Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile.
https://www.vincenzocalabro.it
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile.
https://www.vincenzocalabro.it
La gestione del processo aziendale, per la sicurezza dei sistemi, rappresenta il plus che permette un'ottimizzazione dei livelli di sicurezza. Un'efficace analisi dei processi, che parte dalla Privacy e analizza le minacce e le vulnerabilità, permette di definire un piano di Disaster Recovery efficace e di ottenere elevati standard di sicurezza con l' ottimizzazione nella gestione continua del business e del processo di Continuità operativa previsto in modo obbligatorio per le aziende pubbliche.
Il progetto nasce in collaborazione con l’associazione Nazionale per la difesa della privacy (ANDIP) ed ha come scopo di business abbassare i costi della sicurezza censendo al suo interno tutti i nodi cruciali del sistema lavoro di una azienda o di un ente.
Anche aziende come ITS-factory hanno deciso di affiancarci come Stakeholder nello sviluppo del progetto.
Modelli organizzativi e tecnologie per una strategia efficace - Presentazione tenuta l'8 marzo 2016 durante il primo CIO Online Meeting di ZeroUno (webinar)
L'atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello "struzzo". Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d'azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all'ingresso di una banca, i controlli all'uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell'ultimo decennio con l'avvento di Internet, hanno posto una "questione culturale" sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall'altro una mancanza di una reale percezione del rischio. Oggi si parla dell'era dell'informazione, per mettere in risalto l'importanza crescente del patrimonio della conoscenza come reale valore di un'impresa. Un concetto sul quale si può facilmente essere tutti d'accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l'avvento dei computer; eppure cos'è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell'e-business, che vuole un'impresa affidare all'IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L'estensione in rete dell'azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato.
https://www.vincenzocalabro.it
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi dell'infrastruttura di elaborazione e comunicazione aziendale. Per esempio, l'autenticazione sugli host centrali, in un primo momento, e sui gateway di accesso, successivamente, oppure i firewall a protezione del perimetro applicativo e così via. Questa visione rifletteva la natura delle minacce, che, però, hanno imboccato la strada di un'evoluzione convergente. Gli attacchi, infatti, adottano tecnologie ibride che richiedono strumenti altrettanto integrati se si vuole avere una ragionevole certezza che possano essere rilevati. Quello che sta emergendo è uno scenario che vede l'affermarsi di un'architettura distribuita dei sistemi di sicurezza, con l'installazione di soluzioni in modalità client server e con l'integrazione di applicazioni inizialmente separate. Un esempio peculiare, a tale proposito, sono i sistemi di intrusion detection. Nati per essere posti all'interno della rete, si stanno spostando in tutti gli elementi dell'architettura, posizionandosi su host, segmenti di rete e client, sia all'interno della LAN sia all'esterno del firewall, come pure nella DMZ. Ma, addirittura, tali sistemi sono anche in grado di colloquiare con analoghe soluzioni poste dagli Internet Service Provider a protezione delle connessioni di rete. Senza contare poi l'interazione degli stessi sistemi di IDS con i dispositivi di firewall.
https://www.vincenzocalabro.it
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Articolo tecnico Maurizio Milazzo manutenzione T&M giugno 2017Maurizio Milazzo
Industrial Organizations need to have a Strategic Vision to reach Operational Excellence that can mean Performance Improvement and long life on the Market. So Asset Monitoring is a pillar approach to support asset availability and reliability. Successful Asset Monitoring is based on Predictive Maintenance so, to reach Operational Excellence Predictive Analytics is the Must.
But the real winning approach is to consider "maintenance" no more as a cost but as an opportunity for operation costs reduction and performance improvement. The higher-level sponsorship in the Organization is needed to run this kind of Strategic View.
In attach you will find an article (in Italian) was asked me to wright about it. The article will be published in the June 2017 Official Review of AIMAN, The Italian Maintenance Association.
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Dal 1991 operiamo nell’ambito dei servizi IT e della consulenza strategica direzionale.
La rapida evoluzione della tecnologia e della
compliance normativa ci ha permesso di specializzarci in consulenze nell’ambito della sicurezza del
patrimonio informativo aziendale e del controllo delle informazioni.
Dal 1991 operiamo nell’ambito dei servizi IT e della consulenza strategica direzionale.
La rapida evoluzione della tecnologia e della
compliance normativa ci ha permesso di specializzarci in consulenze in ambito della sicurezza del
patrimonio informativo aziendale e del controllo delle informazioni.
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaLuca Moroni ✔✔
Sono stato invitato da Luca Moroni , cybersecurity coach di ISACA, e Antonio Nardo, ICT Director di Breton S.p.A., a tenere un intervento di sensibilizzazione su opportunità e minacce legate all’uso delle moderne tecnologie digitali e social per la nuova generazione, sia nel mondo del lavoro che nella sfera privata. L’intervento si è svolto giovedì 13 giugno presso la sala conferenze di Breton S.p.A., azienda leader a livello mondiale nella produzione di macchine per la lavorazione della pietra naturale, dei metalli e impianti per la pietra composita, con sede principale a Castello di Godego (TV) ma attiva in tutto il mondo. Breton S.p.A. conta più di 900 dipendenti, 7 filiali estere e circa 200 milioni di euro di fatturato annuo.
Ettore Guarnaccia.
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Luca Moroni ✔✔
Critical Infrastructures (IC) are essential elements in our economic and social life. Cyber incidents in such organizations could create a “domino effect”. This must be an important concern in a National Cyber Security Policy. Now EU Cybersecurity Act
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Luca Moroni ✔✔
Fare prove di Social Engineering ha dei vincoli. Una buona idea è un gioco di ruolo. COME FUNZIONA UN GIOCO DI S.E.?
I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione. Ad ogni gruppo vengono forniti alcuni elementi utili (mappa dell'organizzazione, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare) che vengono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità.
Slide Intervento Igor Falcomatà per il seminario IoT: Opportunità o minaccia? Il 15 marzo si è tenuto a Trento, presso il Castello del Buonconsiglio, una conferenza sulla Cybersecurity organizzata da ISACA Venice Chapter con l’Università degli Studi di Trento ed in collaborazione con Trentino Network.
L’evento ha affrontato il vasto mondo degli IoT, o Internet delle Cose, illustrando con casi pratici e best practice quelle che sono le opportunità connesse a questo nuovo business, focalizzandosi sulla sicurezza di questi apparati.
Intervista di Paolo Giacon a Luca Moroni per la pubblicazione II MODELLI DI SUCCESSO PER L''INNOVAZIONE E LA RICERCA E SVILUPPO NELLE PICCOLE E MEDIE IMPRESE AD ALTA TECNOLOGIA DELL’’AREA VICENTINA
The document discusses a new website called Calameo that allows users to publish and share eBooks, documents, and presentations online or via mobile apps. Calameo offers free and paid subscription plans, and published content can be protected with digital rights management or made publicly accessible. Users are able to customize publications with covers, bookmarks, and annotations to share knowledge on any topic.
Too many incidents related to "ransomware" in North East of Itally. Companies needs to understand how to protect themselves and ensure continued access to the digital data. The damage of a cyber incidents exceed the threshold of US $ 25mil. Safe rating of Intangible Assets of a company need enhancement of the cyber risks insurance market. But a weak competence require clarification on this topic. The research intent was to identify the real risks and digital vulnerabilities in companies. We have done an evaluation of typical insurance products on IT risk and we have made a CIO/CISO Survey. The final scope was a guideline for approacing the problem of outsourcing Cyber Risk Protection.
ISACA SLOVENIA CHAPTER October 2016 - LubianaLuca Moroni ✔✔
Talk Luca Moroni - Via Virtuosa
Cyber security awareness of critical infrastructures in N/E of Italy: scenarios and guidelines for self-assesementOzaveščenost o varnosti spleta in kritične infrastrukture v severni Italiji: Scenariji in smernice kako opraviti samooceno
This document summarizes Via Virtuosa's strategy and goals. It discusses Via Virtuosa's offerings for customers in northeast Italy such as knowledge of market requirements and startup support. It notes Via Virtuosa's growth between 2010-2015 with 78 new customers and increasing annual revenue. The document outlines future goals such as expanding internationally and industrializing their brokering business model. It seeks future sponsors like business angels, startups, and EU companies seeking an external cybersecurity business unit.
Articolo realtà industriale luglio agosto 2015Luca Moroni ✔✔
Evento realizzato in collaborazione con Confindustria Udine e IT Club FVG. Relatore Paolo Attivissimo noto giornalista esperto su queste tematiche di sicurezza informatica. Udine 23 Giugno 2015
Piataforma per gestire i processi legati al governo dei sistemi di gestione. Ideale per la valutazione del rischio informatico e come strumento per la compliance
2. menti di progetto e quelli commerciali: il danno subito è stato
ingente, con un fermo di diversi giorni. Il fatto è stato denuncia-
to alla polizia postale, e sembra che l'obiettivo dei malviventi
fosse quello impadronirsi di alcuni segreti industriali. Questa
azienda, come quasi tutte quelle che subiscono tali incidenti,
non vuole tuttavia essere citata.
Un penetration test ha una utilità analoga a quella di un con-
trollo notturno: un ente esterno, su richiesta, controlla periodi-
camente che l'azienda sia sufficientemente protetta da acces-
si indesiderati dall'esterno. I risultati consentono di capire i
punti deboli che potrebbero essere sfruttati da malintenziona-
ti, e quindi di porvi rimedio evitando gli errori banali e limitan-
do i danni.
Numerosi documenti discutono le attività di analisi della sicu-
rezza quali vulnerability assessment e penetration test dal pun-
to di vista del fornitore, proponendo metodologie e pratiche di
riferimento. Un numero minore di documenti è invece dedica-
to al punto di vista del cliente, e ancora più ridotta è l’attenzio-
ne rivolta alle PMI, piccole e medie imprese.
Obiettivo di questo documento è circostanziare il valore ag-
giunto di un buon penetration test per una PMI, descrivere le
caratteristiche desiderabili per l'esecuzione di un penetration
test e suggerire linee guida per la selezione dei fornitori atti a
svolgere attività di tale natura. Sono state definite in particola-
re buone pratiche e aspetti critici cui porre attenzione nel
commissionare un Penetration Test da parte di una PMI.
Non vi è dubbio che se occorre un livello di sicurezza elevato,
bisogna tener conto di tutta la complessità della gestione del-
la sicurezza, fra cui un affinamento dei dati, delle misure e del-
le tecnologie corrispondenti. A questo proposito, le idee e il
modello qui presentati sono ritenuti coprire un livello di sicurez-
LUCA MORONI
CISA®
Certified
Information
System Auditor
Aprile 2013 ICT Security 35
on test
I
Luca Moroni certificato CISA e
ITIL Foundation è stato il
coordinatore del gruppo di lavoro
del Quaderno di ISACA VENICE
Chapter. Laureato in Informatica a
Milano professionista (ai sensi
della legge 4/2013) da 15 anni è
appassionato di Sicurezza
Informatica a livello
professionale. Si occupa di
selezionare le aziende fornitrici
nell’ambito della sicurezza ICT in
base alle loro competenze
specifiche.Vive in provincia di
Vicenza e opera in area Nord Est.
3. 36
za accettabile per le piccole organizzazioni, i cui
investimenti in sicurezza sono più ridotti. Forme più
avanzate di sicurezza (ad esempio, componenti
infrastrutturali critiche) richiederebbero una tratta-
zione più ampia che va al di là dello scopo del
presente documento.
Il valore del patrimonio immateriale delle PMI è
spesso noto soltanto in parte. Questo è tipicamen-
te il caso di uno degli asset più importanti, vale a
dire, le informazioni. È indispensabile che i respon-
sabili delle PMI comprendano il valore delle infor-
mazioni contenute all’interno del proprio sistema
aziendale e dispongano di un quadro entro il
quale valutare ed implementare la sicurezza delle
informazioni.
Prendendo spunto dalla esecuzione di una anali-
si da parte di un fornitore esterno si suggerisce di
avviare, comprendere ed attuare processi formali
di sicurezza del patrimonio informativo, compren-
denti anche misure tecniche ed organizzative.
Senza misure di questo tipo, l’azienda può risulta-
re seriamente danneggiata da minacce involon-
tarie/attacchi deliberati ai propri sistemi informati-
vi, tali da poter determinare in ultima analisi la
cessazione dell’attività.
Anche se è la formula più economica per la PMI
abbiamo scartato autovalutazioni specifiche di
Penetration Test che invece è accettabile se ci si li-
4. 37
mita ad analisi automatiche di livello più basso
denominate Vulnerabilty Assesment. Pertanto la
metodologia proposta serve per identificare team
di specialisti indipendenti esterni (il cosiddetto “Ti-
ger Team)1”.
Ringrazio tutti i partecipanti al gruppo di ap-
profondimento per l’impegno e la disponibilità of-
ferta nella realizzazione di questo documento.
Luca Moroni
SCOPO DEL DOCUMENTO
L’IT di tutte le imprese, in quanto connesso con
servizi e ambienti esterni, è soggetto ad attacchi e
vulnerabilità che possono compromettere la sicu-
rezza dei dati aziendali. L’esecuzione di sistematici
Vulnerability Assessement e Penetration Test è or-
mai una buona pratica adottata generalmente
per analizzare il grado di sicurezza rispetto a mi-
nacce esterne. In tale contesto il supporto offerto
all’Utente ed alla Piccola-Media Impresa è suscet-
tibile di miglioramenti.
Per offrire un contributo alla selezione di un ap-
proccio adeguato a tali stakeholder, ISACA VENI-
CE Chapter ha avviato un Gruppo di Approfondi-
mento per redigere delle linee guida per l’Utente
e le PMI nell’utilizzo di verifiche di sicurezza, in par-
ticolare Vulnerability Assessment e Penetration Test
svolte da terze parti.
Lo scopo del presente documento è quello di illu-
strare i risultati ottenuti dal Gruppo di Ricerca, sti-
molando nei lettori l’interesse all’argomento trat-
tato ed agli opportuni approfondimenti.
DESTINATARI DEL DOCUMENTO
Questo articolo si pone come obiettivo quello di
definire i requisiti che una azienda deve valutare
nel commissionare un servizio di Penetration Test
ad un fornitore esterno.
I destinatari naturali del documento sono i re-
sponsabili che nella PMI intendono commissiona-
re una analisi di sicurezza sulle risorse informati-
che dell’azienda che vi possono trovare, oltre ad
un’esposizione razionale dei concetti ed un’omo-
geneizzazione delle definizioni, lo spunto per la
pratica creazione di una metodologia più specifi-
ca sulla gestione del rischio IT, utile nel proprio
ambito lavorativo.
QUICK SURVEY
Il Gruppo di Approfondimento ha predisposto un
Quick Survey per rilevare più approfonditamente il
livello di utilizzo di queste tecniche da parte delle
imprese del Nord Est d’Italia.
Nello specifico questi sono stati i quesiti:
• Ogni quanto svolge un PENETRATION TEST
• Su quale base sceglie il fornitore
• Ha mai svolto delle analisi di sicurezza nel peri-
metro interno. Dove l'analisi è composta da una
serie di processi che simulano le azioni normal-
mente svolte da un dipendente o consulente
nella rete interna.
• Quale sono gli aspetti per le attività svolte in
passato di cui sono stato PIU’ soddisfatto (anche
più di una risposta)
• Quale sono gli aspetti per le attività svolte in
passato di cui sono stato MENO soddisfatto (an-
che più di una risposta)
Tale indagine trova riscontro e viene utilizzata in
più punti del presente documento fornendo an-
che degli spunti di riflessione. Il campione delle
aziende che hanno risposto costituito da 50 que-
stionari compilati è suddiviso nel seguente modo
indicato nelle tabelle presenti nella pagina a fian-
co.
1 INTRODUZIONE
In un periodo di contenimento dei costi quelli sul-
la sicurezza riguardano oggi: costo monetario dei
dispositivi, protezioni, strumenti, servizi, aggravio
dei tempi per attenersi a procedure, aumento di
complessità operativa. Ma la Sicurezza è anche
investimento, se si considerano le conseguenze
della assenza o inadeguatezza delle misure pro-
tettive. Il problema è come bilanciare costi con
esigenze pertanto rischi con protezioni.
Il Global Risk Report 2012 del World Economic Fo-
rum, analizzando le 50 principali minacce globali
dei prossimi 10 anni e classificandole per impatto
e probabilità, nella sezione “Rischi tecnologici” po-
ne al primo posto il Cybercrime.
La vulnerabilità nel settore dell‘information secu-
rity è definita come elemento di un particolare
settore che possa compromettere la sicurezza
informatica dell’intero sistema.
Per sicurezza informatica si intende la tutela delle
seguenti caratteristiche: confidenzialità, integrità,
disponibilità ed autenticazione. Qualora una de-
bolezza del sistema informativo comprometta una
delle sopradette caratteristiche si riscontra una
vulnerabilità.
L’analisi di vulnerabilità è il passo successivo alla
visione dell’architettura, definizione degli obiettivi
e valutazione dei beni aziendali. L’obiettivo di un
test è quello di verificare il comportamento a fron-
te di una sollecitazione in una particolare condi-
zione e verificare lo scostamento rispetto alle atte-
se.
Le vulnerabilità sono individuabili principalmente
in tre categorie, che rappresentano tre diversi livel-
li da analizzare per la sicurezza: la rete, i sistemi e
gli applicativi. Successivamente sono riportate le
definizioni dei livelli che analizzeremo e le relative
problematiche.
1.1 Richiami di legge
L’adozione di specifiche misure di sicurezza logica
5. 38
costituisce in sempre più numerosi settori un obbli-
go normativo previsto dalla legge o dai regole-
menti di settore. Vedi ad esempio le norme con-
cernenti i settori finanziario, assicurativo e delle
carte di credito.
Per il settore delle comuinicazioni elettroniche ad
esemio dal primo giugno 2012 è in vigore il Decre-
to legislativo 28 maggio 2012, n. 69 che recepisce,
tra l'altro, la direttiva 2009/136/CE, in materia di
trattamento dei dati personali e tutela della vita
privata nel settore delle comunicazioni elettroni-
che.
Grande rilievo assume la sicurezza e l'integrità del-
le reti di comunicazione elettronica accessibili al
pubblico, con riferimento alle quali il ministero in-
dividua adeguate misure di natura tecnica e or-
ganizzativa per assicurare la sicurezza delle reti e
dei servizi di comunicazione elettronica accessibi-
li al pubblico, nonché per garantire l'integrità del-
le reti.
Oggi il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico (ma è prevedi-
bile che sia recepito globalmente), oltre ad istitui-
re una politica di sicurezza per il trattamento di
dati personali, deve mettere in atto regolarmente
le misure di:
• monitoraggio;
• prevenzione;
• correzione;
• attenuazione.
Le autorità nazionali, al fine di difendere gli interes-
si dei cittadini, devono assicurare un elevato livel-
lo di protezione dei loro dati personali e della loro
vita privata.
Devono dotarsi pertanto di mezzi necessari per:
• disporre dei dati completi ed affidabili sugli inci-
denti di sicurezza che hanno compromesso i da-
ti personali degli utenti;
• controllare le misure adottate dai fornitori;
• diffondere le best practices tra i fornitori.
Il fornitore, appena viene a conoscenza di una
violazione che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la rivelazio-
ne non autorizzata o l'accesso ai dati personali
trasmessi, memorizzati o comunque elaborati nel
contesto della fornitura di un servizio, deve notifi-
carla all'autorità nazionale competente includen-
do:
• informazioni di dettaglio sulla violazione;
• le conseguenze della violazione;
• le misure proposte o adottate per porvi rimedio.
L’esecuzione del servizio di verifica dei parametri
funzionali della rete (penetration/intrusion test) ri-
sponde inoltre alle prescrizioni del Testo Unico ma-
teria di protezione dei dati personali e precisa-
mente a quanto indicato nel Disciplinare Tecnico
in materia di misure minime di sicurezza - Allegato
B al D.L. 196/2003. In particolare il punto 16 del ci-
tato Allegato B specifica le regole da seguire con-
tro l’accesso abusivo dei sistemi informatici, se-
condo quanto indicato dall’articolo 615-ter del
Codice Penale.
In generale per i responsabili ICT di tutte le orga-
nizzazioni per le quali la continuità operativa e/o
la protezione delle informazioni e della proprietà
intelletuale costituiscono fattori critici di successo,
assicurarsi che i controlli di sicurezza posti in esse-
re dalle proprie strutture ICT sono in linea con le
normative applicabili e le buone pratiche di setto-
re, costituisce elemento imprescindibile per l’eser-
cizio diligente e professionale dei propri compiti.
1.2 L’ analisi del livello di sicurezza IT
L’analisi di Vulnerabilità è un passo necessario per
fotografare le problematiche del sistema informa-
tivo. E’ il passo necessario per sapere le debolezze
del sistema a 360 gradi, per poi decidere come
proteggere il sistema e le trasmissioni dati. E’ un
passo necessario poiché spesso valutare a priori il
6. 39
problema e risolverlo senza una precedente ana-
lisi di vulnerabilità porta a delle protezioni provvi-
sorie, e spesso inutili, con il conseguente danno
economico.
Sulla base di una recente indagine svolta da ISA-
CA VENICE CHAPTER sulla frequenza con cui
aziende dell’area Nord Est svolgono una analisi di
sicurezza è emerso questo dato indicativo.
Considerando le statistiche sugli incidenti infor-
matici, la maggior parte degli attacchi (circa il
65%) sono stati realizzati con tecniche ben note.
Per cui con la realizzazione di un Penetration Te-
st queste vulnerabilità potrebbero essere mitiga-
te, se non eliminate, con una certa facilità.
Come indicato dal Clusit nel report 2012 i rischi
informatici come lo spionaggio industriale o l’ac-
cesso abusivo ai sistemi nella PMI non sono gene-
ralmente percepiti. I rischi correlati alle informazio-
ni possono portare a situazioni critiche, quando
vanno ad investire l’essenza dell’organizzazione,
sul piano aziendale e legale. I rischi correlati alle
informazioni possono portare pertanto a catego-
rie di rischio più generali e a maggiore criticità
quali:
• rischio legale/legato agli adempimenti è il ri-
schio derivante da violazioni o mancato rispet-
to di leggi, norme contabili, regolamenti, prassi
o norme etiche. I rischi legali o correlati agli
adempimenti possono esporre l’organizzazione
a pubblicità negativa, ammende, sanzioni pe-
nali e civili, pagamento dei danni e annullamen-
to dei contratti. Il furto di informazioni relative ai
clienti, come le informazioni sulle carte di credi-
to, le informazioni finanziarie, le informazioni sani-
tarie o altri dati personali possono anche solle-
vare rischi potenziali in termini di rivendicazioni
di terzi. In riconoscimento del fatto che la sicu-
rezza delle informazioni è una problematica cre-
scente e composita, ma anche per tutelare i di-
ritti civili e coinvolgere la responsabilità delle
aziende, i governi dell’UE e l’Unione europea
hanno stabilito leggi e regolamenti il cui rispetto
è previsto da parte di tutte le organizzazioni, a
prescindere dalle dimensioni o dal settore. Que-
ste norme obbligano le società ad implementa-
re controlli interni volti a proteggere l’azienda
dai rischi informatici. Esse mirano anche a mi-
gliorare le prassi e le procedure di gestione del
rischio;
• rischi di stabilità finanziaria. La mancanza di
adeguate infrastrutture di produzione, di infra-
strutture gestionali o di personale per persegui-
re la strategia aziendale può far sì che la so-
cietà non sia in grado di conseguire gli obietti-
vi dichiarati e gli obiettivi finanziari in un am-
biente ben gestito e controllato. Una inadegua-
ta gestione della sicurezza delle informazioni
può ricadere sui rischi relativi alla stabilità fi-
nanziaria dell’organizzazione, i quali rischi a lo-
ro volta, possono aprire la porta a frode, rici-
claggio di denaro, instabilità finanziaria, ecc.
• il rischio produttività è il rischio di riportare
perdite operative e di erogare servizi carenti al-
la clientela per effetto del mancato rispetto del-
le procedure di lavorazione di base e dei relati-
vi controlli. Questo rischio si riferisce solitamen-
te a tutte le attività di produzione che contribui-
scono in qualche modo alla consegna com-
plessiva di un prodotto o di un servizio. Il rischio
produttività non è limitato all’uso delle tecnolo-
gie: può anche essere il risultato di attività or-
ganizzative. In questa famiglia di rischio rientra-
no i rischi derivanti da sistemi inadeguati o
scarsamente controllati, dal software utilizzato
a supporto degli operatori di sportello alle ope-
razioni di gestione del rischio, dalla contabilità
ad altre unità aziendali. Una inadeguata ge-
stione della sicurezza delle informazioni può
determinare rischi di produttività elevati, fra cui
elevati costi operativi, carenze operative, debo-
lezza delle decisioni manageriali, nonché man-
canza di privacy ed interruzione del servizio al-
la clientela.
• reputazione e fiducia nella clientela. Forse il ri-
schio più difficile da comprendere, ma anche
uno dei più importanti, è il rischio di danno al-
la reputazione, un bene immateriale ma impor-
tante. I clienti, che hanno magari letto sul gior-
nale che la banca dati della società, che con-
tiene i numeri delle carte di credito, è stata ag-
gredita dagli hacker, saranno disposti a fornire
in seguito il numero della propria carta di cre-
dito? I vertici aziendali rimarranno al loro posto,
in una società così danneggiata?
Quale sarà la reazione degli azionisti? Qual è la
prevista perdita di reddito futuro? Qual è la per-
dita prevista in termini di capitalizzazione di
mercato? I