La sicurezza delle applicazioni

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La sicurezza delle applicazioni"

Transcript

1 La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation

2 Agenda Perchè la sicurezza delle applicazioni? Approcci al Secure Engineering IBM Security Services 2010 IBM Corporation

3 2010 IBM Corporation

4 Vulnerabilità riportate dai vendor Rispetto all H c è stato un incremento delle vulnerabilità del 36%. Le vulnerabilità più critiche scoperte in H sono sfruttabili da remoto. Diverse vulnerabilità critiche sono state pubblicate prima della disponibilità di patch IBM Corporation

5 Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento di connettività. SOA/Web Services Applicazioni legacy non progettate per essere in rete, sono visibili come servizi. Sistemi Legacy Non sempre supportano le moderne funzionalità di sicurezza (es. Autenticazione) Estensibilità: Il software è sempre più estensibile, es browser plug-in, dynamic loadable device driver L estensibilità dei software rende difficile prevederne la superficie di attacco nel tempo Complessità: La complessità delle architetture software è sempre maggiore Nel 1990, Windows 3.1 aveva 2,500,000 linee di codice. Windows XP ha circa 40,000,000 linee di codice. Il numero di bugs è proporzionale al numero di linee di codice 2010 IBM Corporation

6 2010 IBM Corporation

7 Secure Engineering Una serie di concetti, principi e best practice con l obiettivo di integrare la sicurezza nel software progettato. Riguarda tutte le fasi del ciclo di sviluppo del software Security by Design Security by Implementation Security by Deployment Secure Engineering non riguarda solo la fase di implementazione, ma è un approccio end-to-end 2010 IBM Corporation

8 Software sicuro Che caratteristiche deve avere il Software Sicuro? Affidabilità: le funzioni implementate dal software sono quelle attese, in tutte le condizioni di funzionamento Attendibilità: il software non deve contenere vulnerabilità che possono comprometterne l Affidabilità Capacità di recupero: il software deve essere in grado di tollerare eventuali attacchi e recuperare velocemente le funzionalità per cui è stato progettato 2010 IBM Corporation

9 Quanto costa correggere una vulnerabilità? 80% dei costi di sviluppo sono spesi per identificare e correggere gli errori National Institute of Standards & Technology Quando il prodotto è stato rilasciato Durante la fase di coding $25/difetto Durante la fase di build $100/difetto Durante la fase di test $450/difetto $16,000/difetto + Perdita della fiducia del cliente, danni di immagine, etc. Caper Jones, Applied Software Measurement, 1996 * Source: 2008 GBS Industry standard study. Defect cost derived in assuming it takes 8 hrs to find, fix and repair a defect when found in code and unit test. Defect FFR cost for other phases calculated by using the multiplier on a blended rate of $80/hr IBM Corporation

10 Security Engineering & Software Development Life Cycle Strategia di sicurezza e metriche Definizione dei requisiti Design Implementazione Test Deploy Requisiti di sicurezza Principi di secure design Secure coding Risk analysis Vulnerability management Secure deployment Operational enablement Abuse cases Risk analysis Revisione del codice Security testing Security testing Security education 2010 IBM Corporation

11 Il processo di Application Security dal modello tradizionale al Cloud

12 Relatore Alessandro Gai Senior Security Advisor ISECOM OPST OWSE + 5 anni penetration test + 10 anni web analyst and developer Trainer corsi specialisti - master universitari 2

13 Agenda Che cosa è il Cloud Computing? Rischi, minacce e vulnerabilità Quali domande dobbiamo porre ai nostri fornitori? Conclusioni 3

14 La nuvola Fino al 2008: = INTERNET Dal 2008 ad oggi =? 4

15 La nuvola 5

16 Cosa è il Cloud Computing? PaaS SaaS Managed Hosting 2.0 Virtualization IaaS Cloud Bursting Internal Cloud Public Cloud Private Cloud Mini Cloud 6

17 Cos è il Cloud Computing? 7

18 Caratteristiche del Cloud Computing Potenza di calcolo e di storage «illimitata» On-demand self-service richiedo servizi quali server time o network storage senza iterazione umana Broad network access dati accessibili sulla rete indipendentemente dal client utilizzato (cellulari, laptops o PDAs). 8

19 Caratteristiche del Cloud Computing Resource pooling Le risorse computazionali sono a disposizione di più clienti usando il modello multi-tenant. Differenti risorse fisiche e virtuali sono assegnate ai vari clienti on demand. 9

20 Caratteristiche del Cloud Computing Rapid elasticity Measured Service Controllo e ottimizzazione automatica delle risorse Ad esempio: content delivery service (mirror in n paesi nel mondo) 10

21 Cosa è il Cloud Computing? SaaS SaaS PaaS IaaS Iaas 11

22 Cosa è il Cloud Computing? Infrastructure as a Service Virtual machine o hardware astratti e relativi sistemi operativi Controllo remoto tramite servizi o API Es: Amazon EC2 and S3, Terremark Enterprise Cloud, Windows Live Skydrive and Rackspace Cloud, etc. 12

23 Cosa è il Cloud Computing? Platform as a Service Sviluppo di applicazioni tramite API remote Piattaforme offrono tool per lo sviluppo Es: Microsoft Azure, Force and Google App engine, IBM WebSphere CloudBurst Appliance, etc. 13

24 Cosa è il Cloud Computing? Software as a Service Software offerto da un provider di terze parti Disponibile «on demand» Configurabile remotamente via internet Es: CRM services and web content delivery services, Salesforce CRM, Google Docs, IBM LotusLive, etc. 14

25 Tipi di Cloud Private Cloud L infrastruttura opera per una solo cliente Community cloud L infrastruttura viene condivisa da una community con gli stessi obbiettivi (ad es. compliance ) Public cloud L infrastruttura è pubblica Hybrid cloud L infrastruttura è composta da due o più cloud (Cloud bursting) In parte sul cloud e in parte no 15

26 NIST Definition of Cloud Computing 16

27 Evoluzione (prospettiva utente / utilizzatore finale) The stand-alone personal computer Sistema operativo software e dati sono memorizzati in un singolo pc. The Web Sistema operativo e la maggior parte del software di cui un utente ha bisogno è sul suo pc mentre la maggior parte dei dati sono sul web The «Cloud» La maggior parte del software e dei dati è on line (internet based) 17

28 Evoluzione (prospettiva utente / utilizzatore finale) 18

29 Esempi di applicazioni sul cloud 19

30 Esempi di applicazioni sul cloud (online video creator) (online word processor, spreadsheet, etc.) (business applications) (image editor) (online hrms) (blog) 20

31 21

32 22

33 2010 IBM Corporation

34 Le macro categorie di requisiti di sicurezza Auditing & logging Authentication & authorization Session management Input validation & output encoding Exception management Cryptography & integrity Data at rest Data in motion Configuration management 2010 IBM Corporation

35 Use Cases e Misuse Cases Oltre agli Use Case, che definiscono gli aspetti funzionali dell applicazione, è necessario identificare i possibili scenari di attacco o Misuse Cases. E importante avere la prospettiva dell attacker Rer: IBM Corporation

36 2010 IBM Corporation

37 Secure Design..circa il 50% dei problemi di sicurezza sono dovuti ad errori architetturali 2010 IBM Corporation

38 Definire le priorità: Risk Analysis Analizzare software complessi può risultare un impresa molto lunga e costosa E necessario focalizzare l attenzione sul codice più a rischio (es. componente che gestisce il login degli utenti, componente accessibile via rete, codice legacy etc.) L analisi dei rischi permette di: Definire le priorità di analisi in funzione della criticità e della funzioni di business Definire l approccio all analisi delle vulnerabilità misurare il livello di sicurezza del software prodotto (KPI) Individuare le contromisure più efficaci 2010 IBM Corporation

39 Agenda Che cosa è il Cloud Computing? Rischi, minacce e vulnerabilità Quali domande dobbiamo porre ai nostri fornitori? Conclusioni 23

40 Policy and organizational risks R.1 Lock-in Portabilità di servizi / dati o o o SaaS Lock-in: il provider offre un servizio per l esportazione dei dati? Cosa comporterebbe la migrazione su un altro provider? PaaS Lock-in: uso API del provider, il mio codice è portabile? IaaS-Lock-in R.2 Loss of governance Possiamo effettuare port scans, vulnerability assessment o penetration testing? 24

41 Policy and organizational risks R.3 Compliance challenges Provider garantisce i requirement per la mia compliance? EC2 hosted services non possono essere usati per gestire transazioni di carte di credito (compliance a PCI-DSS) R.4 Loss of business reputation due to cotenant activities L attività malevola di un tenant può influenzare negativamente gli altri tenant (ad es. range di indirizzi IP bloccati) 25

42 Policy and organizational risks R.5 Cloud service termination or failure Il provider sospende il servizio o è negligente nella sua fornitura. R.6 Cloud provider acquisition Acquisizione del provider da un altra società. R.7 Supply chain failure Se provider da in outsource parte dell attività il livello di sicurezza del provider può dipendere dal livello di sicurezza della terza parte. 26

43 Technical risks R.8 Resource exhaustion (under or over provisioning) ad es. se le proiezioni statistiche usate per alloccare le risorse sono errate. R.9 Isolation failure (Sql injection?) R.10 Cloud provider malicious insider R.11 Management interface compromise (manipulation, availability of infrastructure) R.12 Intercepting data in transit R.13 Data leakage on up/download (come sopra intra-cloud ) 27

44 Technical risks R.14 Insecure or ineffective deletion of data se richiesto data wiping? R.15 Distributed denial of service (DDoS) R.16 Economic denial of service (EDOS) L uso improprio delle risorse di un utente porta a un danno economico (DDoS su cliente che paga in base a HTTP request / furto d identità e utilizzo del cloud per scopi malevoli) R.15/R.16 Dos Applicativi 28

45 Technical risks R.17 Loss of encryption keys Perdita o compromissione delle chiavi segrete (SSL, file encryption, customer private keys, etc) o delle password R.18 Undertaking malicious probes or scans Come controllare le scansioni (network mapping) R.19 Compromise service engine Problemi nel service engine (IaaS / PaaS / SaaS) R.20 Conflicts between customer hardening procedures and cloud environment (seguire le linee guida del proprio provider) 29

46 30

47 2010 IBM Corporation

48 Secure Coding Quali sono le principali cause di vulnerabilità del codice? 1. Requisiti di sicurezza non definiti o poco chiari 2. Implementazione errata di requisiti corretti 3. Nella fase di deployment e configurazione non rispecchia i requisiti e le modalità operative previste Focus sul problema # IBM Corporation

49 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-79 CWE-89 CWE-120 CWE-352 CWE-285 CWE-807 CWE-22 CWE-434 CWE-78 CWE-311 CWE-798 CWE-805 Descrizione Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') Cross-Site Request Forgery (CSRF) Improper Access Control (Authorization) Reliance on Untrusted Inputs in a Security Decision Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') Unrestricted Upload of File with Dangerous Type Improper Neutralization of Special Elements used in an OS Command Missing Encryption of Sensitive Data Use of Hard-coded Credentials Buffer Access with Incorrect Length Value 2010 IBM Corporation

50 The 2010 CWE/SANS Top 25 Most Dangerous Software Errors Codice CWE CWE-98 CWE-129 CWE-754 CWE-209 CWE-190 CWE-131 CWE-306 CWE-494 CWE-732 CWE-770 CWE-601 CWE-327 CWE-362 Descrizione Improper Control of Filename for Include/Require Statement in PHP Program Improper Validation of Array Index Improper Check for Unusual or Exceptional Conditions Information Exposure Through an Error Message Integer Overflow or Wraparound Incorrect Calculation of Buffer Size Missing Authentication for Critical Function Download of Code Without Integrity Check Incorrect Permission Assignment for Critical Resource Allocation of Resources Without Limits or Throttling URL Redirection to Untrusted Site ('Open Redirect') Use of a Broken or Risky Cryptographic Algorithm Race Condition 2010 IBM Corporation

51 Secure coding: Best practice Keep code simple and small Use a consistent coding style Follow secure coding standards and/or guidelines Make code forward and backward traceable Code for reuse and maintainability Allocate memory and other resources carefully Use proper input encoding and validation Use proper output filtering and sanitization Leverage attack patterns Review code during and after coding.. Source: Karen Goertzel, Theodore Winograd Enhancing the Development Life Cycle to Produce Secure Software 2010 IBM Corporation

52 2010 IBM Corporation

53 Es. Taint String //... String username = request.getparameter("username"); String password = request.getparameter("password"); //... String query = "SELECT * from tusers where " + "userid='" + username + "' " + "AND password='" + password + "'"; //... ResultSet rs = stmt.executequery(query); 2010 IBM Corporation

54 Es. Concorrenza. public class Main extends HttpServlet{ int accessi = 0; public void doget(httpservletrequest in, HttpServletResponse out) throws ServletException, IOException { out.setcontenttype("text/plain"); PrintWriter p = out.getwriter(); } } accessi++; try { Thread.sleep(1000); } catch (InterruptedException e) { e.printstacktrace(); } p.println( accessi + Request effettuate "); 2010 IBM Corporation

55 Code Review/Testing Tools Esistono tre approcci fondamentali per analizzare le vulnerabilità di un applicazione: White Box: viene analizzato il codice sorgente e l applicazione NON viene eseguita Black Box: NON si ha accesso al codice sorgente e l applicazione viene eseguita Gray Box: si ha parzialmente accesso al codice sorgente e l applicazione viene eseguita L analisi delle vulnerabilità può essere fatta a mano e con tool automatici 2010 IBM Corporation

56 Non solo i tool Architecture review Code review (manuale) Vulnerabilità Static Code Analysis (Whitebox) Dynamic Analysis (Blackbox) 2010 IBM Corporation

57 Agenda Che cosa è il Cloud Computing? Rischi, minacce e vulnerabilità Quali domande dobbiamo porre ai nostri fornitori? Conclusioni 31

58 Vulnerabilità V1. AAA Vulnerabilities Autenticazione / Autorizzazione / Accounting o o Impossibilità di tracciare l uso improprio di risorse o gli incidenti Accesso non autorizzato - Privileges escalation: Memorizzazione insicura delle credenziali di accesso al cloud Numero insufficiente di ruoli Problematiche intrinsiche nell autenticazione basata sulla password 32

59 Vulnerabilità V2. User Provisioning Vulnerabilities V3. User De-Provisioning Vulnerabilities Poco controllo sulla procedura di Provisioning Mancato controllo sull identità V4. Remote Access To Management Interface V5. Hypervisor Vulnerabilities (virtual machine-based Rootkit) es: Cloudburst (VMware vulnerability) 33

60 Vulnerabilità V6. Lack Of Resource Isolation Vulnerabilità nel hypervisor security model o nelle interfacce di management che possono portare al furto dei dati condivisi sulla stessa macchina V7. Lack Of Reputational Isolation V8. Communication Encryption Vulnerabilities MITM attacks / self-signed certificates / etc. V9. Lack Of Or Weak Encryption Of Archives And Data In Transit Dati sensibili devo essere criptati 34

61 Vulnerabilità V10. Impossibility Of Processing Data In Encrypted Form il dato non viene mantenuto criptato durante il suo processo V11. Poor Key Management Procedures V12. Key Generation: Low Entropy For Random Number Generation Sistemi virtuali hanno meno entropia dei sistemi fisici. Attaccante su una virtual machine potrebbe essere in grado di guessare una chiave randomica generata da una seconda vm 35

62 Vulnerabilità V13. Lack Of Standard Technologies And Solutions I dati portrebbero essere locked-in dal provider V14. No Source Escrow Agreement Protezione dal fallimento del provider V15. Inaccurate Modelling Of Resource ad esempio se proiezioni statistiche usate per alloccare le risorse sono errate V16. No Control On Vulnerability Assessment Process 36

63 Vulnerabilità V17. Possibility That Internal (Cloud) Network Probing Will Occur Scansioni / test da altri clienti all interno del Cloud V18. Possibility That Co-Residence Checks Will Be Performed (Attacchi per determinare quali risorse sono condivise e da chi) V19. Lack Of Forensic Readiness SaaS: accesso al log degli accessi IP? V20. Sensitive Media Sanitization Policy di distruzione dei dati possono essere applicate? Ad es. distruzione fisica del disco. 37

64 Vulnerabilità V21. Synchronizing Responsibilities Or Contractual Obligations External To Cloud V22. Cross-Cloud Applications Creating Hidden Dependency V23. Sla Clauses With Conflicting Promises To Different Stakeholders V24. Sla Clauses Containing Excessive Business Risk V25. Audit Or Certification Not Available To Customers 38

65 Vulnerabilità V26. Certification Schemes Not Adapted To Cloud Infrastructures V27. Inadequate Resource Provisioning And Investments In Infrastructure V28. No Policies For Resource Capping V29. Storage Of Data In Multiple Jurisdictions And Lack Of Transparency About This V30. Lack Of Information On Jurisdictions V31. Lack Of Completeness And Transparency In Terms Of Use 39

66 40

67 Non solo i tool Architecture review Code review (manuale) Vulnerabilità Static Code Analysis (Whitebox) Dynamic Analysis (Blackbox) 2010 IBM Corporation

68 Servizi Cloud per lo sviluppo e test 2010 IBM Corporation

69 IBM Cloud Application Development & Test Deployment rapido di nuovi progetti Attività di transizione Demo Training POC Migration of technology Multi-site, outsourced development & test Accesso multi-sites; remote locations, etc. Team eterogeneo / contractor resources 1 Provision RTC Rational Team Concert Collaborative Development Process Facilitation Source Control Defect Management Rational Requirements Composer Dev Lead Developm ent Developme Developers Lead nt Lead 3 Developers work with RTC using web or rich client interface RTC 2 Customize preinstalled templates 2010 IBM Corporation

70 Cosa cambia con i servizi tipo Cloud? In generale, la qualità del processo si riflette sulla qualità del prodotto, e questo vale anche per il Secure Engineering Il processo di Secure Engineering deve tener conto di diversi fattori: Skill di sicurezza Tecnologie di analisi disponibili Tipo di applicazioni sviluppate Processo di Sviluppo Tecnologie di comunicazione? Processo di Sviluppo Tecnologie di comunicazione Tipo di applicazioni sviluppate Skill di sicurezza Tecnologie di analisi disponibili Modello Tradizionale Modello cloud 2010 IBM Corporation

71 Soluzioni di sicurezza applicativa 2010 IBM Corporation

72 IBM Rational AppScan Ecosystem AppScan Enterprise / Reporting Console / Source Ed Core AppScan AppScan Ent. Source Ed for QuickScan (web Developer / client) Remediation AppScan Source Ed for Automation (scanning agent) (QA clients) AppScan Tester Ed AppScan Enterprise user (web client) AppScan Standard Ed (desktop) Rational Application Developer Rational Software Analyzer Rational ClearCase Rational Build Forge Rational Quality Manager AppScan Source Ed for Security Rational ClearQuest / Issue Management CODE Build security testing into the IDE* BUILD Automate Security / Compliance testing in the Build Process QA Security / compliance testing incorporated into testing & remediation workflows SECURITY Security & Compliance Testing, oversight, control, policy, audits IBM Rational Web Based Training for AppScan 2010 IBM Corporation

73 Servizi di sicurezza disponibili dal Cloud IBM Hosted X-Force Threat Analysis Service Security Event and Log Management Vulnerability Management Application Vulnerability Assessment Managed Security Services IBM Confidential 2010 IBM Corporation

74 2010 IBM Corporation

75 Agenda Che cosa è il Cloud Computing? Rischi, minacce e vulnerabilità Quali domande dobbiamo porre ai nostri fornitori? Conclusioni 41

76 As we know, there are known knowns. There are things we know we know. We also know there are known unknowns, that is to say we know there are some things we do not know. But there are also unknown unknowns, the ones we don't know we don't know. Feb. 12, 2002, Donald Rumsfeld - Department of Defense news briefing 4

77 Quali domande dobbiamo porci e dobbiamo fare ai nostri fornitori? (tutte le piattaforme Iaas/Paas/Saas) Quali attività di Secure Development LifeCycle adotta il nostro fornitore di servizi / software? Quali standard di design e codice sicuro usa il nostro fornitore nel suo SDLC? Come è protetto un tenant di una applicazione dagli attacchi che arrivano dagli altri tenant? 43

78 Domande specifiche per IaaS Quali meccanismi prevede la piattaforma contro attacchi di tipo DoS e DDoS (infrastructure e network layers)? Quali meccanismi prevede la piattaforma per mantenere l integrità delle immagini virtuali? Quali protezioni sono previste contro attacchi a livello BIOS (root kit)? Esistono detection plans e response plans nel caso di verifichi un attacco? 44

79 Domande specifiche per PaaS La piattaforma prevede meccanismi di log per le applicazioni? Esistono intrusion detection systems attivabili per l application layer? Quali tecniche sono usate per isolare i dati sul client s service bus? Quali meccanismi di protezione sono usati per garantire comunicazioni sicure fra due componenti applicativi? E quali per isolare I dati memorizzati e i dati in uso? 45

80 Domande specifiche per SaaS Quali standard di Web application security (input validation, encoding output, preventing request forgery and information disclosure) utilizza il nostro fornitore? Quali controlli applicativi e infrastruttorali sono adottati per isolare i dati di un azienda dagl altri tenants? Dati memorizzati Data in transito Data in uso 46

81 47

82 Agenda Che cosa è il Cloud Computing? Rischi, minacce e vulnerabilità Quali domande dobbiamo porre ai nostri fornitori? Conclusioni 48

83 Conclusioni 49

84 Conclusioni Il «mondo offline» continuerà ad esistere Cloud = evoluzione tecnica e di «business» Con il cloud computing si hanno dei benefici lato security: o o o o disaster recovery anti DDoS community cloud = più risorse per la security? internal audit e risk assessment frequenti Cloud = nuovo paradigma = nuovi rischi e nuove possibili vulnerabilità 50

85 Documentazione per approfondimenti ENISA (Cloud Computing Risk Assessment) CSA (Cloud Security Alliance ) https://cloudsecurityalliance.org/ IBM (Community and technical resources) NIST (Cloud Computing Program) 51

86 Grazie per l attenzione. Domande?

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Il processo di Application. Security dal modello. tradizionale al Cloud

Il processo di Application. Security dal modello. tradizionale al Cloud Il processo di Application Security dal modello tradizionale al Cloud Relatore Alessandro Gai Senior Security Advisor ISECOM OPST OWSE + 5 anni penetration test + 10 anni web analyst and developer Trainer

Dettagli

La sicurezza delle applicazioni

La sicurezza delle applicazioni La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation Vulnerabilità riportate dai vendor Rispetto all H1 2009 c è stato

Dettagli

Security Summit 2010 Roma Il Cloud Computing: nuovo paradigma e nuovi rischi?

<Insert Picture Here> Security Summit 2010 Roma Il Cloud Computing: nuovo paradigma e nuovi rischi? Security Summit 2010 Roma Il Cloud Computing: nuovo paradigma e nuovi rischi? Valentino Squilloni - Reply Agenda Introduzione al Cloud Computing I rischi di sicurezza nel Cloud Computing

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

Il cloud computing: nuovo paradigma e nuovi rischi? ( a cura di Carla Fazzi CFE Spike Reply) 22 febbraio 2011 Pag. 1

Il cloud computing: nuovo paradigma e nuovi rischi? ( a cura di Carla Fazzi CFE Spike Reply) 22 febbraio 2011 Pag. 1 Il cloud computing: nuovo paradigma e nuovi rischi? ( a cura di Carla Fazzi CFE Spike Reply) 22 febbraio 2011 Pag. 1 Agenda Introduzione al Cloud Computing I rischi di sicurezza nel Cloud Computing I servizi

Dettagli

Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web

Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Agenda Concetti generali di sicurezza applicativa Rational AppScan Standard / Enterprise Edition Source Edition > Black-Box

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

Sicurezza e Interoperabilità nei sistemi multicloud. Antonio Corradi - DISI Dipartimento di Informatica - Scienze e Ingegneria Università di BOLOGNA

Sicurezza e Interoperabilità nei sistemi multicloud. Antonio Corradi - DISI Dipartimento di Informatica - Scienze e Ingegneria Università di BOLOGNA Sicurezza e Interoperabilità nei sistemi multicloud Antonio Corradi - DISI Dipartimento di Informatica - Scienze e Ingegneria Università di BOLOGNA Il Cloud computing Una tecnologia disponibile alle aziende

Dettagli

Linux Day 2009 24/10/09. Cloud Computing. Diego Feruglio

Linux Day 2009 24/10/09. Cloud Computing. Diego Feruglio Linux Day 2009 24/10/09 Cloud Computing Diego Feruglio Cos è il Cloud Computing? An emerging computing paradigm where data and services reside in massively scalable data centers and can be ubiquitously

Dettagli

Il Cloud per aziende e pubbliche amministrazioni

Il Cloud per aziende e pubbliche amministrazioni Il Cloud per aziende e pubbliche amministrazioni Raffaello Balocco School of Management Politecnico di Milano 26 Giugno 2012 Il mercato del cloud mondiale: una crescita inarrestabile According to IDC Public

Dettagli

E-privacy Firenze 3 giugno 2011

E-privacy Firenze 3 giugno 2011 Il contratto e gli SLA con il cloud service provider E-privacy Firenze 3 giugno 2011 Lucilla Mancini Business-e-Security Consulting Manager & SALVI SAPONARA CIMINO & GIANNI Definizione Cloud computing

Dettagli

Infrastrutture critiche e cloud: una convergenza possibile

Infrastrutture critiche e cloud: una convergenza possibile Infrastrutture critiche e cloud: una convergenza possibile I possibili ruoli della Banca d Italia nel cloud Stefano Fabrizi Banca d Italia Unità di Supporto dell Area Risorse Informatiche e Rilevazioni

Dettagli

Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel

Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel I nuovi device, il trend BYOD, cambiano l IT 2 There will be 5B mobile devices and 2B M2M nodes Global mobile

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Aspetti di sicurezza per l innovazione nel Web

Aspetti di sicurezza per l innovazione nel Web Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi

Dettagli

Adozione del Cloud: Le Domande Inevitabili

Adozione del Cloud: Le Domande Inevitabili Adozione del Cloud: Le Domande Inevitabili All IT Aziendale Quali sono i rischi che non esistevano negli ambienti fisici o virtualmente statici? Ho bisogno di separare ruoli di amministratore dei server

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del

Dettagli

L iniziativa Cloud DT

L iniziativa Cloud DT L iniziativa Cloud DT Francesco Castanò Dipartimento del Tesoro Ufficio per il Coordinamento Informatico Dipartimentale (UCID) Roma, Luglio 2011 Il Cloud Computing Alcune definizioni Il Cloud Computing

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

Sistemi gestionali as a Service:

Sistemi gestionali as a Service: Sistemi gestionali as a Service: Una reale opportunità per le imprese? Andrea Gaschi School of Management Politecnico di Milano Agenda Un introduzione ai sistemi gestionali La situazione in Italia Le spinte

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

IT ARCHITECTURE: COME PREPARARSI AL CLOUD

IT ARCHITECTURE: COME PREPARARSI AL CLOUD IT ARCHITECTURE: COME PREPARARSI AL CLOUD Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n. 1 - ICT Commoditization

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Il Cloud Computing: uno strumento per migliorare il business

Il Cloud Computing: uno strumento per migliorare il business Il Cloud Computing: uno strumento per migliorare il business Luca Zanetta Uniontrasporti I venti dell'innovazione - Imprese a banda larga Varese, 9 luglio 2014 1 / 22 Sommario Cos è il cloud computing

Dettagli

Security policy e Risk Management: la tecnologia BindView

Security policy e Risk Management: la tecnologia BindView NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,

Dettagli

Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel

Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel Quale rotta verso il Cloud? Le scelte per una adozione su misura Stefano Pileri, AD Italtel Cosa sta cambiando nel mondo ICT? I nuovi device, il trend BYOD, e le APPS cambiano l ICT 3 There will be 5B

Dettagli

Cloud Computing: la prospettiva della Banca d Italia

Cloud Computing: la prospettiva della Banca d Italia Cloud Computing: la prospettiva della Banca d Italia Roma, 5 ottobre 2010 ing. Giovanni Peruggini Banca d Italia - Area Risorse Informatiche e Rilevazioni Statistiche La Banca d Italia Banca Centrale della

Dettagli

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n.

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing Dopo anni di innovazioni nel settore dell Information Technology, è in atto una profonda trasformazione.

Dettagli

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze

Dettagli

La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo?

La sicurezza del datacenter all'ombra della nuvola Come scongiurare il maltempo? L Eccellenza nei servizi e nelle soluzioni IT integrate. La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo? 2013 APRILE Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via

Dettagli

Ottimizzare l IT. Interesse verso il cloud. Cloud computing. Ottimizzare l'it 16/04/2010. Assyrus Srl 1. Cloud Computing

Ottimizzare l IT. Interesse verso il cloud. Cloud computing. Ottimizzare l'it 16/04/2010. Assyrus Srl 1. Cloud Computing Ottimizzare l IT Cloud Computing Interesse verso il cloud 16/04/2010 Ottimizzare l'it 2 Cloud computing Cloud computing insieme di tecnologie informatiche che permettono l'utilizzo di risorse (storage,

Dettagli

tecnologie di cloud computing per il calcolo scientifico Presentazione stage per studenti triennali Università di Torino Mar 6, 2013

tecnologie di cloud computing per il calcolo scientifico Presentazione stage per studenti triennali Università di Torino Mar 6, 2013 tecnologie di cloud computing per il calcolo scientifico Università di Torino Mar 6, 2013 il centro di calcolo INFN Università di Torino Mar 6, 2013-2/417 Cosa facciamo a torino Ricerca tecnologica Core

Dettagli

CloudComputing: scenari di mercato, trend e opportunità

CloudComputing: scenari di mercato, trend e opportunità CloudComputing: scenari di mercato, trend e opportunità Stefano Mainetti stefano.mainetti@polimi.it Milano, 7 Giugno 2012 Cloud Computing: una naturale evoluzione delle ICT Trend n. 1 - ICT Industrialization

Dettagli

Come valutare la maturità del proprio modello di sviluppo del software

Come valutare la maturità del proprio modello di sviluppo del software Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del

Dettagli

Una rassegna dei sistemi operativi per il Cloud Computing

Una rassegna dei sistemi operativi per il Cloud Computing Alma Mater Studiorum Università di Bologna SCUOLA DI SCIENZE Corso di Laurea in Informatica Una rassegna dei sistemi operativi per il Cloud Computing Tesi di Laurea in Reti di Calcolatori Relatore: Chiar.mo

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

Emanuele Barrano Filippo Bosi CLOUD COMPUTING E ARCHITETTURE SOFTWARE: QUALI IMPATTI SULLO SVILUPPO DI APPLICAZIONI?

Emanuele Barrano Filippo Bosi CLOUD COMPUTING E ARCHITETTURE SOFTWARE: QUALI IMPATTI SULLO SVILUPPO DI APPLICAZIONI? Emanuele Barrano Filippo Bosi CLOUD COMPUTING E ARCHITETTURE SOFTWARE: QUALI IMPATTI SULLO SVILUPPO DI APPLICAZIONI? Agenda Cloud Overview Approccio al Cloud Computing Impatto sullo sviluppo delle applicazioni

Dettagli

I nuovi modelli di delivery dell IT: un quadro di riferimento

I nuovi modelli di delivery dell IT: un quadro di riferimento I nuovi modelli di delivery dell IT: un quadro di riferimento Stefano Mainetti Fondazione Politecnico di Milano stefano.mainetti@polimi.it Milano, 25 Ottobre 2010 Cloud Computing: il punto d arrivo Trend

Dettagli

IL PRIVATE CLOUD DELLA FRIENDS' POWER

IL PRIVATE CLOUD DELLA FRIENDS' POWER IL PRIVATE CLOUD DELLA FRIENDS' POWER Evoluzione al Cloud Computing Condivisione dei lavori Integrazione con Android & iphone Cos è il Cloud: le forme e i vantaggi Durante la rivoluzione industriale, le

Dettagli

Prof. Francesco Bergadano Dipartimento di Informatica, Università degli Studi di Torino

Prof. Francesco Bergadano Dipartimento di Informatica, Università degli Studi di Torino Cloud Computing Prof. Francesco Bergadano Dipartimento di Informatica, Università degli Studi di Torino Cloud Computing Prof. Francesco Bergadano Dipartimento di Informatica, Università degli Studi di

Dettagli

ALMA MATER STUDIORUM UNIVERSITÀ DI BOLOGNA IL PROBLEMA DELLA SICUREZZA NEL CLOUD COMPUTING

ALMA MATER STUDIORUM UNIVERSITÀ DI BOLOGNA IL PROBLEMA DELLA SICUREZZA NEL CLOUD COMPUTING ALMA MATER STUDIORUM UNIVERSITÀ DI BOLOGNA Seconda Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica IL PROBLEMA DELLA SICUREZZA NEL CLOUD COMPUTING Elaborata nel corso di: Sistemi Operativi

Dettagli

Cloud Computing - Il progetto RESERVOIR - una infrastruttura Service Oriented 'on demand' per i servizi IT

Cloud Computing - Il progetto RESERVOIR - una infrastruttura Service Oriented 'on demand' per i servizi IT Cloud Computing - Il progetto RESERVOIR - una infrastruttura Service Oriented 'on demand' per i servizi IT L'innovazione tecnologica per la homeland security: opportunità e rischi del Cloud Computing TechFOr

Dettagli

Il cloud computing, inquadramenti giuridici e differenze di approccio contrattuale

Il cloud computing, inquadramenti giuridici e differenze di approccio contrattuale Il Cloud Computing - I diversi approcci contrattuali e nuove definizioni in ambito privacy 17 gennaio 2012 Milano Avv. Alessandro Mantelero Ricercatore Politecnico di Torino IV Facoltà Cloud computing:

Dettagli

La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo?

La sicurezza del datacenter all'ombra della nuvola Come scongiurare il maltempo? La sicurezza del datacenter all'ombra della "nuvola" Come scongiurare il maltempo? Luca Bechelli & Riccardo Morsicani Security Summit - Bari 2013 1 La sicurezza del datacenter all'ombra della "nuvola"

Dettagli

CLOUD COMPUTING. Un viaggio tra le nuvole. Giuseppe De Pascale Senior System Engineer

CLOUD COMPUTING. Un viaggio tra le nuvole. Giuseppe De Pascale Senior System Engineer CLOUD COMPUTING Un viaggio tra le nuvole Giuseppe De Pascale Senior System Engineer Agenda Cloud computing definizioni e terminologia Principali servizi Cloud Organizzazione dell infrastruttura di Cloud

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

CIPAConvenzione Interbancaria

CIPAConvenzione Interbancaria CIPAConvenzione Interbancaria per i Problemi dell Automazione Rilevazione sull IT nel sistema bancario nazionale Profili tecnologici e di sicurezza Il cloud e le banche Stato dell arte e prospettive 2015

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5

Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5 Corso: Advanced Solutions of Microsoft SharePoint Server 2013 Codice PCSNET: MSP2-5 Cod. Vendor: 20332 Durata: 5 Obiettivi Descrivere le funzionalità di base di SharePoint 2013 Pianificare e progettare

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Perché e cosa significa una strategia mobile?

Perché e cosa significa una strategia mobile? Perché e cosa significa una strategia mobile? Ezio Viola Co-Founder & Direttore Generale The Innovation Group Due immagini simbolo/1 2 Due immagini simbolo /2 3 Mercato pc/device mobili e apps, mobile

Dettagli

Modello di sicurezza Datocentrico

Modello di sicurezza Datocentrico Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere

Dettagli

Secure Code Review: dalla teoria alla pratica

Secure Code Review: dalla teoria alla pratica Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi

Dettagli

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

Cloud Computing....una scelta migliore. ICT Information & Communication Technology Cloud Computing...una scelta migliore Communication Technology Che cos è il cloud computing Tutti parlano del cloud. Ma cosa si intende con questo termine? Le applicazioni aziendali stanno passando al

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA TUTTO SUL ROMA 17-19 OTTOBRE 2011 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231

LA TECHNOLOGY TRANSFER PRESENTA TUTTO SUL ROMA 17-19 OTTOBRE 2011 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 LA TECHNOLOGY TRANSFER PRESENTA GERHARD BAYER TUTTO SUL CLOUD COMPUTING Concetti, Attori, Tecnologie ROMA 17-19 OTTOBRE 2011 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it www.technologytransfer.it

Dettagli

CLOUD COMPUTING. Che cos è il Cloud

CLOUD COMPUTING. Che cos è il Cloud CLOUD COMPUTING Che cos è il Cloud Durante la rivoluzione industriale, le imprese che si affacciavano per la prima volta alla produzione dovevano costruirsi in casa l energia che, generata da grandi macchine

Dettagli

Alessandro Huber Chief Technology Officer, Microsoft Italia Claudia Angelelli Service Line Manager, Microsoft Italia

Alessandro Huber Chief Technology Officer, Microsoft Italia Claudia Angelelli Service Line Manager, Microsoft Italia Alessandro Huber Chief Technology Officer, Microsoft Italia Claudia Angelelli Service Line Manager, Microsoft Italia Contenimento dei costi di gestione Acquisizioni/ merge Rafforzare la relazione con

Dettagli

Continuando a Navigare sulle Nuvole...

Continuando a Navigare sulle Nuvole... Continuando a Navigare sulle Nuvole... Andrea Pasquinucci A. Pasquinucci -- Continuando Navigare sulle Nuvole -- 17/10/2012 -- Pag. 1 Indice: Il Cloud: Veloce Riassunto Alcune Caratteristiche delle Nuvole

Dettagli

Cloud Computing e la Sicurezza?

Cloud Computing e la Sicurezza? Cloud Computing e la Sicurezza? Virtualizzazione e Sicurezza ICT Diego Feruglio Direzione Tecnica Area Ricerca Applicata 1 Cloud Computing e la sicurezza? Definizione e tassonomia 2 Il Cloud Computing

Dettagli

Sicurezza nel cloud, i benefici e le sfide

Sicurezza nel cloud, i benefici e le sfide APRILE 2013 I servizi di sicurezza IT gestiti e fruiti via Cloud risultano di forte interesse per gli utenti aziendali, e soprattutto per le piccole e medie imprese, grazie alla maggior agilità di attivazione

Dettagli

CYBER SECURITY IN CAMPO

CYBER SECURITY IN CAMPO CYBER SECURITY IN CAMPO LA VISIONE ED I SERVIZI FASTWEB PER LE IMPRESE Dario Merletti CONVEGNO CIONet Cuneo 10 Luglio 2015 AGENDA UNO SCENARIO DINAMICO ICT SECURITY: LA VISIONE ED I SERVIZI DI FASTWEB

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

GoCloud just google consulting

GoCloud just google consulting La visione Cloud di Google: cosa cambia per i profili tecnici? GoCloud just google consulting Workshop sulle competenze ed il lavoro degli IT Systems Architect Vincenzo Gianferrari Pini

Dettagli

Fondazione per la Ricerca sulla Migrazione e sulla Integrazione delle Tecnologie Ente Morale riconosciuto con Status Consultivo dell ECOSOC delle Nazioni Unite AREA STRATEGIA E TECNOLOGIE IL CLOUD COMPUTING

Dettagli

Architetture, Tecnologie e Piattaforme per Servizi in Rete

Architetture, Tecnologie e Piattaforme per Servizi in Rete Dipartimento di Ingegneria dell Informazione Università di Padova Architetture, Tecnologie e Piattaforme per Servizi in Rete Massimo Maresca (CIPI) Dip. Ing. Informazione - Università di Padova Convegno

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

Paolo Gandolfo Efficienza IT e controllo costi

Paolo Gandolfo Efficienza IT e controllo costi Paolo Gandolfo Efficienza IT e controllo costi Agenda della sessione La piattaforma IBM per l Asset & Service management Aree e voci di impatto sulle rendiconto economico Soluzioni TIVOLI a supporto Quali

Dettagli

Le linee guida OWASP per la sicurezza applicativa

Le linee guida OWASP per la sicurezza applicativa Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission

Dettagli

Dynamic Threat Protection

Dynamic Threat Protection Dynamic Threat Protection Stefano Volpi Internet Security Systems 25 gennaio 2003, il worm SQL Slammer ha colpito centinaia di milioni di servers in meno di 12 ore. Ha fatto interrompere il network ATM,

Dettagli

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13 Architectural & Engineering Software L INGEGNERE NELLE NUVOLE App, WEB App e Cloud ing. Sauro Agostini Mitterand 1981 Reagan Battaglin Alice IBM PC 5150 Alonso C ERA UNA VOLTA IL DOS Non è una rivoluzione,

Dettagli

CORPORATE OVERVIEW. www.akhela.com

CORPORATE OVERVIEW. www.akhela.com CORPORATE OVERVIEW www.akhela.com BRIDGE THE GAP CORPORATE OVERVIEW Bridge the gap Akhela è un azienda IT innovativa che offre al mercato servizi e soluzioni Cloud Based che aiutano le aziende a colmare

Dettagli

L importanza di ITIL V3

L importanza di ITIL V3 6HUYLFH'HOLYHU\DQG3URFHVV$XWRPDWLRQ L importanza di ITIL V3 IBM - IT Strategy & Architecture Claudio Valant Le Migliori Prassi (Best Practice) ITIL ƒ ƒ ƒ ƒ,7,/ VWDSHU,QIRUPDWLRQ7HFKQRORJ\,QIUDVWUXFWXUH

Dettagli

Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda

Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda Giovanni Vecchio Marketing Program Manager - Hewlett Packard Italiana S.r.l. Treviso, 13

Dettagli

Introduzione Parte 1 Parte 2 Parte 3 Parte 4 Parte 5 Conclusioni Transversal part

Introduzione Parte 1 Parte 2 Parte 3 Parte 4 Parte 5 Conclusioni Transversal part PANORAMICA Introduzione: Concetti di cloud computing e di SaaS Parte 1: Migrare o non migrare verso il cloud? Parte 2: Punto di vista dei decisori Parte 3: Offerte disponibili di SaaS Parte 4: Piattaforme

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Rischio, sicurezza e analisi giuridica per il passaggio nel cloud. PARTE 2: Organizzare un'architettura cloud sicura

Rischio, sicurezza e analisi giuridica per il passaggio nel cloud. PARTE 2: Organizzare un'architettura cloud sicura Rischio, sicurezza e analisi giuridica per il passaggio nel cloud PARTE 2: Organizzare un'architettura cloud sicura PARTE 2 SOMMARIO 1. Modelli di sicurezza 2. Rischi Metodi per la progettazione di sistemi

Dettagli

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese

Dettagli

Come ottenere la flessibilità aziendale con un Agile Data Center

Come ottenere la flessibilità aziendale con un Agile Data Center Come ottenere la flessibilità aziendale con un Agile Data Center Panoramica: implementare un Agile Data Center L obiettivo principale è la flessibilità del business Nello scenario economico attuale i clienti

Dettagli

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele Qualità del Software Quality Assurance per tutte le esigenze Web Site Testing Mobile Application

Dettagli

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini Alessio L.R. Pennasilico - apennasilico@clusit.it Gastone Nencini - gastone_nencini@trendmicro.it Security

Dettagli

Privacy e sicurezza nel cloud.

Privacy e sicurezza nel cloud. Paolo Giardini STUDIO GIARDINI Eucip Certified Informatics Professional Direttore OPSI Osservatorio Privacy e Sicurezza Informatica Centro di Competenza Open Source Regione Umbria GNU/LUG Perugia AIP OPSI

Dettagli

Implementing Microsoft Azure Infrastructure Solutions (MOC 20533)

Implementing Microsoft Azure Infrastructure Solutions (MOC 20533) Implementing Microsoft Azure Infrastructure Solutions (MOC 20533) Durata Il corso dura 4,5 giorni. Scopo Il corso è dedicato a professionisti IT con esperienza che amministrano la loro infrastruttura on-premise.

Dettagli

Cloud Simulator and Smart Cloud based on Knowledge Base

Cloud Simulator and Smart Cloud based on Knowledge Base Cloud Simulator and Smart Cloud based on Knowledge Base Pierfrancesco Bellini, Daniele Cenni, Paolo Nesi DISIT Lab, Lab Dipartimento di Ingegneria dell Informazione, DINFO Università degli Studi di Firenze

Dettagli

Massimiliano Grassi Marketing Manager Citrix Systems Italia. Cuneo 27 Settembre 2011

Massimiliano Grassi Marketing Manager Citrix Systems Italia. Cuneo 27 Settembre 2011 Massimiliano Grassi Marketing Manager Citrix Systems Italia Cuneo 27 Settembre 2011 99% delle Fortune 500 Oltre 230,000 clienti 100 Milioni di utenti aziendali 75% del traffico internet Xen: in oltre il

Dettagli

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014 MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE 27 Maggio 2014 CHI SIAMO NTT WORLD $130B Annual revenue $14B 1st Telco in revenue worldwide Interna9onal telecom Mobile operator $11B $44B $3,5B In RD

Dettagli

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato alessandrograziani@iuslaw.

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato alessandrograziani@iuslaw. Apps4Law: Riflessioni sul Cloud Computing Roma 21 marzo 2013 Sala Seminari UNIRIZ 2 3 Il Cloud Computing si definisce consuetamente secondo due distinte accezioni: 1. un di carattere tecnologico 2. l altra

Dettagli

Government Cloud Computing

Government Cloud Computing Government Cloud Computing FORUM PA 19.05.2010 Aldo Liso DigitPA Osservatorio del mercato Resp. sez. hardware e sistemi operativi Government Cloud Computing L evoluzione delle architetture elaborative

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli

LA FILIERA ICT DEL DISTRETTO HIGH TECH le Aziende presentano i loro progetti. 14-23 maggio 2012 APA Confartigianato - Monza.

LA FILIERA ICT DEL DISTRETTO HIGH TECH le Aziende presentano i loro progetti. 14-23 maggio 2012 APA Confartigianato - Monza. LA FILIERA ICT DEL DISTRETTO HIGH TECH le Aziende presentano i loro progetti 14-23 maggio 2012 APA Confartigianato - Monza fastera Srl Massimo Milano massimo.milano@fastera.com Fondazione Distretto Green

Dettagli