Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Affrontare la sicurezza di una web application è uno dei compiti più difficili che uno sviluppatore deve considerare durante le fasi di sviluppo ed integrazione di un software o di un semplice sito web.
Le minacce presenti sul web sono sempre più numerose e ricercare vulnerabilità e metodi di attacco diventa sempre più semplice, anche per i meno esperti.
Il talk mira a fornire indicazioni utili per cercare di evitare al massimo attacchi sulle proprie applicazioni, analizzando le principali vulnerabilità dei più famosi progetti Open Source.
Mercoledì 21 Marzo 2012, presso il Museo della Scienza e della Tecnologia a Milano, L’Osservatorio ICT per il non Profit della Fondazione THINK! The Innovation Knowledge Foundation in collaborazione con Informatici Senza Frontiere, ha presentato il rapporto sullo stato dell’arte dell’utilizzo delle tecnologie informatiche all’interno del Terzo Settore.
Questo il contributo di Enrico Acquati, Direttore della Ricerca di THINK!
www.thinkinnovation.org
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudDenodo
Watch full webinar here: https://bit.ly/2FPwmfN
In questo contesto la virtualizzazione dei dati riveste un ruolo strategico nelle architetture multicloud, garantendo agli utenti aziendali un accesso controllato a tutti i dati, indipendentemente dalla loro localizzazione, in modo semplice e veloce. Al contempo aggiunge la semantica e la governance, necessaria nei moderni ambienti di dati e garantendo il controllo locale ai "proprietari dei dati"e il rispetto delle normative locali sulla privacy e la protezione dei dati.
Unisciti a noi per capire come la tua azienda può affrontare e superare le sfide insite nell’adozione di un modello Cloud/Multi-Cloud e conoscere le Best Practice per una corretta gestione dei dati e dei costi in un tale modello.
In questa sessione approfondiremo:
- Le sfide che le organizzazioni devono affrontare quando adottano strategie di dati multi-cloud
- Come la Piattaforma di virtualizzazione dei dati di Denodo fornisce un livello di accesso ai dati controllato per tutta l'organizzazione
- Le diverse architetture multi-location che possono massimizzare il controllo locale sui dati, rendendoli comunque facilmente disponibili
- Come le organizzazioni hanno beneficiato dell'utilizzo della piattaforma Denodo nelle architetture multi-cloud
Cloud computing: Proteggere i dati per non cadere dalle nuvoleAmmLibera AL
La guida del Garante della Privacy per imprese e pubblica amministrazione
Il mondo delle imprese e della P.a. sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing. Questo termine è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque tipo di prodotto o servizio ICT. Le cosiddette "nuvole informatiche" offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto.
Il Garante per la protezione dei dati personali, per facilitare l'attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una "mini guida" intitolata "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole", pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è infatti necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Denodo
Watch full webinar here: https://bit.ly/3m9tIkF
I dati sono il carburante della conoscenza, ma la loro mole fa emergere nuove sfide:
- come integrare dati eterogenei;
- come metterli a disposizione a chi ne ha bisogno;
- come renderne esplicito il significato.
Il Cloud, inoltre, rende il dato ubiquo e distribuito, amplificando la complessità e costringendoci a semplificarla, adottando un approccio basato sulla Data Virtualization.
Portare i propri dati o servizi su cloud fa ancora paura e la paura è una barriera all’ingresso. Ma davvero il Cloud è così pericoloso? Davvero è meno sicuro di quanto non lo sia custodire tutto in casa?
La risposta sta in un paragone spesso usato in questi casi, che è quello dei risparmi: è più sicuro portare i propri soldi in banca che tenerli a casa propria, perché la banca ha una capacità di difesa dei propri averi molto più elevata di quanto ciascuno di noi possa fare autonomamente.
Nel mondo IT accade la stessa cosa. Sicuramente i cloud provider sono in grado di creare dei livelli di difesa e protezione dei dati dei propri clienti superiori rispetto a quanto non possa fare internamente l’azienda stessa. Tuttavia, mentre i soldi depositati in banca vengono rimpiazzati da altri soldi nel caso di una rapina, i propri dati non possono essere rimpiazzati da altri dati una volta persi o rubati. Questo dimostra che le paure nell’affrontare il cloud sono fondate e che la sfida per i cloud provider è molto elevata. Mentre la banca può mettere in conto di essere svaligiata, i cloud provider non possono neanche prendere in considerazione tale ipotesi.
In questo panel capiremo come questi problemi sono stati risolti e quali sono le tecnologie attualmente disponibili per far fronte a queste eventualità.
Portare i propri dati o servizi su cloud fa ancora paura e la paura è una barriera all’ingresso. Ma davvero il Cloud è così pericoloso? Davvero è meno sicuro di quanto non lo sia custodire tutto in casa?
La risposta sta in un paragone spesso usato in questi casi, che è quello dei risparmi: è più sicuro portare i propri soldi in banca che tenerli a casa propria, perché la banca ha una capacità di difesa dei propri averi molto più elevata di quanto ciascuno di noi possa fare autonomamente.
Nel mondo IT accade la stessa cosa. Sicuramente i cloud provider sono in grado di creare dei livelli di difesa e protezione dei dati dei propri clienti superiori rispetto a quanto non possa fare internamente l’azienda stessa. Tuttavia, mentre i soldi depositati in banca vengono rimpiazzati da altri soldi nel caso di una rapina, i propri dati non possono essere rimpiazzati da altri dati una volta persi o rubati. Questo dimostra che le paure nell’affrontare il cloud sono fondate e che la sfida per i cloud provider è molto elevata. Mentre la banca può mettere in conto di essere svaligiata, i cloud provider non possono neanche prendere in considerazione tale ipotesi.
In questo panel capiremo come questi problemi sono stati risolti e quali sono le tecnologie attualmente disponibili per far fronte a queste eventualità.
Affrontare la sicurezza di una web application è uno dei compiti più difficili che uno sviluppatore deve considerare durante le fasi di sviluppo ed integrazione di un software o di un semplice sito web.
Le minacce presenti sul web sono sempre più numerose e ricercare vulnerabilità e metodi di attacco diventa sempre più semplice, anche per i meno esperti.
Il talk mira a fornire indicazioni utili per cercare di evitare al massimo attacchi sulle proprie applicazioni, analizzando le principali vulnerabilità dei più famosi progetti Open Source.
Mercoledì 21 Marzo 2012, presso il Museo della Scienza e della Tecnologia a Milano, L’Osservatorio ICT per il non Profit della Fondazione THINK! The Innovation Knowledge Foundation in collaborazione con Informatici Senza Frontiere, ha presentato il rapporto sullo stato dell’arte dell’utilizzo delle tecnologie informatiche all’interno del Terzo Settore.
Questo il contributo di Enrico Acquati, Direttore della Ricerca di THINK!
www.thinkinnovation.org
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudDenodo
Watch full webinar here: https://bit.ly/2FPwmfN
In questo contesto la virtualizzazione dei dati riveste un ruolo strategico nelle architetture multicloud, garantendo agli utenti aziendali un accesso controllato a tutti i dati, indipendentemente dalla loro localizzazione, in modo semplice e veloce. Al contempo aggiunge la semantica e la governance, necessaria nei moderni ambienti di dati e garantendo il controllo locale ai "proprietari dei dati"e il rispetto delle normative locali sulla privacy e la protezione dei dati.
Unisciti a noi per capire come la tua azienda può affrontare e superare le sfide insite nell’adozione di un modello Cloud/Multi-Cloud e conoscere le Best Practice per una corretta gestione dei dati e dei costi in un tale modello.
In questa sessione approfondiremo:
- Le sfide che le organizzazioni devono affrontare quando adottano strategie di dati multi-cloud
- Come la Piattaforma di virtualizzazione dei dati di Denodo fornisce un livello di accesso ai dati controllato per tutta l'organizzazione
- Le diverse architetture multi-location che possono massimizzare il controllo locale sui dati, rendendoli comunque facilmente disponibili
- Come le organizzazioni hanno beneficiato dell'utilizzo della piattaforma Denodo nelle architetture multi-cloud
Cloud computing: Proteggere i dati per non cadere dalle nuvoleAmmLibera AL
La guida del Garante della Privacy per imprese e pubblica amministrazione
Il mondo delle imprese e della P.a. sta attraversando un periodo di intensa innovazione guidata da un nuovo tipo di tecnologie e di modalità di fruizione dei servizi: il cloud computing. Questo termine è diventato talmente diffuso da essere utilizzato, a volte anche in modo inappropriato, per qualunque tipo di prodotto o servizio ICT. Le cosiddette "nuvole informatiche" offrono una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi aggiuntivi di cui è bene tener conto.
Il Garante per la protezione dei dati personali, per facilitare l'attività di aggiornamento e innovazione di imprenditori e amministratori pubblici, ha deciso di realizzare una "mini guida" intitolata "CLOUD COMPUTING - Proteggere i dati per non cadere dalle nuvole", pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie. Prima di esternalizzare la gestione di dati e documenti o adottare nuovi modelli organizzativi è infatti necessario porsi alcune domande, scegliendo con cura la soluzione più sicura per le attività istituzionali o per il proprio business.
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Dati distribuiti e rappresentazione centralizzata, ovvero come valorizzare il...Denodo
Watch full webinar here: https://bit.ly/3m9tIkF
I dati sono il carburante della conoscenza, ma la loro mole fa emergere nuove sfide:
- come integrare dati eterogenei;
- come metterli a disposizione a chi ne ha bisogno;
- come renderne esplicito il significato.
Il Cloud, inoltre, rende il dato ubiquo e distribuito, amplificando la complessità e costringendoci a semplificarla, adottando un approccio basato sulla Data Virtualization.
Portare i propri dati o servizi su cloud fa ancora paura e la paura è una barriera all’ingresso. Ma davvero il Cloud è così pericoloso? Davvero è meno sicuro di quanto non lo sia custodire tutto in casa?
La risposta sta in un paragone spesso usato in questi casi, che è quello dei risparmi: è più sicuro portare i propri soldi in banca che tenerli a casa propria, perché la banca ha una capacità di difesa dei propri averi molto più elevata di quanto ciascuno di noi possa fare autonomamente.
Nel mondo IT accade la stessa cosa. Sicuramente i cloud provider sono in grado di creare dei livelli di difesa e protezione dei dati dei propri clienti superiori rispetto a quanto non possa fare internamente l’azienda stessa. Tuttavia, mentre i soldi depositati in banca vengono rimpiazzati da altri soldi nel caso di una rapina, i propri dati non possono essere rimpiazzati da altri dati una volta persi o rubati. Questo dimostra che le paure nell’affrontare il cloud sono fondate e che la sfida per i cloud provider è molto elevata. Mentre la banca può mettere in conto di essere svaligiata, i cloud provider non possono neanche prendere in considerazione tale ipotesi.
In questo panel capiremo come questi problemi sono stati risolti e quali sono le tecnologie attualmente disponibili per far fronte a queste eventualità.
Portare i propri dati o servizi su cloud fa ancora paura e la paura è una barriera all’ingresso. Ma davvero il Cloud è così pericoloso? Davvero è meno sicuro di quanto non lo sia custodire tutto in casa?
La risposta sta in un paragone spesso usato in questi casi, che è quello dei risparmi: è più sicuro portare i propri soldi in banca che tenerli a casa propria, perché la banca ha una capacità di difesa dei propri averi molto più elevata di quanto ciascuno di noi possa fare autonomamente.
Nel mondo IT accade la stessa cosa. Sicuramente i cloud provider sono in grado di creare dei livelli di difesa e protezione dei dati dei propri clienti superiori rispetto a quanto non possa fare internamente l’azienda stessa. Tuttavia, mentre i soldi depositati in banca vengono rimpiazzati da altri soldi nel caso di una rapina, i propri dati non possono essere rimpiazzati da altri dati una volta persi o rubati. Questo dimostra che le paure nell’affrontare il cloud sono fondate e che la sfida per i cloud provider è molto elevata. Mentre la banca può mettere in conto di essere svaligiata, i cloud provider non possono neanche prendere in considerazione tale ipotesi.
In questo panel capiremo come questi problemi sono stati risolti e quali sono le tecnologie attualmente disponibili per far fronte a queste eventualità.
Portare i propri dati o servizi su cloud fa ancora paura e la paura è una barriera all’ingresso. Ma davvero il Cloud è così pericoloso? Davvero è meno sicuro di quanto non lo sia custodire tutto in casa?
La risposta sta in un paragone spesso usato in questi casi, che è quello dei risparmi: è più sicuro portare i propri soldi in banca che tenerli a casa propria, perché la banca ha una capacità di difesa dei propri averi molto più elevata di quanto ciascuno di noi possa fare autonomamente.
Nel mondo IT accade la stessa cosa. Sicuramente i cloud provider sono in grado di creare dei livelli di difesa e protezione dei dati dei propri clienti superiori rispetto a quanto non possa fare internamente l’azienda stessa. Tuttavia, mentre i soldi depositati in banca vengono rimpiazzati da altri soldi nel caso di una rapina, i propri dati non possono essere rimpiazzati da altri dati una volta persi o rubati. Questo dimostra che le paure nell’affrontare il cloud sono fondate e che la sfida per i cloud provider è molto elevata. Mentre la banca può mettere in conto di essere svaligiata, i cloud provider non possono neanche prendere in considerazione tale ipotesi.
In questo panel capiremo come questi problemi sono stati risolti e quali sono le tecnologie attualmente disponibili per far fronte a queste eventualità.
La cybersecurity nel telecontrollo delle reti idricheServizi a rete
Webinar 14 aprile 2021
Per ogni gestore è oggi imprescindibile ricorrere alla telegestione e al telecontrollo per una gestione efficiente delle proprie infrastrutture. Ciascuna utility opera, infatti, sui diversi impianti attraverso una connessione internet per gestire efficientemente i propri asset anche da remoto. Ma quali sono i rischi a cui l’infrastruttura viene esposta? In quanti modi è possibile subire un attacco digitale? È qui che entra in gioco l’importanza della cyber security.
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
Presentazione di Mario Pissardo, Centro di Eccellenza Blockchain e IoT,, al convegno "Blockchain e fiducia digitale" (Torino, 26 giugno 2019) organizzato dal CSI Piemonte
CCI2017 - Protect and manage your digital transformation - Giuseppe D'Osualdo...walk2talk srl
Lavorare in un mondo cloud-first / mobile-first richiede un nuovo approccio: i dati devono essere accessibili, utilizzati e condivisi sia on-prem che nel cloud, cancellando i confini tradizionali di sicurezza; c'è bisogno di una tecnologia che protegga dalle minacce in evoluzione.
La tecnologia Microsoft assicura la trasformazione digitale con una piattaforma completa e un'intelligenza unica: con Microsoft Enterprise Mobility + Security, le aziende possono gestire in modo completo l’identità dei propri dipendenti, e collaboratori, oltre che mettere in sicurezza i dispositivi ed i dati aziendali, il tutto in modo centralizzato e connesso.
In questa sessione vedremo come la vostra organizzazione possa raggiungere l'equilibrio della sicurezza e dell'implementazione degli utenti finali, con controlli di sicurezza efficaci per identità, periferiche, dati, applicazioni e infrastrutture.
Scopriremo come proteggere i dati dell'organizzazione dall'accesso non autorizzato, individuare attacchi e violazioni e aiutarti a rispondere e attivare le correzioni per impedire che accada di nuovo.
Vedremo quindi come funzionano alcuni degli strumenti della suite, come Azure Active Directory, Intune e Azure Information Protection.
Per richiedere accesso al canale contenente le registrazioni audio/video delle sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
Social Engineering and other Foes in the GDPR YearMassimo Chirivì
Il workshop è dedicato all'approfondimento di una serie di attacchi e minacce da tener sotto controllo per ottemperare al pieno rispetto del GDPR.
Si approfondiranno temi legati a crittografia, data loss prevention, sicurezza fisica, social engineering attack e Open Source Intelligence.
Una veloce full immersion utile per sintetizzare e costruire il nuovo modus operandi ICT aziendale.
Target:
Lato domanda ICT: CIO, CISO, tecnici dei sistemi informatici e della loro sicurezza, responsabili delle diverse direzioni utenti dei sistemi informatici, responsabili del personale e dell’organizzazione, responsabili degli acquisti, CEO, COO e decisori sull’ICT
Lato offerta ICT: personale commerciale e marketing, tecnici, responsabili del personale e dell’organizzazione, CEO e COO, oltre a CIO, CSO, CISO e personale delle loro strutture.
Il 2016, in Italia, è partito veramente male per le aziende che vengono continuamente bersagliate dai cosiddetti “Criminali del web”. Solo in provincia di Vicenza le aziende che sono state vittima di ransomware sono circa 250. I danni per molte aziende sono stati ingenti, quelle non organizzate e strutturate con sistemi di protezione, sistemi di backup e/o disaster recovery hanno avuto la peggio perdendo i dati, mentre le organizzazioni che avevano già da tempo dato importanza alla “Sicurezza Informatica” si sono limitate a qualche ora di fermo per poter avviare e portare a termine i vari piani di Disaster Recovery.
Purtroppo questi fenomeni e queste tipologie di attacchi stanno diventando sempre più numerosi e potenti, grazie al fatto che, nel mondo del “Dark Web”, si trovano spesso i cosiddetti “Distributori di ransomware”, che arruolano nelle proprie organizzazioni criminali chiunque sia in cerca di soldi facili: vendono dei kit a pochi soldi, naturalmente si fanno pagare in Bitcoin (moneta virtuale) aumentando così la rete e l'area di distribuzione. Le soluzioni “fai da te” non hanno portato buoni risultati; ho visto negli ultimi mesi aziende che avevano sistemi di backup e soluzioni antivirus che comunque sono state attaccate da queste tipologie di virus perdendo dati e backup. Alcuni, ad esempio, avevano i dispositivi su cui venivano depositati i backup connessi ai computer e/o server e privi di sistemi di protezione adeguati. Voglio ricordare che i ransomware si espandono sul PC infettato e su tutti i dispositivi collegati (Dischi USB, Pen Drive, sistemi di Storage, NAS, e quant’altro), ripeto, privi di sistemi di protezione adeguati.
Il Cloud computing nel 2012 - il know aziendale è al sicuro
1. Il Cloud Computing nel 2012
Il know aziendale è al sicuro?
Massimo Chirivì – 15/02/2012 - BARI
2. L’impegno per l’innovazione
• Consulente ICT dal 1995
• Al servizio delle aziende per lavoro
• Al servizio della P.A. per hobby e passione dal 1998
Associazioni
• AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica
• AICA - Associazione Italiana per il calcolo automatico
• Federazione Italiana Privacy
• ISSA - Information Systems Security Association
• CLUSIT - Associazione Italiana per la Sicurezza Informatica
2
3. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica
AIPSI
Associazione
Capitolo
di singoli
Italiano di
professionisti
ISSA
Oltre 10.000
200 soci in
esperti in
Italia
tutto il mondo
3
4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica
Obiettivi:
• Organizzazione di forum educativi
• Redazione di documenti e pubblicazioni
specializzate
• Interscambio di esperienze fra i professionisti del
settore (nazionali e internazionali)
• Riferimento per la ricerca di professionisti di
sicurezza IT
• Interazione con altre organizzazioni professionali
• Rilascio di attestati e certificazioni specifiche
4
6. Tipologie di Cloud Computing :
Insieme di tecnologie informatiche che permettono
l’utilizzo remoto di risorse hardware o software
distribuite potenzialmente ovunque nel mondo.
SaaS: Software as a Service - Consiste nell’utilizzo di programmi in remoto, spesso
attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine
oggi in disuso ASP (Application Service Provider)
PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una
piattaforma software che può essere costituita da diversi servizi, programmi, librerie
IaaS Infrastructure as a Service - Utilizzo di risorse Cloud Computing in remoto. Questo
tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo
distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne
ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo.
6
7. Criticità e rischi del Cloud Computing
• Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a
seguito di disastri.
• Limiti della rete Internet.
• Conformità a standard/normative.
• Dove sono i miei dati?
• Chi tiene i miei dati?
• Sotto quale giurisdizione?
• Sono protetti?
Sicurezza Commerciale / Legale
CLOUD
Privacy
7
8. I principi generali sulla Sicurezza Informatica
Le risorse Per l’HW consiste in:
informatiche e le elaborazione corretta
informazioni sono dei dati,livello
accessibili agli adeguato delle
utenti autorizzati nel prestazioni, corretto
momento in cui
servono Disponibilità Integrità instradamento dei
dati.
Per le Inform.
L’integrità viene meno
quando i dati sono
alterati, cancellati o
inventati, per errore o
per dolo.
Sicurezza
Limitare l’accesso alle
Inform.e risorse HW alle sole
persone autorizzate.
8
10. Cloud Computing – Gli attori
Il fornitore dei Colui che seleziona
servizi e configura i servizi
CLOUD Cliente da far utilizzare dal
Fornitore
COMPUTING Admin cliente finale
Cliente
fruitore Colui che utilizza i
servizi CLOUD
10
11. Cloud Computing – Disponibilita’ dei dati
Reperibilità Accessibilità Asportabilità
Esempi:
-Controllo generale del DB.
-Interruzione del contratto con il fornitore.
-Blocco internet (Egitto)
11
12. Cloud Computing – Legge da applicare
Attenzione al foro competente!
Italia o Estero?
Europa o Stati Uniti?
12
13. Cloud Computing - Titolo VII - Trasferimento dei dati all'estero
• Art. 42. Trasferimenti all'interno dell'Unione europea
1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei
dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo stesso codice, di eventuali
provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.
• Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non
appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
• a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito
di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente
codice, anche in ordine all'inosservanza delle garanzie medesime;(1)
• b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento
europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente
all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
• (1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla
legge 6 agosto 2008, n. 133.
• Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o
mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando
l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate
anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
13
14. Cloud Computing - Titolo VII - Trasferimento dei dati all'estero
• Art. 43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:
• a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
• b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato
a favore dell'interessato;
• c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento
riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
• d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e
quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui
all'articolo 82, comma 2;
• e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
• f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili
da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;
• g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero
per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto
legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto
dai medesimi codici, presso altri archivi privati;
• h) [soppressa] (1)
• (1) Lettera soppressa dall'art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla
legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: "il trattamento concerne dati riguardanti persone
giuridiche, enti o associazioni".
14
15. Cloud Computing – Log Management
• Chi registra i LOG?
• Rispettano la nostra normativa?
• Sono disponibili in caso di necessità?
15
16. Cloud Computing – ATTENZIONE! Alcuni esempi…
LIVEDRIVE:
• You, and not Livedrive, are responsible for maintaining and protecting all of your
files. Livedrive will not be liable for any loss or corruption of your files, or for any
costs or expenses associated with backing up or restoring any of your files.
• With the exception of our business service, services that include Livedrive Backup
are not to be used for archiving. You must at all times hold an original copy of the
data in the original location on the system it was backed up from. If you delete files
from your computer that have been backed up we will remove the corresponding
backup from our servers.
GOOGLE APPS:
1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini "dati personali", "trattamento",
"responsabile del trattamento" e "incaricato del trattamento" avranno il significato
loro attribuito nella direttiva dell'Unione Europea. Ai fini del presente Contratto e
relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente
sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del
trattamento di tali dati. Google prenderà le misure tecniche e organizzative
necessarie affinché tali dati personali siano protetti da distruzione accidentale o
illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati.
16
17. Cloud Computing – ATTENZIONE! Alcuni esempi…
GOOGLE APPS
Posizione dei dati. Nell'ambito della fornitura di Servizi aggiuntivi, Google potrà
archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati
Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano.
Aruba ed i servizi a spazio illimitato.
Esistono? Analizziamo insieme le policy contrattuali.
ADRIVE
Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the
integrity, completeness or availability of Storage Data residing on Adrive's equipment. You are
responsible for independent backup of Storage Data stored using Adrive's services. You agree
to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive
harmless for any loss of data, whether on Your equipment or through Adrive's services, arising
out of or resulting from use of Adrive's services, including use of software provided by Adrive, if
any. Adrive may, but shall not be required to, delete Your Storage Data after the
termination of this Agreement.
17
18. Cloud Computing – Vantaggi e benefici.
• la capacità di diminuire i costi di start-up di un sistema;
• la possibilità di dimensionare sistemi e applicazioni sulla base dei normale carico di lavoro gestendo i picchi di
carico tramite la capacità di scalare tipica delle infrastrutture cloud;
• la capacità di ottimizzare i costi sia in termini di risorse computazionali, sia in termini di risorse di esercizio
(logistica, consumi elettrici, raffreddamento, ecc.), sia in termini di risorse umane di gestione;
• la possibilità di ridurre gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX).
Inoltre si possono ottenere ulteriori vantaggi dal punto di vista operativo:
• la drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi;
• la rapida capacità di scalare le risorse rapidamente per venire incontro a nuove esigenze o a requisiti
modificati;
• il rapido ed efficiente provisioning e deprovisioning delle risorse;
• l’ottimizzazione dei consumi energetici sia per le esigenze computazionali sia per le esigenze di refrigerazione
dei centri di elaborazione.
• soluzioni di sicurezza superiori ai propri standard interni;
• organizzazioni di sicurezza difficilmente realizzabili nelle proprie realtà interne;
• servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti più ristretti.
18
19. Cloud Computing – Problematiche e preoccupazioni.
• LOCK – IN si riferisce a tutti quei casi in cui una migrazione del servizio da un
fornitore a un altro (o un successiva internalizzazione) risulta difficoltosa o,
addirittura, impossibile.
• Transfer Back (E’ possibile riportare il servizio in HOUSE)
• Perdita della governance
• Multi-tenant model (condivisione delle risorse con altri attori)
19
20. Cloud Computing – Risk Assessment
Che tipo di danno si verrebbe a creare se:
• l’asset in valutazione diventasse di pubblico dominio?
• un dipendente del fornitore di servizi cloud avesse accesso all’asset in
valutazione?
• il processo o la funzione fossero fraudolentemente manipolati da un attaccante
esterno?
• il processo o la funzione non fornissero i risultati attesi?
• le informazioni/i dati fossero modificati in maniera non autorizzata?
• l’asset in valutazione non fosse disponibile per un dato periodo di tempo?
20
21. Cloud Computing – Gestione dell’infrastruttura
Accessi.
–– la classificazione delle tipologie di
Virtualizzazione. Servizi.
accesso;
–– l’utilizzo di componenti integrativi di –– l’individuazione delle tipologie di
–– l’individuazione di ruoli da assegnare alle
sicurezza; risorse;
risorse con particolare attenzione
–– l’utilizzo di controlli di sicurezza –– l’individuazione dei servizi che
nell’assegnazione dei
esterni per la protezione delle devono essere attivi su ogni tipologia di
privilegi di amministrazione e di accesso alle
interfacce di amministrazione; risorsa;
interfacce di gestione;
–– l’utilizzo dei controlli di sicurezza –– la realizzazione di un Patch
–– la definizione delle caratteristiche di
delle piattaforme di virtualizzazione per Management Program;
sicurezza delle diverse tipologie di canali di
la gestione del traffico che attraversa i –– l’utilizzo di strumenti automatizzati di
comunicazione;
“backplane”; discovery;
–– l’utilizzazione di protocolli sicuri di
–– la creazione di zone sicure basate –– l’effettuazione di Vulnerability
comunicazione;
sul tipo di utilizzo delle risorse. Assessment periodici.
–– l’applicazione del principio di “least
privilege”;
–– la definizione di standard per la gestione
Spazi fisici. degli accessi basati sul ruolo.
Personale. –– la definizione di un piano di sicurezza
–– la puntuale definizione dei ruoli anche in fisica;
relazione ai temi relativi alla protezione dei –– la definizione di aree a diversa Rete.
dati personali; criticità; –– la scelta di un’adeguata topologia di rete;
–– l’applicazione dei concetti di “need to –– l’implementazione di contromisure –– l’applicazione dei concetti di “Defence in
know”; fisiche per la prevenzione di accessi depth”;
–– la definizione delle procedure operative da non autorizzati; –– la segmentazione attraverso apparati di
applicare; –– l’adeguata gestione degli accessi del sicurezza;
–– l’adeguata formazione di tutte le figure personale esterno; –– la documentazione delle scelte effettuate;
previste; –– l’adeguata protezione da minacce di –– la revisione periodica o su base necessità
–– la realizzazione di un piano di audit. natura fisica. dell’intero progetto.
21
22. Cloud Computing – Le Sfide
• L’evoluzione normativa
• Il Cyber Crime
• La portabilità dei dati – LOCK IN
• l’approccio transnazionale
• le best practice
22