L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
- La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo
- La Sicurezza Informatica è un processo trasversale ad ogni funzione e processo aziendale
- Security, Governance, Risk Management & Compliance (GRC) sono oggi imprescindibili
- Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità
- La Mobile Security è indispensabile per proteggere il Business, ovunque e in tempo reale
- Industrial Automation Security Today : Where Enterprise Security Was 5-10 Years Ago
- Il miglior investimento è quello che consente di aumentare il proprio Know-how
- La migliore consulenza si ottiene da chi si pone come Partner e non come fornitore
- Contatti
Progettazione ed installazione impianti di sicurezza - iso 9001Gis srl
La scelta degli impianti secondo le esigenze del cliente e la possibilità di personalizzarli, fanno di GIS il partner ideale per la gestione della sicurezza
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
I Sistemi “Gestionali” e la Sicurezza delle Informazioni. Sistemi di Supervisione e Controllo Impianti. Presentazione a cura dell'Ing. Franco Tessarollo
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Presentazione a supporto dell'intervento di Ivan Grumelli, DussmannS al webinar "15 ANNI DAL D.LGS.81/2008 E
L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
Modelli organizzativi e tecnologie per una strategia efficace - Presentazione tenuta l'8 marzo 2016 durante il primo CIO Online Meeting di ZeroUno (webinar)
Progettazione ed installazione impianti di sicurezza - iso 9001Gis srl
La scelta degli impianti secondo le esigenze del cliente e la possibilità di personalizzarli, fanno di GIS il partner ideale per la gestione della sicurezza
Isab informatica strategie di Cyber SecurityVilma Pozzi
Occorre che ogni azienda studi una propria «Strategia di Cyber-Security» e Isab Informatica dispone delle competenze esperienze e specialisti certificati che possono aiutare il Cliente ad organizzare, integrare e consolidare la difesa dei propri asset aziendali.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
I Sistemi “Gestionali” e la Sicurezza delle Informazioni. Sistemi di Supervisione e Controllo Impianti. Presentazione a cura dell'Ing. Franco Tessarollo
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Presentazione a supporto dell'intervento di Ivan Grumelli, DussmannS al webinar "15 ANNI DAL D.LGS.81/2008 E
L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
Modelli organizzativi e tecnologie per una strategia efficace - Presentazione tenuta l'8 marzo 2016 durante il primo CIO Online Meeting di ZeroUno (webinar)
iDialoghi - Social Media Security Management iDIALOGHI
La Sicurezza dei Social Media è un processo trasversale ad ogni funzione e processo aziendale.
Come gestire la Social Media Security.
Il processo di Social Media Management.
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
La gestione del processo aziendale, per la sicurezza dei sistemi, rappresenta il plus che permette un'ottimizzazione dei livelli di sicurezza. Un'efficace analisi dei processi, che parte dalla Privacy e analizza le minacce e le vulnerabilità, permette di definire un piano di Disaster Recovery efficace e di ottenere elevati standard di sicurezza con l' ottimizzazione nella gestione continua del business e del processo di Continuità operativa previsto in modo obbligatorio per le aziende pubbliche.
Il progetto nasce in collaborazione con l’associazione Nazionale per la difesa della privacy (ANDIP) ed ha come scopo di business abbassare i costi della sicurezza censendo al suo interno tutti i nodi cruciali del sistema lavoro di una azienda o di un ente.
Anche aziende come ITS-factory hanno deciso di affiancarci come Stakeholder nello sviluppo del progetto.
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Presentazione a supporto dell'intervento di Salvatore Marras, Fondazione per la sostenibilità digitale, Public Sector Director al webinar "MISURARE LA SOSTENIBILITÀ DIGITALE: LA PRASSI DI RIFERIMENTO UNI/PdR 147" del 22 settembre
UESE ITALIA Direttiva NIS2 Checklist e obblighiGiuseppe Izzo
Cos’è la Direttiva NIS2: Soggetti coinvolti e obblighi per le aziende.
La Direttiva NIS2 mira a conseguire un livello di cybersicurezza comune all’interno dell’UE. Una delle più importanti novità introdotte a tal fine riguarda il perimetro di applicazione della NIS2, significativamente più esteso rispetto alla precedente NIS, sia in termini di numero di soggetti che di settori coinvolti. Se la NIS si rivolgeva ai soli “Operatori di servizi essenziali” (OSE) e “Fornitori di servizi digitali” (FSD), la nuova Direttiva si applica a tutte le organizzazioni identificate come soggetti “Essenziali” o “Importanti”.
Similar to Security summit2015 evoluzione della sicurezza inail- v06 (20)
Security summit2015 evoluzione della sicurezza inail- v06
1. Roma Security Summit, 11 Giugno 2015
Pietro Monti
Responsabile dell’Ufficio Audit IT della DOCD INAIL
2. DCOD
Il Modello di Sicurezza INAIL nasce storicamente con un approccio
service oriented per soddisfare le esigenze fondamentali in termini di
protezione dei dati, dell’infrastruttura e dei servizi applicativi e on
demand le esigenze specifiche dei singoli processi IT.
Fino allo scorso anno all’interno della DCOD era presente un unico
ufficio che accentrava la gestione di tutte le tematiche inerenti la
sicurezza (organizzative, tecnologiche, di verifica, di erogazione dei
servizi di sicurezza, di studio e implementazione di nuove soluzioni).
2
Un nuovo modello di Gestione della Sicurezza
3. DCOD
Il nuovo modello, di derivazione ITIL, tende a una definizione di
processi IT «intrinsecamente sicuri», caratterizzati dall’integrazione
degli aspetti di sicurezza nelle varie attività in cui sono articolati.
3
Il nuovo Modello
Un aspetto fondamentale per il raggiungimento degli
obiettivi è il coinvolgimento e la responsabilizzazione in
termini di sicurezza di tutti gli uffici.
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
4. DCOD
Lo scorso anno la riorganizzazione di DCOD ha aggiunto un
importante tassello in ottica di conformità alla ISO 27001. In
particolare è stato istituito un Comitato per i Rischi e
Sicurezza e sono stati definiti e ratificati i Ruoli e le
Responsabilità di sicurezza, separando i compiti di chi
pianifica, chi implementa e chi verifica, in linea con il ciclo
virtuoso di miglioramento continuo che costituisce le
fondamenta dello standard.
4
Lo scorso anno…..la riorganizzazzione
5. DCOD
5
Organigramma delle funzioni di sicurezza
Responsabile
della
Sicurezza
Uff I Uff II Uff X
Security
Governance
AUDIT
SOC
CERT
Continuità
Operativa
Comitato
Rischi e
Sicurezza
…
6. DCOD
6
Schema di Riferimento
Governo Sicurezza
Continuità
Operativa
Sistema di
Autent. e
Autoriz.
Test di
sicurezza
SOC
Security Operations
Tecnologie e Servizi di Base
Log
Management
Comitato
Rischi e
Sicurezza
Responsabile
della
Sicurezza
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
AuditCERT
Mascheramento
Dati, Cifratura,
Tracciatura
Applicativa,
Reverse Proxy,…
7. DCOD
La definizione dei piani e delle azioni di governance si basa su un
processo di elaborazione dei feedback provenienti da tutti gli attori
della DCOD in relazione allo scenario tecnologico e normativo di
riferimento.
7
Esigenze
• Analisi dei Rischi di Sicurezza
• Verifiche di conformità
• Audit
• Evoluzioni normative
• Nuove Tecnologie
• ecc.
• Incidenti di
sicurezza
• Vulnerability
Assessment
• ecc.
• Log e Report Tecnici
• Log e Report Tecnici • Log e Report Tecnici
Individuazione delle aree di maggiore
scopertura del sistema di gestione della
sicurezza informatica
8. DCOD
Sulla base delle esigenze individuate si definiscono le strategie e gli indirizzi, propagandoli
sull’operatività attraverso Politiche, Linee Guida o proposte progettuali.
Le strutture operative disegnano e implementano le soluzioni necessarie al raggiungimento
della conformità
8
Obiettivi & Implementazione
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Strategie ed indirizzi di sicurezza
(es: Policy, Linee Guida, Programmi di Audit, …)
Disegno ed
Implementazione
(es: progetti, specifiche, product selection,
implementazione HW / SW, …)
9. DCOD
L’efficacia e la conformità del Sistema di Gestione della Sicurezza
Informatica è puntualmente soggetta a verifica.
I risultati confluiranno nuovamente nella fase di rilevazione delle esigenze,
alimentando il ciclo virtuoso di miglioramento continuo.
9
Controllo
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Meccanismi di retroazione
(es: audit, report di VA/PT, Piani di Trattamento,
SAL, KPI, …)
10. DCOD
10
Controllo e misurazioni
Il modello implementa una separazioni dei ruoli;
La compliance è non solo richiesta ed implementata ma anche
verificata;
Per verificare l’efficacia delle soluzioni implementate si definiscono
già a livello di progetto gli elementi di misurazione necessari.
La pianificazione dettagliata delle attività di rientro è da
considerarsi essa stessa una contromisura;
La maggior parte delle azioni di rientro identificate nel primo
periodo non richiede particolari investimenti economici.
11. DCOD
11
Security assessment
La DCOD ha intrapreso un'attività di verifica (assessment di terza
parte) finalizzata a valutare, nell’ambito della propria
Organizzazione, il livello di maturità e di implementazione del
Sistema di Gestione della Sicurezza delle Informazioni con
particolare riguardo allo stato di attuazione ed all’efficacia dei
controlli di sicurezza (secondo norma ISO/IEC 27001:2013)
• Tale attività di assessment ha lo scopo di:
◦ stabilire il livello attuale di efficacia delle misure di sicurezza
logiche ed organizzative
◦ individuare gli eventuali ambiti di miglioramento
◦ suggerire gli opportuni piani di rientro laddove le condizioni lo
richiedano
12. DCOD
12
L’importanza della Comunicazione
L’esigenza di awareness
(consapevolezza) è emersa in
fase di audit – La nostra
risposta è stata
un’intensificazione delle azioni
di comunicazione e
condivisione in tema di
sicurezza: pannelli, newsletter,
canale web tematico nella
intranet, gruppo Facebook
interno ….
13. DCOD
13
Considerazioni
In questo modello la sicurezza è davvero frutto di un approccio
sistemico. Tutto e tutti contribuiscono: organizzazione,
consapevolezza, qualità delle persone, delle forniture e dei prodotti,
robustezza delle soluzioni, tecnologia, semplificazione architetturale.
La criticità sta nella capacità di «essere e sentirsi pronti», nella
Cyber Resilience, nella convergenza dei diversi elementi:
compliance, cyber security, risk management, intelligence, crisis
management, information sharing.
La cura e l’attenzione della sicurezza non sono solo un obbligo di legge
per una Istituzione Pubblica ma rappresentano un dovere morale nei
confronti di aziende e infortunati (interessati dei dati). Nessuna
evoluzione è pensabile senza la loro fiducia.
14. DCOD
14
Considerazioni
Lo sforzo che la DCOD si propone di fare è quello di far diventare tutti
«gestori del rischio», che significa:
◦ conoscere e capire il contesto nel quale si opera;
◦ conoscere e capire le ripercussioni delle proprie azioni;
◦ saper operare «in sicurezza» anche in assenza di una norma di
riferimento o di una politica specifica;
◦ contribuire ad alimentare il ciclo virtuoso di miglioramento
continuo: esigenze /obiettivi – implementazione –
controllo/misurazione, specializzando sempre più l’assessment
delle esigenze così da individuare le scoperture meno evidenti e
mantenere il passo della sicurezza allineato a quello delle
evoluzioni tecnologiche.