Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
Il fenomeno cyber security e il mercato italianoCSI Piemonte
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Gabriele Faggioli, Presidente Clusit - Associazione Italiana per la Sicurezza Informatica
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
Il fenomeno cyber security e il mercato italianoCSI Piemonte
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Gabriele Faggioli, Presidente Clusit - Associazione Italiana per la Sicurezza Informatica
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Intervento a cura di Andrea Ceresoni, Responsabile Cybersecurity, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione.
A seguire intervento di Stefano Orciari (Reply).
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
Il TechAdvisor Michelangelo Uberti analizza le cause comuni che portano numerose aziende a perdere dei dati riservati, subendo così gravi danni economici e d'immagine. Nell'articolo viene descritto il funzionamento delle principali soluzioni di Data Loss/Leak Prevention (DLP), un insieme di tecnologie dedicate all'identificazione e al monitoraggio dei dati nonché alla definizione delle migliori regole di gestione.
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
Presentazione tenuta all'ICT Security Forum 2013 concernente le minacce ai dati sensibili aziendali e alcune possibili strategie di protezione che cercano di superare i limiti delle soluzioni tecnologiche ormai consolidate.
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
Sommario
Questo documento illustra ai responsabili IT l’importanza della Cyber Resilience e della Security Intelligence per
rispondere alle minacce informatiche in continua evoluzione e fornisce un quadro d’insieme sul futuro della sicurezza IT.
Non solo tecnologia Si sta affermando sempre più un concetto di sicurezza come elemento trasversale che permea, a vari livelli, i processi di business e che quindi va gestito in modo sinergico a essi. Il fatto poi che le informazioni siano sempre più distribuite sia l'interno che all'esterno del perimetro aziendale, verso clienti, partner e fornitori, incrementa la complessità e, di conseguenza, complicala gestione. La tecnologia certamente aiuta a predisporre misure di difesa ma, da sola, non è in grado di assicurare un livello di sicurezza adeguato a ogni esigenza aziendale, anche perché le aziende rappresentano realtà dinamiche in continua evoluzione. Si evidenzia da ciò la necessità di gestire opportunamente la security, prevedendo una continua rivisitazione del livello di protezione a fronte dell'evoluzione informatica e dei processi di business aziendali. Emerge, pertanto, l'esigenza di inquadrare i diversi aspetti di sicurezza all'interno di una strategia aziendale specifica e coordinata, sorretta da una serie di policy e di protocolli rivolti a delineare adeguate azioni che garantiscano il mantenimento dello standard di protezione prefissato. Al fine di semplificare questo tipo di azioni, l'offerta dei vendor si orienta sempre più verso soluzioni integrate, non solo per quanto riguarda le tecnologie, ma soprattutto rispetto alla possibilità di gestione unificata e centralizzata. Spesso la semplicità gestionale viene utilizzata come importante leva di marketing. Tuttavia non va dimenticato che gestire la sicurezza non è un compito semplice così come non si tratta di un risultato banale quello di individuare, all'interno di ogni specifica azienda, il corretto compromesso tra protezione, valore dell'informazione ed esigenze di continuità di business, che condiziona le scelte tecnologiche, strategiche e di spesa per la sicurezza. La scelta di gestione interna della sicurezza implica, innanzitutto, che esista una figura deputata a occuparsene. Anche nelle realtà piccole, in cui la dimensione finanziaria non consente la presenza di una figura dedicata specifica (il security manager) è essenziale che esista, in ogni caso un responsabile: insomma qualcuno che abbia tra i propri compiti specifici quello di occuparsene. Ovviamente dovrà trattarsi di una persona con competenze tecnologiche adeguate e che abbia il tempo per aggiornarsi sulle nuove"macro" vulnerabilità e minacce e risorse sufficienti per affrontarle. In ogni caso, per aziende anche minimamente strutturate, la figura del security manager si appresta a diventare irrinunciabile.
https://www.vincenzocalabro.it
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaLuca Moroni ✔✔
Sono stato invitato da Luca Moroni , cybersecurity coach di ISACA, e Antonio Nardo, ICT Director di Breton S.p.A., a tenere un intervento di sensibilizzazione su opportunità e minacce legate all’uso delle moderne tecnologie digitali e social per la nuova generazione, sia nel mondo del lavoro che nella sfera privata. L’intervento si è svolto giovedì 13 giugno presso la sala conferenze di Breton S.p.A., azienda leader a livello mondiale nella produzione di macchine per la lavorazione della pietra naturale, dei metalli e impianti per la pietra composita, con sede principale a Castello di Godego (TV) ma attiva in tutto il mondo. Breton S.p.A. conta più di 900 dipendenti, 7 filiali estere e circa 200 milioni di euro di fatturato annuo.
Ettore Guarnaccia.
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Luca Moroni ✔✔
Critical Infrastructures (IC) are essential elements in our economic and social life. Cyber incidents in such organizations could create a “domino effect”. This must be an important concern in a National Cyber Security Policy. Now EU Cybersecurity Act
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Luca Moroni ✔✔
Fare prove di Social Engineering ha dei vincoli. Una buona idea è un gioco di ruolo. COME FUNZIONA UN GIOCO DI S.E.?
I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione. Ad ogni gruppo vengono forniti alcuni elementi utili (mappa dell'organizzazione, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare) che vengono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità.
Slide Intervento Igor Falcomatà per il seminario IoT: Opportunità o minaccia? Il 15 marzo si è tenuto a Trento, presso il Castello del Buonconsiglio, una conferenza sulla Cybersecurity organizzata da ISACA Venice Chapter con l’Università degli Studi di Trento ed in collaborazione con Trentino Network.
L’evento ha affrontato il vasto mondo degli IoT, o Internet delle Cose, illustrando con casi pratici e best practice quelle che sono le opportunità connesse a questo nuovo business, focalizzandosi sulla sicurezza di questi apparati.
Intervista di Paolo Giacon a Luca Moroni per la pubblicazione II MODELLI DI SUCCESSO PER L''INNOVAZIONE E LA RICERCA E SVILUPPO NELLE PICCOLE E MEDIE IMPRESE AD ALTA TECNOLOGIA DELL’’AREA VICENTINA
The document discusses a new website called Calameo that allows users to publish and share eBooks, documents, and presentations online or via mobile apps. Calameo offers free and paid subscription plans, and published content can be protected with digital rights management or made publicly accessible. Users are able to customize publications with covers, bookmarks, and annotations to share knowledge on any topic.
Too many incidents related to "ransomware" in North East of Itally. Companies needs to understand how to protect themselves and ensure continued access to the digital data. The damage of a cyber incidents exceed the threshold of US $ 25mil. Safe rating of Intangible Assets of a company need enhancement of the cyber risks insurance market. But a weak competence require clarification on this topic. The research intent was to identify the real risks and digital vulnerabilities in companies. We have done an evaluation of typical insurance products on IT risk and we have made a CIO/CISO Survey. The final scope was a guideline for approacing the problem of outsourcing Cyber Risk Protection.
ISACA SLOVENIA CHAPTER October 2016 - LubianaLuca Moroni ✔✔
Talk Luca Moroni - Via Virtuosa
Cyber security awareness of critical infrastructures in N/E of Italy: scenarios and guidelines for self-assesementOzaveščenost o varnosti spleta in kritične infrastrukture v severni Italiji: Scenariji in smernice kako opraviti samooceno
This document summarizes Via Virtuosa's strategy and goals. It discusses Via Virtuosa's offerings for customers in northeast Italy such as knowledge of market requirements and startup support. It notes Via Virtuosa's growth between 2010-2015 with 78 new customers and increasing annual revenue. The document outlines future goals such as expanding internationally and industrializing their brokering business model. It seeks future sponsors like business angels, startups, and EU companies seeking an external cybersecurity business unit.
Articolo realtà industriale luglio agosto 2015Luca Moroni ✔✔
Evento realizzato in collaborazione con Confindustria Udine e IT Club FVG. Relatore Paolo Attivissimo noto giornalista esperto su queste tematiche di sicurezza informatica. Udine 23 Giugno 2015
Piataforma per gestire i processi legati al governo dei sistemi di gestione. Ideale per la valutazione del rischio informatico e come strumento per la compliance
1. Titolo della presentazione
Luca Moroni – CISA, ITIL
Vulnerability Assessment e
Penetration Test per le PMI
Linee guida per l’utente sulla
sicurezza ICT
3. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Chi sono?
Coordinatore del gruppo di Approfondimento del primo Quaderno di ISACA
VENICE Chapter.
Laureato in Informatica, professionista (ai sensi della legge 4/2013)
CISA e ITIL V3 - Certificazioni neutre di auditing
Certificazioni di settore
Membro di associazioni professionali vendor neutral ISACA e AIP
Da 15 anni sono appassionato di Sicurezza Informatica a livello professionale.
Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie
informatiche in base alle loro competenze specifiche.
4. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Cosa abbiamo ritenuto utile fare l’anno scorso in
Ci siamo chiesti perché una PMI dovrebbe richiedere un servizio di
Vulnerability Assessment e/o Penetration Test? Come conferire
l’incarico e a cosa prestare attenzione?
Per analizzare questi temi abbiamo avviato nel 2012 un Gruppo di
Approfondimento che si è concluso a fine 2012. Durante il lavoro ci
siamo confrontati fra professionisti per formulare delle linee guida utili
alla PMI
Per capire la situazione in area Nord Est abbiamo fatto una indagine
fra le aziende PMI.
Il risultato è stato consolidato nel primo Quaderno di ISACA VENICE
Chapter dal titolo “Vulnerability Assessment e Penetration Test -Linee
guida per l’utente di verifiche di terze parti sulla sicurezza ICT”.
6. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Borgo di Hochosterwitz Carinzia - Austria
Una volta dove si trovavano le informazioni da
proteggere?
7. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Quali erano le cose che mi garantivano la sicurezza?
Le mura
Gli accessi
Gli strumenti di difesa
Le guardie
8. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Dovevo controllare e fare manutenzione?
I punti deboli
Gli anni e le intemperie
Il mio avversario
9. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Brevetti & KnowHow Italia SPA Area Nord Est - Italia
Oggi dove si trovavano le informazioni da
proteggere?
10. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Quali sono oggi le cose che mi garantiscono la
sicurezza?
Le mura
Gli accessi
Gli strumenti di difesa
Le guardie
11. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Oggi devo controllare e fare manutenzione?
I punti deboli
Gli anni e le intemperie
Il mio avversario
12. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Cosa è cambiato
Ogni azienda si assicura contro eventi come l'incendio ed il furto, non
tralascia di chiudere a chiave gli uffici, di far installare un antifurto nel
magazzino, o di ingaggiate guardie giurate per controllare gli stabili.
Le misure attinenti alla sicurezza logica, quella che difende le reti ed i
sistemi aziendali da accessi indesiderati e da modifiche malevole,
vengono trascurate, a volte anche sotto le spinte competitive a
comunicare di più, a integrare i propri dati con quelli dei propri clienti
o fornitori, a diffondere il proprio know how tra i dipendenti.
L'azienda deve continuare a proporre prodotti sempre migliori, con
caratteristiche diverse, con costi più bassi rispetto alla concorrenza.
Qual'è il senso di spendere tanto per sviluppare un nuovo prodotto o
un nuovo servizio, per poi non proteggere adeguatamente i risultati di
questo investimento?
13. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Perché una PMI dovrebbe
richiedere un servizio di
Vulnerability Assessment e/o
Penetration Test
14. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Vulnerability Assessment e Penetration Test
Un Penetration Test ha una utilità analoga a quella di un controllo
notturno: un ente esterno, su richiesta, controlla periodicamente che
l'azienda sia sufficientemente protetta da accessi indesiderati dall'esterno
o dall‘interno verso le informazioni sensibili. I risultati consentono di
capire i punti deboli che potrebbero essere sfruttati da malintenzionati, e
quindi di porvi rimedio evitando gli errori banali e limitando i danni.
Il Vulnerability Assessment è la prima fase delle analisi. Normalmente
sono utilizzati degli scanner automatici per avere un primo quadro della
situazione. Fanno riferimento a vulnerabilità note per cui facilmente
individuabili.
Nella valutazione di un servizio offerto è fondamentale discriminare
questo limitato livello di verifica (Vulnerability Assessment) da quello più
approfondito previsto nel Penetration Test
15. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Abbiamo svolto una indagine fra le aziende del NordEst
Nello specifico questi sono stati i quesiti:
1.Ogni quanto svolge un PENETRATION TEST
2.Su quale base sceglie il fornitore
3.Ha mai svolto delle analisi di sicurezza nel perimetro interno. Dove l'analisi è
composta da una serie di processi che simulano le azioni normalmente svolte
da un dipendente o consulente nella rete interna.
4.Quale sono gli aspetti per le attività svolte in passato di cui sono stato PIU’
soddisfatto (anche più di una risposta)
5.Quale sono gli aspetti per le attività svolte in passato di cui sono stato MENO
soddisfatto (anche più di una risposta)
Il campione delle aziende che hanno risposto costituito da 50 questionari
compilati con percentuali maggiori fra Manifatturiero e Servizi e con un
fatturato principalmente fra i 51 e 250Mln di Euro e oltre i 500Mln
16. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Ogni quanto svolge un PENETRATION TEST?
Ritornando al passato… Ogni quanto controlli le mura, gli accessi, gli
strumenti di difesa e le guardie. Conosci i punti deboli, i danni dovuti al
tempo e alle intemperie, sai chi sono i tuoi nemici.
Il 30% non fa mai
controllare da un
terzo e non
consoce i suoi
punti deboli celati
17. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Ha mai svolto delle analisi di sicurezza nel perimetro
interno?
Dove l’analisi è composta da una serie di processi che simulano le azioni
normalmente svolte da un dipendente e consulente nella rete interna.
Il 57% non ha mai
svolto una analisi
interna o non ne
sente l’esigenza
18. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Rischio?
Una tipica osservazione che viene fatta dall’azienda PMI è “Non sono un
obiettivo sensibile” oppure “Perché io?”.
Di fatto, le nuove tecnologie consentono alle PMI di utilizzare una buona
parte dei medesimi sistemi informativi utilizzati dalle grandi imprese. Nel
fare questo, le piccole aziende si espongono a molte delle minacce che
tradizionalmente si associano alle
grandi società. Sfortunatamente, una
percentuale non irrilevante delle
aziende colpite da inconvenienti che
hanno messo fuori uso i computer
non riesce a recuperare il danno e
l’azienda stessa è costretta a chiudere.
19. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Perché io?
Le scansioni (normalmente non percepite) sono ripetute continuamente
giorno e notte nella rete internet, a qualsiasi indirizzo pubblico ed in modo
automatico, da curiosi, malintenzionati o robot (software automatizzati).
http://www.sicherheitstacho.eu/?lang=en
Ma va aggiunta una nuova forma di protesta che in questo periodo di crisi
è una problematica reale. Cerchiamo di fare un rapido parallelismo fra
forme di protesta tradizionali con quelle digitali.
Scritta sul muro o tazebao Defacing del sito aziendale
Sit In Netstrike
Distribuire volantini Massive Mail
Occupazione di uno stabile Cybersquatting
Picchetto DDoS
Attivismo Hacktivism
20. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Sono un obiettivo più sensibile di altri
Per alcune aziende il governo ha firmato a fine gennaio 2013 il decreto volto ad
accrescere le capacità del Paese di confrontarsi con le minacce alla sicurezza
informatica http://www.governo.it/Presidenza/Comunicati/dettaglio.asp?d=70337
Le infrastrutture critiche sono:
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di
tutte le forme di energia, quali ad esempio il gas naturale
• Telecomunicazioni e telematica;
• Risorse idriche e gestione delle acque reflue;
• Agricoltura, produzione delle derrate alimentari e loro distribuzione;
• Sanità, ospedali e reti di servizi e interconnessione;
• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei
prodotti di prima necessità;
• Banche e servizi finanziari;
• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine
pubblico);
• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle
Emergenze.
21. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Effetti collaterali
I rischi informatici come lo spionaggio industriale o l’accesso abusivo ai
sistemi nella PMI non sono generalmente percepiti. I rischi correlati
alle informazioni possono portare a situazioni critiche, quando vanno
ad investire l’essenza dell’organizzazione, sul piano aziendale e
legale.
I rischi correlati alle informazioni possono portare pertanto a categorie
di rischio più generali e a maggiore criticità quali:
• rischio legale/legato agli adempimenti è il rischio derivante da
violazioni o mancato rispetto di leggi
• rischi di stabilità finanziaria
• il rischio produttività è il rischio di riportare perdite operative
• reputazione e fiducia nella clientela
22. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Benefici
Considerando le statistiche sugli incidenti informatici, la maggior parte degli
attacchi (circa il 65%) sono stati realizzati con tecniche ben note. Per cui con la
realizzazione di un Penetration Test queste vulnerabilità potrebbero essere
mitigate, se non eliminate, con una certa facilità.
Si stima che la spesa in ICT security sia pari al 15%
delle perdite dirette e indirette generate dagli
incidenti di sicurezza (Clusit 2012). Pertanto una
PMI che fa un investimento di 5 mila Euro in
sicurezza riesce a mitigare un rischio per l’azienda
di circa 35 mila Euro.
Va chiarito con il fornitore se svolge un Vulnerability Assessment (costo ridotto) o
Penetration Test (più oneroso ma più utile perché bastato sull’esperienza). Valori
discordanti creano confusione nel cliente
23. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
La frequenza è in relazione alla nuove vulnerabilità note in particolare per la
rete e i sistemi. La frequenza di un analisi in Italia non è normata e può
variare da settore a settore.
Nei paesi anglosassoni un Vulnerabilty
Assment viene svolto ogni 3/6 mesi.
Possibilmente in coincidenza di una
variazione della configurazione di rete,
sistemi e applicazioni.
Nei paesi anglosassoni un Penetration Test
viene svolto ogni 6 mesi/1 anno. I revisori
a volte sollecitano una verifica in
coincidenza dell’Audit più ampio annuale
dell’azienda.
Con quale frequenza
25. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Survey: Su quale base sceglie il fornitore?
26. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Metodologia e Documentazione
Garanzia di una metodologia standard ripetibile come OSSTMM
(Open Source Security Testing Methodology Manual). Per garantire
una valutazione oggettiva e che faccia riferimento a metodologie
standard è necessario riferirsi a normative riconosciute.
“Il titolare che adotta misure minime di sicurezza avvalendosi
di soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall’installatore una descrizione scritta
dell’intervento effettuato che ne attesta la conformità alle
disposizioni del presente disciplinare tecnico” (cfr Art. 25
dell’Allegato B al D.Lgs. 196/03). Ci deve essere una Sintesi per la
direzione che identifica i maggiori fattori di rischio per l’azienda e un
Report Tecnico che contiene l'analisi dettagliata dei problemi e la
soluzione tecnica
27. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Prima cosa: Definire il tipo di Penetration Test
Intrusivo o meno, Decadimento accettabile, Blind/Gray Box
28. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Esterno o Interno
Seconda cosa: Definire il perimetro e il vettore
Il 57% non ha mai
svolto una analisi
interna o non ne
sente l’esigenza.
L’interno è il più
importante
WI-FI
Voip
IP
VPN
WEB
Mobile Database
SCADA
Social Accesso
fisico
29. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Definire un percorso di miglioramento
Se una Azienda commissiona questa attività per la prima volta ad un
fornitore esterno, il valore aggiunto è quello di verificare oggettivamente
le barriere difensive verso l’esterno. Se invece l’attività è già stata svolta
devo avere come obiettivo quello di standardizzare il processo in modo da
creare un percorso di miglioramento continuo delle difese. (Ciclo PDCA)
L’analisi esterna è quella che più spesso commissionata dalla PMI ad un
fornitore. Erroneamente l’azienda pensa che il maggiore rischio sia
proveniente dall’esterno. Secondo recenti studi in materia di sicurezza
informatica, la maggior parte delle violazioni ai sistemi IT deriva
dall’errore umano, che amplifica la vulnerabilità agli attacchi cybercrime.
Per chi ha già svolto analisi esterne, oltre al percorso di miglioramento
suggeriamo di analizzare il perimetro interno dove si trovano spesso le
vere criticità per la PMI
30. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
E…
• Definire il periodo (durata, periodo, sistemi Online). In caso si voglia
definire una procedura operativa va definita anche una frequenza.
• Definire chi sono le persone chiave in azienda che devono essere
informate del test e chi sono i contatti per il fornitore in caso di problemi
durante il test.
• Definire di chi è il compito di correggere le vulnerabilità identificate
31. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Come orientarsi nella selezione del fornitore
1. Prevendita
2. Verifica indiretta
3. Gestione del rischio
4. Metodologia
5. Reperibilità
6. Oggettività
7. Competenza
8. Rotazione
9. Uso dei dati del cliente
10.Pianificazione
32. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Prevendita
NO Terrore psicologico o creare dubbi per vendere il servizio
SI Chiedere un report di esempio ma fare attenzione che siano
anonimizzati
Il fornitore è tenuto in ogni caso a garantire la riservatezza e a non
divulgare informazioni sui clienti e sui risultati dei test
33. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Verifica indiretta
E’ necessario acquisire informazioni sul fornitore, devo informarmi su chi
sono le persone che svolgeranno i lavori.
Le certificazioni non garantiscono la qualità, ma forniscono un certo livello
di garanzia che il personale tecnico del fornitore sia stato addestrato per
questo tipo di impegni. Nelle certificazioni vanno privilegiate quelle neutre
meno quelle dei vendor.
Fare attenzione anche che il PT sia svolto dal Team di esperti presentato e
non svolto da personale non qualificato
E’ consuetudine chiedere le referenze da parte dei clienti precedenti. E'
però possibile che il fornitore non sia in grado di soddisfare questa
richiesta a causa di accordi di riservatezza con gli altri suoi clienti.
34. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Gestione del rischio
la mancanza di una pianificazione concordata fra cliente e fornitore anche
in forma scritta è potenzialmente rischiosa.
Per evitare potenziali disservizi sui sistemi e sui servizi applicativi in
produzione, nel corso delle attività tipicamente non viene verificata
l’applicabilità degli attacchi invasivi di tipo Denial of Service (DoS), a
meno di una esplicita richiesta del Cliente
Tutti i fornitori di servizi di PT devono avere un'assicurazione di
responsabilità civile
35. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Metodologia
Il fornitore dovrebbe fare uso di un metodo comunemente accettato.
Deve poter essere ripetibile. L’importanza di procedurizzare l’esecuzione
di un PT dà all'organizzazione la possibilità di riutilizzare le risorse
prestabilite. Con la diminuzione del tempo necessario per effettuare la
valutazione si riducono i costi complessivi di valutazione.
Devono essere considerate le norme di riferimento (es. Decreto 196, 231,
ISO27001, ITIL ecc…)
36. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Oggettività
Una delle cose che capita spesso nella PMI è che sia affidata l’esecuzione
del PT al fornitore di sicurezza abituale dell’azienda. Questo è
chiaramente un conflitto di interesse ma può in linea di massima essere
ragionevole se ci si limita ad un Vulnerability Assessment.
Mentre in caso di PT non ha senso che il fornitore abituale faccia una
autovalutazione, in quanto è implicito che adotti quelli che per lui sono i
migliori standard di sicurezza.
Per la correzione delle vulnerabilità l’azienda le può fare in autonomia o
fornire le informazioni sulle vulnerabilità da correggere al fornitore
abituale.
37. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Rotazione
Buona norma, adottata da molte aziende è una rotazione sul fornitore che
esegue il PT. Questo garantisce una individuazione più ampia delle
vulnerabilità nel tempo.
38. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Survey: Quale sono gli aspetti per le attività svolte in passato di cui
sono stato PIU’ soddisfatto?
Vulnerabilità
Trovate
Reportistica
Livello di Analisi
39. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Survey: Quale sono gli aspetti per le attività svolte in passato di cui
sono stato Meno soddisfatto?
Analisi Rischio
Remediation
Livello di Analisi
40. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Fare un passo avanti: Analisi del rischio
L’obiettivo del documento è anche quello di stimolare la PMI nel
creare una metodologia standard ripetibile per registrare le verifiche
di sicurezza.
Per un semplice calcolo dell’analisi del rischio questa può essere fatta
mettendo in relazione il livello di vulnerabilità con la priorità che
abbiamo associato alla risorsa utilizzando una tabella
Livello di rischio per ogni bene.
41. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Gruppo di approfondimento 2013
Sicurezza cibernetica nazionale, la consapevolezza nelle infrastrutture
critiche del Nord Est
In gennaio 2013 è stato firmato il decreto per accrescere le capacità del
Paese di confrontarsi con le minacce alla sicurezza informatica. L’Italia si
dota così della prima definizione di un’architettura di sicurezza cibernetica
nazionale e di protezione delle infrastrutture critiche.
Scopo del gruppo di lavoro è identificare il livello di percezione e di
gestione che hanno le infrastrutture critiche ma anche quelle produttive
nell’area del Nord Est. Infatti queste infrastrutture se violate potrebbero
avere un effetto domino creando dei danni non solo in ambito lavorativo
ma anche in quello personale. Inoltre è in arrivo la nuova normativa UE
sulla protezione dei dati personali dove si stabilisce l'obbligo per tutti i
titolari di notificare all'autorità competente le violazioni dei dati personali
("personal data breaches");
42. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Gruppo di approfondimento 2013
infrastrutture critiche sono:
•Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme
di energia, quali ad esempio il gas naturale
•Telecomunicazioni e telematica;
•Risorse idriche e gestione delle acque reflue;
•Agricoltura, produzione delle derrate alimentari e loro distribuzione;
•Sanità, ospedali e reti di servizi e interconnessione;
•Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di
prima necessità;
•Banche e servizi finanziari;
•Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);
•Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze.
Se siete una infrastruttura critica, avete una produzione che se violata avrebbe un
impatto sulla vita umana o siete interessati a partecipare al survey mandate una
mail isacavenice@yahoo.com
43. Vulnerability Assessment e Penetration Test per le PMI – Luca
Moroni
Domande
Questo è Link per il Download del documento che è gratuito
http://www.isaca.org/chapters5/Venice/
NewsandAnnouncements/Pages/Page1.aspx
Il 18% degli attacchi informatici secondo una stima symantech su scala globale è verso aziende con meno di 250 dipendenti. E l’87% di queste non ha policy scritte di sicurezza in internet
BLIND: quando l’attaccante non conosce minimamente il sistema da analizzare. E’ conosiuto solamente il target (Indirizzi IP o URL) DOUBLE BLIND: simile a quello precedente con la differenza che alcune persone del committente sono al corrente del test. Viene tipicamente usato per verificare se il personale interno dedicato alla sicurezza è “vigile” e svolge con diligenza il proprio lavoro. GRAY BOX: sia l’attaccante che l’attacco sono pienamente a conoscenza sia del sistema informatico da analizzare che delle modalità di attacco. Viene utilizzato quando si analizza il proprio sistema interno. DOUBLE GRAY BOX: è un gray box che prevede la conoscenza delle credenziali di accesso. Viene usato per testare l’accesso ad informazioni più riservate rispetto al suo livello da parte di un utente. TANDEM: analisi del codice. Chi verifica e chi crea il codice collaborano REVERSAL: test a uso interno. Il tester ha una grande quantità di informazione il committente non sa i tempi e le metodologie con cui verrà attaccato.