Pubblicata la traduzione in italiano della metodologia internazionale di gestione dei rischi IT.

Pubblicata la traduzione in italiano della metodologia internazionale di gestione dei rischi IT (o Risk Management che dir si voglia).

Il 1° libro di Magerit (Metodologia per l'Analisi e la Gestione dei Rischi IT), liberamente scaricabile sul sito www.sgsi.net, costituisce un riferimento di assoluto interesse per la conduzione delle attività legate ai rischi IT, definendo un iter strutturato e completo ma soprattutto ampiamente collaudato.
In Spagna questa metodologia (ora giunta alla sua seconda versione) è infatti utilizzata dal 1997 in diversi ministeri e in Europa dalla NATO, mentre in Italia si sta diffondendo in modo costante dal 2006, assieme all'uso del software PILAR.

ISO - 38° meeting del sottocomitato 27 (SC27)

Il 38° meeting del sottocomitato 27 (SC27) si è aperto nella cornice della calda primavera pechinese. Il gruppo di lavoro 1 (WG1), orientato ai Sistemi per la Gestione della Sicurezza delle Informazioni continua a registrare un incremento di partecipazione costante, includendo ora oltre 30 delegazioni nazionali attive.

Fabio Guasconi, rappresentante della delegazione italiana in questo meeting, ci riporta le notizie fondamentali riguardo alle varie norme ai lavori.

Revisione 27001 e 27002
Sicuramente tra queste la prima parola spetta all’attesa revisione congiunta di ISO/IEC 27001 e 27002. In questo ambito i contributi (tra cui anche quello nazionale, finalmente!) sono stati decisamente consistenti, andando anche a proporre cambiamenti di struttura sostanziali dello standard.
A questo proposito, per esempio, il primo working draft della nuova 27001 sarà riscritta non più con una struttura coerente con la 9001, ma, applicando le linee guida del JTCG (Joint Technical Coordination Group) che coinvolgeranno d’ora in avanti tutti i sistemi di gestione, avrà una suddivisione diversa in capitoli, schematizzabile a grandi linee come segue:
1. Context of the organization
2. Leadrship and planning
3. Support
4. Operations
5. Performance evaluation
6. Improvement

Sulla decisione immediatamente successiva si è poi acceso un confronto molto serrato sull’Annex A. Le posizioni principali in merito erano quella di mantenerlo aggiornandolo alla nuova 27002 oppure di rimuoverlo. I vantaggi e svantaggi di ogni soluzione sono stati dibattuti ma alla fine ha prevalso di stretta misura la posizione, sostenuta principalmente da Giappone e Brasile, di lasciare l’Annex A, senza operare in questo caso una modifica che avrebbe fatto chiarezza e avrebbe permesso una separazione più netta tra le due norme.

Il punto successivo è stato inerente al conflitto tra “ISMS Policy” e “Information Security Policy”, sicuramente da risolvere e derivante da una 17799 che non era ancora appaiata a nessuna norma di requisiti (come poi è stata la 27001). Fatto sta che attualmente non c’è una separazione netta tra questi documenti e, nel corso della discussione, è passata la posizione Anglo-Italiana di revisionare il controllo 5.1.1 della futura 27002 al fine di separare concettualmente questi due documenti.

L’ultimo dei punti principali di interesse è costituito dal capitolo 4 della 27002, anche lui figlio dell’impostazione “unica” della 17799. Questo capitolo (integrato ed ampliamente esteso nella 27005) verrà rimosso e la 27002 diventerà esclusivamente un catalogo di contromisure (controls).

Essendo stata data priorità agli argomenti di cui sopra, i numerosi commenti sul testo sono stati visionati solo in minima parte e rinviati per la maggioranza al prossimo meeting.

27008
Oltre alla 27007 (Guidelines for ISMS Audits), è da poco entrata in lavorazione una nuova norma sull’auditing, che però abbraccia le attività di verifica più in generale e non solo ristrette a quello che è l’audit di terza parte rivolto alla certificazione. Nell’ambito di questa norma, dai contenuti decisamente interessanti, l’Italia ha tenuto una breve presentazione ai delegati sulla metodologia OSSTMM di Isecom (www.isecom.org) che è assolutamente rilevante per la raccolta di informazioni sulla sicurezza basata su attività di test. La reazione è stata positiva e si sta valutando quale possa essere il modo migliore di legarla al nascente standard.

27010
Dopo un avventuroso avvicendamento del gruppo di editing, che ora vede impegnati Canada e UK, la nascente norma (Information security management for inter-sector communications) verrà divisa in una parte generale e una parte specifica per gli SCADA, a fronte del crescente interesse che questa tematica sta giustamente guadagnando a livello nazionale e internazionale. Nella seconda parte si è deciso però di non limitare l’argomento alle sole infrastrutture critiche, considerando tutte quelle che possono essere di importanza significativa (anche solo localmente).
E’ da sottolineare che questo lavoro non vuole assolutamente andare a duplicare gli ottimi lavori che stanno venendo intrapresi da altre organizzazioni, tra cui NERC, NIST, OASIS etc.

27015
Nonostante si trovi ancora a uno stato iniziale, questa norma specifica per il settore finanziario e assicurativo sta già destando molte attenzioni. Gli USA hanno, a fronte della crisi del settore, abbandonato la guida del progetto, che sarà probabilmente raccolta dal Lussemburgo il quale si troverà a dover lavorare a stretto contatto con il TC68 del SC2 (già autore di …).

Altri aspetti di interesse
Considerando un po’ a volo d’uccello le altre norme in gestione al WG1, si può finalmente notare come i lavori alla 27004 siano in fase di conclusione, tanto da prevedere l’emissione di un FDIS entro il prossimo meeting. La 27011, pronta già da tempo, è in fase di pubblicazione mentre la 27007 di cui già si accennava precedentemente passerà allo stato di CD.
La 27000 è già stata pubblicata ma, per errore, figura come norma a pagamento. Il SC27 aveva votato che fosse liberamente disponibile e sono state avviate le azioni necessarie a fare in modo che questo vada ad essere vero nel più breve tempo possibile. Potranno essere effettuate aggiunte nel prossimo futuro di tale norma, man mano che le componenti della famiglia 27000 sono completate.
La 27012, specifica per i servizi di e-government, ha invece subito una battuta d’arresto registrando la forte opposizione di USA e Nuova Zelanda e la poca convinzione della sua necessità presso gli altri national bodies.
Durante il meeting, presieduto da Ted Humphreys (papà della BS 7799), quest’ultimo ha annunciato le modalità del suo progressivo ritiro dalla guida del WG1. Questo ritiro avverrà entro i prossimi due anni e lascerà il gruppo di lavoro nelle mani dei capacissimi John Dale e Angelika Plate.

Il prossimo meeting è previsto per novembre e sarà ospitato da Microsoft, in quel di Redmond (Seattle) e sarà sicuramente decisivo per diversi aspetti di capitale importanza, a cui l’Italia, con una posizione speriamo ancora più forte, non si sottrarrà di certo.

CONfidence 2009: dalla Polonia con furore

Il 15 e 16 Maggio la storica città di Cracovia ospiterà la quinta edizione di CONfidence, divenuto oramai l'evento di InfoSec più importante della Polonia.
Organizzato da Andrzej Targosz della Proidea SA, CONfidence ha successo per dei motivi molto semplici:
- gli organizzatori non lo fanno per "business": si occupano di IT Security
- alle spalle ci sono i capitoli locali di ISACA ed OWASP
- gli speaker hanno veramente qualcosa da dire

Quest'anno lo speaker's panel è poi particolarmente interessante, con nomi quali Bruce Scheiner e Joanna Rutkowska come Key Note speakers, Alexander Kornbust con il suo imperdibile talk su Oracle Database Hacking, Marc Schoenefeld, Alberto Revelli, Michael Kemp, Alessio L.R. Pennasilico ed, ovviamente, il nostro Raoul Chiesa.

Dato l'enorme numero di iscritti è stata spostata la location (ora presso il bellissimo ed avveniristico "Kijow Movie Theatre"): sono infatti attesi partecipanti provenienti dagli USA, Ucraina, Russia, Slovacchia, Olanda, Spagna...invitiamo la comunità italiana ad iscriversi a CONfidence e partecipare, almeno una volta, ad uno degli eventi di IT Security più belli a livello europeo.

Sito ufficiale: http://2009.confidence.org.pl/

Agenda on-line: http://2009.confidence.org.pl/agenda

A Barcellona la conferenza contro il crimine elettronico dell'Anti Phishing Working Group (APWG) riunisce gli addetti alla lotta contro il crimine elettronico di tutto il mondo

A maggio, il gruppo leader per la lotta al phishing, l'Anti Phishing Working Group (APWG) organizza la propria conferenza annuale sul crimine elettronico.

Il mese prossimo, la conferenza sul crimine elettronico di Barcellona riunirà leader esperti nel settore delle operazioni informatiche, della sicurezza e del Law Enforcement di Europa, Stati Uniti, Asia e Australia per discutere in merito alle priorità operative nella guerra globale contro il phishing e tutte le forme di crimine elettronico.
La conferenza sarà condotta in inglese con traduzione in spagnolo.

Addetti al contrasto verso il crimine elettronico, investigatori e tecnici nel settore della lotta al crimine elettronico provenienti da industrie e agenzie pubbliche di tutto il mondo si riuniranno a Barcellona il mese prossimo, per partecipare al terzo summit sulle operazioni contro il crimine elettronico CeCOS III (Counter-eCrime Operations Summit) dell'Anti-Phishing Working Group (APWG), conferenza annuale internazionale volta a definire una risposta congiunta dell'industria privata e del settore pubblico contro il flagello del crimine elettronico globale.

Il Segretario Generale di APWG, Peter Cassidy, ha dichiarato: "I criminali che si sono organizzati su Internet hanno aumentato la propria sofisticazione e padronanza tecnica, nonché la capacità di occultamento. Al CeCOS III, APWG partirà da una proposta molto importante: immaginare una risposta unificata al crimine elettronico che sia organizzata quanto gli stessi crimini; immaginare una risposta al crimine elettronico senza frontiere."

CeCOS III riunirà leader esperti nel settore delle operazioni informatiche, della sicurezza e dell'applicazione delle leggi di Europa, America, Australia, Asia orientale e meridionale per esaminare le priorità operative nella guerra globale contro il phishing e il crimine elettronico.
La conferenza, che si terrà il 12, 13 e 14 maggio, affronterà questioni in merito alle sfide operative e allo sviluppo di risorse comuni per gli addetti alla prima reazione, gli ufficiali addetti all'applicazione delle leggi e i professionisti forensi che ogni giorno proteggono i consumatori e le aziende dalle minacce rappresentate dal crimine elettronico.

CeCOS III è una conferenza aperta per i membri della comunità che combatte il crimine elettronico, organizzato da APWG e sottoscritto dai suoi sponsor, tra cui La Caixa, Telefonica, S21Sec, GMV, MarkMonitor, la divisione RSA Security di EMC, Ecija, Deloitte, Symantec e TB Security, un insieme di rappresentanti delle principali industrie che riflette il vero carattere internazionale di CeCOS III e la sua composizione.

Sebbene i principali sponsor provengano dal settore privato, i programmi CeCOS sono considerati gli eventi più vitali per investigatori e manager che si occupano di lotta al crimine elettronico, sia nel settore privato sia in quello pubblico. Lo scorso anno, al CeCOS II di Tokyo parteciparono 250 delegati provenienti da agenzie Pubblica Sicurezza, società tecnologiche,  aziende di servizi finanziari, aziende di servizi di sicurezza, agenzie governative, gruppi di patrocinio dei consumatori e centri di ricerca in tutto il mondo.

Il CeCOS III di APWG esaminerà i progressi tecnici dei gruppi che si occupano di phishing e crimine elettronico, facendo nel contempo riferimento ai tipi di risposta tecnica, operativa e politica che si sono dimostrati utili nel combattere tali flagelli, dal livello desktop fino al registro dei nomi di dominio.

Le questioni legate al crimine elettronico esaminate nel CeCOS III includono:

• Analisi delle tecniche utilizzate per penetrare nei computer dei monaci del Dalai Lama, presentata dal tecnico che ha scoperto tale hacking e ne ha seguito le tracce fino in Cina
• Analisi e interpretazione del worm Conficker da parte di un tecnico della SRI, la commissione di esperti californiana che ha denunciato le nuove e pericolose capacità di Conficker
• Strategie difensive per i manager IT delle aziende
• Strategie per la protezione dei consumatori dai crimini elettronici
• Attacchi tecnici emergenti contro i desktop
• Resoconti sul campo relativi al crimine elettronico globale da Italia, Spagna, Regno Unito, Malesia e India
• Strategie difensive per il Domain Name System

I relatori del CeCOS III presenteranno discussioni su questioni operative della lotta al crimine elettronico come, ad esempio, una condivisione dei dati forensi riuscita, l'esclusione dei domini criminosi, l'evoluzione del crimeware, un'architettura di risposta globale agli eventi legati al crimine elettronico, il coordinamento delle risposte al crimine elettronico mediante un formato comune di presentazione dei dati, un interessante caso di spionaggio da parte di un'agenzia governativa sulle comunicazioni via e-mail di un gruppo di dissidenti, un survey pluriennale sul profiling degli hackers portato avanti dall'UNICRI (agenzia ONU) e molto altro ancora.

I leader esperti, i ricercatori e gli addetti alla reazione contro gli attacchi che parleranno al CeCOS III provengono da alcune preminenti aziende di lotta al crimine elettronico, centri di ricerca e agenzie in tutto il mondo, tra cui FBI negli Stati Uniti, SRI, ICANN, CERT in Giappone, Federal Police in Australia, Internet Network Information Center in Cina, Telefonica, La Caixa, University of Cambridge, Baylor University, Carnegie Mellon University e l'UNICRI (United Nations Interregional Crime and Justice Research Institute).

Per l'Italia, saranno presenti Raoul Chiesa - primo ethical hacker italiano e figura di stampo internazionale, consulente presso l'UNICRI in tema di cybercrime - ed il Dr. Matteo Lucchetti dell'ABIlab, il laboratorio dell'Associazione Bancaria Italiana.

Per ulteriori dettagli sul programma, visitare l'agenda online di CeCOS III: http://www.antiphishing.org/events/2009_opSummit.html

Per informazioni sulla registrazione alla conferenza: http://secure.lenos.com/lenos/antiphishing/opSummit09/

Per prenotare un hotel: http://www.antiphishing.org/events/2009_opSummit.html

Contatti per i media: Segretario Generale di APWG Peter Cassidy - TEL: +1 617 669 1123 E-mail: pcassidy@antiphishing.org

Informazioni su APWG

Fondata nel 2003 come gruppo di lavoro anti-phishing, APWG (Anti-Phishing Working Group) è una coalizione industriale, legale e governativa impegnata nell'eliminazione del furto delle identità e delle frodi derivanti dal crescente problema del phishing, dello spoofing e-mail e del crimeware. La partecipazione al gruppo, che conta già oltre 3300 membri, è aperta a istituzioni finanziarie qualificate, rivenditori online, Internet Service Provider (ISP), le comunità di Law Enforcement, i ricercatori ed i fornitori di soluzioni.
Oltre 1800 aziende, agenzie di Law Enforcement e ministeri in tutto il mondo fanno parte di APWG.
Il sito Web di APWG (www.antiphishing.org)
http://cts.businesswire.com/ct/CT?id=smartlink&div=lbdehchdibj&url=http%3A%2F%2Fwww.antiphishing.org&esheet=5932797&lan=en_US&anchor=www.antiphishing.org&index=3
offre informazioni al pubblico e alle industrie in merito al phishing ed alle frodi e-mail, identificando e promuovendo soluzioni tecniche pragmatiche che forniscono protezione immediata.

@ Mediaservice.net sponsor al G8/G20 Gaming

Immaginate di partecipare ad un vero G8: badge con i nomi dei Paesi, leader che si confrontano nel corso di 24 o 48 ore no-stop.
Questo e' il G8/G20 Gaming: un nuovo modo di fare formazione ai Security Manager, facendo loro vivere "da leader" una sessione G8-like.

Giunto oramai alla sesta edizione, il G8/G20 Gaming si e' rivelato un successo oltre ogni aspettativa, anche grazie ai prestigiosi patrocini del CLUSIT, dell'UNICRI, di AIPSA ed ANSSAIF.
Al termine dei lavori i partecipanti, divisi in Gruppi di Lavoro, creano un documento finale, il quale viene di volta in volta inviato ai leader del vero G8.
Ogni sessione ha delle keyword, come nel caso di Bologna: Pianeta SPA, ovverosia Privacy, Sicurezza ed Anonimato.
Nell'incontro di maggio molta rilevanza sara' data alle Infrastrutture Critiche Nazionali ed alla Business Continuity.

Prossime tappe a Roma, in contemporanea con il Security Summit
(http://www.securitysummit.it) ed in Abruzzo.

Cliccate qui per scaricare il brochure informativo del G8/G20 Gaming Bologna.
Qui invece trovate l'invito per Bologna, con il dettaglio del programma per una 24 ore "di fuoco".

Infine, qui il link al sito dell'UNICRI (Nazioni Unite) con ulteriori dettagli: http://www.unicri.it/news/0905-1_G8G20/index.php

Per informazioni: info@g8gaming.com

ISECOM dà il Patrocinio al XX Congresso AIP

@ Mediaservice.net, nel suo ruolo di ISECOM Affiliate per l'Italia, ha autorizzato il patrocinio ISECOM al XX congresso nazionale dell'AIP, l'Associazione Informatici Professionisti, che si terrà ad Assisi il 9 e 10 maggio 2009.
Tantissimi gli interventi interessanti, con relatori del calibro di Alessio L.R. Pennasilico, Andrea Violetti, Matteo G.P. Flora, Stefano Quintarelli; la partecipazione è inoltre gratuita, previa registrazione sul sito del congresso.
Consigliamo a chi è "in zona" di fare un salto, ed a chi non lo è di "farci un pensiero" per una bella gita fuoriporta, alla quale unire le bellezze tipiche dell'Umbria e quelle davvero uniche di Assisi, all'amore per la tecnologia e la sicurezza delle informazioni.

Maggiori informazioni, agenda, relatori e form di registrazione su:
http://www.congresso.aipnet.it/

Trooper's 09....get skilled or get owned

Anche quest'anno si terrà a Monaco di Baviera, in Germania, il 22 ed il 23 aprile "Troopers '09", un incontro informale di security professional provenienti da tutto il mondo.
Organizzato da ERNW, l'azienda di Enno Ray, consulente ed amico tedesco, l'agenda di questa edizione 2009 si svolge in co-location con IT Security, evento locale. Troopers '09 può quindi essere considerata una sorta di "third track" di IT Security, fermo restando lo spirito di condivisione del know-how proprio di Troopers.

L'agenda di Troopers '09 è disponibile qui (inglese): http://www.troopers09.org/content/e3/index_eng.html
L'agenda di IT Security 2009 è disponibile qui (tedesco): http://www.it-daily.net/events/its09/agenda.php

Raoul Chiesa chairman all'M2M Forum 2009, ottava edizione.

Martedi' 7 aprile il nostro Raoul Chiesa sarà chairman alla sessione Vertical Markets "M2M Building Automation & Industrial Security" presso il Crown Plaza Hotel di San Donato Milanese (sala Borromeo), all'interno dell'evento "M2M Forum 2009".
Raoul presenterà anche la relazione "Hacking ad impianti industriali:
cronache recenti, incidenti noti e non".
Segnaliamo tra gli altri relatori la presenza del Dr. Bruno Carbone (ENAV, Ente Nazionale Assistenza al Volo), Enzo Maria Tieghi (ISA s99
Committee) e Luca Cavalli (EFA Automazione).

Agenda giornata del 7 aprile:
http://www.m2mforum.com/it/index.php?option=com_content&task=view&id=194&Itemid=262&PHPSESSID=aa8e92dc15ea974fe72f3298b9ea7507

Intervista a Raoul Chiesa. Pioniere degli hacker, oggi protagonista della lotta al cyber crime

"Pioniere degli hacker italiani, Raoul 'Nobody' Chiesa oggi si occupa professionalmente di cyber crime e di sicurezza informatica ad alto livello, collaborando in progetti nazionali ed internazionali. Lo abbiamo incontrato al Security Summit, importante appuntamento dedicato alla sicurezza It organizzato dal Clusit e da Edipi. «Sono diventato hacker per curiosità. Per l’emozione di collegarmi su rete Itapac con l’altro emisfero quando internet non esisteva ancora. Per la sfida a trovare la 'combinazione' giusta e aprirmi un varco in zone off limits...». Così Raoul comincia a raccontarsi, svelando l'origine della propria passione. Premesse che lo conducono presto a compiere eclatanti intrusioni su reti informatiche, come quella nel ‘95 sulla rete della Banca d'Italia, conclusasi con un patteggiamento di pena di cui si pente ancora oggi «mi accusarono di “violazione sistema informatico protetto”: ma in realtà, lì, nulla era protetto»."
...

Security Summit

24 Marzo 2009: Prospettiva ISOIEC sulla Sicurezza ICT

All'interno di una prestigiosa sessione dedicata alle novità in ambito normativo, Fabio Guasconi è stato coinvolto come chairman e ha eseguito un intervento per illustrare i più recenti sviluppi in ambito ISO, con particolare enfasi sulla famiglia ISO/IEC 27000. Questo insieme di norme si sta arricchendo di numerose linee guida che curano gli aspetti di dettaglio illustrati nella capostipite ISO/IEC 27001, quali il Risk Management, le Misurazioni di Efficacia, e implementazioni verticali di settore. L'attenzione si sta gradualmente evolvendo dalla considerazione di uno standard di riferimento, ormai accettato dal mercato nella ISO/IEC 27001, verso l'integrazione dello stesso con normative differenti e tra loro parlanti, quali in primis ISO/IEC 20000, ISO/IEC 15408 e PCI-DSS.
Partecipano alla sessione con loro interventi Jean Paul Ballerini di IBM su PCI-DSS, Marcellino Ferrazza di OCSI sullo schema nazionale di certificazione, Franco Guida della Fondazione Ugo Bordoni sull'uso efficiente dei Common Criteria, Stefano Maurini e Maurizio Tosti per un esempio di implementazione di certificazione CC EAL7 e infine Stefano Ramacciotti della Marina Militare Italiana sui Common Criteria nella loro versione 3.1.
Il materiale di tutti gli interventi è disponibile al seguente link: ttps://www.securitysummit.it/eventi/view/11

24 Marzo: Convegno CLUSIT/ANIPLA: Sicurezza di reti e sistemi in ambito industriale ed infrastrutture

Raoul Chiesa ed Alessio L.R. Pennasilico, conosciuti anche come "Nobody" e "Mayhem", hanno partecipato all'interessantissimo panel organizzato dal socio CLUSIT ed ANIPLA Enzo Maria Tieghi, autore tra l'altro del primo Quaderno CLUSIT su SCADA e sistemi PLC/DCS. Presenti, tra l'altro, i colleghi relatori di Pirelli Tyres, Zambon Farmaceutica e Terna SpA.
Le slide dell'intervento sono scaricabili dal sito del Security Summit: https://www.securitysummit.it/eventi/view/16

25 Marzo: Seminario Tecnico CLUSIT (workshop): SCADA & DCS security: tutto quello che vorreste sapere sulla protezione di reti e sistemi di controllo e non avete mai osato chiedere.

Un panel eccezzionale di relatori, per questo workshop CLUSIT dedicato ad uno dei temi più caldi del 2009...e dei prossimi anni!
Raoul Chiesa e Fabio Guasconi di @ Mediaservice.net, insieme ad Alessio L.R. Pennasilico di Alba S.T. ed Enzo Maria Tieghi di Vision Automation, hanno intrattenuto un'attentissima platea per 4 ore e mezza. Tantissimi gli argomenti toccati, enorme l'interesse, il dibattito e le domande con la platea.
Le slide sono scaricabili dal sito educational del CLUSIT (http://edu.clusit.it) e dal sito del Security Summit: https://www.securitysummit.it/eventi/view/23

25 Marzo: Quali prerequisiti per la scelta di un Fornitore di servizi di sicurezza informatica ?

Con i colleghi - ed amici - Prof. Luigi Vannutelli e l'Avv. Pierluigi Perri, il nostro Raoul Chiesa ha "inventato" questo intervento davvero particolare. Il sottotitolo avrebbe potuto essere "come non farvi prendere in giro dal wannabe Fornitore"... ma anche, "ecco la checklist per verificare se il Fornitore che si propone è davvero competente".
Due ore di analisi, consigli e checklist, quindi, analizzati dal punto di vista Contrattuale, Legale e Tecnologico.
Le slide dell'intervento sono scaricabili dal sito del Security Summit: https://www.securitysummit.it/eventi/view/20

26 Marzo 2009: ISECOM e OSSTMM

Potevano forse mancare, tra i principali corsi di formazione sulla sicurezza, quelli organizzati da ISECOM? Ovviamente no, e la risposta che Fabio Guasconi ha dato con il suo intervento ha incluso una descrizione delle caratteristiche e dei vantaggi annessi alle principali certificazioni tecniche del settore: le affermate OPST ed OPSA che da 8 anni sono un riferimento per il settore ma anche le nuovissime OPSE ed OWSE. Le competenze certificate da ISECOM si allargano con esse anche a un livello metodologico su OSSTMM (OPSE) e alle verifiche tecniche sui sistemi wireless (OWSE), senza perdere di vista la tanto apprezzata attenzione al lato pratico della sicurezza.
Gli altri interventi hanno interessato le certificazioni ISACA (CISA e CISM) e quelle ISC2 (CISSP in primis ma non soltanto).

https://www.securitysummit.it/eventi/view/32

26 Marzo: Social Engineering e intrusione fisica. "Nuove e vecchie" forme di intrusione, coadiuvate da una tecnologia debole.

Non poteva mancare un evergreen, uno dei talk più acclamati negli scorsi anni, quando ancora c'era Infosecurity Italia: il Social Engineering.
L'accoppiata Andrea "Pila" Ghirardini e Raoul "Nobody" Chiesa, come sempre, dà il suo meglio sul palco. Una platea quasi "rapita" per oltre due ore e mezza, in un intervento coadiuvato da aneddoti, esperienze sul campo, casi reali, consigli.
Le slide sono scaricabili dal sito del Security Summit ma...essere là era quasi impagabile :)
https://www.securitysummit.it/eventi/view/30