SlideShare a Scribd company logo

GDPR - Andrea Monguzzi

Ordine Ingegneri Lecco
Ordine Ingegneri Lecco

Intervento di Andrea Monguzzi - Lecco 3 maggio 2018 - Ordine degli Ingegneri della Provincia di Lecco

Technology
1 of 63
Download to read offline
GDPR: 3 settimane al lancio…
Ciao! Sono Andrea Monguzzi Sistemista e imprenditore, racconto sul web cose di cui non interessa niente a nessuno! 2
“ Parola d’ordine della serata: Ipersemplificazione! 3
La roadmap di questa sera 4 1 Sicuro di essere al sicuro? La formazione 2 I 3 moschettieri della sicurezza 3 Rischio informatico 4
La roadmap di questa sera 5 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… 1
“ Di certo non vengono ad attaccare noi... Non siamo mica la NASA… Non abbiamo segreti da nascondere… Siamo una famiglia… 7
Sfatiamo un mito ● Anche se credi di non essere interessante per un attacco; ● Anche se non sei la NASA; ● Anche se non hai niente da nascondere; La tua azienda possiede qualcosa che ha un valore immenso. DATI! 8
I DATI SONO ORO Per la tua azienda i dati sono la cosa più importante. Gli attaccanti lo sanno e sanno che possono estorcerti del denaro agendo sui tuoi dati e impedendoti di utilizzarli. 9
Il phishing Anche se il 78% degli utenti non cade nella rete del phishing, per ogni singola campagna il 4% resta vittima del tranello. A un cybercriminale basta una vittima per accedere a un’intera organizzazione aziendale! 10
I ransomware sono il software malevolo più diffuso. Responsabili del 39% degli attacchi. Colpiscono oggi anche gli asset più critici, come server e database 11
Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… E i modi per farlo oggi sono davvero tanti 12
Esempio: internet in hotel Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 13
Esempio: il wifi pubblico Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 14
Esempio: il posteggio Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer simulando una tastiera ed eseguendo comandi in modo automatico 15
La roadmap di questa sera 16 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano 2
L’attacco mira all’utente ● Che spesso non è preparato e non sa difendersi; ● Che non riceve la formazione di base per distinguere ciò che è lecito da ciò che è dannoso; ● Che non dispone dei mezzi per evitare di essere attaccato; L’utente da solo non può vincere la guerra, ma va aiutato per combatterla ad armi pari. 18
L’UTENTE È LA CHIAVE Devi fare in modo che l’utente non sia raggiungibile dall’attaccante, ma prevedere che sappia difendersi se, nelle difese, qualcosa dovesse andare storto 19
Gli strumenti L’utente deve avere la consapevolezza di ciò che lo circonda. Computer, tablet, smartphone… Tutto è connesso e tutto rappresenta un potenziale punto di accesso alle informazioni critiche dell’azienda. 20
Le modalità d’uso L’utente deve sapere, in ogni momento, cosa sta facendo. Un utilizzo in modo inconsapevole della tecnologia espone al rischio di gravi perdite in termini economici, derivanti da danni diretti e indiretti. 21
Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… di nuovo! 22
Esempio: man in the mail Attacco tramite il quale vengono dirotta pagamenti relativi ad accorti commerciali: ● Fatture; ● Acconti; ● Calciatori… J 23
Esempio: vishing, smishing Gli attaccanti sfruttano la voce o i messaggi di testo per carpire informazioni alla vittima. Gli attacchi sono condotti usando tecniche di social engineering 24
La roadmap di questa sera 25 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
I 3 moschettieri della sicurezza Ovvero coloro ai quali affidare le sorti tue e della tua attività 3
“ Se credi che una soluzione di sicurezza informatica sia eccessiva o troppo costosa, aspetta di vedere quanto ti costerà non implementarla o ricorrere all’improvvisazione 27
COSA TENERE A MENTE Ogni volta che valuti una soluzione legata alla tua sicurezza informatica devi ricordare un concetto importante 28
Qualcuno sta ancora cercando di entrare dalla porta e accedere ai tuoi dati… Continuamente! 29
Cose che non possono mancare Disaster Recovery È la soluzione indispensabile per qualsiasi realtà. Si tratta dell’ultima spiaggia, quella che deve sempre offrire una garanzia di salvezza, a prescindere dal funzionamento di tutte le contromisure adottate Firewall perimetrale Garantisce il pieno controllo di tutto il traffico internet, in entrata e in uscita. I sistemi evoluti, se correttamente gestiti e manutenuti, sono in grado di intercettare e rendere inoffensive buona parte delle minacce in circolazione. Antivirus / Antimalware È la prima misura di sicurezza, quella che lavora in parallelo all’utente. Le soluzioni più evolute in commercio effettuano un’analisi avanzata, e sono in grado di rilevare minacce non ancora identificate e catalogate 30
Disaster Recovery Il disaster recovery è la ruota di scorta della tua infrastruttura informatica. RTO e RPO sono i due parametri che vanno considerati prima di implementare una soluzione di disaster recovery 31
Firewall Perimetrale Il firewall per l’azienda equivale alla grande muraglia cinese. Si occupa di impedire l’accesso a tutti i «nemici» informatici, e impedisce che gli utenti si connettano a siti malevoli, portatori di infezioni 32
Antivirus/malware L’antivirus è ancora una delle misure di protezione fondamentali in ambito IT. Oggi in commercio esistono prodotti e servizi indipendenti dall’aggiornamento delle firme virali 33
La roadmap di questa sera 34 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4
Ambito del rischio informatico Comportamento Uno dei principale ambiti di rischio è quello legato al comportamento e alle abitudini degli operatori. Strumenti Gli strumenti utilizzato dagli operatori, direttamente o indirettamente, potrebbero esporre i dati a rischi che sono da prendere in considerazione Contesto Anche il contesto relativo al trattamento potrebbe mettere a rischio la disponibilità o l’integrità dai dati. 36
NON ESISTE LA MISURA UNIVOCA Ogni rischio può essere mitigato con diversi misure. L’importante è condurre una selezione ragionata e responsabile 37
“ Ambito relativo al comportamento dell’utente 38
Carenza di consapevolezza, disattenzione e incuria Articolo 32, comma 4 39
Formazione e sensibilizzazione Un’adeguata formazione sulla protezione dei dati e le conseguenze di un mancato rispetto della normativa, sono un elemento fondamentale per ottenere dei processi di trattamento dati in linea con essa. 40
Comportamenti sleali o fraudolenti Principi cardine del GDPR 41
Disciplinare interno, lettera di incarico e sanzioni È necessario che ogni collaboratore riceva regolamento aziendale sull’utilizzo delle apparecchiature elettroniche e lettera di incarico. Questi due documenti conterranno diritti e doveri in merito al corretto trattamento, contravvenendo i quali possono scattare le sanzioni disciplinari. 42
Backup e Disaster Recovery Qualora tutte le contromisure non fossero state efficaci per impedire comportamenti fraudolenti, un buon sistema di backup consente il ripristino dei dati danneggiati o asportati. Qualora i danno interessasse elevati volumi di dati o interi sistemi sarà necessario disporre delle adeguate misure di Disaster Recovery 43
Errore materiale Articolo 32 44
Documentazione di processi e procedure Formazione La stesura di una procedura per portare a termine un determinato compito arricchisce la conoscenza aziendale e diminuisce drastica- mente il rischio di errori in quanto l’esecuzione dell’attività non viene lasciata al caso ma viene affidata a un operatore che deve seguire una procedura ben precisa. 45
Backup e Disaster Recovery Nel caso in cui l’errore impedisca di trattare i dati come previsto, un buon sistema di backup o Disaster Recovery, in caso di compromissione di interi sistemi, permette di rimediare all’attore commesso dal personale e consente di ripristinare i dati. 46
“ Ambito relativo agli strumenti di lavoro 47
Autenticazione e Autorizzazione Articolo 29 48
Sistema di autentica- zione, Autenticazione a due fattori Il sistema di autenticazione è la prima misu- ra da adottare: un sistema di controllo degli accessi per evitare che chiunque possa colle- garsi e accedere ai dati. L’autenticazione a due fattori aumenta la sicurezza del login, poiché non basta conoscere le credenziali di accesso 49
Segretezza delle credenziali È auspicabile che le credenziali siano asse- gnate univocamente a ciascun incaricato e non siano condivise in quanto ogni incaricato potrebbe dover trattare tipologie di dati differenti. Inoltre un sistema di autenticazione a due fattori assicura che solo il diretto interessato possa effettivamente accedere con le credenziali assegnate. 50
Lunghezza minima e complessità password Una password sicure dovrebbe essere facil- mente ricordabile ma non banale. I moderni sistemi operativi sono in grado di im- porre deli criteri di complessità e di durata delle credenziali utente. 51
Accessi esterni non autorizzati Articolo 33 52
Firewall I sistemi è opportuno siano protetti da un firewall per prevenire accessi non autorizzati, sia che i dati si trovino all’interno dell’azienda sia che risiedano in un datacenter. È la prima, necessaria e insostituibile soluzione per proteggere le reti all’interno delle quali vengono trattati i dati. 53
Aggiornamento sw Firewall Il firewall è necessario, ma poiché́ gli attac- chi sono in continua evoluzione è necessario che il software del firewall sia regolarmente aggiornato per rispondere alle nuove tecniche messe in atto dai pirati informatici. 54
Monitoraggio Logon sospetti Spesso le intrusioni si scoprono solo dopo che sono avvenute e la scoperta a posteriori non è naturalmente una buona tecnica di prevenzione. Una possibile misura per provare a intercettare eventi sospetti è il monitoraggio del logon. Il monitoraggio dei logon sospetti può essere un buon meccanismo di prevenzione di accessi potenzialmente fraudolenti. 55
“ Ambito relativo al contesto lavorativo 56
Asportazione o furto di strumenti contenenti i dati Articolo 32, comma 1, lett. d Articolo 33 57
Presenza di un sistema di cifratura Uno dei problemi derivanti dall’asportazione di dati è che non si sa in quali mani finiscano e quindi come vengano trattati. La cifratura dei dati può essere una buona arma di difesa nel caso in cui l’asportazione dei dati sia un rischio elevato. In questo modo qualora i dati finissero in mano a persone che non hanno titolo di trattare quei dati, non potranno accedervi poiché cifrati. 58
Disabilitazione porte USB Uno dei metodi più semplici per asportare i dati consiste nel copiarli su una periferica USB, qualora i dati siano facilmente “copiabili”. Disabilitare le periferiche di massa USB può essere una buona strategia per impedire l’asportazione fisica dei dati. 59
Eventi distruttivi naturali, artificiali, dolosi o dovuti a incuria Articolo 32, comma 1, lett. a, b, c, d 60
Sistema di business continuity Una soluzione di business continuity consente alle aziende e alle organizzazioni di riprendere a lavorare velocemente anche se i dati originali sono andati distrutti. 61
“ REMINDER: Parola d’ordine della serata: Ipersemplificazione! 62
63 Grazie! Qualche domanda? a.monguzzi@flexxa.it https://www.linkedin.com/in/andreamonguzzi

Recommended

La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0hantex
 
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0Angelo Iacubino
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 

Recommended

La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0La sicurezza delle informazioni nell’era del Web 2.0
La sicurezza delle informazioni nell’era del Web 2.0hantex
 
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0Angelo Iacubino
 
La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.La sicurezza dei sistemi di elaborazione e delle reti informatiche.
La sicurezza dei sistemi di elaborazione e delle reti informatiche.gmorelli78
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSylvio Verrecchia - IT Security Engineer
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity ITGiuseppe Airò Farulla
 
Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber ResilienceSymantec
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2SMAU
 

More Related Content

What's hot

Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
 

What's hot (15)

Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity IT
 

Similar to GDPR - Andrea Monguzzi

Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber ResilienceSymantec
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2SMAU
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezzacaioturtle
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSMAU
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
info.pdf
info.pdfinfo.pdf
info.pdfMatte68
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxsonicatel2
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breachadriana franca
 

Similar to GDPR - Andrea Monguzzi (20)

Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber Resilience
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezza
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
info.pdf
info.pdfinfo.pdf
info.pdf
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
 

More from Ordine Ingegneri Lecco

Social Network in Ambito Professionale
Social Network in Ambito ProfessionaleSocial Network in Ambito Professionale
Social Network in Ambito ProfessionaleOrdine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4Ordine Ingegneri Lecco
 
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610Ordine Ingegneri Lecco
 

More from Ordine Ingegneri Lecco (9)

Social Network in Ambito Professionale
Social Network in Ambito ProfessionaleSocial Network in Ambito Professionale
Social Network in Ambito Professionale
 
Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4
 
Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4
 
Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4
 
Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4
 
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Gdpr marco longoni
Gdpr marco longoniGdpr marco longoni
Gdpr marco longoni
 
Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017
 

GDPR - Andrea Monguzzi

  • 2. Ciao! Sono Andrea Monguzzi Sistemista e imprenditore, racconto sul web cose di cui non interessa niente a nessuno! 2
  • 3. “ Parola d’ordine della serata: Ipersemplificazione! 3
  • 4. La roadmap di questa sera 4 1 Sicuro di essere al sicuro? La formazione 2 I 3 moschettieri della sicurezza 3 Rischio informatico 4
  • 5. La roadmap di questa sera 5 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
  • 6. Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… 1
  • 7. “ Di certo non vengono ad attaccare noi... Non siamo mica la NASA… Non abbiamo segreti da nascondere… Siamo una famiglia… 7
  • 8. Sfatiamo un mito ● Anche se credi di non essere interessante per un attacco; ● Anche se non sei la NASA; ● Anche se non hai niente da nascondere; La tua azienda possiede qualcosa che ha un valore immenso. DATI! 8
  • 9. I DATI SONO ORO Per la tua azienda i dati sono la cosa più importante. Gli attaccanti lo sanno e sanno che possono estorcerti del denaro agendo sui tuoi dati e impedendoti di utilizzarli. 9
  • 10. Il phishing Anche se il 78% degli utenti non cade nella rete del phishing, per ogni singola campagna il 4% resta vittima del tranello. A un cybercriminale basta una vittima per accedere a un’intera organizzazione aziendale! 10
  • 11. I ransomware sono il software malevolo più diffuso. Responsabili del 39% degli attacchi. Colpiscono oggi anche gli asset più critici, come server e database 11
  • 12. Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… E i modi per farlo oggi sono davvero tanti 12
  • 13. Esempio: internet in hotel Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 13
  • 14. Esempio: il wifi pubblico Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 14
  • 15. Esempio: il posteggio Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer simulando una tastiera ed eseguendo comandi in modo automatico 15
  • 16. La roadmap di questa sera 16 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
  • 17. La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano 2
  • 18. L’attacco mira all’utente ● Che spesso non è preparato e non sa difendersi; ● Che non riceve la formazione di base per distinguere ciò che è lecito da ciò che è dannoso; ● Che non dispone dei mezzi per evitare di essere attaccato; L’utente da solo non può vincere la guerra, ma va aiutato per combatterla ad armi pari. 18
  • 19. L’UTENTE È LA CHIAVE Devi fare in modo che l’utente non sia raggiungibile dall’attaccante, ma prevedere che sappia difendersi se, nelle difese, qualcosa dovesse andare storto 19
  • 20. Gli strumenti L’utente deve avere la consapevolezza di ciò che lo circonda. Computer, tablet, smartphone… Tutto è connesso e tutto rappresenta un potenziale punto di accesso alle informazioni critiche dell’azienda. 20
  • 21. Le modalità d’uso L’utente deve sapere, in ogni momento, cosa sta facendo. Un utilizzo in modo inconsapevole della tecnologia espone al rischio di gravi perdite in termini economici, derivanti da danni diretti e indiretti. 21
  • 22. Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… di nuovo! 22
  • 23. Esempio: man in the mail Attacco tramite il quale vengono dirotta pagamenti relativi ad accorti commerciali: ● Fatture; ● Acconti; ● Calciatori… J 23
  • 24. Esempio: vishing, smishing Gli attaccanti sfruttano la voce o i messaggi di testo per carpire informazioni alla vittima. Gli attacchi sono condotti usando tecniche di social engineering 24
  • 25. La roadmap di questa sera 25 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
  • 26. I 3 moschettieri della sicurezza Ovvero coloro ai quali affidare le sorti tue e della tua attività 3
  • 27. “ Se credi che una soluzione di sicurezza informatica sia eccessiva o troppo costosa, aspetta di vedere quanto ti costerà non implementarla o ricorrere all’improvvisazione 27
  • 28. COSA TENERE A MENTE Ogni volta che valuti una soluzione legata alla tua sicurezza informatica devi ricordare un concetto importante 28
  • 29. Qualcuno sta ancora cercando di entrare dalla porta e accedere ai tuoi dati… Continuamente! 29
  • 30. Cose che non possono mancare Disaster Recovery È la soluzione indispensabile per qualsiasi realtà. Si tratta dell’ultima spiaggia, quella che deve sempre offrire una garanzia di salvezza, a prescindere dal funzionamento di tutte le contromisure adottate Firewall perimetrale Garantisce il pieno controllo di tutto il traffico internet, in entrata e in uscita. I sistemi evoluti, se correttamente gestiti e manutenuti, sono in grado di intercettare e rendere inoffensive buona parte delle minacce in circolazione. Antivirus / Antimalware È la prima misura di sicurezza, quella che lavora in parallelo all’utente. Le soluzioni più evolute in commercio effettuano un’analisi avanzata, e sono in grado di rilevare minacce non ancora identificate e catalogate 30
  • 31. Disaster Recovery Il disaster recovery è la ruota di scorta della tua infrastruttura informatica. RTO e RPO sono i due parametri che vanno considerati prima di implementare una soluzione di disaster recovery 31
  • 32. Firewall Perimetrale Il firewall per l’azienda equivale alla grande muraglia cinese. Si occupa di impedire l’accesso a tutti i «nemici» informatici, e impedisce che gli utenti si connettano a siti malevoli, portatori di infezioni 32
  • 33. Antivirus/malware L’antivirus è ancora una delle misure di protezione fondamentali in ambito IT. Oggi in commercio esistono prodotti e servizi indipendenti dall’aggiornamento delle firme virali 33
  • 34. La roadmap di questa sera 34 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
  • 35. Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4
  • 36. Ambito del rischio informatico Comportamento Uno dei principale ambiti di rischio è quello legato al comportamento e alle abitudini degli operatori. Strumenti Gli strumenti utilizzato dagli operatori, direttamente o indirettamente, potrebbero esporre i dati a rischi che sono da prendere in considerazione Contesto Anche il contesto relativo al trattamento potrebbe mettere a rischio la disponibilità o l’integrità dai dati. 36
  • 37. NON ESISTE LA MISURA UNIVOCA Ogni rischio può essere mitigato con diversi misure. L’importante è condurre una selezione ragionata e responsabile 37
  • 39. Carenza di consapevolezza, disattenzione e incuria Articolo 32, comma 4 39
  • 40. Formazione e sensibilizzazione Un’adeguata formazione sulla protezione dei dati e le conseguenze di un mancato rispetto della normativa, sono un elemento fondamentale per ottenere dei processi di trattamento dati in linea con essa. 40
  • 42. Disciplinare interno, lettera di incarico e sanzioni È necessario che ogni collaboratore riceva regolamento aziendale sull’utilizzo delle apparecchiature elettroniche e lettera di incarico. Questi due documenti conterranno diritti e doveri in merito al corretto trattamento, contravvenendo i quali possono scattare le sanzioni disciplinari. 42
  • 43. Backup e Disaster Recovery Qualora tutte le contromisure non fossero state efficaci per impedire comportamenti fraudolenti, un buon sistema di backup consente il ripristino dei dati danneggiati o asportati. Qualora i danno interessasse elevati volumi di dati o interi sistemi sarà necessario disporre delle adeguate misure di Disaster Recovery 43
  • 45. Documentazione di processi e procedure Formazione La stesura di una procedura per portare a termine un determinato compito arricchisce la conoscenza aziendale e diminuisce drastica- mente il rischio di errori in quanto l’esecuzione dell’attività non viene lasciata al caso ma viene affidata a un operatore che deve seguire una procedura ben precisa. 45
  • 46. Backup e Disaster Recovery Nel caso in cui l’errore impedisca di trattare i dati come previsto, un buon sistema di backup o Disaster Recovery, in caso di compromissione di interi sistemi, permette di rimediare all’attore commesso dal personale e consente di ripristinare i dati. 46
  • 49. Sistema di autentica- zione, Autenticazione a due fattori Il sistema di autenticazione è la prima misu- ra da adottare: un sistema di controllo degli accessi per evitare che chiunque possa colle- garsi e accedere ai dati. L’autenticazione a due fattori aumenta la sicurezza del login, poiché non basta conoscere le credenziali di accesso 49
  • 50. Segretezza delle credenziali È auspicabile che le credenziali siano asse- gnate univocamente a ciascun incaricato e non siano condivise in quanto ogni incaricato potrebbe dover trattare tipologie di dati differenti. Inoltre un sistema di autenticazione a due fattori assicura che solo il diretto interessato possa effettivamente accedere con le credenziali assegnate. 50
  • 51. Lunghezza minima e complessità password Una password sicure dovrebbe essere facil- mente ricordabile ma non banale. I moderni sistemi operativi sono in grado di im- porre deli criteri di complessità e di durata delle credenziali utente. 51
  • 53. Firewall I sistemi è opportuno siano protetti da un firewall per prevenire accessi non autorizzati, sia che i dati si trovino all’interno dell’azienda sia che risiedano in un datacenter. È la prima, necessaria e insostituibile soluzione per proteggere le reti all’interno delle quali vengono trattati i dati. 53
  • 54. Aggiornamento sw Firewall Il firewall è necessario, ma poiché́ gli attac- chi sono in continua evoluzione è necessario che il software del firewall sia regolarmente aggiornato per rispondere alle nuove tecniche messe in atto dai pirati informatici. 54
  • 55. Monitoraggio Logon sospetti Spesso le intrusioni si scoprono solo dopo che sono avvenute e la scoperta a posteriori non è naturalmente una buona tecnica di prevenzione. Una possibile misura per provare a intercettare eventi sospetti è il monitoraggio del logon. Il monitoraggio dei logon sospetti può essere un buon meccanismo di prevenzione di accessi potenzialmente fraudolenti. 55
  • 57. Asportazione o furto di strumenti contenenti i dati Articolo 32, comma 1, lett. d Articolo 33 57
  • 58. Presenza di un sistema di cifratura Uno dei problemi derivanti dall’asportazione di dati è che non si sa in quali mani finiscano e quindi come vengano trattati. La cifratura dei dati può essere una buona arma di difesa nel caso in cui l’asportazione dei dati sia un rischio elevato. In questo modo qualora i dati finissero in mano a persone che non hanno titolo di trattare quei dati, non potranno accedervi poiché cifrati. 58
  • 59. Disabilitazione porte USB Uno dei metodi più semplici per asportare i dati consiste nel copiarli su una periferica USB, qualora i dati siano facilmente “copiabili”. Disabilitare le periferiche di massa USB può essere una buona strategia per impedire l’asportazione fisica dei dati. 59
  • 60. Eventi distruttivi naturali, artificiali, dolosi o dovuti a incuria Articolo 32, comma 1, lett. a, b, c, d 60
  • 61. Sistema di business continuity Una soluzione di business continuity consente alle aziende e alle organizzazioni di riprendere a lavorare velocemente anche se i dati originali sono andati distrutti. 61
  • 62. “ REMINDER: Parola d’ordine della serata: Ipersemplificazione! 62