I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
Le linee guide, basate sulla normativa UNI EN ISO 19011, consentono di stabilire un modello di riferimento in rapporto al quale le aziende e le altre organizzazioni (grandi o piccole, del settore pubblico o privato, con o senza scopo di lucro) possano valutare i propri meccanismi di controllo interno e decedere come migliorarli.
Coerentemente agli atti ed alla normativa in materia sopra ricordate, il
controllo interno è finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
· efficacia ed efficienza delle attività operative;
· salvaguardia dei beni aziendali (patrimonio);
· attendibilità delle informazioni di bilancio;
· conformità alle leggi ed ai regolamenti in vigore.
Il processo di certificazione dei sistemi di gestioneFabio Rosito
Alberto Rencurosi ci presenta il processo connesso alla certificazione delle organizzazioni in merito ai sistemi di gestione, in particolare, sulla sicurezza delle informazioni.
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
Le linee guide, basate sulla normativa UNI EN ISO 19011, consentono di stabilire un modello di riferimento in rapporto al quale le aziende e le altre organizzazioni (grandi o piccole, del settore pubblico o privato, con o senza scopo di lucro) possano valutare i propri meccanismi di controllo interno e decedere come migliorarli.
Coerentemente agli atti ed alla normativa in materia sopra ricordate, il
controllo interno è finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:
· efficacia ed efficienza delle attività operative;
· salvaguardia dei beni aziendali (patrimonio);
· attendibilità delle informazioni di bilancio;
· conformità alle leggi ed ai regolamenti in vigore.
Il processo di certificazione dei sistemi di gestioneFabio Rosito
Alberto Rencurosi ci presenta il processo connesso alla certificazione delle organizzazioni in merito ai sistemi di gestione, in particolare, sulla sicurezza delle informazioni.
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Presentazione a supporto dell'intervento di Claudio Rosso, (Coordinatore del GL 03 “Misurazione della circolarità” della
UNI/CT 057) al webinar Standard circolari:i progetti UNI e ISO a supporto dell’economia circolare del 9 marzo 2021
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
INAIL e la cultura cybersecurity: dal DevSecOps alla tutela applicativa. Evento digitale a cura di Emerasoft e Sonatype trasmesso il 26 novembre online.
Presentazione a cura di INAIL: Adele Gambacorta, Responsabile Ufficio Supporto al processo di produzione e Certificazione, Direzione centrale per l’organizzazione digitale di INAIL.
Per rivedere l'evento: https://youtu.be/gCPK6iydIcE
Vuoi saperne di più? vai su www.sonatype.com o scrivi a sales@emerasoft.com per una consulenza personalizzata
Presentazione a supporto dell'intervento di Claudio Rosso, (Coordinatore del GL 03 “Misurazione della circolarità” della
UNI/CT 057) al webinar Standard circolari:i progetti UNI e ISO a supporto dell’economia circolare del 9 marzo 2021
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
INAIL e la cultura cybersecurity: dal DevSecOps alla tutela applicativa. Evento digitale a cura di Emerasoft e Sonatype trasmesso il 26 novembre online.
Presentazione a cura di INAIL: Adele Gambacorta, Responsabile Ufficio Supporto al processo di produzione e Certificazione, Direzione centrale per l’organizzazione digitale di INAIL.
Per rivedere l'evento: https://youtu.be/gCPK6iydIcE
Vuoi saperne di più? vai su www.sonatype.com o scrivi a sales@emerasoft.com per una consulenza personalizzata
Similar to Product assurance management e audit management (20)
I nuovi paradigmi delle tecnologie trasformano il modo in cui l’uomo si relaziona con la sua realtà, ma essendo esse stesse un prodotto dell’attività umana, non possono prescindere dalla cultura, dalla storia e dal background da cui hanno origine. Lo spirito è quello del superamento di limiti e prestazioni, intrecciando relazioni, a volte indissolubili, che portano gli enhancement-entusiasti a considerare l’individuo finalmente libero dalle pastoie di un organismo strutturalmente limitato e deficitario nel tempo.
Questo scenario origina un dibattito molto acceso: come valutare, quand’anche immaginare e prevedere, l’impatto delle tecnologie sull’uomo? Come l’utilizzo delle tecnologie, in modo consapevole o inconsapevole, o volutamente indiscriminato, vanno o potrebbero modificare l’attuale instabile stabilità umana? Si contrappongono due ideologie: la visione filosofica e un po’ religiosa dei bioconservatori, che ritengono gli interventi di enhancement dannosi al preservamento della vera essenza dell’uomo e quella dei transumanisti, per i quali le tecnologie possono incrementare le capacità umane ed aumentare le aspettative di una vita migliore, anche se differente dagli stereotipi della quotidianità.
La predizione è sempre stata affrontata sotto due aspetti. Il primo fa ricorso alle esperienze vissute e quindi si può dire che una cosa accadrà perché, se si conservano i presupposti, è sempre accaduto così. Il secondo pone le sue radici nell’incapacità dell’uomo di spiegarsi dei fenomeni, per cui si fa ricorso a qualcosa che trascende le sue conoscenze: la magia.
Possiamo sicuramente affermare che la mancanza di conoscenza da una parte, e la razionalità del Logos dall’altra, hanno rappresentato la spinta alla ricerca e alla scoperta di un futuro basato sempre più su scienze razionali quali la matematica, la statistica e la probabilità.
Mythos e Logos convergono nella soggettività e nell’interpretazione del nostro cervello, è così che a seguito delle importanti scoperte di inizio del XX secolo sulle funzioni e sull’anatomia del cervello umano, ci si comincia a chiedere se è possibile ottenere un “cervello meccanico”.
Cloud Computing fondamenti di sicurezzaMario Gentili
Cloud Computing fondamenti di sicurezza, la sicurezza nei modelli IaaS, PaaS e SaaS. La virtualizzazione, l'Intrusion Detection Service e la crittografia
1. ECSS – Product assurance management
e
audit condotto secondo la ISO 19011
Fonti ISO 19011 e ECSS-ST-Q series
2. ECSS-Q-ST-10C
Product assurance management requirements
ECSS-Q-ST-10-04C
Critical-item control
ECSS-Q-ST-10-09C
Nonconformance control system
L'individuazione
precoce di aspetti
potenzialmente
dannosi per la
sicurezza e il
successo della
missione e la
prevenzione
conveniente di
eventuali
conseguenze
negative di tali
aspetti sono i principi
di base per i requisiti
di garanzia del
prodotto dell'ECSS
5. Il piano …
ECSS-ST-Q-10ISO 19011
… di audit … di Product Assurance
Individua:
• il contesto (aree, prodotti, contratti,
etc.) oggetto di audit
• i requisiti da verificare (normativi,
contrattuali, procedurali, etc.)
• modalità interventi (attività da
eseguire e metodi strumenti
applicabili)
• timing degli interventi
Simile, in termini di contenuti al piano
audit della 19011, è redatto secondo
l’allegato A dello std che ne definisce
struttura e contenuti. La struttura del
piano ricalca le discipline del PA:
1. Quality assurance,
2. Dependability,
3. Safety,
4. EEE components,
5. Materials and processes,
6. Software,
7. Other requirements
6. Le registrazioni …
1. le registrazioni relative ai singoli audit ossia:
• i Piani di Audit
• i rapporti di audit
• i rapporti di non conformità
• i rapporti di azioni correttive
• i rapporti di azioni preventive
• i risultati dei riesami degli audit
2. le registrazioni relative al personale coinvolto
nell'audit riguardanti argomenti quali:
• la valutazione delle competenze e delle
prestazioni dell'auditor
• la composizione del gruppo di audit
• Il mantenimento ed il miglioramento delle
competenze
Simili alle registrazioni dell’audit 19011, sono più
strutturate. La struttura ricalca le discipline del PA:
1. Quality assurance,
2. Dependability,
3. Safety,
4. EEE components,
5. Materials and processes,
6. Software,
7. Other requirements
Molto più stringente della 19011, ECSS
fornisce precise specifiche per la
conduzione e registrazione dei critical
item (ECSS.ST-Q-10-04) ed il trattamento
delle non conformità (ECSS.ST-Q-10-09)
ECSS-ST-Q-10ISO 19011
… di audit … di Product Assurance
7. ECSS-ST-Q-10-04 i
CRITICAL ITEMS (CI)
• Gli elementi critici sono
potenziali minacce alle
prestazioni, alla qualità,
all'affidabilità e alla sicurezza di
un sistema che sono controllati
da un piano d'azione specifico al
fine di mitigare i rischi emananti
e prevenire conseguenze
indesiderabili.
• La gestione dei CI ha evidenti
interfacce con la gestione dei
rischi.
12. ECSS-ST-Q-10-09 le
Non Conformità (NC)
LEGENDA
• NRC : non conformance
report
• NRB: non conformance
review board, noto anche come
MRB (material review board)
• PA: product assurance
• RFW: richiesta di rinuncia
(request for waiver)