Gruppi di ricerca

Le guide AIEA, che presentano con una nuova veste grafica i risultati dei Gruppi di Ricerca e di Lavoro, sono distribuite, ai soci, nel corso delle Sessioni di Studio.
I volumi già usciti sono:

  1. Information Security Management System – Un valore Aggiunto per le aziende
  2. Il Valore d’Impresa: La governance degli Investimenti nell’IT, Il Framework Val IT
  3. Obiettivi di controllo IT per il Sarbanes – Oxley  ACT
  4. COBIT 4.1 e ISO 27001 Confronto quantitativo e qualitativo
  5. BC & Auditing
  6. I legami fra gli obiettivi aziendali e i processi IT secondo il Framework COBIT
  7. Il  knowledge based information security risk management – Guida all’ eccellenza operativa nel risk management per la sicurezza delle informazioni

L´Associazione svolge attività di ricerca e formazione con interventi mirati su problemi di attualità con l´intento di approfondirne le tematiche e di rendere disponibile, a tutti i soci, i risultati ottenuti. I gruppi si basano su metodi di tipo costruttivo e sinergie derivanti da apporti multidisciplinari dei diversi componenti il gruppo di lavoro.

Indagini e ricerche estese a livello nazionale o per campione arricchiscono le conoscenze e gli orientamenti su argomenti di particolare interesse.
Un´assidua attenzione è dedicata alla complessità dei problemi ed alle diverse realtà contemporanee riguardanti i sistemi informativi per i quali non mancano significativi contributi e soluzioni nell´ambito delle proprie attività di riferimento.

Per iscriversi, suggerire altri temi o altro, scrivete ai proponenti.

Una nuova figura

 

Scarica il documento pubblicato da AIEA

La figura del Data Protection Officer nel nuovo regolamento europeo

 

Il Regolamento Europeo sulla protezione dei dati personali 2016/679, “General Data Protection Regulation” (GDPR), che sarà applicabile dal 25 maggio 2018, dopo un periodo di transizione di due anni, intende rafforzare e unificare la protezione dei dati personali a livello Europeo. Fra le varie novità apportate, il GDPR ha previsto la figura del Data Protection Officer (DPO), delineandone i compiti, le casistiche di designazione e i criteri di scelta per l’inserimento all’interno delle organizzazioni aziendali. Le questioni che la scelta di tale figura pone non sono poche né è sempre possibile individuare, anche in ragione della novità normativa, una chiara guida interpretativa. Di particolare rilevo appare la decisione di individuare il DPO internamente o esternamente (sottoscrivendo un contratto di servizi) all’organizzazione, come singolo o come team, e la collocazione organizzativa che ne consenta la piena operatività, evitando nel contempo possibili conflitti di interesse.

Se correttamente implementata la figura del DPO, formalmente designata ed identificata, porterà benefici sia a livello normativo sia nell’ambito delle organizazzioni in cui opererà. In particolare ad esso è assegnata una funzione di controllo e monitoraggio sull’adempimento dei requisiti del Regolamento, ma potrà anche rivestire il ruolo di facilitatore all’interno delle organizzazione delle iniziative e delle attività necessarie per adempiere, in modo sostenibile, agli obblighi imposti dal Regolamento.

Rischi e strategie di assurance

Scarica il documento pubblicato da AIEA

IT Audit & Cloud

Vai alla pagina di ISACA dedicata al cloud computing

Cloud Computing Guidance

 

Negli ultimi anni il panorama dei servizi cloud appare travolto dalla rapidità dei cambiamenti tecnologici e dall’accentuarsi di una tendenza all’acquisto di tali servizi da parte delle aziende indipendentemente dalla dimensione e dal settore in cui si opera. Non si tratta di una semplice esternalizzazione di attività o servizi IT, ma di una trasformazione significativa nel business, nei processi aziendali, nel sistema di controllo interno, nelle relazioni dell’azienda con gli altri attori (esempio clienti, partner, fornitori) e altro ancora.

 

La trasformazione, indotta dai servizi cloud, pone alle aziende nuove sfide che riguardano: la contrattualistica, la scelta di adeguati servizi, la conformità a leggi e regolamenti nazionali ed internazionali (es. data privacy), la valutazione di nuovi rischi, la cyber security e altro ancora.

In tale contesto l’auditor, per poter rispondere alle aspettative dei propri stakeholder, deve affrontare nuove tematiche e integrarle nelle proprie attività e competenze.

Questo documento vuole essere una sintesi del contesto, dei rischi e degli approcci di auditing introdotti dal cloud in modo da fornire i principi generali per impostare l’attività di IT audit.

Gruppo di Ricercacoordinato da Orillo Narduzzo (Banca Popolare di Vicenza)

Partecipanti:

Stefano Niccolini (Federazione Lombarda BCC)
Leonardo Nobile (Deloitte Italia)
Alberto Piamonte (Key Map Srl)
Marco Salvato (Generali Business Solutions)
Giulio Spreafico (Studio Spreafico) 

Obiettivi

COBIT si è ormai affermato quale framework di controllo attraverso:

  • l’individuazione di un collegamenti tra servizi IT erogati con i requisiti aziendali;
  • la strutturazione delle attività IT secondo un modello di processi generalmente accettato;
  • l’identificazione delle principali risorse IT utilizzate;
  • l’individuazione del livello di controllo effettivo e scostamenti da quello atteso.

La disponibilità della versione italiana ha l’obiettivo di ampliarne il più possibile l’utilizzo e la diffusione. 

Attività e deliverable

La traduzione in lingua italiana, autorizzata da ISACA, riguarda il volume:

COBIT: Control Objectives for Information and related Technology 4.1 (COBIT 4.1)

In tutte le sue parti :
– Executive overview
– COBIT Framework
– Processi PO, AI, DS ed ME

L’attività si è conclusa alla fine del 2009 e i documenti in formato PDF sono scaricabili dall’area  download del sito AIEA (www.aiea.it

AVVISO

Il Gruppo di Ricerca sollecita i lettori a segnalare correzioni e miglioramenti scrivendo alla Segreteria AIEA all’indirizzo: aiea@aiea.it; sottolinea inoltre l’opportunità di utilizzare nella pratica le due versioni, italiana ed inglese, con il testo a fronte.

Gruppo di Ricercacoordinato da Daniela Bolli (Poste Italiane) -Consigliere AIEA

Partecipanti:

Michele Colucci (Poste Italiane)
Fabio Di Sansa (TWT)
Luigi Giambarini (Banche Popolari Unite)
Guido Leone (EDS)
Ezio Miozzo (Ing. Mozzo)
Luciano Orifiammi (Unicredit Servizi Informativi)
Francesco Passi (Telecom Italia)
Silvia Tagliaferri (Between)
Sergio Tagni (Banca Popolare di Sondrio)
Roberto Tarrusio (Cassa di Risparmio di Parma e Piacenza)
Simone Tomirotti (Cassa di Risparmio di Parma e Piacenza) 
Marco Vernetti (RAI)

Comitato di Qualità:

Dario Carnelli (Felcra BCC)
Bruno Ghisu (Banco di Sardegna)
Silvano Ongetta (Presidente AIEA)
 

Obiettivo:

Nell’aprile 2004, l’IT Governance Institute ha pubblicato “Obiettivi di Controllo IT per il Sarbanes-Oxley Act ” per aiutare le aziende a valutare e a migliorare il loro sistema di controllo interno. Da allora, la pubblicazione è stata utilizzata dalle imprese di tutto il mondo come strumento per la valutazione dei controlli IT a supporto della conformità al Sarbanes-Oxley Act.
l’ITGI ha revisionato la precedente pubblicazione per fornire ulteriori linee guida relative all’IT sulle aree di maggiore importanza per il controllo interno del reporting finanziario.
I miglioramenti con la seconda edizione riguardano principalmente:

  • Un aumento del focus sull’ambito delle verifiche e sul risk assessment – Sono state aggiunte delle linee guida per aiutare le aziende nell’applicazione dell’approccio top-down, risk-based
  • La definizione delle priorità dei controlli – Sono state aggiunte delle linee guida per aiutare le aziende nella definizione “dei controlli più rilevanti”.
  • Il miglioramento delle linee guida riguardo i controlli applicativi
  • Il miglioramento delle ulteriori linee guida sulla separazione dei compiti per le applicazioni più significative.

 

Attività e deliverable:

L’attività di traduzione della seconda edizione del documento “Obiettivi di Controllo IT per il Sarbanes-Oxley Act” è stata portata a termine da un gruppo di associati. Successivamente si è proceduto  ad una revisione dell’intero documento, al fine di fornire un deliverable quanto più possibile omogeneo e coerente con  la versione originale.
Il documento sarà disponibile per i soci in formato cartaceo, come volume della collana “Guide AIEA”, oramai giunta al terzo numero, dopo il volume su ISMS e quello ValiT.

 

Gruppo di Ricercacoordinato da Emanuele Boati (Unicredito Italiano)

Partecipanti:

Claudio Bacchieri (AEM)
Massimiliano Rinalducci (Unicredito Italiano)

L’elaborato prodotto dal Gruppo è a disposizione degli associati che ne faranno richiesta

Sistemi di Gestione della Sicurezza delle Informazioni
 

Gruppo di Ricerca: coordinato da Carrozzi Luigi.

Partecipanti:
Tomassi  Antonio ( GRTN)
Zambon Loris (BNL)
Bianco Michele (BULL)
Cheyne James A. W. (NCR)
Silvano Bari (Alitalia)

Il gruppo di lavoro ha concluso le attività. I risultati, raccolti in un White Paper, sono stati presentati nella sessione di studio a Roma, del 2 dicembre 2004.
 

Presentazione del progetto:

Gli standard e i riferimenti metodologici degli Information Security Management System (ISMS)  di cui disponiamo (es.: BS7799/ISO17799) trovano ancora ridotti livelli di adozione da parte delle aziende nonostante offrano autorevoli modelli di governance della sicurezza ICT e siano in grado di influire in maniera profonda sulla protezione e sullo sviluppo del business aziendale.

La comunità professionale degli Information System Auditors non può che trarre vantaggio dalla loro diffusione. L’adozione di tali sistemi consente infatti non solo di praticare le relative attività di audit ma anche di offrire servizi di  supporto al management aziendale per le attività di disegno e implementazione degli ISMS. Vengono quindi a crearsi nuove opportunità di coinvolgimento degli auditor, fermo restando il doveroso rispeto della separazione di ruoli tra chi progetta il sistema gestionale  e chi lo verifica.

Obiettivo del GdR è quello di identificare i percorsi di promozione degli ISMS focalizzando le nuove opportunità per gli Information Systems Auditors.

Le attività si sono svolte secondo i seguenti tre passi.

1. Gli ISMS: strumenti per la qualità e continuità del business aziendale. Enunciare importanza e vantaggi degli approcci strutturati e integrati per la  gestione della sicurezza delle informazioni. L’obiettivo è quello di presentare con chiarezza ed efficacia quali potenti strumenti di coordinamento e controllo tali sistemi rendano disponibili al management. In tale contesto diviene preziosa la competenza ed il ruolo degli auditor che possono divenire ‘interpreti e garanti’ del modello manageriale di riferimento.

2. Comprendere le barriere all’adozione degli ISMS Condurre  un’ analisi delle barriere (non ultime quelle culturali) alla introduzione degli ISMS nelle aziende. L’obiettivo è quello di comprendere cosa blocchi o rallenti l’adozione di tali strumenti facendo riferimento, laddove possibile, anche alle caratteristiche di filiera e dimensione aziendale. Le modalità di analisi saranno definite dal gruppo nel corso dei lavori. E’ comunque prevedibile l’utilizzo di questionari specifici da proporre ad aziende e/o manager di riferimento.

3. Suggerimenti /Action list. Si tratta di formulare delle possibili soluzioni agli ostacoli identificati al punto precedente. L’obiettivo è quello di fornire  al management suggerimenti e possibili percorsi soluzione (es.: action list: to-do/not-to-do) per superare i fattori limitanti  individuati.
 

I risultati sono stati raccolti in un ‘Manuale di facilitazione all’ introduzione degli ISMS’ che è stato presentato in una sessione di studio ed inviato a tutti i soci.

Gruppo di Ricerca: coordinato da Carrozzi Luigi.

Partecipanti:
Silvano Bari (Studio Bari e Associati)
Michele Bianco (Accenture Italia S.p.A.)
James Cheyne
Annalisa Cocco (GFI Italia S.p.A.)
Nicola Mancini (G.S.E. S.p.A.) 
Simone Posti (G.E.  Gestioni Elettroniche S.p.A.)
Natale Prampolini
Stefano Spagnoli (G.S.E. S.p.A.)
Antonio Tomassi (G.S.E. S.p.A.) 
 

Presentazione del progetto

Dopo i risultati del GdR ISMS-fase I (cfr.: Le guide AIEA – Information Security Management System – Un Valore Aggiunto per le Aziende) è partita la seconda fase, con l’intento di:
– affrontare la tematica degli ISMS  in maniera ancora più incisiva (pratiche operative per avviare e gestire ISMS sulla base delle Best Practice enunciate in ISMS fase I);
– rendere più efficace il meccanismo di condivisione delle conoscenze interno al gruppo;
– rendere più efficace l’attività di creazione del prodotto finale che razionalizza e sistematizza quanto elaborato dal gruppo.
 

Obiettivi

In questa seconda fase il GdR ha inteso focalizzare la sua attenzione su uno degli aspetti fondamentali per la costituzione di un ISMS: il Risk Management (RM).
E’ convinzione del Gruppo che troppo spesso il RM viene condotto all’interno delle organizzazioni mossi esclusivamente dai doveri di compliance (adempimenti a leggi, regolamenti) e relegando tale attività a mero “adempimento burocratico”. Viene così persa una  rilevante opportunità di governo delle attività di business.
Il RM attraverso la determinazione del livello di esposizione del rischio gravante sugli information asset, la presa di decisone circa il livello di esposizione ritenuto accettabile e le conseguenti attività di gestione del rischio, costituisce attività irrinunciabile per il governo della sicurezza delle informazioni e conseguentemente per garantire la sopravvivenza stessa del business.
Obiettivo del GdR è quindi quello di tracciare un percorso per le organizzazioni virtuose che per cultura o necessità (ad es. se operanti in contesti mission critical)  intendono mettere in campo un RM per la sicurezza delle informazioni efficace, aderente alla realtà dell’organizzazione, traguardando obiettivi di eccellenza operativa e favorendo la progressiva crescita delle competenze e del grado di maturità dell’organizzazione sul tema.
 

Deliverables

Il GdR presenta l’approccio e le pratiche del Knowledge Based Risk Management applicato alla sicurezza delle informazioni, partendo dalla consapevolezza che le modalità di acquisizione e gestione delle informazioni e delle conoscenze in tutte le fasi del processo di RM costituiscono un fattore critico di successo.
Le conclusioni del lavoro del Gruppo sono riportate nella Guida AIEA ” Il  knowledge based information security risk management – Guida all’ eccellenza operativa nel risk management per la sicurezza delle informazioni”, distribuita ai soci nel gennaio 2010.

Gruppo di Ricerca: coordinato da Stefano Silvestri (PRICEWATERHOUSECOOPERS G.M.S. S.R.L.) .

Partecipanti:
Roberto Apollonio (H3G Italia)
Fabrizia Bilancini (PricewaterhouseCoopers)
 Piero Brunati (Nest)
Francesco Faenzi (LUTECH SPA)
Enrico Recanatesi (SAN PAOLO IMI)
 

Obiettivi

L’enorme evoluzione tecnologica delle telecomunicazioni, e la conseguente crescita di collegamenti in rete registrati nel recente passato, ha creato notevoli opportunità  di sviluppo per i diversi attori, determinando (come accade di solito in contesti molto dinamici) anche le condizioni per un uso non sempre corretto dei nuovi strumenti a disposizione.
Ciò  ha  comportato, di riflesso, l’elevamento del livello di attenzione ai problemi di sicurezza nelle trasmissioni da parte delle strutture aziendali deputate alla loro gestione.

I  rischi  associati all’accesso  non autorizzato  alle  reti comprendono infatti  perdite economiche,  furto di informazioni sensibili (personali o industriali), perdita  di  immagine  aziendale o perdita di controllo dei sistemi informativi.

Nell’ambito delle attività di ricerca e formazione su problemi di attualità svolte dall’Associazione  Italiana  Information  Systems Auditors, è stato pertanto costituito un Gruppo di Lavoro con l´obiettivo di analizzare alcune  tematiche relative  ai presidi di sicurezza perimetrale delle reti
aziendali.

L’indagine riguarda,  in particolare, la modalità correntemente utilizzata per vagliare in modo sperimentale, la tenuta dei citati presidi, denominata “Penetration Test”.

L’auspicio è  anche di fornire  un contributo al mantenimento di un alto livello di guardia sul tema della sicurezza delle connessioni, un punto che appare particolarmente importante se si considera l’eccezionale espansione del fenomeno delle  intrusioni indesiderate, frutto talvolta del semplice
sfruttamento di tecniche di social engineering (e quindi di fenomeni non controllabili dal solo punto di vista esclusivamente tecnologico).
 

Attività e deliverable

Dopo aver  raccolti i singoli contributi dei componenti del gruppo, averli normalizzati ed organizzati, è stato redatto il documento “Il valore del Penetration Test dal punto di vista dell’auditor” – Linee guida per l’esecuzione di un Penetration Test ed utilità in un contesto di IT audit.
 
Il documento è stato inviato a tutti i soci nel dicembre 2005.

(Attività svolta in collaborazione con CLUSIT)
 

Gruppo di Ricerca insieme al Clusit: coordinato da Claudio Bacchieri (AEM SpA)

 Partecipanti:
 Alessandro Dellepiane (Unicredit Servizi Informativi)
Andrea Pasquinucci (UCCI.IT)
Alessandro Ierardi (Consorzio Operativo Gruppo MPS)
Guido Leone (EDS Italia SpA)
Simona Napoli (KPMG SpA)
Michaela Popa (Unicredit Banca Mobiliare SpA)
Massimiliano Rinalducci (Unicredito Italiano)
Clarice Rosa (Banca Intesa).
 

Presentazione del progetto:

La necessità di contenere i costi, le opportunità fornite da accorpamenti e fusioni di grossi gruppi industriali e la necessità di raggiungere obiettivi di mercato sono le motivazioni più ricorrenti che portano alla decisione di esternalizzare i servizi informatici.
Il numero elevato di variabili e la complessità delle problematiche che gravano intorno a questo modus operandi rendono difficile identificare in modo semplice e univoco uno schema generale che possa descrivere l’iter di decisione-realizzazione rendendo nel contempo particolarmente complesse ma essenziali le conseguenti attività di controllo-gestione dei rischi IT.
L’obiettivo che ci proponiamo è quello di raccogliere alcune best practice sull’argomento approfondendo quelle tematiche che sono più pertinenti alla professione dell’IS Auditor evidenziando inoltre quegli aspetti che emergeranno in base all’esperienza e alla sensibilità dei componenti del gruppo di lavoro.
Particolare attenzione verrà posta, inoltre, agli aspetti legali/contrattuali e agli aspetti della sicurezza in ambito di outsourcing.
Obiettivo del progetto è anche quello di sfruttare la sinergia tra le esperienze dei componenti di AIEA e di CLUSIT sia per il raggiungimento degli obiettivi prospettati che per arricchire le competenze dei singoli e delle associazioni.

Il progetto si è concluso alla fine del mese di giugno 2006 ed il documento finale è stato inviato a tutti i soci ed alle associazioni con le quali AIEA collabora.

Gruppo di Ricerca: Massimiliano Rinalducci (UniCredit Audit).

Partecipanti:
Marinella Marzo  (PriceWaterhouseCoopers) – AIEA
Sergio Tagni       (Banca Popolare di Sondrio) – AIEA
Francesca Gatti  (BTicino) – AUSED
Claudio Telmon (Consulente)  – AIEA
Matteo Gritti      (Unicredit Audit) – AIEA
Sabrina Pozzi      (UniCredit Audit) – AIEA
Armando Righetti – ANSSAIF
 

Obiettivi

L’ampio utilizzo della tecnologia dell’informazione e i nuovi scenari di rischio conseguenti gli attacchi terroristici, nonché la crescente complessità dei processi aziendali, evidenziano l’esigenza per le maggiori realtà aziendali di rafforzare i presidi di emergenza in modo da garantire adeguati livelli di continuità operativa anche a fronte di incidenti di ampia portata.

E’ quindi prioritario per le Aziende adottare un esteso approccio alla continuità operativa che, partendo dall’identificazione dei processi aziendali critici, definisca, per ciascuno di essi, presidi organizzativi e misure di emergenza commisurati ai livelli di rischio.

In tale contesto, per l’Auditor che affronta l’argomento, risulta essenziale acquisire una conoscenza dei principali standard e delle normative d’interesse, affinché possa applicarle all’ ambito aziendale considerato e pervenire cosi ad una buona comprensione dei presidi tecnico-organizzativi implementati.

L’obiettivo che ci proponiamo è quindi quello di analizzare le principali best practice sull’argomento, d’intercettare la normativa di interesse, approfondendo quelle tematiche che sono più pertinenti alla professione dell’IS Auditor, evidenziando inoltre quegli aspetti che emergeranno in base all’esperienza e alla sensibilità dei componenti del gruppo.

Un altro obiettivo è quello di fornire un contributo sull’approccio all’attività di audit della Business Continuity, sulla base delle esperienze dei componenti nonché di quanto analizzato in termini di standard e normativa.
 

Aggiornamento alla data del 28 febbraio 2009:

Il testo del documento è completo ed è avviata la procedura di approvazione da parte delle Associazioni promotrici in vista della pubblicazione della Guida AIEA.
Il testo del documento sarà reso disponibile per la consultazione dei soci non appena approvato dai Presidenti delle Associazioni.

Referente per il Consiglio Direttivo: Enzo Toffanin

Coordinatori: Alessandro Arca, Giuliano Flesia, Luca Nurisso, Dino Ponghetti, Luca Turri

Obiettivi

La ricerca ha l’obiettivo di fornire schemi, impostazioni pratiche e formulari che possano guidare:
a) la prima applicazione per i nuovi soggetti obbligati,
b) percorsi di efficientemente nelle applicazioni degli anni a seguire il primo per i soggetti che abbiamo già adottato un proprio framework di controllo,
c) percorsi virtuosi di controllo interno IT riferito alle procedure contabili e di bilancio per realtà aziendali che intendano rafforzare i propri controlli ancorché ad oggi non formalmente obbligate.
Le problematiche del controllo interno vengono affrontate sia sotto il profilo della valutazione di un sistema di controllo interno (cosiddetti controlli di primo livello, nella terminologia usuale del mondo finanziario) sia sotto il profilo dell’approccio all’audit dello stesso.
 Il Gruppo di Ricerca, sul piano della comunicazione, ha l’obiettivo di redigere un documento che  andrà ad arricchire la collana delle “GuideAIEA” contenente le linee guida e i modelli di riferimento per l’applicazione del COBIT™ ai fini della definizione di procedure previste dalla L.262/05 a fronte del controllo interno sulla componente tecnologica 

Organizzazione

La complessità e vastità dei temi da trattare ha comportato la messa a punto di Focus Group che operano in settori e contesti diversi.
Hanno dato la loro adesione al GdR soci appartenenti a 10 grandi realtà aziendali nei settori Bancario, Postale, delle Telecomunicazioni, Automobilistico e della Revisione Contabile che intendono mettere a confronto e al servizio della professione le esperienze fatte in questa materia in sede di prima applicazione.

I partecipanti alla ricerca sono ben 17 soci divisi in 6 Focus Group. I  Relatori dei Focus Group a cui compete il ruolo di coordinatori della ricerca sono:
Alessandro Arca (FG5)
Giuliano Flesia (FG4)
Luca Nurisso (FG1 e FG6)
Dino Ponghetti (FG3)
Luca Turri (FG2)

I partecipanti al Gruppo di ricerca, inclusi i Relatori  ( R ) ed i colleghi assegnati al controllo di qualità   ( Q ) aggiornati al 28 febbraio 2009 sono forniti dalla seguente tabella:

partecipanti al gruppo di ricerca

Contenuti sviluppati dalla ricerca

Le tematiche assegnate ai Focus Group sono state le seguenti:

  • FG1: Introduzione e normativa di riferimento
  • FG2: Perimetro di applicazione, analisi dei rischi e coordinamento con la Governance aziendale.
  • FG3: Controlli generali (inclusivi degli Entity level controls, dei controlli generali IT (stricto sensu), dei controlli sulle attività in outsourcing e dei controlli sull’end user computing.
  • FG4: Controlli applicativi (inclusivi dei principi di separazione dei compiti) Il tema è completato con una analisi degli obiettivi e rischi per alcuni settori industriali.
  • FG5: Campionamenti (ricerca avviata in corso di svolgimento)
  • FG6: Valutazione del sistema di controllo, flussi interni di attestazione e regole per la compliance.

La ricerca è stata pubblicata con il titolo:
Guida AIEA n. 8
COBIT e sistema di controllo interno nella Legge 262/2005