Il Cloud Computing e la verifica delle politiche e procedure in collaborazione con AIEA Ated

Relatori

Natale Prampolini
CISA, CISM, Lead Auditor ISO 27001, Auditor ISO 20000, COBIT 3-4, ITIL v2, V3, CMMI Dev 1.2. Laurea in Ingegneria Meccanica, presso l'Università la Sapienza di Roma. Oltre 30 anni d'esperienza nel mercato dell'ICT, impegnato dall'inizio della suo percorso lavorativo sui temi emergenti nel settore ICT ha sempre cercato di coniugare la tecnologia con la fattibilità e gli aspetti di business.
Socio AIEA dal 2000 – Proboviro dal 2009.
Esperto di strategie per le architetture dei Sistemi Informativi, Governance, Risk e Compliance, metodologie e utilizzo di strumenti e standard quali CMMI, COBIT, ITIL, Coso e prodotti per l'analisi del rischio. Approfondite conoscenze sia su ambienti proprietari sia open.

Sandro Pedrazzini
Ingegnere in informatica al politecnico di Zurigo, professore SUPSI e cofondatore di Canoo. Da anni si occupa di progetti software, sia in ambito di ricerca applicata che in ambito di sviluppo commerciale. Con Canoo ha lavorato, e lavora tuttora, in architetture e sviluppo di applicazioni distribuite.

Piero Brunati
Oltre 30 anni di esperienza nel settore ICT. Consulenza e sviluppo sistemi informatici in particolare nel settore della Sicurezza IT per clienti di rilievo come Banche, Enti pubblici, Gruppi industriali, Società di consulenza primarie. Socio e Fondatore di tre aziende di sviluppo consulenza nel settore della Sicurezza ICT.
Ethical Hacker e Digital Forensics Analist. Membro di OISSSG (Open Information System Security Group, http://www.oissg.org )
Fondatore ed autore di ISSAF, metodologia pubblica di Penetration Testing(http://www.oissg.org/wiki/index.php?title=TEAM ).

Andrea Pasquinucci (PhD CISA CISSP) è un consulente freelance in sicurezza informatica. Si occupa prevalentemente di progetti di sicurezza ICT, governance, compliance, audit, consulenza e formazione ICT per il management ed il personale tecnico. In particolare è esperto di sicurezza delle reti, delle applicazioni web, dei sistemi operativi e di crittografia. Nel passato ha svolto per 10 anni la carriera di ricercatore/docente universitario prevalentemente all'estero. E' autore di più di 100 articoli scientifici e divulgativi pubblicati su riviste internazionali e nazionali. Svolge attività didattica presso Università ed Aziende. E' socio AIEA ed ISACA, è socio fondatore ed è stato membro del Comitato Direttivo di AIPSI, è socio IEEE, è stato membro del Comitato Direttivo e del Comitato Tecnico Scientifico CLUSIT.

Politiche e procedure di sicurezza: come misurarle?

Dalle nostre parti il termine Controllo non piace, Key Performance Indicator è troppo inglese, ma se non abbiamo dei riscontri e delle verifiche come facciamo a sapere se noi tutte le pagine di norme e metodi di comportamento che abbiamo scritto sono utili e utilizzate? Questa presentazione vuole dare qualche esempio, molto pragmatico e già sperimentato, di verifica su politiche e procedure. Le policy possono sortire l'effetto contrario di quello voluto: fatta la legge, trovato l'inganno. Saranno analizzate una serie di procedure di sicurezza da verificare e ad esempio sarà approfondito il caso della gestione e qualità delle credenziali di accesso degli utenti:

l'effetto delle policy sulle abitudini degli utenti;
l'errata considerazione dell'entropia: non bisogna considerare la casualità della password ma la casualità dei tentativi per scoprirla;
moderne metodologie di attacco: dalle Markov chains ai generatori di regole.

Trasparenza sulle nuvole

Più che di novità tecnica, quando si parla di Cloud Computing bisogna pensare a un cambio di paradigma, dato dall’approccio diverso richiesto all’utente nei confronti di infrastrutture e applicazioni.

In questa presentazione verranno date alcune definizioni di Cloud Computing, verranno trattati i vari livelli e mostrato l’aspetto essenziale di “servizio” associato al cloud.

L’autore condividerà inoltre alcune esperienze vissute attraverso lo sviluppo di applicazioni SaaS.

Continuando a Navigare sulle "Nuvole"...

Il Cloud Computing non è più una novità ne è una moda: è un approccio all'ICT che viene da lontano ed andrà lontano. Quindi oltre a sfruttarne le opportunità, è necessario capirne i rischi ed i limiti per evitaredi "Cadere dalle Nuvole" al momento sbagliato. In questa presentazione valuteremo alcuni scenari con associati rischi dell'utilizzo delle "Nuvole" cercando di dare uno sguardo anche al prossimo futuro.

Programma

14.00 - 14.15	Registrazione
14.15 - 14.20	Benvenuto e introduzione
14.20 - 15.00	Politiche e procedure di sicurezza: come misurarle?
15.00 - 15.40	Trasparenza sulle nuvole
15.40 - 16.00	Pausa con rinfresco
16.00 - 16.40	Navigando sulle “nuvole”…
16.40 - 17.00	Domande e discussione con i relatori
17.00	Chiusura