SlideShare a Scribd company logo

Articolo aprile 2013 ict security

Luca Moroni ✔✔
Luca Moroni ✔✔

PENETRATION TEST PER LE PMI

News & Politics
1 of 6
Download to read offline
I n assenza di termini di riferimento oggettivi le misure di si- curezza adottate da ciascuna organizzazione sono natu- ralmente correlete alla percezione del rischio. Dove tale percezione è chiara e condivisa le misure di sicurezza so- no predisposte in modo quasi naturale. Infatti ogni azienda si assicura contro eventi come l'incendio ed il furto, e anche se assicurata nessuna azienda tralascia di chiudere a chiave gli uffici, di far installare un antifurto nel ma- gazzino, o anche di ingaggiate guardie giurate per controlla- re gli stabili. Spesso invece le misure volte a prevenire il manifestarsi di rischi attinenti la sicurezza logica, quella che difende le reti ed i siste- mi aziendali da accessi indesiderati e da modifiche malevole, vengono trascurate, a volte anche sotto le spinte competitive a comunicare di più, a integrare i propri dati con quelli dei pro- pri clienti o fornitori, a diffondere il proprio know how tra i di- pendenti. E, contemporaneamente, l'azienda deve continuare a propor- re prodotti sempre migliori, con caratteristiche diverse, con co- sti più bassi rispetto alla concorrenza. Qual' è il senso di spen- dere tanto per sviluppare un nuovo prodotto o un nuovo servi- zio, per poi non proteggere adeguatamente i risultati di questo investimento? Tuttavia un accesso indesiderato o fraudolento ai sistemi infor- mativi di un’azienda può causare danni anche gravi, che pos- sono arrivare a mettere a repentaglio la sopravvivenza azien- dale. Ad esempio, nell'estate del 2012 una media azienda del padovano è stata sottoposta ad attacco da parte di enti ester- ni. Non è chiaro quale fosse l'obbiettivo dell'attacco, ma nei fatti sono stati cancellati tutti i dati, inclusi i dati gestionali, i docu- Primo Quaderno di ISACAVENICE Chapter ISACAVENICE CHAPTER È un’associazione non profit costituita inVenezia nel novembre 2011 da un gruppo di professionisti delTriveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi. Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance,Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA. Iscrivendosi ad ISACAVENICE automaticamente si è soci di ISACA,e si ha la possibilità di accedere gratuitamente ai meeting di ISACAVENICE Chapter ed ai webcasts ed e-Simposium di ISACA,iscriversi ad un prezzo scontato ai corsi di preparazione agli esami CISA©,CISM©,CGEIT©, CRISC©,COBIT5© Foundation. 34 Penetratio per le PMI
menti di progetto e quelli commerciali: il danno subito è stato ingente, con un fermo di diversi giorni. Il fatto è stato denuncia- to alla polizia postale, e sembra che l'obiettivo dei malviventi fosse quello impadronirsi di alcuni segreti industriali. Questa azienda, come quasi tutte quelle che subiscono tali incidenti, non vuole tuttavia essere citata. Un penetration test ha una utilità analoga a quella di un con- trollo notturno: un ente esterno, su richiesta, controlla periodi- camente che l'azienda sia sufficientemente protetta da acces- si indesiderati dall'esterno. I risultati consentono di capire i punti deboli che potrebbero essere sfruttati da malintenziona- ti, e quindi di porvi rimedio evitando gli errori banali e limitan- do i danni. Numerosi documenti discutono le attività di analisi della sicu- rezza quali vulnerability assessment e penetration test dal pun- to di vista del fornitore, proponendo metodologie e pratiche di riferimento. Un numero minore di documenti è invece dedica- to al punto di vista del cliente, e ancora più ridotta è l’attenzio- ne rivolta alle PMI, piccole e medie imprese. Obiettivo di questo documento è circostanziare il valore ag- giunto di un buon penetration test per una PMI, descrivere le caratteristiche desiderabili per l'esecuzione di un penetration test e suggerire linee guida per la selezione dei fornitori atti a svolgere attività di tale natura. Sono state definite in particola- re buone pratiche e aspetti critici cui porre attenzione nel commissionare un Penetration Test da parte di una PMI. Non vi è dubbio che se occorre un livello di sicurezza elevato, bisogna tener conto di tutta la complessità della gestione del- la sicurezza, fra cui un affinamento dei dati, delle misure e del- le tecnologie corrispondenti. A questo proposito, le idee e il modello qui presentati sono ritenuti coprire un livello di sicurez- LUCA MORONI CISA® Certified Information System Auditor Aprile 2013 ICT Security 35 on test I Luca Moroni certificato CISA e ITIL Foundation è stato il coordinatore del gruppo di lavoro del Quaderno di ISACA VENICE Chapter. Laureato in Informatica a Milano professionista (ai sensi della legge 4/2013) da 15 anni è appassionato di Sicurezza Informatica a livello professionale. Si occupa di selezionare le aziende fornitrici nell’ambito della sicurezza ICT in base alle loro competenze specifiche.Vive in provincia di Vicenza e opera in area Nord Est.
36 za accettabile per le piccole organizzazioni, i cui investimenti in sicurezza sono più ridotti. Forme più avanzate di sicurezza (ad esempio, componenti infrastrutturali critiche) richiederebbero una tratta- zione più ampia che va al di là dello scopo del presente documento. Il valore del patrimonio immateriale delle PMI è spesso noto soltanto in parte. Questo è tipicamen- te il caso di uno degli asset più importanti, vale a dire, le informazioni. È indispensabile che i respon- sabili delle PMI comprendano il valore delle infor- mazioni contenute all’interno del proprio sistema aziendale e dispongano di un quadro entro il quale valutare ed implementare la sicurezza delle informazioni. Prendendo spunto dalla esecuzione di una anali- si da parte di un fornitore esterno si suggerisce di avviare, comprendere ed attuare processi formali di sicurezza del patrimonio informativo, compren- denti anche misure tecniche ed organizzative. Senza misure di questo tipo, l’azienda può risulta- re seriamente danneggiata da minacce involon- tarie/attacchi deliberati ai propri sistemi informati- vi, tali da poter determinare in ultima analisi la cessazione dell’attività. Anche se è la formula più economica per la PMI abbiamo scartato autovalutazioni specifiche di Penetration Test che invece è accettabile se ci si li-
37 mita ad analisi automatiche di livello più basso denominate Vulnerabilty Assesment. Pertanto la metodologia proposta serve per identificare team di specialisti indipendenti esterni (il cosiddetto “Ti- ger Team)1”. Ringrazio tutti i partecipanti al gruppo di ap- profondimento per l’impegno e la disponibilità of- ferta nella realizzazione di questo documento. Luca Moroni SCOPO DEL DOCUMENTO L’IT di tutte le imprese, in quanto connesso con servizi e ambienti esterni, è soggetto ad attacchi e vulnerabilità che possono compromettere la sicu- rezza dei dati aziendali. L’esecuzione di sistematici Vulnerability Assessement e Penetration Test è or- mai una buona pratica adottata generalmente per analizzare il grado di sicurezza rispetto a mi- nacce esterne. In tale contesto il supporto offerto all’Utente ed alla Piccola-Media Impresa è suscet- tibile di miglioramenti. Per offrire un contributo alla selezione di un ap- proccio adeguato a tali stakeholder, ISACA VENI- CE Chapter ha avviato un Gruppo di Approfondi- mento per redigere delle linee guida per l’Utente e le PMI nell’utilizzo di verifiche di sicurezza, in par- ticolare Vulnerability Assessment e Penetration Test svolte da terze parti. Lo scopo del presente documento è quello di illu- strare i risultati ottenuti dal Gruppo di Ricerca, sti- molando nei lettori l’interesse all’argomento trat- tato ed agli opportuni approfondimenti. DESTINATARI DEL DOCUMENTO Questo articolo si pone come obiettivo quello di definire i requisiti che una azienda deve valutare nel commissionare un servizio di Penetration Test ad un fornitore esterno. I destinatari naturali del documento sono i re- sponsabili che nella PMI intendono commissiona- re una analisi di sicurezza sulle risorse informati- che dell’azienda che vi possono trovare, oltre ad un’esposizione razionale dei concetti ed un’omo- geneizzazione delle definizioni, lo spunto per la pratica creazione di una metodologia più specifi- ca sulla gestione del rischio IT, utile nel proprio ambito lavorativo. QUICK SURVEY Il Gruppo di Approfondimento ha predisposto un Quick Survey per rilevare più approfonditamente il livello di utilizzo di queste tecniche da parte delle imprese del Nord Est d’Italia. Nello specifico questi sono stati i quesiti: • Ogni quanto svolge un PENETRATION TEST • Su quale base sceglie il fornitore • Ha mai svolto delle analisi di sicurezza nel peri- metro interno. Dove l'analisi è composta da una serie di processi che simulano le azioni normal- mente svolte da un dipendente o consulente nella rete interna. • Quale sono gli aspetti per le attività svolte in passato di cui sono stato PIU’ soddisfatto (anche più di una risposta) • Quale sono gli aspetti per le attività svolte in passato di cui sono stato MENO soddisfatto (an- che più di una risposta) Tale indagine trova riscontro e viene utilizzata in più punti del presente documento fornendo an- che degli spunti di riflessione. Il campione delle aziende che hanno risposto costituito da 50 que- stionari compilati è suddiviso nel seguente modo indicato nelle tabelle presenti nella pagina a fian- co. 1 INTRODUZIONE In un periodo di contenimento dei costi quelli sul- la sicurezza riguardano oggi: costo monetario dei dispositivi, protezioni, strumenti, servizi, aggravio dei tempi per attenersi a procedure, aumento di complessità operativa. Ma la Sicurezza è anche investimento, se si considerano le conseguenze della assenza o inadeguatezza delle misure pro- tettive. Il problema è come bilanciare costi con esigenze pertanto rischi con protezioni. Il Global Risk Report 2012 del World Economic Fo- rum, analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, nella sezione “Rischi tecnologici” po- ne al primo posto il Cybercrime. La vulnerabilità nel settore dell‘information secu- rity è definita come elemento di un particolare settore che possa compromettere la sicurezza informatica dell’intero sistema. Per sicurezza informatica si intende la tutela delle seguenti caratteristiche: confidenzialità, integrità, disponibilità ed autenticazione. Qualora una de- bolezza del sistema informativo comprometta una delle sopradette caratteristiche si riscontra una vulnerabilità. L’analisi di vulnerabilità è il passo successivo alla visione dell’architettura, definizione degli obiettivi e valutazione dei beni aziendali. L’obiettivo di un test è quello di verificare il comportamento a fron- te di una sollecitazione in una particolare condi- zione e verificare lo scostamento rispetto alle atte- se. Le vulnerabilità sono individuabili principalmente in tre categorie, che rappresentano tre diversi livel- li da analizzare per la sicurezza: la rete, i sistemi e gli applicativi. Successivamente sono riportate le definizioni dei livelli che analizzeremo e le relative problematiche. 1.1 Richiami di legge L’adozione di specifiche misure di sicurezza logica
38 costituisce in sempre più numerosi settori un obbli- go normativo previsto dalla legge o dai regole- menti di settore. Vedi ad esempio le norme con- cernenti i settori finanziario, assicurativo e delle carte di credito. Per il settore delle comuinicazioni elettroniche ad esemio dal primo giugno 2012 è in vigore il Decre- to legislativo 28 maggio 2012, n. 69 che recepisce, tra l'altro, la direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroni- che. Grande rilievo assume la sicurezza e l'integrità del- le reti di comunicazione elettronica accessibili al pubblico, con riferimento alle quali il ministero in- dividua adeguate misure di natura tecnica e or- ganizzativa per assicurare la sicurezza delle reti e dei servizi di comunicazione elettronica accessibi- li al pubblico, nonché per garantire l'integrità del- le reti. Oggi il fornitore di un servizio di comunicazione elettronica accessibile al pubblico (ma è prevedi- bile che sia recepito globalmente), oltre ad istitui- re una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: • monitoraggio; • prevenzione; • correzione; • attenuazione. Le autorità nazionali, al fine di difendere gli interes- si dei cittadini, devono assicurare un elevato livel- lo di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: • disporre dei dati completi ed affidabili sugli inci- denti di sicurezza che hanno compromesso i da- ti personali degli utenti; • controllare le misure adottate dai fornitori; • diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazio- ne non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notifi- carla all'autorità nazionale competente includen- do: • informazioni di dettaglio sulla violazione; • le conseguenze della violazione; • le misure proposte o adottate per porvi rimedio. L’esecuzione del servizio di verifica dei parametri funzionali della rete (penetration/intrusion test) ri- sponde inoltre alle prescrizioni del Testo Unico ma- teria di protezione dei dati personali e precisa- mente a quanto indicato nel Disciplinare Tecnico in materia di misure minime di sicurezza - Allegato B al D.L. 196/2003. In particolare il punto 16 del ci- tato Allegato B specifica le regole da seguire con- tro l’accesso abusivo dei sistemi informatici, se- condo quanto indicato dall’articolo 615-ter del Codice Penale. In generale per i responsabili ICT di tutte le orga- nizzazioni per le quali la continuità operativa e/o la protezione delle informazioni e della proprietà intelletuale costituiscono fattori critici di successo, assicurarsi che i controlli di sicurezza posti in esse- re dalle proprie strutture ICT sono in linea con le normative applicabili e le buone pratiche di setto- re, costituisce elemento imprescindibile per l’eser- cizio diligente e professionale dei propri compiti. 1.2 L’ analisi del livello di sicurezza IT L’analisi di Vulnerabilità è un passo necessario per fotografare le problematiche del sistema informa- tivo. E’ il passo necessario per sapere le debolezze del sistema a 360 gradi, per poi decidere come proteggere il sistema e le trasmissioni dati. E’ un passo necessario poiché spesso valutare a priori il
39 problema e risolverlo senza una precedente ana- lisi di vulnerabilità porta a delle protezioni provvi- sorie, e spesso inutili, con il conseguente danno economico. Sulla base di una recente indagine svolta da ISA- CA VENICE CHAPTER sulla frequenza con cui aziende dell’area Nord Est svolgono una analisi di sicurezza è emerso questo dato indicativo. Considerando le statistiche sugli incidenti infor- matici, la maggior parte degli attacchi (circa il 65%) sono stati realizzati con tecniche ben note. Per cui con la realizzazione di un Penetration Te- st queste vulnerabilità potrebbero essere mitiga- te, se non eliminate, con una certa facilità. Come indicato dal Clusit nel report 2012 i rischi informatici come lo spionaggio industriale o l’ac- cesso abusivo ai sistemi nella PMI non sono gene- ralmente percepiti. I rischi correlati alle informazio- ni possono portare a situazioni critiche, quando vanno ad investire l’essenza dell’organizzazione, sul piano aziendale e legale. I rischi correlati alle informazioni possono portare pertanto a catego- rie di rischio più generali e a maggiore criticità quali: • rischio legale/legato agli adempimenti è il ri- schio derivante da violazioni o mancato rispet- to di leggi, norme contabili, regolamenti, prassi o norme etiche. I rischi legali o correlati agli adempimenti possono esporre l’organizzazione a pubblicità negativa, ammende, sanzioni pe- nali e civili, pagamento dei danni e annullamen- to dei contratti. Il furto di informazioni relative ai clienti, come le informazioni sulle carte di credi- to, le informazioni finanziarie, le informazioni sani- tarie o altri dati personali possono anche solle- vare rischi potenziali in termini di rivendicazioni di terzi. In riconoscimento del fatto che la sicu- rezza delle informazioni è una problematica cre- scente e composita, ma anche per tutelare i di- ritti civili e coinvolgere la responsabilità delle aziende, i governi dell’UE e l’Unione europea hanno stabilito leggi e regolamenti il cui rispetto è previsto da parte di tutte le organizzazioni, a prescindere dalle dimensioni o dal settore. Que- ste norme obbligano le società ad implementa- re controlli interni volti a proteggere l’azienda dai rischi informatici. Esse mirano anche a mi- gliorare le prassi e le procedure di gestione del rischio; • rischi di stabilità finanziaria. La mancanza di adeguate infrastrutture di produzione, di infra- strutture gestionali o di personale per persegui- re la strategia aziendale può far sì che la so- cietà non sia in grado di conseguire gli obietti- vi dichiarati e gli obiettivi finanziari in un am- biente ben gestito e controllato. Una inadegua- ta gestione della sicurezza delle informazioni può ricadere sui rischi relativi alla stabilità fi- nanziaria dell’organizzazione, i quali rischi a lo- ro volta, possono aprire la porta a frode, rici- claggio di denaro, instabilità finanziaria, ecc. • il rischio produttività è il rischio di riportare perdite operative e di erogare servizi carenti al- la clientela per effetto del mancato rispetto del- le procedure di lavorazione di base e dei relati- vi controlli. Questo rischio si riferisce solitamen- te a tutte le attività di produzione che contribui- scono in qualche modo alla consegna com- plessiva di un prodotto o di un servizio. Il rischio produttività non è limitato all’uso delle tecnolo- gie: può anche essere il risultato di attività or- ganizzative. In questa famiglia di rischio rientra- no i rischi derivanti da sistemi inadeguati o scarsamente controllati, dal software utilizzato a supporto degli operatori di sportello alle ope- razioni di gestione del rischio, dalla contabilità ad altre unità aziendali. Una inadeguata ge- stione della sicurezza delle informazioni può determinare rischi di produttività elevati, fra cui elevati costi operativi, carenze operative, debo- lezza delle decisioni manageriali, nonché man- canza di privacy ed interruzione del servizio al- la clientela. • reputazione e fiducia nella clientela. Forse il ri- schio più difficile da comprendere, ma anche uno dei più importanti, è il rischio di danno al- la reputazione, un bene immateriale ma impor- tante. I clienti, che hanno magari letto sul gior- nale che la banca dati della società, che con- tiene i numeri delle carte di credito, è stata ag- gredita dagli hacker, saranno disposti a fornire in seguito il numero della propria carta di cre- dito? I vertici aziendali rimarranno al loro posto, in una società così danneggiata? Quale sarà la reazione degli azionisti? Qual è la prevista perdita di reddito futuro? Qual è la per- dita prevista in termini di capitalizzazione di mercato? I

Recommended

Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3Luca Moroni ✔✔
 
IT Governance
IT GovernanceIT Governance
IT GovernanceLuca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Un Volo Sulla Cybersecurity
Un Volo Sulla CybersecurityUn Volo Sulla Cybersecurity
Un Volo Sulla CybersecurityLuca Moroni ✔✔
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Luca Moroni ✔✔
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 

Recommended

Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3Luca Moroni ✔✔
 
IT Governance
IT GovernanceIT Governance
IT GovernanceLuca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Un Volo Sulla Cybersecurity
Un Volo Sulla CybersecurityUn Volo Sulla Cybersecurity
Un Volo Sulla CybersecurityLuca Moroni ✔✔
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Luca Moroni ✔✔
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Padova 13 pontoni v3
Padova 13 pontoni v3Padova 13 pontoni v3
Padova 13 pontoni v3Luca Moroni ✔✔
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Luca_Moroni
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZAVincenzo Calabrò
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 

More Related Content

What's hot

Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Luca_Moroni
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013Elena Vaciago
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 

What's hot (19)

Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importante
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Caso 3
Caso 3Caso 3
Caso 3
 
Padova 13 pontoni v3
Padova 13 pontoni v3Padova 13 pontoni v3
Padova 13 pontoni v3
 
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori ...
 
TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013TIG White Paper Trends della Cybersecurity _maggio 2013
TIG White Paper Trends della Cybersecurity _maggio 2013
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 

Similar to Articolo aprile 2013 ict security

Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Alfredo Visconti
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITVincenzo Calabrò
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAVincenzo Calabrò
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017Maurizio Milazzo
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 

Similar to Articolo aprile 2013 ict security (20)

Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
 
Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1
 
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionali
 
UN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZAUN APPROCCIO INTEGRATO ALLA SICUREZZA
UN APPROCCIO INTEGRATO ALLA SICUREZZA
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Company profile Polaris
Company profile PolarisCompany profile Polaris
Company profile Polaris
 
Company profile Polaris
Company profile Polaris Company profile Polaris
Company profile Polaris
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 

More from Luca Moroni ✔✔

Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton Spa
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaGenerazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton Spa
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaLuca Moroni ✔✔
 
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Cyber Security Awareness of Critical Infrastructures in North East of Italy S...
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Luca Moroni ✔✔
 
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Luca Moroni ✔✔
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreLuca Moroni ✔✔
 
IoT: utile di sicuro. Ma sicuro?
IoT: utile di sicuro. Ma sicuro?IoT: utile di sicuro. Ma sicuro?
IoT: utile di sicuro. Ma sicuro?Luca Moroni ✔✔
 
Frequently Asked Questions sulla Cyber Risk Insurance
Frequently Asked Questions sulla Cyber Risk InsuranceFrequently Asked Questions sulla Cyber Risk Insurance
Frequently Asked Questions sulla Cyber Risk InsuranceLuca Moroni ✔✔
 
Aricolo realtà industriale dic 2016 sulle polizze cyber
Aricolo realtà industriale dic 2016 sulle polizze cyberAricolo realtà industriale dic 2016 sulle polizze cyber
Aricolo realtà industriale dic 2016 sulle polizze cyberLuca Moroni ✔✔
 
Convegno Università di Trento Sicurezza nei settori critici
Convegno Università di Trento Sicurezza nei settori criticiConvegno Università di Trento Sicurezza nei settori critici
Convegno Università di Trento Sicurezza nei settori criticiLuca Moroni ✔✔
 
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation Luca Moroni ✔✔
 
ISACA SLOVENIA CHAPTER October 2016 - Lubiana
ISACA SLOVENIA CHAPTER October 2016 - LubianaISACA SLOVENIA CHAPTER October 2016 - Lubiana
ISACA SLOVENIA CHAPTER October 2016 - LubianaLuca Moroni ✔✔
 
Presentazione Security Challenga 12/9/16 Bologna
Presentazione Security Challenga 12/9/16 BolognaPresentazione Security Challenga 12/9/16 Bologna
Presentazione Security Challenga 12/9/16 BolognaLuca Moroni ✔✔
 
Moroni Articolo Realta Industriale Marzo 2016
Moroni Articolo Realta Industriale Marzo 2016Moroni Articolo Realta Industriale Marzo 2016
Moroni Articolo Realta Industriale Marzo 2016Luca Moroni ✔✔
 
Articolo realtà industriale luglio agosto 2015
Articolo realtà industriale luglio agosto 2015Articolo realtà industriale luglio agosto 2015
Articolo realtà industriale luglio agosto 2015Luca Moroni ✔✔
 
Presentazione soluzione governance risk compliance
Presentazione soluzione governance risk compliancePresentazione soluzione governance risk compliance
Presentazione soluzione governance risk complianceLuca Moroni ✔✔
 

More from Luca Moroni ✔✔ (17)

Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton Spa
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaGenerazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton Spa
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton Spa
 
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Cyber Security Awareness of Critical Infrastructures in North East of Italy S...
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...
 
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...
 
Articolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 oreArticolo Via Virtuosa Sole 24 ore
Articolo Via Virtuosa Sole 24 ore
 
IoT: utile di sicuro. Ma sicuro?
IoT: utile di sicuro. Ma sicuro?IoT: utile di sicuro. Ma sicuro?
IoT: utile di sicuro. Ma sicuro?
 
Caso ip mosaic 2007
Caso ip mosaic 2007Caso ip mosaic 2007
Caso ip mosaic 2007
 
Frequently Asked Questions sulla Cyber Risk Insurance
Frequently Asked Questions sulla Cyber Risk InsuranceFrequently Asked Questions sulla Cyber Risk Insurance
Frequently Asked Questions sulla Cyber Risk Insurance
 
Aricolo realtà industriale dic 2016 sulle polizze cyber
Aricolo realtà industriale dic 2016 sulle polizze cyberAricolo realtà industriale dic 2016 sulle polizze cyber
Aricolo realtà industriale dic 2016 sulle polizze cyber
 
Realtà industriale 01 2015
Realtà industriale 01 2015Realtà industriale 01 2015
Realtà industriale 01 2015
 
Convegno Università di Trento Sicurezza nei settori critici
Convegno Università di Trento Sicurezza nei settori criticiConvegno Università di Trento Sicurezza nei settori critici
Convegno Università di Trento Sicurezza nei settori critici
 
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation
INFOSEK 2016 Slovenia - Cyber Risk Insurance - Scenario and Evaluation
 
ISACA SLOVENIA CHAPTER October 2016 - Lubiana
ISACA SLOVENIA CHAPTER October 2016 - LubianaISACA SLOVENIA CHAPTER October 2016 - Lubiana
ISACA SLOVENIA CHAPTER October 2016 - Lubiana
 
Presentazione Security Challenga 12/9/16 Bologna
Presentazione Security Challenga 12/9/16 BolognaPresentazione Security Challenga 12/9/16 Bologna
Presentazione Security Challenga 12/9/16 Bologna
 
Analisi del rischio Cyber
Analisi del rischio CyberAnalisi del rischio Cyber
Analisi del rischio Cyber
 
Moroni Articolo Realta Industriale Marzo 2016
Moroni Articolo Realta Industriale Marzo 2016Moroni Articolo Realta Industriale Marzo 2016
Moroni Articolo Realta Industriale Marzo 2016
 
Articolo realtà industriale luglio agosto 2015
Articolo realtà industriale luglio agosto 2015Articolo realtà industriale luglio agosto 2015
Articolo realtà industriale luglio agosto 2015
 
Presentazione soluzione governance risk compliance
Presentazione soluzione governance risk compliancePresentazione soluzione governance risk compliance
Presentazione soluzione governance risk compliance
 

Articolo aprile 2013 ict security

  • 1. I n assenza di termini di riferimento oggettivi le misure di si- curezza adottate da ciascuna organizzazione sono natu- ralmente correlete alla percezione del rischio. Dove tale percezione è chiara e condivisa le misure di sicurezza so- no predisposte in modo quasi naturale. Infatti ogni azienda si assicura contro eventi come l'incendio ed il furto, e anche se assicurata nessuna azienda tralascia di chiudere a chiave gli uffici, di far installare un antifurto nel ma- gazzino, o anche di ingaggiate guardie giurate per controlla- re gli stabili. Spesso invece le misure volte a prevenire il manifestarsi di rischi attinenti la sicurezza logica, quella che difende le reti ed i siste- mi aziendali da accessi indesiderati e da modifiche malevole, vengono trascurate, a volte anche sotto le spinte competitive a comunicare di più, a integrare i propri dati con quelli dei pro- pri clienti o fornitori, a diffondere il proprio know how tra i di- pendenti. E, contemporaneamente, l'azienda deve continuare a propor- re prodotti sempre migliori, con caratteristiche diverse, con co- sti più bassi rispetto alla concorrenza. Qual' è il senso di spen- dere tanto per sviluppare un nuovo prodotto o un nuovo servi- zio, per poi non proteggere adeguatamente i risultati di questo investimento? Tuttavia un accesso indesiderato o fraudolento ai sistemi infor- mativi di un’azienda può causare danni anche gravi, che pos- sono arrivare a mettere a repentaglio la sopravvivenza azien- dale. Ad esempio, nell'estate del 2012 una media azienda del padovano è stata sottoposta ad attacco da parte di enti ester- ni. Non è chiaro quale fosse l'obbiettivo dell'attacco, ma nei fatti sono stati cancellati tutti i dati, inclusi i dati gestionali, i docu- Primo Quaderno di ISACAVENICE Chapter ISACAVENICE CHAPTER È un’associazione non profit costituita inVenezia nel novembre 2011 da un gruppo di professionisti delTriveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi. Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance,Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA. Iscrivendosi ad ISACAVENICE automaticamente si è soci di ISACA,e si ha la possibilità di accedere gratuitamente ai meeting di ISACAVENICE Chapter ed ai webcasts ed e-Simposium di ISACA,iscriversi ad un prezzo scontato ai corsi di preparazione agli esami CISA©,CISM©,CGEIT©, CRISC©,COBIT5© Foundation. 34 Penetratio per le PMI
  • 2. menti di progetto e quelli commerciali: il danno subito è stato ingente, con un fermo di diversi giorni. Il fatto è stato denuncia- to alla polizia postale, e sembra che l'obiettivo dei malviventi fosse quello impadronirsi di alcuni segreti industriali. Questa azienda, come quasi tutte quelle che subiscono tali incidenti, non vuole tuttavia essere citata. Un penetration test ha una utilità analoga a quella di un con- trollo notturno: un ente esterno, su richiesta, controlla periodi- camente che l'azienda sia sufficientemente protetta da acces- si indesiderati dall'esterno. I risultati consentono di capire i punti deboli che potrebbero essere sfruttati da malintenziona- ti, e quindi di porvi rimedio evitando gli errori banali e limitan- do i danni. Numerosi documenti discutono le attività di analisi della sicu- rezza quali vulnerability assessment e penetration test dal pun- to di vista del fornitore, proponendo metodologie e pratiche di riferimento. Un numero minore di documenti è invece dedica- to al punto di vista del cliente, e ancora più ridotta è l’attenzio- ne rivolta alle PMI, piccole e medie imprese. Obiettivo di questo documento è circostanziare il valore ag- giunto di un buon penetration test per una PMI, descrivere le caratteristiche desiderabili per l'esecuzione di un penetration test e suggerire linee guida per la selezione dei fornitori atti a svolgere attività di tale natura. Sono state definite in particola- re buone pratiche e aspetti critici cui porre attenzione nel commissionare un Penetration Test da parte di una PMI. Non vi è dubbio che se occorre un livello di sicurezza elevato, bisogna tener conto di tutta la complessità della gestione del- la sicurezza, fra cui un affinamento dei dati, delle misure e del- le tecnologie corrispondenti. A questo proposito, le idee e il modello qui presentati sono ritenuti coprire un livello di sicurez- LUCA MORONI CISA® Certified Information System Auditor Aprile 2013 ICT Security 35 on test I Luca Moroni certificato CISA e ITIL Foundation è stato il coordinatore del gruppo di lavoro del Quaderno di ISACA VENICE Chapter. Laureato in Informatica a Milano professionista (ai sensi della legge 4/2013) da 15 anni è appassionato di Sicurezza Informatica a livello professionale. Si occupa di selezionare le aziende fornitrici nell’ambito della sicurezza ICT in base alle loro competenze specifiche.Vive in provincia di Vicenza e opera in area Nord Est.
  • 3. 36 za accettabile per le piccole organizzazioni, i cui investimenti in sicurezza sono più ridotti. Forme più avanzate di sicurezza (ad esempio, componenti infrastrutturali critiche) richiederebbero una tratta- zione più ampia che va al di là dello scopo del presente documento. Il valore del patrimonio immateriale delle PMI è spesso noto soltanto in parte. Questo è tipicamen- te il caso di uno degli asset più importanti, vale a dire, le informazioni. È indispensabile che i respon- sabili delle PMI comprendano il valore delle infor- mazioni contenute all’interno del proprio sistema aziendale e dispongano di un quadro entro il quale valutare ed implementare la sicurezza delle informazioni. Prendendo spunto dalla esecuzione di una anali- si da parte di un fornitore esterno si suggerisce di avviare, comprendere ed attuare processi formali di sicurezza del patrimonio informativo, compren- denti anche misure tecniche ed organizzative. Senza misure di questo tipo, l’azienda può risulta- re seriamente danneggiata da minacce involon- tarie/attacchi deliberati ai propri sistemi informati- vi, tali da poter determinare in ultima analisi la cessazione dell’attività. Anche se è la formula più economica per la PMI abbiamo scartato autovalutazioni specifiche di Penetration Test che invece è accettabile se ci si li-
  • 4. 37 mita ad analisi automatiche di livello più basso denominate Vulnerabilty Assesment. Pertanto la metodologia proposta serve per identificare team di specialisti indipendenti esterni (il cosiddetto “Ti- ger Team)1”. Ringrazio tutti i partecipanti al gruppo di ap- profondimento per l’impegno e la disponibilità of- ferta nella realizzazione di questo documento. Luca Moroni SCOPO DEL DOCUMENTO L’IT di tutte le imprese, in quanto connesso con servizi e ambienti esterni, è soggetto ad attacchi e vulnerabilità che possono compromettere la sicu- rezza dei dati aziendali. L’esecuzione di sistematici Vulnerability Assessement e Penetration Test è or- mai una buona pratica adottata generalmente per analizzare il grado di sicurezza rispetto a mi- nacce esterne. In tale contesto il supporto offerto all’Utente ed alla Piccola-Media Impresa è suscet- tibile di miglioramenti. Per offrire un contributo alla selezione di un ap- proccio adeguato a tali stakeholder, ISACA VENI- CE Chapter ha avviato un Gruppo di Approfondi- mento per redigere delle linee guida per l’Utente e le PMI nell’utilizzo di verifiche di sicurezza, in par- ticolare Vulnerability Assessment e Penetration Test svolte da terze parti. Lo scopo del presente documento è quello di illu- strare i risultati ottenuti dal Gruppo di Ricerca, sti- molando nei lettori l’interesse all’argomento trat- tato ed agli opportuni approfondimenti. DESTINATARI DEL DOCUMENTO Questo articolo si pone come obiettivo quello di definire i requisiti che una azienda deve valutare nel commissionare un servizio di Penetration Test ad un fornitore esterno. I destinatari naturali del documento sono i re- sponsabili che nella PMI intendono commissiona- re una analisi di sicurezza sulle risorse informati- che dell’azienda che vi possono trovare, oltre ad un’esposizione razionale dei concetti ed un’omo- geneizzazione delle definizioni, lo spunto per la pratica creazione di una metodologia più specifi- ca sulla gestione del rischio IT, utile nel proprio ambito lavorativo. QUICK SURVEY Il Gruppo di Approfondimento ha predisposto un Quick Survey per rilevare più approfonditamente il livello di utilizzo di queste tecniche da parte delle imprese del Nord Est d’Italia. Nello specifico questi sono stati i quesiti: • Ogni quanto svolge un PENETRATION TEST • Su quale base sceglie il fornitore • Ha mai svolto delle analisi di sicurezza nel peri- metro interno. Dove l'analisi è composta da una serie di processi che simulano le azioni normal- mente svolte da un dipendente o consulente nella rete interna. • Quale sono gli aspetti per le attività svolte in passato di cui sono stato PIU’ soddisfatto (anche più di una risposta) • Quale sono gli aspetti per le attività svolte in passato di cui sono stato MENO soddisfatto (an- che più di una risposta) Tale indagine trova riscontro e viene utilizzata in più punti del presente documento fornendo an- che degli spunti di riflessione. Il campione delle aziende che hanno risposto costituito da 50 que- stionari compilati è suddiviso nel seguente modo indicato nelle tabelle presenti nella pagina a fian- co. 1 INTRODUZIONE In un periodo di contenimento dei costi quelli sul- la sicurezza riguardano oggi: costo monetario dei dispositivi, protezioni, strumenti, servizi, aggravio dei tempi per attenersi a procedure, aumento di complessità operativa. Ma la Sicurezza è anche investimento, se si considerano le conseguenze della assenza o inadeguatezza delle misure pro- tettive. Il problema è come bilanciare costi con esigenze pertanto rischi con protezioni. Il Global Risk Report 2012 del World Economic Fo- rum, analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, nella sezione “Rischi tecnologici” po- ne al primo posto il Cybercrime. La vulnerabilità nel settore dell‘information secu- rity è definita come elemento di un particolare settore che possa compromettere la sicurezza informatica dell’intero sistema. Per sicurezza informatica si intende la tutela delle seguenti caratteristiche: confidenzialità, integrità, disponibilità ed autenticazione. Qualora una de- bolezza del sistema informativo comprometta una delle sopradette caratteristiche si riscontra una vulnerabilità. L’analisi di vulnerabilità è il passo successivo alla visione dell’architettura, definizione degli obiettivi e valutazione dei beni aziendali. L’obiettivo di un test è quello di verificare il comportamento a fron- te di una sollecitazione in una particolare condi- zione e verificare lo scostamento rispetto alle atte- se. Le vulnerabilità sono individuabili principalmente in tre categorie, che rappresentano tre diversi livel- li da analizzare per la sicurezza: la rete, i sistemi e gli applicativi. Successivamente sono riportate le definizioni dei livelli che analizzeremo e le relative problematiche. 1.1 Richiami di legge L’adozione di specifiche misure di sicurezza logica
  • 5. 38 costituisce in sempre più numerosi settori un obbli- go normativo previsto dalla legge o dai regole- menti di settore. Vedi ad esempio le norme con- cernenti i settori finanziario, assicurativo e delle carte di credito. Per il settore delle comuinicazioni elettroniche ad esemio dal primo giugno 2012 è in vigore il Decre- to legislativo 28 maggio 2012, n. 69 che recepisce, tra l'altro, la direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroni- che. Grande rilievo assume la sicurezza e l'integrità del- le reti di comunicazione elettronica accessibili al pubblico, con riferimento alle quali il ministero in- dividua adeguate misure di natura tecnica e or- ganizzativa per assicurare la sicurezza delle reti e dei servizi di comunicazione elettronica accessibi- li al pubblico, nonché per garantire l'integrità del- le reti. Oggi il fornitore di un servizio di comunicazione elettronica accessibile al pubblico (ma è prevedi- bile che sia recepito globalmente), oltre ad istitui- re una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: • monitoraggio; • prevenzione; • correzione; • attenuazione. Le autorità nazionali, al fine di difendere gli interes- si dei cittadini, devono assicurare un elevato livel- lo di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: • disporre dei dati completi ed affidabili sugli inci- denti di sicurezza che hanno compromesso i da- ti personali degli utenti; • controllare le misure adottate dai fornitori; • diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazio- ne non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notifi- carla all'autorità nazionale competente includen- do: • informazioni di dettaglio sulla violazione; • le conseguenze della violazione; • le misure proposte o adottate per porvi rimedio. L’esecuzione del servizio di verifica dei parametri funzionali della rete (penetration/intrusion test) ri- sponde inoltre alle prescrizioni del Testo Unico ma- teria di protezione dei dati personali e precisa- mente a quanto indicato nel Disciplinare Tecnico in materia di misure minime di sicurezza - Allegato B al D.L. 196/2003. In particolare il punto 16 del ci- tato Allegato B specifica le regole da seguire con- tro l’accesso abusivo dei sistemi informatici, se- condo quanto indicato dall’articolo 615-ter del Codice Penale. In generale per i responsabili ICT di tutte le orga- nizzazioni per le quali la continuità operativa e/o la protezione delle informazioni e della proprietà intelletuale costituiscono fattori critici di successo, assicurarsi che i controlli di sicurezza posti in esse- re dalle proprie strutture ICT sono in linea con le normative applicabili e le buone pratiche di setto- re, costituisce elemento imprescindibile per l’eser- cizio diligente e professionale dei propri compiti. 1.2 L’ analisi del livello di sicurezza IT L’analisi di Vulnerabilità è un passo necessario per fotografare le problematiche del sistema informa- tivo. E’ il passo necessario per sapere le debolezze del sistema a 360 gradi, per poi decidere come proteggere il sistema e le trasmissioni dati. E’ un passo necessario poiché spesso valutare a priori il
  • 6. 39 problema e risolverlo senza una precedente ana- lisi di vulnerabilità porta a delle protezioni provvi- sorie, e spesso inutili, con il conseguente danno economico. Sulla base di una recente indagine svolta da ISA- CA VENICE CHAPTER sulla frequenza con cui aziende dell’area Nord Est svolgono una analisi di sicurezza è emerso questo dato indicativo. Considerando le statistiche sugli incidenti infor- matici, la maggior parte degli attacchi (circa il 65%) sono stati realizzati con tecniche ben note. Per cui con la realizzazione di un Penetration Te- st queste vulnerabilità potrebbero essere mitiga- te, se non eliminate, con una certa facilità. Come indicato dal Clusit nel report 2012 i rischi informatici come lo spionaggio industriale o l’ac- cesso abusivo ai sistemi nella PMI non sono gene- ralmente percepiti. I rischi correlati alle informazio- ni possono portare a situazioni critiche, quando vanno ad investire l’essenza dell’organizzazione, sul piano aziendale e legale. I rischi correlati alle informazioni possono portare pertanto a catego- rie di rischio più generali e a maggiore criticità quali: • rischio legale/legato agli adempimenti è il ri- schio derivante da violazioni o mancato rispet- to di leggi, norme contabili, regolamenti, prassi o norme etiche. I rischi legali o correlati agli adempimenti possono esporre l’organizzazione a pubblicità negativa, ammende, sanzioni pe- nali e civili, pagamento dei danni e annullamen- to dei contratti. Il furto di informazioni relative ai clienti, come le informazioni sulle carte di credi- to, le informazioni finanziarie, le informazioni sani- tarie o altri dati personali possono anche solle- vare rischi potenziali in termini di rivendicazioni di terzi. In riconoscimento del fatto che la sicu- rezza delle informazioni è una problematica cre- scente e composita, ma anche per tutelare i di- ritti civili e coinvolgere la responsabilità delle aziende, i governi dell’UE e l’Unione europea hanno stabilito leggi e regolamenti il cui rispetto è previsto da parte di tutte le organizzazioni, a prescindere dalle dimensioni o dal settore. Que- ste norme obbligano le società ad implementa- re controlli interni volti a proteggere l’azienda dai rischi informatici. Esse mirano anche a mi- gliorare le prassi e le procedure di gestione del rischio; • rischi di stabilità finanziaria. La mancanza di adeguate infrastrutture di produzione, di infra- strutture gestionali o di personale per persegui- re la strategia aziendale può far sì che la so- cietà non sia in grado di conseguire gli obietti- vi dichiarati e gli obiettivi finanziari in un am- biente ben gestito e controllato. Una inadegua- ta gestione della sicurezza delle informazioni può ricadere sui rischi relativi alla stabilità fi- nanziaria dell’organizzazione, i quali rischi a lo- ro volta, possono aprire la porta a frode, rici- claggio di denaro, instabilità finanziaria, ecc. • il rischio produttività è il rischio di riportare perdite operative e di erogare servizi carenti al- la clientela per effetto del mancato rispetto del- le procedure di lavorazione di base e dei relati- vi controlli. Questo rischio si riferisce solitamen- te a tutte le attività di produzione che contribui- scono in qualche modo alla consegna com- plessiva di un prodotto o di un servizio. Il rischio produttività non è limitato all’uso delle tecnolo- gie: può anche essere il risultato di attività or- ganizzative. In questa famiglia di rischio rientra- no i rischi derivanti da sistemi inadeguati o scarsamente controllati, dal software utilizzato a supporto degli operatori di sportello alle ope- razioni di gestione del rischio, dalla contabilità ad altre unità aziendali. Una inadeguata ge- stione della sicurezza delle informazioni può determinare rischi di produttività elevati, fra cui elevati costi operativi, carenze operative, debo- lezza delle decisioni manageriali, nonché man- canza di privacy ed interruzione del servizio al- la clientela. • reputazione e fiducia nella clientela. Forse il ri- schio più difficile da comprendere, ma anche uno dei più importanti, è il rischio di danno al- la reputazione, un bene immateriale ma impor- tante. I clienti, che hanno magari letto sul gior- nale che la banca dati della società, che con- tiene i numeri delle carte di credito, è stata ag- gredita dagli hacker, saranno disposti a fornire in seguito il numero della propria carta di cre- dito? I vertici aziendali rimarranno al loro posto, in una società così danneggiata? Quale sarà la reazione degli azionisti? Qual è la prevista perdita di reddito futuro? Qual è la per- dita prevista in termini di capitalizzazione di mercato? I