Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
In questa presentazione viene descritto un possibile approccio alla messa insicurezza di codice legacy attraverso l'utilizzo di svariati progetti OWASP.
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
1. 3rd Party Software: how to manage the update of 3rd party software
2. 3rd Party Development: Outsourcing
3. 3rd Party Supplier
4. 3rd Party OF THINGS
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
In questa presentazione viene descritto un possibile approccio alla messa insicurezza di codice legacy attraverso l'utilizzo di svariati progetti OWASP.
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
1. 3rd Party Software: how to manage the update of 3rd party software
2. 3rd Party Development: Outsourcing
3. 3rd Party Supplier
4. 3rd Party OF THINGS
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
sicurweb sistema software per RSPP e HSE. Infotel propone un valido strumento per l’applicazione della qualità nei luoghi di lavoro, il sistema software SICURWEB .
Tale sistema risulta composto da una serie di moduli integrati e rivolti alle diverse figure partecipanti al processo di gestione.
G. De Marco, 30 Novembre - 1 Dicembre 2021 -
Webinar: Miglioramento continuo dei processi e servizi IT per la digital transformation
Titolo: Il Sistema di Gestione della Sicurezza delle informazioni
INAIL e la cultura cybersecurity: dal DevSecOps alla tutela applicativa. Evento digitale a cura di Emerasoft e Sonatype trasmesso il 26 novembre online.
Presentazione a cura di INAIL: Adele Gambacorta, Responsabile Ufficio Supporto al processo di produzione e Certificazione, Direzione centrale per l’organizzazione digitale di INAIL.
Per rivedere l'evento: https://youtu.be/gCPK6iydIcE
Vuoi saperne di più? vai su www.sonatype.com o scrivi a sales@emerasoft.com per una consulenza personalizzata
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Scarica i documenti SICURWEB Il Decreto Legislativo n. 81/08 e s.m.i. all’art. 30 mette in evidenza l’importanza di adottare un sistema di gestione e di controllo delle procedure per l’attuazione di un modello organizzativo che garantisca l’adempimento degli obblighi giuridici legati alla Sicurezza nei luoghi di lavoro, Qualità, Ambiente.
9. Compliance OWASP con COBIT DS5: Process Description Control over the IT process of that satisfies the business requirement for IT of by focusing on is achieved by ••• and is measured by • ’ ••
10. Compliance OWASP con COBIT DS5: CONTROL OBJECTIVES DS5.1 Management of IT Security Manage IT security at the highest appropriate organisational level, so the management of security actions is in line with business requirements. DS5.2 IT Security Plan [..] DS5.3 Identity Management [..] DS5.4 User Account Management [..] DS5.5 Security Testing,Surveillance and Monitoring [..] DS5.6 Security Incident Definition Clearly define and communicate the characteristics of potential security incidents so they can be properly classified and treated by the incident and problem management process. DS5.7 Protection of Security Technology Make security-related technology resistant to tampering, and do not disclose security documentation unnecessarily.
11. Compliance OWASP con COBIT DS5: CONTROL OBJECTIVES DS5.8 Cryptographic Key Management Determine that policies and procedures are in place to organise the generation, change, revocation, destruction, distribution, certification, storage, entry, use and archiving of cryptographic keys to ensure the protection of keys against modification and unauthorised disclosure. DS5.9 Malicious Software Prevention,Detection and Correction Put preventive, detective and corrective measures in place (especially up-to-date security patches and virus control) across the organisation to protect information systems and technology from malware (e.g., viruses, worms, spyware, spam). DS5.10 Network Security [..] DS5.11 Exchange of Sensitive Data [..]
12. Compliance OWASP con COBIT Gli obiettivi possono essere raggiunti in una varietà di modi che possono essere diversi per ogni organizzazione. Se si cerca di implementare COBIT, OWASP è una eccellente partenza per calcolare i rischi di sviluppo dei sistemi e per assicurare che le applicazioni personalizzate e sviluppate ad hoc rispettano i controlli COBIT, ma OWASP non è la bacchetta magica per la compliance con COBIT Per maggiori informazioni circa il COBIT il link è http://www.isaca.org/
13. OWASP E GLI ALTRI STANDARD DI SICUREZZA ISO 27001 è il documento normativo di riferimento per l ’ azienda che intenda certificare il proprio ISMS. Fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione. ISO 17799 – ISO 27002 prescrive la conservazione e la difesa delle risorse informative di un'impresa. Dettaglia centinaia di controlli che devono essere applicati per la gestione sicura delle informazioni e degli asset.
14. La prima parte della Norma (BS7799-1 Code of practice for information security management) contiene gli elementi di base (raccomandazioni, requisiti e linee guida) per implementare e gestire correttamente l ’ ISMS. La seconda parte (BS7799-2 Specification for Information Security Management Systems) specifica ed identifica gli elementi necessari per il conseguimento della Certificazione dell ’ ISMS aziendale. Contiene, inoltre, la descrizione delle attività necessarie per implementare il processo di ISMS e l ’ elenco dei controlli, degli obiettivi di sicurezza e delle contromisure da adottare. OWASP E GLI ALTRI STANDARD DI SICUREZZA (BS 7799)
15. L'ISO 17799 (alias ISO 27002) è organizzato in 11 aree di controllo (più un ’ area introduttiva sul risk assesment) che specificano nel dettaglio i 133 controlli (organizzati in 39 categorie principali, il cui numero è indicato tra parentesi) dell ’ annex A alla ISO 27001: OWASP E GLI ALTRI STANDARD DI SICUREZZA (ISO 17799 – ISO 27002)
17. Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti per impostare, implementare, utilizzare, monitorare, rivedere, manutenere e migliorare un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (ISMS). Dettaglia inoltre i requisiti per l ’ implementazione di controlli di sicurezza personalizzati in base alle necessità (l ’ ISO 17799 fornisce una guida implementativa utilizzabile nella progettazione dei controlli). OWASP E ISO 27001
18. Compliance OWASP con ISO 27001 L ’ Allegato A della norma: è diviso nelle 11 aree di controllo riportate a lato. Ognuna di esse è a sua volta divisa in obiettivi di controllo e controlli (133). Questi ultimi sono contromisure più o meno generiche che si possono adottare per ridurre il rischio individuato attraverso il Risk Assessment. Es. A.12.2.1 Validazione dei dati in Input Controllo: I dati in input devono essere validati per garantire che siano corretti ed appropriati. ISO/IEC 27001:2005 5) Security Policy; 6) Organizing Information Security; 7) Asset Management ; 8) Human Resources Security; 9) Physical and Environmental Security; 10) Communications and Operations Management; 11) Access Control; 12) Information Systems Acquisition, Development and Maintenance; 13) Information Security Incident Management; 14) Business Continuity Management; 15) Compliance .