Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
ISO 27001, the international standard for information security management
‘’ "ISO 27001" (or ISO/IEC 27001:2013, "Information Security Management Systems") is a standard that provides a good practical framework for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an ISMS. The key purpose of the ISMS is to bring information risk and security under management control.’’
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
ISO 27001, the international standard for information security management
‘’ "ISO 27001" (or ISO/IEC 27001:2013, "Information Security Management Systems") is a standard that provides a good practical framework for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an ISMS. The key purpose of the ISMS is to bring information risk and security under management control.’’
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
ISO/IEC 27001 is the main standard that aims to enhance an organization’s information security.
Amongst others, the webinar covers:
• ISO/IEC 27001 & ISO/IEC 27002, catching up with history
• Quick recap on the ISO/IEC 27002:2022
• From ISO/IEC 27002 to the ISO/IEC 27001 updates
• Some considerations & consequences of the update
• What's up next with ISO/IEC 27001, in practice?
Presenters:
Peter Geelen
Peter Geelen is the director and managing consultant at CyberMinute and Owner of Quest for Security, Belgium. Over more than 20 years, Peter has built strong experience in enterprise security & architecture, Identity & Access management, but also privacy, information & data protection, cyber- and cloud security. Last few years, the focus is on ISO/IEC 27001 and other ISO certification mechanisms. Peter is accredited Lead Auditor for ISO/IEC 27001, ISO 9001, PECB Trainer and Fellow in Privacy. Committed to continuous learning, Peter holds renowned security certificates as certified ISO/IEC 27701 lead implementer and lead auditor, ISO/IEC 27001 Master, Sr. Lead Cybersecurity Manager, ISO/IEC 27002 lead manager, ISO/IEC 27701 Lead Implementer, cDPO, Risk management, Lead Incident Mgr., Disaster Recovery, and many more.
Stefan Mathuvis
Stefan Mathuvis, is owner & senior consultant at Quality Management & Auditing BV, Zonhoven, Belgium. With over 20 years of experience, Stefan built strong experience in quality management systems, Information Security management systems, GDPR, data privacy & data protection. Stefan is accredited ISO/IEC 27001 Lead Auditor and operates as a third party auditor for DQS Belgium. Dividing his time between consultancy, training & third party auditing on an international scale, Stefan remains in touch with the issues of today allowing him to assist clients in their needs for Information Security and Data Privacy.
Date: November 9, 2022
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/isoiec-270022022--information-security-cybersecurity-and-privacy-protection
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
https://pecb.com/article/investing-in-information-security-awareness
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
Improve Cybersecurity posture by using ISO/IEC 27032PECB
Cybersecurity is a universal concern across today’s enterprise and the need for strategic approach is required for appropriate mitigation.
Adopting ISO 27032 will help to:
• Understanding the nature of Cyberspace and Cybersecurity
• Explore Cybersecurity Ecosystem – Roles & Responsibilities
• Achieve Cyber Resilience through implementing defensive and detective cybersecurity controls
Presenter:
Obadare Peter Adewale is a first generation and visionary cyberpreneur. He is a PECB certified Trainer, Fellow Chartered Information Technology Professional, the First Licensed Penetration Tester in Nigeria, second COBIT 5 Assessor in Africa and PCI DSS QSA. He is also an alumnus of Harvard Business School and MIT Sloan School of Management Executive Education.
Link of the recorded session published on YouTube: https://youtu.be/NX5RMGOcyBM
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
ISO 27017 /27018 is the first international code of practice that focuses on protection of personal data in the cloud. It is based on ISO information security standard 27002 and provides implementation guidance on ISO 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Discover:
• Background of ISO 27017 and 27018
• Scope and Purpose
• Comparison with ISO 27001 and 27002
• Future of ISO 27017 with ISO 27018
• Challenges and Benefits
• Certification Process and Next Steps
Just created a slideshare presentation giving a basic introduction to ISO27001 and its Scope, Implementation & Application. You can see more slideshows on http://www.slideshare.net/ImranahmedIT or visit my website: http://imran-ahmed.co.uk
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
New data protection regulations have significantly impacted the way that businesses collect, store, and handle clients’ personal information.
Considering the continuously increasing importance of data protection and privacy in today’s world, businesses should be up to speed with their data privacy policies and procedures.
The webinar covers:
1. ISO/IEC 27001 – Information Security Framework Key requirements under CCPA, CPRA, GDPR
• ISO/IEC 27005 – Information Security Risk Management
• ISO/IEC 27035 – Information Security Incident Management
• ISO/IEC 22301 & 27031 - Business Continuity Management (BCM)
2. Alternative Frameworks
• CMMC - Cybersecurity Maturity Model Certification
• NIST CSF Cybersecurity Framework
• ISO/IEC 27032 – Guidelines for Cybersecurity
3. Supplier Management
Date: April 21, 2021
Recorded Webinar: https://youtu.be/bi3tvvhGV1s
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Iso iec 27001 foundation training course by interpromMart Rovers
What is involved with the ISO/IEC 27001 Foundation certification training course? Learn about the course curriculum, target audience, duration, formats, exam, fees and much more.
ISO 27001:2013 is the international standard that provides a framework for Information Security Management Systems (ISMS) to provide continued confidentiality, integrity and availability of information as well as legal compliance.
ISO 27001 certification is essential for protecting your most vital assets like employee and client information, brand image and other private information. The ISO standard includes a process-based approach to initiating, implementing, operating and maintaining your ISMS.
This implementation guide will help you run through the benefits, PDCA Cycle and Annex SL structure in detail for implementing ISO 27001.
Find out more or get a quote for certification here – https://www.nqa.com/en-gb/certification/standards/iso-27001
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ControlCase Discussed:
•What is ISO 27001
•How can companies get ready for ISO 27701 privacy standard
•What is the certification process to ISO 27701
•Common challenges
I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
Le linee guide, basate sulla normativa UNI EN ISO 19011, consentono di stabilire un modello di riferimento in rapporto al quale le aziende e le altre organizzazioni (grandi o piccole, del settore pubblico o privato, con o senza scopo di lucro) possano valutare i propri meccanismi di controllo interno e decedere come migliorarli.
Coerentemente agli atti ed alla normativa in materia sopra ricordate, il
controllo interno è finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
· efficacia ed efficienza delle attività operative;
· salvaguardia dei beni aziendali (patrimonio);
· attendibilità delle informazioni di bilancio;
· conformità alle leggi ed ai regolamenti in vigore.
ISO/IEC 27001 is the main standard that aims to enhance an organization’s information security.
Amongst others, the webinar covers:
• ISO/IEC 27001 & ISO/IEC 27002, catching up with history
• Quick recap on the ISO/IEC 27002:2022
• From ISO/IEC 27002 to the ISO/IEC 27001 updates
• Some considerations & consequences of the update
• What's up next with ISO/IEC 27001, in practice?
Presenters:
Peter Geelen
Peter Geelen is the director and managing consultant at CyberMinute and Owner of Quest for Security, Belgium. Over more than 20 years, Peter has built strong experience in enterprise security & architecture, Identity & Access management, but also privacy, information & data protection, cyber- and cloud security. Last few years, the focus is on ISO/IEC 27001 and other ISO certification mechanisms. Peter is accredited Lead Auditor for ISO/IEC 27001, ISO 9001, PECB Trainer and Fellow in Privacy. Committed to continuous learning, Peter holds renowned security certificates as certified ISO/IEC 27701 lead implementer and lead auditor, ISO/IEC 27001 Master, Sr. Lead Cybersecurity Manager, ISO/IEC 27002 lead manager, ISO/IEC 27701 Lead Implementer, cDPO, Risk management, Lead Incident Mgr., Disaster Recovery, and many more.
Stefan Mathuvis
Stefan Mathuvis, is owner & senior consultant at Quality Management & Auditing BV, Zonhoven, Belgium. With over 20 years of experience, Stefan built strong experience in quality management systems, Information Security management systems, GDPR, data privacy & data protection. Stefan is accredited ISO/IEC 27001 Lead Auditor and operates as a third party auditor for DQS Belgium. Dividing his time between consultancy, training & third party auditing on an international scale, Stefan remains in touch with the issues of today allowing him to assist clients in their needs for Information Security and Data Privacy.
Date: November 9, 2022
-------------------------------------------------------------------------------
Find out more about ISO training and certification services
Training: https://pecb.com/whitepaper/isoiec-270022022--information-security-cybersecurity-and-privacy-protection
https://pecb.com/article/isoiec-27001---what-are-the-main-changes-in-2022
https://pecb.com/article/investing-in-information-security-awareness
Webinars: https://pecb.com/webinars
Article: https://pecb.com/article
Whitepaper: https://pecb.com/whitepaper
-------------------------------------------------------------------------------
For more information about PECB:
Website: https://pecb.com/
LinkedIn: https://www.linkedin.com/company/pecb/
Facebook: https://www.facebook.com/PECBInternational/
Slideshare: http://www.slideshare.net/PECBCERTIFICATION
Improve Cybersecurity posture by using ISO/IEC 27032PECB
Cybersecurity is a universal concern across today’s enterprise and the need for strategic approach is required for appropriate mitigation.
Adopting ISO 27032 will help to:
• Understanding the nature of Cyberspace and Cybersecurity
• Explore Cybersecurity Ecosystem – Roles & Responsibilities
• Achieve Cyber Resilience through implementing defensive and detective cybersecurity controls
Presenter:
Obadare Peter Adewale is a first generation and visionary cyberpreneur. He is a PECB certified Trainer, Fellow Chartered Information Technology Professional, the First Licensed Penetration Tester in Nigeria, second COBIT 5 Assessor in Africa and PCI DSS QSA. He is also an alumnus of Harvard Business School and MIT Sloan School of Management Executive Education.
Link of the recorded session published on YouTube: https://youtu.be/NX5RMGOcyBM
[To download this complete presentation, visit:
https://www.oeconsulting.com.sg/training-presentations]
ISO/IEC 27001:2022 is the latest internationally-recognised standard for Information Security Management Systems (ISMS). An ISMS is a systematic approach to managing sensitive company information so that it remains secure. It provides a robust framework to protect information that can be adapted to all types and sizes of organization. Organizations that have significant exposure to information-security related risks are increasingly choosing to implement an ISMS that complies with ISO/IEC 27001.
This ISMS awareness PPT presentation material is designed for organizations who are embarking on ISO/IEC 27001:2022 implementation and need to create awareness of information security among its employees.
LEARNING OBJECTIVES
1. Acquire knowledge on the fundamentals of information security
2. Describe the ISO/IEC 27001:2022 structure
3. Understand the ISO/ IEC 27001:2022 implementation and certification process
4. Gather useful tips on handling an audit session
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
ISO 27017 /27018 is the first international code of practice that focuses on protection of personal data in the cloud. It is based on ISO information security standard 27002 and provides implementation guidance on ISO 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Discover:
• Background of ISO 27017 and 27018
• Scope and Purpose
• Comparison with ISO 27001 and 27002
• Future of ISO 27017 with ISO 27018
• Challenges and Benefits
• Certification Process and Next Steps
Just created a slideshare presentation giving a basic introduction to ISO27001 and its Scope, Implementation & Application. You can see more slideshows on http://www.slideshare.net/ImranahmedIT or visit my website: http://imran-ahmed.co.uk
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
New data protection regulations have significantly impacted the way that businesses collect, store, and handle clients’ personal information.
Considering the continuously increasing importance of data protection and privacy in today’s world, businesses should be up to speed with their data privacy policies and procedures.
The webinar covers:
1. ISO/IEC 27001 – Information Security Framework Key requirements under CCPA, CPRA, GDPR
• ISO/IEC 27005 – Information Security Risk Management
• ISO/IEC 27035 – Information Security Incident Management
• ISO/IEC 22301 & 27031 - Business Continuity Management (BCM)
2. Alternative Frameworks
• CMMC - Cybersecurity Maturity Model Certification
• NIST CSF Cybersecurity Framework
• ISO/IEC 27032 – Guidelines for Cybersecurity
3. Supplier Management
Date: April 21, 2021
Recorded Webinar: https://youtu.be/bi3tvvhGV1s
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
Iso iec 27001 foundation training course by interpromMart Rovers
What is involved with the ISO/IEC 27001 Foundation certification training course? Learn about the course curriculum, target audience, duration, formats, exam, fees and much more.
ISO 27001:2013 is the international standard that provides a framework for Information Security Management Systems (ISMS) to provide continued confidentiality, integrity and availability of information as well as legal compliance.
ISO 27001 certification is essential for protecting your most vital assets like employee and client information, brand image and other private information. The ISO standard includes a process-based approach to initiating, implementing, operating and maintaining your ISMS.
This implementation guide will help you run through the benefits, PDCA Cycle and Annex SL structure in detail for implementing ISO 27001.
Find out more or get a quote for certification here – https://www.nqa.com/en-gb/certification/standards/iso-27001
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ControlCase Discussed:
•What is ISO 27001
•How can companies get ready for ISO 27701 privacy standard
•What is the certification process to ISO 27701
•Common challenges
I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
Le linee guide, basate sulla normativa UNI EN ISO 19011, consentono di stabilire un modello di riferimento in rapporto al quale le aziende e le altre organizzazioni (grandi o piccole, del settore pubblico o privato, con o senza scopo di lucro) possano valutare i propri meccanismi di controllo interno e decedere come migliorarli.
Coerentemente agli atti ed alla normativa in materia sopra ricordate, il
controllo interno è finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
· efficacia ed efficienza delle attività operative;
· salvaguardia dei beni aziendali (patrimonio);
· attendibilità delle informazioni di bilancio;
· conformità alle leggi ed ai regolamenti in vigore.
Il processo di certificazione dei sistemi di gestioneFabio Rosito
Alberto Rencurosi ci presenta il processo connesso alla certificazione delle organizzazioni in merito ai sistemi di gestione, in particolare, sulla sicurezza delle informazioni.
Intervento relativo alla fase di Continual Service Improvement tenuto all'interno del tutorial organizzato da itSMF Italia relativo alla nuova versione di ITIL (26/11/2011)
Intervento di Giovanna Raffaella Stumpo, Studio Legale Stumpo di Milano, presso l'Ordine degli Avvocati di Milano - 30/10/2014, Fondazione Ambrosianeum, Milano
Intervento di Alessandra Damiani, Managing Partner dello Studio Barbieri & Associati Dottori Commercialisti di Bologna, in occasione dell giornate organizzate da ACEF Associazione Culturale Economia e Finanza realizzate in collaborazione con gli Ordini territoriali dei Dottori Commercialisti e degli Esperti Contabili e degli Avvocati, per la sensibilizzazione ai temi dell'Organizzazione, della Tecnologia e della Comunicazione per lo Studio Pro fessionale.
Intervento di Alessandra Damiani, Managing Partner dello Studio Barbieri & Associati, Presidente della Commissione "Organizzazione e Gestione Studi" dell'ODCEC di Bologna e COnsulente per l'Organizzazione degli Studi professionali.
Similar to Audit ISO 19011:2011 e ISO 27001:2013 (20)
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Si è tenuto, il 26 Ottobre 2015, presso il Liceo Scientifico di Ceccano (FR), l’evento dedicato al “Mese Europeo sulla Sicurezza Informatica”. La manifestazione è stata organizzata dall’Agenzia Europea per la Sicurezza delle Reti e dell'Informazione ENISA e promossa in Italia dall’Associazione Italiana per la Sicurezza Informatica CLUSIT. Il sodalizio è nato per promuovere tra i cittadini e le aziende la conoscenza dei rischi informatici più frequenti al fine di sensibilizzare gli utenti ad una adeguata consapevolezza dell’utilizzo delle nuove tecnologie.
Il relatore Sylvio Verrecchia, esperto di information security, digital forensics e privacy e membro del Comitato Tecnico Scientifico del Clusit, ha presentato l’iniziativa dell’Agenzia Europea ed il rapporto Clusit 2015 sulla sicurezza ICT in Italia. L'esperto ha approfondito temi riguardanti la sicurezza dei dispositivi mobili e l’utilizzo efficace e sicuro dei social networks e delle reti wifi. Durante l'incontro sono stati dati metodi e consigli sulla strategia da seguire per contrastare le minacce informatiche e i furti di identità.
Si è tenuto sabato 24 Ottobre, presso la Facoltà di Ingegneria dell’Università di Cassino, il Linux Day 2015, la giornata nazionale in favore della diffusione del software libero e del sistema operativo linux. Ottobre è anche il "Mese Europeo della Sicurezza Informatica"e questa iniziativa è organizzata dall’Agenzia Europea per la Sicurezza delle Reti e dell'Informazione ENISA e supportata in Italia dall’Associazione Italiana per la Sicurezza Informatica CLUSIT. Il sodalizio è nato per promuovere tra i cittadini e le aziende la conoscenza dei rischi informatici, sensibilizzando gli utenti ad una adeguata consapevolezza dell’utilizzo delle nuove tecnologie.
Tra gli interventi, il relatore Sylvio Verrecchia, esperto di information security, digital forensics e privacy e membro del Comitato Tecnico Scientifico del Clusit, ha presentato l’iniziativa dell’Agenzia Europea ed il rapporto Clusit 2015 sulla sicurezza ICT in Italia.
Egli ha affrontato il tema della sicurezza dei siti web della pubblica amministrazione, con particolare attenzione a quelli creati con i CMS (Content Management System) open source. Ha descritto alcuni casi reali di attacchi di tipo defacement. Visto che i dati pubblicati sui siti sono dei cittadini, essi devono essere tutelati con adeguati sistemi di protezione.
Altri temi hanno riguardato la sicurezza dei dispositivi mobili e l’utilizzo efficace e sicuro dei social networks. Durante l'incontro sono stati dati metodi e consigli sulla strategia da seguire per contrastare le minacce informatiche e i furti di identità.
Il progetto Video Clusit consiste nella raccolta di video didattici, formativi ed informativi su temi riguardante la sicurezza informatica, in modo da favorire l’utilizzo consapevole delle nuove tecnologie informatiche.
Visitando il sito www.clusit.it
entriamo nell’area dedicata dove sono raccolti i filmati suddivisi in sezioni:
“Pillole di Sicurezza” , “Security Summit” , “Aziende Socie” e “Atri Video” .
Nella sezione “Pillole di Sicurezza” ci sono i video realizzati dai soci Clusit.
Questi filmati sono accessibili sia direttamente sulla piattaforma YouTube che attraverso il sito http://video.clusit.it . Lo scopo è di pubblicare materiale originale con sigla di apertura e di chiusura Clusit. Essendo delle pillole, i video dovranno avere una durata breve, per cui si consiglia, se l’argomento trattato risultasse lungo e corposo, di suddividere il filmato in due o più parti.
La sezione “Security Summit” contiene le riprese e le interviste realizzate nelle varie edizioni del Security Summit.
Nella Sezione “Video delle Aziende Socie”, i soci possono disporre di una propria pagina raggiungibile attraverso un'icona con il logo aziendale, dove troviamo i filmati ed il link relativo al loro canale video. I video potranno contenere anche informazioni su loro strumenti, servizi e prodotti.
E poi ci sono gli "Altri Video", in cui chiunque, anche non socio, può segnalare i filmati
reperiti in internet riguardante il tema della sicurezza informatica. Essi non dovranno contenere pubblicità. I problemi trattati sono tanti e spaziano dalla Privacy al furto di identità, dal phishing alla videosorveglianza e cosi via.
Visto che il Video Clusit è un Progetto Aperto,
ringrazio tutti i Soci che vorranno partecipare.
2. 2
Sylvio Verrecchia – IT Security Engineer
https://www.linkedin.com/in/sylvioverrecchia/
sylvio.verrecchia@peritoinformatico.it
3. 3
Atto mediante il quale una terza parte indipendente
dichiara che, con ragionevole attendibilità,
un determinato prodotto, processo o servizio
è conforme ad una specifica norma
o ad altro documento normativo
Certificazione
4. 4
fornisce le linee guida sugli audit di sistemi di gestione
(Rappresenta lo strumento di lavoro per gli auditor)
ISO 19011:2012
5. 5
Processo sistematico, indipendente e documentato
per ottenere evidenze dell’audit e valutarle con obiettività,
al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti.
Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni,
che sono pertinenti ai criteri dell’audit e verificabili.
Criteri dell’audit: insieme di politiche, procedure o requisiti.
Cosa è un Audit?
6. 6
• Valutare il grado di conformità del sistema ai requisiti di riferimento.
• Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti.
• Valutare se i criteri dell’audit sono stati soddisfatti.
Lo scopo dell’Audit
7. 7
Tipologie di Audit
AUDIT
AUDIT INTERNO AUDIT ESTERNO
RUOLO 1° PARTE 2° PARTE 3° PARTE
Committente
Organizzazione Cliente Ente Certificatore
(che richiede l'audit)
Valutando
se stessa Fornitore Azienda
(chi verificare)
Valutatore
Personale qualificato per eseguire l'audit
Effettuato
8. 8
Programma di Audit terza parte
Stage 1 1° Anno 2° Anno scadenzaStage 2
Riesame
documentazione
Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
9. 9
Struttura ISO 19011:2012
1 SCOPO E CAMPO DI APPLICAZIONE
(SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301)
2 RIFERIMENTI NORMATIVI
3 TERMINI E DEFINIZIONI
4 PRINCIPI DELL’ATTIVITÀ DI AUDIT
5 GESTIONE D UN PROGRAMMA DI AUDIT
(obiettivi del programma e coordinamento attività di audit)
6 SVOLGIMENTO DI UN AUDIT
(pianificazione e conduzione di un audit sui SG) > APP. B
7 COMPETENZA E VALUTAZONE DEGLI AUDITOR
(guida per la valutazione della competenza) > APP. A
APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER
SPECIFICHE DISCIPLINE
APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
10. 10
Svolgimento di un audit
6.1 Generalità
6.2 Avvio dell’audit (presa contatto, fattibilità audit)
6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano
audit, assegnazione compiti, preparazione documenti di lavoro)
6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e
responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni,
produzione risultanze, preparazione conclusioni, riunione chiusura)
6.5 Preparazione e distribuzione del rapporto di audit
6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate
ed il rapporto approvato e distribuito)
6.7 Conduzione di azioni conseguenti all’audit
(eventuali consigli per mettersi a norma
oppure azioni correttive e di miglioramento del SGSI)
11. 11
Raccolta di informazioni
Le fonti di informazioni possono variare con il campo dell’audit:
• Interviste con impiegati o altre persone;
• Osservazioni delle attività;
• Riesame dei documenti (politica, procedure, obiettivi, …);
• Registrazioni vari (resoconti riunioni, rapporto di audit,
ispezioni, risultati di misurazioni, …);
• Riassunti di dati, analisi ed indicatori di prestazioni;
• Solo le informazioni verificabili possono costituire
evidenze dell’audit ed essere registrate.
Fonti d’informazioni
Raccolta a campione
Evidenze
Valutazione rispetto ai criteri
Risultanze
Riesame
Conclusione
12. 12
• Sottoporre a verifiche la documentazione del SG del cliente;
• Riesaminare lo stato e comprensione del Cliente riguardo i requisiti
(processi, obiettivi e funzionamento del Sistema di Gestione);
• Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi,
gli aspetti legali;
• Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2;
• Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione
del SG fornisca l’evidenza che il Cliente è pronto per la fase 2.
Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione
sia adeguata agli obiettivi ed al campo dell’audit.
Le risultanze devono essere documentate e comunicate al Cliente.
Eventuale inadeguatezza potrebbe essere classificata, nella fase 2,
come una “NON CONFORMITA’”.
Il Responsabile del Gruppo di Audit potrebbe decidere
se continuare o sospendere l’audit fino a che le perplessità
sulla documentazione siano state risolte.
Stage 1
13. 13
Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente.
Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi:
• Informazioni ed evidenze circa la conformità dei requisiti;
• Valutazione dei rischi riferiti alla sicurezza delle informazioni;
• Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e
trattamento del rischio;
• Riesame delle prestazioni del SGSI e delle misure delle stesse;
• Verifiche interne dell’SGSI e riesame della direzione;
• Responsabilità (Risk Owner) e competenza del personale;
• La corrispondenza fra i Controlli applicabili ed applicati,
la Dichiarazione di Applicabilità (SOA), i risultati del processo
di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI.
Stage 2
14. 14
“L’informazione è una risorsa che, al pari di altri beni
che costituiscono il patrimonio di un’azienda,
rappresenta un valore per l’organizzazione e
necessita pertanto di essere adeguatamente protetto”
ISO/IEC 27002:2005
ISO 27001:2013
15. 15
• La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione
per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle
informazioni aziendali;
• Sono norme emesse dalla ISO (International Organisation for Standardization);
• Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e
dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà;
• Approccio ciclico (PDCA), rivolto al miglioramento continuo;
• Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione;
• Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello.
• Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni.
ISO 27001:2013
ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti )
ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni )
ISO/IEC 27005:2011 (Information Security Risk Management)
19. 19
Ciclo di Deming - PDCA
Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:
PLAN = la pianificazione, dire ciò che si fa;
DO = la realizzazione, fare ciò che si è detto;
CHECK = il controllo e la misurazione,
registrare ciò che si è fatto;
ACT = l’applicazione delle migliorie individuate,
verificare e mettere a sistema.
Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare
le nuove procedure.
21. 21
ISO 27001:2013 - Documenti
Richiesta la comprensione del contesto interno ed esterno dell’organizzazione,
nonché l’identificazione degli stakeholder e delle loro aspettative .
• Campo di applicazione
Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno;
Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata
e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità.
• Politica di sicurezza (Information Security Policy)
22. 22
ISO 27001:2013 - Documenti
Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità.
– Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e
associati alla perdita di riservatezza, integrità e disponibilità;
– Identificazione, analisi, valutazione e trattamento del rischio sono nel
planning perché contribuiscono alla pianificazione del sistema di gestione
per la sicurezza delle informazioni;
– Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati;
– Approvazione del rischio accettabile;
Si chiede di identificare i “risk owner”.
Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli).
Più dettagli su come stabilire gli obiettivi del sistema di gestione
(in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati).
• Metodologia Valutazione del rischio (Risk assessment process)
• Piano trattamento del rischio (Risk treatment process)
• Stato di applicabilità (SOA)
• Obiettivi di sicurezza (Security objectives)
23. 23
ISO 27001:2013 - Documenti
Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate.
- Maggiore rilievo alla preparazione ed alla consapevolezza del personale
(education, training, expertise)
- Più dettagli su come devono essere affrontate le comunicazioni
- Rimangono le modalità di gestione dei documenti
(available, suitable, updated, protected, external documents)
• Competenze del personale coinvolto (Evidence of competence)
Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi
necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2)
• Risultati valutazione del rischio (Risk assessment results)
• Risultati trattamento del rischio (Result of information security risk treatment )
24. 24
ISO 27001:2013 - Documenti
Tratta il:
– monitoraggio, misurazioni, analisi e valutazione delle perforrmances
– audit interni
– riesame di Direzione
• Attività di monitoraggio e misurazione (Evidence of monitoring and measurements)
• Attività audit interni (Evidence of audit programme and results)
• Riesame della direzione (Evidence of results of management reviews)
Riguarda: non conformità, azioni correttive e miglioramento continuo
• Gestione delle Non Conformità (Nature and actions resulting from NC)
• Gestione delle Azioni Correttive (Results of corrective actions)
26. 26
ISO 27001:2013 - Annex A
La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio,
divisi in famiglie:
• La politica e l'organizzazione per la sicurezza delle informazioni
• La sicurezza delle risorse umane
• La gestione dei beni
• Il controllo degli accessi fisici e logici
• La crittografia
• La sicurezza fisica e ambientale
• La sicurezza delle attività operative e delle comunicazioni
• Sicurezza dei sistemi informativi
• Relazioni con i fornitori
• La gestione del monitoraggio e trattamento degli incidenti
• La gestione della Business Continuity e il rispetto normativo
27. 27
Analisi del rischio ISO 27001:2013
Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla
sicurezza delle informazioni.
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
28. 28
Fornisce linee guida generali per la per la gestione del
rischio in una organizzazione, con particolare attenzione a
quelle che hanno realizzato un SGSI conforme ai requisiti
della 27001. Definisce gli step da seguire per una corretta
gestione del rischio inerente la sicurezza delle informazioni.
ISO 27005:2011
-Identificazione del Rischio
- individuazione degli assets da proteggere;
- minacce;
- vulnerabilità;
- impatti in termini di perdita di Riservatezza,
Integrità e Disponibilità delle informazioni.
- Valutazione del Rischio
- danni;
- probabilità;
- stima del livello dei rischi.
- Trattamento del Rischio
- accettare il rischio;
- ridurre il rischio utilizzando contromisure;
- trasferire il rischio;
- evitare il rischio.