Go2Tec - Security assessment e normative - Riccardo Barghini

1,719 views
1,727 views

Published on

Se vuoi ricevere la presentazione, invia un e-mail a info@afbnetgroup.it

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,719
On SlideShare
0
From Embeds
0
Number of Embeds
1,345
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Go2Tec - Security assessment e normative - Riccardo Barghini

  1. 1. Security assessment e normativeRiccardo Barghini
  2. 2. Agenda Valutazione livello di sicurezza Leggi e Normative attuali Documento di Security Assessment Benefici Aziendali Che cosa propone il gruppo AFBNetSicurezza e protezione dei dati aziendali
  3. 3. Complessità e problematiche di valutazione Una valutazione complessiva delle stato di sicurezza aziendale è complesso. Necessita di strumenti validi di valutazione dei risultati ottenuti I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dell’infrastruttura attualeT
  4. 4. Complessità e problematiche di valutazione
  5. 5. Leggi e NormativeA differenza degli anni passati la tutela dei dati adessoha normative specifiche e legislazione. Non più BestPractices …. La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup , all’accesso e alle possibili metodologie di ripristino. Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC …
  6. 6. Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione.Documento di valutazione Risk Documento di Valutazione di Risk Assessment
  7. 7. Definizione del Valore di RischiIn base a questa visione si può definire un fattore di rischionell’ambito di ogni sezione e sottosezione dell’assessment; il fattoredi rischio può avere una valutazione qualitativa oquantitativa, tenendo presente che in ogni caso è costituito dallaformula: Rischio = Vulnerabilità X Impatto X Probabilitàdove “vulnerabilità” è un coefficiente che misura quanto ilsistema sia sensibile ad un determinato evento, “impatto” misurale conseguenze sul business del verificarsi di un determinatoevento e “probabilità” è la misura, appunto, della probabilità cheun tale evento si verifichi.
  8. 8. Risk Assessment Un piano di Risk Assessment passa dalla valutazione di 10 sezioni. La redazione di un documento in normativa ISO 27001 che specifica una serie di attività, controlli, fattori di rischio e indicazioni
  9. 9. Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
  10. 10. Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
  11. 11. Come viene effettuata l’analisiL’analisi viene eseguita mediante l’utilizzo di Toolsspecifici alla scansione, cattura e analisi dell’interainfrastruttura IT. Come scansione interna con e senza credenziali Come Penetration Test da Internet Interviste specifiche a personale aziendale IT e nonSono utilizzati strumenti specifici comeNessus, LanGuard, Microsoft Security Analyzer.
  12. 12. Scanner e Log
  13. 13. Scanner e Log
  14. 14. Redazione del documento di Risk AssessmentUna volta catturati tutti i log sono aggregati per : Secondo le discipline individuate dal documento ISO di Risk Assessment Per tipologia Per valore di rischio Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA ……
  15. 15. Risultati di un documento di Risk Assessment
  16. 16. Risultati di un documento di Risk Assessment
  17. 17. Benefici AziendaliChe cosa permette di ottenere questo documento .1. Colmare il Gap di comunicazione IT e Direzione2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici.3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale.4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.
  18. 18. Che cosa propone il Gruppo AFBNet GroupAFBNet Group propone una serie di soluzioni sia tecnicheche consulenziali : Realizzazione del piano di scansione dell’infrastruttura IT tramite strumenti sia Commerciali che Open Source. Consulenza tecnica e legale (opzionale tramite consulente esterno ). Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilità. Sfruttare al meglio l’infrastruttura esistente per renderla più sicura e adeguata alle normative.
  19. 19. Grazie dell’Attenzione

×