Cesare Gallotti, consulenza in sicurezza delle informazioni, sicurezza informatica, qualità, IT Service Management, Business Continuity, Privacy

Cesare Gallotti

Qui di seguito è possibile visionare e scaricare una parte degli scritti e delle presentazioni di Cesare Gallotti. Loghi e riferimenti alle società citate sono stati omessi. Il testo "Sicurezza delle informazioni - Analisi e gestione del rischio" edito da Franco Angeli è reperibile presso le librerie o il sito dell’editore.

• I miei appunti sulla NIS2 (pdf, 561 KB), incluso il recepimento italiano con D. Lgs. 138 del 2024, con tutto quello che ne so (e non è molto).


• I miei appunti sulla NIS2 (pdf, 561 KB), con tutto quello che ne so (e non molto).


• Archivio VERA su GitHub, con le ultime versioni di VERA e il suo manuale in italiano e in inglese. VERA il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazioni e non solo.


• Whistleblowing (una soluzione da discutere) (pdf, 448 KB), una presentazione fatta (e successivamente aggiornata dopo le segnalazioni ricevute) per gli Idraulici della privacy. Nulla di nuovo, ma un'occasione per discuterne.

• VERA in italiano (xlsx, 228 KB) e VERA in inglese (xlsx, 225 KB), il mio foglio Excel per la valutazione del rischio relativo alla sicurezza delle informazioni.


• Presentazione "Gli elementi difficili per gestire la sicurezza delle informazioni" (pdf, 2 MB) fatta per i Cloud Security Angels: alcune riflessioni sugli elementi che risultano pi ostici alle organizzazioni per cui lavoro.

• Presentazione "Spunti per lo sviluppo sicuro del software" (pdf, 1,1 MB): alcune riflessioni su cosa non funziona nello sviluppo sicuro del software, presentate a il 7 ottobre 2022 alla "AppSec and Cybersecurity Governance 2022" organizzata da ISACA Venice Chapter, OWASP Italia e Ca' Foscari University a Mestre.


• VERA 7, solo in italiano (Excel, 225 KB) : il mio foglio di calcolo per la valutazione del rischio con i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro). Questa una versione "sperimentale", dove sono stati uniti il foglio per la valutazione delle minacce e quello per il calcolo del rischio, in modo da renderlo utilizzabile anche per l'analisi di altri rischi.


• Video spiegazione su VERA 6 (mp4, 207MB), condotta come intervista da parte di Agostino Oliveri di Sicurdata. L'ho anche pubblicato su MyRaspTube (non bisogna scaricare il file): https://peertube.myrasp.eu/w/bgRdYjyz4QyNcmA8ZsLGLk.


• Libro "Sicurezza delle informazioni" a cui dedicata una pagina.

• VERA 6 in italiano (Excel, 271 KB) e inglese (Excel, 196 KB) : il mio foglio di calcolo per la valutazione del rischio con i controlli della ISO/IEC 27001 del 2013 e del 2022 (con lista di riscontro).


• Stato delle certificazioni GDPR: una presentazione fatta con gli Idraulici della privacy sullo stato delle certificazioni e codici di condotta "per il GDPR" (pdf, 524KB).


• Aggiornamento legislativo 2021: una presentazione (da cui ho tolto i riferimenti) sulla normativa legale applicabile alle certificazioni ISO 9001, ISO/IEC 27001 e non solo (pdf, 587KB).

• VERA 5.0, per avere uno stesso file per ISO/IEC 27001 e per privacy (ISO/IEC 27701), per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA (xlsx, 202KB). VERA 5.0 in inglese, (xlsx, 181KB).


• VERA 4.4 (versione di prova) per privacy: potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA. Si basa su VERA 4.4. Attenzione che questa versione, in italiano, in versione gamma (se mai pu esistere una versione "gamma") e ogni segnalazione per miglioramento gradita (xlsx, 172KB). Rispetto alla versione beta, questa non ha i controlli per la privacy ISO/IEC 29151 (che in origine erano indirizzati ai soli titolari), ma quelli ISO/IEC 27552 (per titolari e responsabili), che sembrano anche meglio organizzati.


• Presentazione "Gli standard EN 50600 e ISO/IEC TS 22237 per i data center": tenuta il 6 giugno per un BCI Forum a Milano (pdf, 700KB).


• Presentazione "Come migliorare le proprie competenze": tenuta il 3 giugno per una sessione di studio di AIEA a Milano (pdf, 3MB).

• VERA 4.4 per privacy: potrebbe essere usata per dimostrare l'adeguatezza delle misure di sicurezza attuate e per realizzare una PIA. Include anche i controlli di ENISA. Si basa su VERA 4.4. Attenzione che questa versione, in italiano, in versione beta e ogni segnalazione per miglioramento gradita (xlsx, 171KB).


• Certificazioni privacy: presentazione (aggiornata rispetto a quella del 30 novembre 2017) tenuta il 18 gennaio per il corso di perfezionamento in Data Protection e Data Governance della Facolt di Giurisprudenza dell Universit degli Studi di Milano (pdf, 696KB);

• VERA 4.4 per privacy (basata sulla ISO/IEC 29151) e ISO/IEC 27001 in italiano: questa versione, un'estensione di VERA 4.4, potrebbe essere usata per le valutazioni del rischio relative alla privacy e alla sicurezza delle informazioni (xlsx, 162KB).


• VERA 4.4 for privacy (based on ISO/IEC 29151) and ISO/IEC 27001 in English: this version, an extension of VERA 4.4, may be used for privacy and information security(xlsx, 162KB).


• Certificazioni privacy: una presentazione sullo stato delle certificazioni privacy a fine 2017 fatta ad un convegno organizzato dal Dipartimento di scienze giuridiche dell'Universit degli studi di Milano (pdf, 354KB).


• VERA 4.4 in italiano: la nuova versione con qualche correzione (xlsx, 167KB).


• VERA 4.4 in English: the new version of my free information security risk assessment spreadsheet, with many corrections from the previous English one(xlsx, 127KB).


• Aggiornamento legislativo: una presentazione (da cui ho tolto i riferimenti) sulla normativa legale applicabile alle certificazioni ISO 9001 e ISO/IEC 27001 (pdf, 331KB).


• Metodi Agile, qualit e sicurezza : una presentazione (da cui ho tolto i riferimenti) sui metodi Agile e come correlarli ai requisiti delle norme ISO 9001 e ISO/IEC 27001 (pdf, 117KB).

• VERA 4.3 ITA: la versione italiana del mio foglio di calcolo per un Very easy risk assessment (VERA) relativo alla sicurezza delle informazioni (xlsx, 125KB).

• VERA 4.2 ITA: la versione italiana del mio foglio di calcolo per un Very easy risk assessment (VERA) relativo alla sicurezza delle informazioni (xlsx, 125KB).


• VERA 4.1: il mio foglio di calcolo per un Very easy risk assessment (VERA) relativo alla sicurezza delle informazioni (xlsx, 123KB).


• Introduzione alla ISO/IEC 27001: una mia presentazione per l'Ordine Ingegneri Pavia (pdf, 1,4MB).

• "Sicurezza delle informazioni", libro di cui possibile leggere la scheda informativa nella pagina dedicata
.
• Audit: una breve introduzione all'audit per il modulo Le ispezioni e gli accertamenti del Garante: modalit di svolgimento, sanzioni comminate e strategie di difesa del Corso di perfezionamento in privacy e data protection della Facolt di giurisprudenza dell'Universit statale di Milano (pdf, 228KB).

• VERA 4.0: la nuova versione del mio Very Easy Risk Assessment, con i controlli della ISO/IEC 27001:2013, in versione bilingue e con qualche nuovo refuso (xls, 200KB).


• Le nuove norme della famiglia ISO/IEC 27000: presentazione Uninfo, a cui ho collaborato, per presentare le nuove edizioni della ISO/IEC 27001 e 27002(pdf, 1,6MB).

• Usare il Cloud in sicurezza: spunti tecnici: presentazione tenuta per il "Cloud seminar" organizzato da Assintel a Milano il 24 gennaio 2012 (pdf, 165KB).


• VERA 3.1 in italiano: il mio foglio di calcolo con il semplicissimo metodo di risk assessment (xls, 165KB).

• “Standard ISO/IEC 270xx”: una breve introduzione agli standard sulla sicurezza delle informazioni per un convegno organizzato dalla DFA per presentare la ISO/IEC 27037 (pdf, 1,5MB).


• “Come la ISO/IEC 20000 pu essere di supporto alla ISO/IEC 27001”, intervento al Security Summit del 2011 durante la sessione dedicata all'associazione itSMF (pdf, 570KB).

• “Sicurezza delle informazioni, privacy e organizzazione: che deve fare una PMI per ottenere risultati concreti?”, intervista per Salotto Tecnologico del 5 ottobre (http://www.salottotecnologico.it/video.cfm?idVideo=19&id=2).



• “IT Governance: scelte e soluzioni”, intervento per il convegno "Stanco di fare l'equilibrista - Lasciatevi condurre sul cammino sicuro verso una corretta IT Governance" organizzato da ECS (pdf, 363KB).



• “Appréciation conjointe ISO 27001 et ISO 20000-1”, intervento tenuto in francese a Parigi per il Club 27001 (www.club-27001.fr); (pdf in inglese, 700KB).



• “Check list per le verifiche sull'operato degli Amministratori di Sistema”, bozza di check list per verificare l'operato degli Amministratori di Sistema secondo quanto richiesto dal Provvedimento del Garante Privacy del 28 novembre 2008. E' possibile dare il proprio contributo per migliorarla (pdf, 66KB).



• “Un metodo di Risk Assessment semplice”, (pdf, 2,2MB).
  Riflessioni sulla conduzione di risk assessment e su VERA, la metodologia molto semplice. Conferenze svolte presso le sessioni di studio di AIEA a Milano (17-2-10) e Roma (3-3-10).

• “Compliance e Organizzazione”, intervento ECL 2009 (pdf, 749 KB).
• “Compliance e Organizzazione”, articolo (pdf, 116 KB).
  Presentazione tenuta a Pescara in occasione del convegno  ECL 2009 (Exploring Cyberspace Law http://donaunnetbook.org) organizzato a favore della popolazione aquilana a seguito del terremoto e successivo articolo.



• “Vera” (Very Easy Risk Assessment), (xls, in inglese, 111 KB).
  VERA è una metodologia che permette di condurre risk assessment con strumenti semplici ed efficaci. Il foglio Excel riporta le istruzioni e le formule per il calcolo del livello di rischio, nonché dei modelli per redigere il piano di trattamento (del rischio toglierei, si ripete già molte volte e può essere sottinteso) e per documentare i rischi accettati.
• “Un metodo di Risk Assessment semplice”, (pdf, 53 KB).
  Articolo di presentazione di VERA pubblicato nel numero di settembre 2009 di ICT Security.



• “Qualification Program in IT Service Management according to ISO/IEC 20000”, (pdf, 3,8MB).
• “Qualification Program in Information Security Management according to ISO/IEC 27002”, (pdf, 3,8MB).
  Presentazioni sugli schemi di qualifica professionale EXIN svolte per i suoi partner italiani.

• “La certificazione ISO/IEC 20000-1:2005: casi pratici”, (pdf, 25 KB).
  Articolo redatto per DNV GL Business Assurance a cura di di Cesare Gallotti e Fabrizio Monteleone sull’attività di verifica condotta presso clienti italiani.

• “Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte”, (pdf, 34 KB).
  Articolo pubblicato su ICT Security e InfoAIEA (dell’Associazione Italiana IS Auditors) sulle appena pubblicate ISO/IEC 27001:2005 e ISO/IEC 17799:2005.
  
  
• “Certificazione della sicurezza dei prodotti e dei sistemi informatici”, (pdf, 18 KB).
  Appunti sulla sicurezza dei sistemi e prodotti informatici, basate sui due Decreti del Presidente del Consiglio dei Ministri che istituiscono i due schemi nazionali per la valutazione secondo ITSEC e Common Criteria.

• "Sicurezza delle informazioni - Analisi e gestione del rischio".
  Libro edito presso  Franco Angeli (www.francoangeli.it). E’ possibile consultare l'indice e la presentazione in quarta di copertina.



• "Criteri di valutazione e certificazione della sicurezza delle informazioni", (pdf, 56 KB).
• "Criteri di valutazione e certificazione della sicurezza delle informazioni", materiale preparatorio, (pdf, 46 KB).
  Presentazione svolta per il corso di Security Manager dello Space Bocconi il 14 maggio 2004 e articolo di approfondimento.

• "Criteri di valutazione e certificazione della sicurezza delle informazioni", (pdf, 107 KB).
  Presentazione svolta per il corso di Security Manager dello Space Bocconi il 16-5-2003.



• “Codice della Privacy”, (rtf, 72 KB).
  Introduzione e guida alla lettura del testo di legge.

• "Progettazione di un Sistema di Gestione per la Sicurezza delle Informazioni", (pdf, 63 KB).
  Presentazione della metodologia Finmatica, in cui sono presentati i suoi principi di base, tralasciando gli aspetti puramente proprietari.

• "Crittografia: protocolli e crittanalisi”, (pdf, 450 KB).
  Tesi di laurea in Matematica. La trattazione è focalizzata sulla Teoria dei Numeri e sull'Algebra (2-3-99. Relatore interno: chiar.mo Prof. Francesca Dalla Volta; relatore esterno: prof. Renato Betti; correlatore: prof. Mariagrazia Bianchi).