SlideShare a Scribd company logo

Marco Bozzetti AIPSI - SMAU Milano 2017

SMAU
SMAU

Gli attacchi agli applicativi informatici: lo stato dell'arte in Italia alla luce dello specifico Rapporto OAD 2017

Engineering
1 of 36
Download to read offline
+ Gli attacchi informatici agli applicativi Marco R. A. Bozzetti Presidente AIPSI, Capitolo Italiano ISSA CEO Malabo Srl Ideatore e realizzatore OAD
Gli attacchi informatici agli applicativi: La situazione dal “Rapporto OAD 2017 sugli Attacchi agli Applicativi in Italia” e considerazioni su come prevenire e contrastare tali attacchi 2 Siamo sempre a rischio attacchi ..
AIPSI - www.aipsi.org (www.aipsi.org)• AIPSI, Associazione Italiana Professionisti Sicurezza Informatica, capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org) che conta >>10.000 Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT nel mondo • AIPSI è il punto di aggregazione sul territorio e di trasferimento di know- how per i professionisti della sicurezza digitale, sia dipendenti sia liberi professionisti ed imprenditori del settore • Sede Centrale: Milano • Sedi territoriali : Ancona-Macerata, Lecce, Torino, Verona-Venezia • Contatti: aipsi@aipsi.org, segreteria@aipsi.org 3
Primari obiettivi AIPSI • Aiutare i propri Soci nella crescita professionale e quindi nella crescita del loro business • offrire ai propri Soci servizi qualificati per tale crescita, che includono • Convegni, workshop, webinar sia a livello nazionale che internazionale via ISSA • Rapporti annuali e specifici OAD, Osservatorio attacchi Digitali in Italia • Supporto nell’intero ciclo di vita professionale • Formazione specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-1:2016, in Italia UNI 11506) • Rapporti con altri soci a livello nazionale (AIPSI) ed internazionali (ISSA) • Contribuire alla diffusione della cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali • Collaborazione con varie Associazioni ed Enti per eventi ed iniziative congiunte: AICA, Assintel, Assolombarda, Anorc, CSA Italy, FidaInform, FTI, Inforav, Polizia Postale, Smau, i vari ClubTI sul territorio, ecc. 4
OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)  Che cosa è  Indagine via web sugli attacchi digitali intenzionali ai sistemi informatici in Italia  Obiettivi iniziativa  Fornire informazioni sulla reale situazione degli attacchi digitali in Italia  Contribuire alla creazione di una cultura della sicurezza informatica in Italia, sensibilizzando in particolare i vertici delle aziende/enti ed i decisori sulla sicurezza informatica  Che cosa fa  Indagine generale annuale e specifiche su argomenti caldi, condotte attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende  Come  Rigore, trasparenza, correttezza, assoluta indipendenza (anche dagli Sponsor)  Rigoroso anonimato per i rispondenti ai questionari  Collaborazione con numerose Associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 5 Tutti i Rapporti OAD ( e OAI) pubblicati dal 2008 ad oggi sono scaricabili gratuitamente da https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/precedenti-rapporti-oad-oai.html
I Rapporti OAD (ed OAI) 6 • Tutti i Rapporti OAD ( e OAI) pubblicati dal 2008 ad oggi sono scaricabili gratuitamente da • https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/precedenti- rapporti-oad-oai.html • AIPSI sta organizzando l’edizione OAD 2018: • Proposta sponsorizzazione: • https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/proposta- sponsorizzazione-oad-2017.html • Appena disponibile (dicembre 2017) troverete sul sito AIPSI il link al Questionario OAD 2018: • COMPILATELO • PASSATE PAROLA ad altri possibili rispondenti
Rapporto 2017 OAD AA 7
Dr. Ing. Marco R. A. Bozzetti e Malabo Srl • Presidente AIPSI e CEO Malabo Srl, con la quale ha condotto e conduce interventi consulenziali presso aziende ed enti lato sia offerta sia domanda ICT. • Ha operato con responsabilità crescenti presso primarie imprese di produzione, quali Olivetti ed Italtel, e di consulenza, quali Arthur Andersen Management Consultant e Gea/Gealab, oltre ad essere stato il primo responsabile dei sistemi informativi (CIO) dell’intero Gruppo ENI (1995-2000). • Nella seconda metà degli anni 70 è stato uno dei primi ricercatori a livello mondiale ad occuparsi di internetworking, partecipando alla standardizzazione dei protocolli del modello OSI dell’ISO • È certificato ITIL v3 ed EUCIP Professional Certificate “Security Adviser” e Commissario d’Esame per le certificazioni eCF (EN 16234 - UNI 11506). • Ha pubblicato articoli e libri sull’evoluzione tecnologica, la sicurezza digitale, gli scenari e gli impatti dell’ICT. • Malabo Srl è stata creata da M. Bozzetti nel 2001, ed è una società di consulenza direzionale per l’ICT, che opera per Clienti lato domanda e lato offerta basandosi su una consolidata rete di esperti e di società ultra specializzate. • Obiettivo primario degli interventi di Malabo è di creare valore misurabile per il Cliente, bilanciando adeguatamente gli aspetti tecnici con quelli organizzativi nello specifico contesto del Cliente • Dispone di un proprio e storage condiviso, collegati con switch a 10 G e connessi ad internet con fibra ottica a 100 Mbps, oltre ad uno spazio in cloud (IaaS) • Per garantire un effettivo trasferimento di know-how, fornisce come servizio ai Clienti le proprie metodologie e gli strumenti informatici usati nell’intervento consulenziale • https://www.malaboadvisoring.it/
Vulnerabilità e Attacchi 9
L’ attuale contesto: sicurezza vo cercando …. Social network Consumerizzazione Ambiente personale Ambiente lavoro Servizi ICT in cloud e/o terziarizzati Sistemi informativi aziendali e delle PA Fisso + mobile Internet DCS VDS, PLC, A/D Conv. 10
▪ Vulnerabilità ▪ Elemento di debolezza sfruttabile per una minaccia ▪ Minaccia: ▪ una possibile fonte di danni ▪ Rischio: ▪ possibilità che una minaccia si verifichi ▪ Attacco: ▪ effettivo manifestarsi di un rischio ▪ Controllo: ▪ misura capace di eliminare o limitare il rischio di una minaccia La catena logica 11
Vulnerabilità causa delle minacce Tutte si basano sulle vulnerabilità tecniche e/o umane-organizzative • Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni) • siti web e piattaforme collaborative • Smartphone e tablette  mobilità  >>14.000 malware • Posta elettronica  spamming e phishing • Piattaforme e sistemi virtualizzati • Terziarizzazione e Cloud (XaaS) • Circa il 40% o più delle vulnerabilità non ha patch di correzione • Vulnerabilità delle persone • Social Engineering e phishing • Utilizzo dei social network, anche a livello aziendale • Vulnerabilità organizzative • Mancanza o non utilizzo procedure organizzative • Insufficiente o non utilizzo degli standard e delle best practices • Mancanza di formazione e sensibilizzazione • Mancanza di controlli e monitoraggi sistematici • Analisi dei rischi mancante o difettosa • Non efficace controllo dei fornitoriù • Limitata o mancante SoD, Separation of Duties 12
Gli attacchi intenzionali agli applicativi dipendono da vulnerabilità dei sistemi ICT e degli esseri umani:  Degli applicativi  Dei software di base - middleware  Delle configurazioni e dei settaggi delle opzioni  Delle architetture ICT  Del comportamento degli utenti finali e degli amministratori di sistema 13
La crescita del ransomware a livello mondiale Fonte: TrendMicro • WannaCry • PetyaCome mai? Mancanza degli elementi di base della sicurezza digitale: • Aggiornamenti e patch • Sistematico e completo back- up 14
Attacchi 2014-16 per vulnerabilità tech a livello mondiale per tipo e durata Fonte: IBM Xforce, marzo 2017 15
CVE: vulnerabilità indipendenti/prodotto Nome del prodotto Azienda Tipo prodotto Numero vulnerabilità individuate 1 Mac Os X Apple OS 1820 2 Linux Kernel Linux OS 1815 3 Firefox Mozilla Application 1437 4 Chrome Google Application 1425 5 Iphone Os Apple OS 1176 6 Flash Player Adobe Application 1013 7 Debian Linux Debian OS 1003 8 Android Google OS 884 9 Windows Server 2008 Microsoft OS 846 10 Safari Apple Application 841 11 Internet Explorer Microsoft Application 840 12 Ubuntu Linux Canonical OS 839 13 Windows Vista Microsoft OS 814 14 Opensuse Novell OS 785 15 Acrobat Adobe Application 781 16 Windows Xp Microsoft OS 726 17 Windows 7 Microsoft OS 708 18 Thunderbird Mozilla Application 703 19 Seamonkey Mozilla Application 698 20 Mac Os X Server Apple OS 641 16 Fonte: DB CVE (aprile 2017) 16
Vendor Name Number of Products Number of Vulnerabilities #Vulnerabilities/#Products 1 Microsoft 425 4977 12 2 Oracle 439 4356 10 3 Apple 115 3810 33 4 IBM 828 3311 4 5 Cisco 1706 2942 2 6 Google 56 2508 45 7 Adobe 119 2284 19 8 Linux 15 1904 127 9 Mozilla 21 1716 82 10 SUN 204 1630 8 11 Redhat 229 1549 7 12 Novell 118 1514 13 13 HP 2031 1410 1 14 Debian 87 1128 13 15 Canonical 21 850 40 16 Apache 137 783 6 17 PHP 20 561 28 18 GNU 91 479 5 19 Wireshark 1 441 441 20 Symantec 212 439 2 21 Fedoraproject 11 438 40 22 Suse 63 423 7 23 EMC 176 356 2 24 Freebsd 9 341 38 25 Moodle 1 340 340 26 SAP 138 339 2 27 Joomla 162 336 2 28 Drupal 137 313 2 29 Wordpress 57 303 5 30 Vmware 81 266 3 31 Mysql 8 261 33 32 Openbsd 7 256 37 33 SGI 17 254 15 34 Ffmpeg 3 243 81 35 Mcafee 111 241 2 36 Opera 7 240 34 37 Imagemagick 3 235 78 38 Phpmyadmin 1 234 234 39 Siemens 460 221 0 40 Huawei 589 220 0 41 XEN 4 219 55 42 CA 183 218 1 43 Realnetworks 26 206 8 44 Qemu 1 192 192 45 Typo3 76 190 3 46 Juniper 113 188 2 47 Citrix 78 186 2 48 Openssl 2 181 91 49 BEA 11 172 16 50 Openstack 42 171 4 SAP  26 138 prodotti 2 vuln/prodotto 339 vulnerabilità Fonte: DB CVE Top 50 Vendors By Total Number Of "Distinct" Vulnerabilities Esempio: le vulnerabilità di SAP dal DB CVE 17
Top SAP attacks (2013-2016)  October 30, 2012: Attack via an SAP vulnerability on Greek Ministry of Finance  November 2013: first SAP Malware for online banking accounts  2013 (discovered in 2014, or 2015 ??): attack on USIS, a federal contractor that provides background checks for DHS, exploiting a vulnerability in SAP software  January 2014: NVidia customer service website was attacked via a vulnerability in SAP NetWeaver.  May 2016: US-CERT Alert about attacks on 36 SAP systems Fonti: ERPScan,CSO 18
Top Ten Vulnerabilità 2017 web OWASP (OWASP)bilità 2017 applicazioni web OWASP (Open Web Application Security Project)  Injection  Broken Authentication and Session Management  Cross-Site Scripting (XSS)  Broken Access Control  Security Misconfiguration  Sensitive Data Exposure  Insufficient Attack Protection  Cross-Site Request Forgery (CSRF)  Using Components with Known Vulnerabilities  Underprotected APIs Fonte: OWASP, Open Web Application Security Project 19
Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT INTERNET Data Center Cloud PC SMART PHONE TABLET, IoT Client ERP Browser ATTACCO ATTACCO ATTACCO ATTACCO ATTACCO ATTACCO App ERP Browser ATTACCO ATTACCO ERP
OAD 2016: ripartizione % per tipologia di attacco 78,4% 71,9% 34,0% 29,4% 29,4% 27,5% 19,6% 15,7% 15,7% 14,4% 13,7% 11,1% 9,8% 9,2% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% Malware Social Eng. Furto disp. Saturaz. risorse Ricatti ICT Sfrut. vulnerabilità Attacchi reti Acc. non aut. Sis. Attacchi sic. fisica Acc. non aut. Programmi Furto info da PdL mobili Acc. non aut. Dati APT e TA Furto info da risorse fisse % rispondenti © OAD 2016 Sempre ai primi 4 posti nelle 6 edizioni OAI-OAD 21
OAD 2016: attacchi più temuti 4,2% 7,6% 15,1% 16,0% 16,8% 21,0% 25,2% 26,1% 27,7% 34,5% 37,0% 44,5% 54,6% 73,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% Attacco fisico TA e APT Furto apparati ICT Furto di informazioni da dispositivi fissi Accesso a e uso non autorizzato dei programmi software (2° Livello) Accesso a e uso non autorizzato dei dati trattati (3° Livello) Accesso a e uso non autorizzato dei sistemi (host - 1° Livello) Saturazione risorse ICT Attacchi alle reti e ai DNS Furto di informazioni da dispositivi mobili Sfruttamento vulnerabilità del codice software Ricatti sulla continuità operativa Attacchi di Social Engineering, incluso il Phishing Codici maligni (malware) % rispondenti© OAD 2016 22
Attacchi agli applicativi da OAD 2017 AA 23
57,7% 42,3% 53,1% 46,9% 0,0% 10,0%20,0%30,0%40,0%50,0%60,0%70,0% Non si sono rilevati attacchi specifici agli applicativi Si sono rilevati attacchi specifici agli applicativi % rispondenti Attacchiagliapplicativi 2015 2016 © OAD 2017 OAD AA 2017: Attacchi agli applicativi rilevati 24
OAD AA 2017: causati dalle vulnerabilità sw 37,7% 48,5% 13,8% 36,2% 49,2% 14,6% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% SI NO Non lo so %rispondenti Attacchi applicativi causati da vulnerabilità delle infrstrutture ICT, del software di base, del middleware sulle quali si poggia l'applicazione attaccata 2016 2015 Motivazione più alta in % 25
OAD AA 2017: causati da vulnerabilità del codice 25,4% 58,5% 16,2% 25,4% 57,7% 16,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% SI NO Non lo so %rispondenti Attacchi dovuti a vulnerabilità del codiceapplicativo 2016 2015© OAD 2017 26
OAD AA 2017: Attacchi da ident.-auten.-controllo accessi 20,8% 65,4% 13,8% 20,8% 62,3% 16,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% SI NO Non lo so %rispondenti Attacchi subiti per vulnerabilità dei sistemi di identificazione, autenticazionee controllo degli accessi 2016 2015 © OAD 2017 27
OAD AA 2017: Misure per gli applicativi (risposte multiple)  Centralizzazione IAM e Controllo Accessi  84%  Classificazione delle applicazioni per la criticità dei dati trattati  70 %  Test tecnici e sicurezza intrinseca applicazione  69%  Penetration test  55% 28
Alcune considerazioni su come prevenire e contrastare gli attacchi agli applicativi 29
Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT INTERNET Data Center Cloud PC SMART PHONE TABLET, IoT Client ERP Browser Proteggere Proteggere Proteggere Proteggere Proteggere Proteggere App ERP Browser Proteggere Proteggere ERP
I principali strumenti di difesa  di prevenzione e protezione  Crittografia, Stenografia  Periodiche analisi del rischio vs processi ed organizzazione  Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi antintrusione, UPS, anti-incendio, fumo, gas …  Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, …  Identificazione: user-id + pwd, token, biometria  autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di dominio (LDAP, Active Directory, ..), SSO, controlli federati, PKI e certificati digitali, …  Analisi comportamentale nodi ed utenti  Correlazione ed analisis eventi  Sicurezza intrinseca sw (check list, code inspection, ..) e anti-malware (antivirus, antispyware, …)  Architetture hw e sw in alta affidabilità  di ripristino  Back-up  Disaster Recovery  di gestione  Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software ( licenze)  Organizzativa: formazione e addestramento, operation (ITIL v3), help-desk/contact center, ERT, .. 31
Back to the basic  Classificazione dei dati critici, che includono quelli personali  GDPR  Analisi dei rischi  Bilanciamento tra le diverse misure tecniche di sicurezza  Aggiornamento software di base ed applicativo  Misure di Back-up e ripristino  Misure organizzative 32
 GDPR, General Data Protection Regulation: EU Regulation 2016/679  http://eur-lex.europa.eu/legal- content/IT/TXT/HTML/?uri=CELEX:32016R0679  Emanato dalla Commissione Europea, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno  GDPR è il nuovo regolamento europeo sulla privacy, e sostituisce la precedente norma europea sulla privacy, la Direttiva 95/46/EC  GDPR dovrà essere applicato ed operativo dal 25 maggio 2018  Come Regolamento Europeo, gli Stati membri non possono prorogarne la scadenza Un aiuto dal GDPR 33
 GDPR andrà a sostituire e di fatto abrogherà per l’Italia il Codice Unico sulla privacy, il D.Lgs. 196/2003 attualmente in vigore.  Il GDPR in linea di massima non differisce molto, a livello operativo, dal vigente codice unico , ma in taluni casi meglio specifica alcuni concetti ed in altri richiede specifiche misure (nel seguito approfondite).  Con la Direttiva UE 2016/680, in aggiunta al GDPR, sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale .  L’elemento di maggior impatto è dato dalle nuove pesanti sanzioni economiche:  una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 del GDPR  una multa fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6 del GDPR GDPR: le conseguenze dal 25/5/2018 34
1. La sicurezza assoluta non esiste 2. La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al ripristino 3. Il peggior nemico: la “falsa” sicurezza 4. La sicurezza è un processo continuo, sia per la parte tecnica che per la parte organizzativa 5. La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi processi, i suoi sistemi, la sua organizzazione, la sua cultura 6. Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è fatto  compliance normative vigenti: privacy, safety, quality, ecc. 7. Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio 8. Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente 9. La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza devono essere automatizzati 10. La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve quindi essere “ben bilanciata” tra le varie misure e strumenti I 10 comandamenti per la sicurezza digitale 35
Riferimenti m.bozzetti@aipsi.org www.aipsi.org www.issa.org www.malaboadvisoring.it 36

Recommended

Digital Native Enterprise: Disrupt to Transform, Transform to Succeed
Digital Native Enterprise: Disrupt to Transform, Transform to SucceedDigital Native Enterprise: Disrupt to Transform, Transform to Succeed
Digital Native Enterprise: Disrupt to Transform, Transform to Succeed
IDC Italy
 
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
IDC Italy
 
Innovare alla velocità del cloud: la rivoluzione multicloud
Innovare alla velocità del cloud: la rivoluzione multicloudInnovare alla velocità del cloud: la rivoluzione multicloud
Innovare alla velocità del cloud: la rivoluzione multicloud
IDC Italy
 
Il nuovo data center, un’infrastruttura digitale agile e distribuita
Il nuovo data center, un’infrastruttura digitale agile e distribuitaIl nuovo data center, un’infrastruttura digitale agile e distribuita
Il nuovo data center, un’infrastruttura digitale agile e distribuita
IDC Italy
 
Sogno di una fabbrica digitale
Sogno di una fabbrica digitaleSogno di una fabbrica digitale
Sogno di una fabbrica digitale
IDC Italy
 
Enterprise Mobility Blends Next-Gen Technologies
Enterprise Mobility Blends Next-Gen TechnologiesEnterprise Mobility Blends Next-Gen Technologies
Enterprise Mobility Blends Next-Gen Technologies
IDC Italy
 
Mobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset ShiftMobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset Shift
IDC Italy
 
Adattare l'organizzazione IT alla trasformazione digitale
Adattare l'organizzazione IT alla trasformazione digitaleAdattare l'organizzazione IT alla trasformazione digitale
Adattare l'organizzazione IT alla trasformazione digitale
IDC Italy
 

Recommended

Digital Native Enterprise: Disrupt to Transform, Transform to Succeed
Digital Native Enterprise: Disrupt to Transform, Transform to SucceedDigital Native Enterprise: Disrupt to Transform, Transform to Succeed
Digital Native Enterprise: Disrupt to Transform, Transform to Succeed
IDC Italy
 
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
Il mercato ICT e l’evoluzione digitale in Italia. I risultati della ricerca I...
IDC Italy
 
Innovare alla velocità del cloud: la rivoluzione multicloud
Innovare alla velocità del cloud: la rivoluzione multicloudInnovare alla velocità del cloud: la rivoluzione multicloud
Innovare alla velocità del cloud: la rivoluzione multicloud
IDC Italy
 
Il nuovo data center, un’infrastruttura digitale agile e distribuita
Il nuovo data center, un’infrastruttura digitale agile e distribuitaIl nuovo data center, un’infrastruttura digitale agile e distribuita
Il nuovo data center, un’infrastruttura digitale agile e distribuita
IDC Italy
 
Sogno di una fabbrica digitale
Sogno di una fabbrica digitaleSogno di una fabbrica digitale
Sogno di una fabbrica digitale
IDC Italy
 
Enterprise Mobility Blends Next-Gen Technologies
Enterprise Mobility Blends Next-Gen TechnologiesEnterprise Mobility Blends Next-Gen Technologies
Enterprise Mobility Blends Next-Gen Technologies
IDC Italy
 
Mobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset ShiftMobile Strategy in Digital Environment: the Mindset Shift
Mobile Strategy in Digital Environment: the Mindset Shift
IDC Italy
 
Adattare l'organizzazione IT alla trasformazione digitale
Adattare l'organizzazione IT alla trasformazione digitaleAdattare l'organizzazione IT alla trasformazione digitale
Adattare l'organizzazione IT alla trasformazione digitale
IDC Italy
 
assintel report 2018
assintel report 2018assintel report 2018
assintel report 2018
Marco Turolla
 
Digitalisation Now
Digitalisation NowDigitalisation Now
Digitalisation Now
IDC Italy
 
Digital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, HybridDigital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, Hybrid
IDC Italy
 
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Italy
 
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitaleSuperare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
IDC Italy
 
Mobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in aziendaMobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in azienda
IDC Italy
 
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital LifeThe Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
IDC Italy
 
Data Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendaliData Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendali
Denodo
 
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
Gianluca Marzulli
 
La nuova onda della Digital Innovation
La nuova onda della Digital InnovationLa nuova onda della Digital Innovation
La nuova onda della Digital Innovation
Innocenti Andrea
 
Printing Evolution for Business Transformation
Printing Evolution for Business TransformationPrinting Evolution for Business Transformation
Printing Evolution for Business Transformation
IDC Italy
 
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the artAlberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Cultura Digitale
 
Controllo e Misura #3
Controllo e Misura #3Controllo e Misura #3
Controllo e Misura #3Giuseppe Ieva
 
Infrastructure for the Third Platform
Infrastructure for the Third PlatformInfrastructure for the Third Platform
Infrastructure for the Third Platform
IDC Italy
 
Difendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personaliDifendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personali
Accenture Italia
 
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
IDC Italy
 
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
Accenture Italia
 
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra impreseLa trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
Fondazione CUOA
 
IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015
IDC Italy
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
SMAU
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)
SMAU
 

More Related Content

What's hot

assintel report 2018
assintel report 2018assintel report 2018
assintel report 2018
Marco Turolla
 
Digitalisation Now
Digitalisation NowDigitalisation Now
Digitalisation Now
IDC Italy
 
Digital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, HybridDigital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, Hybrid
IDC Italy
 
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Italy
 
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitaleSuperare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
IDC Italy
 
Mobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in aziendaMobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in azienda
IDC Italy
 
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital LifeThe Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
IDC Italy
 
Data Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendaliData Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendali
Denodo
 
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
Gianluca Marzulli
 
La nuova onda della Digital Innovation
La nuova onda della Digital InnovationLa nuova onda della Digital Innovation
La nuova onda della Digital Innovation
Innocenti Andrea
 
Printing Evolution for Business Transformation
Printing Evolution for Business TransformationPrinting Evolution for Business Transformation
Printing Evolution for Business Transformation
IDC Italy
 
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the artAlberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Cultura Digitale
 
Controllo e Misura #3
Controllo e Misura #3Controllo e Misura #3
Controllo e Misura #3Giuseppe Ieva
 
Infrastructure for the Third Platform
Infrastructure for the Third PlatformInfrastructure for the Third Platform
Infrastructure for the Third Platform
IDC Italy
 
Difendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personaliDifendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personali
Accenture Italia
 
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
IDC Italy
 
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
Accenture Italia
 
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra impreseLa trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
Fondazione CUOA
 
IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015
IDC Italy
 

What's hot (19)

assintel report 2018
assintel report 2018assintel report 2018
assintel report 2018
 
Digitalisation Now
Digitalisation NowDigitalisation Now
Digitalisation Now
 
Digital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, HybridDigital Transformation: Faster, Better, Hybrid
Digital Transformation: Faster, Better, Hybrid
 
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
IDC Mobiz Mobility Forum 2016 - "Enterprise of Everything: individui iperconn...
 
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitaleSuperare gli ostacoli al cambiamento nel percorso di trasformazione digitale
Superare gli ostacoli al cambiamento nel percorso di trasformazione digitale
 
Mobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in aziendaMobility e Cloud come driver per l'innovazione in azienda
Mobility e Cloud come driver per l'innovazione in azienda
 
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital LifeThe Connected Age: trasformazioni e opportunità nell'era della Digital Life
The Connected Age: trasformazioni e opportunità nell'era della Digital Life
 
Data Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendaliData Strategy per trasformare i dati in asset strategici aziendali
Data Strategy per trasformare i dati in asset strategici aziendali
 
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?In che modo l'Intelligenza Artificiale può essere utile per le imprese?
In che modo l'Intelligenza Artificiale può essere utile per le imprese?
 
La nuova onda della Digital Innovation
La nuova onda della Digital InnovationLa nuova onda della Digital Innovation
La nuova onda della Digital Innovation
 
Printing Evolution for Business Transformation
Printing Evolution for Business TransformationPrinting Evolution for Business Transformation
Printing Evolution for Business Transformation
 
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the artAlberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
Alberto Degradi - Conferenza Plenaria Mobile Revolution State of the art
 
Controllo e Misura #3
Controllo e Misura #3Controllo e Misura #3
Controllo e Misura #3
 
Infrastructure for the Third Platform
Infrastructure for the Third PlatformInfrastructure for the Third Platform
Infrastructure for the Third Platform
 
Difendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personaliDifendere e far crescere il valore dei dati personali
Difendere e far crescere il valore dei dati personali
 
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
Nuovi paradigmi e leve competitive: la roadmap innovativa della Insurance Ind...
 
Security Services - Accenture Italia
Security Services - Accenture ItaliaSecurity Services - Accenture Italia
Security Services - Accenture Italia
 
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra impreseLa trasformazione ICT e i nuovi modelli di collaborazione tra imprese
La trasformazione ICT e i nuovi modelli di collaborazione tra imprese
 
IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015IDC Mobiz Mobility Forum 2015
IDC Mobiz Mobility Forum 2015
 

Similar to Marco Bozzetti AIPSI - SMAU Milano 2017

SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
SMAU
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)
SMAU
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Andrea Patron
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
SMAU
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
Luca Moroni ✔✔
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informatica
Andrea Patron
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
Smau Torino 2016 - Marco Bozzetti, AIPSI
Smau Torino 2016 - Marco Bozzetti, AIPSISmau Torino 2016 - Marco Bozzetti, AIPSI
Smau Torino 2016 - Marco Bozzetti, AIPSI
SMAU
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Smau Milano 2019 Marco Bozzetti (AIPSI)
Smau Milano 2019 Marco Bozzetti (AIPSI)Smau Milano 2019 Marco Bozzetti (AIPSI)
Smau Milano 2019 Marco Bozzetti (AIPSI)
SMAU
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
Cisco Case Studies
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 

Similar to Marco Bozzetti AIPSI - SMAU Milano 2017 (20)

SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
 
Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)Smau Bologna | R2B Marco Bozzetti(AIPSI)
Smau Bologna | R2B Marco Bozzetti(AIPSI)
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014Smau Padova 16 Aprile 2014
Smau Padova 16 Aprile 2014
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informatica
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Smau Torino 2016 - Marco Bozzetti, AIPSI
Smau Torino 2016 - Marco Bozzetti, AIPSISmau Torino 2016 - Marco Bozzetti, AIPSI
Smau Torino 2016 - Marco Bozzetti, AIPSI
 
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
SMAU PADOVA 2019 Luca Bonadimani (AIPSI)
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Smau Milano 2019 Marco Bozzetti (AIPSI)
Smau Milano 2019 Marco Bozzetti (AIPSI)Smau Milano 2019 Marco Bozzetti (AIPSI)
Smau Milano 2019 Marco Bozzetti (AIPSI)
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 

More from SMAU

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
SMAU
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
SMAU
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU
 

More from SMAU (20)

L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...L'intelligenza artificiale per il marketing automation: come automatizzare le...
L'intelligenza artificiale per il marketing automation: come automatizzare le...
 
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales NavigatorIl supporto IA nella Lead Generation con Linkedin e Sales Navigator
Il supporto IA nella Lead Generation con Linkedin e Sales Navigator
 
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazioneSMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
SMAU MILANO 2023 | Intrapreneurship: I dipendenti come driver dell'innovazione
 
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
SMAU MILANO 2023 | TECNOLOGIE IMMERSIVE E METAVERSO: SOLUZIONI INNOVATIVE PER...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtechSMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
SMAU MILANO 2023 | SMAU MILANO 2023 | Le nuove frontiere dell'ESGtech
 
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
SMAU MILANO 2023 | AI: Un Alleato Innovativo per l'Omnichannel Customer Exper...
 
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...
 
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
SMAU MILANO 2023 | COME PROGETTARE SOLUZIONI CIRCOLARI E MODELLI DI BUSINESS ...
 
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social MediaSMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
SMAU MILANO 2023 | Google Business Profile tra SEO e Social Media
 
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
SMAU MILANO 2023 | Il PM incontra la proprietà intellettuale: pianificare la ...
 
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
SMAU MILANO 2023 | Il neuromarketing: solo 8 secondi per catturare l’attenzio...
 
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
SMAU MILANO 2023 | Collaborazioni vincenti: Come le startup possono creare pa...
 
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggiSMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
SMAU MILANO 2023 | Funnel Hacking: massimizzare il ROAS in 7 passaggi
 
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
SMAU MILANO 2023 | Una reputazione che ti precede: come il personal storytell...
 
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
SMAU MILANO 2023 | Come scalare una produzione video: il caso “Vongola Lupino...
 
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
SMAU MILANO 2023 | IA Generativa per aziende - come addestrare i modelli ling...
 
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
SMAU MILANO 2023 | L'intelligenza artificiale per davvero (facciamola sul ser...
 
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
SMAU MILANO 2023 | Personal Branding: come comunicare in maniera efficace la...
 
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
SMAU MILANO 2023 | What's Next? Rivoluzioni industriali, intelligenza artific...
 
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
 

Marco Bozzetti AIPSI - SMAU Milano 2017

  • 1. + Gli attacchi informatici agli applicativi Marco R. A. Bozzetti Presidente AIPSI, Capitolo Italiano ISSA CEO Malabo Srl Ideatore e realizzatore OAD
  • 2. Gli attacchi informatici agli applicativi: La situazione dal “Rapporto OAD 2017 sugli Attacchi agli Applicativi in Italia” e considerazioni su come prevenire e contrastare tali attacchi 2 Siamo sempre a rischio attacchi ..
  • 3. AIPSI - www.aipsi.org (www.aipsi.org)• AIPSI, Associazione Italiana Professionisti Sicurezza Informatica, capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org) che conta >>10.000 Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT nel mondo • AIPSI è il punto di aggregazione sul territorio e di trasferimento di know- how per i professionisti della sicurezza digitale, sia dipendenti sia liberi professionisti ed imprenditori del settore • Sede Centrale: Milano • Sedi territoriali : Ancona-Macerata, Lecce, Torino, Verona-Venezia • Contatti: aipsi@aipsi.org, segreteria@aipsi.org 3
  • 4. Primari obiettivi AIPSI • Aiutare i propri Soci nella crescita professionale e quindi nella crescita del loro business • offrire ai propri Soci servizi qualificati per tale crescita, che includono • Convegni, workshop, webinar sia a livello nazionale che internazionale via ISSA • Rapporti annuali e specifici OAD, Osservatorio attacchi Digitali in Italia • Supporto nell’intero ciclo di vita professionale • Formazione specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-1:2016, in Italia UNI 11506) • Rapporti con altri soci a livello nazionale (AIPSI) ed internazionali (ISSA) • Contribuire alla diffusione della cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali • Collaborazione con varie Associazioni ed Enti per eventi ed iniziative congiunte: AICA, Assintel, Assolombarda, Anorc, CSA Italy, FidaInform, FTI, Inforav, Polizia Postale, Smau, i vari ClubTI sul territorio, ecc. 4
  • 5. OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)  Che cosa è  Indagine via web sugli attacchi digitali intenzionali ai sistemi informatici in Italia  Obiettivi iniziativa  Fornire informazioni sulla reale situazione degli attacchi digitali in Italia  Contribuire alla creazione di una cultura della sicurezza informatica in Italia, sensibilizzando in particolare i vertici delle aziende/enti ed i decisori sulla sicurezza informatica  Che cosa fa  Indagine generale annuale e specifiche su argomenti caldi, condotte attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende  Come  Rigore, trasparenza, correttezza, assoluta indipendenza (anche dagli Sponsor)  Rigoroso anonimato per i rispondenti ai questionari  Collaborazione con numerose Associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 5 Tutti i Rapporti OAD ( e OAI) pubblicati dal 2008 ad oggi sono scaricabili gratuitamente da https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/precedenti-rapporti-oad-oai.html
  • 6. I Rapporti OAD (ed OAI) 6 • Tutti i Rapporti OAD ( e OAI) pubblicati dal 2008 ad oggi sono scaricabili gratuitamente da • https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/precedenti- rapporti-oad-oai.html • AIPSI sta organizzando l’edizione OAD 2018: • Proposta sponsorizzazione: • https://www.aipsi.org/aree-tematiche/osservatorio-attacchi-digitali/proposta- sponsorizzazione-oad-2017.html • Appena disponibile (dicembre 2017) troverete sul sito AIPSI il link al Questionario OAD 2018: • COMPILATELO • PASSATE PAROLA ad altri possibili rispondenti
  • 8. Dr. Ing. Marco R. A. Bozzetti e Malabo Srl • Presidente AIPSI e CEO Malabo Srl, con la quale ha condotto e conduce interventi consulenziali presso aziende ed enti lato sia offerta sia domanda ICT. • Ha operato con responsabilità crescenti presso primarie imprese di produzione, quali Olivetti ed Italtel, e di consulenza, quali Arthur Andersen Management Consultant e Gea/Gealab, oltre ad essere stato il primo responsabile dei sistemi informativi (CIO) dell’intero Gruppo ENI (1995-2000). • Nella seconda metà degli anni 70 è stato uno dei primi ricercatori a livello mondiale ad occuparsi di internetworking, partecipando alla standardizzazione dei protocolli del modello OSI dell’ISO • È certificato ITIL v3 ed EUCIP Professional Certificate “Security Adviser” e Commissario d’Esame per le certificazioni eCF (EN 16234 - UNI 11506). • Ha pubblicato articoli e libri sull’evoluzione tecnologica, la sicurezza digitale, gli scenari e gli impatti dell’ICT. • Malabo Srl è stata creata da M. Bozzetti nel 2001, ed è una società di consulenza direzionale per l’ICT, che opera per Clienti lato domanda e lato offerta basandosi su una consolidata rete di esperti e di società ultra specializzate. • Obiettivo primario degli interventi di Malabo è di creare valore misurabile per il Cliente, bilanciando adeguatamente gli aspetti tecnici con quelli organizzativi nello specifico contesto del Cliente • Dispone di un proprio e storage condiviso, collegati con switch a 10 G e connessi ad internet con fibra ottica a 100 Mbps, oltre ad uno spazio in cloud (IaaS) • Per garantire un effettivo trasferimento di know-how, fornisce come servizio ai Clienti le proprie metodologie e gli strumenti informatici usati nell’intervento consulenziale • https://www.malaboadvisoring.it/
  • 10. L’ attuale contesto: sicurezza vo cercando …. Social network Consumerizzazione Ambiente personale Ambiente lavoro Servizi ICT in cloud e/o terziarizzati Sistemi informativi aziendali e delle PA Fisso + mobile Internet DCS VDS, PLC, A/D Conv. 10
  • 11. ▪ Vulnerabilità ▪ Elemento di debolezza sfruttabile per una minaccia ▪ Minaccia: ▪ una possibile fonte di danni ▪ Rischio: ▪ possibilità che una minaccia si verifichi ▪ Attacco: ▪ effettivo manifestarsi di un rischio ▪ Controllo: ▪ misura capace di eliminare o limitare il rischio di una minaccia La catena logica 11
  • 12. Vulnerabilità causa delle minacce Tutte si basano sulle vulnerabilità tecniche e/o umane-organizzative • Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni) • siti web e piattaforme collaborative • Smartphone e tablette  mobilità  >>14.000 malware • Posta elettronica  spamming e phishing • Piattaforme e sistemi virtualizzati • Terziarizzazione e Cloud (XaaS) • Circa il 40% o più delle vulnerabilità non ha patch di correzione • Vulnerabilità delle persone • Social Engineering e phishing • Utilizzo dei social network, anche a livello aziendale • Vulnerabilità organizzative • Mancanza o non utilizzo procedure organizzative • Insufficiente o non utilizzo degli standard e delle best practices • Mancanza di formazione e sensibilizzazione • Mancanza di controlli e monitoraggi sistematici • Analisi dei rischi mancante o difettosa • Non efficace controllo dei fornitoriù • Limitata o mancante SoD, Separation of Duties 12
  • 13. Gli attacchi intenzionali agli applicativi dipendono da vulnerabilità dei sistemi ICT e degli esseri umani:  Degli applicativi  Dei software di base - middleware  Delle configurazioni e dei settaggi delle opzioni  Delle architetture ICT  Del comportamento degli utenti finali e degli amministratori di sistema 13
  • 14. La crescita del ransomware a livello mondiale Fonte: TrendMicro • WannaCry • PetyaCome mai? Mancanza degli elementi di base della sicurezza digitale: • Aggiornamenti e patch • Sistematico e completo back- up 14
  • 15. Attacchi 2014-16 per vulnerabilità tech a livello mondiale per tipo e durata Fonte: IBM Xforce, marzo 2017 15
  • 16. CVE: vulnerabilità indipendenti/prodotto Nome del prodotto Azienda Tipo prodotto Numero vulnerabilità individuate 1 Mac Os X Apple OS 1820 2 Linux Kernel Linux OS 1815 3 Firefox Mozilla Application 1437 4 Chrome Google Application 1425 5 Iphone Os Apple OS 1176 6 Flash Player Adobe Application 1013 7 Debian Linux Debian OS 1003 8 Android Google OS 884 9 Windows Server 2008 Microsoft OS 846 10 Safari Apple Application 841 11 Internet Explorer Microsoft Application 840 12 Ubuntu Linux Canonical OS 839 13 Windows Vista Microsoft OS 814 14 Opensuse Novell OS 785 15 Acrobat Adobe Application 781 16 Windows Xp Microsoft OS 726 17 Windows 7 Microsoft OS 708 18 Thunderbird Mozilla Application 703 19 Seamonkey Mozilla Application 698 20 Mac Os X Server Apple OS 641 16 Fonte: DB CVE (aprile 2017) 16
  • 17. Vendor Name Number of Products Number of Vulnerabilities #Vulnerabilities/#Products 1 Microsoft 425 4977 12 2 Oracle 439 4356 10 3 Apple 115 3810 33 4 IBM 828 3311 4 5 Cisco 1706 2942 2 6 Google 56 2508 45 7 Adobe 119 2284 19 8 Linux 15 1904 127 9 Mozilla 21 1716 82 10 SUN 204 1630 8 11 Redhat 229 1549 7 12 Novell 118 1514 13 13 HP 2031 1410 1 14 Debian 87 1128 13 15 Canonical 21 850 40 16 Apache 137 783 6 17 PHP 20 561 28 18 GNU 91 479 5 19 Wireshark 1 441 441 20 Symantec 212 439 2 21 Fedoraproject 11 438 40 22 Suse 63 423 7 23 EMC 176 356 2 24 Freebsd 9 341 38 25 Moodle 1 340 340 26 SAP 138 339 2 27 Joomla 162 336 2 28 Drupal 137 313 2 29 Wordpress 57 303 5 30 Vmware 81 266 3 31 Mysql 8 261 33 32 Openbsd 7 256 37 33 SGI 17 254 15 34 Ffmpeg 3 243 81 35 Mcafee 111 241 2 36 Opera 7 240 34 37 Imagemagick 3 235 78 38 Phpmyadmin 1 234 234 39 Siemens 460 221 0 40 Huawei 589 220 0 41 XEN 4 219 55 42 CA 183 218 1 43 Realnetworks 26 206 8 44 Qemu 1 192 192 45 Typo3 76 190 3 46 Juniper 113 188 2 47 Citrix 78 186 2 48 Openssl 2 181 91 49 BEA 11 172 16 50 Openstack 42 171 4 SAP  26 138 prodotti 2 vuln/prodotto 339 vulnerabilità Fonte: DB CVE Top 50 Vendors By Total Number Of "Distinct" Vulnerabilities Esempio: le vulnerabilità di SAP dal DB CVE 17
  • 18. Top SAP attacks (2013-2016)  October 30, 2012: Attack via an SAP vulnerability on Greek Ministry of Finance  November 2013: first SAP Malware for online banking accounts  2013 (discovered in 2014, or 2015 ??): attack on USIS, a federal contractor that provides background checks for DHS, exploiting a vulnerability in SAP software  January 2014: NVidia customer service website was attacked via a vulnerability in SAP NetWeaver.  May 2016: US-CERT Alert about attacks on 36 SAP systems Fonti: ERPScan,CSO 18
  • 19. Top Ten Vulnerabilità 2017 web OWASP (OWASP)bilità 2017 applicazioni web OWASP (Open Web Application Security Project)  Injection  Broken Authentication and Session Management  Cross-Site Scripting (XSS)  Broken Access Control  Security Misconfiguration  Sensitive Data Exposure  Insufficient Attack Protection  Cross-Site Request Forgery (CSRF)  Using Components with Known Vulnerabilities  Underprotected APIs Fonte: OWASP, Open Web Application Security Project 19
  • 20. Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT INTERNET Data Center Cloud PC SMART PHONE TABLET, IoT Client ERP Browser ATTACCO ATTACCO ATTACCO ATTACCO ATTACCO ATTACCO App ERP Browser ATTACCO ATTACCO ERP
  • 21. OAD 2016: ripartizione % per tipologia di attacco 78,4% 71,9% 34,0% 29,4% 29,4% 27,5% 19,6% 15,7% 15,7% 14,4% 13,7% 11,1% 9,8% 9,2% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% Malware Social Eng. Furto disp. Saturaz. risorse Ricatti ICT Sfrut. vulnerabilità Attacchi reti Acc. non aut. Sis. Attacchi sic. fisica Acc. non aut. Programmi Furto info da PdL mobili Acc. non aut. Dati APT e TA Furto info da risorse fisse % rispondenti © OAD 2016 Sempre ai primi 4 posti nelle 6 edizioni OAI-OAD 21
  • 22. OAD 2016: attacchi più temuti 4,2% 7,6% 15,1% 16,0% 16,8% 21,0% 25,2% 26,1% 27,7% 34,5% 37,0% 44,5% 54,6% 73,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% Attacco fisico TA e APT Furto apparati ICT Furto di informazioni da dispositivi fissi Accesso a e uso non autorizzato dei programmi software (2° Livello) Accesso a e uso non autorizzato dei dati trattati (3° Livello) Accesso a e uso non autorizzato dei sistemi (host - 1° Livello) Saturazione risorse ICT Attacchi alle reti e ai DNS Furto di informazioni da dispositivi mobili Sfruttamento vulnerabilità del codice software Ricatti sulla continuità operativa Attacchi di Social Engineering, incluso il Phishing Codici maligni (malware) % rispondenti© OAD 2016 22
  • 24. 57,7% 42,3% 53,1% 46,9% 0,0% 10,0%20,0%30,0%40,0%50,0%60,0%70,0% Non si sono rilevati attacchi specifici agli applicativi Si sono rilevati attacchi specifici agli applicativi % rispondenti Attacchiagliapplicativi 2015 2016 © OAD 2017 OAD AA 2017: Attacchi agli applicativi rilevati 24
  • 25. OAD AA 2017: causati dalle vulnerabilità sw 37,7% 48,5% 13,8% 36,2% 49,2% 14,6% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% SI NO Non lo so %rispondenti Attacchi applicativi causati da vulnerabilità delle infrstrutture ICT, del software di base, del middleware sulle quali si poggia l'applicazione attaccata 2016 2015 Motivazione più alta in % 25
  • 26. OAD AA 2017: causati da vulnerabilità del codice 25,4% 58,5% 16,2% 25,4% 57,7% 16,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% SI NO Non lo so %rispondenti Attacchi dovuti a vulnerabilità del codiceapplicativo 2016 2015© OAD 2017 26
  • 27. OAD AA 2017: Attacchi da ident.-auten.-controllo accessi 20,8% 65,4% 13,8% 20,8% 62,3% 16,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% SI NO Non lo so %rispondenti Attacchi subiti per vulnerabilità dei sistemi di identificazione, autenticazionee controllo degli accessi 2016 2015 © OAD 2017 27
  • 28. OAD AA 2017: Misure per gli applicativi (risposte multiple)  Centralizzazione IAM e Controllo Accessi  84%  Classificazione delle applicazioni per la criticità dei dati trattati  70 %  Test tecnici e sicurezza intrinseca applicazione  69%  Penetration test  55% 28
  • 29. Alcune considerazioni su come prevenire e contrastare gli attacchi agli applicativi 29
  • 30. Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT Infrastrutture di Telecomunicazione Infrastrutture di Elaborazione Middleware Applicazioni infrastrutturali Applicazioni Business Critical DATI - INFORMAZIONI SicurezzaICT INTERNET Data Center Cloud PC SMART PHONE TABLET, IoT Client ERP Browser Proteggere Proteggere Proteggere Proteggere Proteggere Proteggere App ERP Browser Proteggere Proteggere ERP
  • 31. I principali strumenti di difesa  di prevenzione e protezione  Crittografia, Stenografia  Periodiche analisi del rischio vs processi ed organizzazione  Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi antintrusione, UPS, anti-incendio, fumo, gas …  Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, …  Identificazione: user-id + pwd, token, biometria  autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di dominio (LDAP, Active Directory, ..), SSO, controlli federati, PKI e certificati digitali, …  Analisi comportamentale nodi ed utenti  Correlazione ed analisis eventi  Sicurezza intrinseca sw (check list, code inspection, ..) e anti-malware (antivirus, antispyware, …)  Architetture hw e sw in alta affidabilità  di ripristino  Back-up  Disaster Recovery  di gestione  Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software ( licenze)  Organizzativa: formazione e addestramento, operation (ITIL v3), help-desk/contact center, ERT, .. 31
  • 32. Back to the basic  Classificazione dei dati critici, che includono quelli personali  GDPR  Analisi dei rischi  Bilanciamento tra le diverse misure tecniche di sicurezza  Aggiornamento software di base ed applicativo  Misure di Back-up e ripristino  Misure organizzative 32
  • 33.  GDPR, General Data Protection Regulation: EU Regulation 2016/679  http://eur-lex.europa.eu/legal- content/IT/TXT/HTML/?uri=CELEX:32016R0679  Emanato dalla Commissione Europea, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno  GDPR è il nuovo regolamento europeo sulla privacy, e sostituisce la precedente norma europea sulla privacy, la Direttiva 95/46/EC  GDPR dovrà essere applicato ed operativo dal 25 maggio 2018  Come Regolamento Europeo, gli Stati membri non possono prorogarne la scadenza Un aiuto dal GDPR 33
  • 34.  GDPR andrà a sostituire e di fatto abrogherà per l’Italia il Codice Unico sulla privacy, il D.Lgs. 196/2003 attualmente in vigore.  Il GDPR in linea di massima non differisce molto, a livello operativo, dal vigente codice unico , ma in taluni casi meglio specifica alcuni concetti ed in altri richiede specifiche misure (nel seguito approfondite).  Con la Direttiva UE 2016/680, in aggiunta al GDPR, sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale .  L’elemento di maggior impatto è dato dalle nuove pesanti sanzioni economiche:  una multa fino a 10 milioni di euro, o fino al 2% del volume d'affari globale registrato nell'anno precedente nei casi previsti dall'Articolo 83, Paragrafo 4 del GDPR  una multa fino a 20 milioni di euro o fino al 4% del volume d'affari nei casi previsti dai Paragrafi 5 e 6 del GDPR GDPR: le conseguenze dal 25/5/2018 34
  • 35. 1. La sicurezza assoluta non esiste 2. La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al ripristino 3. Il peggior nemico: la “falsa” sicurezza 4. La sicurezza è un processo continuo, sia per la parte tecnica che per la parte organizzativa 5. La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi processi, i suoi sistemi, la sua organizzazione, la sua cultura 6. Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è fatto  compliance normative vigenti: privacy, safety, quality, ecc. 7. Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio 8. Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente 9. La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza devono essere automatizzati 10. La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve quindi essere “ben bilanciata” tra le varie misure e strumenti I 10 comandamenti per la sicurezza digitale 35