SlideShare a Scribd company logo

Elementi di base per un programma di Cyber Protection

Alessandro Bonu
Alessandro Bonu

WORKSHOP - Smau Milano 2018

1 of 60
Download to read offline
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Elementi di base per un programma di Cyber Protection a cura di Alessandro Bonu
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 2 connubio imprescindibile un network che raggruppa esperti e studiosi mondo tecnologico mondo giuridico
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 3 laboratorio di Informatica Forense Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari Cyber Crimes, IT Security & Digital Forensics ict4forensics.diee.unica.it laboratorio di Informatica Forense Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari Cyber Crimes, IT Security & Digital Forensics ict4forensics.diee.unica.it
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Alessandro Bonu IT Infrastructure System & Security Engineer - Digital Forensics Expert Chi sono Di cosa mi occupo Analisi e progettazione di architetture e sistemi informatici, definizione dei requisiti di sicurezza, implementazione e monitoraggio delle misure adeguate per la protezione dei sistemi, delle reti e delle informazioni.
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Concetto di sicurezza Branca dell’informatica che si occupa delle analisi delle minacce, delle vulnerabilità e del rischio associato agli asset informatici dell’organizzazione, al fine di proteggerli da potenziali attacchi (interni o esterni) che potrebbero provocare danni, diretti o indiretti, con un impatto superiore ad una determinata soglia di tollerabilità che per tanto determina un DANNO più o meno reversibile.
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Prima di parlare di sicurezza.. devo capire perché mi ritengo insicuro, o cosa intendo tutelare e dove.. a questo punto, definisco una strategia
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Cosa si intende tutelare.. • Patrimonio aziendale: dati e risorse • quando si parla di sicurezza dei dati e risorse si parla necessariamente di sicurezza informatica • infrastruttura tecnologica coinvolta nel trattamento dei dati digitali come parte integrante nel suo insieme • non solo Firewall, IDS/IPS/Anti Spam..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Dati come patrimonio aziendale DATI PERSONALIDATI AZIENDALI REG.UE 2016/679 CYBERSECURITY FRAMEWORK SICUREZZA SICUREZZA
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU SICUREZZA per.. ..mitigare eventi di LEVEL
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 10 Regolamento Europeo UE 2016/679 l’approccio..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 11 Titolare e Responsabile del trattamento.. ..mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio R = P * D (Probabilità che si realizzi x Danno provocato)
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 12 minaccia opportunità Un rischio è semplicemente un evento “incerto”, con una determinata probabilità di verificarsi e in grado di determinare impatti.. negativi.. positivi..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 13 ma qual è oggi il concetto di sicurezza e la consapevolezza del rischio IT
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 14 FIREWALL ANTIVIRUS CONCETTI NOTI MA LIMITATI
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 15 «nessuna catena è più forte dell’anello più debole» Sicurezza come prodotto Errore che spesso si commette nel valutare la sicurezza informatica come una sorta di prodotto/i da installare, configurare e attivare in attesa di eventi malevoli..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 16 «nessuna catena è più forte dell’anello più debole» Sicurezza come PROCESSO
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 17 TECNICHE ORGANIZZATIVE «nessuna catena è più forte dell’anello più debole»
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 18 PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY IDENTIFICAREEMISURAREASSET SistemaInformativo cosa si può fare per garantire un buon livello di sicurezza adeguato al rischio?
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 19 PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY Non basta appendere un lucchetto all’ingresso del nostro «Sistema Informativo»..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 20 Identify Protect Detect Respond Recover PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY E’ necessario che il processo di sicurezza venga mantenuto «vivo» in tutti gli asset aziendali
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 21 SICUREZZA COME PROCESSO
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 22 Un approccio errato nella valutazione di un piano per la sicurezza porta ad un fallimento della strategia
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 23 Aspetto fondamentale per la sicurezza è considerare politiche che contemplino la corretta gestione degli apparati mobile e spesso assenti
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 24 #unproblemanoto
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU https://password.kaspersky.com p4ssw0rd
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 26 E’ sempre bene considerare che le password rappresentano le nostre chiavi di casa digitali
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 27 Il Rapporto Clusit fornisce ogni anno il quadro più aggiornato ed esaustivo della situazione globale sulla base degli attacchi più gravi di dominio pubblico e per quel che riguarda l’Italia: il primo semestre del 2018 è stato il peggiore di sempre con una media di attacchi al mese pari a 122 (erano 94 nel 2017) e con un picco nel mese di febbraio dove ne sono stati rilevati 139.
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 28 Adozione di un approccio basato sul rischio «la cattiva notizia» questo genere di minacce sono difficili da prevedere 4 FASI
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 29
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU isk NON SCELTE RIGIDE CHE INGESSANO IL SISTEMA, MA FLESSIBILI E MODULARI Unknown Risk
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 31 un miliardo di persone colpite, nel 2017, da attività di criminalità informatica #rapportoclusit2018
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 32 #rapportoclusit2018 500 ml.di di costi 35 ml.ni di eventi rilevati Manipolazioni e sottrazione di dati
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 33 la sicurezza informatica rimane una fonte di profonda preoccupazione per le organizzazioni* * Survey del 2018 di Gartner, che ha raccolto dati da 3.160 CIO intervistati in 98 Paesi e in tutti i principali settori
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Sicurezzadelperimetro BYOD MDM Internamente come vengono gestite le politiche di sicurezza? ESTERNO INTERNO
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Perimetro di interesse che si sposta.. INTERNO ESTERNO
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU L’azienda di oggi F W - I D S - I P S SECURITY SECURITY SECURITY
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 37 Vecchio modello di protezione
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 38 ma quando siamo all’interno?
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 39 VULNERABILI “i sistemi di sicurezza devono vincere sempre..” ..chi attacca, solo una volta per essere #cosamipreoccupa
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 40 Ciclo di vita delle vulnerabilità Il pericolo inizia nel momento in cui una vulnerabilità viene scoperta https://www.cybersecurity360.it/nuove-minacce/sicurezza-software-e- vulnerabilita-informatiche-che-ce-da-sapere
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 41
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 42 https://learn.cisecurity.org/20-controls-download
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 43 Il Cybersecurity Report 2016, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cybersecurity presenta 15 Controlli Essenziali di Cybersecurity, destinati principalmente a piccole e micro imprese italiane. http://www.cybersecurityframework.it
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Inventario delle risorse IT
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Governance Definizione di processi e procedure che istruiscano chiaramente l’utilizzo degli strumenti informatici per ciascun trattamento
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Gestione dei Malware Protezione da Malware intesa anche in questo caso con insieme di misure atte a monitorare tutti gli elementi esposti in rete e reagire in maniera proattiva in caso di minacce
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Accesso e privilegi Controllo accesso ai sistemi e RISORSE DI RETE secondo criteri di privilegi e competenze basate sui ruoli specifici
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Politiche MDM e BYOD Gestione e controllo dei dispositivi mobile aziendali e personali
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Regole per i dispositivi mobili • controllo degli accessi con user-id e password (o altri meccanismi di identificazione e autenticazione); • blocco quando non utilizzato; • installazione e aggiornamento di antivirus/antimalware; • divieto di installare software (app per dispositivi mobili) non autorizzato. • evitare di visualizzare dati riservati in luoghi pubblici; • evitare l’utilizzo da parte di terzi; • impostare la cancellazione remota dei dati in caso di furto o perdita; • cifratura dei dati.
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Formazione e Informazione Fondamentale definire un buon piano di comunicazione trasversale tu tutti gli asset aziendali
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Protezione e backup
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Protection by design and by default Protezione che inizia nel momento della progettazione del dato, servizio o prodotto e NON nel momento della gestione
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Cifratura dei dati Protezione dei dati non come singoli interventi (crittografia) ma un insieme di misure armonizzate e adeguate al contesto di trattamento
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Sicurezza della rete by design GREEN LAN BLUE WI-FIDato Dato Dato RED EXTERNAL ORANGE DMZ
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Prevenzione e mitigazione
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Business Continuity Piano di Disaster Recovery e Business Continuity in grado di ripristinare dati, servizi e processi in tempi compatibili alle esigenze di business
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Change Management imparare dagli errori è importante come elemento di adeguamento e innovazione tecnologica dell’organizzazione in un processo di miglioramento continuo..
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Conclusioni Mantenere la sicurezza nel ciclo di vita del sistema come PROCESSO per garantire un adeguato livello di sicurezza nel contesto IT aziendale
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU www.diricto.it alessandro.bonu@diricto.it ict4forensics.diee.unica.it
«Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Attribuzione - non commerciale Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale Tu sei libero di: 1. condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; 2. modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza alle seguenti condizioni: • Attribuzione: devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale. • Non commerciale: non puoi usare il materiale per fini commerciali. • Stessa Licenza: se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. Divieto di restrizioni aggiuntive - Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.

Recommended

Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
Deft Association
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Fabio Guasconi
 

Recommended

Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
Deft Association
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Fabio Guasconi
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
Luca Moroni ✔✔
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
uninfoit
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
Sylvio Verrecchia - IT Security Engineer
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
Luca Moroni ✔✔
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
gmorelli78
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017
SMAU
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezza
Alessandro Bonu
 

More Related Content

What's hot

Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
Luca Moroni ✔✔
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
uninfoit
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
CSI Piemonte
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...AmmLibera AL
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
Sylvio Verrecchia - IT Security Engineer
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
Luca Moroni ✔✔
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
gmorelli78
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 

What's hot (20)

Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...La strategia e le azioni AgID per la gestione della sicurezza informatica del...
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 

Similar to Elementi di base per un programma di Cyber Protection

Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017
SMAU
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezza
Alessandro Bonu
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
uninfoit
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADA
iDIALOGHI
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
Massimo Chirivì
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
SMAU
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
Cisco Case Studies
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
SMAU
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
Massimo Chirivì
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
SMAU
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
SMAU
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
TheBCI
 
L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"
qlsrl
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
 

Similar to Elementi di base per un programma di Cyber Protection (20)

Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezza
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADA
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
 
L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"L'ecosistema della scena "hacker"
L'ecosistema della scena "hacker"
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
 

More from Alessandro Bonu

Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Alessandro Bonu
 
Gdpr workflow
Gdpr workflowGdpr workflow
Gdpr workflow
Alessandro Bonu
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
Alessandro Bonu
 
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
Alessandro Bonu
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)
Alessandro Bonu
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)
Alessandro Bonu
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
Alessandro Bonu
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Alessandro Bonu
 

More from Alessandro Bonu (8)

Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
 
Gdpr workflow
Gdpr workflowGdpr workflow
Gdpr workflow
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
 
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
 

Elementi di base per un programma di Cyber Protection

  • 1. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Elementi di base per un programma di Cyber Protection a cura di Alessandro Bonu
  • 2. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 2 connubio imprescindibile un network che raggruppa esperti e studiosi mondo tecnologico mondo giuridico
  • 3. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 3 laboratorio di Informatica Forense Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari Cyber Crimes, IT Security & Digital Forensics ict4forensics.diee.unica.it laboratorio di Informatica Forense Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari Cyber Crimes, IT Security & Digital Forensics ict4forensics.diee.unica.it
  • 4. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Alessandro Bonu IT Infrastructure System & Security Engineer - Digital Forensics Expert Chi sono Di cosa mi occupo Analisi e progettazione di architetture e sistemi informatici, definizione dei requisiti di sicurezza, implementazione e monitoraggio delle misure adeguate per la protezione dei sistemi, delle reti e delle informazioni.
  • 5. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Concetto di sicurezza Branca dell’informatica che si occupa delle analisi delle minacce, delle vulnerabilità e del rischio associato agli asset informatici dell’organizzazione, al fine di proteggerli da potenziali attacchi (interni o esterni) che potrebbero provocare danni, diretti o indiretti, con un impatto superiore ad una determinata soglia di tollerabilità che per tanto determina un DANNO più o meno reversibile.
  • 6. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Prima di parlare di sicurezza.. devo capire perché mi ritengo insicuro, o cosa intendo tutelare e dove.. a questo punto, definisco una strategia
  • 7. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Cosa si intende tutelare.. • Patrimonio aziendale: dati e risorse • quando si parla di sicurezza dei dati e risorse si parla necessariamente di sicurezza informatica • infrastruttura tecnologica coinvolta nel trattamento dei dati digitali come parte integrante nel suo insieme • non solo Firewall, IDS/IPS/Anti Spam..
  • 8. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Dati come patrimonio aziendale DATI PERSONALIDATI AZIENDALI REG.UE 2016/679 CYBERSECURITY FRAMEWORK SICUREZZA SICUREZZA
  • 9. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU SICUREZZA per.. ..mitigare eventi di LEVEL
  • 10. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 10 Regolamento Europeo UE 2016/679 l’approccio..
  • 11. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 11 Titolare e Responsabile del trattamento.. ..mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio R = P * D (Probabilità che si realizzi x Danno provocato)
  • 12. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 12 minaccia opportunità Un rischio è semplicemente un evento “incerto”, con una determinata probabilità di verificarsi e in grado di determinare impatti.. negativi.. positivi..
  • 13. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 13 ma qual è oggi il concetto di sicurezza e la consapevolezza del rischio IT
  • 14. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 14 FIREWALL ANTIVIRUS CONCETTI NOTI MA LIMITATI
  • 15. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 15 «nessuna catena è più forte dell’anello più debole» Sicurezza come prodotto Errore che spesso si commette nel valutare la sicurezza informatica come una sorta di prodotto/i da installare, configurare e attivare in attesa di eventi malevoli..
  • 16. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 16 «nessuna catena è più forte dell’anello più debole» Sicurezza come PROCESSO
  • 17. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 17 TECNICHE ORGANIZZATIVE «nessuna catena è più forte dell’anello più debole»
  • 18. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 18 PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY IDENTIFICAREEMISURAREASSET SistemaInformativo cosa si può fare per garantire un buon livello di sicurezza adeguato al rischio?
  • 19. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 19 PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY Non basta appendere un lucchetto all’ingresso del nostro «Sistema Informativo»..
  • 20. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 20 Identify Protect Detect Respond Recover PHYSICAL SECURITY NETWORK SECURITY SYSTEM SECURITY STORAGE SECURITY INTERNAL SECURITY E’ necessario che il processo di sicurezza venga mantenuto «vivo» in tutti gli asset aziendali
  • 21. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 21 SICUREZZA COME PROCESSO
  • 22. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 22 Un approccio errato nella valutazione di un piano per la sicurezza porta ad un fallimento della strategia
  • 23. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 23 Aspetto fondamentale per la sicurezza è considerare politiche che contemplino la corretta gestione degli apparati mobile e spesso assenti
  • 24. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 24 #unproblemanoto
  • 25. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU https://password.kaspersky.com p4ssw0rd
  • 26. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 26 E’ sempre bene considerare che le password rappresentano le nostre chiavi di casa digitali
  • 27. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 27 Il Rapporto Clusit fornisce ogni anno il quadro più aggiornato ed esaustivo della situazione globale sulla base degli attacchi più gravi di dominio pubblico e per quel che riguarda l’Italia: il primo semestre del 2018 è stato il peggiore di sempre con una media di attacchi al mese pari a 122 (erano 94 nel 2017) e con un picco nel mese di febbraio dove ne sono stati rilevati 139.
  • 28. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 28 Adozione di un approccio basato sul rischio «la cattiva notizia» questo genere di minacce sono difficili da prevedere 4 FASI
  • 29. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 29
  • 30. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU isk NON SCELTE RIGIDE CHE INGESSANO IL SISTEMA, MA FLESSIBILI E MODULARI Unknown Risk
  • 31. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 31 un miliardo di persone colpite, nel 2017, da attività di criminalità informatica #rapportoclusit2018
  • 32. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 32 #rapportoclusit2018 500 ml.di di costi 35 ml.ni di eventi rilevati Manipolazioni e sottrazione di dati
  • 33. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 33 la sicurezza informatica rimane una fonte di profonda preoccupazione per le organizzazioni* * Survey del 2018 di Gartner, che ha raccolto dati da 3.160 CIO intervistati in 98 Paesi e in tutti i principali settori
  • 34. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Sicurezzadelperimetro BYOD MDM Internamente come vengono gestite le politiche di sicurezza? ESTERNO INTERNO
  • 35. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Perimetro di interesse che si sposta.. INTERNO ESTERNO
  • 36. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU L’azienda di oggi F W - I D S - I P S SECURITY SECURITY SECURITY
  • 37. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 37 Vecchio modello di protezione
  • 38. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 38 ma quando siamo all’interno?
  • 39. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 39 VULNERABILI “i sistemi di sicurezza devono vincere sempre..” ..chi attacca, solo una volta per essere #cosamipreoccupa
  • 40. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 40 Ciclo di vita delle vulnerabilità Il pericolo inizia nel momento in cui una vulnerabilità viene scoperta https://www.cybersecurity360.it/nuove-minacce/sicurezza-software-e- vulnerabilita-informatiche-che-ce-da-sapere
  • 41. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 41
  • 42. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 42 https://learn.cisecurity.org/20-controls-download
  • 43. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU 43 Il Cybersecurity Report 2016, realizzato dal CIS-Sapienza e dal Laboratorio Nazionale di Cybersecurity presenta 15 Controlli Essenziali di Cybersecurity, destinati principalmente a piccole e micro imprese italiane. http://www.cybersecurityframework.it
  • 44. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Inventario delle risorse IT
  • 45. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Governance Definizione di processi e procedure che istruiscano chiaramente l’utilizzo degli strumenti informatici per ciascun trattamento
  • 46. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Gestione dei Malware Protezione da Malware intesa anche in questo caso con insieme di misure atte a monitorare tutti gli elementi esposti in rete e reagire in maniera proattiva in caso di minacce
  • 47. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Accesso e privilegi Controllo accesso ai sistemi e RISORSE DI RETE secondo criteri di privilegi e competenze basate sui ruoli specifici
  • 48. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Politiche MDM e BYOD Gestione e controllo dei dispositivi mobile aziendali e personali
  • 49. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Regole per i dispositivi mobili • controllo degli accessi con user-id e password (o altri meccanismi di identificazione e autenticazione); • blocco quando non utilizzato; • installazione e aggiornamento di antivirus/antimalware; • divieto di installare software (app per dispositivi mobili) non autorizzato. • evitare di visualizzare dati riservati in luoghi pubblici; • evitare l’utilizzo da parte di terzi; • impostare la cancellazione remota dei dati in caso di furto o perdita; • cifratura dei dati.
  • 50. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Formazione e Informazione Fondamentale definire un buon piano di comunicazione trasversale tu tutti gli asset aziendali
  • 51. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Protezione e backup
  • 52. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Protection by design and by default Protezione che inizia nel momento della progettazione del dato, servizio o prodotto e NON nel momento della gestione
  • 53. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Cifratura dei dati Protezione dei dati non come singoli interventi (crittografia) ma un insieme di misure armonizzate e adeguate al contesto di trattamento
  • 54. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Sicurezza della rete by design GREEN LAN BLUE WI-FIDato Dato Dato RED EXTERNAL ORANGE DMZ
  • 55. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Prevenzione e mitigazione
  • 56. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Business Continuity Piano di Disaster Recovery e Business Continuity in grado di ripristinare dati, servizi e processi in tempi compatibili alle esigenze di business
  • 57. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Change Management imparare dagli errori è importante come elemento di adeguamento e innovazione tecnologica dell’organizzazione in un processo di miglioramento continuo..
  • 58. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Conclusioni Mantenere la sicurezza nel ciclo di vita del sistema come PROCESSO per garantire un adeguato livello di sicurezza nel contesto IT aziendale
  • 59. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU www.diricto.it alessandro.bonu@diricto.it ict4forensics.diee.unica.it
  • 60. «Elementi di base per un programma di Cyber Protection» ALESSANDRO BONU Attribuzione - non commerciale Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale Tu sei libero di: 1. condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale con qualsiasi mezzo e formato; 2. modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere; Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza alle seguenti condizioni: • Attribuzione: devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale. • Non commerciale: non puoi usare il materiale per fini commerciali. • Stessa Licenza: se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale originario. Divieto di restrizioni aggiuntive - Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici su quanto la licenza consente loro di fare. Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.