1.
Dott. Stefano Fratepietro
s.fratepietro@teslaconsulting.it
La protezione e il governo delle
informazioni nell’era del GDPR

2.
Dott. Stefano Fratepietro
Head of Cyber Security & Digital Forensics - Tesla Consulting srls
Lead Auditor ISO 27001:2013
OSCP - Offensive Security Certified Professional
OPST - OSSTMM Professional Security Tester Accredited Certification
Consulente di Informatica Forense
Docente - UniBO, UniMoRE - STELMILIT - CINEAS
Papà e Project Leader - DEFT Linux, since 2005
www.deftlinux.net

3.
• All’1:24 del mattino, mentre la città stava
festeggiando St. Patrick’s day, due persone
travestite da poliziotti si presentarono
davanti all’entrata del Boston’s Isabella
Stewart Gardner Museum
• Suonarono il campanello affermando ad alta
voce “Police!” e in pochi secondi entrarono
dentro la struttura
• Rimasero all’interno degli edifici per un
totale di 81 minuti, mettendo fuori uso tutti
gli allarmi con l’obiettivo di rubare 13 opere
d’arte, per un valore stimato di 500.000.000
di dollari
• Sono passati 25 anni, i colpevoli non sono
più punibili e le opere d'arte non sono state
ancora recuperate
THE GREATER ART HEIST IN AMERICAN HISTORY - DATA EXFILTRATION
18 marzo 1990
Con i file e le cartelle, come me ne accorgo?

4.
Da chi ci dobbiamo difendere?

5.
Reati compiuti da interni
sono più costosi e dannosi
degli attacchi eseguiti da
estranei
PwC - The Global State of Information Security® Survey 2014 & 2015

6.
“La vera questione per i difensori (con riferimento ai dati, alle infrastrutture informatiche ed a
tutti quei servizi, molti dei quali critici, oggi realizzati tramite l’ICT) non è più “se”, ma “quando”
si subirà un attacco informatico (dalle conseguenze più o meno dannose), e quali saranno gli
impatti conseguenti”.
“…nel 2016 il principale problema non sarà tanto che si verrà attaccati (tutti lo sono ormai
costantemente, per lo più tramite sistemi automatizzati, nella sfera personale e professionale,
per i motivi più disparati), ma quali saranno gli impatti degli attacchi andati a buon fine sulla
sicurezza di organizzazioni, utenti, clienti e partner, e come impedire al maggior numero possibile
di incidenti di verificarsi.”
Rapporto CLUSIT 2015 e 2016

7.
TERRENO FERTILE PER LE FRODI INTERNE
• File e cartelle importanti acceduti da utenti che non
hanno bisogno di quei file
• File importanti non cifrati, nemmeno se l’asset che le
governa è spesso fuori dall’azienda
• Asset con politiche di log scarse o completamente
assenti
• Gateway di uscita non monitorati
• Utenti che si scambiano gli account
• Sufficienza nell’eseguire operazioni critiche

8.
COME AVVIENE UN ATTACCO DALL’ESTERNO?

9.
UN DATO DI FATTO
Il tuo computer è sempre più interessante!

10.
RISCHI INFORMATICI
UNA STORIA TRISTE…

11.
STRUMENTI DI CONTROLLO
• I computer/server vengono venduti senza alcun software che permette il controllo delle
attività eseguite su di esso
• Attività di analisi post mortem o post action a fatti già accaduti
• Adottare soluzioni software che hanno l’obiettivo di ridurre il rischio informatico,
tendendolo a zero.

12.
DATA LOSS PREVENTION (DLP)
• Tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio
azioni degli endpoint), i dati in movimento (ad esempio azioni di rete), e dati a riposo (ad
esempio la memorizzazione dei dati) all'interno o all'esterno dell'azienda, con il fine di
individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.

13.
DATA LOSS PREVENTION (DLP)
Where
What
What
Who
How
When

14.
FURTO HARDWARE -> FURTO DATI E CREDENZIALI

15.
SUPPLY CHAIN ATTACK

16.
FURTO HARDWARE -> FURTO DATI E CREDENZIALI

17.
E’ ORA DI SEDERCI AL TAVOLO DEI GRANDI

18.
Dott. Stefano Fratepietro
s.fratepietro@teslaconsulting.itDomande?