Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

Iniziativa: "Sessione di Studio" a Milano

Gentili Associati,

Il Consiglio Direttivo è lieto di informarVi che, proseguendo nell’attuazione delle iniziative promosse dall 'Associazione Italiana Information Systems Auditors volte al processo di miglioramento, di formazione e informazione dei propri associati , ha organizzato, un incontro che vedrà l ' intervento dei seguenti relatori: Fabrizio Bulgarelli (Mazars) Alberto Piamonte Natale Prampolini

15° aggiornamento Circ. n. 263 Bankit: COBIT5® per pianificare ed implementare

Pasquale Vinci (KPMG) ERP Operational Security: un nuovo approccio per governare la sicurezza dei dati gestiti negli ERP

Alfredo Gallistru, Chiara Gregis (PwC) COSO e Cobit5, è ancora possibile un approccio integrato?

L'incontro avrà luogo a:

Milano, 11 Aprile 2014 Presso

UBIS – UniCredit Business Integrated Solutions via Livio Cambi, 1 (MM1 - Lampugnano)

come da agenda allegata. La Sessione, come sempre, è gratuita per gli associati; la partecipazione è

estensibile, inoltre, ai non Soci, che intendano associarsi ad AIEA per l’anno 2014 (vedi scheda d’iscrizione).

Per aderire all’iniziativa è richiesta la compilazione dell’allegata scheda di iscrizione che dovrà pervenire alla Segreteria dell’AIEA, entro e non oltre il

9 Aprile p.v. Ricordiamo che la partecipazione all’evento corrisponde sino a 4 ore di credito

nell’ambito del CISA/CISM/CGEIT/CRISC Continuing Education (CPE). Vi Aspettiamo!

Il Consiglio Direttivo

Milano, Aprile 2014

Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

Abstract delle relazioni Fabrizio Bulgarelli (Mazars), Alberto Piamonte, Natale Prampolini ♦ 15° aggiornamento Circ. n. 263 Bankit: COBIT5® per pianificare ed implementare Il 2 luglio 2013 Banca d’Italia ha emanato in via definitiva il 15° aggiornamento della Circolare n. 263 del 26 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” in materia di controlli interni, sistema informativo e continuità operativa delle banche e dei gruppi bancari. Il Framework COBIT5® ha le caratteristiche che ne suggeriscono l’utilizzo sia per pianificare che per implementare le attività legate alle nuove disposizioni: • fornire una guida autorevole ed universalmente accettata per la valutazione della reale capacità dei processi, l’individuazione delle carenze (gap) e l’implementazione delle eventuali azioni correttive; • dare uno schema di riferimento generalizzato, allineato con i principali standards, in grado di fornire una semplice architettura che porti alla realizzazione di soluzioni coerenti ed integrate (contrapposte ad un approccio che preveda varie iniziative scollegate), evitando disallineamenti e duplicazioni anche rispetto ad altre iniziative non direttamente collegate alla direttiva; • provvedere, per quanto riguarda l’IT, una guida alla comprensione ed implementazione delle funzioni di Governance a Management richieste da BI. In quest’ambito AIEA ha sviluppato un approccio metodologico originale di COBIT5® Implementation, estendibile a problematiche analoghe, mettendo anche a punto alcuni strumenti di lavoro. L’intervento riprende i concetti della precedente sessione di studio e fornisce ulteriori approfondimenti / spunti / aggiornamenti sul tema. Verranno quindi presentati: • Metodologia in generale • Sintesi dei risultati della ricerca • Considerazioni sui requisiti minimi per l’adozione della metodologia (conoscenze e tempi) e delle iniziative di AIEA rivolte a soddisfarli (Formazione, Workshop tematici, traduzioni di manuali) • Ultimi aggiornamenti sul tema. Pasquale Vinci (KPMG) ♦ ERP Operational Security: un nuovo approccio per governare la sicurezza dei dati gestiti

negli ERP Quando si parla di sicurezza degli ERP ci si concentra spesso sulla sicurezza sui privilegi di accesso orientata prevalentemente alle analisi delle autorizzazioni utenti con lo scopo di rilevare e di ridurre i privilegi incompatibili con le mansioni organizzative e che potrebbero causare frodi aziendali. La sicurezza dell’infrastruttura a supporto del sistema ERP (sistemi operativi, database, etc.) è in capo agli architetti di sistema che si limitano a mantenere il sistema attivo e ad applicare soluzioni naif. I sistemi ERP sono solitamente esclusi da interventi di valutazione della sicurezza: paura di interrompere il servizio e mancanza di conoscenza impedisce ai responsabili di sicurezza di testare questa infrastruttura "Mission Critical". La conseguenza è che molte implementazioni di ERP non sono sicure e risultano continuamente esposte a diversi tipi di attacchi. Si tende dunque a proteggersi perlopiù da dipendenti interni piuttosto che da possibili intrusi esterni. Nasce quindi l’idea di messa in sicurezza dell’infrastruttura tecnologica a supporto dell’ERP, la quale si propone di identificare, controllare e proteggere informazioni non classificate mettendo in atto misure (passive e/o attive) con lo scopo di eliminare o ridurre tracce di informazioni ad un

Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

potenziale nemico. L’intervento illustra un approccio tecnico metodologico per consentire lo svolgimento di una puntuale valutazione della sicurezza infrastrutturale dei sistemi ERP, e per gestire e monitorare nel tempo il livello di protezione dei dati in essi gestiti. Alfredo Gallistru, Chiara Gregis (PwC) ♦ COSO e Cobit5, è ancora possibile un approccio integrato? Le linee guida dettate dal COSO (Committee of Sponsoring Organizations of the Treadway Commission) e dal COBIT sono state storicamente utilizzate in modo complementare per la definizione del sistema di controllo interno, anche precedentemente all’emanazione del Sarbanes-Oxley Act del 2002. A seguito delle rispettive evoluzioni avvenute nel corso degli ultimi anni, i due framework sono ancora compatibili e complementari? ISACA ha recentemente sviluppato un white paper dal titolo “Relating the COSO Internal Control – Integrated Framework and COBIT” in cui illustra come il modello proposto dal Cobit5 si riconduce al nuovo COSO framework.

Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

Relatori Fabrizio Bulgarelli (Mazars) Svolge da oltre 25 anni attività in ambito Information Technology con interventi di audit e compliance dei sistemi informativi presso importanti Società del settore bancario, industriale, finanziario e della pubblica amministrazione. Applica i principi e le tecniche di auditing previsti dagli standard internazionali quali COBIT, ISO e ITIL. E’ responsabile del team IT Audit e Compliance presso Mazars SpA. E’ Consigliere Direttivo di AIEA (Associazione Italiana Information Systems Auditors) ISACA Milan Chapter. E’ certificato COBIT 5 Foundation, Sicurezza Informatica ISO27001, Continuità Operativa ISO22301 e Privacy Officer ISO17024, che applica costantemente durante tutte le sue attività. Presidia e coordina i progetti per la Continuità Operativa (art. 50bis del CAD) nelle Pubbliche Amministrazione dell’Alto Adige, in collaborazione con Agenzia per l’Italia Digitale (ex Cnipa/DigitPA). Alberto Piamonte Laureato nell’Università di Padova in Ingegneria Elettronica, si occupa attualmente dello sviluppo di strumenti automatizzati e metodologie per l’analisi e gestione dei rischi, la certificazione conformità e la realizzazione di efficaci ed efficienti sistemi di controllo e di governo. Oltre che svolgere in prima persona attività di consulenza, Consigliere AIEA con il ruolo di Research Director, si occupa attivamente dei problemi relativi al governo dei sistemi IT tenendo frequenti corsi e seminari su metodologie quali COBIT, ITIL e ISO27001 ed alla sensibilizzazione e diffusione delle relative tematiche. Inizia la sua carriera come ricercatore IBM con permanenza più che decennale nei laboratori di ricerca e sviluppo (USA, Germania, Svezia ed Italia) occupandosi principalmente di comunicazioni (SNA) e relativi problemi di sicurezza. Successivamente, come Direttore Responsabile del Marketing Olivetti per le Pubbliche Amministrazioni, è stato coinvolti nella gestione e realizzazione di grandi progetti Più recentemente come Direttore Software Europa di Amdahl Corporation si è occupato delle problematiche di gestione e sicurezza di grandi reti di utenti. Natale Prampolini Laureato in Ingegneria Meccanica, dal 1977 nel settore dell’ICT. Attualmente consulente senior di aziende dei settori Finance, Telco, Sanità, PA e Manifatturiero. Ha conseguito numerose certificazioni, tra cui: Lead Auditor ISO27001:2013, Auditor ISO 20000, CISA, CISM, CobiT5, ITIL v.3, ISO20000, CMMI Dev 1.2 Appraiser, Lead Auditpr ISO22301. Le esperienze pregresse comprendono posizioni di responsabilità in primarie aziende del settore, come Sun Microsystems, ITS e Olivetti. Impegnato dall'inizio della suo percorso lavorativo sui temi emergenti nel settore ICT, ha sempre cercato di coniugare la tecnologia con la fattibilità e gli aspetti di business. Le conoscenze comprendono strategie per le architetture dei sistemi informativi, progettazione di infrastrutture tecnologiche, politiche di sicurezza, Governance, Risk & Compliance, metodologie di sviluppo di qualità e valutazione delle prestazioni. Socio AIEA dal 2002, Proboviro nel triennio 2009-2012 e 2012-2015

Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

Pasquale Vinci (KPMG) Project Leader presso la divisione IT Advisory di KPMG, si occupa di sicurezza informatica da oltre 8 anni. Ha conseguito la certificazione CISA, CISSP e OPST. Ha maturato esperienze significative in progetti complessi nelle seguenti aree di intervento: IT Governance Risk & Compliance, Information System Audit, Segregation of Duties, Controllo Accessi con particolare attenzione al ruolo dell'infrastrutura applicativa di sistemi ERP. Attualmente è coinvolto in progetti inerenti l’audit di sistemi informativi, l’implementazione di controlli di sicurezza logica di sistemi ERP complessi al fine di migliorare le corrette impostazioni secondo best practice di settore e lo sviluppo di software per l’identificazione automatica di frodi informatiche. Alfredo Gallistru (PwC) Socio di PwC responsabile del Gruppo IT Risk Assurance, ha iniziato nel 1991 a maturare una significativa esperienza professionale in attività di implementazione, valutazione e validazione del sistema di controllo interno, progetti di implementazione di processi di IT Governance con l’utilizzo dei framework internazionali di riferimento COBIT e Val IT, progettazione, esecuzione e valutazione dei risultati delle procedure automatiche di revisione (CAAT), implementazione, valutazione e validazione dei controlli generali IT e dei controlli automatici. Socio AIEA dal 2001, fa parte del Consiglio Direttivo, nel quale attualmente ricopre il ruolo di Vice Presidente. E’ certificato CISA, CISM, CGEIT, CIA, ISO27001 Lead Auditor. Chiara Gregis (PwC) Laureata in Ingegneria Gestionale al Politecnico di Torino, nel 2006 inizia il proprio percorso professionale in PwC nella practice Systems & Process Assurance. Attualmente è Manager nel gruppo Risk Assurance e si occupa principalmente di tematiche gestione del rischio, sistemi di controllo interno e di compliance. Diventa socia AIEA nel 2007 e dal 2013 collabora attivamente con l’associazione partecipando come istruttore al corso di preparazione all’esame CISA. E’ certificata CISA e ISO27001 Lead Auditor.

20141 Milano V

14.00 Re

14.15 Ap

14.30 Fa15

15.30 PaERge

16.30 Co

16.45 AlCO

17.45 Di

18.15 Te

AVia Valla, 16 Tel

egistrazione

pertura dei labrizio Bulg5° aggiorna

asquale VinRP Operatioestiti negli Eoffee Break

lfredo GalliOSO e Cobit

ibattito con

ermine dei l

Associaziol. +39/02/8474236

e dei parteci

lavori garelli (Ma

amento Circ

nci (KPMGonal SecurERP k

istru, Chiat5, è ancora

i relatori

avori

G

one Italian65 Fax. +39/02/

PRO

panti

azars), Albec. n. 263 Ba

G) rity: un nu

ra Gregis (a possibile

In col

GOLDE

SILVE

na Informa/84742366 E-ma

OGRAM

erto Piamoankit: COBI

uovo appro

(PwC) un approcc

laborazion

EN SPO

ER SPON

ation Systail: aiea@aiea.it

MMA

onte, NataleIT5® per pi

occio per g

cio integrat

ne con:

ONSOR

NSOR

ems Audit P.IVA 10899720

e Prampoliianificare ed

governare l

to?

R

tors 0154 C.F. 9710

ini d implemen

la sicurezz

9000154

ntare

za dei dati

i

Associazione Italiana Information Systems Auditors 20141 Milano Via Valla, 16 Tel. +39/02/84742365 Fax. +39/02/84742366 E-mail: aiea@aiea.it P.IVA 10899720154 C.F. 97109000154

Come arrivarci: Mezzi pubblici ( raccomandato)

Metropoli tana 1 , l inea rossa, fermata Lampugnano:

Uscit i dal la metropoli tana s i g ira a destra e s’ incontra subi to i l complesso che ospi ta l ’evento. L’ingresso è s i tuato tra i due palazzi

In Auto (sconsigl ia to)

Ingresso Milano Certosa, seguire indicazioni per Parcheggio Lampugnano MM1

Uscit i dal parcheggio s i trova la fermata del la metropol i tana sul la destra , s i prosegue dir i t to e s’ incontra subi to i l complesso che ospi ta l’evento. L’ ingresso è s i tuato tra i due palazz i