Le linee guida OWASP per la sicurezza applicativa
|
|
- Barbara Beretta
- 8 anni fa
- Visualizzazioni
Transcript
1 Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation
2 Agenda Introduzione ad Linee guida per la sicurezza applicativa Il ciclo di sviluppo del software e il Framework di Test di Come utilizzare nel proprio SDLC 2
3 Il progetto Open Web Application Security Project () è una organizzazione dedicata alla creazione e alla diffusione di una cultura per quanto riguarda la sicurezza delle applicazioni web Progetto free, come il materiale disponibile sul portale Migliaia di membri, 78 capitoli locali e altri partecipanti ai progetti. Milioni di hit su al mese Defense Information Systems Agency (DISA), US Federal Trade Commission (FTC), VISA, Mastercard, American Express hanno adottato la documentazione nei loro standard e linee guida
4 -Italy 130 membri di cui 16 fortemente attivi nei progetti Leadership del progetto Testing Guide, con 11 autori italiani Più di 20 seminari e partecipazioni a convegni quali: "Software Security (Firenze Tecnologia), 6th AppSec Conference in Italy, Master on Information Security, University of Rome "La Sapienza, Seminari CLUSIT, University of Rome "La Sapienza, EuSecWest 07, InfoSecurity, Isaca Rome, SMAU, OpenExp, -Boston, Microsoft, IDC - European Banking Forum, Workshop on Computer Crime 2005, AlmaWeb University of Bologna Più di 10 pubblicazioni sul tema dell Application Security su testate quali: Quaderno CLUSIT, ICT Security, Hackin9, ISACA Rome
5 Code Review Guide Ajax Orizon.NET, Java BuildingGuide Testing Guide WebScarab Validation Certification Top 10 Training Blogs Conferences Project incubator Wiki portal Forums WebGoat Building our brand Chapters 5
6 Principali progetti Top10 Guida per la progettazione di applicativi web sicuri Web Application Penetration Testing Strumenti per tester e code reviewer: WebGoat: WebScarab: Articoli, standard, news su Application Security
7 Honeycomb Testing Guide Tools Threat Agents Business Impacts Business Impact Vulnerabilities Vulnerability Code Review Guide System Impacts Countermeasures Asset Attacks Attack Countermeasure Building Guide 7
8 Top10 mantiene una lista delle 10 vulnerabilità più critiche degli applicativi web. Sempre più accettata come standard: Federal Trade Commission (US Gov) Oracle Foundstone Stake VISA, MasterCard, American Express Tradotta in italiano, disponibile sul sito del CLUSIT A1. Unvalidated Input A2. Broken Access Control A3. Broken Authentication and Session Management A4. Cross Site Scripting (XSS) Flaws A5. Buffer Overflow A6. Injection Flaws A7. Improper Error Handling A8. Insecure Storage A9. Denial of Service A10. Insecure Configuration Management
9 Building Guide Al fine di comprendere ed eliminare le cause della insicurezza nel software, ha sviluppato la guida per lo sviluppo delle applicazioni web sicure pensata per: Sviluppatori per implementare i meccanismi di sicurezza ed evitare le vulnerabilità; Project manager che la utilizzano per identificare le attività da svolgere (threat modeling, code review, development); Team di sicurezza che la usano per apprendere le tematiche di application security e l approccio per la messa in sicurezza;
10 Building Guide Applicazioni e Web Services Vengono analizzati e discussi più di 200 controlli: per ogni controllo di sicurezza da implementare si descrive la problematica, come determinare se si è vulnerabili e quali contromisure adottare per proteggersi. Sia teoria che le best practice Tratta esempi in J2EE, ASP.NET e PHP, le più diffuse piattaforme per sviluppare applicazioni web. Vengono puntualmente confrontati gli standard ITIL, CobiT, ISO con gli Criteria esposti nella guida.
11 Building Guide Meccanismi di autenticazione Autorizzazione e metodi di controllo degli accessi Validazione dei dati in input e output Gestione delle sessioni web Audit e Logging Riservatezza delle informazioni e crittografia Insecure Configuration Management La gestione degli errori Denial of Service Phishing AJAX Web Services
12 Testing Guide v2 Descrive la metodologia per testare un applicativo web 272 pagine, 48 controlli Approccio della metodologia: Definita Consistente Ripetibile Di qualità Il documento SANS Top 20 cita la guida in "C1. Web Applications" sezione: "Congratulations on version 2 of the Testing Guide! It is an impressive and informative document that will greatly benefit the software development community". Joe Jarzombek, the Deputy Director for Software Assurance at Department of Homeland Security 12
13 Testing Guide: report I. Executive Summary II. Technical Management Overview III Assessment Findings: Risk Rating 13
14 Il ciclo di vita del software e la sicurezza
15 Il ciclo di vita del software Il problema della sicurezza del software rappresenta la prossima sfida per le aziende. Il Ciclo di Vita del Software (Sofware Development Life Cycle, SDLC) comprende : Define Design Develop Deploy Maintain Come si individuano le vulnerabilità? Manual Inspections & Reviews Threat Modeling Code Review Penetration Testing 15
16 Testing Program nel SDLC: fraintendimenti comuni Utilizziamo scanner automatici e penetration test, così siamo coperti su tutte le problematiche di sicurezza. Se un PT da esito positivo l azienda sa che ci sono dei seri problemi Se un PT da esito negativo l azienda ha un falso senso di sicurezza I imigliori application scanner coprono < 20% dei buchi di sicurezza Abbiamo un Web Application Firewall (WAF) che protegge le applicazioni così non abbiamo la necessità di testare le vulnerabilità degli applicativi. I WAF non coprono tutte le vulnerabilità e per niente quelle logiche Testiamo tutto prima che sia in esercizio. Implica un drammatico innalzamento dei costi Normalmente implica solo black-box testing Al fine di costruire software migliore, è necessario costruire un migliore processo di sviluppo del sw (SDLC)
17 Principi del Testing Non esiste la soluzione La chiave è il SDLC Testare nella fase iniziale e spesso Mindset: pensare out of the box Use the Right Tool for the Right Job Usare Source Code Review quando è disponibile Metriche e miglioramento continuo
18 Fasee1: Prima cheinizilo sviluppo SDLC and Security Prima che inizi lo sviluppo dell applicativo è necessario: Assicurarsi che esista un SDLC adeguato e che la sicurezza sia inerente in ogni fase Creare le policy e standard necessarie per il team di sviluppo Sviluppare criteri di metrica per assicurare il miglioramento continuo del ciclo Documentare tutto per assicurare la tracciabilità Before SDLC Define&Design Development Deploy&Maintenance 18
19 SDLC and Security Fase 2: Durante Define e Design Prima che inizi lo sviluppo dell applicativo è necessario: Security Requirements Review: User Management (password reset etc.), Authentication, Authorization, Data Confidentiality, Integrity, Accountability, Session Management,Transport Security, Privacy Design an Architecture Review Create and Review UML Models Come funziona l applicativo Create and Review Threat Models Sviluppare uno scenario di minacce realistiche Before SDLC Define&Design Development Deploy&Maintenance 19
20 SDLC and Security Phase 3: During Development Code Walkthrough: Ispezione ad alto livello del codice in cui gli sviluppatori posso spiegare la logica ed il flusso Code Review: Revisione statica del codice al fine di validare il codice nei confronti di una serie di checklist: CIA triade Top10, Code Review Sox, ISO 17799, ecc Before SDLC Define&Design Development Deploy&Maintenance 20
21 SDLC and Security Phase 4: During Deployment Application Penetration Testing Test black-box dell applicazione Configuration Management Testing Controllo di come l infrastruttura è stata messa in campo e come resa sicura Phase 5: Maintenance and Operations Operational management reviews Health check periodici Assicurare il change verification Before SDLC Define&Design Development Deploy&Maintenance 21
22 SDLC & Before SDLC Define&Design Development Deploy&Maintenance Policy and Standards Develop metrics Security Requirement Threat Modeling Code Walkthrough Code Review Application Testing Management reviews Health checks Awareness Building Review Test Guidelines Building Guide Code Review Guide Testing Guide Security in SDLC Framework
23 Grazie Matteo Meucci CISSP, CISA Italy founder and Chair Testing Guide lead
OWASP Day IV: introduzione
OWASP Day IV: introduzione Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Italy Day IV Milan 6th, November 2009 Copyright 2008 - The OWASP Foundation Permission is granted to copy, distribute
DettagliL'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
DettagliSPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.
DettagliDomenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
DettagliCarlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliIntroduzione all OWASP- Day II
Introduzione all OWASP- Day II Matteo Meucci OWASP-Day Università La Sapienza Rome 31 st March, 2008 OWASP-Italy Chair CEO Minded Security matteo.meucci@owasp.org Copyright 2007 - The OWASP Foundation
DettagliProgetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org
Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna Copyright 2008 - The Foundation Permission is granted
DettagliThe approach to the application security in the cloud space
Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance
DettagliCome valutare la maturità del proprio modello di sviluppo del software
Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
DettagliApplication Security Governance
Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliTest e collaudo del software Continuous Integration and Testing
Test e collaudo del software Continuous Integration and Testing Relatore Felice Del Mauro Roma, Cosa è la Continuous Integration A software development practice where members of a team integrate their
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliQualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliProgetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl
Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliCiclo di vita del software: strumenti e procedure per migliorarne la sicurezza
Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione
DettagliIS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
DettagliLo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool
Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Matteo Meucci Paolo Perego Security Summit 2011 Giorgio Fedon Milan 15th March, 2011 Copyright 2011- The OWASP Foundation Permission
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliCOMITATO dei PROBIVIRI AIEA 2015-2018
Al servizio dei professionisti dell IT Governance Capitolo di Milano Profili dei Candidati per il rinnovo del COMITATO dei PROBIVIRI AIEA 2015-2018 Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013),
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliQuaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP
Quaderni Clusit 004 La verifica della sicurezza di applicazioni Web-based ed il R. Chiesa, L. De Santis, M. Graziani, L. Legato, M. Meucci, A. Revelli La verifica della sicurezza di applicazioni Web-based
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliSecurity Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e
Security Summit 2010 Insert Company L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e L evoluzione nella sicurezza delle applicazioni
DettagliCatalogo Corsi. Aggiornato il 16/09/2013
Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...
DettagliITIL cos'è e di cosa tratta
ITIL cos'è e di cosa tratta Stefania Renna Project Manager CA Sessione di Studio AIEA, Verona, 25 novembre 2005 Agenda ITIL: lo standard de facto Il framework I benefici e le difficoltà Il percorso formativo
DettagliSecurity & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
DettagliProblem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking
Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
Dettagliwww.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl
www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura
DettagliEarly Warning Bollettino VA-IT-130709-01.A
Early Warning Bollettino VA-IT-130709-01.A C A N D I D A T E CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Stack Based Buffer Overflow in AutoTrace Data Pubblicazione
DettagliValorizzazione della professionalità di SW Quality Assurance
Valorizzazione della professionalità di SW Quality Assurance 17 Esther BEVERE Miriam MERENDA ALTEN Italia Agenda Rilevanza della Professionalità del Software Tester Professionalità nel Testing Percorsi
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliInformazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology
Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di
Dettagli03/07/2012. Il Comitato AICQ Qualità del SW e dei Servizi IT
Il Comitato AICQ Qualità del SW e dei Servizi IT Alfredo Avellone Roma, 3 luglio 2012 1 Nasce nel novembre 1987 come Comitato Qualità del Software. Missione Promuovere, coordinare, favorire l analisi,
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliI COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.
I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle
DettagliProgetto AURELIA: la via verso il miglioramento dei processi IT
Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce
DettagliCatalogo corsi di formazione
nno 2015 utore F. Guasconi Revisore F. Morini Data 27/05/2015 Classificazione Corsi di formazione BL4CKSWN La nostra offerta formativa ricalca le linee di eccellenza su cui siamo attivi nell erogazione
DettagliSecurity Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze
DettagliCiclo di vita del software
Ciclo di vita del software Nel corso degli anni, nel passaggio dalla visione artigianale alla visione industriale del software, si è compreso che il processo andava formalizzato attraverso: un insieme
DettagliIniziativa : "Sessione di Studio" a Roma. Roma, 9 ottobre 2008. Hotel Universo. 7 ottobre p.v.
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
DettagliSOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.
DettagliGood Practice Guide: Calibration Management
Predictive Maintenance & Calibration Milano 14 dicembre 2005 GAMP Good Practice Guide: Calibration Management Giorgio Civaroli Le GAMP Good Practice Guides Calibration Management Validation of Process
DettagliCertificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia
Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005 Certification Europe Italia 1 IT Service Management & ITIL Ä La IT Infrastructure Library (ITIL) definisce le best practice
DettagliGruppo di Lavoro: ITIL & Analisi dei Rischi. Marco Pinzaglia
Gruppo di Lavoro: ITIL & Analisi dei Rischi Marco Pinzaglia ITIL come supporto all analisi dei rischi OBIETTIVO del GdL: Definire un processo per l utilizzo di ITIL (V.2-.3) valorizzandolo come strumento
DettagliPARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone
PARTE 1 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 2 PCI Security Standards Council 2004 A Dicembre viene pubblicata la versione 1.0 della PCI- DSS, gestita da VISA e MasterCard
DettagliRational Unified Process Introduzione
Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM La certificazione CGEIT 2 A I E A Costituita
DettagliInformation Systems Audit and Control Association
Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone
DettagliLa gestione della qualità nelle aziende aerospaziali
M Premessa La AS 9100 è una norma ampiamente adottata in campo aeronautico ed aerospaziale dalle maggiori aziende mondiali del settore, per la definizione, l utilizzo ed il controllo dei sistemi di gestione
DettagliMetodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend
Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,
DettagliIT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010
IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliEarly Warning. Bollettino VA-IT-130911-01.A
Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliSymantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting
Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey
DettagliCloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010
Cloud Computing - Soluzioni IBM per Speaker l Homeland Name Security Giovanni De Paola IBM Senior Consultant 17 Maggio 2010 Agenda 2 Il valore aggiunto del Cloud Computing per Homeland Security e Difesa
DettagliUniversità di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
DettagliRevisione dei processi in chiave ITIL
Il Sole 24 Ore S.p.A. pag. 1 Milano, Perché la revisione dei processi in chiave ITIL Esigenza: necessità di interagire in modo strutturato con un fornitore di servizi (Outsourcer) Creazione e gestione
DettagliCollaudo e qualità del software Quali test eseguire
Collaudo e qualità del software Relatore Ercole Colonese Roma, Tipologie di test Temi trattati nel libro Modello a V Livelli di testing Tipi di test Test funzionali Test delle funzionalità Test di gestione
DettagliSecurity policy e Risk Management: la tecnologia BindView
NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliLINEA PROJECT MANAGEMENT
LINEA PROJECT MANAGEMENT ITIL FOUNDATION V3 46.10.3 3 giorni Il corso, nell ambito della Gestione dei Servizi IT, mira a: 1. Comprendere Struttura e Processi di ITIL V3 - Information Technology Infrastructure
DettagliBollettino VA-IT-150129-01.A
Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliSkills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»
Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza
DettagliServices Portfolio «Energy Management» Servizi per l implementazione dell Energy Management
Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard
DettagliIl mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation
Il mestiere del security manager Giorgio Ledda Senior Director Security Oracle Corporation Argomenti della discussione Il mestiere del security manager. Perché la security? Una definizione di security.
DettagliSimone Riccetti. Applicazioni web:security by design
Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento
DettagliSicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007
Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle
DettagliOWASP e gli standard per la sicurezza applicativa
OWASP e gli standard per la sicurezza applicativa Matteo Meucci OWASP-Italy Chair OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation Permission is granted to copy, distribute
DettagliChange Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni
Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo
DettagliThe ITIL Foundation Examination
The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi
DettagliSecurity by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliCiclo di vita dimensionale
aprile 2012 1 Il ciclo di vita dimensionale Business Dimensional Lifecycle, chiamato anche Kimball Lifecycle descrive il framework complessivo che lega le diverse attività dello sviluppo di un sistema
DettagliSpike Information Security Awareness Program. Daniele Vitali Senior Security Consultant
Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness
DettagliIT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma
IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management
DettagliXXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?
XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di
Dettaglisimplesoad SOA/BPO ARCHITECT
SIMPLE ENGINEERING simplesoad SOA/BPO ARCHITECT TRAINING CYCLE SHEET SIMPLESOAD_SA_COURSE_SHEET_IT_2007032701 SIMPLE ENGINEERING 2007 - ALL RIGHTS RESERVED. SIMPLE ENGINEERING IS AN INDEPENDENT EUROPEAN
DettagliIT governance & management. program
IT governance & management Executive program VI EDIZIONE / GENNAIO - maggio 2016 PERCHÉ QUESTO PROGRAMMA Nell odierno scenario competitivo l ICT si pone come un fattore abilitante dei servizi di business
DettagliIT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799
_ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione
DettagliDalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005
Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti
DettagliALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI
PROCEDURA DI SELEZIONE PER L AFFIDAMENTO DEL SERVIZIO DI PROGETTAZIONE, ANALISI, SVILUPPO, MANUTENZIONE ADEGUATIVA, CORRETTIVA ED EVOLUTIVA DI SISTEMI INFORMATIVI SU PIATTAFORMA IBM WEBSPHERE BPM (EX LOMBARDI)
DettagliBanking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director
Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted
DettagliBOLLETTINO DI SICUREZZA INFORMATICA
STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere
Dettagli> Visionest Business Protection
> Visionest Business Protection Presentazione breve della consulting practice Aprile 2005 David Bramini - Partner david.bramini@visionest.com > Visionest Business Protection practice Il valore strategico
DettagliDigitPA - P@norama sulle tecnologie innovative
DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La
DettagliEarly Warning Bollettino VA-IT-131028-01.B
Early Warning Bollettino VA-IT-131028-01.B Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-131028-01.B Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliRelease Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano
DettagliISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo
ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della
Dettagli