Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Dott. Stefano Fratepietro
s.fratepietro@teslaconsulting.it
La protezione e il governo delle
informazioni nell’era del GDPR
Dott. Stefano Fratepietro
Head of Cyber Security & Digital Forensics - Tesla Consulting srls

Lead Auditor ISO 27001:2013
...
• All’1:24 del mattino, mentre la città stava
festeggiando St. Patrick’s day, due persone
travestite da poliziotti si pres...
Da chi ci dobbiamo difendere?
Reati compiuti da interni
sono più costosi e dannosi
degli attacchi eseguiti da
estranei
PwC - The Global State of Informa...
“La vera questione per i difensori (con riferimento ai dati, alle infrastrutture informatiche ed a
tutti quei servizi, mol...
TERRENO FERTILE PER LE FRODI INTERNE
• File e cartelle importanti acceduti da utenti che non
hanno bisogno di quei file
• F...
COME AVVIENE UN ATTACCO DALL’ESTERNO?
UN DATO DI FATTO
Il tuo computer è sempre più interessante!
RISCHI INFORMATICI

UNA STORIA TRISTE…
STRUMENTI DI CONTROLLO
• I computer/server vengono venduti senza alcun software che permette il controllo delle
attività e...
DATA LOSS PREVENTION (DLP)
• Tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio
azioni ...
DATA LOSS PREVENTION (DLP)
Where
What
What
Who
How
When
FURTO HARDWARE -> FURTO DATI E CREDENZIALI
SUPPLY CHAIN ATTACK
FURTO HARDWARE -> FURTO DATI E CREDENZIALI
E’ ORA DI SEDERCI AL TAVOLO DEI GRANDI
Dott. Stefano Fratepietro
s.fratepietro@teslaconsulting.itDomande?
La protezione e il governo delle informazioni nell’era del GDPR
La protezione e il governo delle informazioni nell’era del GDPR
Upcoming SlideShare
Loading in …5
×

of

La protezione e il governo delle informazioni nell’era del GDPR Slide 1 La protezione e il governo delle informazioni nell’era del GDPR Slide 2 La protezione e il governo delle informazioni nell’era del GDPR Slide 3 La protezione e il governo delle informazioni nell’era del GDPR Slide 4 La protezione e il governo delle informazioni nell’era del GDPR Slide 5 La protezione e il governo delle informazioni nell’era del GDPR Slide 6 La protezione e il governo delle informazioni nell’era del GDPR Slide 7 La protezione e il governo delle informazioni nell’era del GDPR Slide 8 La protezione e il governo delle informazioni nell’era del GDPR Slide 9 La protezione e il governo delle informazioni nell’era del GDPR Slide 10 La protezione e il governo delle informazioni nell’era del GDPR Slide 11 La protezione e il governo delle informazioni nell’era del GDPR Slide 12 La protezione e il governo delle informazioni nell’era del GDPR Slide 13 La protezione e il governo delle informazioni nell’era del GDPR Slide 14 La protezione e il governo delle informazioni nell’era del GDPR Slide 15 La protezione e il governo delle informazioni nell’era del GDPR Slide 16 La protezione e il governo delle informazioni nell’era del GDPR Slide 17 La protezione e il governo delle informazioni nell’era del GDPR Slide 18 La protezione e il governo delle informazioni nell’era del GDPR Slide 19 La protezione e il governo delle informazioni nell’era del GDPR Slide 20
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

0 Likes

Share

Download to read offline

La protezione e il governo delle informazioni nell’era del GDPR

Download to read offline

Che sia fatto post mortem o che sia fatto preventivamente, l’azienda dovrà avere delle procedure e delle metodologie per poter garantire il controllo delle informazioni all’interno dei sistemi aziendali, dimenticandosi sempre di più il concetto di perimetro aziendale, concetto che sta scomparendo con il sempre più assiduo utilizzo di tecnologie Cloud based. Il seminario ha l’obiettivo di affrontare i rischi informatici (interni ed esterni) di un trattamento illecito delle informazioni custodite dai sistemi aziendali e di come, a seguito di un data breach, l’azienda può intervenire anche con un approccio pro-attivo.

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

La protezione e il governo delle informazioni nell’era del GDPR

  1. 1. Dott. Stefano Fratepietro s.fratepietro@teslaconsulting.it La protezione e il governo delle informazioni nell’era del GDPR
  2. 2. Dott. Stefano Fratepietro Head of Cyber Security & Digital Forensics - Tesla Consulting srls
 Lead Auditor ISO 27001:2013
 OSCP - Offensive Security Certified Professional
 OPST - OSSTMM Professional Security Tester Accredited Certification Consulente di Informatica Forense
 Docente - UniBO, UniMoRE - STELMILIT - CINEAS Papà e Project Leader - DEFT Linux, since 2005
 www.deftlinux.net
  3. 3. • All’1:24 del mattino, mentre la città stava festeggiando St. Patrick’s day, due persone travestite da poliziotti si presentarono davanti all’entrata del Boston’s Isabella Stewart Gardner Museum • Suonarono il campanello affermando ad alta voce “Police!” e in pochi secondi entrarono dentro la struttura • Rimasero all’interno degli edifici per un totale di 81 minuti, mettendo fuori uso tutti gli allarmi con l’obiettivo di rubare 13 opere d’arte, per un valore stimato di 500.000.000 di dollari • Sono passati 25 anni, i colpevoli non sono più punibili e le opere d'arte non sono state ancora recuperate THE GREATER ART HEIST IN AMERICAN HISTORY - DATA EXFILTRATION 18 marzo 1990 Con i file e le cartelle, come me ne accorgo?
  4. 4. Da chi ci dobbiamo difendere?
  5. 5. Reati compiuti da interni sono più costosi e dannosi degli attacchi eseguiti da estranei PwC - The Global State of Information Security® Survey 2014 & 2015
  6. 6. “La vera questione per i difensori (con riferimento ai dati, alle infrastrutture informatiche ed a tutti quei servizi, molti dei quali critici, oggi realizzati tramite l’ICT) non è più “se”, ma “quando” si subirà un attacco informatico (dalle conseguenze più o meno dannose), e quali saranno gli impatti conseguenti”. “…nel 2016 il principale problema non sarà tanto che si verrà attaccati (tutti lo sono ormai costantemente, per lo più tramite sistemi automatizzati, nella sfera personale e professionale, per i motivi più disparati), ma quali saranno gli impatti degli attacchi andati a buon fine sulla sicurezza di organizzazioni, utenti, clienti e partner, e come impedire al maggior numero possibile di incidenti di verificarsi.” Rapporto CLUSIT 2015 e 2016
  7. 7. TERRENO FERTILE PER LE FRODI INTERNE • File e cartelle importanti acceduti da utenti che non hanno bisogno di quei file • File importanti non cifrati, nemmeno se l’asset che le governa è spesso fuori dall’azienda • Asset con politiche di log scarse o completamente assenti • Gateway di uscita non monitorati • Utenti che si scambiano gli account • Sufficienza nell’eseguire operazioni critiche
  8. 8. COME AVVIENE UN ATTACCO DALL’ESTERNO?
  9. 9. UN DATO DI FATTO Il tuo computer è sempre più interessante!
  10. 10. RISCHI INFORMATICI
 UNA STORIA TRISTE…
  11. 11. STRUMENTI DI CONTROLLO • I computer/server vengono venduti senza alcun software che permette il controllo delle attività eseguite su di esso • Attività di analisi post mortem o post action a fatti già accaduti • Adottare soluzioni software che hanno l’obiettivo di ridurre il rischio informatico, tendendolo a zero.
  12. 12. DATA LOSS PREVENTION (DLP) • Tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete), e dati a riposo (ad esempio la memorizzazione dei dati) all'interno o all'esterno dell'azienda, con il fine di individuare e prevenire l'uso non autorizzato e la trasmissione di informazioni riservate.
  13. 13. DATA LOSS PREVENTION (DLP) Where What What Who How When
  14. 14. FURTO HARDWARE -> FURTO DATI E CREDENZIALI
  15. 15. SUPPLY CHAIN ATTACK
  16. 16. FURTO HARDWARE -> FURTO DATI E CREDENZIALI
  17. 17. E’ ORA DI SEDERCI AL TAVOLO DEI GRANDI
  18. 18. Dott. Stefano Fratepietro s.fratepietro@teslaconsulting.itDomande?

Che sia fatto post mortem o che sia fatto preventivamente, l’azienda dovrà avere delle procedure e delle metodologie per poter garantire il controllo delle informazioni all’interno dei sistemi aziendali, dimenticandosi sempre di più il concetto di perimetro aziendale, concetto che sta scomparendo con il sempre più assiduo utilizzo di tecnologie Cloud based. Il seminario ha l’obiettivo di affrontare i rischi informatici (interni ed esterni) di un trattamento illecito delle informazioni custodite dai sistemi aziendali e di come, a seguito di un data breach, l’azienda può intervenire anche con un approccio pro-attivo.

Views

Total views

313

On Slideshare

0

From embeds

0

Number of embeds

0

Actions

Downloads

40

Shares

0

Comments

0

Likes

0

×