|
Come le tecnologie digitali possono aiutare l'ambiente
|
In un mondo alle prese con sfide ambientali sempre più pressanti, la tecnologia digitale emerge come un faro di speranza per un futuro sostenibile. Esploreremo il potere trasformativo dell’Internet of Things (IoT) e dell’Intelligenza Artificiale (AI) nel monitoraggio della qualità dell’aria, nell’ottimizzazione della distribuzione energetica e nella riduzione del traffico urbano. Scopriremo come aziende e città stanno già sfruttando queste tecnologie per ridurre le emissioni di carbonio e migliorare la gestione delle risorse. Esamineremo casi reali che dimostrano l’efficacia di queste soluzioni innovative. Affronteremo anche le preoccupazioni relative alla privacy e l’importanza di garantire un accesso equo a queste tecnologie. Le politiche strategiche e gli incentivi possono promuovere l’adozione di soluzioni digitali sostenibili.
|
01/12/2023
2 CPE
|
|
|
|
|
|
Ispezioni di Cybersecurity Accreditate
|
Il "Cybersecurity Act" europeo, attivo dal 27 giugno 2019, volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, potrebbe imporre alle varie aziende che operano in questo contesto di dimostrare la loro capacità di garantire la sicurezza delle informazioni trattate e la relativa assenza di evidenti esposizioni ad attacchi cyber. In questo ambito, gli Organismi di Ispezione, certificati secondo la norma ISO/IEC 17020, effettuano valutazioni obiettive, neutrali e imparziali, rilasciando rapporti e certificati che includono la valutazione della maturità dei processi aziendali che durante questa relazione, esploreremo con l'aiuto di due esperti di settore. L’intervento sarà a cura di Paolo Sferlazza e Giustino Fumagalli.
|
27/10/2023
2 CPE
Materiali dell'evento (Riservato ai soci Isaca Venice)
|
|
|
|
|
|
La resilienza operativa: il regolamento DORA
|
"La resilienza operativa: il regolamento DORA" , a cura di Giancarlo Butti: con la diffusione della digitalizzazione e dei servizi ad essa collegati i settori finanziario e fintech devono attrezzarsi e imparare a reagire tempestivamente alle minacce in continuo aumento di attacchi informatici. Nel mese di dicembre scorso sono state pubblicate nella Gazzetta Ufficiale della UE:
· il Regolamento DORA (Digital Operational Resilience Act) per la difesa unica europea che ha l’obiettivo di disciplinare in maniera uniforme la “resilienza operativa”nel settore finanziario in tutta l’Europa
· la Direttiva DORA
· ed anche la NIS2.
|
29/09/2023
2 CPE
Materiali dell'evento (Riservato ai soci Isaca Venice)
|
|
|
|
|
|
Strategia Cloud Italia e report di audit
|
“Strategia Cloud Italia: sfide ed opportunità per gli Auditor IT" , a cura di Alberto Manfredi:
Questo intervento si concentra sulla Strategia Cloud Italia, pubblicata nel settembre 2021 dal Dipartimento per la trasformazione digitale e dall'Agenzia per la cybersicurezza nazionale (ACN). Questa strategia definisce gli indirizzi strategici per la migrazione verso il cloud dei dati e dei servizi digitali della Pubblica Amministrazione, nonché i criteri di qualificazione dei fornitori. Il governo italiano ha attribuito grande importanza al mercato del cloud computing nazionale, sostenuto anche dai fondi del PNRR, con significative implicazioni per il settore privato, che comprende sia grandi aziende che piccole e medie imprese. Durante la presentazione, esploreremo il ruolo degli Auditor IT in questo nuovo scenario di mercato e le nuove competenze richieste, focalizzandoci sulle linee guida, le certificazioni e gli strumenti di audit sviluppati dalla Cloud Security Alliance (CSA), accreditati dall'ACN come punto di riferimento per la governance della sicurezza nel cloud.
"Report di audit. Come generare l'effetto WOW",a cura di Chiara Guizzetti:
Come generare l'effetto WOW: il report di audit rappresenta il prodotto finito di un progetto di audit. Con questo documento, in pochi minuti di esposizione/lettura ci giochiamo la nostra credibilità. Al tempo stesso, essendo noi internal auditor i paladini del controllo interno, abbiamo il dovere di rendere edotti i nostri
interlocutori (il business, l'audit committee, il CdA) circa i rischi aziendali e la loro severità. Dobbiamo perciò metterci dalla parte del nostro interlocutore e veicolare i messaggi chiave in modo corretto, completo, chiaro, accurato e tempestivo. Come fare? Ragioniamo insieme su alcune tecniche pratiche di comunicazione scritta.
|
28/07/2023
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Intelligenza artificiale e machine learning
|
"L'arte dell' adversarial machine learning (in pratica)" , a cura di Luca Pajola:
A partire dagli anni 10 del 2000, molte aziende hanno iniziato ad integrare nei propri processi industriali sistemi basati sull'intelligenza artificiale.
Nonostante le applicazioni basate su machine learning hanno dimostrato notevoli performance, la loro natura spesso "black-box" apre a nuovi problemi di cybersecurity.
Gli attaccanti possono dunque sfruttare "falle" di tali sistemi per vantaggi personali.
Durante questo intervento, verranno introdotte le famiglie di attacchi piu' popolari come evasion attack e model poisoning, le quali verranno accompagnate da "best practice" da seguire per limitare tali attacchi.
Il talk avra' un connotato pratico, ovvero verranno presentati esempi di attacchi condotti su sistemi reali.
"Comprendere l'AI Act: Il Futuro Regolamentato dell'Intelligenza Artificiale",a cura di Nicasio Muscia e Martina Pettazzi:
L’intervento fornisce una panoramica dell'AI Act, la proposta di regolamentazione dell'Intelligenza Artificiale nell'Unione Europea che entrerà in vigore entro la fine del 2023. Esploreremo le principali disposizioni del regolamento, compresi gli aspetti legati ai sistemi di IA ad alto rischio, le responsabilità degli operatori, le misure di conformità e come passare dai principi alla pratica.
|
30/06/2023
2 CPE
Materiali dell’evento
|
|
IT & IS Audit Management
|
“Audit di prodotto sui servizi fiduciari - RISK MANAGEMENT, INCIDENT MANAGEMENT E TERMINATION PLAN”, a cura di Andrea Castello:
“Gli audit sui servizi fiduciari riferibili al Regolamento 910/2014 (eIDAS) e da normative Nazionali (es. Conservazione a Norma e SPID) richiedono un approccio focalizzato al prodotto servizio secondo le logiche previste dagli standard ISO 17065. L’intervento presenta gli aspetti principali per affrontare in quest’ottica temi di rsk management, incident management e termination plan."
“ICT Audit in ambito Cloud”, a cura di Michele Lorengo:
· L’approccio ISACA
· Cloud Governance
· Fattori di rischio specifici
· CCM e CAIQ
· Il processo di Cloud Auditing
· Continuous Assurance & Compliance
· STAR Program
· Applicazione in ambito bancario
|
22/04/2022
2 CPE
Materiali dell’evento
|
|
|
|
|
|
IT Governance & Data Protection
|
“Intelligenza Artificiale:e la genesi di un pensiero critico”, a cura di Raffaella Aghemo:
“La possibilità di predire il futuro è un desiderio che ha accompagnato l'uomo da sempre. Appare evidente quanto tutto lo sforzo della scienza sia, da sempre, orientato a cercare leggi, formule, modelli in grado di spiegare gli avvenimenti del mondo fisico così da poterli prevedere! Ma alla possibilità di predire con esattezza il futuro si è sempre opposta una caratteristica tipicamente "umana", ossia la libertà, il libero arbitrio! Il passaggio attuale della tecnologia da "strumento" a "soggetto", pone inevitabili domande sia a livello etico che normativo! La datafication ha innestato un ambiguo rapporto con gli strumenti algoritmici che possono rappresentare sia un punto di svolta contro le fake news sia però una feroce arma di disinformazione”
“Attacchi informatici, data breach e scenari di guerra”, a cura di Costanza Matteuzzi:
"Gli attacchi informatici rappresentano un reale pericolo per numerose aziende e per i singoli. E' importante allora cambiare mentalità e realizzare un ecosistema protetto. Senza una idonea cybersecurity non può esserci una data protection adeguata. Inoltre si assiste proprio in questi tempi a quanto sia oramai diromepente la presenza della tecnologia anche nello scenario di guerra odierno.”
“Fake news e data breach: l’impatto sulla reputazione aziendale”, a cura di Piera Di Stefano:
La disinformazione, a volte creata ad hoc dalla sleale concorrenza, unitamente ad una pessima gestione delle violazioni di dati personali possono avere un impatto devastante sulla reputazione di un’azienda, compromettendo i rapporti con i vari stakeholders e la finalizzazione di eventuali azioni strategiche messe in campo per rendere maggiormente competitiva la sua presenza sul mercato. Il valore reputazionale di un’organizzazione può subire una forte diminuzione anche in conseguenza di eventi che ledono, a torto o a ragione, l’immagine di coloro che la rappresentano, gestiscono e dirigono a vari livelli, i quali, se coinvolti in vicende negative, possono indirettamente condizionare l’andamento degli affari. Come affrontare tali tipologie di “sinistri”?
|
25/03/2022
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Gestione delle Crisi Cyber e Genesi di un databreach
|
“La gestione delle situazioni di crisi nella cybersecurity”, a cura di Mauro Cicognini:
“La cronaca ci sta dando, in questi mesi, molti esempi di incidenti di cybersecurity, e di crisi in generale. La gestione di questi eventi è uno dei momenti più critici del lavoro di chi si occupa di sicurezza delle informazioni, ma anche, come abbiamo tutti potuto chiaramente constatare, uno di quelli dove è più facile sbagliare. In momenti di forte pressione, senza un processo ben strutturato ed una “macchina” rodata a dovere (con procedure, responsabilità, test, ed altro), la probabilità di fare un passo falso è altissima. Parleremo di cosa possiamo fare per prepararci a dovere ai momenti critici e di quali strumenti è opportuno dotarsi per limitare i danni ed evitare, per quanto possibile, di fare errori gravi”
“Genesi di un Data Breach e come affrontarlo”, a cura di Alessandro Fiorenzi:
"Cosa è un data breach? quando e come si manifesta o meglio quando e come scopro di aver subito un data breach? Ma soprattutto quali azioni posso mettere in campo per ridurre il rischio di data breach e cosa posso e debbo fare una volta subito un data breach. Andremo a trattare cosa è un data breach con riferimenti a casi concreti e in cosa si distingue rispetto ad un security incident. Proseguiremo delineando le azioni da intraprendere in caso di data breach. Vedremo perché è importante trattare il tema del data breach con strumenti della digital forensics con un approccio preventivo mediante la forensics readiness, e la gestione mediante strumenti di analisi di DFIR.”
|
25/02/2022
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Cyber Awareness e Data Protection - approcci e casi pratici
|
“La cyber awareness - approcci aziendali", a cura di Willi Cometti e Manuel Minute: Malware, Phishing e Social Engineering sono tra le minacce più diffuse degli ultimi anni. Quasi sempre utilizzano l’email come vettore di attacco e puntano all'anello più debole della catena di sicurezza: la persona. È necessario correre ai ripari, in particolar modo agendo proprio sul “fattore umano”. Due aziende del nord-est presentano i loro approcci differenti per la formazione dei propri collaboratori al fine di aumentare l'awareness sulla sicurezza informatica.
"Le ispezioni del Garante", a cura di Riccardo Acciai: Tra i vari poteri dell’autorità di controllo in materia di protezione dei dati personali vi è anche quello di effettuare attività ispettive presso le sedi di titolari e responsabili del trattamento. Come vengono pianificate e organizzate queste attività? cosa succede durante l’ispezione e qual è il comportamento corretto da tenere? cosa succede dopo l’accertamento ispettivo?
|
05/11/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Workstream: data protection
|
"La AI e sue implicazioni generali da una prospettiva di information security", a cura di Andrea Loreggia: l'intervento vuole essere un'introduzione di alto livello all'intelligenza artificiale e ai suoi possibili utilizzi nel campo dell'information security e cybersecurity. La prima parte della presentazione introdurrà la disciplina da un punto di vista del funzionamento della tecnologia, focalizzandosi sul machine learning. Verranno trattate, con l'utilizzo di esempi pratici, le problematiche e le limitazioni della tecnologia. Nella seconda parte, verranno discussi gli utilizzi dell'intelligenza artificiale negli ambiti dell'information security riportando casi reali. La parte conclusiva, nel riassumere i vari aspetti analizzati, illustrerà una serie di iniziative internazionali volte alla regolamentazione della disciplina da un punto di vista normativo, etico e tecnico.
"La Self Sovereign Identity (SSI) e la nuova Identità Digitale", a cura di Sandro Vecchiarelli: nell’evoluzione digitale che ci attende diventa centrale la gestione della nostra identità digitale e la protezione dei nostri dati personali. La SSI permetterà di rivoluzionare il modo straordinario i nostri comportamenti digitali che vanno dagli acquisti on-line al rapporto con le pubbliche amministrazioni, essendo noi gli unici ad avere il possesso e la gestione della nostra identità e dei nostri dati personali. Tutto questo è realizzabile anche grazie alla tecnologia Blockchain.
|
08/10/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Workstream: IT & IS Risk Management
|
"Considerazioni sulla trasformazione digitale", a cura di A. Vallega: quali sfide per la società, il mondo del lavoro e l’IT accompagnano la trasformazione digitale?
"Esperienze sul campo di risk assessment", a cura di I. Tsiouras: l'intervento ha lo scopo di presentare quello che fanno, in tema di risk assessment, le aziende incontrate dall’autore e di fornire alcune evidenze di (scarsa) maturità e di alcuni errori nel modo di condurre l’attività
|
16/07/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Information Security (IS) & Cybersecurity (CS) Management
|
“Il valore dell'informazione nella società postindustriale”, a cura di Corrado Giustozzi: si dice che l'informazione è il petrolio del terzo millennio, e non è solo un luogo comune: la società nella quale viviamo infatti è davvero la "società dell'informazione", nel senso che trova valore in attività che riguardano l'elaborazione delle informazioni, come in passato il valore era nella trasformazione delle materie prime. Il riflesso nella nostra vita di tutti i giorni è che anche le nostre informazioni, quelle che ci riguardano, hanno un grande valore, e spesso a nostra insaputa: esse vanno quindi tutelate contro chi cerca di abusarne o sfruttarle a nostro danno. Se nell'era digitale la privacy è morta, occorre essere ancora più consapevoli e attenti per non rischiare di cadere vittima di situazioni spiacevoli o addirittura pericolose.
“Estrarre informazioni personali con Social Media Mining”, a cura di Roberto Marmo, in cui si affronterà il tema del Social Media Mining per creare software con cui estrarre informazioni di profili personali dai social media. Verranno inoltre illustrati i servizi web per cercare nei social media e le modalità per ottenere una email, data di nascita, immagini, informazioni di una persona tramite il suo profilo Facebook o Instagram.
|
25/07/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Workstream: Data Protection
|
“Data Protection in Vodafone Italy”, a cura di Corradino Corradi, Head of ICT Security, Privacy & Fraud Management – DPO in Vodafone Italia; l'intervento ha come obiettivo l'illustrazione dell’approccio Vodafone alla privacy ed alla Data Protection.
“Spunti operativi del Garante della Privacy”, a cura di Lucia Menini esperta consulente in tema di consulenza privacy e CEO di Effizient e Loris Ghirello, giurista e consulente legale presso Effizient; i provvedimenti adottati dal Garante Privacy non devono catturare la nostra attenzione solo per l’entità dell’eventuale sanzione che viene comminata. Le considerazioni proposte dall’Autorità possono offrire importanti spunti di riflessione per valutare il livello di conformità di ogni struttura: analizziamo i provvedimenti più recenti e/o rilevanti e ricaviamone utili strumenti di lavoro.
|
21/05/2021
2 CPE
Materiali dell’evento
|
|
Workstream: IT & IS Risk Management
|
“Il Cyber Risk nel settore Financial Services”, a cura di Nicasio Muscia, Managing Director di Accenture Strategy & Consulting; l'intervento ha come obiettivo l'illustrazione del Position Paper AIFIRM sul Cyber Risk nella Financial Service industry.
“Cyber Fraud Risks”, a cura di Mario Grossi, RSA Sales Engineer, in cui si discorrerà di come noi siamo ingrediente della ricetta e la nostra risposta emotiva è, molte volte, decisiva nel perpetrarsi delle azioni fraudolente che vengono compiute ormai quotidianamente.
|
23/04/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Workstream: IT & IS Audit Management
|
“Le attività di audit in ambito privacy”, a cura di Giancarlo Butti; l'intervento ha come obiettivo evidenziare quali sono gli aspetti da prendere in considerazione per svolgere tale tipo di attività con esemplificazioni nell'ambito della sicurezza ICT.
“Business Continuity Management System”, a cura di Natale Prampolini, in cui si affronterà il tema della Continuità Operativa: principi, concetti, norme, definizioni; spiegazione pratica dei concetti di Business Continuity, Disaster Recovery e Crisis Management.
|
26/03/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Workstream: Information Security (IS) & Cybersecurity (CS) Management
|
“Il Ciclo di Vita delle Applicazioni: una tassonomia per la gestione”, a cura di Natale Prampolini, in cui si affronterà il tema dell’esigenza per le aziende di avere una strategia di gestione del ciclo di vita delle applicazioni, anche in considerazione che per alcuni settori, militari e avionica, esistono normative specifiche che lo richiedono e lo regolamentano.
“Enterprise Forensics, ovvero come l’azienda può prepararsi ad un’indagine forense e come utilizzare le tecniche di digital forensic per la risposta agli incidenti”, a cura di Fabio Bucciarelli, dove si tratterà della necessità di sviluppare capacità di raccolta rapida e monitoraggio di informazioni forensi su tutti i sistemi aziendali, validandole preventivamente e definendo policy e procedure per indirizzare correttamente le attività da svolgere.
|
26/02/2021
2 CPE
Materiali dell’evento
|
|
|
|
|
|
Perchè Risk Management
|
“Perchè Risk Management”: ogni progetto o iniziativa imprenditoriale ha in sé opportunità e rischi: senza rischi qualsiasi progetto non contiene opportunità. Le attitudini e le propensioni al rischio sono personali: organizzazioni e stakeholders sono disponibili ad accettare vari gradi di rischio, a seconda della loro percezione, tolleranza e dei loro pregiudizi.
Come mettere insieme un’analisi organizzata dei rischi insiti nell’organizzazione con i fattori di soggettività per superare il classico “remediation plan” e cogliere l’opportunità di implementare un progetto veramente evolutivo per l’azienda?
Nel corso della sessione verrà anche illustrato un tool di supporto a questo obbiettivo.
Relatori saranno:
· Bonomo Alberto – CPA – CIA – CRMA – CFE – Direttore Internal Audit del Gruppo Banca Finanziaria Internazionale ed Amministratore unico di X Consulting;
· Scottà Luca – Compliance Officer – DPO presso X Consulting;
· Tosello Massimo – Cobit 5 – DPO ed Internal Audit del Gruppo Banca Finanziaria Internazionale
|
18/12/2020
2 CPE
Materiali dell’evento
|