SlideShare a Scribd company logo

Smau milano 2013 paolo perego

SMAU
SMAU
1 of 56
Download to read offline
Io faccio application security, e tu? Smau - Milano, Italy - Ottobre 2013 @armoredcode Thursday, October 24, 13
self.inspect https://github.com/thesp0nge @thesp0nge http://armoredcode.com Thursday, October 24, 13
Un gioco: la scorecard dell’application security • 4 categorie: tool, team, workflow, awareness • • • 5 temi per ciascuna categoria ciascun tema vedrà assegnato un punteggio a fine talk avrete un metro per giudicare la vostra application security 3 Thursday, October 24, 13
1. I tool • L’efficacia di uno strumento è indipendente dal suo costo a budget • “A fool with a tool is still a fool” • Le aree che dovrete coprire riguardano: • gli asset fisici (server, postazioni di lavoro, apparati di rete) • i database • le applicazioni web (test dinamici e test statici) 4 Thursday, October 24, 13
1. I tool “Come scegli i tuoi strumenti? Licenze commerciali o tool opensource” Risposta Punteggio Vengono utilizzati sia tool commerciali che opensource +3 Abbiamo solo strumenti commerciali / opensource +1 Non abbiamo alcun strumento di scansione automatica -2 5 Thursday, October 24, 13
1. I tool “Come scegli i tuoi strumenti? Licenze commerciali o tool opensource” Risposta Punteggio Vengono utilizzati sia tool commerciali che opensource +3 Abbiamo solo strumenti commerciali / opensource +1 Non abbiamo alcun strumento di scansione automatica -2 5 Thursday, October 24, 13
1. I tool “Qual è stato il criterio di valutazione per la scelta dei tool?” Risposta Punteggio Leggendo su blog e forum quali fossero gli strumenti migliori +3 Scelti dal magic quadrant Gartner +1 Per il blasone del vendor -2 6 Thursday, October 24, 13
1. I tool “Qual è stato il criterio di valutazione per la scelta dei tool?” Risposta Punteggio Leggendo su blog e forum quali fossero gli strumenti migliori +3 Scelti dal magic quadrant Gartner +1 Per il blasone del vendor -2 6 Thursday, October 24, 13
1. I tool “Sono stati scelti solamente strumenti commerciali?” Risposta Punteggio No, sono stati scelti in base alla loro usabilità/ caratteristiche +3 Sì, il supporto in caso di problemi è la cosa più importante 0 Sì, il tool più costoso è sinonimo di affidabile -2 7 Thursday, October 24, 13
1. I tool “Sono stati scelti solamente strumenti commerciali?” Risposta Punteggio No, sono stati scelti in base alla loro usabilità/ caratteristiche +3 Sì, il supporto in caso di problemi è la cosa più importante 0 Sì, il tool più costoso è sinonimo di affidabile -2 7 Thursday, October 24, 13
1. I tool “I tool possono interagire tra di loro? Esistono delle API?” Risposta Punteggio Sì +3 No 0 8 Thursday, October 24, 13
1. I tool “I tool possono interagire tra di loro? Esistono delle API?” Risposta Punteggio Sì +3 No 0 8 Thursday, October 24, 13
1. I tool “I tuoi strumenti vengono effettivamente utilizzati?” Risposta Punteggio Sì, quotidianamente +3 Sì, qualche volta -1 No, mai -2 9 Thursday, October 24, 13
1. I tool “I tuoi strumenti vengono effettivamente utilizzati?” Risposta Punteggio Sì, quotidianamente +3 Sì, qualche volta -1 No, mai -2 9 Thursday, October 24, 13
2. Il team • • Un team preparato e motivato è alla base • Il team deve mantenersi aggiornato ed avere buone competenze tecniche (almeno pari a quelle degli attaccanti) Il team deve essere di una numerosità adeguata per dare un servizio di qualità 10 Thursday, October 24, 13
2. Il team “Esiste in azienda un team interno che si occupa di application security?” Risposta Punteggio Sì, ci sono anche delle persone interne per i test +4 Sì, ma si occupano solo di coordinare i fornitori +2 No, la parte tecnologica di test è totalmente esternalizzata -4 11 Thursday, October 24, 13
2. Il team “Esiste in azienda un team interno che si occupa di application security?” Risposta Punteggio Sì, ci sono anche delle persone interne per i test +4 Sì, ma si occupano solo di coordinare i fornitori +2 No, la parte tecnologica di test è totalmente esternalizzata -4 11 Thursday, October 24, 13
2. Il team “Il tuo team spende del tempo nella lettura di blog/ fonti twitter di appsec/riviste tecniche di settore?” Risposta Punteggio Sì, regolarmente +4 Sì, a volte +2 No, mai / Non so -4 12 Thursday, October 24, 13
2. Il team “Il tuo team spende del tempo nella lettura di blog/ fonti twitter di appsec/riviste tecniche di settore?” Risposta Punteggio Sì, regolarmente +4 Sì, a volte +2 No, mai / Non so -4 12 Thursday, October 24, 13
2. Il team “Il tuo team ha il giusto committment?” Risposta Punteggio Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro +4 Danno un loro contributo tecnico ma la decisione è del security manager +2 Non sono interpellati su decisioni strategiche -4 13 Thursday, October 24, 13
2. Il team “Il tuo team ha il giusto committment?” Risposta Punteggio Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro +4 Danno un loro contributo tecnico ma la decisione è del security manager +2 Non sono interpellati su decisioni strategiche -4 13 Thursday, October 24, 13
2. Il team “Il tuo team ha il giusto training?” Risposta Punteggio Hanno a disposizione un budget per libri/ conferenze/corsi +4 Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team +2 Non hanno un percorso formativo all'interno del loro lavoro -4 14 Thursday, October 24, 13
2. Il team “Il tuo team ha il giusto training?” Risposta Punteggio Hanno a disposizione un budget per libri/ conferenze/corsi +4 Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team +2 Non hanno un percorso formativo all'interno del loro lavoro -4 14 Thursday, October 24, 13
2. Il team “Il tuo team partecipa a conferenze e/o community di settore?” Risposta Punteggio Sì, spesso anche come relatori in conferenze tematiche +4 Sì, ma hanno un ruolo passivo +2 No -4 15 Thursday, October 24, 13
2. Il team “Il tuo team partecipa a conferenze e/o community di settore?” Risposta Punteggio Sì, spesso anche come relatori in conferenze tematiche +4 Sì, ma hanno un ruolo passivo +2 No -4 15 Thursday, October 24, 13
3. Il workflow • Procedure snelle ed ergonomiche sono alla base di un processo efficace di application security • Solo questa categoria ha un bonus per ciascun tema 16 Thursday, October 24, 13
3. Il workflow “Esiste una procedura di vulnerability management per server?” Risposta Punteggio Sì, server, desktop e laptop aziendali (*) +2 Sì, solo per i server (*) +1 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 17 Thursday, October 24, 13
3. Il workflow “Esiste una procedura di vulnerability management per server?” Risposta Punteggio Sì, server, desktop e laptop aziendali (*) +2 Sì, solo per i server (*) +1 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 17 Thursday, October 24, 13
3. Il workflow “Sono applicate procedure di hardening secondo uno standard di compliance?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 18 Thursday, October 24, 13
3. Il workflow “Sono applicate procedure di hardening secondo uno standard di compliance?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 18 Thursday, October 24, 13
3. Il workflow “Vengono eseguiti regolarmente dei penetration test sulle web application?” Risposta Punteggio Sì (*) +2 Solo al momento del rilascio (*) +1 No -5 (*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo 19 Thursday, October 24, 13
3. Il workflow “Vengono eseguiti regolarmente dei penetration test sulle web application?” Risposta Punteggio Sì (*) +2 Solo al momento del rilascio (*) +1 No -5 (*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo 19 Thursday, October 24, 13
3. Il workflow “Vengono eseguite regolarmente revisioni del codice applicativo?” Risposta Punteggio Sì, ad ogni minor release dei software critici per l'azienda +5 Sì, ma solo per le major release dei software critici per l'azienda +2 Sì, ma solo al rilascio di una nuova applicazione -2 No -5 20 Thursday, October 24, 13
3. Il workflow “Vengono eseguite regolarmente revisioni del codice applicativo?” Risposta Punteggio Sì, ad ogni minor release dei software critici per l'azienda +5 Sì, ma solo per le major release dei software critici per l'azienda +2 Sì, ma solo al rilascio di una nuova applicazione -2 No -5 20 Thursday, October 24, 13
3. Il workflow “Vengono effettuati periodicamente degli assessment sui database?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo 21 Thursday, October 24, 13
3. Il workflow “Vengono effettuati periodicamente degli assessment sui database?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo 21 Thursday, October 24, 13
4. Awareness • La consapevolezza delle possibili minacce interne/esterne è il primo passo per un buon processo di application security • • L’awareness deve essere per tutti, IT e non Pesa infatti come tutte e 3 le categorie precedenti 22 Thursday, October 24, 13
4. Awareness “Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?” Risposta Punteggio Sì, compresi i sistemisti in outsourcing presenti in azienda +10 Sì, solo i sistemisti interni +5 No -10 23 Thursday, October 24, 13
4. Awareness “Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?” Risposta Punteggio Sì, compresi i sistemisti in outsourcing presenti in azienda +10 Sì, solo i sistemisti interni +5 No -10 23 Thursday, October 24, 13
4. Awareness “Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?” Risposta Punteggio Sì, compresi gli sviluppatori in outsourcing presenti in azienda +10 Sì, solo i team di sviluppo interni +5 No -10 24 Thursday, October 24, 13
4. Awareness “Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?” Risposta Punteggio Sì, compresi gli sviluppatori in outsourcing presenti in azienda +10 Sì, solo i team di sviluppo interni +5 No -10 24 Thursday, October 24, 13
4. Awareness “Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?” Risposta Punteggio Sì, compreso il personale in outsourcing presente in azienda +10 Sì, solo i team interni +5 No -10 25 Thursday, October 24, 13
4. Awareness “Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?” Risposta Punteggio Sì, compreso il personale in outsourcing presente in azienda +10 Sì, solo i team interni +5 No -10 25 Thursday, October 24, 13
4. Awareness “Sono state emanate delle linee guida per i tuoi outsourcer?” Risposta Punteggio Sì +10 No -10 26 Thursday, October 24, 13
4. Awareness “Sono state emanate delle linee guida per i tuoi outsourcer?” Risposta Punteggio Sì +10 No -10 26 Thursday, October 24, 13
4. Awareness “Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?” Risposta Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine Sì ma vengono implementate con una procedura manuale Sì ma non vengono implementate su tutte le macchine No Punteggio +10 +5 +2 -10 27 Thursday, October 24, 13
4. Awareness “Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?” Risposta Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine Sì ma vengono implementate con una procedura manuale Sì ma non vengono implementate su tutte le macchine No Punteggio +10 +5 +2 -10 27 Thursday, October 24, 13
I punteggi Thursday, October 24, 13
Hai ottenuto più di 90 punti... A OTTIMO LAVORO 29 Thursday, October 24, 13
Hai ottenuto tra i 70 e i 90 punti... B Buon punteggio, hai ancora margini di miglioramento 30 Thursday, October 24, 13
Hai ottenuto tra i 50 e i 70 punti... C Hai iniziato ad introdurre l’application security. Non fermarti proprio ora! 31 Thursday, October 24, 13
Hai ottenuto tra i 20 e i 50 punti... D Il tuo processo di application security non è adeguato. Forse va rivisto in toto. Se hai appena iniziato, rifai questo test tra un anno e non scoraggiarti. 32 Thursday, October 24, 13
Hai ottenuto meno di 20 punti... E Al momento non si può dire che tu faccia application security in azienda. Se hai appena iniziato, ripeti questo test tra 2 anni. Se non hai appena iniziato, prova a fare una review del tuo processo. 33 Thursday, October 24, 13
Link • • http://armoredcode.com http://scorecard.armoredcode.com/it 34 Thursday, October 24, 13
Questions? Thursday, October 24, 13
Thank you! Thursday, October 24, 13

Recommended

Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
Relazione Giacomo Barbieri 25 novembre 2013 def
Relazione Giacomo Barbieri 25 novembre 2013 defRelazione Giacomo Barbieri 25 novembre 2013 def
Relazione Giacomo Barbieri 25 novembre 2013 defBarbieri & Associati Dottori Commercialisti - Bologna
 
Book The Fool Consulting
Book The Fool ConsultingBook The Fool Consulting
Book The Fool ConsultingThe Fool Consulting
 
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...B com Expo | GL events Italia
 
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better Tourism
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better TourismH-ART – Alberto Chiapponi - #SMWMLN – Social Media Better Tourism
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better TourismBTO Educational
 
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...B com Expo | GL events Italia
 
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...Matteo Flora
 
Zero Incombenze, Il tuo gestionale in un click!
Zero Incombenze, Il tuo gestionale in un click!Zero Incombenze, Il tuo gestionale in un click!
Zero Incombenze, Il tuo gestionale in un click!B com Expo | GL events Italia
 

Recommended

Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
Relazione Giacomo Barbieri 25 novembre 2013 def
Relazione Giacomo Barbieri 25 novembre 2013 defRelazione Giacomo Barbieri 25 novembre 2013 def
Relazione Giacomo Barbieri 25 novembre 2013 defBarbieri & Associati Dottori Commercialisti - Bologna
 
Book The Fool Consulting
Book The Fool ConsultingBook The Fool Consulting
Book The Fool ConsultingThe Fool Consulting
 
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...
B com 2014 | L'analisi delle dinamiche di diffusione degli UGC per le nuove s...B com Expo | GL events Italia
 
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better Tourism
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better TourismH-ART – Alberto Chiapponi - #SMWMLN – Social Media Better Tourism
H-ART – Alberto Chiapponi - #SMWMLN – Social Media Better TourismBTO Educational
 
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...
B com 2014 | Strategie di content marketing per un engagement multicanale_Pao...B com Expo | GL events Italia
 
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...
GlobaLeaks - Opensource Whistleblowing Software - Matteo Flora a La Repubblic...Matteo Flora
 
Zero Incombenze, Il tuo gestionale in un click!
Zero Incombenze, Il tuo gestionale in un click!Zero Incombenze, Il tuo gestionale in un click!
Zero Incombenze, Il tuo gestionale in un click!B com Expo | GL events Italia
 
B com 2014 | Caffeina
B com 2014 | CaffeinaB com 2014 | Caffeina
B com 2014 | CaffeinaB com Expo | GL events Italia
 
CV AMA measuring social media success
CV AMA measuring social media successCV AMA measuring social media success
CV AMA measuring social media successDean Holmes
 
The fool
The fool The fool
The fool Master in Comunicazione Digitale, Marketing, Pubblicità Interattiva - Almed - Università Cattolica del Sacro Cuore - Milano
 
BRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del clienteBRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del clienteConnexia
 
Come costruire un progetto e-commerce
Come costruire un progetto e-commerceCome costruire un progetto e-commerce
Come costruire un progetto e-commerceKettydo
 
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...We Are Social Italia
 
Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand? Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand? Ninja Academy
 
We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1We Are Social Italia
 
Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"Emerasoft, solutions to collaborate
 
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...Commit University
 
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiTecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiK-Tech Formazione
 
Quanto costa un bug?
Quanto costa un bug?Quanto costa un bug?
Quanto costa un bug?Pino Decandia
 
Le 12 pratiche
Le 12 praticheLe 12 pratiche
Le 12 praticheAndrea Francia
 
Agile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software developmentAgile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software developmentAgile Lean Conference
 
Agile software lifecycle
Agile software lifecycleAgile software lifecycle
Agile software lifecycleFrancesco Trucchia
 
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...Francesco Corti
 
Come rilasciare App di Qualità
Come rilasciare App di QualitàCome rilasciare App di Qualità
Come rilasciare App di QualitàLuca Manara
 
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...Roberto Bettazzoni
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanMiriade Spa
 
Open Source per studi professionali
Open Source per studi professionaliOpen Source per studi professionali
Open Source per studi professionaliLuigi Gregori
 
AgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agiliAgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agiliLuca Minudel
 
Agile Project Management
Agile Project ManagementAgile Project Management
Agile Project ManagementGiulio Roggero
 

More Related Content

Viewers also liked

CV AMA measuring social media success
CV AMA measuring social media successCV AMA measuring social media success
CV AMA measuring social media successDean Holmes
 
BRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del clienteBRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del clienteConnexia
 
Come costruire un progetto e-commerce
Come costruire un progetto e-commerceCome costruire un progetto e-commerce
Come costruire un progetto e-commerceKettydo
 
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...We Are Social Italia
 
Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand? Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand? Ninja Academy
 
We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1We Are Social Italia
 

Viewers also liked (8)

B com 2014 | Caffeina
B com 2014 | CaffeinaB com 2014 | Caffeina
B com 2014 | Caffeina
 
CV AMA measuring social media success
CV AMA measuring social media successCV AMA measuring social media success
CV AMA measuring social media success
 
The fool
The fool The fool
The fool
 
BRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del clienteBRAND ON, la Social Data Analysis al servizio del cliente
BRAND ON, la Social Data Analysis al servizio del cliente
 
Come costruire un progetto e-commerce
Come costruire un progetto e-commerceCome costruire un progetto e-commerce
Come costruire un progetto e-commerce
 
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
FUTURE FACTORS 2014: 10 provocazioni per un futuro sempre più connesso e inte...
 
Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand? Come coinvolgere gli influencer e proteggere la reputazione del brand?
Come coinvolgere gli influencer e proteggere la reputazione del brand?
 
We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1We Are Social, Spoiler, Trends Powered By People #1
We Are Social, Spoiler, Trends Powered By People #1
 

Similar to Smau milano 2013 paolo perego

Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...Commit University
 
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiTecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiK-Tech Formazione
 
Quanto costa un bug?
Quanto costa un bug?Quanto costa un bug?
Quanto costa un bug?Pino Decandia
 
Agile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software developmentAgile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software developmentAgile Lean Conference
 
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...Francesco Corti
 
Come rilasciare App di Qualità
Come rilasciare App di QualitàCome rilasciare App di Qualità
Come rilasciare App di QualitàLuca Manara
 
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...Roberto Bettazzoni
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanMiriade Spa
 
Open Source per studi professionali
Open Source per studi professionaliOpen Source per studi professionali
Open Source per studi professionaliLuigi Gregori
 
AgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agiliAgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agiliLuca Minudel
 
Agile Project Management
Agile Project ManagementAgile Project Management
Agile Project ManagementGiulio Roggero
 
Kaizen tools ita_191017
Kaizen tools ita_191017Kaizen tools ita_191017
Kaizen tools ita_191017Claudia Amadio
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiTeam per la Trasformazione Digitale
 
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...Pietro Di Bello
 
Presentazione noestimates
Presentazione noestimatesPresentazione noestimates
Presentazione noestimatesTommaso Torti
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 

Similar to Smau milano 2013 paolo perego (20)

Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"
 
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
Collaborazione, Decisionalità e Gestione della Complessità nel Tempo: cosa ...
 
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiTecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
 
Quanto costa un bug?
Quanto costa un bug?Quanto costa un bug?
Quanto costa un bug?
 
Le 12 pratiche
Le 12 praticheLe 12 pratiche
Le 12 pratiche
 
Agile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software developmentAgile Lean Conference 2016 - Barengo _I principi del lean software development
Agile Lean Conference 2016 - Barengo _I principi del lean software development
 
Agile software lifecycle
Agile software lifecycleAgile software lifecycle
Agile software lifecycle
 
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
Successi (e insuccessi) nel lavoro in team con Product Manager, Engineering, ...
 
Come rilasciare App di Qualità
Come rilasciare App di QualitàCome rilasciare App di Qualità
Come rilasciare App di Qualità
 
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
Introduzione alle metodologie e pratiche Agili ... ma l'agile c'entra qualcos...
 
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. SzambelanWebinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
Webinar: "Conosci la Performance Intelligence?" a cura d A. Szambelan
 
Open Source per studi professionali
Open Source per studi professionaliOpen Source per studi professionali
Open Source per studi professionali
 
AgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agiliAgileDay 2006 - Essere agili nel diventare agili
AgileDay 2006 - Essere agili nel diventare agili
 
Agile Project Management
Agile Project ManagementAgile Project Management
Agile Project Management
 
Kaizen tools ita_191017
Kaizen tools ita_191017Kaizen tools ita_191017
Kaizen tools ita_191017
 
Test automatizzati & serenity bdd
Test automatizzati & serenity bddTest automatizzati & serenity bdd
Test automatizzati & serenity bdd
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tutti
 
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...
Breaking the ice with agile - cinque strade per rompere il ghiaccio e introdu...
 
Presentazione noestimates
Presentazione noestimatesPresentazione noestimates
Presentazione noestimates
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 

More from SMAU

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...SMAU
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorSMAU
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
 

More from SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

Smau milano 2013 paolo perego

  • 1. Io faccio application security, e tu? Smau - Milano, Italy - Ottobre 2013 @armoredcode Thursday, October 24, 13
  • 3. Un gioco: la scorecard dell’application security • 4 categorie: tool, team, workflow, awareness • • • 5 temi per ciascuna categoria ciascun tema vedrà assegnato un punteggio a fine talk avrete un metro per giudicare la vostra application security 3 Thursday, October 24, 13
  • 4. 1. I tool • L’efficacia di uno strumento è indipendente dal suo costo a budget • “A fool with a tool is still a fool” • Le aree che dovrete coprire riguardano: • gli asset fisici (server, postazioni di lavoro, apparati di rete) • i database • le applicazioni web (test dinamici e test statici) 4 Thursday, October 24, 13
  • 5. 1. I tool “Come scegli i tuoi strumenti? Licenze commerciali o tool opensource” Risposta Punteggio Vengono utilizzati sia tool commerciali che opensource +3 Abbiamo solo strumenti commerciali / opensource +1 Non abbiamo alcun strumento di scansione automatica -2 5 Thursday, October 24, 13
  • 6. 1. I tool “Come scegli i tuoi strumenti? Licenze commerciali o tool opensource” Risposta Punteggio Vengono utilizzati sia tool commerciali che opensource +3 Abbiamo solo strumenti commerciali / opensource +1 Non abbiamo alcun strumento di scansione automatica -2 5 Thursday, October 24, 13
  • 7. 1. I tool “Qual è stato il criterio di valutazione per la scelta dei tool?” Risposta Punteggio Leggendo su blog e forum quali fossero gli strumenti migliori +3 Scelti dal magic quadrant Gartner +1 Per il blasone del vendor -2 6 Thursday, October 24, 13
  • 8. 1. I tool “Qual è stato il criterio di valutazione per la scelta dei tool?” Risposta Punteggio Leggendo su blog e forum quali fossero gli strumenti migliori +3 Scelti dal magic quadrant Gartner +1 Per il blasone del vendor -2 6 Thursday, October 24, 13
  • 9. 1. I tool “Sono stati scelti solamente strumenti commerciali?” Risposta Punteggio No, sono stati scelti in base alla loro usabilità/ caratteristiche +3 Sì, il supporto in caso di problemi è la cosa più importante 0 Sì, il tool più costoso è sinonimo di affidabile -2 7 Thursday, October 24, 13
  • 10. 1. I tool “Sono stati scelti solamente strumenti commerciali?” Risposta Punteggio No, sono stati scelti in base alla loro usabilità/ caratteristiche +3 Sì, il supporto in caso di problemi è la cosa più importante 0 Sì, il tool più costoso è sinonimo di affidabile -2 7 Thursday, October 24, 13
  • 11. 1. I tool “I tool possono interagire tra di loro? Esistono delle API?” Risposta Punteggio Sì +3 No 0 8 Thursday, October 24, 13
  • 12. 1. I tool “I tool possono interagire tra di loro? Esistono delle API?” Risposta Punteggio Sì +3 No 0 8 Thursday, October 24, 13
  • 13. 1. I tool “I tuoi strumenti vengono effettivamente utilizzati?” Risposta Punteggio Sì, quotidianamente +3 Sì, qualche volta -1 No, mai -2 9 Thursday, October 24, 13
  • 14. 1. I tool “I tuoi strumenti vengono effettivamente utilizzati?” Risposta Punteggio Sì, quotidianamente +3 Sì, qualche volta -1 No, mai -2 9 Thursday, October 24, 13
  • 15. 2. Il team • • Un team preparato e motivato è alla base • Il team deve mantenersi aggiornato ed avere buone competenze tecniche (almeno pari a quelle degli attaccanti) Il team deve essere di una numerosità adeguata per dare un servizio di qualità 10 Thursday, October 24, 13
  • 16. 2. Il team “Esiste in azienda un team interno che si occupa di application security?” Risposta Punteggio Sì, ci sono anche delle persone interne per i test +4 Sì, ma si occupano solo di coordinare i fornitori +2 No, la parte tecnologica di test è totalmente esternalizzata -4 11 Thursday, October 24, 13
  • 17. 2. Il team “Esiste in azienda un team interno che si occupa di application security?” Risposta Punteggio Sì, ci sono anche delle persone interne per i test +4 Sì, ma si occupano solo di coordinare i fornitori +2 No, la parte tecnologica di test è totalmente esternalizzata -4 11 Thursday, October 24, 13
  • 18. 2. Il team “Il tuo team spende del tempo nella lettura di blog/ fonti twitter di appsec/riviste tecniche di settore?” Risposta Punteggio Sì, regolarmente +4 Sì, a volte +2 No, mai / Non so -4 12 Thursday, October 24, 13
  • 19. 2. Il team “Il tuo team spende del tempo nella lettura di blog/ fonti twitter di appsec/riviste tecniche di settore?” Risposta Punteggio Sì, regolarmente +4 Sì, a volte +2 No, mai / Non so -4 12 Thursday, October 24, 13
  • 20. 2. Il team “Il tuo team ha il giusto committment?” Risposta Punteggio Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro +4 Danno un loro contributo tecnico ma la decisione è del security manager +2 Non sono interpellati su decisioni strategiche -4 13 Thursday, October 24, 13
  • 21. 2. Il team “Il tuo team ha il giusto committment?” Risposta Punteggio Sì, sulle aree di competenza sono decision maker e tracciano la strategia del gruppo di lavoro +4 Danno un loro contributo tecnico ma la decisione è del security manager +2 Non sono interpellati su decisioni strategiche -4 13 Thursday, October 24, 13
  • 22. 2. Il team “Il tuo team ha il giusto training?” Risposta Punteggio Hanno a disposizione un budget per libri/ conferenze/corsi +4 Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team +2 Non hanno un percorso formativo all'interno del loro lavoro -4 14 Thursday, October 24, 13
  • 23. 2. Il team “Il tuo team ha il giusto training?” Risposta Punteggio Hanno a disposizione un budget per libri/ conferenze/corsi +4 Non hanno un budget a disposizione ma sono organizzati corsi tematici dal team +2 Non hanno un percorso formativo all'interno del loro lavoro -4 14 Thursday, October 24, 13
  • 24. 2. Il team “Il tuo team partecipa a conferenze e/o community di settore?” Risposta Punteggio Sì, spesso anche come relatori in conferenze tematiche +4 Sì, ma hanno un ruolo passivo +2 No -4 15 Thursday, October 24, 13
  • 25. 2. Il team “Il tuo team partecipa a conferenze e/o community di settore?” Risposta Punteggio Sì, spesso anche come relatori in conferenze tematiche +4 Sì, ma hanno un ruolo passivo +2 No -4 15 Thursday, October 24, 13
  • 26. 3. Il workflow • Procedure snelle ed ergonomiche sono alla base di un processo efficace di application security • Solo questa categoria ha un bonus per ciascun tema 16 Thursday, October 24, 13
  • 27. 3. Il workflow “Esiste una procedura di vulnerability management per server?” Risposta Punteggio Sì, server, desktop e laptop aziendali (*) +2 Sì, solo per i server (*) +1 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 17 Thursday, October 24, 13
  • 28. 3. Il workflow “Esiste una procedura di vulnerability management per server?” Risposta Punteggio Sì, server, desktop e laptop aziendali (*) +2 Sì, solo per i server (*) +1 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 17 Thursday, October 24, 13
  • 29. 3. Il workflow “Sono applicate procedure di hardening secondo uno standard di compliance?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 18 Thursday, October 24, 13
  • 30. 3. Il workflow “Sono applicate procedure di hardening secondo uno standard di compliance?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i server di collaudo; +2 se sono inclusi i server di sviluppo 18 Thursday, October 24, 13
  • 31. 3. Il workflow “Vengono eseguiti regolarmente dei penetration test sulle web application?” Risposta Punteggio Sì (*) +2 Solo al momento del rilascio (*) +1 No -5 (*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo 19 Thursday, October 24, 13
  • 32. 3. Il workflow “Vengono eseguiti regolarmente dei penetration test sulle web application?” Risposta Punteggio Sì (*) +2 Solo al momento del rilascio (*) +1 No -5 (*) +1 se sono incluse le applicazioni web Intranet; +2 se sono inclusi le applicazioni in collaudo 19 Thursday, October 24, 13
  • 33. 3. Il workflow “Vengono eseguite regolarmente revisioni del codice applicativo?” Risposta Punteggio Sì, ad ogni minor release dei software critici per l'azienda +5 Sì, ma solo per le major release dei software critici per l'azienda +2 Sì, ma solo al rilascio di una nuova applicazione -2 No -5 20 Thursday, October 24, 13
  • 34. 3. Il workflow “Vengono eseguite regolarmente revisioni del codice applicativo?” Risposta Punteggio Sì, ad ogni minor release dei software critici per l'azienda +5 Sì, ma solo per le major release dei software critici per l'azienda +2 Sì, ma solo al rilascio di una nuova applicazione -2 No -5 20 Thursday, October 24, 13
  • 35. 3. Il workflow “Vengono effettuati periodicamente degli assessment sui database?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo 21 Thursday, October 24, 13
  • 36. 3. Il workflow “Vengono effettuati periodicamente degli assessment sui database?” Risposta Punteggio Sì (*) +2 No -5 (*) +1 se sono inclusi i db di sviluppo; +2 se sono inclusi i db di collaudo 21 Thursday, October 24, 13
  • 37. 4. Awareness • La consapevolezza delle possibili minacce interne/esterne è il primo passo per un buon processo di application security • • L’awareness deve essere per tutti, IT e non Pesa infatti come tutte e 3 le categorie precedenti 22 Thursday, October 24, 13
  • 38. 4. Awareness “Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?” Risposta Punteggio Sì, compresi i sistemisti in outsourcing presenti in azienda +10 Sì, solo i sistemisti interni +5 No -10 23 Thursday, October 24, 13
  • 39. 4. Awareness “Vengono tenuti incontri schedulati con gli amministratori di sistema? Costruite un piano di mitigazione delle principali vulnerabilità?” Risposta Punteggio Sì, compresi i sistemisti in outsourcing presenti in azienda +10 Sì, solo i sistemisti interni +5 No -10 23 Thursday, October 24, 13
  • 40. 4. Awareness “Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?” Risposta Punteggio Sì, compresi gli sviluppatori in outsourcing presenti in azienda +10 Sì, solo i team di sviluppo interni +5 No -10 24 Thursday, October 24, 13
  • 41. 4. Awareness “Vengono tenuti incontri schedulati con gli sviluppatori per indirizzare le vulnerabilità applicative?” Risposta Punteggio Sì, compresi gli sviluppatori in outsourcing presenti in azienda +10 Sì, solo i team di sviluppo interni +5 No -10 24 Thursday, October 24, 13
  • 42. 4. Awareness “Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?” Risposta Punteggio Sì, compreso il personale in outsourcing presente in azienda +10 Sì, solo i team interni +5 No -10 25 Thursday, October 24, 13
  • 43. 4. Awareness “Vengono tenute sessioni tematiche su hardening/sviluppo sicuro?” Risposta Punteggio Sì, compreso il personale in outsourcing presente in azienda +10 Sì, solo i team interni +5 No -10 25 Thursday, October 24, 13
  • 44. 4. Awareness “Sono state emanate delle linee guida per i tuoi outsourcer?” Risposta Punteggio Sì +10 No -10 26 Thursday, October 24, 13
  • 45. 4. Awareness “Sono state emanate delle linee guida per i tuoi outsourcer?” Risposta Punteggio Sì +10 No -10 26 Thursday, October 24, 13
  • 46. 4. Awareness “Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?” Risposta Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine Sì ma vengono implementate con una procedura manuale Sì ma non vengono implementate su tutte le macchine No Punteggio +10 +5 +2 -10 27 Thursday, October 24, 13
  • 47. 4. Awareness “Sono state emanate delle linee guida base per la sicurezza della postazione di lavoro?” Risposta Sì e sono state implementate in un ghost usato per clonare tutte le nuove macchine Sì ma vengono implementate con una procedura manuale Sì ma non vengono implementate su tutte le macchine No Punteggio +10 +5 +2 -10 27 Thursday, October 24, 13
  • 49. Hai ottenuto più di 90 punti... A OTTIMO LAVORO 29 Thursday, October 24, 13
  • 50. Hai ottenuto tra i 70 e i 90 punti... B Buon punteggio, hai ancora margini di miglioramento 30 Thursday, October 24, 13
  • 51. Hai ottenuto tra i 50 e i 70 punti... C Hai iniziato ad introdurre l’application security. Non fermarti proprio ora! 31 Thursday, October 24, 13
  • 52. Hai ottenuto tra i 20 e i 50 punti... D Il tuo processo di application security non è adeguato. Forse va rivisto in toto. Se hai appena iniziato, rifai questo test tra un anno e non scoraggiarti. 32 Thursday, October 24, 13
  • 53. Hai ottenuto meno di 20 punti... E Al momento non si può dire che tu faccia application security in azienda. Se hai appena iniziato, ripeti questo test tra 2 anni. Se non hai appena iniziato, prova a fare una review del tuo processo. 33 Thursday, October 24, 13