Caffè Digitali Anni Precedenti

Caffè digitale - Valutazione dell'AI e Zero Trust nel cloud: standard e strategie di sicurezza avanzata

Zero Trust: innovazione della strategia di sicurezza con il supporto del cloud, a cura di  Alberto Manfredi

Descrizione:

La valutazione di un sistema AI: standard e challenge dei prossimi anni, a cura di Matteo Meucci

Descrizione:

La valutazione di un prodotto di Intelligenza Artificiale (AI) richiede un approccio strutturato basato su standard consolidati, come quelli dell’ISO, del NIST e del prossimo AI Act dell'Unione Europea.
Questi standard offrono linee guida essenziali per garantire che i sistemi di AI siano sicuri, affidabili, e rispettosi della privacy.

Il relatore Matteo Meucci:

Dopo essersi laureato in Ingegneria Informatica presso l’Università di Bologna, vanta oltre 22 anni di esperienza nel campo della sicurezza del software ed è stato il responsabile del progetto OWASP Testing Guide sin dal 2006 che è diventato lo standard de facto per eseguire attività di analisi di sicurezza di una applicazione web. È uno dei fondatori e l’Amministratore Delegato di IMQ Minded Security, ora parte del Gruppo IMQ. È considerato un punto di riferimento nel campo della sicurezza delle applicazioni e ha ricevuto la Distinguished Lifetime membership da OWASP dopo 20 anni di contributi.

29/11/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - sicurezza delle informazioni e minacce cyber

La sicurezza dell’informazione basata sul rischio accresce il valore per l’azienda, a cura di  Luigi Sbriz

Descrizione:

Basare la sicurezza informatica sull’analisi del rischio è il modo corrente di prendere le decisioni. L’analisi è fatta sulla valutazione di efficacia delle misure di contenimento del rischio. Allo stesso modo, anche lo standard di sicurezza ISO/IEC 27001:2022 o il cybersecurity framework NIST CSF 2.0 richiedono valutazioni dei controlli implementati per soddisfare i rispettivi requisiti di sicurezza. Però il controllo interno dell’azienda non può permettersi di costruire un processo di valutazione per ogni standard o framework diverso si voglia adottare. Come affrontare questo tema in modo efficiente è l’argomento dell’intervento.

Il relatore  Luigi Sbriz:

Libero professionista con pluriennale esperienza in ambito internazionale su tematiche Governance, Risk e Compliance (GRC). Lead auditor ISO/IEC 27001:2022 e TISAX (VDA ISA) di terza parte, certificato con ISACA su information security, privacy e risk management, DPO EU GDPR, esperto NIST CSF e ITIL v4 Foundation. Accreditato trainer per IT Risk da APMG ed autore di diversi articoli internazionali su ISACA Journal in ambito GRC. Autore di una metodologia di enterprise risk monitoring basata sul modello di maturità, di uno schema di rappresentazione del ciclo di vita del rischio, di un modello di ricerca frodi aziendali basato su OSINT e di un Internet-Draft di un sistema di identità digitale su IETF. Significative esperienze come CISO in una multinazionale, CIO in Asia Pacific, IT Risk manager e business intelligence consultant. Attività corrente di consulenza, assessment, formazione o temporary manager su ISMS ISO/IEC 27001:2022, cybersecurity NIST CSF 2.0, Direttive NIS2/CER, privacy GDPR e nLPD, TISAX e IT Risk.

Prepararsi a gestire minacce e incidenti durante l’ennesimo tsunami tecnologico, a cura di Ettore Guarnaccia

Descrizione:

Il WEF posiziona i rischi di cybersecurity e quelli derivanti dall’IA fra quelli più gravi sul medio-lungo termine, mentre l’Italia ha un tasso di crescita degli attacchi cyber molto elevato e nessun settore può considerarsi al riparo. La preparazione alla gestione degli incidenti è oggi sempre più fondamentale, e il caso Crowdstrike ha posto l’attenzione sugli scenari più imprevedibili. Cosa succede in caso di incidente cyber grave? Cosa succede durante e dopo? Quanto sarà l’impegno richiesto e i costi da sostenere? E tu, in caso di incidente, chi chiamerai? Sono tante le sfide in arrivo per la cybersecurity e sempre più complesse, sofisticate e pericolose. A partire dall’avvento dell’IA, utilissima per creare efficienza in azienda, utile anche per la difesa cyber, ma sempre più utilizzata dai malintenzionati per portare attacchi molto sofisticati e difficili da rilevare. La soluzione è imparare a conoscere bene i pilastri del proprio business e le minacce che incombono sul contesto operativo in cui opera la nostra azienda, attraverso l’affascinante disciplina della cybersecurity intelligence.

Il relatore Ettore Guarnaccia:

Manager esperto in cybersecurity, responsabile del Cybersecurity Operations Center del più grande gruppo bancario italiano. Con una vasta esperienza a livello nazionale e internazionale nei settori ICT, cybersecurity e gestione del rischio, possiede le principali certificazioni del settore ed è autore di saggi e articoli divulgativi. Ha ricevuto il premio Clusit per la migliore campagna di sensibilizzazione aziendale. Collabora con alcune università italiane per lezioni su cybersecurity e privacy. Impegnato anche nel volontariato, ha incontrato migliaia di giovani e adulti in eventi dedicati alla sensibilizzazione sui rischi.

25/10/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - AI: etica e sicurezza delle informazioni

Etica e Regolamentazione dell'Intelligenza Artificiale: Implicazioni del nuovo AI Act e Conformità al GDPR, a cura di Marco Mambrini

Descrizione:

L'intelligenza artificiale sta rivoluzionando il nostro mondo, dall'accesso ai servizi di cui necessitiamo alle modalità che adottiamo per lavorare. Ma quali sono le (concrete) implicazioni etiche di questa "rivoluzione"? Superando i cliché della letteratura di fantascienza e delle serie TV distopiche di maggior successo, cercheremo di fare una panoramica su quelli che sono gli aspetti etici di maggior rilievo, che hanno guidato e  ampiamente condizionato la stesura del nuovo Regolamento UE sull'Intelligenza Artificiale, l'AI Act.Ci concentreremo poi sulle principali problematiche legate alla protezione dei dati personali nell'ambito sia dell'addestramento che dell'impiego di sistemi basati sull'Intelligenza Artificiale, evidenziando come l'AI Act, lungi dal costituire di per sé una base di legittimità per il trattamento dei dati, richiami in maniera insistente il GDPR e la necessità, per tutti i soggetti coinvolti, di rendersi compliant anche rispetto a tale Regolamento: dall'individuazione di una appropriata base giuridica, al rispetto delle stringenti regole riguardanti i sistemi volti ad assumere decisioni automatizzate. 

Il relatore Marco Mambrini:

legale esperto negli ambiti DataProtection e Intelligenza Artificiale, Responsabile DPIA @InfoCamere S.C.p.A., consulente legale privacy per il Sistema Camerale italiano, docente in Data Protection ed Etica dell’AI. Dal 2022 mi occupo di valutare in via preliminare i trattamenti piiủ a rischio e di determinare le priorita di intervento, coordino i gruppi di lavoro per la stesura delle singole DPIA o della documentazione ex art. 28 del GDPR Referente privacy dal 2023 mi occupo di valutare previamente la fattibilita normativa dei nuovi progetti e PoC (Proof of concept) aziendali che prevedono lo sviluppo e/o l'impiego dell'intelligenza Artificiale nell'ambito del Registro Imprese e degli applicativi sviluppati per il Sistema Camerale: supporto i singoli PM (project manager) nell'arco dell'intero sviluppo fornendo loro consulenza legale speifica in ambito privacy by design e by default al fine di garantire la compliance con riguardo sia al GDPR, sia all'Al Act (nella versione disponibile al momento in cui occorre assumere decisioni. prevedendo possibili sviluppi normativi ed interpretazioni). Consulente legale privacy per gli Enti del Sistema Camerale italiano sin dal mio ingresso in InfoCamere mi oceupo di fornire consulenza legale specialistica in ambito privacy alle Camere di Commercio, alle loro Aziende Speciali e Socictá partecipate, nonché a Unioncamere regionali. Dal 2018 mi occupo di docemza in ambito Data Protection per la formazione la seconda dei casi, di base o specialistica, di segretari generali, dirigenti, posizioni organizzative, dipendenti, referenti priacy e DPO degli Enti appartenenti al Sistema camerale; dal 2019 tengo un corso che analizza i rapporti tra la disciplina privacy e la normativa in materia di trasparenza amministrativa, con focus su accesso documentale, accesso civico semplice e accesso civico generalizzato. Dal 2023 tengo insieme al collega Prof. Antonio Belli il corso "Ai, etica e data protection". Sono curatore e docente principale di 3 Master in ambito Data Protection.

La Sicurezza delle Informazioni nell'Era dell'Intelligenza Artificiale: Rischi, Controlli e Opportunità, a cura di Antonio Belli

Descrizione:

Ripercorriamo brevemente la storia della AI, tracciandone le tipologie, descrivendone il funzionamento, con particolare riferimento ai fondamenti su cui si basano le reti neurali. Muovendo da questa premessa, affrontiamo alcuni punti chiave per la sicurezza delle informazioni. Quali sono i principali rischi? Esistono controlli specifici del Nist Cybersecurity Framework 2.0 che possono mitigare detti rischi? Come orientare le funzioni di governance, identificazione, prevenzione, rilevamento, risposta e ripristino, in tal senso? Come, al contrario, la AI rappresenta un’opportunità per mitigare i rischi di sicurezza delle informazioni?
Esistono, infatti, interessanti applicazioni della AI che permettono di migliorare la sicurezza delle organizzazioni, agendo su vari fronti. Ne affrontiamo alcuni: analisi intelligente delle minacce e dei trend, riconoscimento (tramite pattern e altre elaborazioni) di nuovi malware, test / simulazione di attacchi e relative conseguenze, assessment sui sistemi e sul codice del software.

Il relatore Antonio Belli:

Antonio Belli è un giurista ICT con esperienza maturata in studi legali a Londra e Roma. Da più di sei anni ricopre il ruolo di Specialista in Sicurezza delle Informazioni e Privacy presso InfoCamere S.C.p.A., dove si occupa principalmente di analisi dei rischi, formazione, audit, sviluppo ed implementazione di politiche di sicurezza delle informazioni e trattamento dei dati personali, nonché consulenza normativa in tali ambiti. È Lead Auditor qualificato per la certificazione ISO/IEC 27001 e ha conseguito un Master di II livello in Diritto dell’Informatica, combinando competenze legali e tecniche nel campo della sicurezza informatica. Da 4 anni è Professore aggiunto presso l’Università di Padova, dove insegna “Security and Risk: Management and Certifications” nel corso di Laurea Magistrale in Cybersecurity in lingua inglese.

29/09/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - Cybersecurity OT e nuovo regolamento macchine

Il panorama della cybersecurity nel contesto OT, a cura di Marcello Pogilani

Descrizione:

L'intervento introdurrà il tema della cybersecurity nel mondo dell'Operational Technology (OT), mettendo in evidenza le similitudini con l'Information Technology e le differenze specifiche nella gestione della sicurezza in questo contesto. Dopo una panoramica sui principali rischi legati alla violazione dei requisiti di sicurezza nel settore industriale, il webinar presenterà esempi reali di attacchi a sistemi OT e i loro impatti sul mondo fisico. Verranno analizzate le principali sfide di sicurezza tipiche dell'OT, fornendo suggerimenti su come affrontarle, a partire da un'accurata analisi della superficie di attacco dei sistemi.

Il relatore Marcello Pogiani:

Ha conseguito il dottorato di ricerca e la laurea magistrale in ingegneria informatica presso il Politecnico di Milano, dove ha condotto attività di ricerca sulla sicurezza dei sistemi di controllo industriale in ambiente manifatturiero. Co-autore di otto articoli scientifici, ha presentato le sue ricerche a importanti eventi internazionali, tra cui la prestigiosa conferenza "Black Hat USA" nel 2017 e nel 2020. Attualmente è Senior Security Engineer presso Secure Network, dove si occupa principalmente di penetration testing e security assessment.

Il regolamento per le future macchine “cyber sicure”, a cura di Luca Moroni

Descrizione:

L'entrata in vigore del nuovo regolamento macchine introduce in Europa una prospettiva innovativa per i macchinari e gli impianti dal 2027 al 2050. La digitalizzazione delle macchine, fino all'uso dell'intelligenza artificiale, richiede una riorganizzazione delle competenze negli uffici tecnici. Nuove responsabilità sul software, inclusa la sicurezza informatica, diventano requisiti obbligatori. La progettazione di macchine sicure by design e by default diventerà normativa. I cambiamenti nelle configurazioni software, che comportano responsabilità in caso di incidenti, aprono scenari futuristici rispetto alla realtà attuale nelle aziende italiane, incluso il settore della manutenzione.

Il relatore Luca Moroni:

Focalizzato sulla resilienza cyber dal 2000, ha fondato Via Virtuosa nel 2008. Ha tenuto seminari su questi temi in Italia e all'estero, e oggi è un coach in Cybersecurity e IT Governance per alcune aziende multinazionali. Si è laureato in Informatica a Milano nel 1989 ed è certificato CISA, ISO27001, ITIL e ISA/IEC 62443 (Scada Security), oltre a possedere altre certificazioni tecnologiche. È co-fondatore del network Cyber Security Angels (CSA), un gruppo no-profit di professionisti informatici impiegati in grandi aziende (no vendor e integratori) focalizzati sulla Cyber Security. È socio fondatore dell’IT Club FVG, che organizza il Digital Security Festival. Ha curato diverse pubblicazioni che spaziano dall'uso consapevole della comunicazione digitale e la sicurezza informatica negli ambienti industriali, fino alla gestione del rischio cyber e delle assicurazioni correlate.

26/07/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - La direttiva NIS2: rischi ed impatti sui Sistemi di Gestione

 La Direttiva NIS2 e le relazioni con i Sistemi di Gestione e Framework standard, a cura di Claudio Canepa

Descrizione:
La Direttiva NIS 2 è ormai alle porte e coinvolgerà un numero di aziende assai maggiore della precedente Direttiva NIS, oltre che, indirettamente, l’intera catena dei fornitori critici.
Pur nell’imminenza della sua entrata in vigore definitiva, non tutte le aziende sono consapevoli e preparate ad adottare le prescrizioni richieste dalla normativa. La Direttiva dice cosa fare ma non come: vedremo come non sia necessario improvvisare o inventare soluzioni ma come un’adeguata implementazione dei migliori standard e best practices già disponibili permetta di gestire e dimostrare nel modo corretto la compliance alla normativa (e di migliorare la governance ed efficacia della propria cybersecurity).

Il relatore Claudio Canepa:
Ha alle spalle una lunga carriera come CIO in un gruppo industriale italiano, leader mondiale nel proprio settore. Negli ultimi anni di attività ha ricoperto anche il ruolo di CISO, ottenendo la certificazione ISO27001 per una Business Unit rilevante dell’azienda. È Lead Auditor qualificato per la norma ISO/IEC 27001:2022. Dal 2023 ha intrapreso l’attività di Senior Information Technology & Security Advisor, occupandosi di consulenza in ambito GRC (Governance, Risk Assessment, Compliance) con particolare riferimento alla norma ISO27001. Socio ISACA dal 2014.

L’analisi dei rischi e della sicurezza dei sistemi informatici nella Direttiva NIS 2, a cura di Andrea Paro

Descrizione:

La Direttiva NIS 2 riporta, come altre importanti normative europee, un approccio tipicamente “Risk Based” e richiede una specifica valutazione dei livelli di rischio per individuare le aree dei sistemi informatici sulle quali intervenire e pianificare efficaci strategie di resilienza dei servizi e di  protezione e disponibilità dei dati. Le tecniche di valutazione e gestione del rischio non possono più permettersi di basarsi su scelte autoreferenziali ma devono aderire quanto più possibile a standard internazionalmente riconosciuti. Scopo del talk è proporre una integrazione tra il sistema di controllo e valutazione del rischio proposto dal Framework di Cybersecurity Nazionale ed una metodologia valutativa quale quella proposta da un sistema in libera distribuzione quale VA.RI.

Il relatore Andrea Paro:

PARO ANDREA, 57 anni sposato con 2 figlie. Da 35 anni si occupa di Sistemistica, Networking, Security IT e Consulenza in materia di sicurezza dei dati, con particolare riguardo alle tematiche Privacy. I suoi studi sono di estrazione tecnico-economica ed è certificato TÜV “Privacy Officer” e Auditor ISDP 10003 e AICQ (DPO e Auditor Privacy), componente di Federprivacy e delegato Assoprivacy per il Veneto. E’ iscritto all’ANIP (Albo Nazionale Informatici Professionisti con il nr. 2685) ed è Presidente del Collegio di Treviso. E’ CEO e socio fondatore di un’azienda nata nel 1997 specializzata in soluzioni di consulenza tecnico-legale sulla sicurezza e riservatezza delle informazioni. Attualmente è DPO per diverse Aziende Private, anche internazionali, e Pubbliche. Insieme al suo Gruppo di Lavoro cura la Consulenza Privacy per diverse centinaia di aziende ed enti sia privati che pubblici, appartenenti ai settori merceologici e/o produttivi più disparati. E’ specializzato nella progettazione, realizzazione e controllo di Sistemi di Gestione della raccolta e gestione delle informazioni e sul loro trattamento confidenziale e protezione. E’ Docente in diversi corsi di formazione in materia di Privacy ed uso sicuro delle tecnologie digitali. Nel 2024 ha pubblicato e reso disponibile in licenza Creative Commons, a tutta la Comunità di Consulenti Privacy nazionale, il Metodo di Valutazione del Rischio VA.RI..

17/05/2024

2 CPE

Caffè digitale - L'evoluzione degli Standard della professione - Esplorazione del nuovo concept - Parte 2

Terzo e ultimo workshop dedicato all'approfondimento delle nuove evoluzioni negli Standard Globali dell'Audit Interno, recentemente pubblicati dall'Institute of Internal Auditors. Questi workshop forniranno un'opportunità preziosa per comprendere appieno il nuovo framework e le sue implicazioni per la nostra professione in continua evoluzione.

Il 9 gennaio 2024 sono stati ufficialmente pubblicati i Global Internal Audit Standard da parte di The Institute of Internal Auditors, segnando un passo significativo verso un approccio più globale e uniforme alla professione dell'audit interno. In questo contesto, ISACA Venice propone una serie di webinar dedicati a esaminare in dettaglio le novità portate da questi Standard, con particolare attenzione agli impatti pratici e alle opportunità che si presentano per i professionisti del settore.

Relatrice: Chiara Guizzetti

Laureata in economia, con una vasta esperienza in contesti multinazionali sia profit che no-profit, Chiara è consulente e formatrice nell'ambito del Controllo Interno, dell'Audit Interno, della Compliance e del Risk Management. Detiene numerose certificazioni internazionali e ha un profondo impegno nell'educazione e nella formazione continua nel campo dell'audit interno.

19/04/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - L'evoluzione degli Standard della professione - Esplorazione del nuovo concept - Parte 1

Si entra nel vivo col secondo workshop che tratta la prima parte dedicata all'approfondimento delle nuove evoluzioni negli Standard Globali dell'Audit Interno, recentemente pubblicati dall'Institute of Internal Auditors. Questi workshop forniranno un'opportunità preziosa per comprendere appieno il nuovo framework e le sue implicazioni per la nostra professione in continua evoluzione.

Il 9 gennaio 2024 sono stati ufficialmente pubblicati i Global Internal Audit Standard da parte di The Institute of Internal Auditors, segnando un passo significativo verso un approccio più globale e uniforme alla professione dell'audit interno. In questo contesto, ISACA Venice propone una serie di webinar dedicati a esaminare in dettaglio le novità portate da questi Standard, con particolare attenzione agli impatti pratici e alle opportunità che si presentano per i professionisti del settore.

Relatrice: Chiara Guizzetti

Laureata in economia, con una vasta esperienza in contesti multinazionali sia profit che no-profit, Chiara è consulente e formatrice nell'ambito del Controllo Interno, dell'Audit Interno, della Compliance e del Risk Management. Detiene numerose certificazioni internazionali e ha un profondo impegno nell'educazione e nella formazione continua nel campo dell'audit interno.

29/03/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Caffè digitale - L'evoluzione degli Standard della professione - Introduzione al nuovo concept

Primo di una serie di tre workshop organizzati dal Capitolo di Venezia di ISACA, dedicati all'approfondimento delle nuove evoluzioni negli Standard Globali dell'Audit Interno, recentemente pubblicati dall'Institute of Internal Auditors. Questi workshop forniranno un'opportunità preziosa per comprendere appieno il nuovo framework e le sue implicazioni per la nostra professione in continua evoluzione.

Il 9 gennaio 2024 sono stati ufficialmente pubblicati i Global Internal Audit Standard da parte di The Institute of Internal Auditors, segnando un passo significativo verso un approccio più globale e uniforme alla professione dell'audit interno. In questo contesto, ISACA Venice propone una serie di webinar dedicati a esaminare in dettaglio le novità portate da questi Standard, con particolare attenzione agli impatti pratici e alle opportunità che si presentano per i professionisti del settore.

Relatrice: Chiara Guizzetti

Laureata in economia, con una vasta esperienza in contesti multinazionali sia profit che no-profit, Chiara è consulente e formatrice nell'ambito del Controllo Interno, dell'Audit Interno, della Compliance e del Risk Management. Detiene numerose certificazioni internazionali e ha un profondo impegno nell'educazione e nella formazione continua nel campo dell'audit interno.

01/03/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Nel mondo degli attacchi digitali, basta avere la polizza assicurativa Cyber?

Un recente studio dell'istituto di vigilanza sulle assicurazioni IVASS, che analizza le proposte attualmente presenti sul mercato, evidenzia la necessità di fare una corretta e approfondita analisi del rischio aziendale con interlocutori assicurativi competenti in digitale e capaci di comprendere molto bene definizioni, esclusioni e limitazioni del contratto assicurativo. Un confronto aperto e continuativo tra gli stakeholder aziendali interni ed esterni deve mettere in luce le priorità e i punti di debolezza dell'organizzazione rispondendo ai prerequisiti minimi richiesti dagli assicuratori e preparare la reazione ad un eventuale incidente o attacco. L’intervento sarà a cura di Cesare Burei

Siamo pronti a far funzionare la polizza e a sopravvivere?

19/01/2024

2 CPE

Materiali dell'evento (Riservato ai soci Isaca Venice, disponibili dopo l'evento)

Intelligenza artificiale e machine learning

"L'arte dell' adversarial machine learning (in pratica)" , a cura di Luca Pajola:

A partire dagli anni 10 del 2000, molte aziende hanno iniziato ad integrare nei propri processi industriali sistemi basati sull'intelligenza artificiale.

Nonostante le applicazioni basate su machine learning hanno dimostrato notevoli performance, la loro natura spesso "black-box" apre a nuovi problemi di cybersecurity.

Gli attaccanti possono dunque sfruttare "falle" di tali sistemi per vantaggi personali.

Durante questo intervento, verranno introdotte le famiglie di attacchi piu' popolari come evasion attack e model poisoning, le quali verranno accompagnate da "best practice" da seguire per limitare tali attacchi.

Il talk avra' un connotato pratico, ovvero verranno presentati esempi di attacchi condotti su sistemi reali.

"Comprendere l'AI Act: Il Futuro Regolamentato dell'Intelligenza Artificiale",a cura di Nicasio Muscia e Martina Pettazzi:

L’intervento fornisce una panoramica dell'AI Act, la proposta di regolamentazione dell'Intelligenza Artificiale nell'Unione Europea che entrerà in vigore entro la fine del 2023. Esploreremo le principali disposizioni del regolamento, compresi gli aspetti legati ai sistemi di IA ad alto rischio, le responsabilità degli operatori, le misure di conformità e come passare dai principi alla pratica.

30/06/2023

2 CPE

Materiali dell’evento

IT & IS Audit Management

“Audit di prodotto sui servizi fiduciari - RISK MANAGEMENT, INCIDENT MANAGEMENT E TERMINATION PLAN”, a cura di Andrea Castello:
“Gli audit sui servizi fiduciari riferibili al Regolamento 910/2014 (eIDAS) e da normative Nazionali (es. Conservazione a Norma e SPID) richiedono un approccio focalizzato al prodotto servizio secondo le logiche previste dagli standard ISO 17065. L’intervento presenta gli aspetti principali per affrontare in quest’ottica temi di rsk management, incident management e termination plan."

“ICT Audit in ambito Cloud”, a cura di Michele Lorengo:

·       L’approccio ISACA

·       Cloud Governance

·       Fattori di rischio specifici

·       CCM e CAIQ

·       Il processo di Cloud Auditing

·       Continuous Assurance & Compliance

·       STAR Program

·       Applicazione in ambito bancario

22/04/2022

2 CPE

Materiali dell’evento

IT Governance & Data Protection

“Intelligenza Artificiale:e la genesi di un pensiero critico”, a cura di Raffaella Aghemo:
“La possibilità di predire il futuro è un desiderio che ha accompagnato l'uomo da sempre. Appare evidente quanto tutto lo sforzo della scienza sia, da sempre, orientato a cercare leggi, formule, modelli in grado di spiegare gli avvenimenti del mondo fisico così da poterli prevedere! Ma alla possibilità di predire con esattezza il futuro si è sempre opposta una caratteristica tipicamente "umana", ossia la libertà, il libero arbitrio! Il passaggio attuale della tecnologia da "strumento" a "soggetto", pone inevitabili domande sia a livello etico che normativo! La datafication ha innestato un ambiguo rapporto con gli strumenti algoritmici che possono rappresentare sia un punto di svolta contro le fake news sia però una feroce arma di disinformazione”

“Attacchi informatici, data breach e scenari di guerra”, a cura di Costanza Matteuzzi:
"Gli attacchi informatici rappresentano un reale pericolo per numerose aziende e per i singoli. E' importante allora cambiare mentalità e realizzare un ecosistema protetto. Senza una idonea cybersecurity non può esserci una data protection adeguata. Inoltre si assiste proprio in questi tempi a quanto sia oramai diromepente la presenza della tecnologia anche nello scenario di guerra odierno.”

“Fake news e data breach: l’impatto sulla reputazione aziendale”, a cura di Piera Di Stefano:

La disinformazione, a volte creata ad hoc dalla sleale concorrenza, unitamente ad una pessima gestione delle violazioni di dati personali possono avere un impatto devastante sulla reputazione di un’azienda, compromettendo i rapporti con i vari stakeholders e la finalizzazione di eventuali azioni strategiche messe in campo per rendere maggiormente competitiva la sua presenza sul mercato. Il valore reputazionale di un’organizzazione può subire una forte diminuzione anche in conseguenza di eventi che ledono, a torto o a ragione, l’immagine di coloro che la rappresentano, gestiscono e dirigono a vari livelli, i quali, se coinvolti in vicende negative, possono indirettamente condizionare l’andamento degli affari. Come affrontare tali tipologie di “sinistri”?

25/03/2022

2 CPE

Materiali dell’evento

Gestione delle Crisi Cyber e Genesi di un databreach

“La gestione delle situazioni di crisi nella cybersecurity”, a cura di Mauro Cicognini:
“La cronaca ci sta dando, in questi mesi, molti esempi di incidenti di cybersecurity, e di crisi in generale. La gestione di questi eventi è uno dei momenti più critici del lavoro di chi si occupa di sicurezza delle informazioni, ma anche, come abbiamo tutti potuto chiaramente constatare, uno di quelli dove è più facile sbagliare. In momenti di forte pressione, senza un processo ben strutturato ed una “macchina” rodata a dovere (con procedure, responsabilità, test, ed altro), la probabilità di fare un passo falso è altissima. Parleremo di cosa possiamo fare per prepararci a dovere ai momenti critici e di quali strumenti è opportuno dotarsi per limitare i danni ed evitare, per quanto possibile, di fare errori gravi”

“Genesi di un Data Breach e come affrontarlo”, a cura di Alessandro Fiorenzi:
"Cosa è un data breach?  quando e come si manifesta o meglio quando e come scopro di aver subito un data breach? Ma soprattutto quali azioni posso mettere in campo per ridurre il rischio di data breach e cosa posso e debbo fare una volta subito un data breach. Andremo a trattare cosa è un data breach con riferimenti a casi concreti e in cosa si distingue rispetto ad un security incident. Proseguiremo delineando le azioni da intraprendere in caso di data breach. Vedremo perché è importante trattare il tema del data breach con strumenti della digital forensics con un approccio preventivo mediante la forensics readiness, e la gestione mediante strumenti di analisi di DFIR.”

25/02/2022

2 CPE

Materiali dell’evento

Cyber Awareness e Data Protection - approcci e casi pratici

“La cyber awareness - approcci aziendali", a cura di Willi Cometti e Manuel Minute: Malware, Phishing e Social Engineering sono tra le minacce più diffuse degli ultimi anni. Quasi sempre utilizzano l’email come vettore di attacco e puntano all'anello più debole della catena di sicurezza: la persona. È necessario correre ai ripari, in particolar modo agendo proprio sul “fattore umano”. Due aziende del nord-est presentano i loro approcci differenti per la formazione dei propri collaboratori al fine di aumentare l'awareness sulla sicurezza informatica.

"Le ispezioni del Garante", a cura di Riccardo Acciai: Tra i vari poteri dell’autorità di controllo in materia di protezione dei dati personali vi è anche quello di effettuare attività ispettive presso le sedi di titolari e responsabili del trattamento. Come vengono pianificate e organizzate queste attività? cosa succede durante l’ispezione e qual è il comportamento corretto da tenere? cosa succede dopo l’accertamento ispettivo?

05/11/2021

2 CPE

Materiali dell’evento

Workstream: data protection

"La AI e sue implicazioni generali da una prospettiva di information security", a cura di Andrea Loreggia: l'intervento vuole essere un'introduzione di alto livello all'intelligenza artificiale e ai suoi possibili utilizzi nel campo dell'information security e cybersecurity. La prima parte della presentazione introdurrà la disciplina da un punto di vista del funzionamento della tecnologia, focalizzandosi sul machine learning. Verranno trattate, con l'utilizzo di esempi pratici, le problematiche e le limitazioni della tecnologia. Nella seconda parte, verranno discussi gli utilizzi dell'intelligenza artificiale negli ambiti dell'information security riportando casi reali. La parte conclusiva, nel riassumere i vari aspetti analizzati, illustrerà una serie di iniziative internazionali volte alla regolamentazione della disciplina da un punto di vista normativo, etico e tecnico.

"La Self Sovereign Identity (SSI) e la nuova Identità Digitale", a cura di Sandro Vecchiarelli: nell’evoluzione digitale che ci attende diventa centrale la gestione della nostra identità digitale e la protezione dei nostri dati personali. La SSI permetterà di rivoluzionare il modo straordinario i nostri comportamenti digitali che vanno dagli acquisti on-line al rapporto con le pubbliche amministrazioni, essendo noi gli unici ad avere il possesso e la gestione della nostra identità e dei nostri dati personali. Tutto questo è realizzabile anche grazie alla tecnologia Blockchain.

08/10/2021

2 CPE

Materiali dell’evento

Workstream: IT & IS Risk Management

"Considerazioni sulla trasformazione digitale", a cura di A. Vallega: quali sfide per la società, il mondo del lavoro e l’IT accompagnano la trasformazione digitale?

"Esperienze sul campo di risk assessment", a cura di I. Tsiouras: l'intervento ha lo scopo di presentare quello che fanno, in tema di risk assessment, le aziende incontrate dall’autore e di fornire alcune evidenze di (scarsa) maturità e di alcuni errori nel modo di condurre l’attività

16/07/2021

2 CPE

Materiali dell’evento

Information Security (IS) & Cybersecurity (CS) Management

“Il valore dell'informazione nella società postindustriale”, a cura di Corrado Giustozzi: si dice che l'informazione è il petrolio del terzo millennio, e non è solo un luogo comune: la società nella quale viviamo infatti è davvero la "società dell'informazione", nel senso che trova valore in attività che riguardano l'elaborazione delle informazioni, come in passato il valore era nella trasformazione delle materie prime. Il riflesso nella nostra vita di tutti i giorni è che anche le nostre informazioni, quelle che ci riguardano, hanno un grande valore, e spesso a nostra insaputa: esse vanno quindi tutelate contro chi cerca di abusarne o sfruttarle a nostro danno. Se nell'era digitale la privacy è morta, occorre essere ancora più consapevoli e attenti per non rischiare di cadere vittima di situazioni spiacevoli o addirittura pericolose.

“Estrarre informazioni personali con Social Media Mining”, a cura di Roberto Marmo, in cui si affronterà il tema del Social Media Mining per creare software con cui estrarre informazioni di profili personali dai social media. Verranno inoltre illustrati i servizi web per cercare nei social media e le modalità per ottenere una email, data di nascita, immagini, informazioni di una persona tramite il suo profilo Facebook o Instagram.

25/07/2021

2 CPE

Materiali dell’evento

Workstream: Data Protection

“Data Protection in Vodafone Italy”, a cura di Corradino Corradi, Head of ICT Security, Privacy & Fraud Management – DPO in Vodafone Italia; l'intervento ha come obiettivo l'illustrazione  dell’approccio Vodafone alla privacy ed alla Data Protection.

“Spunti operativi del Garante della Privacy”, a cura di Lucia Menini esperta consulente in tema di consulenza privacy e CEO di Effizient e Loris Ghirello, giurista e consulente legale presso Effizient; i provvedimenti adottati dal Garante Privacy non devono catturare la nostra attenzione solo per l’entità dell’eventuale sanzione che viene comminata. Le considerazioni proposte dall’Autorità possono offrire importanti spunti di riflessione per valutare il livello di conformità di ogni struttura: analizziamo i provvedimenti più recenti e/o rilevanti e ricaviamone utili strumenti di lavoro.

21/05/2021

2 CPE

Materiali dell’evento

Workstream: IT & IS Risk Management

“Il Cyber Risk nel settore Financial Services”, a cura di Nicasio Muscia, Managing Director di Accenture Strategy & Consulting; l'intervento ha come obiettivo l'illustrazione  del Position Paper AIFIRM sul Cyber Risk nella Financial Service industry.

“Cyber Fraud Risks”, a cura di Mario Grossi, RSA Sales Engineer, in cui si discorrerà di come noi siamo ingrediente della ricetta e la nostra risposta emotiva è, molte volte, decisiva nel perpetrarsi delle azioni fraudolente che vengono compiute ormai quotidianamente.

23/04/2021

2 CPE

Materiali dell’evento

Workstream: IT & IS Audit Management

“Le attività di audit in ambito privacy”, a cura di Giancarlo Butti; l'intervento ha come obiettivo evidenziare quali sono gli aspetti da prendere in considerazione per svolgere tale tipo di attività con esemplificazioni nell'ambito della sicurezza ICT.

“Business Continuity Management System”, a cura di Natale Prampolini, in cui si affronterà il tema della Continuità Operativa: principi, concetti, norme, definizioni; spiegazione pratica dei concetti di Business Continuity, Disaster Recovery e Crisis Management.

26/03/2021

2 CPE

Materiali dell’evento

Workstream: Information Security (IS) & Cybersecurity (CS) Management

“Il Ciclo di Vita delle Applicazioni: una tassonomia per la gestione”, a cura di Natale Prampolini, in cui si affronterà il tema dell’esigenza per le aziende di avere una strategia di gestione del ciclo di vita delle applicazioni, anche in considerazione che per alcuni settori, militari e avionica, esistono normative specifiche che lo richiedono e lo regolamentano.

“Enterprise Forensics, ovvero come l’azienda può prepararsi ad un’indagine forense e come utilizzare le tecniche di digital forensic per la risposta agli incidenti”, a cura di Fabio Bucciarelli, dove si tratterà della necessità di sviluppare capacità di raccolta rapida e monitoraggio di informazioni forensi su tutti i sistemi aziendali, validandole preventivamente e definendo policy e procedure per indirizzare correttamente le attività da svolgere.

26/02/2021

2 CPE

Materiali dell’evento

Perchè Risk Management

“Perchè Risk Management”: ogni progetto o iniziativa imprenditoriale ha in sé opportunità e rischi: senza rischi qualsiasi progetto non contiene opportunità. Le attitudini e le propensioni al rischio sono personali: organizzazioni e stakeholders sono disponibili ad accettare vari gradi di rischio, a seconda della loro percezione, tolleranza e dei loro pregiudizi.

Come mettere insieme un’analisi organizzata dei rischi insiti nell’organizzazione con i fattori di soggettività per superare il classico “remediation plan” e cogliere l’opportunità di implementare un progetto veramente evolutivo per l’azienda?

Nel corso della sessione verrà anche illustrato un tool di supporto a questo obbiettivo.

Relatori saranno:

·       Bonomo Alberto – CPA – CIA – CRMA – CFE – Direttore Internal Audit del Gruppo Banca Finanziaria Internazionale ed Amministratore unico di X Consulting;

·       Scottà Luca – Compliance Officer – DPO presso X Consulting;

·       Tosello Massimo – Cobit 5 – DPO ed Internal Audit del Gruppo Banca Finanziaria Internazionale

18/12/2020

2 CPE

Materiali dell’evento