SlideShare a Scribd company logo

Responsible disclosure. La sicurezza è responsabilità di tutti

Team per la Trasformazione Digitale
Team per la Trasformazione Digitale

Intervento a cura di Andrea Ceresoni, Responsabile Cybersecurity, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione. A seguire intervento di Stefano Orciari (Reply).

Technology
1 of 13
Download to read offline
Sicurezza nella Pubblica Amministrazione e Responsible Disclosure Un modello per la segnalazione di vulnerabilità Andrea Ceresoni CyberSecurity
Time-Line Vulnerabilità software Cyber security drama Fonte: www.cvedetails.com/browse-by-date.php
didascalia Full disclosure “Full disclosure is the practice of publishing analysis of software vulnerabilities as early as possible, making the data accessible to everyone without restriction” Wikipedia Responsible disclosure
didascalia Cosa stiamo facendo / Responsible disclosure Responsible disclosure “In computer security or elsewhere, responsible disclosure is a vulnerability disclosure model in which a vulnerability or an issue is disclosed only after a period of time that allows for the vulnerability or issue to be patched or mended.” Wikipedia
ISO-IEC 29147:2018 Esiste già uno standard descrive i requisiti e le raccomandazioni su come segnalare in maniera responsible le segnalazioni di vulnerabilità. ➔ https://www.iso.org/standard/72311.html Responsible disclosure
Casi esemplari Responsible disclosure
Responsible disclosure Il Team per la Trasformazione Digitale sta valutando un modello di Responsible Disclosure che potrebbe essere applicato alla proprie piattaforme. ➔ Test locale sul proprio computer o dispositivo mobile del software. ➔ Test su ambienti senza dati di produzione (su richiesta). ➔ Test in ambiente di produzione, su richiesta, previa registrazione e manleva. “Cosa stiamo facendo” Cosa stiamo facendo
Responsible disclosure ENISA shall assist Member States and Union institutions, bodies, offices and agencies in establishing and implementing vulnerability disclosure policies on a voluntary basis “EU CYBERSECURITY ACT · ARTICLE 6 (b)” Cosa stiamo facendo
Ci sono anche casi in italia! Responsible disclosure
Responsible disclosure ➔Il cyber security manager ➔il CERT ➔il SOC ➔il team ICT con i gruppi di infrastruttura e applicativo che devono essere pronti ad intervenire in modo tempestivo. ➔Finito? ➔Assolutamente no! Nella squadra ci sono anche i legali, i regolamentari, l'ufficio stampa, il social media manager, il customer care... E’ un lavoro di squadra!
Responsible disclosure E’ una semplice procedura? ➔No, direi che è più un'avventura… ➔Gli attori con cui confrontarsi sono molti ed ognuno di loro ha parecchie domande e preoccupazioni da chiarire ➔Security manager: aumenteranno gli attacchi? ➔CERT: come la integro nel piano di vulnerability management? ➔ICT: Abbiamo già una roadmap, non riusciamo a fare anche questo! ➔Ufficio stampa: Potremmo apparire vulnerabili? ➔Il social media manager: ma la customer experience? ➔Il customer care: ma quindi dobbiamo mandare il tecnico a riparare l’apparato?
Responsible disclosure Ma i benefici? ➔ Il lavoro di squadra nella fase di setup della Responsible Disclosure rafforza le relazioni tra i team rendendo più agile la risposta alle criticità in ambito cyber ➔ Si identifica un numero maggiore di vulnerabilità ➔ Migliore gestione delle comunicazioni (social e customer care) ➔ Dalle domande emerse è possibile potenziare la Security Awareness
teamdigitale.governo.it @teamdigitaleIT @team-per-la-trasformazione-digitale @company/teamdigitale Seguici su Documento rilasciato con licenza CC-BY-SA-4.0

Recommended

Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Team per la Trasformazione Digitale
 
Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Le community di Designers Italia e Developers Italia: strumenti collaborativi...Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Team per la Trasformazione Digitale
 
Informatica solidale giugno 2015 v0_1
Informatica solidale giugno 2015 v0_1Informatica solidale giugno 2015 v0_1
Informatica solidale giugno 2015 v0_1
Claudio Tancini
 
GFT e PPM - Giancarlo Borso
GFT e PPM - Giancarlo BorsoGFT e PPM - Giancarlo Borso
GFT e PPM - Giancarlo Borso
PMexpo
 
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
Think! The Innovation Knowledge Foundation
 
Perchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it managerPerchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it managerDI.TECH - Innovazione per la distribuzione
 
Digital transformation
Digital transformationDigital transformation
Digital transformation
Sergio Patano
 
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech
 

Recommended

Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Con le linee guida sull’acquisizione e il riuso del software nella PA il merc...
Team per la Trasformazione Digitale
 
Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Le community di Designers Italia e Developers Italia: strumenti collaborativi...Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Le community di Designers Italia e Developers Italia: strumenti collaborativi...
Team per la Trasformazione Digitale
 
Informatica solidale giugno 2015 v0_1
Informatica solidale giugno 2015 v0_1Informatica solidale giugno 2015 v0_1
Informatica solidale giugno 2015 v0_1
Claudio Tancini
 
GFT e PPM - Giancarlo Borso
GFT e PPM - Giancarlo BorsoGFT e PPM - Giancarlo Borso
GFT e PPM - Giancarlo Borso
PMexpo
 
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
[OINP2013] Centro di competenza e supporto informatico al Terzo Settore - Inf...
Think! The Innovation Knowledge Foundation
 
Perchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it managerPerchè partecipare alla community riservata agli it manager
Perchè partecipare alla community riservata agli it managerDI.TECH - Innovazione per la distribuzione
 
Digital transformation
Digital transformationDigital transformation
Digital transformation
Sergio Patano
 
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech "Qualità, metodologia e competenza al servizio della Digital Enterpr...
Kiratech
 
Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -
Claudio Tancini
 
Software libero, PA e Terzo Settore
Software libero, PA e Terzo SettoreSoftware libero, PA e Terzo Settore
Software libero, PA e Terzo Settore
Maurizio Graffio Mazzoneschi
 
Legacy Transformation for Business Innovation
Legacy Transformation for Business InnovationLegacy Transformation for Business Innovation
Legacy Transformation for Business Innovation
IDC Italy
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
Marinuzzi & Associates
 
Slide sull'Open Source
Slide sull'Open SourceSlide sull'Open Source
Slide sull'Open Source
openfrog
 
Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...
Team per la Trasformazione Digitale
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3Luca Moroni ✔✔
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
2018 state of the software security report
2018 state of the software security report2018 state of the software security report
2018 state of the software security report
Emerasoft, solutions to collaborate
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a
Francesco Bottaro
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
acaporro
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
Redazione InnovaPuglia
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 

More Related Content

What's hot

Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -
Claudio Tancini
 
Software libero, PA e Terzo Settore
Software libero, PA e Terzo SettoreSoftware libero, PA e Terzo Settore
Software libero, PA e Terzo Settore
Maurizio Graffio Mazzoneschi
 
Legacy Transformation for Business Innovation
Legacy Transformation for Business InnovationLegacy Transformation for Business Innovation
Legacy Transformation for Business Innovation
IDC Italy
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
Marinuzzi & Associates
 
Slide sull'Open Source
Slide sull'Open SourceSlide sull'Open Source
Slide sull'Open Source
openfrog
 
Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...
Team per la Trasformazione Digitale
 

What's hot (6)

Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -Open source e cloud per il non profit - settembre 2016 -
Open source e cloud per il non profit - settembre 2016 -
 
Software libero, PA e Terzo Settore
Software libero, PA e Terzo SettoreSoftware libero, PA e Terzo Settore
Software libero, PA e Terzo Settore
 
Legacy Transformation for Business Innovation
Legacy Transformation for Business InnovationLegacy Transformation for Business Innovation
Legacy Transformation for Business Innovation
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
 
Slide sull'Open Source
Slide sull'Open SourceSlide sull'Open Source
Slide sull'Open Source
 
Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...Come contribuire al processo di cambiamento. La comunità di developers.italia...
Come contribuire al processo di cambiamento. La comunità di developers.italia...
 

Similar to Responsible disclosure. La sicurezza è responsabilità di tutti

CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
2018 state of the software security report
2018 state of the software security report2018 state of the software security report
2018 state of the software security report
Emerasoft, solutions to collaborate
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a
Francesco Bottaro
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
SWASCAN
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
acaporro
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
Redazione InnovaPuglia
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
Leonardo Antichi
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
mariodalco
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 

Similar to Responsible disclosure. La sicurezza è responsabilità di tutti (20)

Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White HatCCI 2019 - SQL Injection - Black Hat Vs White Hat
CCI 2019 - SQL Injection - Black Hat Vs White Hat
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
2018 state of the software security report
2018 state of the software security report2018 state of the software security report
2018 state of the software security report
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a30.04.20 cybersecurity q&a
30.04.20 cybersecurity q&a
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMA
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 

More from Team per la Trasformazione Digitale

Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
Developers Italia and the New Guidelines: Let the Open Source Revolution Start!Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
Team per la Trasformazione Digitale
 
I siti dei comuni italiani - Designers Italia
I siti dei comuni italiani - Designers ItaliaI siti dei comuni italiani - Designers Italia
I siti dei comuni italiani - Designers Italia
Team per la Trasformazione Digitale
 
Verso una Repubblica Digitale
Verso una Repubblica DigitaleVerso una Repubblica Digitale
Verso una Repubblica Digitale
Team per la Trasformazione Digitale
 
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
Team per la Trasformazione Digitale
 
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
Team per la Trasformazione Digitale
 
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
Team per la Trasformazione Digitale
 
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
Team per la Trasformazione Digitale
 
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
Team per la Trasformazione Digitale
 
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
Team per la Trasformazione Digitale
 
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
Team per la Trasformazione Digitale
 
Un design system allineato alle best practice internazionali, aperto ai contr...
Un design system allineato alle best practice internazionali, aperto ai contr...Un design system allineato alle best practice internazionali, aperto ai contr...
Un design system allineato alle best practice internazionali, aperto ai contr...
Team per la Trasformazione Digitale
 
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
Team per la Trasformazione Digitale
 
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
Team per la Trasformazione Digitale
 
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
Team per la Trasformazione Digitale
 
Dal Piano Triennale al White Paper
Dal Piano Triennale al White PaperDal Piano Triennale al White Paper
Dal Piano Triennale al White Paper
Team per la Trasformazione Digitale
 
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
Team per la Trasformazione Digitale
 
Interoperability rules for an European API ecosystem: do we still need SOAP?
Interoperability rules for an European API ecosystem: do we still need SOAP?Interoperability rules for an European API ecosystem: do we still need SOAP?
Interoperability rules for an European API ecosystem: do we still need SOAP?
Team per la Trasformazione Digitale
 
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
Team per la Trasformazione Digitale
 
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
Team per la Trasformazione Digitale
 
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
Team per la Trasformazione Digitale
 

More from Team per la Trasformazione Digitale (20)

Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
Developers Italia and the New Guidelines: Let the Open Source Revolution Start!Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
Developers Italia and the New Guidelines: Let the Open Source Revolution Start!
 
I siti dei comuni italiani - Designers Italia
I siti dei comuni italiani - Designers ItaliaI siti dei comuni italiani - Designers Italia
I siti dei comuni italiani - Designers Italia
 
Verso una Repubblica Digitale
Verso una Repubblica DigitaleVerso una Repubblica Digitale
Verso una Repubblica Digitale
 
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
I fondi per la trasformazione digitale e le azioni verso lo switch off dei se...
 
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
Cresce la diffusione di Spid: gli strumenti e le linee guida per l’integrazio...
 
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
La nuova CIE come piattaforma abilitante per servizi digitali e nel mondo fis...
 
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
La ripartenza di ANPR e il patto tra fornitori dei Comuni, Team Digitale e So...
 
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
L’opportunità di integrare pagoPA: la digitalizzazione dei processi attravers...
 
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
Il progetto IO come opportunità per i partner tecnologici di tutti gli enti p...
 
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
Uno sguardo sul piano di abilitazione all’utilizzo delle tecnologie cloud, ne...
 
Un design system allineato alle best practice internazionali, aperto ai contr...
Un design system allineato alle best practice internazionali, aperto ai contr...Un design system allineato alle best practice internazionali, aperto ai contr...
Un design system allineato alle best practice internazionali, aperto ai contr...
 
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
Il ruolo della privacy nella trasformazione digitale: ostacolo o opportunità?...
 
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
Un’opportunità per il mercato dei pagamenti. Come cambia lo scenario dei paga...
 
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
Un asse per l’innovazione: il protocollo d’intesa tra il Team Digitale e la C...
 
Dal Piano Triennale al White Paper
Dal Piano Triennale al White PaperDal Piano Triennale al White Paper
Dal Piano Triennale al White Paper
 
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
Il ruolo dei partner tecnologici nel processo di trasformazione dei servizi p...
 
Interoperability rules for an European API ecosystem: do we still need SOAP?
Interoperability rules for an European API ecosystem: do we still need SOAP?Interoperability rules for an European API ecosystem: do we still need SOAP?
Interoperability rules for an European API ecosystem: do we still need SOAP?
 
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
Data & Analytics Framework - Raffaele Lillo, Chief Data Officer of Digital Tr...
 
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
Designers Italia, lo Human Centered Design per i servizi pubblici digitali - ...
 
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
Dai codici al codice: come cambiano le regole dell'Agenda Digitale - Guido Sc...
 

Responsible disclosure. La sicurezza è responsabilità di tutti

  • 1. Sicurezza nella Pubblica Amministrazione e Responsible Disclosure Un modello per la segnalazione di vulnerabilità Andrea Ceresoni CyberSecurity
  • 2. Time-Line Vulnerabilità software Cyber security drama Fonte: www.cvedetails.com/browse-by-date.php
  • 3. didascalia Full disclosure “Full disclosure is the practice of publishing analysis of software vulnerabilities as early as possible, making the data accessible to everyone without restriction” Wikipedia Responsible disclosure
  • 4. didascalia Cosa stiamo facendo / Responsible disclosure Responsible disclosure “In computer security or elsewhere, responsible disclosure is a vulnerability disclosure model in which a vulnerability or an issue is disclosed only after a period of time that allows for the vulnerability or issue to be patched or mended.” Wikipedia
  • 5. ISO-IEC 29147:2018 Esiste già uno standard descrive i requisiti e le raccomandazioni su come segnalare in maniera responsible le segnalazioni di vulnerabilità. ➔ https://www.iso.org/standard/72311.html Responsible disclosure
  • 7. Responsible disclosure Il Team per la Trasformazione Digitale sta valutando un modello di Responsible Disclosure che potrebbe essere applicato alla proprie piattaforme. ➔ Test locale sul proprio computer o dispositivo mobile del software. ➔ Test su ambienti senza dati di produzione (su richiesta). ➔ Test in ambiente di produzione, su richiesta, previa registrazione e manleva. “Cosa stiamo facendo” Cosa stiamo facendo
  • 8. Responsible disclosure ENISA shall assist Member States and Union institutions, bodies, offices and agencies in establishing and implementing vulnerability disclosure policies on a voluntary basis “EU CYBERSECURITY ACT · ARTICLE 6 (b)” Cosa stiamo facendo
  • 9. Ci sono anche casi in italia! Responsible disclosure
  • 10. Responsible disclosure ➔Il cyber security manager ➔il CERT ➔il SOC ➔il team ICT con i gruppi di infrastruttura e applicativo che devono essere pronti ad intervenire in modo tempestivo. ➔Finito? ➔Assolutamente no! Nella squadra ci sono anche i legali, i regolamentari, l'ufficio stampa, il social media manager, il customer care... E’ un lavoro di squadra!
  • 11. Responsible disclosure E’ una semplice procedura? ➔No, direi che è più un'avventura… ➔Gli attori con cui confrontarsi sono molti ed ognuno di loro ha parecchie domande e preoccupazioni da chiarire ➔Security manager: aumenteranno gli attacchi? ➔CERT: come la integro nel piano di vulnerability management? ➔ICT: Abbiamo già una roadmap, non riusciamo a fare anche questo! ➔Ufficio stampa: Potremmo apparire vulnerabili? ➔Il social media manager: ma la customer experience? ➔Il customer care: ma quindi dobbiamo mandare il tecnico a riparare l’apparato?
  • 12. Responsible disclosure Ma i benefici? ➔ Il lavoro di squadra nella fase di setup della Responsible Disclosure rafforza le relazioni tra i team rendendo più agile la risposta alle criticità in ambito cyber ➔ Si identifica un numero maggiore di vulnerabilità ➔ Migliore gestione delle comunicazioni (social e customer care) ➔ Dalle domande emerse è possibile potenziare la Security Awareness