SlideShare a Scribd company logo
GDPR:
3 settimane
al lancio…
Ciao!
Sono Andrea Monguzzi
Sistemista e imprenditore,
racconto sul web cose di cui non interessa niente a nessuno!
2
“
Parola d’ordine della serata:
Ipersemplificazione!
3
La roadmap di questa sera
4
1
Sicuro di essere al sicuro? La formazione
2
I 3 moschettieri della sicurezza
3
Rischio informatico
4
La roadmap di questa sera
5
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
2 3
Rischio informatico
4
I 3 moschettieri della sicurezza
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può accedervi?
Un po’ di sano terrorismo…
1
“ Di certo non vengono ad
attaccare noi...
Non siamo mica la NASA…
Non abbiamo segreti da
nascondere…
Siamo una famiglia…
7
Sfatiamo un mito
● Anche se credi di non essere interessante per un attacco;
● Anche se non sei la NASA;
● Anche se non hai niente da nascondere;
La tua azienda possiede qualcosa che ha un valore immenso.
DATI!
8
I DATI
SONO ORO
Per la tua azienda i dati sono la cosa più importante.
Gli attaccanti lo sanno e sanno che possono estorcerti del denaro
agendo sui tuoi dati e impedendoti di utilizzarli.
9
Il phishing
Anche se il 78% degli utenti non cade
nella rete del phishing, per ogni singola
campagna il 4% resta vittima del tranello.
A un cybercriminale basta una vittima per
accedere a un’intera organizzazione aziendale!
10
I ransomware
sono il software malevolo più diffuso.
Responsabili del 39% degli attacchi.
Colpiscono oggi anche gli asset più critici,
come server e database
11
Insomma,qualcuno
vorrebbe entrare
dalla porta e
accedere ai tuoi
dati…
E i modi per farlo oggi sono
davvero tanti
12
Esempio: internet in hotel
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer o un
cellulare che cerca di navigare
tramite rete wireless.
13
Esempio: il wifi pubblico
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer o un
cellulare che cerca di navigare
tramite rete wireless.
14
Esempio: il posteggio
Esistono in commercio, per
poche decine di euro, dei
dispositivi in grado di
«ingannare» un computer
simulando una tastiera ed
eseguendo comandi in modo
automatico
15
La roadmap di questa sera
16
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2 3
Rischio informatico
4
I 3 moschettieri della sicurezza
La formazione
Oggi non si violano i sistemi informatici,
ma le persone che li utilizzano
2
L’attacco mira all’utente
● Che spesso non è preparato e non sa difendersi;
● Che non riceve la formazione di base per distinguere ciò che è
lecito da ciò che è dannoso;
● Che non dispone dei mezzi per evitare di essere attaccato;
L’utente da solo non può vincere la guerra, ma va aiutato per
combatterla ad armi pari.
18
L’UTENTE
È LA CHIAVE
Devi fare in modo che l’utente non sia raggiungibile dall’attaccante,
ma prevedere che sappia difendersi se, nelle difese, qualcosa
dovesse andare storto
19
Gli strumenti
L’utente deve avere la consapevolezza
di ciò che lo circonda. Computer, tablet,
smartphone… Tutto è connesso e tutto
rappresenta un potenziale punto di accesso
alle informazioni critiche dell’azienda.
20
Le modalità d’uso
L’utente deve sapere, in ogni momento,
cosa sta facendo. Un utilizzo in modo
inconsapevole della tecnologia espone al
rischio di gravi perdite in termini economici,
derivanti da danni diretti e indiretti.
21
Insomma,qualcuno
vorrebbe entrare
dalla porta
e accedere ai tuoi
dati…
di nuovo!
22
Esempio: man in the mail
Attacco tramite il quale vengono
dirotta pagamenti relativi ad accorti
commerciali:
● Fatture;
● Acconti;
● Calciatori… J
23
Esempio: vishing, smishing
Gli attaccanti sfruttano la voce o i
messaggi di testo per carpire
informazioni alla vittima.
Gli attacchi sono condotti usando
tecniche di social engineering
24
La roadmap di questa sera
25
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2
Ovvero coloro ai quali affidare le
sorti tue e della tua attività
3
Rischio informatico
Alcuni esempi pratici di rischi e
di misure per mitigarli.
Con un occhio al GDPR!
4
I 3 moschettieri della sicurezza
I 3 moschettieri della
sicurezza
Ovvero coloro ai quali affidare le sorti
tue e della tua attività
3
“ Se credi che una soluzione di
sicurezza informatica sia
eccessiva o troppo costosa,
aspetta di vedere quanto ti
costerà non implementarla o
ricorrere all’improvvisazione
27
COSA TENERE
A MENTE
Ogni volta che valuti una soluzione legata alla tua sicurezza
informatica devi ricordare un concetto importante
28
Qualcuno sta
ancora cercando
di entrare dalla
porta e accedere ai
tuoi dati…
Continuamente!
29
Cose che non possono mancare
Disaster Recovery
È la soluzione indispensabile
per qualsiasi realtà.
Si tratta dell’ultima spiaggia,
quella che deve sempre offrire
una garanzia di salvezza, a
prescindere dal
funzionamento di tutte le
contromisure adottate
Firewall perimetrale
Garantisce il pieno controllo di
tutto il traffico internet, in
entrata e in uscita.
I sistemi evoluti, se
correttamente gestiti e
manutenuti, sono in grado di
intercettare e rendere
inoffensive buona parte delle
minacce in circolazione.
Antivirus / Antimalware
È la prima misura di sicurezza,
quella che lavora in parallelo
all’utente.
Le soluzioni più evolute in
commercio effettuano
un’analisi avanzata, e sono in
grado di rilevare minacce non
ancora identificate e
catalogate
30
Disaster Recovery
Il disaster recovery è la ruota di scorta
della tua infrastruttura informatica.
RTO e RPO sono i due parametri che vanno
considerati prima di implementare una
soluzione di disaster recovery
31
Firewall Perimetrale
Il firewall per l’azienda equivale alla
grande muraglia cinese.
Si occupa di impedire l’accesso a tutti i
«nemici» informatici, e impedisce che gli
utenti si connettano a siti malevoli, portatori di
infezioni
32
Antivirus/malware
L’antivirus è ancora una delle misure di
protezione fondamentali in ambito IT.
Oggi in commercio esistono prodotti e
servizi indipendenti dall’aggiornamento delle
firme virali
33
La roadmap di questa sera
34
1
Sicuro di essere al sicuro?
Dove sono i nostri dati e chi può
accedervi?
Un po’ di sano terrorismo…
La formazione
Oggi non si violano i sistemi
informatici, ma le persone che li
utilizzano.
2
Ovvero coloro ai quali affidare le
sorti tue e della tua attività
3
Rischio informatico
Alcuni esempi pratici di rischi e
di misure per mitigarli.
Con un occhio al GDPR!
4
I 3 moschettieri della sicurezza
Rischio informatico
Alcuni esempi pratici di rischi e di misure per mitigarli.
Con un occhio al GDPR!
4
Ambito del rischio informatico
Comportamento
Uno dei principale ambiti di
rischio è quello legato al
comportamento e alle
abitudini degli operatori.
Strumenti
Gli strumenti utilizzato dagli
operatori, direttamente o
indirettamente, potrebbero
esporre i dati a rischi che sono
da prendere in considerazione
Contesto
Anche il contesto relativo al
trattamento potrebbe mettere
a rischio la disponibilità o
l’integrità dai dati.
36
NON ESISTE
LA MISURA
UNIVOCA
Ogni rischio può essere mitigato con diversi misure.
L’importante è condurre una selezione ragionata e responsabile
37
“
Ambito relativo al
comportamento dell’utente
38
Carenza di consapevolezza,
disattenzione e incuria
Articolo 32, comma 4
39
Formazione e
sensibilizzazione
Un’adeguata formazione sulla protezione
dei dati e le conseguenze di un mancato
rispetto della normativa, sono un elemento
fondamentale per ottenere dei processi di
trattamento dati in linea con essa.
40
Comportamenti sleali o
fraudolenti
Principi cardine del GDPR
41
Disciplinare interno,
lettera di incarico e
sanzioni
È necessario che ogni collaboratore riceva
regolamento aziendale sull’utilizzo delle
apparecchiature elettroniche e lettera di
incarico. Questi due documenti conterranno diritti
e doveri in merito al corretto trattamento, contravvenendo
i quali possono scattare le sanzioni disciplinari.
42
Backup e Disaster Recovery
Qualora tutte le contromisure non fossero
state efficaci per impedire comportamenti
fraudolenti, un buon sistema di backup consente
il ripristino dei dati danneggiati o asportati. Qualora
i danno interessasse elevati volumi di dati o interi sistemi sarà necessario
disporre delle adeguate misure di Disaster Recovery
43
Errore materiale
Articolo 32
44
Documentazione di
processi e procedure
Formazione
La stesura di una procedura per portare a
termine un determinato compito arricchisce
la conoscenza aziendale e diminuisce drastica-
mente il rischio di errori in quanto l’esecuzione
dell’attività non viene lasciata al caso ma viene affidata a un operatore
che deve seguire una procedura ben precisa.
45
Backup e Disaster Recovery
Nel caso in cui l’errore impedisca di trattare
i dati come previsto, un buon sistema di backup
o Disaster Recovery, in caso di compromissione di
interi sistemi, permette di rimediare all’attore commesso dal personale e
consente di ripristinare i dati.
46
“
Ambito relativo agli
strumenti di lavoro
47
Autenticazione e
Autorizzazione
Articolo 29
48
Sistema di autentica-
zione, Autenticazione
a due fattori
Il sistema di autenticazione è la prima misu-
ra da adottare: un sistema di controllo degli
accessi per evitare che chiunque possa colle-
garsi e accedere ai dati.
L’autenticazione a due fattori aumenta la sicurezza del login, poiché non
basta conoscere le credenziali di accesso
49
Segretezza delle
credenziali
È auspicabile che le credenziali siano asse-
gnate univocamente a ciascun incaricato e
non siano condivise in quanto ogni incaricato
potrebbe dover trattare tipologie di dati differenti.
Inoltre un sistema di autenticazione a due fattori assicura che solo il
diretto interessato possa effettivamente accedere con le credenziali
assegnate.
50
Lunghezza minima e
complessità password
Una password sicure dovrebbe essere facil-
mente ricordabile ma non banale.
I moderni sistemi operativi sono in grado di im-
porre deli criteri di complessità e di durata delle
credenziali utente.
51
Accessi esterni non
autorizzati
Articolo 33
52
Firewall
I sistemi è opportuno siano protetti da un
firewall per prevenire accessi non autorizzati,
sia che i dati si trovino all’interno dell’azienda sia
che risiedano in un datacenter.
È la prima, necessaria e insostituibile soluzione per proteggere le reti
all’interno delle quali vengono trattati i dati.
53
Aggiornamento sw
Firewall
Il firewall è necessario, ma poiché́ gli attac-
chi sono in continua evoluzione è necessario
che il software del firewall sia regolarmente
aggiornato per rispondere alle nuove tecniche
messe in atto dai pirati informatici.
54
Monitoraggio Logon
sospetti
Spesso le intrusioni si scoprono solo dopo
che sono avvenute e la scoperta a posteriori
non è naturalmente una buona tecnica di
prevenzione. Una possibile misura per provare a
intercettare eventi sospetti è il monitoraggio del logon. Il monitoraggio
dei logon sospetti può essere un buon meccanismo di prevenzione di
accessi potenzialmente fraudolenti.
55
“
Ambito relativo al
contesto lavorativo
56
Asportazione o furto di
strumenti contenenti i dati
Articolo 32, comma 1, lett. d
Articolo 33
57
Presenza di un sistema
di cifratura
Uno dei problemi derivanti dall’asportazione
di dati è che non si sa in quali mani finiscano
e quindi come vengano trattati. La cifratura dei
dati può essere una buona arma di difesa nel caso
in cui l’asportazione dei dati sia un rischio elevato. In questo modo
qualora i dati finissero in mano a persone che non hanno titolo di trattare
quei dati, non potranno accedervi poiché cifrati.
58
Disabilitazione porte
USB
Uno dei metodi più semplici per asportare i
dati consiste nel copiarli su una periferica USB,
qualora i dati siano facilmente “copiabili”.
Disabilitare le periferiche di massa USB può essere
una buona strategia per impedire l’asportazione fisica dei dati.
59
Eventi distruttivi naturali,
artificiali, dolosi o dovuti a
incuria
Articolo 32, comma 1, lett. a, b, c, d
60
Sistema di business
continuity
Una soluzione di business continuity consente
alle aziende e alle organizzazioni di riprendere
a lavorare velocemente anche se i dati originali
sono andati distrutti.
61
“ REMINDER:
Parola d’ordine della serata:
Ipersemplificazione!
62
63
Grazie!
Qualche domanda?
a.monguzzi@flexxa.it
https://www.linkedin.com/in/andreamonguzzi

More Related Content

What's hot

Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma DigitaleMario Varini
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza InformaticaMario Varini
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI -  SMAU Milano 2013ICT SECURITY E PMI -  SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
Massimo Chirivì
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
uninfoit
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
Sylvio Verrecchia - IT Security Engineer
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
Piero Sbressa
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
Raffaella Brighi
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
Simone Onofri
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
Giampaolo Franco
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
Symantec
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
Sylvio Verrecchia - IT Security Engineer
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity IT
Giuseppe Airò Farulla
 

What's hot (15)

Crittografia Firma Digitale
Crittografia Firma DigitaleCrittografia Firma Digitale
Crittografia Firma Digitale
 
Sicurezza Informatica
Sicurezza InformaticaSicurezza Informatica
Sicurezza Informatica
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI -  SMAU Milano 2013ICT SECURITY E PMI -  SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity IT
 

Similar to GDPR - Andrea Monguzzi

Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber Resilience
Symantec
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
CSI Piemonte
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
Mario Rossano
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2
SMAU
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)
Patrick1201
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella   - convegno privacy - 23 Marzo 2004Alessandro Canella   - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Maurizio Taglioretti
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
iDIALOGHI
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
SMAU
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezza
caioturtle
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
SMAU
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ceremit srl
 
info.pdf
info.pdfinfo.pdf
info.pdf
Matte68
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
sonicatel2
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
adriana franca
 

Similar to GDPR - Andrea Monguzzi (20)

Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber Resilience
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella   - convegno privacy - 23 Marzo 2004Alessandro Canella   - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezza
 
Smau milano 2013 massimo chirivi
Smau milano 2013 massimo chiriviSmau milano 2013 massimo chirivi
Smau milano 2013 massimo chirivi
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
info.pdf
info.pdfinfo.pdf
info.pdf
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptxHACKERAGGIO- CASI E COME PREVENIRLO.pptx
HACKERAGGIO- CASI E COME PREVENIRLO.pptx
 
GDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data BreachGDPR Day Web Learning: Rischio Data Breach
GDPR Day Web Learning: Rischio Data Breach
 

More from Ordine Ingegneri Lecco

Social Network in Ambito Professionale
Social Network in Ambito ProfessionaleSocial Network in Ambito Professionale
Social Network in Ambito Professionale
Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4
Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4
Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4
Ordine Ingegneri Lecco
 
Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4
Ordine Ingegneri Lecco
 
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Ordine Ingegneri Lecco
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
Ordine Ingegneri Lecco
 
Gdpr marco longoni
Gdpr   marco longoniGdpr   marco longoni
Gdpr marco longoni
Ordine Ingegneri Lecco
 
Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017
Ordine Ingegneri Lecco
 

More from Ordine Ingegneri Lecco (9)

Social Network in Ambito Professionale
Social Network in Ambito ProfessionaleSocial Network in Ambito Professionale
Social Network in Ambito Professionale
 
Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4Tubazioni Fognatura in Gravità - Parte 4/4
Tubazioni Fognatura in Gravità - Parte 4/4
 
Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4Tubazioni Fognatura in Gravità - Parte 3/4
Tubazioni Fognatura in Gravità - Parte 3/4
 
Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4Tubazioni Fognatura in Gravità - Parte 2/4
Tubazioni Fognatura in Gravità - Parte 2/4
 
Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4Tubazioni Fognatura in Gravità - Parte 1/4
Tubazioni Fognatura in Gravità - Parte 1/4
 
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610Posa e Collaudo Fognatura secondo Norma UNI EN 1610
Posa e Collaudo Fognatura secondo Norma UNI EN 1610
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Gdpr marco longoni
Gdpr   marco longoniGdpr   marco longoni
Gdpr marco longoni
 
Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017Seminario Big Data - 27/11/2017
Seminario Big Data - 27/11/2017
 

GDPR - Andrea Monguzzi

  • 2. Ciao! Sono Andrea Monguzzi Sistemista e imprenditore, racconto sul web cose di cui non interessa niente a nessuno! 2
  • 3. “ Parola d’ordine della serata: Ipersemplificazione! 3
  • 4. La roadmap di questa sera 4 1 Sicuro di essere al sicuro? La formazione 2 I 3 moschettieri della sicurezza 3 Rischio informatico 4
  • 5. La roadmap di questa sera 5 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
  • 6. Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… 1
  • 7. “ Di certo non vengono ad attaccare noi... Non siamo mica la NASA… Non abbiamo segreti da nascondere… Siamo una famiglia… 7
  • 8. Sfatiamo un mito ● Anche se credi di non essere interessante per un attacco; ● Anche se non sei la NASA; ● Anche se non hai niente da nascondere; La tua azienda possiede qualcosa che ha un valore immenso. DATI! 8
  • 9. I DATI SONO ORO Per la tua azienda i dati sono la cosa più importante. Gli attaccanti lo sanno e sanno che possono estorcerti del denaro agendo sui tuoi dati e impedendoti di utilizzarli. 9
  • 10. Il phishing Anche se il 78% degli utenti non cade nella rete del phishing, per ogni singola campagna il 4% resta vittima del tranello. A un cybercriminale basta una vittima per accedere a un’intera organizzazione aziendale! 10
  • 11. I ransomware sono il software malevolo più diffuso. Responsabili del 39% degli attacchi. Colpiscono oggi anche gli asset più critici, come server e database 11
  • 12. Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… E i modi per farlo oggi sono davvero tanti 12
  • 13. Esempio: internet in hotel Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 13
  • 14. Esempio: il wifi pubblico Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer o un cellulare che cerca di navigare tramite rete wireless. 14
  • 15. Esempio: il posteggio Esistono in commercio, per poche decine di euro, dei dispositivi in grado di «ingannare» un computer simulando una tastiera ed eseguendo comandi in modo automatico 15
  • 16. La roadmap di questa sera 16 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 3 Rischio informatico 4 I 3 moschettieri della sicurezza
  • 17. La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano 2
  • 18. L’attacco mira all’utente ● Che spesso non è preparato e non sa difendersi; ● Che non riceve la formazione di base per distinguere ciò che è lecito da ciò che è dannoso; ● Che non dispone dei mezzi per evitare di essere attaccato; L’utente da solo non può vincere la guerra, ma va aiutato per combatterla ad armi pari. 18
  • 19. L’UTENTE È LA CHIAVE Devi fare in modo che l’utente non sia raggiungibile dall’attaccante, ma prevedere che sappia difendersi se, nelle difese, qualcosa dovesse andare storto 19
  • 20. Gli strumenti L’utente deve avere la consapevolezza di ciò che lo circonda. Computer, tablet, smartphone… Tutto è connesso e tutto rappresenta un potenziale punto di accesso alle informazioni critiche dell’azienda. 20
  • 21. Le modalità d’uso L’utente deve sapere, in ogni momento, cosa sta facendo. Un utilizzo in modo inconsapevole della tecnologia espone al rischio di gravi perdite in termini economici, derivanti da danni diretti e indiretti. 21
  • 22. Insomma,qualcuno vorrebbe entrare dalla porta e accedere ai tuoi dati… di nuovo! 22
  • 23. Esempio: man in the mail Attacco tramite il quale vengono dirotta pagamenti relativi ad accorti commerciali: ● Fatture; ● Acconti; ● Calciatori… J 23
  • 24. Esempio: vishing, smishing Gli attaccanti sfruttano la voce o i messaggi di testo per carpire informazioni alla vittima. Gli attacchi sono condotti usando tecniche di social engineering 24
  • 25. La roadmap di questa sera 25 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
  • 26. I 3 moschettieri della sicurezza Ovvero coloro ai quali affidare le sorti tue e della tua attività 3
  • 27. “ Se credi che una soluzione di sicurezza informatica sia eccessiva o troppo costosa, aspetta di vedere quanto ti costerà non implementarla o ricorrere all’improvvisazione 27
  • 28. COSA TENERE A MENTE Ogni volta che valuti una soluzione legata alla tua sicurezza informatica devi ricordare un concetto importante 28
  • 29. Qualcuno sta ancora cercando di entrare dalla porta e accedere ai tuoi dati… Continuamente! 29
  • 30. Cose che non possono mancare Disaster Recovery È la soluzione indispensabile per qualsiasi realtà. Si tratta dell’ultima spiaggia, quella che deve sempre offrire una garanzia di salvezza, a prescindere dal funzionamento di tutte le contromisure adottate Firewall perimetrale Garantisce il pieno controllo di tutto il traffico internet, in entrata e in uscita. I sistemi evoluti, se correttamente gestiti e manutenuti, sono in grado di intercettare e rendere inoffensive buona parte delle minacce in circolazione. Antivirus / Antimalware È la prima misura di sicurezza, quella che lavora in parallelo all’utente. Le soluzioni più evolute in commercio effettuano un’analisi avanzata, e sono in grado di rilevare minacce non ancora identificate e catalogate 30
  • 31. Disaster Recovery Il disaster recovery è la ruota di scorta della tua infrastruttura informatica. RTO e RPO sono i due parametri che vanno considerati prima di implementare una soluzione di disaster recovery 31
  • 32. Firewall Perimetrale Il firewall per l’azienda equivale alla grande muraglia cinese. Si occupa di impedire l’accesso a tutti i «nemici» informatici, e impedisce che gli utenti si connettano a siti malevoli, portatori di infezioni 32
  • 33. Antivirus/malware L’antivirus è ancora una delle misure di protezione fondamentali in ambito IT. Oggi in commercio esistono prodotti e servizi indipendenti dall’aggiornamento delle firme virali 33
  • 34. La roadmap di questa sera 34 1 Sicuro di essere al sicuro? Dove sono i nostri dati e chi può accedervi? Un po’ di sano terrorismo… La formazione Oggi non si violano i sistemi informatici, ma le persone che li utilizzano. 2 Ovvero coloro ai quali affidare le sorti tue e della tua attività 3 Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4 I 3 moschettieri della sicurezza
  • 35. Rischio informatico Alcuni esempi pratici di rischi e di misure per mitigarli. Con un occhio al GDPR! 4
  • 36. Ambito del rischio informatico Comportamento Uno dei principale ambiti di rischio è quello legato al comportamento e alle abitudini degli operatori. Strumenti Gli strumenti utilizzato dagli operatori, direttamente o indirettamente, potrebbero esporre i dati a rischi che sono da prendere in considerazione Contesto Anche il contesto relativo al trattamento potrebbe mettere a rischio la disponibilità o l’integrità dai dati. 36
  • 37. NON ESISTE LA MISURA UNIVOCA Ogni rischio può essere mitigato con diversi misure. L’importante è condurre una selezione ragionata e responsabile 37
  • 39. Carenza di consapevolezza, disattenzione e incuria Articolo 32, comma 4 39
  • 40. Formazione e sensibilizzazione Un’adeguata formazione sulla protezione dei dati e le conseguenze di un mancato rispetto della normativa, sono un elemento fondamentale per ottenere dei processi di trattamento dati in linea con essa. 40
  • 42. Disciplinare interno, lettera di incarico e sanzioni È necessario che ogni collaboratore riceva regolamento aziendale sull’utilizzo delle apparecchiature elettroniche e lettera di incarico. Questi due documenti conterranno diritti e doveri in merito al corretto trattamento, contravvenendo i quali possono scattare le sanzioni disciplinari. 42
  • 43. Backup e Disaster Recovery Qualora tutte le contromisure non fossero state efficaci per impedire comportamenti fraudolenti, un buon sistema di backup consente il ripristino dei dati danneggiati o asportati. Qualora i danno interessasse elevati volumi di dati o interi sistemi sarà necessario disporre delle adeguate misure di Disaster Recovery 43
  • 45. Documentazione di processi e procedure Formazione La stesura di una procedura per portare a termine un determinato compito arricchisce la conoscenza aziendale e diminuisce drastica- mente il rischio di errori in quanto l’esecuzione dell’attività non viene lasciata al caso ma viene affidata a un operatore che deve seguire una procedura ben precisa. 45
  • 46. Backup e Disaster Recovery Nel caso in cui l’errore impedisca di trattare i dati come previsto, un buon sistema di backup o Disaster Recovery, in caso di compromissione di interi sistemi, permette di rimediare all’attore commesso dal personale e consente di ripristinare i dati. 46
  • 49. Sistema di autentica- zione, Autenticazione a due fattori Il sistema di autenticazione è la prima misu- ra da adottare: un sistema di controllo degli accessi per evitare che chiunque possa colle- garsi e accedere ai dati. L’autenticazione a due fattori aumenta la sicurezza del login, poiché non basta conoscere le credenziali di accesso 49
  • 50. Segretezza delle credenziali È auspicabile che le credenziali siano asse- gnate univocamente a ciascun incaricato e non siano condivise in quanto ogni incaricato potrebbe dover trattare tipologie di dati differenti. Inoltre un sistema di autenticazione a due fattori assicura che solo il diretto interessato possa effettivamente accedere con le credenziali assegnate. 50
  • 51. Lunghezza minima e complessità password Una password sicure dovrebbe essere facil- mente ricordabile ma non banale. I moderni sistemi operativi sono in grado di im- porre deli criteri di complessità e di durata delle credenziali utente. 51
  • 53. Firewall I sistemi è opportuno siano protetti da un firewall per prevenire accessi non autorizzati, sia che i dati si trovino all’interno dell’azienda sia che risiedano in un datacenter. È la prima, necessaria e insostituibile soluzione per proteggere le reti all’interno delle quali vengono trattati i dati. 53
  • 54. Aggiornamento sw Firewall Il firewall è necessario, ma poiché́ gli attac- chi sono in continua evoluzione è necessario che il software del firewall sia regolarmente aggiornato per rispondere alle nuove tecniche messe in atto dai pirati informatici. 54
  • 55. Monitoraggio Logon sospetti Spesso le intrusioni si scoprono solo dopo che sono avvenute e la scoperta a posteriori non è naturalmente una buona tecnica di prevenzione. Una possibile misura per provare a intercettare eventi sospetti è il monitoraggio del logon. Il monitoraggio dei logon sospetti può essere un buon meccanismo di prevenzione di accessi potenzialmente fraudolenti. 55
  • 57. Asportazione o furto di strumenti contenenti i dati Articolo 32, comma 1, lett. d Articolo 33 57
  • 58. Presenza di un sistema di cifratura Uno dei problemi derivanti dall’asportazione di dati è che non si sa in quali mani finiscano e quindi come vengano trattati. La cifratura dei dati può essere una buona arma di difesa nel caso in cui l’asportazione dei dati sia un rischio elevato. In questo modo qualora i dati finissero in mano a persone che non hanno titolo di trattare quei dati, non potranno accedervi poiché cifrati. 58
  • 59. Disabilitazione porte USB Uno dei metodi più semplici per asportare i dati consiste nel copiarli su una periferica USB, qualora i dati siano facilmente “copiabili”. Disabilitare le periferiche di massa USB può essere una buona strategia per impedire l’asportazione fisica dei dati. 59
  • 60. Eventi distruttivi naturali, artificiali, dolosi o dovuti a incuria Articolo 32, comma 1, lett. a, b, c, d 60
  • 61. Sistema di business continuity Una soluzione di business continuity consente alle aziende e alle organizzazioni di riprendere a lavorare velocemente anche se i dati originali sono andati distrutti. 61
  • 62. “ REMINDER: Parola d’ordine della serata: Ipersemplificazione! 62