4. La roadmap di questa sera
4
1
Sicuro di essere al sicuro? La formazione
2
I 3 moschettieri della sicurezza
3
Rischio informatico
4
5. La roadmap di questa sera
5
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
2 3
Rischio informatico
4
I 3 moschettieri della sicurezza
6. Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può accedervi?
Un po’ di sano terrorismo…
1
7. “ Di certo non vengono ad
attaccare noi...
Non siamo mica la NASA…
Non abbiamo segreti da
nascondere…
Siamo una famiglia…
7
8. Sfatiamo un mito
● Anche se credi di non essere interessante per un attacco;
● Anche se non sei la NASA;
● Anche se non hai niente da nascondere;
La tua azienda possiede qualcosa che ha un valore immenso.
DATI!
8
9. I DATI
SONO ORO
Per la tua azienda i dati sono la cosa più importante.
Gli attaccanti lo sanno e sanno che possono estorcerti del denaro
agendo sui tuoi dati e impedendoti di utilizzarli.
9
10. Il phishing
Anche se il 78% degli utenti non cade
nella rete del phishing, per ogni singola
campagna il 4% resta vittima del tranello.
A un cybercriminale basta una vittima per
accedere a un’intera organizzazione aziendale!
10
11. I ransomware
sono il software malevolo più diffuso.
Responsabili del 39% degli attacchi.
Colpiscono oggi anche gli asset più critici,
come server e database
11
13. Esempio: internet in hotel
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer o un
cellulare che cerca di navigare
tramite rete wireless.
13
14. Esempio: il wifi pubblico
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer o un
cellulare che cerca di navigare
tramite rete wireless.
14
15. Esempio: il posteggio
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer
simulando una tastiera ed
eseguendo comandi in modo
automatico
15
16. La roadmap di questa sera
16
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2 3
Rischio informatico
4
I 3 moschettieri della sicurezza
17. La formazione
Oggi non si violano i sistemi informatici,
ma le persone che li utilizzano
2
18. L’attacco mira all’utente
● Che spesso non è preparato e non sa difendersi;
● Che non riceve la formazione di base per distinguere ciò che è
lecito da ciò che è dannoso;
● Che non dispone dei mezzi per evitare di essere attaccato;
L’utente da solo non può vincere la guerra, ma va aiutato per
combatterla ad armi pari.
18
19. L’UTENTE
È LA CHIAVE
Devi fare in modo che l’utente non sia raggiungibile dall’attaccante,
ma prevedere che sappia difendersi se, nelle difese, qualcosa
dovesse andare storto
19
20. Gli strumenti
L’utente deve avere la consapevolezza
di ciò che lo circonda. Computer, tablet,
smartphone… Tutto è connesso e tutto
rappresenta un potenziale punto di accesso
alle informazioni critiche dell’azienda.
20
21. Le modalità d’uso
L’utente deve sapere, in ogni momento,
cosa sta facendo. Un utilizzo in modo
inconsapevole della tecnologia espone al
rischio di gravi perdite in termini economici,
derivanti da danni diretti e indiretti.
21
23. Esempio: man in the mail
Attacco tramite il quale vengono
dirotta pagamenti relativi ad accorti
commerciali:
● Fatture;
● Acconti;
● Calciatori… J
23
24. Esempio: vishing, smishing
Gli attaccanti sfruttano la voce o i
messaggi di testo per carpire
informazioni alla vittima.
Gli attacchi sono condotti usando
tecniche di social engineering
24
25. La roadmap di questa sera
25
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2
Ovvero coloro ai quali affidare le
sorti tue e della tua attività
3
Rischio informatico
Alcuni esempi pratici di rischi e
di misure per mitigarli.
Con un occhio al GDPR!
4
I 3 moschettieri della sicurezza
26. I 3 moschettieri della
sicurezza
Ovvero coloro ai quali affidare le sorti
tue e della tua attività
3
27. “ Se credi che una soluzione di
sicurezza informatica sia
eccessiva o troppo costosa,
aspetta di vedere quanto ti
costerà non implementarla o
ricorrere all’improvvisazione
27
28. COSA TENERE
A MENTE
Ogni volta che valuti una soluzione legata alla tua sicurezza
informatica devi ricordare un concetto importante
28
30. Cose che non possono mancare
Disaster Recovery
È la soluzione indispensabile
per qualsiasi realtà.
Si tratta dell’ultima spiaggia,
quella che deve sempre offrire
una garanzia di salvezza, a
prescindere dal
funzionamento di tutte le
contromisure adottate
Firewall perimetrale
Garantisce il pieno controllo di
tutto il traffico internet, in
entrata e in uscita.
I sistemi evoluti, se
correttamente gestiti e
manutenuti, sono in grado di
intercettare e rendere
inoffensive buona parte delle
minacce in circolazione.
Antivirus / Antimalware
È la prima misura di sicurezza,
quella che lavora in parallelo
all’utente.
Le soluzioni più evolute in
commercio effettuano
un’analisi avanzata, e sono in
grado di rilevare minacce non
ancora identificate e
catalogate
30
31. Disaster Recovery
Il disaster recovery è la ruota di scorta
della tua infrastruttura informatica.
RTO e RPO sono i due parametri che vanno
considerati prima di implementare una
soluzione di disaster recovery
31
32. Firewall Perimetrale
Il firewall per l’azienda equivale alla
grande muraglia cinese.
Si occupa di impedire l’accesso a tutti i
«nemici» informatici, e impedisce che gli
utenti si connettano a siti malevoli, portatori di
infezioni
32
33. Antivirus/malware
L’antivirus è ancora una delle misure di
protezione fondamentali in ambito IT.
Oggi in commercio esistono prodotti e
servizi indipendenti dall’aggiornamento delle
firme virali
33
34. La roadmap di questa sera
34
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2
Ovvero coloro ai quali affidare le
sorti tue e della tua attività
3
Rischio informatico
Alcuni esempi pratici di rischi e
di misure per mitigarli.
Con un occhio al GDPR!
4
I 3 moschettieri della sicurezza
36. Ambito del rischio informatico
Comportamento
Uno dei principale ambiti di
rischio è quello legato al
comportamento e alle
abitudini degli operatori.
Strumenti
Gli strumenti utilizzato dagli
operatori, direttamente o
indirettamente, potrebbero
esporre i dati a rischi che sono
da prendere in considerazione
Contesto
Anche il contesto relativo al
trattamento potrebbe mettere
a rischio la disponibilità o
l’integrità dai dati.
36
37. NON ESISTE
LA MISURA
UNIVOCA
Ogni rischio può essere mitigato con diversi misure.
L’importante è condurre una selezione ragionata e responsabile
37
40. Formazione e
sensibilizzazione
Un’adeguata formazione sulla protezione
dei dati e le conseguenze di un mancato
rispetto della normativa, sono un elemento
fondamentale per ottenere dei processi di
trattamento dati in linea con essa.
40
42. Disciplinare interno,
lettera di incarico e
sanzioni
È necessario che ogni collaboratore riceva
regolamento aziendale sull’utilizzo delle
apparecchiature elettroniche e lettera di
incarico. Questi due documenti conterranno diritti
e doveri in merito al corretto trattamento, contravvenendo
i quali possono scattare le sanzioni disciplinari.
42
43. Backup e Disaster Recovery
Qualora tutte le contromisure non fossero
state efficaci per impedire comportamenti
fraudolenti, un buon sistema di backup consente
il ripristino dei dati danneggiati o asportati. Qualora
i danno interessasse elevati volumi di dati o interi sistemi sarà necessario
disporre delle adeguate misure di Disaster Recovery
43
45. Documentazione di
processi e procedure
Formazione
La stesura di una procedura per portare a
termine un determinato compito arricchisce
la conoscenza aziendale e diminuisce drastica-
mente il rischio di errori in quanto l’esecuzione
dell’attività non viene lasciata al caso ma viene affidata a un operatore
che deve seguire una procedura ben precisa.
45
46. Backup e Disaster Recovery
Nel caso in cui l’errore impedisca di trattare
i dati come previsto, un buon sistema di backup
o Disaster Recovery, in caso di compromissione di
interi sistemi, permette di rimediare all’attore commesso dal personale e
consente di ripristinare i dati.
46
49. Sistema di autentica-
zione, Autenticazione
a due fattori
Il sistema di autenticazione è la prima misu-
ra da adottare: un sistema di controllo degli
accessi per evitare che chiunque possa colle-
garsi e accedere ai dati.
L’autenticazione a due fattori aumenta la sicurezza del login, poiché non
basta conoscere le credenziali di accesso
49
50. Segretezza delle
credenziali
È auspicabile che le credenziali siano asse-
gnate univocamente a ciascun incaricato e
non siano condivise in quanto ogni incaricato
potrebbe dover trattare tipologie di dati differenti.
Inoltre un sistema di autenticazione a due fattori assicura che solo il
diretto interessato possa effettivamente accedere con le credenziali
assegnate.
50
51. Lunghezza minima e
complessità password
Una password sicure dovrebbe essere facil-
mente ricordabile ma non banale.
I moderni sistemi operativi sono in grado di im-
porre deli criteri di complessità e di durata delle
credenziali utente.
51
53. Firewall
I sistemi è opportuno siano protetti da un
firewall per prevenire accessi non autorizzati,
sia che i dati si trovino all’interno dell’azienda sia
che risiedano in un datacenter.
È la prima, necessaria e insostituibile soluzione per proteggere le reti
all’interno delle quali vengono trattati i dati.
53
54. Aggiornamento sw
Firewall
Il firewall è necessario, ma poiché́ gli attac-
chi sono in continua evoluzione è necessario
che il software del firewall sia regolarmente
aggiornato per rispondere alle nuove tecniche
messe in atto dai pirati informatici.
54
55. Monitoraggio Logon
sospetti
Spesso le intrusioni si scoprono solo dopo
che sono avvenute e la scoperta a posteriori
non è naturalmente una buona tecnica di
prevenzione. Una possibile misura per provare a
intercettare eventi sospetti è il monitoraggio del logon. Il monitoraggio
dei logon sospetti può essere un buon meccanismo di prevenzione di
accessi potenzialmente fraudolenti.
55
57. Asportazione o furto di
strumenti contenenti i dati
Articolo 32, comma 1, lett. d
Articolo 33
57
58. Presenza di un sistema
di cifratura
Uno dei problemi derivanti dall’asportazione
di dati è che non si sa in quali mani finiscano
e quindi come vengano trattati. La cifratura dei
dati può essere una buona arma di difesa nel caso
in cui l’asportazione dei dati sia un rischio elevato. In questo modo
qualora i dati finissero in mano a persone che non hanno titolo di trattare
quei dati, non potranno accedervi poiché cifrati.
58
59. Disabilitazione porte
USB
Uno dei metodi più semplici per asportare i
dati consiste nel copiarli su una periferica USB,
qualora i dati siano facilmente “copiabili”.
Disabilitare le periferiche di massa USB può essere
una buona strategia per impedire l’asportazione fisica dei dati.
59
61. Sistema di business
continuity
Una soluzione di business continuity consente
alle aziende e alle organizzazioni di riprendere
a lavorare velocemente anche se i dati originali
sono andati distrutti.
61