Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Oggetti connessi alla rete che hanno raggiunto cifre davvero ragguardevoli e come tali da tenere in seria considerazione per quanto riguarda aspetti di privacy e sicurezza.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
Intervento di Enzo Veiluva, CSI Piemonte, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Oggetti connessi alla rete che hanno raggiunto cifre davvero ragguardevoli e come tali da tenere in seria considerazione per quanto riguarda aspetti di privacy e sicurezza.
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
First presented at "IBM Safety & Security Workshop for Energy & Utilities" in Milan Sept. 2011, the presentation describes the growing cybersecurity threats menacing SCADA / DCS systems worldwide.
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Sicurezza fisica e security informatica: a Expo
Milano 2015 la protezione di persone, risorse, dati
e dispositivi è stata un fattore chiave per la riuscita
della manifestazione. Dalla video-sorveglianza alla
prevenzione degli attacchi alla componente digitale,
la rete IP Cisco, la sicurezza pervasiva e multilivello
e una task force dedicata al monitoraggio dell’intera
infrastruttura hanno consentito agli organizzatori
di dedicarsi agli aspetti operativi potendo contare
sull’incolumità dell’evento.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
Stefano Chiccarelli, CEO di Quantum Leap, è stato invitato come relatore all’evento ICT Security 2012 tenutosi a Roma presentando l’intervento dal titolo L’ecosistema della scena “hacker”. L’intervento è stato incentrato sul fornire una panoramica rispetto a come è cambiato l’hacking negli ultimi 20 anni, e sulla “persistenza” delle minacce informatiche nel 2012. Sono stati inoltre approfonditi i temi riguardo a cosa veramente mette a rischio la sicurezza negli ambienti “enterprise”, portando degli esempi concreti di “attacchi” effettuati durante le attività di Penetration Test nelle aziende Italiane clienti di Quantum Leap. Lo scopo ultimo dell’intervento è stato quello di portare all’attenzione del pubblico il fenomeno relativo alle minacce persistenti non “avanzate”, che spesso rappresentano per le aziende un rischio concreto e sottovalutato alla portata di agenti di minaccia opportunistici o poco esperti.
Cyber Security Threats for Healthcare
Author: Pierguido Iezzi
Abstract: La digital evolution del mondo sanitario deve affrontare i vecchi e i nuovi rischi del Cybercrime. I nuovi cyberattack sono multidisciplinari e interdisciplinari. Una combinazione di Hardware Hacking associate a metodologie di Mobile & IOT Hack con phishing. Quali sono i rischi per il mondo Sanitario? Scopriamo insieme cosa ci aspetta il futuro prossimo per poter definire le corrette strategie di difesa e di gestione della CyberSecurity in ambito Healthcare.
https://www.swascan.com
Aspetti della Digital Forensics applicati alla tutela della privacyAlessandro Bonu
Alcune tecniche della Digital Forensics, disciplina utilizzata in ambito giuridico per l’individuazione e l’estrazione di informazioni digitali da presentare in sede giudiziale, ci aiuteranno a capire di quante informazioni potrebbe disporre un utente, mediamente esperto, che entra in possesso di un nostro dispositivo elettronico o banalmente delle credenziali di accesso di una mail o di un social network.
Classificazione e profilazione dei referti investigativi sulle fattispecie cr...Alessandro Bonu
L'importanza dell'acquisizione delle informazioni digitali, nell'ambito della Digital Forensics è oggi un argomento molto dibattuto per la natura immateriale del dato digitale che impone di adottare particolari cautele volte ad assicurare l’integrità della prova acquisita. Spesso però a causa della gran mole di informazioni e della eterogeneità dei formati ottenuti si è cercato di standardizzare e al migliorare i processi di “Digital Investigation”, proponendo nuovi modelli e metodologie di estrazione ed analisi delle evidenze.
Ricette e contromisure per la sicurezza delle informazioniAlessandro Bonu
Modulo integrativo nell’ambito del Corso di Diritto dell’Informatica e delle Nuove Tecnologie.
A.A. 2014/15 - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni - Docente Massimo Farina.
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni - insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Elementi di base per un programma di Cyber Protection
1. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Elementi di base
per un programma
di Cyber Protection
a cura di
Alessandro Bonu
2. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 2
connubio imprescindibile
un network che raggruppa esperti e studiosi
mondo
tecnologico mondo giuridico
3. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 3
laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics
ict4forensics.diee.unica.it
laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics
ict4forensics.diee.unica.it
4. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Alessandro Bonu
IT Infrastructure System & Security
Engineer - Digital Forensics Expert
Chi sono
Di cosa mi occupo
Analisi e progettazione di architetture e sistemi informatici,
definizione dei requisiti di sicurezza, implementazione e
monitoraggio delle misure adeguate per la protezione dei
sistemi, delle reti e delle informazioni.
5. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Concetto di sicurezza
Branca dell’informatica che si occupa delle analisi
delle minacce, delle vulnerabilità e del rischio
associato agli asset informatici dell’organizzazione, al
fine di proteggerli da potenziali attacchi (interni o
esterni) che potrebbero provocare danni, diretti o
indiretti, con un impatto superiore ad una determinata
soglia di tollerabilità che per tanto determina un
DANNO più o meno reversibile.
6. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Prima di parlare di sicurezza..
devo capire perché mi ritengo insicuro,
o cosa intendo tutelare e dove..
a questo punto, definisco una strategia
7. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Cosa si intende tutelare..
• Patrimonio aziendale: dati e risorse
• quando si parla di sicurezza dei dati e risorse si parla
necessariamente di sicurezza informatica
• infrastruttura tecnologica coinvolta nel trattamento dei
dati digitali come parte integrante nel suo insieme
• non solo Firewall, IDS/IPS/Anti Spam..
8. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Dati come patrimonio aziendale
DATI PERSONALIDATI AZIENDALI
REG.UE 2016/679
CYBERSECURITY
FRAMEWORK
SICUREZZA
SICUREZZA
9. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
SICUREZZA
per..
..mitigare
eventi di
LEVEL
10. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 10
Regolamento Europeo UE 2016/679
l’approccio..
11. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 11
Titolare e Responsabile del
trattamento..
..mettono in atto
misure tecniche e organizzative adeguate
per garantire un livello di sicurezza
adeguato al rischio
R = P * D
(Probabilità che si realizzi x Danno provocato)
12. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 12
minaccia opportunità
Un rischio è semplicemente un evento “incerto”, con una
determinata probabilità di verificarsi e in grado di
determinare impatti..
negativi.. positivi..
13. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 13
ma qual è oggi il concetto di sicurezza
e la consapevolezza
del rischio IT
14. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 14
FIREWALL ANTIVIRUS
CONCETTI NOTI MA LIMITATI
15. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 15
«nessuna catena è più forte
dell’anello più debole»
Sicurezza come prodotto
Errore che spesso si
commette nel valutare la
sicurezza informatica
come una sorta di
prodotto/i da installare,
configurare e attivare in
attesa di eventi malevoli..
16. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 16
«nessuna catena è più forte
dell’anello più debole»
Sicurezza come PROCESSO
17. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 17
TECNICHE
ORGANIZZATIVE
«nessuna catena è più forte dell’anello più debole»
18. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 18
PHYSICAL SECURITY
NETWORK SECURITY
SYSTEM SECURITY
STORAGE SECURITY
INTERNAL SECURITY
IDENTIFICAREEMISURAREASSET
SistemaInformativo
cosa si può fare per garantire
un buon livello di sicurezza
adeguato al rischio?
19. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 19
PHYSICAL SECURITY
NETWORK SECURITY
SYSTEM SECURITY
STORAGE SECURITY
INTERNAL SECURITY
Non basta appendere un lucchetto all’ingresso
del nostro «Sistema Informativo»..
20. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 20
Identify
Protect
Detect
Respond
Recover
PHYSICAL SECURITY
NETWORK SECURITY
SYSTEM SECURITY
STORAGE SECURITY
INTERNAL SECURITY
E’ necessario che il processo di sicurezza venga
mantenuto «vivo» in tutti gli asset aziendali
21. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 21
SICUREZZA COME PROCESSO
22. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 22
Un approccio errato nella
valutazione di un piano
per la sicurezza porta ad
un fallimento della
strategia
23. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 23
Aspetto fondamentale per la
sicurezza è considerare politiche che
contemplino la corretta gestione
degli apparati mobile e spesso
assenti
24. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 24
#unproblemanoto
25. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
https://password.kaspersky.com
p4ssw0rd
26. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 26
E’ sempre bene
considerare che le
password
rappresentano le
nostre chiavi di casa
digitali
27. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 27
Il Rapporto Clusit fornisce ogni anno il quadro più
aggiornato ed esaustivo della situazione globale sulla
base degli attacchi più gravi di dominio pubblico e per
quel che riguarda l’Italia:
il primo semestre del 2018 è stato il peggiore di sempre
con una media di attacchi al mese pari a 122 (erano 94
nel 2017) e con un picco nel mese di febbraio dove ne
sono stati rilevati 139.
28. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 28
Adozione di un approccio basato sul rischio
«la cattiva notizia»
questo genere di minacce sono difficili da prevedere
4 FASI
29. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 29
30. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
isk
NON SCELTE RIGIDE CHE
INGESSANO IL SISTEMA,
MA FLESSIBILI E MODULARI
Unknown Risk
31. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 31
un miliardo di persone colpite,
nel 2017, da attività di
criminalità informatica
#rapportoclusit2018
32. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 32
#rapportoclusit2018
500 ml.di di costi
35 ml.ni di eventi rilevati
Manipolazioni e
sottrazione di dati
33. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 33
la sicurezza informatica rimane una fonte di profonda
preoccupazione per le organizzazioni*
* Survey del 2018 di Gartner, che ha raccolto dati da 3.160 CIO intervistati in 98 Paesi e in tutti i principali settori
34. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Sicurezzadelperimetro BYOD
MDM
Internamente
come vengono
gestite le politiche
di sicurezza?
ESTERNO INTERNO
35. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Perimetro di interesse che si sposta..
INTERNO
ESTERNO
36. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
L’azienda di oggi
F
W
-
I
D
S
-
I
P
S
SECURITY
SECURITY SECURITY
37. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 37
Vecchio modello di
protezione
38. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 38
ma quando siamo
all’interno?
39. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 39
VULNERABILI
“i sistemi di sicurezza devono
vincere sempre..”
..chi attacca, solo una volta
per essere
#cosamipreoccupa
40. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 40
Ciclo di vita delle vulnerabilità
Il pericolo inizia nel momento in cui una
vulnerabilità viene scoperta
https://www.cybersecurity360.it/nuove-minacce/sicurezza-software-e-
vulnerabilita-informatiche-che-ce-da-sapere
41. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 41
42. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 42
https://learn.cisecurity.org/20-controls-download
43. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU 43
Il Cybersecurity Report 2016, realizzato dal
CIS-Sapienza e dal Laboratorio Nazionale di
Cybersecurity presenta 15 Controlli Essenziali
di Cybersecurity, destinati principalmente a
piccole e micro imprese italiane.
http://www.cybersecurityframework.it
44. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Inventario delle risorse IT
45. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Governance Definizione di processi e
procedure che istruiscano
chiaramente l’utilizzo degli
strumenti informatici
per ciascun trattamento
46. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Gestione dei Malware
Protezione da Malware
intesa anche in questo
caso con insieme di
misure atte a monitorare
tutti gli elementi esposti
in rete e reagire in
maniera proattiva in caso
di minacce
47. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Accesso e privilegi
Controllo accesso ai sistemi e
RISORSE DI RETE secondo
criteri di privilegi e competenze
basate sui ruoli specifici
48. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Politiche MDM e BYOD
Gestione e
controllo dei
dispositivi mobile
aziendali e
personali
49. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Regole per i dispositivi mobili
• controllo degli accessi con user-id e password (o altri meccanismi di
identificazione e autenticazione);
• blocco quando non utilizzato;
• installazione e aggiornamento di antivirus/antimalware;
• divieto di installare software (app per dispositivi mobili) non autorizzato.
• evitare di visualizzare dati riservati in luoghi pubblici;
• evitare l’utilizzo da parte di terzi;
• impostare la cancellazione remota dei dati in caso di furto o perdita;
• cifratura dei dati.
50. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Formazione e Informazione
Fondamentale definire un
buon piano di comunicazione
trasversale tu tutti gli asset
aziendali
51. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Protezione e backup
52. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Protection by design and by default
Protezione che inizia
nel momento della
progettazione del dato,
servizio o prodotto e
NON nel momento
della gestione
53. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Cifratura dei dati
Protezione dei dati non
come singoli interventi
(crittografia) ma un
insieme di misure
armonizzate e adeguate al
contesto di trattamento
54. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Sicurezza della rete by design
GREEN
LAN
BLUE
WI-FIDato
Dato
Dato
RED
EXTERNAL
ORANGE
DMZ
55. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Prevenzione e mitigazione
56. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Business Continuity
Piano di Disaster Recovery
e Business Continuity in
grado di ripristinare dati,
servizi e processi in tempi
compatibili alle esigenze di
business
57. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Change Management
imparare dagli errori
è importante
come elemento di adeguamento
e innovazione tecnologica
dell’organizzazione in un
processo di miglioramento
continuo..
58. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Conclusioni
Mantenere la sicurezza
nel ciclo di vita del sistema
come PROCESSO per garantire un
adeguato livello di sicurezza nel
contesto IT aziendale
59. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
www.diricto.it
alessandro.bonu@diricto.it
ict4forensics.diee.unica.it
60. «Elementi di base per un programma di Cyber Protection»
ALESSANDRO BONU
Attribuzione - non commerciale
Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale
Tu sei libero di:
1. condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale
con qualsiasi mezzo e formato;
2. modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza alle seguenti condizioni:
• Attribuzione: devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle
modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il
tuo utilizzo del materiale.
• Non commerciale: non puoi usare il materiale per fini commerciali.
• Stessa Licenza: se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale
originario.
Divieto di restrizioni aggiuntive - Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici
su quanto la licenza consente loro di fare.
Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo
utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di
terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.