Dedalo GRC advisory organizes the ISO 27001 Auditor course on-site 16-18/10/2024 (Roma)

This is a 3-day training session, which will be followed by the exam

COURSE DESCRIPTION
The purpose of the Auditor qualification is to confirm whether the candidate has achieved sufficient understanding of ISO/IEC 27001 and ISO 19011 in their application in a given situation. A successful Auditor candidate should be able to perform audits against ISO/IEC 27001, lead organizations through an audit program and direct audit teams in relation to the guidance given in ISO 19011. Their individual information security expertise, understanding of the complexity of the information security management systems and the support given for the use of ISO/IEC 27001 in their work environment will all be factors that impact what the Auditor can achieve.

TARGET AUDIANCE

  • Third-party auditors working for Certification Bodies, responsible for conducting audits which certify organizations against ISO 27001 and ISO 19011.
  • Internal auditors seeking to understand the specific requirements of auditing Information Security Management Systems needed to confirm that an organization conforms to the ISO 27001 or ISO 19011 standard.

COURSE OBJECTIVES

  • How to audit organizations to identify conformity with ISO 27001.
  • How to evaluate the principles of risk management – including risk identification, analysis and evaluation.
  • How to suggest appropriate treatments and measures and controls to reduce information security risk, support business objectives and improve information security.
  • How to guide organizations through an audit program.
  • How to manage audit teams.
  • How to evaluate the effectiveness of applied corrective actions to maintain the ISMS conformity with ISO 27001.

Dedalo Academy has a gift for you: each participant will receive a tree from our forest :-)

For more information please contact academy@dedaload.it

Dedalo is an Accredited Training Organization (ATO) at APMG-International for the provision of courses and certification exams on the international standard ISO/IEC 27001.

The APMG International ISO/IEC 27001 and Swirl Device logo is a trademark of The APM Group Limited, used under permission of The APM Group Limited. All rights reserved.

L’impegno di Dedalo e ANSSAIF a supporto dei giovani di oggi – perché saranno i professionisti di domani

Dedalo GRC advisory è lieta di sostenere il concorso “Stendiamo un Tappetino di Information Security” promosso da Noi ANSSAIF, che invita i partecipanti a realizzare una grafica per MousePad, che oltre a essere funzionale, dia anche preziosi suggerimenti per conservare una buona consapevolezza circa le possibili minacce alla sicurezza delle informazioni.

Possono partecipare al concorso i soci studenti di ANSSAIF, studenti e giovani interessati alle attività dell’associazione nel campo della sicurezza informatica.

Per ulteriori informazioni sui premi e sulle modalità di partecipazione rimandiamo alla pagina ufficiale del concorso: https://lnkd.in/dGZwv4g9.

Dedalo Sky Team – Prima tappa: giovedì 6 aprile al  Montegrappa Trophy 2023!

Con la primavera inizia il nuovo percorso agonistico del nostro Team di Parapendio

DEDALO SKY TEAM.

Prima tappa: giovedì 6 aprile al Montegrappa Trophy 2023 a Bassano del Grappa, Italia!
Facciamo i migliori auguri ai nostri piloti Matteo, Tommaso e Valerio.

Stay tuned!


Per ulteriori informazioni:

I rischi di cybersecurity derivanti dalla carenza di competenze interne alle aziende

In uno scenario globale che ha visto un drammatico aumento degli attacchi informatici negli ultimi tre anni, la presenza di adeguate competenze interne in materia di Information Security è diventato un fattore determinante per la tutela delle aziende.

Infatti, a fronte anche dei dati esposti nell’ultimo rapporto Clusit, nel primo semestre 2022 è stato registrato un incremento del + 53% del numero di attacchi rispetto allo stesso periodo dell’anno scorso. Oltre al numero, è risultata essere aumentata la Severity, cioè l’impatto stimato degli attacchi. Di frequente si tende a ricercare esternamente all’azienda la fonte di Cyber-attacchi, al contrario rilevanti risultano essere i rischi e le minacce a cui un’azienda è esposta a causa di Insider aziendali che possono danneggiarla, sia intenzionalmente che per negligenza.

Tipici esempi di azioni da parte dei dipendenti che possono danneggiare le aziende, anche involontariamente, sono l’apertura di e-mail di Phishing, la mancata o inadeguata partecipazione alla formazione in materia di Information Security, la perdita di dispositivi aziendali contenenti dati e informazioni, la condivisione di file e di e-mail senza un’adeguata conoscenza delle Policy e delle procedure di Data Classification, navigazione su siti Web dannosi e installazione di Software non autorizzato.

Fortunatamente, le Best Practices di riferimento e le normative di settore forniscono linee guida tecniche e organizzative anche a presidio di tali rischi, tra le quali:

  • Disegno e implementazione di adeguati modelli di valutazione, monitoraggio e controllo dei rischi ICT e di sicurezza – di particolare attualità nel settore Bancario il 40° aggiornamento della Circolare 285 di Banca d’Italia in cui sono stati modificati il Capitolo 4 “Il sistema informativo” ed il Capitolo 5 “La continuità operativa” al fine di attuare le Linee guida EBA sulla gestione dei rischi inerenti alle tecnologie dell’informazione.
  • Implementazione di adeguati processi e strumenti per il monitoraggio dei Client dei dipendenti e delle infrastrutture ICT tramite soluzioni quali SIEM, EDR e XDR – il continuo monitoraggio consente una rapida rilevazione di “exploit” e di attività sospette. Infatti, tramite tecnologie come le Suite EDR, le aziende possono monitorare gli endpoint per rilevare comportamenti sospetti nonché registrare e analizzare ogni singola attività ed evento. Inoltre, la correlazione delle informazioni raccolte consente di eseguire attività di risposta automatiche, come l’isolamento di un endpoint infetto dalla rete quasi in tempo reale.
  • Implementazione di adeguati modelli di “Role-Based Access Control” e di “Segregation of Duties”, finalizzati a restringere al massimo i privilegi di accesso dei singoli dipendenti sui sistemi e ad evitare conflitti tra le attività nei processi operativi. Un modello “Role Based Access Control” (RBAC), rappresenta un presidio di “controllo d’accesso basato sui ruoli’’ (e sulle mansioni effettive dei singoli dipendenti) che concorre al governo della sicurezza delle informazioni e risulta essenziale per il rispetto dei principi di “Least privilege” e “Need to know”. La “Segregation of Duties” (SoD) si basa sul non concentrare su un unico soggetto le responsabilità di un processo o di un’attività critici, per evitare errori o frodi, e consente di comprendere quali siano i processi e le attività potenzialmente in conflitto SoD, identificando anche azioni correttive.
  • Implementazione di Policy e procedure di Data Classification che rendano possibile la realizzazione di un adeguato livello di protezione delle informazioni e dei dati aziendali. La Data Classification ha l’obiettivo di classificare i dati secondo determinate categorie di rischio e criticità e di definire adeguate modalità di trattamento del dato (trasmissione elettronica, spedizione per posta interna/esterna, archiviazione, stampa, copia, ecc.).
  • Sessioni di formazione obbligatorie, con frequenza almeno annuale, in materia di Information Security Awareness dirette a tutto il personale, incluso il management e le figure direzionali. Lo scopo (oltre al rendere l’azienda Compliant a normative come GDPR, Direttiva NIS, Framework NIST ed ISO 27001) è accrescere la responsabilità degli utenti, favorendo un atteggiamento maggiormente attivo nei confronti delle possibili minacce alle quali essi stessi, in quanto parte dell’azienda, sono esposti.
  • Campagne simulate di Phishing attraverso strumenti automatizzati, ad esempio tramite piattaforme ah hoc in cloud, che riflettono le minacce di phishing in corso e future.  La simulazione si avvale dell’inserimento di marchi noti, che sono spesso protagonisti in campagne di Phishing reali, e fondamentale risulta essere la realizzazione di un apprendimento attivo del destinatario.
  • Verifiche periodiche da parte della funzione Internal Audit in ambito ICT e sicurezza rappresentano presidi di monitoraggio essenziali per rendere la sicurezza aziendale conforme alla crescente evoluzione dei rischi ICT e di sicurezza, anche a fronte della maggiore esposizione dovuta alla crescente digitalizzazione dei processi di Business. Ciò implica un ruolo determinante per chi effettua l’Audit interno su tematiche ICT e di sicurezza, al fine di individuare se l’azienda sta adottando un approccio appropriato, efficace ed efficiente, rispetto agli Standard internazionali di riferimento nonché a leggi e regolamenti vigenti.
  • Informative ai dipendenti nel processo di Onboarding contenenti le linee guida di sicurezza delle informazioni definite dall’azienda – secondo la “Society for Human Resource Management (SHRM)” un corretto Onboarding si basa sulle cosiddette ‘’Quattro C’’: Compliance, Clarification, Culture, Connection. La prima di queste (Compliance) riveste un ruolo fondamentale per la sicurezza delle informazioni. Infatti, soltanto tramite un’adeguata comunicazione ed una formale approvazione da parte dei dipendenti delle linee guida per la sicurezza delle informazioni aziendali, è possibile introdurre un efficace deterrente e costruire un’adeguata consapevolezza in merito a tali tematiche, con la finalità di ridurre drasticamente il rischio di violazioni.
  • Definire ruoli e responsabilità in materia di Information Security e Cybersecurity per tutti i dipendenti – per innestare adeguati presidi tecnici e organizzativi in relazione alla sicurezza delle informazioni all’interno dell’organizzazione, molteplici standard internazionali suggeriscono la nomina di un “Chief Information Security Officer (CISO)” (anche in Outsourcing), quale responsabile del governo della sicurezza delle informazioni, e l’implementazione di processi, strumenti e unità organizzative di IT Security Operations. Tuttavia, la crescente incidenza di Cyber attacchi di Phishing, Social Engineering e furto di credenziali, dimostra altresì l’importanza di non considerare la sicurezza come una responsabilità esclusiva di tali figure e unità aziendali e di come sia necessaria una formale responsabilizzazione sul tema per tutti i dipendenti a prescindere da ruoli, mansioni e responsabilità.

A conferma dell’importanza di tali presidi tecnici e organizzativi a protezione delle informazioni aziendali, è essenziale tenere conto dei dati ufficiali emanati dai Player globali che operano in ambito Information Security e Cybersecurity. Infatti, secondo Trend Micro, leader mondiale di soluzioni Enterprise di Cloud Security, il recente incremento del lavoro da remoto ha comportato un maggiore utilizzo delle soluzioni basate su Cloud, che ha causato un aumento di alcune tipologie di attacco informatico, quali: sfruttamento di configurazioni Cloud errate, Social Engineering, sfruttamento di problemi nel controllo degli accessi, Phishing, furto di credenziali ed Escalating Privilege.

Interessanti anche i dati emersi dal report “Cost of Insider Threats Global Report – 2022” di Proofpoint realizzato dal Ponemon Institute che ha rilevato un aumento del 44% in due anni degli Insider Threats (cioè causati da dipendenti o collaboratori negligenti ed insider criminali) in cui la causa principale della maggior parte degli incidenti (il 56%) risiede nei dipendenti o collaboratori negligenti mentre soltanto il (26%) sarebbe originato da Insider criminali. Solitamente gli incidenti causati da Insider negligenti sono frutto dell’inosservanza di Policy di sicurezza, mancanza di protezione dei dispositivi, assenza di patch o aggiornamenti. Parallelamente, rispetto al biennio precedente, anche il furto di credenziali ad opera di Cyber criminali risulta essere raddoppiato.

Dedalo GRC Advisory, Società di consulenza specializzata nell’ambito dell’IT & Security Governance, Risk and Compliance, opera da più di vent’anni al fianco dei propri clienti per supportarli nella strutturazione e nel governo e nell’implementazione dei principali presidi di sicurezza delle informazioni.

Per ricevere ulteriori informazioni clicca qui

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor

di Giulia Pagnotta Consultant – IT & Security Governance, Risk Management, Compliance @ Dedalo GRC Advisory

Dedalo GRC advisory organizes the ISO 27001 Auditor course on-line 21-23/06/2022

This is a 3-day training session, which will be followed by the exam

COURSE DESCRIPTION
The purpose of the Auditor qualification is to confirm whether the candidate has achieved sufficient understanding of ISO/IEC 27001 and ISO 19011 in their application in a given situation. A successful Auditor candidate should be able to perform audits against ISO/IEC 27001, lead organizations through an audit program and direct audit teams in relation to the guidance given in ISO 19011. Their individual information security expertise, understanding of the complexity of the information security management systems and the support given for the use of ISO/IEC 27001 in their work environment will all be factors that impact what the Auditor can achieve.

TARGET AUDIANCE

  • Third-party auditors working for Certification Bodies, responsible for conducting audits which certify organizations against ISO 27001 and ISO 19011.
  • Internal auditors seeking to understand the specific requirements of auditing Information Security Management Systems needed to confirm that an organization conforms to the ISO 27001 or ISO 19011 standard.

COURSE OBJECTIVES

  • How to audit organizations to identify conformity with ISO 27001.
  • How to evaluate the principles of risk management – including risk identification, analysis and evaluation.
  • How to suggest appropriate treatments and measures and controls to reduce information security risk, support business objectives and improve information security.
  • How to guide organizations through an audit program.
  • How to manage audit teams.
  • How to evaluate the effectiveness of applied corrective actions to maintain the ISMS conformity with ISO 27001.

Dedalo Academy has a gift for you: each participant will receive a tree from our forest :-)

For more information please contact academy@dedaload.it

Dedalo is an Accredited Training Organization (ATO) at APMG-International for the provision of courses and certification exams on the international standard ISO/IEC 27001.

The APMG International ISO/IEC 27001 and Swirl Device logo is a trademark of The APM Group Limited, used under permission of The APM Group Limited. All rights reserved.

Dedalo Sky Team – Prima tappa: sabato 26 marzo al  Paragliding World Cup Baixo Guandu, Brazil 2022!

Con la primavera inizia il nuovo percorso agonistico del nostro Team di Parapendio Dedalo Sky Team.
Prima tappa: sabato 26 marzo al Paragliding World Cup Baixo Guandu, Brazil 2022!
Facciamo i migliori auguri al pilota Tommaso Carlini.

Stay tuned!

Dedalo GRC advisory organizes the ISO 27001 Auditor course on-line 23-25/02/2022

This is a 3-day training session, which will be followed by the exam

COURSE DESCRIPTION
The purpose of the Auditor qualification is to confirm whether the candidate has achieved sufficient understanding of ISO/IEC 27001 and ISO 19011 in their application in a given situation. A successful Auditor candidate should be able to perform audits against ISO/IEC 27001, lead organizations through an audit program and direct audit teams in relation to the guidance given in ISO 19011. Their individual information security expertise, understanding of the complexity of the information security management systems and the support given for the use of ISO/IEC 27001 in their work environment will all be factors that impact what the Auditor can achieve.

TARGET AUDIANCE

  • Third-party auditors working for Certification Bodies, responsible for conducting audits which certify organizations against ISO 27001 and ISO 19011.
  • Internal auditors seeking to understand the specific requirements of auditing Information Security Management Systems needed to confirm that an organization conforms to the ISO 27001 or ISO 19011 standard.

COURSE OBJECTIVES

  • How to audit organizations to identify conformity with ISO 27001.
  • How to evaluate the principles of risk management – including risk identification, analysis and evaluation.
  • How to suggest appropriate treatments and measures and controls to reduce information security risk, support business objectives and improve information security.
  • How to guide organizations through an audit program.
  • How to manage audit teams.
  • How to evaluate the effectiveness of applied corrective actions to maintain the ISMS conformity with ISO 27001.

Dedalo Academy has a gift for you: each participant will receive a tree from our forest :-)

For more information please contact academy@dedaload.it

Dedalo is an Accredited Training Organization (ATO) at APMG-International for the provision of courses and certification exams on the international standard ISO/IEC 27001

Dedalo Academy organizza il corso ITIL 4 Foundation 12-13-14 gennaio 2022

Area Tematica: Digital Service Management
Corso: ITIL 4 Foundation
Certificazione: Axelos | Durata: 3 Giorni | Corso: Virtual

LINGUAGGIO

CORSO Il corso è tenuto in lingua ITALIANA
MANUALE La documentazione del corso è in lingua ITALIANA
ESAME L’esame viene erogato in lingua ITALIANA

DESCRIZIONE DEL CORSO
Acquisire una buona conoscenza delle best practices ITIL attraverso il ciclo di vita del servizio ed una sufficiente preparazione per il conseguimento della certificazione “ITIL Foundation”.

  • Le metodologie di formazione si basano su una didattica attiva e prevedono sia attività formative (lezioni) d’aula che momenti di elaborazione individuale e di gruppo (esercitazioni), per facilitare l’apprendimento e stimolare la capacità innovativa e applicativa.
  • Oltre, ad un costante alto livello di attenzione in aula, viene richiesto un successivo impegno nello studio degli argomenti trattati e lo svolgimento di alcune esercitazioni/simulazioni d’esame.

TARGET AUDIANCE

  • IT Manager, staff IT ed owner di processo
  • Quality manager e staff
  • Account manager e struttura commerciale coinvolta nella preparazione di relazioni tecniche in risposta alle richieste/bandi gara dei clienti
  • Infrastructure manager, application manager, project manager e business manager direttamente coinvolti in attività IT
  • Qualunque membro dell’organizzazione che stia cercando di migliorare i processi/procedure

PREREQUISITI
Nessuno, sebbene possa rilevarsi utile la lettura del pre-reading.

OBIETTIVI DELLA FORMAZIONE
Al termine di questo corso, i partecipanti raggiungeranno le seguenti competenze:

  • Migliorare la qualità dei servizi IT offerti
  • Ridurre i costi operativi IT
  • Offrire supporto più affidabile
  • Migliorare la soddisfazione dei clienti
  • Ottenere maggiore flessibilità
  • Definire con maggior chiarezza le possibilità che il settore IT offre per incrementare il business

DOCENTE
Il corso sarà tenuto in Italiano da un formatore certificato ISO 20000 Auditor, ITIL Expert, CobiT, TOGAF, Process Innovation Manager, Six Sigma [Green Belt], ISO 27001/27002 con molti anni di esperienza in progetti nazionali ed internazionali.

Per ulteriori informazioni contattare academy@dedaload.it

Dedalo Academy ha un regalo per te: ad ogni partecipante al corso verrà regalato un albero della nostra foresta :-)

Dedalo is an Accredited Training Organization (ATO) at APMG-International for the provision of courses and certification exams on the international standard ISO/IEC 27001

“COMPUTER ASSISTED AUDIT TOOLS/TECHNIQUES” – CAATs

In un mondo che attraversa una fase di crescente digitalizzazione in tutti i settori ed in tutte le realtà aziendali, una delle maggiori sfide per gli Auditor odierni è di utilizzare adeguatamente gli strumenti tecnologici per accedere, analizzare e controllare i dati degli “Auditee” nell’esecuzione delle proprie verifiche.

L’acronimo “CAATs” deriva da “Computer Assisted Audit Tools” o “Computer Assisted Audit Techniques” e si riferisce ad una serie di strumenti informatici (Software) e tecniche di verifica a supporto delle attività di Audit. Tali strumenti sono utilizzati per importare dati da un sistema sorgente (ad esempio da un sistema contabile), normalizzarli attraverso elaborazioni preliminari/preparatorie, analizzarli in base alle specifiche di verifica che l’Auditor intende eseguire e presentarli/estrarli dai Tool nel formato desiderato (excel, TXT, CSV, ecc.).

Il vantaggio principale è che molti dei passaggi sopra menzionati risultano “automatizzati” attraverso appositi Script e/o algoritmi di analisi e Test pre-impostati all’interno dei Tool, consentendo così un aumento dell’efficacia, dell’accuratezza e dell’ampiezza delle analisi nonché una drastica riduzione dei tempi necessari a svolgere le verifiche. Inoltre, durante un “Data Audit”, l’Auditor è in grado di esaminare il processo di origine, di creazione e di trasmissione dei dati al fine di fornire un giudizio circa le proprietà e la qualità dei dati stessi. Attraverso questo processo, l’Auditor valuta anche l’impatto dei dati di scarsa qualità sulle Performance aziendali e sui relativi processi aziendali coinvolti (sia in input che in output), ad esempio attraverso l’individuazione di report di sistema a supporto delle attività di processo che contengono dati non completi, non accurati o non coerenti.

Tra i principali fattori di successo per un’adeguata esecuzione di verifiche tramite CAATs vi è la conoscenza dell’ambiente informatico dell’Auditee, delle informazioni e delle basi dati conservate nei sistemi nonché dei processi di Business che insistono sulla produzione ed elaborazione dei dati che saranno oggetto di analisi.

Ad esempio, se si intende utilizzare i CAATs per eseguire verifiche su premi e sinistri di una società assicurativa, sarà determinante comprendere e analizzare il ciclo premi ed il ciclo sinistri al fine di conoscere la genesi ed i relativi flussi dei dati oggetto di analisi, nonché “disegnare” efficaci e coerenti Test per verificare i dati attraverso i CAATs. Inoltre, il piano di audit ed i Test eseguiti dovranno essere aggiornati in base ai cambiamenti intercorsi nei processi, nell’ambiente IT e nelle basi dati oggetto di verifica.

A rendere i CAATs una delle più efficaci frecce all’arco di un Auditor vi è l’ampiezza delle elaborazioni e delle analisi che tali strumenti consentono di compiere, tra le quali:

A beneficio del lettore, riportiamo alcune informazioni pratiche per condurre efficaci procedure di Audit attraverso CAATs, consci del fatto che nell’attuale scenario di cambiamento globale caratterizzato da Smart-Working massivo, boom di investimenti in digitalizzazione, crescente automazione dei processi  di Business e dei processi di Audit, estremo dinamismo dei fatti aziendali e dei relativi rendiconti finanziari, sia gli IT Auditor che i revisori tradizionali non potranno esimersi dal fruire in misura crescente di tali strumenti per tenersi al passo:

  • Principali motivi per l’utilizzo di CAATs

    • Necessità di accedere e uniformare le informazioni da sistemi con ambienti hardware e software diversi, con diversa struttura dei dati, con diversi formati e funzioni di elaborazione
    • Necessità di migliorare l’efficienza, l’efficacia, la pianificazione e la qualità delle attività di Audit, anche in conformità con gli standard di Audit adottati
    • Garantire che i risultati e le conclusioni dell’audit siano supportati da un’analisi appropriata, tracciata e ripercorribile delle evidenze a supporto (specialmente a supporto di Audit forensi e/o di Audit soggetti a ispezione da parte di Autorità di vigilanza e controllo)
    • L’assenza di documenti di input e/o la mancanza di evidenze cartacee
    • La presenza di un numero molto elevato di record/transazioni oggetto di analisi, che renderebbe non percorribili metodologie standard e/o manuali di Audit
  • Elementi da attenzionare prima di eseguire le procedure CAATs

    • Definire accuratamente il perimetro dei dati oggetto di analisi (sistema/i sorgente, tabelle, campi, record, eventuali meta-dati, ecc.), con la finalità di raccogliere esclusivamente dati rilevanti e di adeguato livello qualitativo per raggiungere gli obiettivi prefissati
    • Definire il formato con cui si desidera estrarre i dati, al fine di facilitarne al massimo l’Upload e la normalizzazione all’interno del Tool utilizzato
    • Assicurarsi di formattare correttamente i singoli campi del tracciato dopo il caricamento sul Tool utilizzato (ad esempio, i campi contenenti importi in valuta dovrebbero essere formattati come “numerico” e con due cifre dopo la virgola, i campi contenenti le date dovrebbero essere formattati come “data” europea o U.S., ecc.) nonché di verificarne l’estensione in termini di “digit” (ad esempio, in caso di caricamento di file TXT non delimitati, sarà necessario selezionare manualmente l’estensione dei singoli campi al fine di delimitarli adeguatamente e ricomprendere tutti i record presenti all’interno del campo, inclusi i più lunghi)
    • Eseguire attività di pulizia dei dati post-caricamento (ad esempio, righe duplicate, righe vuote, campi con valori/lettere anomali, ecc.)
    • Eseguire Check preliminari sui dati al fine di assicurarsi che la popolazione estratta sia completa e accurata (ad esempio, attraverso quadrature con altra fonte di dati sul numero totale delle transazioni e/o sull’importo totale delle stesse)
  • Fasi salienti per l’esecuzione di procedure CAATs

    • Definizione del perimetro (Scope) e degli obiettivi di Audit
    • Identificazione di sistemi, tabelle, dati e campi In-Scope
    • Identificazione del personale della società oggetto di Audit e/o di fornitori esterni che gestiscono i dati ed i processi nel perimetro di analisi
    • Comprensione di processi di Business, processi IT e sistemi/applicazioni che originano, elaborano e trasmettono i dati
    • Definizione dell’estensione, della natura e della metodologia dei Test da eseguire attraverso CAATs
    • Impostazione di script e algoritmi di Test all’interno del Tool utilizzato come da specifiche definite ai punti precedenti
    • Estrazione dei dati dai sistemi sorgente, normalizzazione, caricamento sul Tool utilizzato, pulizia e formattazione dei dati
    • Esecuzione dei Check preliminari (ad es. completezza e accuratezza dei dati caricati)
    • Esecuzione dei Test impostati a sistema e rilevazione delle relative risultanze
    • Verifica dei risultati di Output attraverso ri-esecuzione dei test e/o quadrature con altre fonti di dati (cross-check)
    • Presentazione dei risultati e relativo follow-up con i referenti coinvolti

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor