E' noto che il Cloud consente di dare una maggiore flessibilità all'IT, garantendo una continuità del business e ottimizzando i costi. Ma quali sono le implicazioni sulla sicurezza aziendale? La cronaca recente ha evidenziato che anche nomi importanti quali IEEE, Apple e Samsung sono tra le vittime piu' famose dei furti di identita' nel Cloud. Se si adottano datacenter virtuali (IaaS) o applicazioni on-line (SaaS), si sposta il paradigma della sicurezza così' come concepita finora.
La presentazione analizzerà le implicazioni di sicurezza di una infrastruttura Cloud e i possibili rimedi, con esempi pratici.
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
“Security Awareness”, ovvero come creare consapevolezza sui rischi informatici e su come usare i nuovi media in modo sicuro. Il corso, rivolto ai dipendenti della Esso Italiana Srl di Roma in partnership con la Manpower Formazione Srl, è stato svolto dai docenti Guido Sandonà e Sylvio Verrecchia. Le tematiche affrontate sono state: il mondo degli hacker, il deep e dark web, il furto di identità, il pericolo delle wi-fi libere, i ransomware, l’utilizzo sicuro degli smartphone e dei social networks ed i rischi IOT.
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale.
Qui si spiega un attacco tramite ingegneria sociale.
Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
La digitalizzazione e' un'opportunita' unica per aumentare cooperazione, efficacia e produttività garantendo enormi vantaggi sociali, economici ed operativi ai cittadini ed alle organizzazioni. Le tecnologie necessarie costringono la Societa' ad affrontare problematiche di Cyber Security sempre più sfidanti. La sicurezza, d’altra parte, è uno strumento efficace solo quando diviene parte della cultura stessa del sistema paese e delle organizzazioni, del modo di operare, e viene integrata completamente nei processi e nelle infrastrutture tecnologiche.
Capire la complessità di questa nuova dimensione della sicurezza e comprenderne l’impatto reale sugli interessi nazionali, anche attraverso l’esperienza di altri paesi, è il primo passo per realizzare una politica efficace di cyber security
Selex ES presenta la propria visione del contesto italiano in termini di minacce, di evoluzione della governance e delle soluzioni con una particolare attenzione alla protezione di aree estremamente sensibili quali difesa, sicurezza del territorio e infrastrutture critiche tramite l'utilizzo di tecnologie specifiche quali la Cyber Intelligence ed il monitoraggio di sistemi SCADA.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Mobile Device Management e Data Loss Prevention, news sulle soluzioni più innovative di Audit e Traffic Management, aggiornamenti dal mercato ICT e l'invito al Security Summit di Verona < le news Clever di Settembre 2011.
Da scaricare e leggere con calma.
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
Una panoramica di come l'economia di hardware e software cambiano il mercato IT, in una panoramica storica dal 1940 al futuro. Quali sono le motivazioni dietro la nascita del PC, il cloud, il prossimo futuro basato su HTML5. Presentazione preparata per le scuole superiori per conto del DITEDI.
La presentaizone usata da Alessio Dragoni per il webinar "Il tema del BigData e l’esperienza dell’INPS" organizzato dalla redaizone di Dati.gov.it - Il portale nazionale dei dati aperti.
Il primo incontro dell'AWS Users Group Naples, le slide della definizione e dello studio storico ed economico del cloud computing.
Link all'evento:
http://blog.vmengine.net/2009/12/23/aws-user-group-naples-una-sfida-per-il-sud/
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
Gli attacchi ai dati strategici aziendali sono un problema attuale e di enorme importanza per le organizzazioni aziendali. Gli attacchi avvengono con tecniche che devo essere riconosciute per poter addestrare correttamente tutto il personale.
Qui si spiega un attacco tramite ingegneria sociale.
Ingegneria sociale: cos\'è, come agisce, gli obiettivi, come riconoscerla, come evitarla.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
La digitalizzazione e' un'opportunita' unica per aumentare cooperazione, efficacia e produttività garantendo enormi vantaggi sociali, economici ed operativi ai cittadini ed alle organizzazioni. Le tecnologie necessarie costringono la Societa' ad affrontare problematiche di Cyber Security sempre più sfidanti. La sicurezza, d’altra parte, è uno strumento efficace solo quando diviene parte della cultura stessa del sistema paese e delle organizzazioni, del modo di operare, e viene integrata completamente nei processi e nelle infrastrutture tecnologiche.
Capire la complessità di questa nuova dimensione della sicurezza e comprenderne l’impatto reale sugli interessi nazionali, anche attraverso l’esperienza di altri paesi, è il primo passo per realizzare una politica efficace di cyber security
Selex ES presenta la propria visione del contesto italiano in termini di minacce, di evoluzione della governance e delle soluzioni con una particolare attenzione alla protezione di aree estremamente sensibili quali difesa, sicurezza del territorio e infrastrutture critiche tramite l'utilizzo di tecnologie specifiche quali la Cyber Intelligence ed il monitoraggio di sistemi SCADA.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Mobile Device Management e Data Loss Prevention, news sulle soluzioni più innovative di Audit e Traffic Management, aggiornamenti dal mercato ICT e l'invito al Security Summit di Verona < le news Clever di Settembre 2011.
Da scaricare e leggere con calma.
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
Una panoramica di come l'economia di hardware e software cambiano il mercato IT, in una panoramica storica dal 1940 al futuro. Quali sono le motivazioni dietro la nascita del PC, il cloud, il prossimo futuro basato su HTML5. Presentazione preparata per le scuole superiori per conto del DITEDI.
La presentaizone usata da Alessio Dragoni per il webinar "Il tema del BigData e l’esperienza dell’INPS" organizzato dalla redaizone di Dati.gov.it - Il portale nazionale dei dati aperti.
Il primo incontro dell'AWS Users Group Naples, le slide della definizione e dello studio storico ed economico del cloud computing.
Link all'evento:
http://blog.vmengine.net/2009/12/23/aws-user-group-naples-una-sfida-per-il-sud/
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di LodiPaolo Aliverti
Per la tappa di Lodi di Be@ctive tour mi han chiesto di raccontare qualcosa delle mia esperienza come Digital Champion. Ho parlato di temi a me molto cari: Digital Fabrication, IoT e Agile Business.
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudDenodo
Watch full webinar here: https://bit.ly/2FPwmfN
In questo contesto la virtualizzazione dei dati riveste un ruolo strategico nelle architetture multicloud, garantendo agli utenti aziendali un accesso controllato a tutti i dati, indipendentemente dalla loro localizzazione, in modo semplice e veloce. Al contempo aggiunge la semantica e la governance, necessaria nei moderni ambienti di dati e garantendo il controllo locale ai "proprietari dei dati"e il rispetto delle normative locali sulla privacy e la protezione dei dati.
Unisciti a noi per capire come la tua azienda può affrontare e superare le sfide insite nell’adozione di un modello Cloud/Multi-Cloud e conoscere le Best Practice per una corretta gestione dei dati e dei costi in un tale modello.
In questa sessione approfondiremo:
- Le sfide che le organizzazioni devono affrontare quando adottano strategie di dati multi-cloud
- Come la Piattaforma di virtualizzazione dei dati di Denodo fornisce un livello di accesso ai dati controllato per tutta l'organizzazione
- Le diverse architetture multi-location che possono massimizzare il controllo locale sui dati, rendendoli comunque facilmente disponibili
- Come le organizzazioni hanno beneficiato dell'utilizzo della piattaforma Denodo nelle architetture multi-cloud
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Andrea Patron
Difficoltà provata nelle infrastrutture di reti aziendali, è la mera incapacità di poter risolvere semplici fattori di rischio dovuti alla scorretta conoscenza dei livelli di Sicurezza, applicati sia all'ambiente di sviluppo (Integrated Development Environment) e sia al flusso dei servizi proposti. Con una tecnologia ormai immersa nell'era del Cloud Computing, questi fattori si sono visti amplificare l'esposizione alle minacce provenienti dalla Rete. In questo seminario, verranno analizzati i vari livelli di sicurezza e cercheremo di trovare alcune delle soluzioni a questi fattori diversificati. Gli argomenti trattati nel seminario sono:
- Dati e fattori di rischio negli ambienti di Sviluppo IDE
- Diversificazione negli ambienti di sviluppo
- Livelli e fasce di Sicurezza
- Minacce a riferimento
- Alcune soluzioni ai fattori di rischio
Seminario valido per formazione continua "Professionista Web" (Legge 4/2013) -- Associazione professionale IWA Italy
http://corsi.ipcop.pd.it
http://www.ipcopitalia.com
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...Denodo
Watch full webinar here: https://bit.ly/3vYHaNQ
In questo contesto la virtualizzazione dei dati riveste un ruolo strategico nelle architetture multicloud, garantendo agli utenti aziendali un accesso controllato a tutti i dati, indipendentemente dalla loro localizzazione, in modo semplice e veloce. Al contempo aggiunge la semantica e la governance, necessaria nei moderni ambienti di dati e garantendo il controllo locale ai "proprietari dei dati"e il rispetto delle normative locali sulla privacy e la protezione dei dati.
Unisciti a noi per capire come la tua azienda può affrontare e superare le sfide insite nell’adozione di un modello Cloud/Multi-Cloud e conoscere le Best Practice per una corretta gestione dei dati e dei costi in un tale modello.
In questa sessione approfondiremo:
- Le sfide che le organizzazioni devono affrontare quando adottano strategie di dati multi-cloud
- Come la Piattaforma di virtualizzazione dei dati di Denodo fornisce un livello di accesso ai dati controllato per tutta l'organizzazione
- Le diverse architetture multi-location che possono massimizzare il controllo locale sui dati, rendendoli comunque facilmente disponibili
- Come le organizzazioni hanno beneficiato dell'utilizzo della piattaforma Denodo nelle architetture multi-cloud
Sophos Complete Security: arte e scienza della sicurezzaBabel
Il 27 novembre il Chiostro del Bramante ha ospitato il nostro più recente evento, “Sophos Complete Security: scienza e arte della sicurezza”. Babel ringrazia tutti coloro che sono venuti a conoscere la soluzione integrata di Sophos dedicata alla sicurezza della rete, dei dispositivi fissi e mobili, dei dati e delle e-mail.
Se vi siete persi l’evento o volete rivederlo, visitate la pagina dedicata aggiornata con il video integrale e le slide della presentazione: http://babel.it/it/sophos-complete-security-2014.html
Watch full webinar here: https://bit.ly/2MAlOED
In un’era sempre più dominata dal cloud computing, dall’AI e dall’analisi avanzata, può sembrare per lo meno anacronistico che molte organizzazioni facciano ancora affidamento ad architetture di dati costruite prima della fine del secolo.
Fortunatamente questo scenario sta subendo un cambiamento repentino con l’adozione di nuove tecnologie di integrazione dati, come la virtualizzazione dei dati, che forniscono un livello logico, in tempo reale e sicuro di accesso ai dati aziendali. Le diverse sorgenti dati non devono più essere trasferite fisicamente in un nuovo repositorio e trasformate, prima di essere utilizzate dall’azienda. E’ per questo che la virtualizzazione dei dati soddisfa le esigenze di trasformazione dell’architettura e permette la costruzione di un Data Fabric aziendale.
In questa sessione parleremo di:
-Cos'è la virtualizzazione dei dati;
- Come differisce da altre forme di integrazione a livello Enterprise;
- Casi d’uso della Virtualizzazione dei dati: Business Intelligence, Data Science, democratizzazione dei dati, Master Data Management, Dati distribuiti
- Perché la virtualizzazione dei dati si sta espandendo dentro le organizzazioni in Italia;
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
Al giorno d’oggi la scena dell’(in)sicurezza informatica, in particolar modo all’interno delle aziende e delle organizzazioni Italiane (PA, PMI, Enterprise, Corporate) è stata prepotentemente invasa dal tema APT. Bisogna realmente preoccuparsi di questo “nuovo” genere di minacce ? Sono davvero così diffuse e pericolose o sono di gran lunga sopravalutate, nella speranza che si crei un nuovo mercato artificiale in favore di qualche vendor ? Nel corso dell’intervento saranno riportate le esperienze, REALI, relative ad un anno di attività Security Assessment svolte all’interno delle aziende Italiane. In questo contesto si cercherà di sensibilizzare la platea relativamente alle minacce che costituiscono un pericolo concreto per la sicurezza delle aziende e delle organizzazioni Italiane.
Cyber Security Threats for Healthcare
Author: Pierguido Iezzi
Abstract: La digital evolution del mondo sanitario deve affrontare i vecchi e i nuovi rischi del Cybercrime. I nuovi cyberattack sono multidisciplinari e interdisciplinari. Una combinazione di Hardware Hacking associate a metodologie di Mobile & IOT Hack con phishing. Quali sono i rischi per il mondo Sanitario? Scopriamo insieme cosa ci aspetta il futuro prossimo per poter definire le corrette strategie di difesa e di gestione della CyberSecurity in ambito Healthcare.
https://www.swascan.com
Presentazione ufficiale della Software House Tirasa S.r.l.
Proponiamo una soluzione Identity & Access Management (IAM) già adottata con successo da diverse realtà aziendali e istituzionali italiane e straniere.
Security by design: la cyber security per un progetto innovativoI3P
La presentazione parla di sicurezza informatica, con un focus importante su rischi/opportunità per le startup che lavorano in ambito digital. Si esamina il contesto in cui ci troviamo attualmente, valutando le ragioni per cui la sicurezza informatica è importante, non solo a processo finito, ma già nell'implementazione del proprio progetto, e, sopratutto, quali potrebbero essere i danni causati da attacchi di questo tipo.
In più, si sfatano alcuni falsi miti che sono stati costruiti nel tempo attorno a questa tematica, facendo un po' di chiarezza sull'argomento, ed esaminando le principali problematiche e le soluzioni per prevenirle, che affliggono le applicazioni web e mobile.
Come creare infrastrutture Cloud SicureStefano Dindo
Il Cloud Computing è la tecnologia alla base della trasformazione digitale delle aziende.
Per questo motivo è essenziale per le aziende comprendere come progettare e realizzare Infrastrutture Cloud Sicure.
All'interno della presentazione sono trattati tutti gli aspetti da considerare per lo sviluppo di un'Infrastruttura Cloud sicura.
Gli argomenti trattati sono:
- Cancellazione dati utente
- Proprietà del dato salvato in cloud
- Fog Computing
- Access Control
- Monitoring
- Shared Responsabilità
- Cyber Attacks
- Lock-In & Portability
- Incident Management & Risk of Data Loss
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Luca_Moroni
Slide Luca Moroni per il Digital Security Festival 2022 sulla sicurezza informatica negli impianti industriali. Mercoledì 2 Novembre 2022
Si scrive Internet of Things “IoT” ma si deve leggere “consapevolezza” presso LEF Lean Experience Factory, Viale Comunali, 22 – Z.I.P.R. 33078 San Vito al Tagliamento (PN)
Similar to Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi (20)
Slides I published explaining OpenStack at the OpenSource conference in Milan 2016. Explain also how business processes are involved and explain OpenStack components
OpenStack Explained: Learn OpenStack architecture and the secret of a success...Giuseppe Paterno'
OpenStack can help your business in cutting costs and have a faster time to market. A lot of people are looking at OpenStack as an alternative to VMware and most of the vendors are trying to let you think that visualization is cloud. While Cloud implies a virtualized environment, virtualization is not a cloud.
This ebook will go through the concept of Cloud and help you understand the architecture of OpenStack and its benefits. It also explores DevOps and reveal the "secret ingredient" to have a successful cloud project.
This ebook was created to raise funds for the Nepalese population after the Earthquake in 2015.
OpenStack security is a huge topic. In these slides I presented at the OpenStack Day, I analyzed cloud security the network to the application layer, going through specific layers, some in common between OpenStack itself and the applications.
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiGiuseppe Paterno'
No matter if you are a lonely system administrator or the CTO of the largest carrier in the World, getting to know what’s out there is a jungle. Is VMware still the lead? I’ve heard about OpenStack, how mature is that? And what this “Ganeti” I’ve never heard of?
Well, here I am. Guess what, you’re not the only one asking these questions. I traveled most of Europe hearing world’s most famous enterprises, banks and telcos and also in contact with many vendors’ labs, from San Francisco to Munich.
In this presentation I just wish to give a quick overview of the state-of-the-art in the IaaS and virtualization world. This is not a sales or marketing presentation: no vaporware, just pure and real experience from the field.
Enjoy the slides and stay tuned on my twitter channel on @gpaterno
La gestione delle identità per il controllo delle frodi bancarieGiuseppe Paterno'
Che differenza c'e' tra una banca retail e un private banking in ambito frodi? Assistiamo a diversi fenomeni nel private banking come l'uso di device mobili (tablet, smartphone, ...) e l'aumento delle frodi dovute al fattore umano. Il mio intervento a Forum Banca 2013 descrive i rischi del private banking e come sono stati risolti. Presentazione in collaborazione con Banca Esperia, gruppo Mediobanca.
Cloud can provide great flexibility to IT, ensuring business continuity and optimizing costs. But what are the implications for IT security? Even big names such as IEEE, Apple and Samsung are among the victims of identity theft in the Cloud. If you choose to adopt virtual data center (IaaS) or on-line applications (SaaS), you shift the paradigm of security as it was conceived up to now. The presentation will examine the security implications of a Cloud infrastructure and possible remedies with practical examples.
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
1. Il problema dei furti di identità nelle
infrastrutture Cloud e possibili
rimedi
Giuseppe “Gippa” Paterno’
SMAU, 19 Ottobre 2012
Friday 19 October 12
2. La mia identità: Giuseppe “Gippa” Paternò
• Director Digital di GARL, la Banca Svizzera dietro il
servizio SecurePass
• EMEA technical manager di Canonical, la società
dietro Ubuntu.
• Ricercatore di sicurezza e opensource, membro di
sikurezza.org e appassionato del “Pinguino”
• Pilota “della domenica” di aerei
• Cuoco non professionista (Benedetta Parodi, ti sfido!!! :)
• Radioamatore con la passione per i “WiFi strani”: la mia
associazione ha il “world record” di 304km in WiFi!!!
Friday 19 October 12
3. Il Cloud, questo sconosciuto!
IaaS SaaS
PaaS ... e che CaaSino!
Friday 19 October 12
4. Cosa si intende per “Cloud”
Si intende un insieme di servizi, solitamente “affittati” da un service provider o
interni (per grosse aziende) che diano:
• Flessibilità: la possibilità di espandere o contrarre la propria infrastruttura a
seconda dei bisogni dell’IT.
• Resilienza: Alta affidabilità e disponibilità dei propri servizi IT, assicurando la
continuita’ di servizio
• Accessibilità: Servizi fruibili da qualsiasi punto del pianeta con una semplice
connessione ad Internet
• Ottimizzazione dei costi: si paga realmente quanto si usa la propria infrastruttura
IT, evitando gli sprechi.
Friday 19 October 12
5. Il Cloud: IaaS
• L’affitto di una infrastruttura virtuale presso
un service provider composta
principalmente da server virtuali e reti
virtuali
IaaS
= • Esempio: Amazon Web Services,
Moresi.Com, ecc....
Infrastructure as
• Rischio di sicurezza: esposizione del
a Service pannello di controllo a Internet e controllo
totale dell’infrastruttura da parte di un
attaccante
Friday 19 October 12
6. Il Cloud: SaaS
• L’affitto di un applicativo qualsiasi,
solitamente web-based, erogato in alta
affidabilita’ e accessibile dovunque
SaaS • Esempio: SalesForce.com, Office 360, ecc...
=
• Rischio di sicurezza: esposizione dei dati
Software as aziendali su Internet e data leaking da un
potenziale attaccante o concorrente
a Service
Friday 19 October 12
7. Il Cloud: PaaS
• L’affitto di un ambiente operativo che ospita il
PROPRIO applicativo. A differenza dello IaaS, il
PaaS non si occupa del sistema operativo, ma
di “operare” l’ambiente applicativo (linguaggi,
PaaS framework, database, ecc...)
= • Esempio: Microsoft Azure, Google App Engine,
Platform as CloudFoundry, ecc....
a Service • Rischio di sicurezza: esposizione del pannello
di controllo a Internet, controllo totale
dell’infrastruttura da parte di un attaccante,
esposizione dei dati aziendali su Internet e
data leaking da un potenziale attaccante o
concorrente
Friday 19 October 12
8. Complicazione: BYOD
• Yet another marketing buzzword :)
• BYOD = Bring Your Own Device
• Usare il proprio device “consumer”
all’interno della realta’ aziendale: iPad/
iPhone/Android/....
• Rischio di sicurezza: la perdita del device
comporta accesso a dati sensibili. Molte app
per iOS/Android hanno una “chiave statica”
che elimina la procedura di identificazione.
Friday 19 October 12
9. Le vittime famose del furto di identità
... e molti altri!
Friday 19 October 12
10. I furti di identità in cifre
milioni di vittime di furti di identità solamente negli USA
10 nel 2008 (Javelin Strategy and Research, 2009)
miliardi di dollari all’anno la perdita economica mondiale
221 relativa al furto di identità (Aberdeen Group)
ore di lavoro per correggere i problemi relativi ai furti di
5840 identità, ovvero l’equivalente di due anni di lavoro di una
persona (ITRC Aftermath Study, 2004).
milioni di dati compromessi tra le aziende e agenzie
35 governative nel solo 2008 (ITRC)
miliardi di euro di danni alle aziende nella sola Italia nel
2 2009(Ricerca ABI)
Friday 19 October 12
11. Il fattore umano, un esempio in aviazione
An organization can minimize its vulnerability to human
error and reduce its risks by implementing human
factors best practices [...] It contains guidance material
which [...] should help reduce the risks associated with
human error and human factors, and improve safety. It
[...] concentrates upon risk and error management
rather than risk and error elimination.
(EASA, JAR 145, Aviation Human Factors)
Friday 19 October 12
12. Il fattore umano nella sicurezza IT
•Il fattore umano è la causa primaria delle
intrusioni da parte di hacker, governi stranieri o
della concorrenza. Si possono suddividere in due
problemi principali:
•Password troppo facili
•Social Engineering
•Hope is not a strategy!
Friday 19 October 12
13. Best practices, quando non funzionano
• La più quotata probabilmente è la BS/ISO 17799, divenuta ISO 27001
• Molte delle best practices coprono la parte di accesso fisico e accesso di rete:
• non hanno più senso in un ambito Cloud
• possono essere di aiuto per selezionare il fornitore
• Ha senso la parte di controllo di accessi:
• identificazione sicura dell’utente (identity management)
• necessario controllare chi sta facendo cosa (auditing)
• permessi/diritti di accesso al singolo dato (policy management)
Friday 19 October 12
14. Rimedi ai furti di identità
Questo non è un
rimedio!
:-)
Friday 19 October 12
15. Rimedi ai furti di identità
... e neanche
questo
;-)
Friday 19 October 12
16. Rimedi ai furti di identità
La sicurezza deve essere semplice e
trasparente, altrimenti nessuno le
implementa!
• Autenticazione forte (strong autentication)
• Riconoscere da quali paesi l’utente si sta collegando
(GeoIP)
• Patch, patch e patch!
• Programmazione sicura degli applicativi
Friday 19 October 12
17. Intranet vs the Cloud and Trusted third party
• Nel mondo “tradizionale” il ruolo di identity
management, auditing e policy è affidato
tipicamente a Microsoft Active Directory
• AD non è stato ideato per un ambito Cloud
distribuito “al di fuori dei confini” della propria
azienda
• E’ necessario un sistema di identity management
distribuito con strong autentication che “funga”
da Microsoft Active Directory per gli ambienti
Cloud che sia in grado di ridurre gli “errori
umani” tramite strong authentication e che sia
affidato a una terza parte di fiducia
Friday 19 October 12
18. Un possibile rimedio:
• SecurePass è un sistema di Unified Secure Access per gli ambienti
Cloud, web applications e devices di sicurezza
• Strong authentication, tramite token hardware o su dispositivi
mobili (iOS/Android/BlackBerry)
• Identity Management, contiene informazioni sul proprio
personale
• Web seamless Single Sign-On, per semplificare l’accesso agli
utenti
• Basato su protocolli aperti: LDAP, RADIUS e CAS
• Facile da integrare, in pochi minuti e’ possibile proteggere
infrastrutture e applicazioni
• Garantito da una Banca Svizzera
Friday 19 October 12
19. Esempio: Moresi.com
• Hosting/housing provider Svizzero con due
data centers in continua espansione. Sta
spostando il focus da housing “tradizionale”
a provider Cloud IaaS
• Clienti selezionati, tra le quali banche (DR) e
grossi clienti internazionali
• Ogni cliente ha un accesso al proprio
vDatacenter che puo’ orchestrare a
piacimento
• Obiettivo: fornire un accesso sicuro ai propri
virtual datacenters
Friday 19 October 12
21. Esempio: Assicurazione multinazionale
• La seconda piu’ grande assicurazione
mutinazionale, 48 aziende nel mondo,
ognuna con il proprio consiglio di
amministrazione e direttore generale
• Tutti i membri del consiglio di
amministrazione accedono a documenti
riservati attraverso vari dispositivi (laptop,
tablet, smartphone) con alto rischio di furto
di dati
• Obiettivo: fornire un accesso sicuro ai
documenti riservati ai membri del consiglio
di amministrazione ed evitare fughe i
informazioni
Friday 19 October 12
22. Esempio: Azienda settore automobilistico
• Una delle prime 5 aziende del settore
automobilistico con120.000 postazioni di
lavoro
• Avevano bisogno di risolvere i problemi di
sicurezza legati al BYOD (Bring Your Own
Devices) da parte dei propri impiegati e
direttori
• Obiettivo: fornire un accesso aziendale
sicuro dai tablet e smartphone attraverso
SSL VPN e portali disegnati ad-hoc
Friday 19 October 12
23. Q&A
Giuseppe Paternò
gpaterno@gpaterno.com
gpaterno@garl.ch
Web sites:
www.gpaterno.com
www.secure-pass.net
Twitter: @gpaterno
Friday 19 October 12