SlideShare a Scribd company logo

Italia cybersecury framework

M
mariodalco

National Cybersecurity Framework by CIS & CINI Univiersity consortiums

Internet
1 of 15
Download to read offline
04/02/16 Mario Dal Co 1 Framework per la Cybersecurity (*) Mario Dal Co *) Questa presentazione segue lo schema offerto dal NIST in Cybersecurity GFRamework. Overview of NIST Security Guidelines, CS684 IT Security Policies & Procedures, e alcuni approfodnimenti contenuti in Tuan Phan Introduction to NIST Cybersecurity Framework, August 2014. Si tiene anche conto delle caratteristiche proprie dell'Italian Cyber Security Report. Un Framework Nazionale per la Cyber Security, del Research Center of Cyber Intelligence and Information Security dell'Università La Sapienza di Roma (CIS Sapienza), del Laboratorio Nazionale CINI di Cyber Security Consorzio Interuniversitario Nazionale per l'Informatica. Anche l'uso dei colori corrisponde ai codici adottati dal NIST.
Il Framework Mario Dal Co04/02/16 2 Il cybersecurity Framework è uno strumento mirato a ridurre il rischio cyber in modo sistemico (cioè a livello di sistema economico complessivo) attivando la capacità di gestire il rischio ai diversi livelli. Il Framework è strumento di collaborazione pubblico-privato avanzato, dinamico e flessibile. Si basa su una adozione volontaria delle guidelines proposte, fondate su 98 regole che si riferiscono all'adozione di procedure e di standard di sicurezza di tipo tecnologico e organizzativo. Il Framework si rivolge a settori e realtà istituzionali diverse, dal settore pubblico, alle grandi aziende, alle utilities (infrastrutture tecnologiche in particolare), anche alle PMI. Il Framework offre linee guida per migliorare la capacità di gestire il rischio, promuove l'innovazione e lo sviluppo delle competenze professionali.
quadro di riferimento per la cybersecurity Mario Dal Co04/02/16 3 Il quadro di riferimento è volontario e coinvolge sia il privato sia il pubblicosoggetti Standard e best practicesstrumenti Gestire i rischi cyberprocessi Proteggere la privacy e le libertà civilieffetti
Componenti del Framework Mario Dal Co04/02/16 4 nucleo livelli di implementazione profili Il nucleo è costituito da 5 classi di attività o funzioni che devono integrarsi in modo sequenziale e recursivo per identificare, gestire e reagire ai rischi e agli attacchi cyber. L'implementazione della gestione del rischio avviene direttamente o all'interno di piani di attività controllati e gestiti internamente e con risorse esterne. Il grado di maturità dell'organizzazione e la consapevolezza del rischio attivano procedure via via più affidabili e controllate. Il nucleo è costituito da 5 classi di attività o funzioni che devono integrarsi in modo sequenziale e recursivo per identificare, gestire e reagire ai rischi e agli attacchi cyber.
nucleo Mario Dal Co04/02/16 5 nucleo Attività, risultati e referenze applicabili Standard industriali, linee guida e pratiche 5 funzioni concorrenti e continue identificare proteggere indagare reagire riparare
Funzioni concorrenti Mario Dal Co04/02/16 6 identificare proteggere indagare reagire riparare Capire come si gestisce l'esposizione al rischio dei sistemi, delle risorse, dei dati, delle competenze Tutelare il funzionamento dei servizi erogati dalle infrastrutture critiche, dalle aziende, dalle pubbliche amministrazioni Identificare l'evento che rompe la sicurezza cyber Agire inconseguenza dell'evento critico relativo alla sicurezza cyber l Mantenere piani per rendere resiliente il sistema attaccato l Riparare i danni e l'erogazione dei servizi nucleo ID PR DE RS RC
Identificare (ID) Mario Dal Co04/02/16 7 Gestione del patrimonio e dei beni immateriali Ambiente delle attività esterno ed interno all'azienda (Business Environment) Governance Valutazione del rischio (Risk Assessment) Strategia di gestione del rischio (Risk Management Strategy) ID.AM ID.BE ID.GV ID.RA ID.RM Identificare (ID) nucleo
Proteggere (PR) Mario Dal Co04/02/16 8 Controllo Accessi (Access Control) Consapevolezza e formazione (Awareness & Training) Sicurezza dei Dati (Data Security) Processi e procedure per la protezione delle informazioni Manutenzione PR.AC PR.AT PR.DS PR.IP PR.MA Proteggere (PR) Tecnologia di protezione(Protective Technology)PR.PT nucleo
Indagare (DE) Mario Dal Co04/02/16 9 Anomalie ed eventi Monitoraggio continuo della sicurezza Processi di indagine DE.AE DE.CM DE.CM Indagare (DE) nucleo
Reagire (RS) Mario Dal Co04/02/16 1 Pianificazione della reazione (Response Planning) Comunicazioni Analisi RS.RP RS.CO RS.ANReagire (RS) Attenuazione (Mitigation) RS.MI Miglioramento (Improvements) RS.IM nucleo
Riparare (RC) Mario Dal Co04/02/16 11 Pianificazione della riparazione (Recovery Planning) Comunicazioni RC.RP RC.IM RC.CO Riparare (RC) Miglioramento (Improvements) nucleo
Livelli di implementazione Mario Dal Co04/02/16 1 componenti Processo di gestione del rischio Collaborazioni esterne Programma di gestione integrata del rischio
Livelli di implementazione Mario Dal Co04/02/16 13 Parziale Replicabile Consapevole del rischio livelli di implementazione Adattivo Reattivo e non formalizzato Politiche approvate e aggiornate sistematicamente Procedure approvate, senza essere oggetto di una policy sistematica Miglioramento continuo Processo di gestione del rischio Collaborazioni esterne Programma di gestione integrata del rischio • Consapevolezza limitata • Gestione irregolare • Informazioni private • Consapevolezza limitata • Gestione irregolare • Informazioni private • Approccio organizzativo • Processi e procedure definiti implementati e controllati • Conoscenze e capacità • Consapevolezza del rischio • Gestione con processi e procedure informati • Risorse adeguate • Condivisione interna Assenza di collaborazioni Definite per collaborare e condividere le informazioni Non definite per interagire e condividere informazioni In continua condivisione delle informazioni
Profili Mario Dal Co04/02/16 14 Stabilire un percorso per ridurre il rischio, allineandolo con obiettivi organizzativi e settoriali Piano di azione per indirizzare la riduzione dei gap Descrivere lo stato degli eventi di rischio presenti e quelli attesi Miglioramento continuo Allineamento al Framework in termini di risorse e di livello di rischio tollerato implementazione
La sequenza del programma Mario Dal Co04/02/16 15 1. Scopo e priorità del piano 2. orientare il piano di lavoro 3. creare il profilo attuale di rischio 4. valutazione del rischio5. creare un profilo di rischio obiettivo 6. Determinare, analizzare e valutare le priorità dei gap da riempire 7. implementazione del piano di azione identificare proteggere indagare reagire Legenda :

Recommended

Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2claudiodigiovanni
 

Recommended

Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2claudiodigiovanni
 
cv
cvcv
cvMaged Fahmy
 
Máquina de estampar
Máquina de estamparMáquina de estampar
Máquina de estamparMídias Print
 
Evaluation - Question 1
Evaluation - Question 1Evaluation - Question 1
Evaluation - Question 1beccaweight16
 
Thesis
ThesisThesis
ThesisGeorg Fredrik Myhre
 
SALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITYSALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITYmasalvationacademy
 
Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016Narayana Yoga
 
ReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport ConsultationReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport ConsultationJonny Reid
 
Presentation fongwama
Presentation fongwamaPresentation fongwama
Presentation fongwamaPrince Youlou
 
FEMTOCELLSreport
FEMTOCELLSreportFEMTOCELLSreport
FEMTOCELLSreportAdhiraj Kapur
 
Production diary 9
Production diary 9Production diary 9
Production diary 9Laila Jaleel
 
CV Susana
CV SusanaCV Susana
CV SusanaSusana Gómez Royo
 
Circular externa-063-de-2015-ins
Circular externa-063-de-2015-insCircular externa-063-de-2015-ins
Circular externa-063-de-2015-insVivi Quintero
 
Five splash impact slide doc
Five splash impact slide docFive splash impact slide doc
Five splash impact slide docKapil Sharma
 
Avisos da biblioteca
Avisos da bibliotecaAvisos da biblioteca
Avisos da bibliotecaMikally Amanajás
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 

More Related Content

Viewers also liked

Máquina de estampar
Máquina de estamparMáquina de estampar
Máquina de estamparMídias Print
 
Evaluation - Question 1
Evaluation - Question 1Evaluation - Question 1
Evaluation - Question 1beccaweight16
 
SALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITYSALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITYmasalvationacademy
 
Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016Narayana Yoga
 
ReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport ConsultationReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport ConsultationJonny Reid
 
Presentation fongwama
Presentation fongwamaPresentation fongwama
Presentation fongwamaPrince Youlou
 
Production diary 9
Production diary 9Production diary 9
Production diary 9Laila Jaleel
 
Circular externa-063-de-2015-ins
Circular externa-063-de-2015-insCircular externa-063-de-2015-ins
Circular externa-063-de-2015-insVivi Quintero
 
Five splash impact slide doc
Five splash impact slide docFive splash impact slide doc
Five splash impact slide docKapil Sharma
 

Viewers also liked (14)

cv
cvcv
cv
 
Máquina de estampar
Máquina de estamparMáquina de estampar
Máquina de estampar
 
Evaluation - Question 1
Evaluation - Question 1Evaluation - Question 1
Evaluation - Question 1
 
Thesis
ThesisThesis
Thesis
 
SALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITYSALVATION ACADEMY HEALTH CARE & SECURITY
SALVATION ACADEMY HEALTH CARE & SECURITY
 
Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016Narayana bulleti mes de març 2016
Narayana bulleti mes de març 2016
 
ReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport ConsultationReadySetGo - Church of England Ministry of Sport Consultation
ReadySetGo - Church of England Ministry of Sport Consultation
 
Presentation fongwama
Presentation fongwamaPresentation fongwama
Presentation fongwama
 
FEMTOCELLSreport
FEMTOCELLSreportFEMTOCELLSreport
FEMTOCELLSreport
 
Production diary 9
Production diary 9Production diary 9
Production diary 9
 
CV Susana
CV SusanaCV Susana
CV Susana
 
Circular externa-063-de-2015-ins
Circular externa-063-de-2015-insCircular externa-063-de-2015-ins
Circular externa-063-de-2015-ins
 
Five splash impact slide doc
Five splash impact slide docFive splash impact slide doc
Five splash impact slide doc
 
Avisos da biblioteca
Avisos da bibliotecaAvisos da biblioteca
Avisos da biblioteca
 

Similar to Italia cybersecury framework

Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiTeam per la Trasformazione Digitale
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...TheBCI
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
PROSPER - Modulo 1 - Unità 5_IT.pptx
PROSPER - Modulo 1 - Unità 5_IT.pptxPROSPER - Modulo 1 - Unità 5_IT.pptx
PROSPER - Modulo 1 - Unità 5_IT.pptxcaniceconsulting
 

Similar to Italia cybersecury framework (20)

Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tutti
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
PROSPER - Modulo 1 - Unità 5_IT.pptx
PROSPER - Modulo 1 - Unità 5_IT.pptxPROSPER - Modulo 1 - Unità 5_IT.pptx
PROSPER - Modulo 1 - Unità 5_IT.pptx
 

Italia cybersecury framework

  • 1. 04/02/16 Mario Dal Co 1 Framework per la Cybersecurity (*) Mario Dal Co *) Questa presentazione segue lo schema offerto dal NIST in Cybersecurity GFRamework. Overview of NIST Security Guidelines, CS684 IT Security Policies & Procedures, e alcuni approfodnimenti contenuti in Tuan Phan Introduction to NIST Cybersecurity Framework, August 2014. Si tiene anche conto delle caratteristiche proprie dell'Italian Cyber Security Report. Un Framework Nazionale per la Cyber Security, del Research Center of Cyber Intelligence and Information Security dell'Università La Sapienza di Roma (CIS Sapienza), del Laboratorio Nazionale CINI di Cyber Security Consorzio Interuniversitario Nazionale per l'Informatica. Anche l'uso dei colori corrisponde ai codici adottati dal NIST.
  • 2. Il Framework Mario Dal Co04/02/16 2 Il cybersecurity Framework è uno strumento mirato a ridurre il rischio cyber in modo sistemico (cioè a livello di sistema economico complessivo) attivando la capacità di gestire il rischio ai diversi livelli. Il Framework è strumento di collaborazione pubblico-privato avanzato, dinamico e flessibile. Si basa su una adozione volontaria delle guidelines proposte, fondate su 98 regole che si riferiscono all'adozione di procedure e di standard di sicurezza di tipo tecnologico e organizzativo. Il Framework si rivolge a settori e realtà istituzionali diverse, dal settore pubblico, alle grandi aziende, alle utilities (infrastrutture tecnologiche in particolare), anche alle PMI. Il Framework offre linee guida per migliorare la capacità di gestire il rischio, promuove l'innovazione e lo sviluppo delle competenze professionali.
  • 3. quadro di riferimento per la cybersecurity Mario Dal Co04/02/16 3 Il quadro di riferimento è volontario e coinvolge sia il privato sia il pubblicosoggetti Standard e best practicesstrumenti Gestire i rischi cyberprocessi Proteggere la privacy e le libertà civilieffetti
  • 4. Componenti del Framework Mario Dal Co04/02/16 4 nucleo livelli di implementazione profili Il nucleo è costituito da 5 classi di attività o funzioni che devono integrarsi in modo sequenziale e recursivo per identificare, gestire e reagire ai rischi e agli attacchi cyber. L'implementazione della gestione del rischio avviene direttamente o all'interno di piani di attività controllati e gestiti internamente e con risorse esterne. Il grado di maturità dell'organizzazione e la consapevolezza del rischio attivano procedure via via più affidabili e controllate. Il nucleo è costituito da 5 classi di attività o funzioni che devono integrarsi in modo sequenziale e recursivo per identificare, gestire e reagire ai rischi e agli attacchi cyber.
  • 5. nucleo Mario Dal Co04/02/16 5 nucleo Attività, risultati e referenze applicabili Standard industriali, linee guida e pratiche 5 funzioni concorrenti e continue identificare proteggere indagare reagire riparare
  • 6. Funzioni concorrenti Mario Dal Co04/02/16 6 identificare proteggere indagare reagire riparare Capire come si gestisce l'esposizione al rischio dei sistemi, delle risorse, dei dati, delle competenze Tutelare il funzionamento dei servizi erogati dalle infrastrutture critiche, dalle aziende, dalle pubbliche amministrazioni Identificare l'evento che rompe la sicurezza cyber Agire inconseguenza dell'evento critico relativo alla sicurezza cyber l Mantenere piani per rendere resiliente il sistema attaccato l Riparare i danni e l'erogazione dei servizi nucleo ID PR DE RS RC
  • 7. Identificare (ID) Mario Dal Co04/02/16 7 Gestione del patrimonio e dei beni immateriali Ambiente delle attività esterno ed interno all'azienda (Business Environment) Governance Valutazione del rischio (Risk Assessment) Strategia di gestione del rischio (Risk Management Strategy) ID.AM ID.BE ID.GV ID.RA ID.RM Identificare (ID) nucleo
  • 8. Proteggere (PR) Mario Dal Co04/02/16 8 Controllo Accessi (Access Control) Consapevolezza e formazione (Awareness & Training) Sicurezza dei Dati (Data Security) Processi e procedure per la protezione delle informazioni Manutenzione PR.AC PR.AT PR.DS PR.IP PR.MA Proteggere (PR) Tecnologia di protezione(Protective Technology)PR.PT nucleo
  • 9. Indagare (DE) Mario Dal Co04/02/16 9 Anomalie ed eventi Monitoraggio continuo della sicurezza Processi di indagine DE.AE DE.CM DE.CM Indagare (DE) nucleo
  • 10. Reagire (RS) Mario Dal Co04/02/16 1 Pianificazione della reazione (Response Planning) Comunicazioni Analisi RS.RP RS.CO RS.ANReagire (RS) Attenuazione (Mitigation) RS.MI Miglioramento (Improvements) RS.IM nucleo
  • 11. Riparare (RC) Mario Dal Co04/02/16 11 Pianificazione della riparazione (Recovery Planning) Comunicazioni RC.RP RC.IM RC.CO Riparare (RC) Miglioramento (Improvements) nucleo
  • 12. Livelli di implementazione Mario Dal Co04/02/16 1 componenti Processo di gestione del rischio Collaborazioni esterne Programma di gestione integrata del rischio
  • 13. Livelli di implementazione Mario Dal Co04/02/16 13 Parziale Replicabile Consapevole del rischio livelli di implementazione Adattivo Reattivo e non formalizzato Politiche approvate e aggiornate sistematicamente Procedure approvate, senza essere oggetto di una policy sistematica Miglioramento continuo Processo di gestione del rischio Collaborazioni esterne Programma di gestione integrata del rischio • Consapevolezza limitata • Gestione irregolare • Informazioni private • Consapevolezza limitata • Gestione irregolare • Informazioni private • Approccio organizzativo • Processi e procedure definiti implementati e controllati • Conoscenze e capacità • Consapevolezza del rischio • Gestione con processi e procedure informati • Risorse adeguate • Condivisione interna Assenza di collaborazioni Definite per collaborare e condividere le informazioni Non definite per interagire e condividere informazioni In continua condivisione delle informazioni
  • 14. Profili Mario Dal Co04/02/16 14 Stabilire un percorso per ridurre il rischio, allineandolo con obiettivi organizzativi e settoriali Piano di azione per indirizzare la riduzione dei gap Descrivere lo stato degli eventi di rischio presenti e quelli attesi Miglioramento continuo Allineamento al Framework in termini di risorse e di livello di rischio tollerato implementazione
  • 15. La sequenza del programma Mario Dal Co04/02/16 15 1. Scopo e priorità del piano 2. orientare il piano di lavoro 3. creare il profilo attuale di rischio 4. valutazione del rischio5. creare un profilo di rischio obiettivo 6. Determinare, analizzare e valutare le priorità dei gap da riempire 7. implementazione del piano di azione identificare proteggere indagare reagire Legenda :