Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
A Máquina de estampar é um componente que permite as empresas a realizarem personalizações nos mais variados tipos de produtos.
http://www.midiasprintprotransfer.com.br/maquina-de-estampar-vila-ofugi-narandiba-vila-barragem-santa-lucia-capuava-residencial-prive-zona-industrial-alphaville-ii-vila-mutirao-ii-condominio-imperio-dos-nobres-sobradinho
SALVATION ACADEMY HOME HEALTH functions as a Licensed Home Health and Community Support agency providing multi-disciplinary companion care, short and long term care on an intermittent part-time and full-time basis to patients of all ages, to include children, young adult and geriatric patients.
Services provided directly include: Skilled Nursing, Physical Therapy, Speech Therapy, and Occupational Therapy, Intravenous Therapy, and Medical Social Worker services, Psychiatric Services, Nutritional Services, Home Health Aide Services and Companion
We @ Five Splash have been working on to create and leave long lasting impact on the society comprising of people from bottom of the pyramid, unfortunately the bigger chunk. Read more.
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
A Máquina de estampar é um componente que permite as empresas a realizarem personalizações nos mais variados tipos de produtos.
http://www.midiasprintprotransfer.com.br/maquina-de-estampar-vila-ofugi-narandiba-vila-barragem-santa-lucia-capuava-residencial-prive-zona-industrial-alphaville-ii-vila-mutirao-ii-condominio-imperio-dos-nobres-sobradinho
SALVATION ACADEMY HOME HEALTH functions as a Licensed Home Health and Community Support agency providing multi-disciplinary companion care, short and long term care on an intermittent part-time and full-time basis to patients of all ages, to include children, young adult and geriatric patients.
Services provided directly include: Skilled Nursing, Physical Therapy, Speech Therapy, and Occupational Therapy, Intravenous Therapy, and Medical Social Worker services, Psychiatric Services, Nutritional Services, Home Health Aide Services and Companion
We @ Five Splash have been working on to create and leave long lasting impact on the society comprising of people from bottom of the pyramid, unfortunately the bigger chunk. Read more.
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
Aggiornamento sulle attività nazionali per schemi di certificazione dei professionisti che operano nell'ambito della protezione dei dati personali e delle organizzazioni in base al nuovo Regolamento UE 2016/679.
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Intervento a cura di Andrea Ceresoni, Responsabile Cybersecurity, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione.
A seguire intervento di Stefano Orciari (Reply).
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
Presentazione tenuta all'ICT Security Forum 2013 concernente le minacce ai dati sensibili aziendali e alcune possibili strategie di protezione che cercano di superare i limiti delle soluzioni tecnologiche ormai consolidate.
1. 04/02/16 Mario Dal Co 1
Framework per la Cybersecurity (*)
Mario Dal Co
*) Questa presentazione segue lo schema offerto dal NIST in Cybersecurity GFRamework.
Overview of NIST Security Guidelines, CS684 IT Security Policies & Procedures, e alcuni
approfodnimenti contenuti in Tuan Phan Introduction to NIST Cybersecurity Framework, August
2014.
Si tiene anche conto delle caratteristiche proprie dell'Italian Cyber Security Report. Un Framework
Nazionale per la Cyber Security, del Research Center of Cyber Intelligence and Information
Security dell'Università La Sapienza di Roma (CIS Sapienza), del Laboratorio Nazionale CINI di
Cyber Security Consorzio Interuniversitario Nazionale per l'Informatica.
Anche l'uso dei colori corrisponde ai codici adottati dal NIST.
2. Il Framework
Mario Dal Co04/02/16 2
Il cybersecurity Framework è uno strumento mirato a ridurre il rischio cyber in
modo sistemico (cioè a livello di sistema economico complessivo) attivando la
capacità di gestire il rischio ai diversi livelli.
Il Framework è strumento di collaborazione pubblico-privato avanzato, dinamico
e flessibile. Si basa su una adozione volontaria delle guidelines proposte,
fondate su 98 regole che si riferiscono all'adozione di procedure e di standard di
sicurezza di tipo tecnologico e organizzativo.
Il Framework si rivolge a settori e realtà istituzionali diverse, dal settore pubblico,
alle grandi aziende, alle utilities (infrastrutture tecnologiche in particolare), anche
alle PMI.
Il Framework offre linee guida per migliorare la capacità di gestire il rischio,
promuove l'innovazione e lo sviluppo delle competenze professionali.
3. quadro di riferimento per la cybersecurity
Mario Dal Co04/02/16 3
Il quadro di riferimento è volontario e
coinvolge sia il privato sia il pubblicosoggetti
Standard e best practicesstrumenti
Gestire i rischi cyberprocessi
Proteggere la privacy e le libertà civilieffetti
4. Componenti del Framework
Mario Dal Co04/02/16 4
nucleo
livelli di implementazione
profili
Il nucleo è costituito da 5 classi di attività o funzioni che
devono integrarsi in modo sequenziale e recursivo per
identificare, gestire e reagire ai rischi e agli attacchi cyber.
L'implementazione della gestione del rischio avviene direttamente o
all'interno di piani di attività controllati e gestiti internamente e con risorse
esterne.
Il grado di maturità dell'organizzazione e la consapevolezza del rischio attivano
procedure via via più affidabili e controllate.
Il nucleo è costituito da 5 classi di attività o funzioni che
devono integrarsi in modo sequenziale e recursivo per
identificare, gestire e reagire ai rischi e agli attacchi cyber.
5. nucleo
Mario Dal Co04/02/16 5
nucleo
Attività, risultati e referenze
applicabili
Standard industriali, linee guida
e pratiche
5 funzioni concorrenti
e continue
identificare proteggere indagare reagire riparare
6. Funzioni concorrenti
Mario Dal Co04/02/16 6
identificare
proteggere
indagare
reagire
riparare
Capire come si gestisce l'esposizione al rischio
dei sistemi, delle risorse, dei dati, delle
competenze
Tutelare il funzionamento dei servizi erogati dalle
infrastrutture critiche, dalle aziende, dalle
pubbliche amministrazioni
Identificare l'evento che rompe la sicurezza cyber
Agire inconseguenza dell'evento critico relativo
alla sicurezza cyber
l
Mantenere piani per rendere resiliente il
sistema attaccato
l
Riparare i danni e l'erogazione dei servizi
nucleo
ID
PR
DE
RS
RC
7. Identificare (ID)
Mario Dal Co04/02/16 7
Gestione del patrimonio e dei beni
immateriali
Ambiente delle attività esterno ed
interno all'azienda (Business
Environment)
Governance
Valutazione del rischio (Risk
Assessment)
Strategia di gestione del rischio
(Risk Management Strategy)
ID.AM
ID.BE
ID.GV
ID.RA
ID.RM
Identificare (ID)
nucleo
8. Proteggere (PR)
Mario Dal Co04/02/16 8
Controllo Accessi (Access Control)
Consapevolezza e formazione
(Awareness & Training)
Sicurezza dei Dati (Data Security)
Processi e procedure per la
protezione delle informazioni
Manutenzione
PR.AC
PR.AT
PR.DS
PR.IP
PR.MA
Proteggere (PR)
Tecnologia di
protezione(Protective Technology)PR.PT
nucleo
9. Indagare (DE)
Mario Dal Co04/02/16 9
Anomalie ed eventi
Monitoraggio continuo della
sicurezza
Processi di indagine
DE.AE
DE.CM
DE.CM
Indagare (DE)
nucleo
10. Reagire (RS)
Mario Dal Co04/02/16 1
Pianificazione della reazione
(Response Planning)
Comunicazioni
Analisi
RS.RP
RS.CO
RS.ANReagire (RS)
Attenuazione (Mitigation)
RS.MI
Miglioramento (Improvements)
RS.IM
nucleo
11. Riparare (RC)
Mario Dal Co04/02/16 11
Pianificazione della riparazione
(Recovery Planning)
Comunicazioni
RC.RP
RC.IM
RC.CO
Riparare (RC)
Miglioramento (Improvements)
nucleo
12. Livelli di implementazione
Mario Dal Co04/02/16 1
componenti
Processo di gestione del rischio
Collaborazioni esterne
Programma di gestione integrata del
rischio
13. Livelli di implementazione
Mario Dal Co04/02/16 13
Parziale
Replicabile
Consapevole
del rischio
livelli di implementazione
Adattivo
Reattivo e non
formalizzato
Politiche approvate e
aggiornate
sistematicamente
Procedure approvate,
senza essere oggetto di
una policy sistematica
Miglioramento continuo
Processo di
gestione del
rischio
Collaborazioni
esterne
Programma di gestione
integrata del rischio
• Consapevolezza limitata
• Gestione irregolare
• Informazioni private
• Consapevolezza limitata
• Gestione irregolare
• Informazioni private
• Approccio organizzativo
• Processi e procedure definiti
implementati e controllati
• Conoscenze e capacità
• Consapevolezza del rischio
• Gestione con processi e procedure
informati
• Risorse adeguate
• Condivisione interna
Assenza di
collaborazioni
Definite per collaborare
e condividere le
informazioni
Non definite per
interagire e condividere
informazioni
In continua condivisione
delle informazioni
14. Profili
Mario Dal Co04/02/16 14
Stabilire un percorso per ridurre il rischio, allineandolo con
obiettivi organizzativi e settoriali
Piano di azione per indirizzare la riduzione dei gap
Descrivere lo stato degli eventi di rischio presenti e quelli
attesi
Miglioramento continuo
Allineamento al Framework in termini di risorse e di livello di
rischio tollerato
implementazione
15. La sequenza del programma
Mario Dal Co04/02/16 15
1. Scopo e
priorità del piano
2. orientare il
piano di lavoro
3. creare il profilo
attuale di rischio
4. valutazione
del rischio5. creare un
profilo di rischio
obiettivo
6. Determinare,
analizzare e
valutare le priorità
dei gap da riempire
7. implementazione
del piano di azione
identificare proteggere indagare reagire
Legenda
: