Tutto quello che avreste voluto. automazione ma non avete mai osato chiedere. Security Summit 2009
|
|
|
- Gianmaria Pagano
- 8 anni fa
- Visualizzazioni
Transcript
1 Tutto quello che avreste voluto sapere sulla protezione di reti e sistemi di controllo ed automazione ma non avete mai osato chiedere. Raoul Chiesa, OPST, OPSA, CD e CTS CLUSIT Alessio L.R. Pennasilico, Referente Sikurezza.org, CD e CTS CLUSIT Fabio Guasconi, LA27001, CISA, Referente UNINFO, Socio CLUSIT Enzo Maria Tieghi, Referente ANIPLA, Socio CLUSIT Security Summit Giugno 2009, Roma
2 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 2
3 Agenda (cont.) PARTE III: La visione di un fornitore Struttura e modelli di reti e sistemi di controllo: architetture, componenti,ecc. ecc Comunicazioni e protocolli più utilizzati, vulnerabilità e contromisure Le necessità dei clienti Le necessità dei vendor PARTE IV: CONCLUSIONI Conclusioni Best Practices tecniche Best Practices procedurali Contatti, Q&A 3
4 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 4
5 INTRODUZIONE 5
6 I relatori Raoul Chiesa aka Nobody Director of Communications at ISECOM OSSTMM Key Contributor, Project Manager di HPP Open Source Security Testing Methodology Manual Rilasciato nel gennaio 2001 Più di 3 milioni i di downloads d Direttore Tecnico Mediaservice.net Srl Docente di IT Security presso varie Università e Master di IS Speaker ad eventi di sicurezza nazionali ed internazionali Membro dei Comitati Direttivi CLUSIT, ISECOM, Telecom Security Task Force (TSTF.net), OWASP Italian Chapter Consulente per le Nazioni Unite sul cybercrime presso l UNICRI. 6
7 I relatori Alessio L.R. Pennasilico aka mayhem Security Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica, Italian Linux Society, LUGVR, Sikurezza.org, Hacker s Profiling Project 7
8 I relatori Fabio Guasconi Chief of Italian Delegation per il JTC1/SC27 Esperto Nazionale UNINFO Certificati Lead Auditor 27001, CISA, ITIL Speaker a eventi nazionali di sicurezza Membro di: CLUSIT ISMS Iug Italia ISACA Responsabile per la Sicurezza delle Informazioni e Mediaservice.net Srl S.r.l. 8
9 I relatori Enzo Maria Tieghi Amministratore Delegato di Vision Automation e ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) Auditor BS7799/ISO NERC CIP In Adisory Board,,gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 9 9
10 Le problematiche di sicurezza in ambienti sensibili Abbiamo operato in questi ambienti nel corso degli ultimi due anni, in Italia ed all estero. Ci siamo principalmente occupati di: Sicurezza organizzativa (standard, policy, ) Verifiche di Sicurezza (Penetration Test, Security Audit) Hardening (questo sconosciuto) Quanto emerso è a dir poco sconvolgente. E lo dice anche il NIST, lo US Cyber Defense, lo US Homeland Security, la Commissione Europea 10
11 Terminologie (dei sistemi di controllo ed automazione industriali) PCS (PCN):Process Control System (Network) SCADA: Supervisory Control and Data Acquisition iti (system) DCS: Distributed Control System PLC: Programmable Logic Controller RTU: Remote Terminal Unit OPC: OLE for Proces Control DH: Data Historian ESD: Emergency Shut-Down (system) MMI/HMI: Man/Human Machine Interface MES: Manufacturing Execution System ISA: Instrumentation, Systems and Automation Society 11
12 Perché parlare di questi argomenti? / 1 Nel corso del 2008, Alessio e Raoul hanno compiuto azioni di evangelism in Italia ed all estero. I contesti erano i più diversi: dalle conferenze hacker (IT Undeground, HITB, CONfidence, CCC, etc ) alle Università ed agli eventi classici (BBF, IWCE, etc..) In tutti i casi, enorme è stato l interesse dimostrato dal pubblico. ad onor del vero, il nostro talk era un mix di sano terrorismo ed una basic overview di questi mondi Volevamo fare riflettere, ma senza entrare troppo nel dettaglio. Nel mentre, ci siamo formati. Sul campo. 12
13 Perché parlare di questi argomenti? / 2 Nel contempo, il socio Tieghi scriveva il Quaderno CLUSIT Q7, Introduzione alla protezione di reti e sistemi i di controllo ed automazione (DCS, SCADA, PLC)...e Fabio Guasconi, insieme ad Enzo ed a Raoul, entrava nel GdL ESCoRTS. Lato CLUSIT, forti sono le collaborazioni con ANIPLA e con AIIC. Nel frattempo, il mercato continua a chiedere aiuto, supporto, consulenze, sicurezza 13
14 Esempi di infrastrutture automatizzate ti t Le prossime slide illustrano varie tipologie di infrastrutture automatizzate. 14
15 Typical Network Topology 15
16 Security dei sistemi IT e dei sistemi di controllo 16
17 Rete di un sistema di controllo 17
18 DCS + Ancillari Centrale Elettrica 18
19 Configurazione rete PCN con FW industriali 19
20 Esempio rete SCADA da NIST 20
21 Esempio SCADA distribuito da NIST 21
22 Esempio rete DCS da NIST 22
23 Esempio rete PCN semplice da NIST (solo layer processo) 23
24 Infrastrutture critiche nazionali Le NCIs hanno forti legami con i mondi SCADA e di Industrial Automation Nelle prossime tre slide, abbiamo cercato di riassumere secondo gli standard e le logiche ad oggi esistenti, primi tra tutti lo US Homeland Security Department le principali infrastrutture critiche nazionali, organizzate per settori. Il brutto è che, per ognuno di questi settori, attacchi ed intrusioni sono già avvenuti, con successo 24
25 Infrastrutture critiche nazionali / 1 SECTOR Energy and Utilities Sample Target sub-sectors Electrical power (generation, transmission, nuclear) Natural Gas Oil production and tranmission systems Communications and dinformation Tl Telecommunications (phone, fax, cable, Technology wireless & WiMax, satellite) Broadcasting systems Software Hardware Networks (Internet) Finance Health Care Banking Securities Investment Hospitals Health-care facilities Blood-supply facilities Pharmaceuticals 25
26 Infrastrutture critiche nazionali / 2 SECTOR Sample Target sub-sectors Food Food safety Agriculture and Food Industry Food distribution Water Drinking Water Wastewater t management Transportation Air Rail Marine Surface Safety Chemical, biological, radiological, and nuclear safety Hazardous materials Search and rescue Emergency services (police, fire, ambulance and others) Dams 26
27 Infrastrutture critiche nazionali / 3 SECTOR Government Manufacturing Sample Target sub-sectors Government facilities Government services (i.e., meteorological services) Government Information Networks Government Assets Key national symbols (cultural institutions, tions national sites, monuments) ments) Chemical Industry Defence industrial base 27
28 Esempi reali Un paio di real examples, per toccare con mano ciò di cui stiamo parlando. Managing pumps (USA, MN) The Gulf (Mexico) 28
29 29
30 30
31 PARTE I Overview e standard 31
32 Situazione in ambito nazionale ed internazionale i (EU) Associazioni: ISA ( s99 Committee e Standard Ora ISA s99 diviene IEC NIST SP & NIST SP NERC CIP-001/009 (per il settore Power) GdL: EURO-SCSIE ESTEC, ESCoRTS, CRUTIAL, IRRIIS, GRID, ecc IRRIIS 32
33 La famiglia ISO Information Security Management System Recenti sondaggi (Stakeholders Survey di ESCoRTS) mostrano come la ISO/IEC sia considerata il riferimento in materia di sicurezza per l automazione industriale, anche se non completamente adeguata. Altre norme sono più verticali e forniscono maggiori indicazioni, MA 33
34 La famiglia ISO Alcuni cenni alla struttura della ISO/IEC 27001: Risk Assessment Policy & Requisiti Contromisure ISO/IEC Plan Do Act Check Miglioramento Efficacia Audit 34
35 La famiglia ISO Requisiti Linee Guida Di Settore 27001: ISMS requirements 27006:2007 Requirements for audit & cert. bodies Vocabulary 27002:2005 Code of practice Implementation guidance Inter-sector communications Telecommunications E-government Financial and insurance 2701X ISO/IEC and ISO/IEC X Critical Infrastructures Measurements 27005:2008 Risk Management Service Security governance ISMS auditing 35
36 La famiglia ISO Attivitàità del JTC1/SC27 in merito: : periodo di studio sulle Infrastrutture Critiche Nazionali Aprile 2008: SC27 not interested (controverso) Ottobre 2008: proposta di inserire linee guida sulle CNI nella Maggio 2009: prossima plenaria a Pechino 36
37 La famiglia ISO La ISO/IEC nasce per essere impiegata su organizzazioni di ogni tipo e dimensione. L approccio ISO/IEC è direttamente t applicabile ai sistemi di automazione e alle CNI per la parte di processo (con le differenze identificate da IS s99: priorità C-I-A/R-I-D). Le contromisure specifiche e gli elementi di dettaglio possono (ed è previsto dalla norma) essere integrati da altri standard verticali. 37
38 La famiglia ISO Esempio di elementi distintivi da considerare nell applicazione della ISO/IEC 27001: Requisiti specifici inerenti fault-tolerance, disponibilità Differenze infrastrutturali e gestionali rispetto ai sistemi IT, separazione tra la rete corporate e quella di controllo Valorizzazione di rischi che coinvolgono vite umane e di minacce di più alto profilo (sabotaggio, terrorismo ) Contromisure specifiche o compensative diverse da quelle standard d 38
39 La famiglia ISO Altre norme applicabili dalla famiglia ISO/IEC ICT readiness for Business Continuity ISO/IEC Cybersecurity ISO/IEC Network security ISO/IEC Application security ISO/IEC Incident management 39
40 BS7799-IS vs. ISA C-I-A Comparison of Objectives Manufacturing and Control Systems Availability Integrity Traditional IT Systems Confidentiality Integrity Confidentiality Availability Priority 40
41 Modelli e gerarchie nei sistemi di fabbrica e di infrastruttura (ISA s95) 41
42 ANSI/ISA-95 Functional Hierarchy Level 4 Level 3 Business Planning & Logistics Plant Production Scheduling, Operational Management, etc Manufacturing Operations Management Dispatching Production, Detailed Production Scheduling, Reliability Assurance, Establishing the basic plant schedule - production, material use, delivery, and shipping. Determining inventory levels. Time Frame Months, weeks, days 3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process. Time Frame Days, Shifts, hours, minutes, seconds Level 2 Level 1 Batch Control Continuous Control Discrete Control 2 - Monitoring, supervisory control and automated control of the production process 1 - Sensing the production process, manipulating the production process Level The actual production process 42
43 ISA s99 Model: Zones and Conduits Laptop computer Workstation Mainframe Server Server Enterprise Zone Enterprise Conduit Plant A Zone Plant B Zone Plant C Zone Router Router Router Laptop computer Workstation Laptop computer Workstation Laptop computer Workstation File/Print Server App. Server Data Server File/Print Server App. Server Data Server File/Print Server App. Server Data Server Plant A Control Zone Firewall Plant B Control Zone Firewall Plant C Control Zone Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall Plant Control Conduit Plant Control Conduit Plant Control Conduit Controller Controller Controller Controller Controller Controller I/O I/O I/O I/O I/O I/O 43
44 ISA S99 Structure ISA Part 1: Terminology, Concepts and Models ISA Part 2: Establishing an Industrial Automation and Control System Security Program ISA Part 3: Operating an Industrial Automation and Control Systems Security Program ISA Part 4: Security Requirements for Industrial Automation and Control Systems ANSI/ISA-TR : Security Technologies for Manufacturing and Control Systems 44
45 Structural overview (ISA S99 - IEC 62443) Part Title ISA # IEC # I.1 Terminology, Concepts and Models ISA IEC I2 I.2 Master Glossary ISATR TR IEC/TR I.3 Foundational Requirements ISA TR IEC/TR II.1 Establishing an IACS* security yprogram ISA IEC II.2 II.3 Operating an IACS* security program Patch Management ISA ISA TR IEC IEC/TR III.1 III.2 III.3 Security Technologies Target Security Levels System Security & Compliance Metrics ISA TR ISA ISA IEC/TR IEC IEC III.4 Protection of Data at Rest ISA IEC * IACS = Industrial Automation and Control System 45
46 NIST SP & NERC CIP NIST SP800-82: Guide to Industrial Control System (ICS) Security NIST SP800-53: Reccomended Security control for Federal Information Systems Information Security NERC CIP-001/009 for Power Sector: 46
47 La direttiva EU Direttiva UE COM(2006)787, relativa alla "Identification and designation of European Critical Infrastructure and the assessment of the need to improve their protection ratificata dal Governo Italiano nel Dicembre Fornisce le indicazioni comuni, a livello europeo, relative alle modalità di identificazione delle infrastrutture critiche, identificazione di possibili minacce e vulnerabilità a cui ogni struttura è esposta ed identificazione di protezioni adeguate a contrastare la minacce individuate. Individuare adeguati meccanismi di protezione in grado di garantirne la corretta operatività ed evitare eventuali effetti domino, in caso di interazione fra diverse infrastrutture critiche. 47
48 Linee guida presenti in altri Paesi USA-DHS/DOE UK-CPNI NL-NICC GAMP5 48
49 US Critical Infrastructure Security Programs National SCADA Test Bed (DOE: Dept. of Energy) Control lsystems Security Program Dept. of Homeland Security 49 49
50 UK: CPNI Centre for the Protection of Nti National Infrastructure t Ex NISSC 7 guide security SCADA & PCN Google for CPNI SCADA 50
51 NL: Dutch National Cyber Crime Infrastructure t (NICC) SCADA Security Good Practice For the Drinking Water Sector 51
52 Le Gamp5 e la Sicurezza dei sistemi Appendice O11: Security Management 52
53 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 53
54 PARTE II Le problematiche tecniche 54
55 Ergonomia / 1 Donald A. Norman, La caffettiera del masochista James Reason, L errore umano 55
56 Ergonomia / 2 Evitare di Confondersi 56
57 Ergonomia / 3 Eravamo abituati a 57
58 Ergonomia / 4 Ora lavoriamo In modo diverso. 58
59 Blockbuster Il sistema di gestione della centrale elettrica non rispondeva. L operatore stava guardando un DVD sul computer di gestione CSO di una utility di distribuzione energia elettrica 59
60 Differenze tra Security IT e Security PCS ISO/IEC ISA Confidenzialità Disponibilità Integrità Integrità Disponibilità Confidenzialità 60
61 L Open Source e gli ambienti industriali i L open source è sempre più presente negli ambienti i industriali. I costruttori di sistemi embedded si orientano sempre più spesso verso soluzioni open. Ma è dal punto di vista del monitoring, della gestione e dei test che al momento si ottiene un enorme numero di strumenti adatti a lavorare nel mondo SCADA. 61
62 Hydra Password brute forcer per diversi protocolli Nessuna relazione con il mondo SCADA Utile per accesso a macchine di controllo, interfacce di gestione 62
63 aircrack Permette di trovare in pochi secondi password WEP128 ed in poche ore password WPA/PSK Nessuna relazione con l ambiente SCADA Tuttavia sensori, PLC o altri device SCADA utilizzano a/b/g/n per connettersi alla rete 63
64 Wireshark Sniffer per intercettare il traffico IP Può decodificare il traffico, isolare protocolli, sessioni, host Ha di default i dissector per interpretare correttamente diversi protocolli tipici dell automazione industriale (es. CIP) 64
65 Wireshark & CIP 65
66 Nessus Vulnerability Scanner, permette di trovare vulnerabilità conosciute o comuni errori di configurazione su diversi host / apparati Adatto a trovare vulnerabilità o malconfigurazioni di host legacy che ospitano applicazioni SCADA E stato inclusa una libreria specifica per software ed apparati SCADA 66
67 67
68 Le tecniche di attacco Le tecniche di attacco verso queste realtà non differiscono di molto da quelle classiche del mondo IT: Old school hacking (password guessing, ) Port scanning Eavesdropping, ricostruzione dei flussi Exploiting DoS Web applications hacking 68
69 Esempio di intrusione fonte INL (Idaho Nti National Lab DHS US 69
70 Incidenti del passato Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni 80 sino a casi decisamente recenti. 70
71 Whatcom Falls Park About 3:28 p.m., Pacific daylight time, on June 10, 1999,, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that t flowed through h Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18- year-old young man died as a result of the accident. Eight additional i injuries i were documented. d A single-family il residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million. 71
72 72
73 Technical details The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version , running on two Digital Equipment Corporation (DEC) VAX Model computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package. 73
74 SCADA can save lives 5. If the supervisory control and data acquisition (SCADA) system computers had remained responsive to the commands of the Olympic controllers, the controller operating the accident pipeline probably would have been able to initiate actions that would have prevented the pressure increase that ruptured the pipeline. 74
75 Worms In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. NIST, Guide to SCADA 75
76 nmap While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated. NIST, Guide to SCADA 76
77 Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. 77
78 Sabotaggio Thomas C. Reed, Ronald Regan s Secretary, described in his book At the abyss how the U.S. arranged for the Soviets to receive intentionally flawed SCADA software to manage their natural gas pipelines. "The pipeline software that was to run the pumps, turbines, and values was programmed to go haywire, after a decent interval, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to pp pipeline joints and welds." A 3 kiloton explosion was the result, in 1982 in Siberia. 78
79 Gazprom Russian authorities revealed this week that Gazprom, a state-run gas utility, came under the control of malicious hackers last year. [ ]The report said hackers used a Trojan horse program, which stashes lines of harmful computer code in a benign-looking program. 79
80 Incidenti recenti (2008/2009) Texas: warning, zombies ahead Transportation officials in Texas are scrambling to prevent hackers from changing messages on digital road signs after one sign in Austin was altered to read, "Zombies Ahead." Chris Lippincott, director of media relations for the Texas Department of Transportation, confirmed that a portable traffic sign at Lamar Boulevard and West 15th Street, near the University of Texas at Austin, was hacked into during the early hours of Jan. 19. "It was clever, kind of cute, but not what it was intended for," said Lippincott, who saw the sign during his morning commute. "Those signs are deployed for a reason to improve traffic conditions, let folks know there's a road closure." 80
81 Incidenti recenti (2008/2009) Final Super Bowl Moments Interrupted By Porn Yesterday s television broadcast of the Super Bowl in Tucson, Arizona, was interrupted for some viewers by about 10 seconds of pornographic material. According to a statement from KVOA TV in Tucson, the only viewers who saw the material were those who receive the channel through Comcast cable. Officials at Comcast said they had no idea at the time it happened how the porn may have gotten into its feed. Apparently, the SD signal was hacked and a tensecond porn clip was inserted into the feed. The station received hoards of complaints from families who were watching the game and saw the clip, which showed a woman unzipping a man's pants, followed by a graphic act between the two. UPDATED (2 febbraio 2009): Comcast offers $10 credit to Tucson customers who saw Super Bowl porn 81
82 Previews / 1 Critical Infrastructure Prime Target For Cyber Criminals In The report, "2009 Cyber Threats and Trends" seeks to aid education efforts about cyber security threats facing networks, enterprises and end-users by highlighting important trends that emerged in 2008, and attempts to predict security trends and disruptors that may develop in 2009 with lasting consequences for businesses in the coming decade. com/articles/70136/ 82
83 Previews / 2 NG911 Meaning we have to look at the NG911 (next generation) that NENA is about to roll out. NENA uses XML to manage all review and dispatch of emergency notifications. These payloads may be downloaded directly to the [handheld] of the incident commander on the way to the site. NG911 wraps every message it gets in its own XML envelope for routing and archival. Inside that envelope, though, is standard emergency management distribution elements (EDXL) with specialized elements for each purpose. The most tfamous, and dthe least normalized of fthe elements is CAP( (common alerting protocol). There may be many elements in a single message. Some distribution elements may be encrypted such that not everyone who receives a emergency message can read all elements. When folks are speaking imprecisely, they may refer to the entire pile as "a CAP Alert". The NG911 folks are also talking about receiving messages directly into their system, from external agencies. If local l policy allows, these messages can be dispatched directly through the system without operator intervention, saving minutes on a response. ([SCADASEC] Fw: HAZUS Forum and HAZUS Wiki Announcement). 83
84 Previews / 3 Know the risks of running industrial control systems on IP networks, by Shamus McGillicuddy, News Editor - 07 Jan 2009 SearchNetworking.com In the never-ending quest to save money and boost performance, many organizations are migrating their industrial control systems onto IP networks. As network engineers get to know these new systems, they must tread carefully -- one mistake can lead to disaster. Often referred to as SCADA (Supervisory Control And Data Acquisition) iti systems, these industrial networks are used in a variety of industries. Utility companies use them to manage electrical grids, natural gas distribution, and sewer and water systems. Manufacturers use them to manage factory floor equipment. Construction and engineering firms often manage heavy equipment, such as cranes, with them. Nuclear power plants manage fission and power generation with these systems. ( 4304,00.html)
85 Previews / 4 ASCE American Society of Civil Engineers e la loro Report Card: 2009 Report Card for America's Infrastructure Category Changed? Better or worse? Aviation D D+ Yes; worse Bridges C C Dams D D Drinking Water D- D- Energy D+ D Yes; better Hazardous Waste D D Inland Waterways D- D- Levees D- NA Yes; worse Public Parks & Recreation C- C- Rail C- C- Roads D- D Yes; worse School D D Security NA I Removed Solid Waste C+ C+ Transit D D+ Yes; worse Wastewater D- D- Overall GPA grade D D Cost $2.2T 2 $1.6T A = Exceptional B = Good C = Mediocre D = Poor F = Failing 85
86 Previews / 5 World's power grids infested with (more) SCADA bugs Areva Inc. - a Paris-based company that serves nuclear, wind, and fossil- fuel power companies - is warning customers to upgrade a key piece of energy management software following the discovery of security bugs that leaves it vulnerable to hijacking. The vulnerabilities affect multiple versions of Areva's e-terrahabitat package, which allows operators in power plants to monitor gas and electric levels, adjust transmission and distribution devices, and automate other core functions. Areva markets itself as one of the top three global players in the transmission and distribution of energy
87 Defective by design? Nessuna autenticazione Nessuna cifratura locale dei dati Nessuna cifratura del traffico di rete Nessuna gestione dei LOG Spesso sono / sono state esigenze e non limiti 87
88 Errori comuni Nessun isolamento delle macchine di produzione dai normali PC Configurazioni di default Scarso o nessun controllo sugli accessi da remoto (Dial-up / VPN) Documentazione obsoleta ed incoerente Nessun piano di Disater Recovery, piani mai testati, o mai testati in seguito a modifiche anche importanti 88
89 Problemi tecnici Utilizzo di un Antivirus i / IDS Non esiste o rallenta le performance Applicazione delle security patch Cicli di approvazione e test troppo lunghi Non garanzia da parte dei Vendor in seguito a patch ed installazione SP (cfr SP3 su Windows) o comunque updates non certificate. Esecuzione di un pen-test Risultati (e reazioni) imprevedibili 89
90 Problemi economici Gestione di un test-bed Soprattutto in ambienti complessi è molto costoso da realizzare e da mantenere Approvazione dei costi di hardening Il management li percepisce troppo spesso come costi inutili, rifiutandoli in fase di progettazione e non approvandoli in fase di tuning / hardening 90
91 Nuovi problemi Utilizzo di tecnologie legacy OS, Ethernet, WiFi Vulnerabilità introdotte dai nuovi sistemi di gestione ed accesso Interfacce WEB, VNC Effetti domino provocati dall interazione tra macchine worm 91
92 Esperienze sul campo Sovema Mirato (Malizia Profumo d Intesa, etc..) MilMil SAF/FRO Gruppo AirLiquide SantLuis Tecres Gruppo Rossetto Altri Altri soggetti ad NDA 92
93 Il costo dell hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato al3 3M vs 3K : progetto bocciato 93
94 Sovema: esigenze Macchine per costruire batterie delle automobili Rischio di ferire/uccidere l operatore, inquinare l ambiente, esplodere con tutto lo stabilimento, etc etc Da cablaggio proprietario a ethernet Da protocolli proprietari acip Macchine poco potenti per contenere i costi Fornire al cliente una soluzione sicura 94
Come proteggere reti e sistemi di Automazione, Controllo e Telecontrollo da rischi informatici nell'industria e nelle utility
Come proteggere reti e sistemi di Automazione, Controllo e Telecontrollo da rischi informatici nell'industria e nelle utility Alessio L.R. Pennasilico, Referente Sikurezza.org, CD e CTS CLUSIT Enzo Maria
Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)
Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.) Enzo M. Tieghi www.visionautomation.it etieghi@visionautomation.it 1 Security dei sistemi IT e dei sistemi
Serializzazione La chiave di successo è l integrazione tra business e shop floor. Mauro Chiaraluce Sales Manager
Serializzazione La chiave di successo è l integrazione tra business e shop floor Mauro Chiaraluce Sales Manager AGENDA Il nostro Gruppo La ESISOFTWARE L integrazione nella Serializzazione Mauro Chiaraluce
La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
La Continuità Operativa per gli Erogatori di Servizi Essenziali (La criticità delle tecnologie OT)
La Continuità Operativa per gli Erogatori di Servizi Essenziali (La criticità delle tecnologie OT) Mario Testino MBA Meng ServiTecno Operational Technology? Le tecnologie informatiche primarie che si interfacciano
Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend
Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,
Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013
Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale
Cyber Security. Milano, 30 novembre 2017
Petrolchimico Alimentare Cyber Security Milano, 30 novembre 2017 Gli atti dei convegni e più di 8.000 contenuti su www.verticale.net Mario Testino mtestino@servitecno.it Le Ragioni dell Hacking Hacking
SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management
SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni
(Cyber) Security Sicurezza di Reti, Sistemi e Dati in ambito industriale
(Cyber) Security Sicurezza di Reti, Sistemi e Dati in ambito industriale Sergio Petronzi Inprotec S.p.A. Distributore Vision area centro-sud Roma, 27 Gennaio 2006 Uno strano caso a Maroochy Shire (AUS)
Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
La sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.
La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner
L evoluzione del Settore della Manutenzione: La manutenzione predittiva su condizione
L evoluzione del Settore della Manutenzione: La manutenzione predittiva su condizione Qual è il Trend? 18% dei lavori di manutenzione eseguiti non necessari (ARC Advisory Group) At the end of the day,
AICA - Associazione Italiana per l Informatica ed il Calcolo Automatico. Certificazioni informatiche europee
- Associazione Italiana per l Informatica ed il Calcolo Automatico Certificazioni informatiche europee Milano, 6 ottobre 2003 1 AICA Profilo istituzionale Ente senza fini di lucro, fondato nel 1961 Missione:
L approccio di Consip alla sicurezza applicativa. Matteo Cavallini
L approccio di Consip alla sicurezza applicativa Matteo Cavallini Chi sono Dal 2007 Responsabile della Struttura Operativa della Unità Locale della Sicurezza MEF/Consip che raggruppa nella propria constituency:
1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico
Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico Proof-Of-Concept per Acquedotto Multiutility Enzo M. Tieghi ServiTecno/GE-Intelligent Platforms etieghi@servitecno.it www.telecontrollo.biz
Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management
Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard
Tecnologie di Campo nell Automazione Industriale
Tecnologie di Campo nell Automazione Industriale Reti per l Automazione Stefano Panzieri Lan e Bus di Campo - 1 Stefano Panzieri Al livello più basso Misura e acquisizione delle grandezze di interesse
Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
Sicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
Omron Water Energy Day. Marco Filippis Omron
Omron Water Energy Day Marco Filippis Omron Sistema di Gestione dell Energia Il SGE rappresenta una politica energetica mediante la quale si identificano degli obiettivi ed il piano d azione da seguire.
Gestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
NEAL. Increase your Siebel productivity
NEAL Increase your Siebel productivity Improve your management productivity Attraverso Neal puoi avere il controllo, in totale sicurezza, di tutte le Enterprise Siebel che compongono il tuo Business. Se
The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly
The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly linked to the oral comments which were made at its presentation,
Cloud Computing Stato dell arte, Opportunità e rischi
La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego
Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007
Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle
Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)
Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)
L utilizzo del protocollo standard IEC60870-104, via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico.
L utilizzo del protocollo standard IEC60870-104, via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico. Ing. Vittorio Agostinelli Product Manager Factory Automation Phone:
Siamo quello che ti serve
Siamo quello che ti serve Fabaris TECNOLOGIA E COMPETENZA A SERVIZIO DELLE AZIENDE Fabaris opera da oltre quindici anni nel settore ITC, nella realizzazione e gestione di complessi sistemi ad alto contenuto
Iniziativa : "Sessione di Studio" a Roma
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
Catalogo corsi di formazione
nno 2015 utore F. Guasconi Revisore F. Morini Data 27/05/2015 Classificazione Corsi di formazione BL4CKSWN La nostra offerta formativa ricalca le linee di eccellenza su cui siamo attivi nell erogazione
I livelli di Sicurezza
Appendice Allegato D Allegato Tecnico I livelli di Sicurezza TC.Marketing ICT Appendice Allegato Tecnico 1 Indice del documento 1 La sicurezza dei Data Center di Telecom Italia... 3 1.1 Sicurezza dei processi
IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM
ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM YEAR: 2009-2010 CUSTOMER: THE PROJECT Il Progetto S.E.I.C. developed the Environmental Control & Leak Detection System (ecolds) for Rho - Malpensa Pipeline
Situation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi
Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com
Configuration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
Essence - Emerging Security Standards for the EU power Network controls and other Critical Equipment 2012-2014
Alberto_stefanini@virgilio.it Alberto_stefanini@virgilio.it Alberto_stefanini@virgilio.it Essence - Emerging Security Standards for the EU power Network controls and other Critical Equipment 2012-2014
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1
ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni
Sistemi di Sicurezza ad Alta Affidabilita Safety Integrity Level (SIL) RASSEGNA DELLA NORMATIVA. Ing. Domenico Barone Studio db
Sistemi di Sicurezza ad Alta Affidabilita Safety Integrity Level (SIL) RASSEGNA DELLA NORMATIVA Ing. Domenico Barone Studio db Seminario 3ASI CESNEF Milano 30.06.04 1. Incidenti rilevanti accaduti nell
Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC
Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,
Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali
Telex telecomunicazioni Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali Agenda 1 azienda 2 organizzazione 3 offerta 4 partner 5 referenze Storia Azienda Nasce 30 anni fa Specializzata
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
ICT (Information and Communication Technology): ELEMENTI DI TECNOLOGIA
ICT (Information and Communication Technology): ELEMENTI DI TECNOLOGIA Obiettivo Richiamare quello che non si può non sapere Fare alcune precisazioni terminologiche IL COMPUTER La struttura, i componenti
Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»
Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza
Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301
Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata
La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
V.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
System & Network Integrator. Rap 3 : suite di Identity & Access Management
System & Network Integrator Rap 3 : suite di Identity & Access Management Agenda Contesto Legislativo per i progetti IAM Impatto di una soluzione IAM in azienda La soluzione di SysNet: Rap 3 I moduli l
L'utente poco saggio pensa che gli informatici lo boicottino
L'utente poco saggio pensa che gli informatici lo boicottino Come far usare cloud e mobile in azienda, senza farsi odiare e senza mettere a rischio i dati? Alessio L.R. Pennasilico - apennasilico@clusit.it
SOLUZIONI E SERVIZI ICT
SOLUZIONI E SERVIZI ICT Chi siamo Cosa facciamo? In quindici parole : facciamo consulenza, assistenza, manutenzione, gestione e monitoraggio delle infrastrutture dei nostri clienti sul cablaggio, sulla
Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla
Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla 1. Which are three reasons a company may choose Linux over Windows as an operating system? (Choose three.)? a) It
Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Pag. /50
Chi siamo? Fiorenzo Ottorini CEO Attua s.r.l. Paolo Marani CTO Attua s.r.l. Alessio Pennasilico CSO Alba s.a.s. Tecres Tecres utilizza AIM fin dalla prima versione per tenere sotto controllo ogni aspetto
I PRINCIPI DELL EFFICIENZA PRODUTTIVA
Academy dell Efficienza I PRINCIPI DELL EFFICIENZA PRODUTTIVA Nino Guidetti Direttore Commerciale Grandi Clienti Schneider Electric Metodologia Lean Six Sigma Organizzazione snella, fortemente orientata
BANCHE E SICUREZZA 2005 - ABI. Valerio Minero - Amministratore Delegato ONE-ANS Executive VP Gruppo Italtel
BANCHE E SICUREZZA 2005 - ABI Valerio Minero - Amministratore Delegato ONE-ANS Executive VP Gruppo Italtel Roma, 7 Giugno 2005 Trend delle Minacce alla Sicurezza dell Infrastruttura Obiettivo degli attacchi
Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO
Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO Le Aree in cui Operiamo Progettiamo, realizziamo e supportiamo infrastruttura di Network di classe enterprise, basate su principi di availability,
Politica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Soluzioni per l Efficienza Produttiva
Soluzioni per l Efficienza Produttiva Venerdì 16 Novembre 2012 Parco Scientifico Tecnologico Kilometro Rosso - BG Massimo Daniele Marketing Manager Plant Solutions Schneider Electric può aiutare al di
Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
Corso di Progettazione di Impianti e della Sicurezza Industriale: Fault Tree Analysis (FTA) I/E e Safety Instrumented System (SIS)
Corso di Progettazione di Impianti e della Sicurezza Industriale: Fault Tree Analysis (FTA) I/E e Safety Instrumented System (SIS) Negli impianti a rischio di incidente rilevante, al fine di prevenire
Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013
Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di
Domenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
PROFILO AZIENDALE 2011
PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application
La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale
XXVII Corso Viceprefetti Stage
XXVII Corso Viceprefetti Stage Governare le complessità: analisi comparativa di realtà pubblica e realtà privata Roma, 11-15 novembre 2013 A cura di Enel University Contesto del progetto Il progetto Stage
Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente
Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini
Good Practice Guide: Calibration Management
Predictive Maintenance & Calibration Milano 14 dicembre 2005 GAMP Good Practice Guide: Calibration Management Giorgio Civaroli Le GAMP Good Practice Guides Calibration Management Validation of Process
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
CONFIGURATION MANUAL
RELAY PROTOCOL CONFIGURATION TYPE CONFIGURATION MANUAL Copyright 2010 Data 18.06.2013 Rev. 1 Pag. 1 of 15 1. ENG General connection information for the IEC 61850 board 3 2. ENG Steps to retrieve and connect
Processi di Gestione dei Sistemi ICT
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,
Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant
Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness
TIG Leadership Program: Securing the new Digital Enterprise: Sicurezza & Risk Management nell era digitale
TIG Leadership Program: Securing the new Digital Enterprise: Sicurezza & Risk Management nell era digitale 1 Che cosa sono i Leadership Program di The Innovation Group Un programma coordinato e strutturato
Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader
Il percorso delle aziende italiane verso l IT Governance Rossella Macinante Practice Leader 11 Marzo 2009 Previsioni sull andamento dell economia nei principali Paesi nel 2009 Dati in % 3,4% 0,5% 1,1%
Associazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
VULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA
SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA Sicurezza Network, hardware e software Claudio Giovanzana Direzioni Sistemi Informativi Ospedale H San Raffaele Milano, 18 gennaio 2007 1 Sicurezza: Definizione
Solutions in motion.
Solutions in motion. Solutions in motion. SIPRO SIPRO presente sul mercato da quasi trent anni si colloca quale leader italiano nella progettazione e produzione di soluzioni per il motion control. Porsi
Giovanni Belluzzo. Riepilogo. Esperienza. Head of Project & Portfolio Management Office giovanni.belluzzo@infocert.it
Giovanni Belluzzo Head of Project & Portfolio Management Office giovanni.belluzzo@infocert.it Riepilogo Ingegnere Elettronico, da circa 25 anni opero nel mondo ICT. Nel corso della mia carriera ho condotto
La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa
La gestione della Sicurezza nel Gruppo CRIF La struttura organizzativa INFOSECURITY Milano 16/03/2010 Agenda Presentazione Gruppo CRIF Struttura organizzativa Security nel Gruppo CRIF 2 CRIF al servizio
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
Replica di Active Directory. Orazio Battaglia
Orazio Battaglia Active Directory è una base di dati distribuita che modella il mondo reale della organizzazione. Definisce gli utenti, i computer le unità organizzative che costituiscono l organizzazione.
> Visionest Business Protection
> Visionest Business Protection Presentazione breve della consulting practice Aprile 2005 David Bramini - Partner david.bramini@visionest.com > Visionest Business Protection practice Il valore strategico
IT Risk Management a 360
IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle
Il controllo della tua infrastruttura in palmo di mano, come anticipare i problemi prima che sia troppo tardi
Il controllo della tua infrastruttura in palmo di mano, come anticipare i problemi prima che sia troppo tardi bigblue easy suite Monitoring è composta una serie di moduli software di alto livello selezionati,
trasmissione/distribuzione?
Come rendere smart una rete di trasmissione/distribuzione? Il contributo degli specialisti software nell implementazione di smart grid. Giuseppe Menin - COPA-DATA GmbH giuseppe.menin@copadata.it 11.2010
La certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
Service Manager Operations. Emerson Process Management
Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo
Cyber Security Day. 6 ottobre 2014. Con il supporto di:
Cyber Security Day 6 ottobre 2014 Con il supporto di: ovvero dei dispositivi mobili Alessio L.R. Pennasilico - apennasilico@clusit.it Università degli Studi di Verona Ottobre 2014 $whois -=mayhem=- Security
Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010
Cloud Computing - Soluzioni IBM per Speaker l Homeland Name Security Giovanni De Paola IBM Senior Consultant 17 Maggio 2010 Agenda 2 Il valore aggiunto del Cloud Computing per Homeland Security e Difesa
ISAC. Company Profile
ISAC Company Profile ISAC, all that technology can do. L azienda ISAC nasce nel 1994, quando professionisti con una grande esperienza nel settore si uniscono, e creano un team di lavoro con l obiettivo
Chi siamo e le nostre aree di competenza
Chi siamo e le nostre aree di competenza Telco e Unified Communication Software as a Service e Business Intelligence Infrastrutture digitali Smartcom è il primo business integrator europeo di servizi ICT
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
Implementing Microsoft Azure Infrastructure Solutions (MOC 20533)
Implementing Microsoft Azure Infrastructure Solutions (MOC 20533) Durata Il corso dura 4,5 giorni. Scopo Il corso è dedicato a professionisti IT con esperienza che amministrano la loro infrastruttura on-premise.