Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Festival ICT Milano 2015 - Presentazione della pubblicazione ISACA Tradotta in Italiano della specifica COBIT per la Governance dei Dispositivi Mobili e IoT
Isaca venice it club fvg Confindustria Udine 23062014
La Sicurezza delle informazioni e l’emergente problematica della Cybersecurity sono temi che necessitano di un approccio strutturato anche nelle piccole e medie aziende.
· E’ necessario irrobustire le difese integrando la sicurezza IT con un approccio olistico che consideri gli aspetti di governance, management e compliance.
· Nell'incontro sono stati presentati alcuni strumenti che permettono alle aziende di attuare un approccio strutturato ai temi della sicurezza, anche attraverso l’utilizzo di best practice quali COBIT 5, di una certificazione dell’azienda ISO27001 o della certificazione dei responsabili della sicurezza quali CISM, CRISK, Lead auditor /
Implementer ISO 27001.
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
2019: un anno di innovazione e di evoluzione della sicurezza digitale e un’anteprima della situazione degli attacchi digitali in Italia dall’indagine 2019 OAD
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
Scopo di questa nuova ricerca è identificare il livello di percezione e di consapevolezza che hanno le aziende nella sicurezza informatica fra i propri dipendenti. L’obiettivo sarà quello di individuare ed evidenziare gli elementi più trascurati su questo che è l’elemento più debole della catena della sicurezza logica. Cercheremo di fornire dei suggerimenti per gestire e mitigare il problema. La sicurezza informatica è un processo ed è costituita da numerosi elementi. Alcuni anni fa questo aspetto era sinonimo di aspetti tecnologici e prodotti come Antivirus e Firewall. Oggi l’evoluzione del concetto ha portato ad includere nel processo anche il fattore umano (H). Chi difende il "fortino" ha bisogno che il suo utente maturi. La tecnologia arriva fino ad un certo punto poi deve scattare la consapevolezza. La frase ricorrente secondo cui la catena della sicurezza è fatta dal l'anello più debole è quanto mai vera. Abbiamo tutti sorriso vedendo il biglietto da visita di Kevin Mitnick fatto di piccoli attrezzi per lo scasso: il genio della ingegneria sociale che non sfrutta la tecnologia per entrare nel "fortino" ma la buona fede delle persone indipendentemente dall’incarico che esse ricoprono in azienda. Una telefonata convinta può trarci facilmente in inganno e portarci a rivelare informazioni sensibili. Per cui non serve un Virus o un Trojan ma il mix di tecnologia e errori umani sono le armi che verranno sempre più utilizzati per carpire i dati delle aziende.
Seminario Fondazione Centro Produttivita' Veneto - Vicenza 24 Ottobre 2013Luca Moroni ✔✔
LA SICUREZZA INFORMATICA IN AZIENDA: L'IMPATTO SUL BUSINESS DELLA PMI GUARDANDO LO SCENARIO DEL NORDEST
Linee guida per l’utente sulla sicurezza ICT
Vicenza 24 Ottobre 2013
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
50 Anni Liceo Tron Schio. Cos'è la Cyber Security e perchè è così importanteLuca Moroni ✔✔
Breve seminario sulla sicurezza ai ragazzi del Liceo Tron di Schio in occasione della ricorrenza dei 50 anni dalla nascita a cui sono stato invitato come relatore essendo stato un ex alunno
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
Definire un framework per una gestione standard e delle linee guida per la pianificazione, la realizzazione e la manutenzione di un livello di sicurezza onnicomprensivo per i dispositivi mobili in un contesto aziendale sono le finalità principali che inducono ad applicare COBIT5 alla sicurezza dei dispositivi mobili.
Lo scopo secondario è quello di fornire una guida su come includere la sicurezza dei dispositivi mobili nella strategia della governance d’impresa, della gestione del rischio e della compliance (GRC), utilizzando COBIT 5 come l’asse portante della GRC.
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
Intervento di Pier Paolo Gruero, CSI Piemonte, al roadshow "Territori del futuro" (Cuneo, 7 marzo 2019), organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless in collaborazione con la Camera di commercio di Cuneo.
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
Dopo una breve descrizione delle problematiche ormai datate, che ancora hanno bisogno di essere momento di discussione e sensibilizzazione, si passerà a prendere in esame le tipologie di attacco che sono arrivate negli ultimi mesi nel nostro paese e che arriveranno nel 2016. Le vulnerabilità sempre presenti, intrinseche in un qualsiasi sistema ICT, sono oggetto di minaccia, attacco, e conseguente costo per l'azienda.
• In cosa si continua a sbagliare?
• Cosa bisogna fare per difendersi al meglio ed evitare inutili dispendi di denaro?
• Il Cloud è così sicuro come si dice?
• Dati in sede o fuori sede?
A queste domande e a tante altre si cercherà di dare una risposta, analizzando alcune vulnerabilità con esempi pratici.
2019: un anno di innovazione e di evoluzione della sicurezza digitale e un’anteprima della situazione degli attacchi digitali in Italia dall’indagine 2019 OAD
Intervento di Claudio Telmon, Clusit - Associazione Italiana per la Sicurezza Informatica, al lunch seminar ICT per "Cybersecurity: evoluzione e nuove sfide per la PA" (Torino, CSI Piemonte, 28 novembre 2016)
Un aiuto a costruire e gestire le idonee misure di sicurezza digitale dai dati dell’Osservatorio OAD, dai framework ITIL, COBIT, NIST, e dagli standard ISO che trattano l’argomento
Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
Generazione Z di Ettore Guarnaccia - Evento Bersaglio Mobile Breton SpaLuca Moroni ✔✔
Sono stato invitato da Luca Moroni , cybersecurity coach di ISACA, e Antonio Nardo, ICT Director di Breton S.p.A., a tenere un intervento di sensibilizzazione su opportunità e minacce legate all’uso delle moderne tecnologie digitali e social per la nuova generazione, sia nel mondo del lavoro che nella sfera privata. L’intervento si è svolto giovedì 13 giugno presso la sala conferenze di Breton S.p.A., azienda leader a livello mondiale nella produzione di macchine per la lavorazione della pietra naturale, dei metalli e impianti per la pietra composita, con sede principale a Castello di Godego (TV) ma attiva in tutto il mondo. Breton S.p.A. conta più di 900 dipendenti, 7 filiali estere e circa 200 milioni di euro di fatturato annuo.
Ettore Guarnaccia.
Cyber Security Awareness of Critical Infrastructures in North East of Italy S...Luca Moroni ✔✔
Critical Infrastructures (IC) are essential elements in our economic and social life. Cyber incidents in such organizations could create a “domino effect”. This must be an important concern in a National Cyber Security Policy. Now EU Cybersecurity Act
Etel - L’utilizzo dell’aspetto ludico per aumentare la consapevolezza riguard...Luca Moroni ✔✔
Fare prove di Social Engineering ha dei vincoli. Una buona idea è un gioco di ruolo. COME FUNZIONA UN GIOCO DI S.E.?
I partecipanti vengono divisi in gruppi. Non ci sono particolari indicazioni sulle modalità di formazione dei gruppi, che possono essere eterogenei nella loro composizione. Ad ogni gruppo vengono forniti alcuni elementi utili (mappa dell'organizzazione, principi da sfruttare, modalità di attacco disponibili, profili delle potenziali vittime, tipologie degli asset da violare) che vengono utilizzati per costruire uno scenario di attacco che vada a sfruttare un comportamento umano individuato come possibile vulnerabilità.
Slide Intervento Igor Falcomatà per il seminario IoT: Opportunità o minaccia? Il 15 marzo si è tenuto a Trento, presso il Castello del Buonconsiglio, una conferenza sulla Cybersecurity organizzata da ISACA Venice Chapter con l’Università degli Studi di Trento ed in collaborazione con Trentino Network.
L’evento ha affrontato il vasto mondo degli IoT, o Internet delle Cose, illustrando con casi pratici e best practice quelle che sono le opportunità connesse a questo nuovo business, focalizzandosi sulla sicurezza di questi apparati.
Intervista di Paolo Giacon a Luca Moroni per la pubblicazione II MODELLI DI SUCCESSO PER L''INNOVAZIONE E LA RICERCA E SVILUPPO NELLE PICCOLE E MEDIE IMPRESE AD ALTA TECNOLOGIA DELL’’AREA VICENTINA
The document discusses a new website called Calameo that allows users to publish and share eBooks, documents, and presentations online or via mobile apps. Calameo offers free and paid subscription plans, and published content can be protected with digital rights management or made publicly accessible. Users are able to customize publications with covers, bookmarks, and annotations to share knowledge on any topic.
Too many incidents related to "ransomware" in North East of Itally. Companies needs to understand how to protect themselves and ensure continued access to the digital data. The damage of a cyber incidents exceed the threshold of US $ 25mil. Safe rating of Intangible Assets of a company need enhancement of the cyber risks insurance market. But a weak competence require clarification on this topic. The research intent was to identify the real risks and digital vulnerabilities in companies. We have done an evaluation of typical insurance products on IT risk and we have made a CIO/CISO Survey. The final scope was a guideline for approacing the problem of outsourcing Cyber Risk Protection.
ISACA SLOVENIA CHAPTER October 2016 - LubianaLuca Moroni ✔✔
Talk Luca Moroni - Via Virtuosa
Cyber security awareness of critical infrastructures in N/E of Italy: scenarios and guidelines for self-assesementOzaveščenost o varnosti spleta in kritične infrastrukture v severni Italiji: Scenariji in smernice kako opraviti samooceno
This document summarizes Via Virtuosa's strategy and goals. It discusses Via Virtuosa's offerings for customers in northeast Italy such as knowledge of market requirements and startup support. It notes Via Virtuosa's growth between 2010-2015 with 78 new customers and increasing annual revenue. The document outlines future goals such as expanding internationally and industrializing their brokering business model. It seeks future sponsors like business angels, startups, and EU companies seeking an external cybersecurity business unit.
Articolo realtà industriale luglio agosto 2015Luca Moroni ✔✔
Evento realizzato in collaborazione con Confindustria Udine e IT Club FVG. Relatore Paolo Attivissimo noto giornalista esperto su queste tematiche di sicurezza informatica. Udine 23 Giugno 2015
Piataforma per gestire i processi legati al governo dei sistemi di gestione. Ideale per la valutazione del rischio informatico e come strumento per la compliance
3. The ISACA International Chapter Support
Committee recognizes the vital role that
Chapters play in attracting new members. On
behalf of the Chapter Support Committee, I am
pleased to extend our congratulations to the VENICE
Chapter for an outstanding year in 2013. Your
chapter has attained the highest percentage growth of
all ISACA Medium Chapters with an increase in
membership of 44% in 2013. You should be very
proud of the hard work your chapter has put
forth in order to earn this distinction.
Please accept our congratulations on a job
very well done by your chapter board and your
active members who have no doubt
contributed significantly to this achievement
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
4. Attilio Rampazzo CISA, CRISC, C|CISO CMC
E’ tra i fondatori di ISACA Venice Chapter dove ricopre il ruolo di CISA
Coordinator e Research Director.
Consulente di Sistemi Informativi in AlmavivA Spa
come Valutatore di Sistemi di Sicurezza delle Informazioni e di
Sistemi di Gestione dei Servizi IT per CSQA
E’ VicePresidente di AICA Nord Est e di AICQ Triveneta
E’ membro UNINFO del gruppo di lavoro “Sicurezza delle Informazioni” che
collabora con ISO (International Organization for Standardization) per le norme
della famiglia ISO/IEC 27000.
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
5. Luca Moroni CISA, ITIL
Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e
quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la
consapevolezza delle Aziende nei Settori Critici del Nord Est”.
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di
settore
Membro di ISACA
Da 15 anni appassionato di Sicurezza Informatica a livello professionale.
Si occupa di selezionare per i clienti le aziende fornitrici di tecnologie
informatiche in base alle loro competenze specifiche.
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
6. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
7. Ma a cosa devono essere pronte le aziende?
… a salvaguardare il proprio
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
8. Black out Incendio Fenomeni
atmosferici
Innondazioni Esondazioni
… quali sono le minacce al Business
Terremoti Criminalità informatica
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
9. Il rapporto dei servizi segreti
italiani, per la prima volta, ci
avverte che i pericoli informatici
sono indicati in testa alle minacce
…
Dal rapporto Clusit 2014 viene
evidenziato che in Italia
aumentano hacktivism e
spionaggio
Minacce sottovalutate dalle aziende italiane
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
10. Per salvaguardare il Business vanno protetti gli asset
Infrastruttura
Persone
Informazioni
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
11. Gli interrogativi
Posto che qualcosa devo fare per tutelarmi ed effettuare una corretta
salvaguardia della mia azienda
Lo devo fare e devo avere un piano!
cosa faccio?
come lo faccio?
come posso avere una guida esaustiva da applicare?
esiste un metodo che fornisce buoni livelli di trattamento sicuro e i risultati attesi?
come faccio a fornire all’esterno evidenza incontroversibile della mia diligenza?
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
12. Ecco una risposta …
Gli standard o framework non
pretendono di essere il rimedio
a tutti mali della gestione
aziendale, ma costituiscono il
punto di partenza per impostare
un Sistema Organizzativo che
comprenda gli aspetti
importanti di una gestione
idonea dell’azienda
Sono quindi un modello organizzativo, più che degli standard tecnici
non “come” fare, ma “cosa” fare
ISO/IEC 27001:2013
Information technology -- Security
techniques -- Information security
management systems – Requirements
ISO 22301:2012
Societal security -- Business continuity
management systems --- Requirements
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
13. COBIT 5
ISO/IEC 27001:2013
ISO 22301:2012
• Framework applicabili a realtà di ogni
dimensione
• Conosciuti dal mondo IT da molti anni
• Dicono cosa fare, non come farlo
• Rivolti al continuo miglioramento
• Sono ormai un riferimento universale
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
14. … dubitare di una indubbia sensazione di protezione …
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
15. Un’azienda non nasce per fare Gestione della
Sicurezza delle Informazioni e/o della Continuità
Operatività, ma per fare PROFITTO …
La Gestione organizzata dell’azienda consente di
salvaguardare l’azienda dai rischi …
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
16. L’anno scorso abbiamo fatto questa domanda:
Ha mai svolto delle analisi di sicurezza nel perimetro interno?
Dove l’analisi è composta da una serie di processi che simulano le azioni
normalmente svolte da un dipendente e consulente nella rete interna.
0.00%
12.50%
25.00%
37.50%
50.00%
Si
No
No
esigenza
Il 57% non ha mai
svolto una analisi
interna o non ne
sente l’esigenza
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
17. Ma se fosse una Azienda/Ente che un impatto sulla vita
sociale?
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
18. Cosa si intende per Infrastruttura Critica
Una infrastruttura viene considerata critica a livello
europeo se la sua compromissione avrebbe un serio
impatto sulla vita sociale dei cittadini, cioè per
esempio sulla salute, la sicurezza fisica e logica o il
benessere economico dei cittadini, o sull’effettivo
funzionamento dello Stato; oppure potrebbe portare
gravi conseguenze sociali o altre drammatiche
conseguenze per la comunità
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
19. Quali sono i settori critici per l’Italia
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le
forme di energia, quali ad esempio il gas naturale
• Telecomunicazioni e telematica;
• Risorse idriche e gestione delle acque reflue;
• Agricoltura, produzione delle derrate alimentari e loro distribuzione;
• Sanità, ospedali e reti di servizi e interconnessione
• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei
carburanti e dei prodotti di prima necessitali
• Banche e servizi finanziari;
• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate,
ordine pubblico);
• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle
Emergenze.
• TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
20. Cyber minaccia per le Infrastrutture Critiche dell’Italia
9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza -
2013”, presentata in Parlamento dalla Presidenza del Consiglio per la prima volta
pone al primo posto la Minaccia Cyber.
Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del
piano di protezione nazionale, l’Italia vanta una delle più alte percentuali in Europa
di PIL prodotto da aziende medie, piccole e micro-aziende, le quali detengono un
patrimonio in termini di know-how.
Questo know-how è a rischio, come descrive la relazione. Per due motivi:
1) Vi è in grande numero di attori interessati ad appropriarsi di know-how
attraverso l’uso di strumenti Cyber
2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi
aziende, di conseguenza la sottrazione di know-how avviene in modo più
semplice e invisibile.
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm
21. Le aziende appartenenti ai settori Critici nel Nord Est
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
13%
4%2%
40%
10%
11%
16%
1%3%
Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale
Telecomunicazioni e telematica
Risorse idriche e gestione delle acque reflue
Agricoltura, produzione delle derrate alimentari e loro distribuzione
Sanità, ospedali e reti di servizi e interconnessione
Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessità
Banche e servizi finanziari
Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);
Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze
22. DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?
0%
15%
30%
45%
60%
Si
No
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
23. DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla sicurezza
informatica?
0.00%
15.00%
30.00%
45.00%
60.00%
Si No
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
24. DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza
informatica di un elemento della sua infrastruttura potrebbe avere un effetto anche al di fuori
della sua azienda?
0%
23%
45%
68%
90%
Si
No
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
25. Lo scenario verso la fabbrica
• Norme: di origine UE centrate attorno alla Infrastrutture Critiche
e il loro controllo sempre più informatizzato
• L’Italia aggiunge anche la PMI
• Diffusione attacchi cibernetici a infrastrutture e impianti
• Principi applicabili a tutti, non solo alle IC designate:
• Approccio basato sulla gestione del rischio ed ad una sua
valutazione per capire il contesto in cui si trova l’azienda
• Se gli impianti usano tecnologie ICT sono soggetti agli stessi
rischi degli uffici e della sala server (vedi Stuxnet)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
26. I Sistemi di Fabbrica – L’evoluzione della sicurezza
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
IERI OGGI
ARCHITETTURA
Collegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIA
Sistemi proprietari con
protocolli specifici
Sistemi standard con
protocolli standard
INCIDENTI Scarsi In crescita rapida
…..aziende medie, piccole
e micro-aziende, le quali
detengono un patrimonio in
termini di know-how…..
27. I Sistemi di Fabbrica – L’evoluzione della sicurezza
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
IERI OGGI
ARCHITETTURA
Collegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIA
Sistemi proprietari con
protocolli specifici
Sistemi standard con
protocolli standard
INCIDENTI Scarsi In crescita rapida
DATI USA: http://www.scadahacker.com/
28. Le 10 minacce più insidiose nei sistemi IT di fabbrica
• Uso non autorizzato degli accessi remoti per la manutenzione (VNC)
• Attacchi Online attraverso la rete degli uffici
• Attacchi a dispositivi IT standard presenti nella rete di fabbrica
• Attacchi DDOS
• Errori umani e sabotaggi
• Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc…)
• Lettura e scrittura di comandi manipolabili perché non criptati (VPN)
• Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default)
• Violazioni agli apparati di rete
• Problemi tecnici e casualità (backup delle configurazioni)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
Sorgente: BSI analysis about cyber security 2012
29. Ufficio IT e Controllo di Fabbrica – Colloquio difficile
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
Devo prepararmi
ad aggiornare!
Che problema
c’è? Funziona e
non si tocca
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’
Gianni Stefano
30. ROI per un attaccante
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
Dove creo più
danni e magari
posso ricattare
una azienda
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’
31. Ma se stiamo parlando di questo...
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
32. E’ richiesta maggiore responsabilità
la Comunità Europea invita le industrie a riflettere sui modi per
responsabilizzare amministratori delegati e le commissioni sulla sicurezza
informatica. Questa indicazione del livello di sicurezza informatica diventerà un
valore per l’azienda come indicatore di affidabilità in particolare per le aziende
considerate critiche.
Concetti come “IT Security by Design” prevedono di incorporare la sicurezza
informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla
costruzione fino alla messa in produzione.
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
33. Il nostro contributo: uno strumento di autovalutazione
Abbiamo creato 5 check list, una per ognuna delle cinque aree di
processi in cui viene scomposta la gestione della continuità
operativa per una Infrastruttura Critica.
1. Misure preventive
2. Revisione della gestione della crisi
3. Gestione della crisi vera e propria
4. Follow-up (successivo alla crisi)
5. Esercitazioni
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
34. Il nostro contributo: uno strumento di autovalutazione
Prima check list: Misure preventive
Le misure preventive riguardano i processi relativi alla prevenzione degli eventi
disastrosi.
Esempio
Area “misure preventive”, sez. “Information Technology”:
1.7.3.2 I dati critici sono memorizzati in posti diversi?
(Si verifica la disponibilità di backup dislocati in molteplici luoghi)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
35. Il nostro contributo: uno strumento di autovalutazione
Seconda check list: Revisione della gestione della crisi
La revisione della gestione della crisi riguarda la preparazione dell’ambiente aziendale in
modo che ci sia una efficace risposta alle situazioni disastrose.
Esempio
Area “Revisione della gestione della crisi”, sez. “Informazioni richieste ed archivi”
2.1.5.3 Gli archivi necessari sono tutti a portata di mano?
(Si verifica la disponibilità degli archivi necessari per la gestione della crisi)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
36. Il nostro contributo: uno strumento di autovalutazione
Terza check list: Gestione della crisi vera e propria
La gestione della crisi vera e propria comprende i processi necessari a contenere le
conseguenze di un evento disastroso quando quest’ultimo accade.
Esempio
Area “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed archivi”
3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di
incendio e allagamento?
(si verifica l’efficacia delle misure di protezione di archivi e supporti durante un evento
disastroso)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
37. Il nostro contributo: uno strumento di autovalutazione
Quarta check list: Follow-up (successivo alla crisi)
Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione
dalla diretta esperienza nella gestione di un evento disastroso.
Esempio
Area “Follow-up”:
4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature?
(solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature
danneggiate. Il follow up serve per migliorare il sistema dall’esperienza diretta di una
crisi.)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
38. Il nostro contributo: uno strumento di autovalutazione
Quinta check list: Esercitazioni
Le esercitazioni sono i test di risposta agli eventi disastrosi.
Esempio
Area “Esercitazioni”, sez. ” Generalità”:
5.1.3 I canali di comunicazione interna ed esterna sono testati?
(Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la
possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una
buona gestione degli eventi disastrosi)
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
39. Conclusioni
Giustamente l’Europa e l’Italia devono imporre una gestione
normata del problema e devono supportare le aziende nei costi di
gestione. Standard riconosciuti, come la norma ISO 27001 o
COBIT, vengono scarsamente adottati dalle aziende italiane proprio
perché non percepiti come valore. Alcuni settori critici come quello
bancario stanno già adottando normative standard di sicurezza
cybernetica.
La nostra Check List può fornire delle indicazioni ad un auditor ma
non può esulare una azienda critica dall’affrontare una analisi più
specifica del contesto di sicurezza cybernetica in cui si trova.
La fabbrica è l’anello più debole della sicurezza informatica
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni
40. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni - CISA
Domande
41. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni - CISA
Grazie!
l.moroni@viavirtuosa.it
attilio@rampazzo.it