Scoprite come HP ESP aiuta i CISO con tecnologie e soluzioni Enterprise innovative, resilienti e complementari nell’arduo compito di proteggere i dati critici, assicurare la conformità alle normative e garantire la continuità del business.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
La posta elettronica è di fatto lo strumento con il quale le organizzazioni comunicano al di fuori dei loro firewall e se non adeguatamente protette, l’e-mail possono rendere vulnerabile tutta l'infrastruttura aziendale. Per molte aziende la sfida e’ implementare un sistema di posta elettronica protetta che rispetti tutte le normative ed è di facile integrazione con tutti i sistemi aziendali gia’ esistenti.
With that new ring comes a flood of insurance questions and potential policies you need to consider. Below are a few ways you can protect yourself, your spouse-to-be, and your big day.
HPe leader del mercato per le tecnologie Format Preservare Encryption (FPE), Secure Stateless tokenizzazione (SST), Stateless Key Management e Data Masking.
Anche se crescono nuove forme di comunicazione, come l'Instant Messaging, che dal consumer si espande nell'ambito business, la posta elettronica è innegabilmente un elemento critico nei processi aziendali. Di fatto, una pratica comune è quella di utilizzare la casella di posta elettronica come repository non solo delle corrispondenze importanti con colleghi, collaboratori, clienti e fornitori, ma anche di file e documenti che possono essere così recuperabili in qualsiasi momento, anche attraverso un dispositivo mobile. Non è poi passato così tanto tempo da quando la posta elettronica rappresentava la killer application per la diffusione dei dispositivi mobili in azienda e lo sviluppo della Unified Communication e Collaboration non fa altro che confermarne l'utilità. Questo, però, insieme allo sviluppo della mobility non fa che fornire continui grattacapi ai responsabili dei sistemi informativi e della sicurezza in particolare.
L'email è una delle principali forme di comunicazione verso l'esterno, cioè oltre il firewall. È quindi anche, se non adeguatamente protetta, la principale via per immettere nel sistema aziendale dei malware o, più in generale, dei kit software preposti a sferrare attacchi all'infrastruttura. Ma non basta entrare, bisogna anche uscire con i dati copiati ed è sempre l'email a rappresentare una delle vie d'uscita più vulnerabili e, come tale, utilizzata per portare le informazioni all'esterno dell'azienda.
Se guardiamo solo l'ultimo decennio, possiamo osservare come la posta elettronica sia stata utilizzata per realizzare varie tipologie di truffe o attacchi informatici. Vanno ricordati, per esempio, i "worm", cioè un particolare tipo di codice malware il cui scopo era di penetrare nel computer della vittima lasciando traccia del suo passaggio con un virus, praticamente impedendone l'uso. Per entrare utilizzava un messaggio email contenente un allegato infetto e, per diffondersi si "autoinviava" a tutti i contatti della vittima stessa. Il più famoso è "I Love You", il cui scopo era compiere il "giro del mondo" nel più breve tempo possibile.
Enterprise VoIP Security Suite è la soluzione più completa per la gestione della riservatezza delle comunicazioni e la protezione da tentativi di frode e intrusione degli impianti telefonici.
Enterprise VoIP Security Suite è l'unione dei principali prodotti sviluppati e distribuiti da PrivateWave in un'unica offerta suddivisa in differenti tagli e dimensionamenti utili a soddisfare le esigenze più disparate dallo studio professionale alla large corporate.
Il sistema include prodotti per la cifratura delle comunicazioni sul singolo device fisso e mobile, eliminando qualsiasi punto di debolezza lungo tutta la catena di comunicazione ed attraverso tutte le reti IP attraversate da ogni singola conversazione.
Inoltre, con Enterprise VoIP Security Suite vengono mantenuti tutti i servizi telefonici a valore aggiunto come la voicemail, le conference call, e altro ancora senza nessun compromesso ed avendo la certezza che anche quest'ultimi siano sicuri e protetti.
HPE SecureMail è una soluzione di email encryption utilizzata nei più grandi progetti si secure messaging del mondo. HPE SecureMail utilizza tecnologie di encryption avanzate già ampiamente testate, basate sui principi delle Next Generation PKI , in grado di fornire un livello di sicurezza eccezionale ed allo stesso tempo una facilità di utilizzo e configurazione che non ha rivali nel panorama di soluzioni mail encryption alternative. Con HPE SecureMail, le informazioni più sensibili e private possono essere trasmesse con sicurezza tramite posta elettronica con la stessa facilità d’uso delle email in chiaro che scambiamo quotidianamente.
Una soluzione unica per Desktop, Web, Mobile, Cloud, Applicazioni ed Automazione.
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
Adottando la multifactor authentication sarai in grado di:
garantire la privacy di utenti e collaboratori
ottimizzare le risorse del tuo dipartimento IT
irrobustire le tue soluzioni contro le maggiori vulnerabilità informatiche
Scopri come sostituire le password con alternative più sicure.
La posta elettronica è di fatto lo strumento con il quale le organizzazioni comunicano al di fuori dei loro firewall e se non adeguatamente protette, l’e-mail possono rendere vulnerabile tutta l'infrastruttura aziendale. Per molte aziende la sfida e’ implementare un sistema di posta elettronica protetta che rispetti tutte le normative ed è di facile integrazione con tutti i sistemi aziendali gia’ esistenti.
With that new ring comes a flood of insurance questions and potential policies you need to consider. Below are a few ways you can protect yourself, your spouse-to-be, and your big day.
HPe leader del mercato per le tecnologie Format Preservare Encryption (FPE), Secure Stateless tokenizzazione (SST), Stateless Key Management e Data Masking.
Anche se crescono nuove forme di comunicazione, come l'Instant Messaging, che dal consumer si espande nell'ambito business, la posta elettronica è innegabilmente un elemento critico nei processi aziendali. Di fatto, una pratica comune è quella di utilizzare la casella di posta elettronica come repository non solo delle corrispondenze importanti con colleghi, collaboratori, clienti e fornitori, ma anche di file e documenti che possono essere così recuperabili in qualsiasi momento, anche attraverso un dispositivo mobile. Non è poi passato così tanto tempo da quando la posta elettronica rappresentava la killer application per la diffusione dei dispositivi mobili in azienda e lo sviluppo della Unified Communication e Collaboration non fa altro che confermarne l'utilità. Questo, però, insieme allo sviluppo della mobility non fa che fornire continui grattacapi ai responsabili dei sistemi informativi e della sicurezza in particolare.
L'email è una delle principali forme di comunicazione verso l'esterno, cioè oltre il firewall. È quindi anche, se non adeguatamente protetta, la principale via per immettere nel sistema aziendale dei malware o, più in generale, dei kit software preposti a sferrare attacchi all'infrastruttura. Ma non basta entrare, bisogna anche uscire con i dati copiati ed è sempre l'email a rappresentare una delle vie d'uscita più vulnerabili e, come tale, utilizzata per portare le informazioni all'esterno dell'azienda.
Se guardiamo solo l'ultimo decennio, possiamo osservare come la posta elettronica sia stata utilizzata per realizzare varie tipologie di truffe o attacchi informatici. Vanno ricordati, per esempio, i "worm", cioè un particolare tipo di codice malware il cui scopo era di penetrare nel computer della vittima lasciando traccia del suo passaggio con un virus, praticamente impedendone l'uso. Per entrare utilizzava un messaggio email contenente un allegato infetto e, per diffondersi si "autoinviava" a tutti i contatti della vittima stessa. Il più famoso è "I Love You", il cui scopo era compiere il "giro del mondo" nel più breve tempo possibile.
Enterprise VoIP Security Suite è la soluzione più completa per la gestione della riservatezza delle comunicazioni e la protezione da tentativi di frode e intrusione degli impianti telefonici.
Enterprise VoIP Security Suite è l'unione dei principali prodotti sviluppati e distribuiti da PrivateWave in un'unica offerta suddivisa in differenti tagli e dimensionamenti utili a soddisfare le esigenze più disparate dallo studio professionale alla large corporate.
Il sistema include prodotti per la cifratura delle comunicazioni sul singolo device fisso e mobile, eliminando qualsiasi punto di debolezza lungo tutta la catena di comunicazione ed attraverso tutte le reti IP attraversate da ogni singola conversazione.
Inoltre, con Enterprise VoIP Security Suite vengono mantenuti tutti i servizi telefonici a valore aggiunto come la voicemail, le conference call, e altro ancora senza nessun compromesso ed avendo la certezza che anche quest'ultimi siano sicuri e protetti.
HPE SecureMail è una soluzione di email encryption utilizzata nei più grandi progetti si secure messaging del mondo. HPE SecureMail utilizza tecnologie di encryption avanzate già ampiamente testate, basate sui principi delle Next Generation PKI , in grado di fornire un livello di sicurezza eccezionale ed allo stesso tempo una facilità di utilizzo e configurazione che non ha rivali nel panorama di soluzioni mail encryption alternative. Con HPE SecureMail, le informazioni più sensibili e private possono essere trasmesse con sicurezza tramite posta elettronica con la stessa facilità d’uso delle email in chiaro che scambiamo quotidianamente.
Una soluzione unica per Desktop, Web, Mobile, Cloud, Applicazioni ed Automazione.
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
Adottando la multifactor authentication sarai in grado di:
garantire la privacy di utenti e collaboratori
ottimizzare le risorse del tuo dipartimento IT
irrobustire le tue soluzioni contro le maggiori vulnerabilità informatiche
Scopri come sostituire le password con alternative più sicure.
The role and relevance of configuration management in the cloud has
been unclear as more companies move to a Hybrid IT model. Companies
are weighing the following pros and cons of cloud migration:
Technology’s role in data protection – the missing link in GDPR transformationat MicroFocus Italy ❖✔
The EU General Data Protection Regulation (GDPR) delivers a fundamental change in how data controllers and data processors handle personal data. Instead of being an afterthought within business operations, protections for personal data will now have to be designed into the very fabric of data processing systems, meaning that businesses will need to re-examine how they approach the use of technology in their organisations.
As this whitepaper from PwC explains, technology is both the problem and the solution as far as GDPR compliance is concerned. Authors Stewart Room, Peter Almond and Kayleigh Clark argue that today’s technology solutions have not been designed or deployed from the perspective of data protection, and this means that compliance could be a long and complex journey.
Yet, at the same time, the authors say that technology could also be the solution to this problem, with more modern, advanced technologies potentially able to help companies in deleting, erasing and de-duplicating personal data – a critical component under GDPR.
This whitepaper considers how businesses must transition to GDPR compliance through technology, involve the relevant stakeholders and advisers at the appropriate stages, and design and mobilise their GDPR transformation programme for business change.
Last Thursday I have been to the CEOP: Child Exploitation & Online Protection Centre Workshop.
Today is Safer Internet Day 2017 and I want share with all of you the pdf I got from CEOP and keep you aware about Cyberbullying and Online Grooming.
We HAVE TO keep safe our kids.
The Best Articles of 2016 DEVELOPING AND CONNECTING CYBERSECURITY LEADERS GLO...at MicroFocus Italy ❖✔
Article: Crypto Wars II
By Luther Martin – ISSA member, Silicon Valley Chapter
and Amy Vosters
The debate over whether or not to give US law
enforcement officials the ability to decrypt encrypted
messaging has recently been revisited after a twentyyear
break. The results may be surprising.
The HPE SecureData Payments solution is intended to increase the security of card-present payments
without impacting the buyer experience. Solutions based on HPE SecureData Payments reduce
merchant risk of losing credit card data and potentially reduce the number of PCI DSS controls applicable
to the retail payment environment substantially.
HPE SecureData Payments implements encryption of sensitive credit card data in point-of-interaction
(POI) devices’ firmware, immediately on swipe, insertion, tap, or manual entry. Sensitive card information
can only be decrypted by the solution provider, typically a payment service. Even a compromise of the
point-of-sale (POS) system does not expose customers’ sensitive data.
Merchants can also realize reduction in DSS compliance scope by implementing their own HPE
SecureData Payments solution.
AUDIENCE
This assessment white paper has three target audiences:
1. First, merchants using HPE SecureData Payments to create proprietary encryption solutions for
card-present payments
2. The second is service providers, like processors, and payment services that are developing cardpresent
encryption services that utilize HPE SecureData Payments
3. The third is the QSA and internal audit community that is evaluating solutions in both merchant
and service provider environments using the HPE SecureData Payments solution
ASSESSMENT SCOPE
HPE contracted with Coalfire to provide an independent compliance impact review of the HPE
SecureData Payments solution. The intent of this assessment was to analyze the impact on PCI DSS
scope of applicable controls for merchants that implement an HPE SecureData Payments solution for
their card-present sales.
Discover HPE Software
Technology and business are changing at an unprecedented rate.
New ways of doing business from streamlining processes, fasttracking
innovation, and delivering amazing customer experience
all come from the convergence of IT and business strategy. But
you need to be fast to win. At HPE Software we can accelerate
your digital transformation.
Change is at our core. On 7 September, Hewlett Packard
Enterprise announced plans for a spin-off and merger of our
software business unit with Micro Focus, a global software
company dedicated to delivering and supporting enterprise
software solutions. The combination of HPE software assets
with Micro Focus will create one of the world’s largest pure-play
enterprise software companies. We will remain focused on helping
you get the most out of the software that runs your business.
Discover how HPE Software can help you thrive in a world of
digital transformation.
The National Cyber Security Strategy 2016 to 2021 sets out the government's p...at MicroFocus Italy ❖✔
The UK is one of the world’s leading
digital nations. Much of our prosperity
now depends on our ability to secure our
technology, data and networks from the
many threats we face.
Yet cyber attacks are growing more
frequent, sophisticated and damaging when
they succeed. So we are taking decisive
action to protect both our economy and the
privacy of UK citizens.
Our National Cyber Security Strategy sets out
our plan to make Britain confident, capable
and resilient in a fast-moving digital world.
Over the lifetime of this five-year strategy,
we will invest £1.9 billion in defending
our systems and infrastructure, deterring
our adversaries, and developing a wholesociety
capability – from the biggest
companies to the individual citizen.
From the most basic cyber hygiene, to the
most sophisticated deterrence, we need a
comprehensive response.
We will focus on raising the cost of
mounting an attack against anyone in the
UK, both through stronger defences and
better cyber skills. This is no longer just
an issue for the IT department but for the
whole workforce. Cyber skills need to reach
into every profession.
The new National Cyber Security Centre will
provide a hub of world-class, user-friendly
expertise for businesses and individuals, as
well as rapid response to major incidents.
Government has a clear leadership role,
but we will also foster a wider commercial
ecosystem, recognising where industry
can innovate faster than us. This includes
a drive to get the best young minds into
cyber security.
The cyber threat impacts the whole of our
society, so we want to make very clear
that everyone has a part to play in our
national response. It’s why this strategy is
an unprecedented exercise in transparency.
We can no longer afford to have this
discussion behind closed doors.
Ultimately, this is a threat that cannot be
completely eliminated. Digital technology
works because it is open, and that
openness brings with it risk. What we
can do is reduce the threat to a level that
ensures we remain at the vanguard of the
digital revolution. This strategy sets out how.
This thesis aims to give a theoretical as well as practical overview of an emerging issue in the field of IT security named Format Preserving Encryption (FPE).
Although FPE is not new, it is relatively unknown. It is used in the full-disk encryption and some other areas. Nevertheless, it is to this day even unknown to many cryptographers. Another issue that is on everyone's lips is the Internet of Things (IoT). IoT offers a whole new scope for FPE and could give it possibly a further boost.
Format Preserving Encryption is - as the name says - an encryption in which the format of the encrypted data is maintained. When a plaintext is encrypted with FPE, the ciphertext then has the same format again. As illustrated for example on the cover page: If we encrypt the owner and the number of a credit card with AES we get an unrecognizable string. If we use FPE instead, we might get for example Paul Miller and the number 4000 0838 7507 2846. The advantage is that for man and/or machine nothing changes. The encryption is therefore not noticed without analysis of the data. The advantage can also become a disadvantage. An attacker has with the format of the ciphertext already information about the plaintext.
This thesis starts with an introduction to the Format Preserving Encryption. In doing so, different variants of FPE are shown. In a next step, a Java library is explained and documented, in which we have implemented some of these FPE variants. This library is designed to enable programmers to use FPE without the need for detailed knowledge about the functionality. Then we explain by means of a tutorial and step by step with a concrete and simple example, how a subsequent integration of FPE could look like. In a final part the integration into a more complex and already widely used application is shown, an Android app called OwnTracks.
With this combination of theoretical and practical information a broad basic knowledge should be provided on the topic, which then can serve as a basis on how FPE can be used and whether a use is reasonable.
The Business of Hacking - Business innovation meets the business of hackingat MicroFocus Italy ❖✔
Introduction
Attackers are sophisticated. They are organized. We hear these statements a lot but what
do they mean to us? What does it mean to our businesses? When we dig deeper into the
“business of hacking,” we see that the attackers have become almost corporate in their behavior.
Their business looks a lot like ours. Cyber criminals look to maximize their profits and minimize
risk. They have to compete on quality, customer service, price, reputation, and innovation. The
suppliers specialize in their market offerings. They have software development lifecycles and
are rapidly moving to Software as a Service (SaaS) offerings. Our businesses overlap in so many
ways that we should start to look at these attackers as competitors.
This paper will explore the business of hacking: the different ways people make money by
hacking, the motivations, the organization. It will break down the businesses’ profitability and
risk levels, and provide an overall SWOT analysis. From this, opportunities for disruption will be
discussed and a competitive approach for disrupting the business of hacking will be laid out.
The information in this paper draws on data and observations from HPE Security teams, open
source intelligence, and other industry reports as noted.
Whether building in enterprise security or applying security intelligence and advanced analytics,
we can use our understanding of the business of hacking and the threats to our specific
businesses to ensure that we are investing in the most effective security strategy.
Users are reaching for mobile devices numerous times every day specifically to use mobile apps. The power and
freedom of connected mobile computing continues to raise expectations but users have little patience for problematic
apps. Mobile device users heavily rely on peer reviews and star ratings to help them choose their apps. Once a
mobile app is installed, that app is judged for its speed, responsiveness and stability which define the user experience
and overall satisfaction. Yet this study finds that users are experiencing app issues regularly. Critically, this report
reveals that apps that exhibit issues are quickly abandoned after just a couple of occurrences.
For a company who creates mobile apps, while good performance can lead to satisfied user and app downloads,
poor performance will result in quick app abandonment. The findings indicate that the key to loyal customers from
mobile apps is directly related to the mobile app performance, stability and resource consumption. Metrics defining
the mobile app user experience must be measured from the customer’s perspective and ensure it meets or exceeds
expectations at all times. The consequence of failing to meet user expectations is not only app abandonment – it also
leads to a tarnished brand with lost revenue opportunities from both current and future users.
Ogni attività di recupero crediti deve avvenire nel rispetto della
dignità personale del debitore, evitando comportamenti che ne
possano ledere la riservatezza a causa di un momento di
difficoltà economica o di una dimenticanza.
Gli accertamenti del Garante hanno messo in luce l'esistenza di
prassi in alcuni casi decisamente invasive (visite a domicilio o
sul posto di lavoro; reiterate sollecitazioni al telefono fisso o sul
cellulare; telefonate preregistrate; invio di posta con l'indicazione
all'esterno della scritta "recupero crediti" o "preavviso esecuzione
notifica", fino all'affissione di avvisi di mora sulla porta di casa.
Spesso anche dati personali di intere famiglie risultavano inseriti
nei data base del soggetto creditore o delle società di recupero
crediti).
È per questo motivo che l'Autorità ha deciso di intervenire con un
provvedimento generale e prescrivere a quanti svolgono
l'attività di recupero crediti (le società specializzate e quanti -
finanziarie, banche, concessionari di pubblici servizi, compagnie
telefoniche - svolgono tale attività direttamente) le misure
necessarie perché tutto si svolga nel rispetto dei principi di liceità,
correttezza e pertinenza.
The 2015 Threat Report provides a comprehensive overview of the cyber
threat landscape facing both companies and individuals. Using data from 2015,
this report combines our observations on reported malware encounters with
threat intelligence, and identifies several key trends and developments.
The report introduces the Chain of Compromise as an analytical concept to
help readers, particularly those working in cyber security and information
technology roles, understand how attackers compromise security using
different combinations of tactics and resources. Some of 2015’s most prominent
threats, such as exploit kits, ransomware, and DNS hijacks, are discussed in
relation to this model, demonstrating how users become compromised by
modern cyber attacks.
Key findings discussed in the report include the establishment of worms,
exploits, and macro malware as trending threats; the increasing use of cryptoransomware
for online extortion; and an increase in the use and efficiency of
Flash vulnerabilities in exploit kits. The report also highlights the significance
of different cyber security events that occurred in 2015, including the discovery
of the XcodeGhost bug in Apple’s App Store, the exposure of the Dukes
advanced persistent threat group, and signs that the intersection between
geopolitics and cyber security is paving the way toward a cyber arms race.
Information on the global threat landscape is supplemented with details on
the prominent threats facing different countries and regions, highlighting the
fact that while the Internet connects everyone, attackers can develop and
distribute resources to selectively target people and companies with greater
efficiency
Did you suffer a data breach in 2014? Even if you avoided
a breach, it’s likely that you saw an increase in the number
of security incidents — according to PwC research, since
2009 the volume has grown at an average of 66% per
year.1 It seems that it’s only retailers and entertainment
companies that make the headlines, but organizations
of all kinds are affected. In this report we look at how
well prepared companies are to withstand attacks and
mitigate the impact of breaches, and recommend how
you can improve.
Protecting your data against cyber attacks in big data environmentsat MicroFocus Italy ❖✔
This article discusses the inherent risk of big data environments such as Hadoop and how
companies can take steps to protect the data in such an environment from current attacks.
It describes the best practices in applying current technology to secure sensitive data
without removing analytical capabilities.
Preparing today for tomorrow’s threats.
When companies hear the word “security,” what concepts come to mind
— safety, protection or perhaps comfort? To the average IT administrator,
security conjures up images of locked-down networks and virus-free devices.
An attacker, state-sponsored agent or hactivist, meanwhile, may view security
as a way to demonstrate expertise by infiltrating and bringing down corporate
or government networks for profit, military goals, political gain — or even fun.
We live in a world in which cybercrime is on the rise. A quick scan of the
timeline of major incidents (See Figure 1, Page 9) shows the increasing
frequency and severity of security breaches — a pattern that is likely
to continue for years to come. Few if any organizations are safe from
cybercriminals, to say nothing of national security. In fact, experts even
exposed authentication and encryption vulnerabilities in the U.S. Federal
Aviation Administration’s new state-of-the-art multibillion-dollar air
traffic control system
Hewlett Packard Enterprise (HPE) ha pubblicato l’edizione 2016 dello studio HPE Cyber Risk Report, un rapporto che identifica le principali minacce alla sicurezza subite dalle aziende nel corso dell’anno passato. La dissoluzione dei tradizionali perimetri di rete e la maggiore esposizione agli attacchi sottopongono gli specialisti della sicurezza a crescenti sfide per riuscire a proteggere utenti, applicazioni e dati senza tuttavia ostacolare l’innovazione né rallentare le attività aziendali.
La presente edizione del Cyber Risk Report analizza lo scenario delle minacce del 2015, proponendo azioni di intelligence nelle principali aree di rischio, quali la vulnerabilità delle applicazioni, le patch di sicurezza e la crescente monetizzazione del malware. Il report approfondisce inoltre tematiche di settore rilevanti come le nuove normative nell’ambito della ricerca sulla sicurezza, i “danni collaterali” derivanti dal furto di dati importanti, i mutamenti delle agende politiche e il costante dibattito su privacy e sicurezza.
Se le applicazioni web sono una fonte di rischio significativa per le organizzazioni, quelle mobile presentano rischi maggiori e più specifici. Il frequente utilizzo di informazioni personali da parte delle applicazioni mobili genera infatti vulnerabilità nella conservazione e trasmissione di informazioni riservate e sensibili, con circa il 75% delle applicazioni mobili analizzate che presenta almeno una vulnerabilità critica o ad alto rischio rispetto al 35% delle applicazioni non mobili.
Lo sfruttamento delle vulnerabilità software continua a essere un vettore di attacco primario, soprattutto in presenza di vulnerabilità mobili. Basti pensare che, come nel 2014,le prime dieci vulnerabilità sfruttate nel 2015 erano note da oltre un anno e il 68% di esse da tre anni o più. Windows è stata la piattaforma software più colpita nel 2015: il 42% delle prime 20 vulnerabilità scoperte è stato indirizzato a piattaforme e applicazioni Microsoft. Colpisce poi anche un altro dato. Il 29% di tutti gli attacchi condotti con successo nel 2015 ha infatti utilizzato quale vettore di infezione Stuxnet, un codice del 2010 già sottoposto a due patch.
Passando ai malware, i bersagli sono cambiati notevolmente in funzione dell’evoluzione dei trend e di una sempre maggiore focalizzazione sull’opportunità di trarre guadagno. Il numero di minacce, malware e applicazioni potenzialmente indesiderate per Android è cresciuto del 153% da un anno all’altro: ogni giorno vengono scoperte oltre 10.000 nuove minacce. Apple iOS ha registrato le percentuali di crescita maggiori, con un incremento delle tipologie di malware di oltre il 230% anno su anno.
Protecting your data against cyber attacks in big data environmentsat MicroFocus Italy ❖✔
This article discusses the inherent risk of big data environments such as Hadoop and how
companies can take steps to protect the data in such an environment from current attacks.
It describes the best practices in applying current technology to secure sensitive data
without removing analytical capabilities.
To implement data-centric security, while simultaneously empowering your business to compete and win in today’s nano-second world, you need to understand your data flows and your business needs from your data. Begin by answering some important questions:
•
What does your organization need from your data in order to extract the maximum business value and gain a competitive advantage?
•
What opportunities might be leveraged by improving the security posture of the data?
•
What risks exist based upon your current security posture? What would the impact of a data breach be on the organization? Be specific!
•
Have you clearly defined which data (both structured and unstructured) residing across your extended enterprise is most important to your business? Where is it?
•
What people, processes and technology are currently employed to protect your business sensitive information?
•
Who in your organization requires access to data and for what specific purposes?
•
What time constraints exist upon the organization that might affect the technical infrastructure?
•
What must you do to comply with the myriad government and industry regulations relevant to your business?
Finally, ask yourself what a successful data-centric protection program should look like in your organization. What’s most appropriate for your organization?
The answers to these and other related questions would provide you with a clearer picture of your enterprise’s “data attack surface,” which in turn will provide you with a well-documented risk profile. By answering these questions and thinking holistically about where your data is, how it’s being used and by whom, you’ll be well positioned to design and implement a robust, business-enabling data-centric protection plan that is tailored to the unique requirements of your organization.
Hp esp guida la trasformazione del data protection
1. HP ESP guida la trasformazione dell'Information Security.
AES Encryption o FPE Encryption? Qual e’ il dilemma?
Oggi i dati devono essere protetti in modo esteso, non basta piu’ metterci un muro attorno perche’ gli
attacchi informatici sono continui e possono colpire in qualsiasi momento sia i dati statici che quelli
dinamici.
I dati sonostati sempre protetti inpassatoma oggi quelle soluzioni sonodatate e peradeguarsi ai tempi
non c’e piu’ bisogno di stravolgere la propria infrastruttura IT.
In passatosi preferivausare unencryption invasivoche cambiavail formatodel datostessorendendolo
inutilizzabile fino a quando non veniva decriptato con le chiavi di decryption. Oggi Il numero di dati e’
aumentato e con esso anche il numero di chiavi di decryption da dover conservare e gestire. Con l’
Encryptionnonpiu’AES(AdvancedEncryptionStandardconosciutoanche comeRijndael)maFPE(format-
preservingencryption)il datomantieneil suoformatooriginale mantenendosoloalcuneinformazioni utili
per l’azienda e per gli utilizzi futuri senza doverlo decriptare ogni volta, annullando a sua volta l’incubo
nella gestione delle chiavi di decryption.
Oggi molti proteggono i dati ma il piu’ delle volte sono attivitá poco efficaci. Ad esempio ci si limita a
proteggere, mediante Encryption, i dati conservati in qualche server o storage da malware oppure ci si
limitaa proteggere i dati (File) conunfirewall maquestotipodi protezione oggi e’insufficiente perche’
oggi i dati sonoinmovimentoquindi trai vari passaggi ci sonodei buchi dove e’facile essere attaccati.Ed
e’ qui che dobbiamo intervenire proteggendo il ns dato.
2. Proprioperche’oggi come nonmai,il dato dev’essere costantemente protettoe,se rubatonondeve
avere nessunvalore perl’Hackere lasua perditanondeve arrecare nessuncostone’perl’azienda
ne’peril cliente,HP propone SecurityData Protectionuna serie di soluzionidi sicurezzaperla
crittografiaincentratasui dati e la tokenizzazione:inambienti enterprise,cloud,mobili e BigData.
Con HP SecurityData Protection si risolve lasfidainsitanellasemplificazionedellacrittografiae della
tokenizzazione deidati anche nei casi d'usopiùcomplessi,tracui:conformitàPCI,de-identificazionedei
dati,Protezione BigData,ProtezionePII/PHI/PIe trasferimentosul cloud.
Con HP SecurityDataProtectionil datoviene criptatoconil metodoFPEche a differenzadel metodo
AES rende il dato, si criptatoma comunque utile perutilizzi successivisenzadoverdecriptarloogni volta
si presentalanecessita,semplificandocosi anche lagestione dellechiavi di decriptazione.
3. Infatti con FPE il dato rispettoa AES sara’ :
Questocosa permette?
Permette di preservare il formato,lastrutturae l’utilizzodel datostesso,cosi dapoterevitare
il processodi decodificaogni voltache bisognausare il datoperscopi aziendali evitando,asua volta,
anche l’usocomplicatoe macchinosodelle chiavidi decryption(KeyDatabase).ConStatelessKey
Managementsi garantisce comunque lasicurezza del datoendtoend.
4. Con HP SecurityData Protection abbiamoappuntoquellache e’unaprotezione endtoenddel dato.Il
dato viene protettoanche inquei buchi dove normalmente inpassatoil datoperdevalasuaprotezione.
5. HP SecurityData Protectione’conforme agli standarddi encryptionIETF,ISOe IEEE
Linea ProdottiHP Security Data Protection:
HP SecureData
HP SecureMail
HP SecureFile
HP SecureStorage