Description
aggiungere la slide 6/41 sulle frodi (vocabolario).
Va bene se lo aggiungo? @mzanella @Polpetta
Other issues
Aggiungere la nota sul fatto che la somma delle percentuali di come si scopre una frode non dia 100% come indicato in questo link https://www.google.it/search?q=how+fraud+is+discovered&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjrkbjR58TVAhVDSBQKHcXTBRUQ_AUIDCgD&biw=1680&bih=920#imgrc=LqoiTSI-Wxt0wM:

Description
Non capisco cosa si intenda per povere abitudini lavorative. Qualcuno me lo può spiegare? 😅

• gestione della sicurezza informatica: cambiare essere il regola con essere in regola

• classificazione della sensitività: cambiare accedervi sono con accedervi solo

• 5.2.1(Hacking networks/Fase 1: Ricognizione), quarto punto dell'elenco: cambiare whols database con whois database

• 5.3.2.2.1 ECB mode: cambiare blocchi identifci con blocchi identici

• 6.3.1.4 Calcolare la perdita attesa/Analisi qualitativa: cambiare analisi preeliminare con analisi preliminare

• 6.3.1.4 Calcolare la perdita attesa/Come difendersi: cambiare le grande società con le grandi società

• 6.4.1 I ruoli del risk-management/4o punto: cambiare valutazione del rishio in valutazione del rischio

• 7.5.3 Step 3: Aggiungere dettagli al piano: cambiare standardn con standard

• 7.5.5.2 Manutenzione dei controlli: cambiare qualitatitva con qualitativa

• 7.5.6.3.1 Campionamento/Difference Estimation Sampling: cambiare aaffidabile con affidabile

• 7.5.8 Step 9: Prosieguo: cambiare azioni necessari con azioni necessarie

• 10.2 Strategic planning process: cambiare pianficazione strategica con pianificazione strategica

• 12.2 Interazioni insicure tra componenti: cambiare vengono risolvi con vengono risolti

• 12.3 Jail & Sandbox/Sandbox: cambiare fatta girata con fatta girare

• 13.2.0.0.1 Processing controls: cambiare vengano procesati con vengano processati

• 13.2.0.0.1 Processing controls/Eseguita transizione per transizione/2o punto(controllo sugli ammontare calcolati): cambiare valori calclati con calori calcolati

• 14.2 Tecniche di testing per le applicazioni/Sistemi di validazione: cambiare di sistema siano corretta con di sistema siano corrette

• 15.2 Pianificazione dei processi/Penetration Tests/ultimo punto (Targeted): cambiare Potresse con Potrebbe

• Passare lo spellcheck

Description

• Sezione 2.5.5 e paragrafo 2.5.5.2 sembrano uguali
• Sezioni 4.6.3 e 4.6.5 molto simili
• Figura 6.2 e 6.4 sono uguali
• Sezione 7.5.5.1 Tipologie di controllo spiegate sia nell'elenco che appena sotto
• Sezioni da 9.1.1.6.1 a 9.1.1.6.6 uguali alle sezioni da 9.0.0.0.1 a 9.0.0.0.6

Description
Nel file res/sections/15-Les15032017.tex è stato mergiata una PR contenente righe con più di 80 caratteri, è da mettere a posto

Other issues
#57

Ci sono alcuni esercizi negli appunti che vanno tradotti in italiano (vedi file https://github.com/Polpetta/SecurityAndRiskManagementNotes/blob/develop/res/sections/70-EsLes21032017.tex).

Description
Non dovrebbe essere come nelle slide classificazione della criticità? Inoltre aggiungerei un riferimento alla sezione 2.3 che ha lo stesso elenco puntato e spiega le singole voci
Other issues

Description
Finirei di copiare dall'immagine delle slide (6/43 di Information Security) le responsabilità dei ruoli elencati
Other issues

le sottosezioni di 7.7 sono 7.7.0.1, 7.7.0.2 e 7.7.0.3 al posto di 7.7.1, 7.7.2 e 7.7.3. Manca qualche parte o si è andati troppo in profondità con il sezionamento?

Description
Mancano molti punti dalla lista system access control slide 24/43. Ne aggiungiamo almeno qualcuno?
Other issues

Description
We have to do the 7 questions at the end of the chapter

Description
Nel capitolo 2.5.5.1 c'è un'immagine senza didascalia. E cosí su due piedi non si capisce (E neanche la sigla IPF)
Other issues

Description
Nell'ultima frase del 3o punto non si capisce cosa si voleva dire, sembra che manchi un pezzo:

Una release nuova vuol dire che chi ha il livello di autorizzazione perché una nuova release potrebbe comportare comportamenti anomali;

Other issues #20

Description
Ciao scusate sto guardando gli appunti ma non capisco perchè esista l'attuale sezione 4. Secondo me dovrebbe fare parte della sezione 3 cosí rispetterebbe l'ordine delle slide e anche l'introduzione del capitolo 3..
Other issues

Description
Nella sezione delle frodi c'è la lista dei tipi di controlli per contrastarle (preventivi, rivelativi, correttivi), poi nella sezione dopo di parla di controlli compensativi. Secondo me i controlli compensativi andrebbero spostati insieme agli altri tipi di controlli

Other issues

Description
Nella sezione 6.3.1.4 Annualized Rate of Occurrence è spiegato in questo modo quanto costa questo evento in un anno? ma subito dopo viene introdotto Annual Loss Expectancy spiegato come la perdita attesa annuale che mi sembra la stessa cosa, il problema è che uno viene calcolato in funzione dell'altro. L'Annualized Rate of Occurrence non potrebbe essere quante volte un evento può capitare in un anno?

Description
Nella slide sulla biometria si vede un'immagine che tiene anche presente l'equal error rate. Secondo me ha senso inserire sia l'immagine che la definizione (Anche se prenderei l'immagine
dal libro CISA
study guide )
Anche in virtù del fatto che nella sezione 4.6.6.1 viene usato ERR.

Comunque possiamo inserire anche solo la definizione (anche se secondo me l'immagine rende di più l'idea che al crescere di uno diminuisce l'altro).
Other issues

Description
Nella sezione 7.5.6 viene utilizzato più volte il termine evidenza. È usato di proposito o come traduzione di evidence? in questo caso o sostituirei evidenza con prova oppure terrei il termine in inglese.

Description
non mi sembra corretta la traduzione per Discretionary Access Control infatti la slide dice:

Person with permissions controls access

che in italiano dovrebbe essere

La persona con i permessi controlla l'accesso (ovvero chi avrà accesso alla risorsa)

Il che corrisponderebbe anche alla definizione del libro del CISA (Prima frase):

Discretionary access controls (DACs) allow a designated
individual to decide the level of user access. DAC access is usually distributed across the
organization to provide flexibility for specific use or adjustment to business needs. The data
owner determines access control at their discretion. The IS auditor needs to investigate
how the decisions concerning DAC access controls are authorized, managed, and regularly
reviewed. Most businesses use discretionary access control.

Mentre negli appunti è scritto

Persone che hanno l'autorizzazione ad accedere.

Che mi sembra una traduzione molto discostante da quella inglese
Other issues

Aggiungere la risposta alla seguente domanda:
La documentazione che non viene vista dall’IT Strategy Commitee dovrebbe
essere:

1. IT Project Plans
2. Analisi del rischio & Analisi dell’impatto sul business
3. IT Balanced Scorecard
4. IT Policies

Description
Abbiamo tradotto tutto, a sto punto tradurrei anche il titolo di capitolo 1.2.3.
Inoltre nello stesso paragrafo c'è una traduzione sbagliata o imprecisa. Sulle slide c'è scritto:

Voided checks or receipts, with no explanation

Sugli appunti è stato tradotto con:

Le consegne ricevute non vengono consegnate;

A me non sembrano corrispondere 1:1. Cosa dite?

Other issues

Aggiungere la risposta alla domanda 74

What technique would not be appropriate in avoiding OS command injection?

1. Separate control information from data information
2. Use library
3. Run code in “jail” or other sandbox environment
4. Use a hard-coded password to enable access

Description
Le sottosezioni di 9 da 9.0.0.0.1 a 9.0.0.0.6 hanno la numerazione errata. Si tratta di CMM?
(È legata ad una parte della issue #20 punto 5)

Description
il 3o punto dice:

Tieni il batch in sospeso fintanto che le transazioni non vengono fissate;

Doveva essere fixate o è corretto?

Description
Proporrei le sezioni 7.5.6.2 e 7.5.6.3 come degli esempi raggruppandole come sottosezione (se effettivamente sono degli esempi)

Nel File : 16-Les21032017.tex c'è il todo che dice di aggiungere la tabella nella sezione role-based access control. Guardandola non mi sembra molto importante. La aggiungiamo o no?

Description
Integrare le considerazioni etiche della frode con quelle della slide 7/41? Cosa ne pensate
Other issues
Potrebbe anche dare una mano a risolvere l'issue #17

Description

• Seconda frase la cambierei in (unendo con la prima):

che prevede l'elaborazione sequenziale di blocchi di transazioni, dopo che queste sono state aggregate

• La 5a frase termina con : o frase successiva erroneamente inizia con la maiuscola

Viene effettuato il processing (es. ordine pagamenti e salvataggio nel DB):

• Le frasi 5 e 6 non sono molto sensate:

Viene effettuato il processing (es. ordine pagamenti e salvataggio nel DB):Il processing viene completato.

• La figura 13.1 non deve avere scritto niente?

A mio parere non si capisce molto di questa sezione 😅

Other issues #20

Description
Nell'elenco della sezione 1.1.4 viene detto che la scoperta delle frodi avviene anche grazie a audit interni e esterni, mentre nella sezione 1.2.1 c'è scritto che non è possibile fare detection di frodi tramite audit. Ci si riferisce a due cose differenti o sono due parti in contrasto?

Dove mettiamo l'immagine a pagina 68?

Eletronic Code Book -- Aggiungere a pagina 52 (circa).

Ho notato che il professore ha attinto in maniera generosa da wikipedia. Potremmo usare https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_.28ECB.29 questo link per colmare le altre lacune sugli altri cifrari a blocchi

Mettere le risposte esatte dopo gli esercizi, cosi ci si puo' preparare a mo di quiz della patente

Description
Sembra che si volessero mettere senza numerazione. Metto 13.1.1 e così via o tolgo i numeri?

L'ammontare di dati che si puó perdere da un malfunzionamento del computer si definisce come:

• Recovery Point objective

• o Maximum tolearble autage

Durante lezione Di Pietro disse Recovery Point objective, oggi durante il ripassone Maximum tolearable outage

Description
Nella sezione 2.2.2 il Maximum Tolerable Outage è definito come

Il tempo passato tra l’inizio della modalità alternativa e la sua conclusione con il ripristino delle normali operazioni

ma nella figura 2.1 il MTO comprende anche l'Interruption Window. Mi sono perso qualcosa?

Other issues #20

Manca tutta la slide e in teoria dovrebbe anche spiegare cosa c'entra la PO Box

Description
L'elenco puntato della sezione 4.8.1 che corrisponde alla slide 40/43 di Information Security, consta di soli due punti, mentre nelle slide c'è un elenco di 5.

• Mantenere i backup dei dati lontani dall’azienda (off-site);
• Avere un posto sicuro in cui tenere le librerie/siti. Se questi siti hanno
  informazioni sensibili è meglio tenerlo in un posto nascosto, la cui conoscenza
  è ristretta a pochi.

Mentre nelle slide abbiamo 5 punti:

Backups are kept off-site (1 or more)
 Off-site is sufficiently far away (disaster-redundant)
 Library is equally secure as main site; unlabelled
 Library has constant environmental control
(humidity-, temperature-controlled, UPS,
smoke/water detectors, fire extinguishers)
 Detailed inventory of storage media & files is
maintained

Forse possiamo anche tralasciarli. Volevo solo evidenziare il problema per prendere una decisione insieme a voi!

Other issues

Description
Integrerei con le slide la sezione su Software per trovare frodi, in particolare (Slide 25/41) direi in cosa possa contribuire. Almeno 2/5 esempi, giusto per capire concretamente che cosa possono controllare.

Other issues

Description
In questa sezione pianificazione strategica e tattica sono segnate in grassetto mentre pianificazione operazionale no. Voluto o si può mettere anche quello in grassetto?

Description
Errata numerazione

Description
Nella sezione 3.3 proprio nell'introduzione c'è un elenco puntato e numerato che viene ripetuto nella parte più discorsiva, dando vita ad elementi ridondanti
Other issues
#20

Other issues #20

Description
Non so se deve essere tolta una o devono comparire entrambe
Other issues #20

Description
Ciao, secondo me è da sistemare a frase del Kaizen (scusate il gioco di parole :D ):

Quando vedete una freccia circolare bisogna pensare al PDCA (Plan Do Check
Act). Infatti, ormai tutti i progetti sono circolari. Kaizen è una parola giapponese
che vuol dire “miglioramento continuo” Scostamento tra valore atteso e valore
ottenuto. Quando si vede che c’è un delta si cerca di operare per migliorarlo. Una
volta raggiunto l’obiettivo, bisogna migliorare.

Non capisco La frase dove c'è Kaizen. Cioè lo Scostamento continuo a cosa si riferisce?
Other issues

Manca la risposta all'esercizio 37
La diligenza dovuta (due diligence) si assicura che:

1. Una organizzazione abbia esercitato le migliori pratiche di sicurezza
   possibili in accordo alle migliori pratiche
2. Una organizzazione abbia esercitato in maniera accettabile le pratiche
   di sicurezza riguardo a tutte le aree di sicurezza
3. Una organizzazione abbia implementato la gestione del rischio e abbia
   messo in pratica tutti i controlli necessari
4. Una organizzazione abbia nominato un Chief Information Security
   Officier che sia responsabile della sicurezza degli asset informativi