informatica sulla base di sei principi fondamentali, necessari per guidare il processo decisionale:

1. responsabilità
2. strategia
3. acquisizione
4. esecuzione
5. conformità
6. comportamento.

Nel febbraio 2009 l’IT Governance Institute (ITGI) emanazione di ISACA ha pubblicato il documento "ITGI Enables IS0/IEC 38500:2008 Adoption" (pdf, 217 K, 19 pp) che presenta e commenta la nuova norma ISO fornendo una serie di utili collegamenti tra i sei principi della norma e le pubblicazioni di ITGI.
Nel seguito forniamo la traduzione in italiano dell’introduzione al documento di ITGI e l’indice dello stesso.

Risk IT è il nuovo framework di ISACA per la gestione e la compliance dei rischi informatici annunciato lo scorso 2 febbraio 2009 ed al momento in bozza per la discussione pubblica fino al 13 marzo 2009.
ISACA ha pubblicato il testo in lingua inglese.
Agatino Grillo, CISA, CISSP, CISM, ha tradotto i primi cinque capitoli del framework in lingua italiana.
La traduzione è disponibile in formato pdf, Microsoft Word 97-2003 ed Open Office 3.0 al fine di garantirne la massima diffusione.

La traduzione in italiano (32 pagine)

• formato pdf, 451 K
• formato Microsoft Word 97-2003, 625 K
• formato Open Office 3.0, 393 K (anche zippato  322 K per eventuali problemi di download da Internet Explorer)
• Versione originale in lingua inglese del framework (solo pdf, 94 pp)

Il 2 febbraio 2009 ISACA, l’associazione internazionale degli IS Auditor e Security Manager, e l’IT Governance Institute (ITGI) hanno annunciato la pubblicazione, in bozza, di "Enterprise Risk: Identify, Govern and Manage IT Risk: The Risk IT Framework (Risk IT)" (pdf, 1.3M, 94 pp)un nuovo framework dedicato alla gestione dei rischi informatici in un’ottica di internal audit e regulatory compliance.
Il framework può esser liberamente scaricato (in lingua inglese) dal sito di ISACA e ITGI. Fino al 13 marzo 2009 è possibile inviare, secondo le indicazioni riportate sullo stesso documento, osservazioni sul documento in vista della versione definitiva.
Nel seguito pubblichiamo l’indice e la traduzione in lingua italiana della prefazione del framework Risk IT.

AIEA il capitolo milanese di ISACA, l’associazione internazionale degli IS Auditor e Security Manager, ha annunciato e reso liberamente scaricabile dal proprio sito la traduzione in italiano di parte COBIT 4.1.
La traduzione è stata coordinata da Orillo Narduzzo, CISA, CISM, CGEIT della Banca Popolare di Vicenza, Vicepresidente AIEA e dal gruppo di ricerca formato da:

• Stefano Niccolini, CISA, CISM Federazione Lombarda BCC
• Leonardo Nobile, CISA Deloitte
• Alberto Piamonte Ing. Alberto Piamonte
• Marco Salvato, CISM, CGEIT KPMG
• Giulio Spreafico, CISA, CISM, CGEIT Studio Spreafico

Il 28 novembre 2008 ENISA, l’agenzia europea per la sicurezza delle informazioni e delle reti, ha pubblicato il rapporto "Information security awareness in financial organisations" (qui in pdf, 49 pp, 2.2 M, lingua inglese) una guida per la progettazione e l’erogazione di cosi di formazione e sensibilizzazione sulla sicurezza delle informazioni presso aziende ed istituzioni finanziarie.
Di seguito pubblichiamo la traduzione in italiano dell’Executive Summary del rapporto, l’indice completo del documento e i riferimenti per approfondimenti ed ulteriori letture.
Per ulteriori informazioni sul rapporto si possono contattare

• Ulf Bergström, Press and Communications Officer, ENISA
• Isabella Santa, Awareness Raising Senior Expert, ENISA

Con le modalità indicate in questa pagina del sito ENISA 

La traduzione dall’inglese si deve ad Agatino Grillo.