ICT SECURITY E PMI - SMAU Milano 2013

1,528
-1

Published on

Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,528
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
23
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

ICT SECURITY E PMI - SMAU Milano 2013

  1. 1. ICT SECURITY E PMI Proteggersi dal Cybercrime Massimo Chirivì ICT SECURITY E PMI
  2. 2. Chi sono • • • • Dal 1988 con la passione dell’informatica Dal 1996 al servizio delle aziende per lavoro Dal 1998 al servizio della P.A. per il bene di tutti Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security System Administrator Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. ICT SECURITY E PMI
  3. 3. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Capitolo Italiano di ISSA Oltre 10.000 esperti in tutto il mondo ICT SECURITY E PMI Associazione di singoli professionisti 200 soci in Italia
  4. 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche ICT SECURITY E PMI
  5. 5. Fonte: Verizon DBIR ICT SECURITY E PMI
  6. 6. Fonte: Verizon DBIR ICT SECURITY E PMI
  7. 7. Fonte: Verizon DBIR ICT SECURITY E PMI
  8. 8. Fonte: Verizon DBIR ICT SECURITY E PMI
  9. 9. Fonte: Verizon DBIR ICT SECURITY E PMI
  10. 10. Fonte: Verizon DBIR ICT SECURITY E PMI
  11. 11. Fonte: Verizon DBIR ICT SECURITY E PMI
  12. 12. 2 MINUTI IN UN VIDEO ICT SECURITY E PMI
  13. 13. Innalziamo il livello di sicurezza fisico – Passo 1 • • • • • • • • Sala CED chiusa a chiave Nomina responsabili Registro degli accessi Sistema Antincendio Sensori di temperatura Temperatura adeguata Apparati elettronici sollevati da terra Accessi protetti, no finestre a vetri ICT SECURITY E PMI REQUISITI MINIMI
  14. 14. Innalziamo il livello di sicurezza logico – Passo 2 • • • • • • • • • • Policy sulle Password REQUISITI Gestione centralizzata tipo AD Log Management Monitoring Share Permission NTFS Permission Server adeguati (DFS, Rights Management Services) Backup Antivirus Firewall ICT SECURITY E PMI MINIMI
  15. 15. Innalziamo il livello di sicurezza culturale – Passo 3 Massima attenzione ai dipendenti e collaboratori Il 100% delle informazioni aziendali in loro possesso è a rischio! Attività consapevole: Posta Elettronica – USB – CLOUD – Social Network Attività non consapevole: Telefono – Posta Elettronica - Social Network Social Engineering … tutto lavoro per il responsabile della sicurezza informatica ICT SECURITY E PMI
  16. 16. Alcuni consigli: • • • • • • • Eliminare i dati superflui e tenere traccia dei dati presenti Verifica periodica e regolare di tutte le policy di sicurezza Analisi dei dati sugli incidenti di sicurezza Valutazione dei rischi costante e aggiornata Non sottovalutare mai gli avversari Aggiornamento costante delle tecnologie utilizzate Monitoraggio giornaliero di Backup, Antivirus, Firewall, Log Management Non fidatevi di soluzioni universali per proteggere l’azienda! ICT SECURITY E PMI
  17. 17. Cloud Computing ICT SECURITY E PMI
  18. 18. Il Cloud è sicuro? Account Security You are responsible for safeguarding the password that you use to access the Services and you agree not to disclose your password to any third party. You are responsible for any activity using your account, whether or not you authorized that activity. You should immediately notify xxxxxx of any unauthorized use of your account. Your General Responsibilities Files and other content in the Services may be protected by intellectual property rights of others. Please do not copy, upload, download, or share files unless you have the right to do so. You, not xxxxxx, will be fully responsible and liable for what you copy, share, upload, download or otherwise use while using the Services. You must not upload spyware or any other malicious software to the Service. You, and not xxxxxx, are responsible for maintaining and protecting all of your files. Xxxxxx will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files. If your contact information, or other information related to your account, changes, you must notify us promptly and keep your information current. ICT SECURITY E PMI
  19. 19. Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. ICT SECURITY E PMI
  20. 20. Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza aziendale Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! ICT SECURITY E PMI
  21. 21. Information Gathering Attività passiva: Information gathering passive o OSINT (Open Source Intelligence) è la modalità di raccolta informazioni tenendo nascosta la propria identità. Attività attiva: Raccolta di informazioni sull’organizzazione attraverso IDS o log di servizi BUSINESS ICT SECURITY E PMI INFRASTRUCTURE
  22. 22. Social Engineering Phishing Baiting Pretexting Phisical La maggior parte delle persone quando pubblica qualcosa sul WEB o meglio sui Social network non pensa a quanto queste informazioni possano essere potenzialmente dannose ICT SECURITY E PMI
  23. 23. Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco ICT SECURITY E PMI
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×