SlideShare a Scribd company logo

Go2Tec - Security assessment e normative - Riccardo Barghini

AFB Net
AFB Net

Se vuoi ricevere la presentazione, invia un e-mail a info@afbnetgroup.it

1 of 19
Security assessment e normative Riccardo Barghini
Agenda  Valutazione livello di sicurezza  Leggi e Normative attuali  Documento di Security Assessment  Benefici Aziendali  Che cosa propone il gruppo AFBNet Sicurezza e protezione dei dati aziendali
Complessità e problematiche di valutazione  Una valutazione complessiva delle stato di sicurezza aziendale è complesso.  Necessita di strumenti validi di valutazione dei risultati ottenuti  I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dell’infrastruttura attualeT
Complessità e problematiche di valutazione
Leggi e Normative A differenza degli anni passati la tutela dei dati adesso ha normative specifiche e legislazione. Non più Best Practices ….  La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup , all’accesso e alle possibili metodologie di ripristino.  Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC …
Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione. Documento di valutazione Risk Documento di Valutazione di Risk Assessment
Definizione del Valore di Rischi In base a questa visione si può definire un fattore di rischio nell’ambito di ogni sezione e sottosezione dell’assessment; il fattore di rischio può avere una valutazione qualitativa o quantitativa, tenendo presente che in ogni caso è costituito dalla formula: Rischio = Vulnerabilità X Impatto X Probabilità dove “vulnerabilità” è un coefficiente che misura quanto il sistema sia sensibile ad un determinato evento, “impatto” misura le conseguenze sul business del verificarsi di un determinato evento e “probabilità” è la misura, appunto, della probabilità che un tale evento si verifichi.
Risk Assessment  Un piano di Risk Assessment passa dalla valutazione di 10 sezioni.  La redazione di un documento in normativa ISO 27001 che specifica una serie di attività, controlli, fattori di rischio e indicazioni
Ambiti di un documento di Risk Assessment  Politiche di sicurezza  Organizzazione della sicurezza  Classificazione e controllo degli Assett  Sicurezza del Personale  Sicurezza Fisica e Ambientale  Gestione delle comunicazioni e delle operazioni  Controllo degli accessi  Installazione dei sistemi e manutenzione  Gestione della Business Continuity  Adeguatezza
Ambiti di un documento di Risk Assessment  Politiche di sicurezza  Organizzazione della sicurezza  Classificazione e controllo degli Assett  Sicurezza del Personale  Sicurezza Fisica e Ambientale  Gestione delle comunicazioni e delle operazioni  Controllo degli accessi  Installazione dei sistemi e manutenzione  Gestione della Business Continuity  Adeguatezza
Come viene effettuata l’analisi L’analisi viene eseguita mediante l’utilizzo di Tools specifici alla scansione, cattura e analisi dell’intera infrastruttura IT.  Come scansione interna con e senza credenziali  Come Penetration Test da Internet  Interviste specifiche a personale aziendale IT e non Sono utilizzati strumenti specifici come Nessus, LanGuard, Microsoft Security Analyzer.
Scanner e Log
Scanner e Log
Redazione del documento di Risk Assessment Una volta catturati tutti i log sono aggregati per :  Secondo le discipline individuate dal documento ISO di Risk Assessment  Per tipologia  Per valore di rischio  Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA ……
Risultati di un documento di Risk Assessment
Risultati di un documento di Risk Assessment
Benefici Aziendali Che cosa permette di ottenere questo documento . 1. Colmare il Gap di comunicazione IT e Direzione 2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici. 3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale. 4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.
Che cosa propone il Gruppo AFBNet Group AFBNet Group propone una serie di soluzioni sia tecniche che consulenziali :  Realizzazione del piano di scansione dell’infrastruttura IT tramite strumenti sia Commerciali che Open Source.  Consulenza tecnica e legale (opzionale tramite consulente esterno ).  Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilità.  Sfruttare al meglio l’infrastruttura esistente per renderla più sicura e adeguata alle normative.
Grazie dell’Attenzione

Recommended

Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
AFB Net
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 

Recommended

Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
AFB Net
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Giulio Coraggio
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliDI.TECH - Innovazione per la distribuzione
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
Vincenzo Calabrò
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
mariodalco
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
Pierluigi Sartori
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
Maurizio Quattrociocchi
 

More Related Content

What's hot

SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
Sergio Leoni
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
Security Logic srl
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Giulio Coraggio
 

What's hot (8)

SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessiva
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
Infografica - Misure di protezione CSIRT contro rischi di cyber derivanti dal...
 

Similar to Go2Tec - Security assessment e normative - Riccardo Barghini

EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
Vincenzo Calabrò
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
mariodalco
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5Confimpresa
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
Pierluigi Sartori
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
Maurizio Quattrociocchi
 
Effect Based Security
Effect Based SecurityEffect Based Security
Effect Based SecurityECappelli
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)
William Zisa
 

Similar to Go2Tec - Security assessment e normative - Riccardo Barghini (20)

EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionali
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Corso privacy unità 5
Corso privacy unità 5Corso privacy unità 5
Corso privacy unità 5
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 
Effect Based Security
Effect Based SecurityEffect Based Security
Effect Based Security
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)Valutazione del rischio GDPR (r01 gen 19)
Valutazione del rischio GDPR (r01 gen 19)
 

More from AFB Net

IBM - Silverpop
IBM - SilverpopIBM - Silverpop
IBM - Silverpop
AFB Net
 
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014AFB Net
 
Presentazione storage concetti base pdf
Presentazione storage concetti base pdfPresentazione storage concetti base pdf
Presentazione storage concetti base pdfAFB Net
 
Project Management 2.0 i vantaggi della Collaboration
Project Management 2.0 i vantaggi della CollaborationProject Management 2.0 i vantaggi della Collaboration
Project Management 2.0 i vantaggi della Collaboration
AFB Net
 
Un nuovo modo di fare eCommerce
Un nuovo modo di fare eCommerceUn nuovo modo di fare eCommerce
Un nuovo modo di fare eCommerce
AFB Net
 
Social Business - Un'azienda che cresce!
Social Business - Un'azienda che cresce!Social Business - Un'azienda che cresce!
Social Business - Un'azienda che cresce!
AFB Net
 
Customer experience - un nuovo modo di fare web!
Customer experience - un nuovo modo di fare web!Customer experience - un nuovo modo di fare web!
Customer experience - un nuovo modo di fare web!
AFB Net
 
Go2Tec - Stonesoft augmented vpn
Go2Tec - Stonesoft augmented vpnGo2Tec - Stonesoft augmented vpn
Go2Tec - Stonesoft augmented vpn
AFB Net
 
Un sito eCommerce per incrementare le vendite: il caso SCAI
Un sito eCommerce per incrementare le vendite: il caso SCAIUn sito eCommerce per incrementare le vendite: il caso SCAI
Un sito eCommerce per incrementare le vendite: il caso SCAI
AFB Net
 
Web: da necessità ad opportunità
Web: da necessità ad opportunitàWeb: da necessità ad opportunità
Web: da necessità ad opportunità
AFB Net
 

More from AFB Net (10)

IBM - Silverpop
IBM - SilverpopIBM - Silverpop
IBM - Silverpop
 
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014
Data Core e Virtualizzazione dello Storage - Evento Firenze 17 giugno 2014
 
Presentazione storage concetti base pdf
Presentazione storage concetti base pdfPresentazione storage concetti base pdf
Presentazione storage concetti base pdf
 
Project Management 2.0 i vantaggi della Collaboration
Project Management 2.0 i vantaggi della CollaborationProject Management 2.0 i vantaggi della Collaboration
Project Management 2.0 i vantaggi della Collaboration
 
Un nuovo modo di fare eCommerce
Un nuovo modo di fare eCommerceUn nuovo modo di fare eCommerce
Un nuovo modo di fare eCommerce
 
Social Business - Un'azienda che cresce!
Social Business - Un'azienda che cresce!Social Business - Un'azienda che cresce!
Social Business - Un'azienda che cresce!
 
Customer experience - un nuovo modo di fare web!
Customer experience - un nuovo modo di fare web!Customer experience - un nuovo modo di fare web!
Customer experience - un nuovo modo di fare web!
 
Go2Tec - Stonesoft augmented vpn
Go2Tec - Stonesoft augmented vpnGo2Tec - Stonesoft augmented vpn
Go2Tec - Stonesoft augmented vpn
 
Un sito eCommerce per incrementare le vendite: il caso SCAI
Un sito eCommerce per incrementare le vendite: il caso SCAIUn sito eCommerce per incrementare le vendite: il caso SCAI
Un sito eCommerce per incrementare le vendite: il caso SCAI
 
Web: da necessità ad opportunità
Web: da necessità ad opportunitàWeb: da necessità ad opportunità
Web: da necessità ad opportunità
 

Go2Tec - Security assessment e normative - Riccardo Barghini

  • 1. Security assessment e normative Riccardo Barghini
  • 2. Agenda  Valutazione livello di sicurezza  Leggi e Normative attuali  Documento di Security Assessment  Benefici Aziendali  Che cosa propone il gruppo AFBNet Sicurezza e protezione dei dati aziendali
  • 3. Complessità e problematiche di valutazione  Una valutazione complessiva delle stato di sicurezza aziendale è complesso.  Necessita di strumenti validi di valutazione dei risultati ottenuti  I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dell’infrastruttura attualeT
  • 5. Leggi e Normative A differenza degli anni passati la tutela dei dati adesso ha normative specifiche e legislazione. Non più Best Practices ….  La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup , all’accesso e alle possibili metodologie di ripristino.  Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC …
  • 6. Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione. Documento di valutazione Risk Documento di Valutazione di Risk Assessment
  • 7. Definizione del Valore di Rischi In base a questa visione si può definire un fattore di rischio nell’ambito di ogni sezione e sottosezione dell’assessment; il fattore di rischio può avere una valutazione qualitativa o quantitativa, tenendo presente che in ogni caso è costituito dalla formula: Rischio = Vulnerabilità X Impatto X Probabilità dove “vulnerabilità” è un coefficiente che misura quanto il sistema sia sensibile ad un determinato evento, “impatto” misura le conseguenze sul business del verificarsi di un determinato evento e “probabilità” è la misura, appunto, della probabilità che un tale evento si verifichi.
  • 8. Risk Assessment  Un piano di Risk Assessment passa dalla valutazione di 10 sezioni.  La redazione di un documento in normativa ISO 27001 che specifica una serie di attività, controlli, fattori di rischio e indicazioni
  • 9. Ambiti di un documento di Risk Assessment  Politiche di sicurezza  Organizzazione della sicurezza  Classificazione e controllo degli Assett  Sicurezza del Personale  Sicurezza Fisica e Ambientale  Gestione delle comunicazioni e delle operazioni  Controllo degli accessi  Installazione dei sistemi e manutenzione  Gestione della Business Continuity  Adeguatezza
  • 10. Ambiti di un documento di Risk Assessment  Politiche di sicurezza  Organizzazione della sicurezza  Classificazione e controllo degli Assett  Sicurezza del Personale  Sicurezza Fisica e Ambientale  Gestione delle comunicazioni e delle operazioni  Controllo degli accessi  Installazione dei sistemi e manutenzione  Gestione della Business Continuity  Adeguatezza
  • 11. Come viene effettuata l’analisi L’analisi viene eseguita mediante l’utilizzo di Tools specifici alla scansione, cattura e analisi dell’intera infrastruttura IT.  Come scansione interna con e senza credenziali  Come Penetration Test da Internet  Interviste specifiche a personale aziendale IT e non Sono utilizzati strumenti specifici come Nessus, LanGuard, Microsoft Security Analyzer.
  • 14. Redazione del documento di Risk Assessment Una volta catturati tutti i log sono aggregati per :  Secondo le discipline individuate dal documento ISO di Risk Assessment  Per tipologia  Per valore di rischio  Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA ……
  • 15. Risultati di un documento di Risk Assessment
  • 16. Risultati di un documento di Risk Assessment
  • 17. Benefici Aziendali Che cosa permette di ottenere questo documento . 1. Colmare il Gap di comunicazione IT e Direzione 2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici. 3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale. 4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.
  • 18. Che cosa propone il Gruppo AFBNet Group AFBNet Group propone una serie di soluzioni sia tecniche che consulenziali :  Realizzazione del piano di scansione dell’infrastruttura IT tramite strumenti sia Commerciali che Open Source.  Consulenza tecnica e legale (opzionale tramite consulente esterno ).  Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilità.  Sfruttare al meglio l’infrastruttura esistente per renderla più sicura e adeguata alle normative.