Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool
|
|
|
- Orsola Bello
- 8 anni fa
- Visualizzazioni
Transcript
1 Lo stato dell'arte dei progetti OWASP ed i falsi miti sull'uso dei tool Matteo Meucci Paolo Perego Security Summit 2011 Giorgio Fedon Milan 15th March, 2011 Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation
2 Agenda del seminario "OWASP 2010 e nuovi progetti 2011: cosa offre ad oggi OWASP per le aziende e dove stiamo puntando per il futuro" "Linee guida OWASP per la sicurezza del software" OWASP Top 10 OWASP Building, Code Review e Testing Guide OWASP SAMM e ASVS "I tool OWASP per la sicurezza del software" OWASP ESAPI OWASP WebScarab e WebGoat OWASP Jbrofuzz, LiveCD OWASP Orizon e O2 "Myth Busting Automatic Code Review tools" Security Summit 15h, March 2011
3 Who am I? Research Chair OWASP Testing Guide Lead OWASP SAMM contributor OWASP Common numbering list contributor Work 10+ years on Information Security focusing on Application Security Security Summit 15h, March 2011
4 (VIDEO) Security Summit 15h, March 2011
5 Linee guida OWASP A Coprono Gratuite chi sono e tutti dirette open gli e aspetti come source di si usano sicurezza in applicativa azienda? Libri Centinaia a basso costo di esperti che collaborano Security Summit 15h, March
6 Progetti 2011: OWASP Common Vulnerability List We need a common vulnerability list Security Summit 15h, March
7 Security Summit 15h, March 2011
8 OWASP SAMM è il primo maturity model? esourcing Capability Model for Client Organizations (escm-cl) esourcing Capability Model (escm) Data Management Maturity Model (DMMM) Capability Maturity Model Integration (CMMI) Building Security In Maturity Model (BSIMM) Service Integration Maturity Model (SIMM) Organizational Project Management Maturity Model: (OPM3) Information Security Management Maturity Model (ISM3) E-Learning Maturity Model (emm) Progressive HR Business Integrated Model (ProBIM) Systems Security Engineering Open Source Capability Maturity Maturity Model Model (OSMM) (SSE-CMM) Self-Assessment Maturity Model (SAMM) Usability Maturity Model (UMM) Enterprise PRINCE2 Data Management Maturity Model Maturity (P2MM) Model Integration (EDMMI) Web Site Maturity Model IT Service Capability Maturity Model (IT Service CMM) Capability Maturity Model (CMM) Software Reliability Engineering Maturity Model Testing Maturity Model (TMM) Software Acquisition Capability Maturity Model (SA-CMM) People Capability Maturity Model (PCMM) Portfolio, Programme and Project Management Maturity Model (P3M3) esourcing Capability Model for Service Providers (escm-sp) Outsourcing Management Maturity Model egovernment Maturity Model (egmm) Security Summit 15h, March
9 OWASP SAMM e BSIMM BSIMM: Lo scopo del BSIMM è quello di documentare le attività comuni a tutte le più importanti attività di software security. Modello descrittivo: a posteriori il modello riflette un insieme di realtà. OWASP SAMM: I modelli precedenti sono buoni per gli esperti da utilizzare come una guida, ma difficile per le aziende da utilizzare per migliorare i propri obiettivi. Modello prescrittivo: mostra un percorso comune da seguire. Security Summit 15h, March 2011
10 OWASP SAMM: obiettivi Security Summit 15h, March 2011
11 OWASP SAMM: il modello Security Summit 15h, March 2011
12 SAMM: 4 Funzioni di business critiche Governance Construction Verification Deployment Software development management activities and organisation-wide business processes Goal definition and software creation processes Checking, evaluation and testing of software development artifacts Software release management and normal operational management Si inizia con le 4 attività di base legate ad ogni azienda che sviluppa o acquista software Nomi generici delle funzioni ma dovrebbero essere compresi dagli sviluppatori e manager Security Summit 15h, March
13 Ciascuna area ha 3 Security Practices Governance Construction Verification Deployment Security & Metrics Threat Assessment Design Review Vulnerability Management Policy & Compliance Security Requirements Code Review Environment Hardening Education & Guidance Secure Architecture Security Testing Operational Enablement Security Summit 15h, March
14 Ad esempio: BF Governance, SP Education Governance Security & Metrics Policy & Compliance Education & Guidance Obiettivi Attività EG1 EG2 EG3 Offrire allo staff di sviluppo l accesso alle risorse di sviluppo sicuro A. Condurre Training tecnici su Security Awareness Educare tutto il personale nel SDLC in base al proprio ruolo nello sviluppo sicuro A. Condurre training specifici in base al ruolo Training sulla sicurezza mandatori e completi. Personale certificato A. Creare un supporto formale per la application security B. Costruire e mantenere linee guida tecniche B. Utilizzare i trainer per migliorare i team di progetto B. Stabilire esami in base ai ruoli aziendali Security Summit 15h, March
15 Applicare il modello Security Summit 15h, March 2011
16 Procedura di assessment Condurre un assessment Creare uno score card Costruire un programma di assurance Metriche Road map Implementare gli obiettivi e condurre nuovamente un assessment Security Summit 15h, March
17 Assessment Security Summit 15h, March
18 Roadmap Security Summit 15h, March
19 Security Summit 15h, March 2011
20 A quali domande ASVS risponde? Come posso comparare le attività di verifica? Quali caratteristiche di sicurezza dovrebbero essere implementate nell insieme di controlli di sicurezza richiesti? Quali sono gli aspetti da migliorare nella verifica della sicurezza di una applicazione web? Quanta fiducia posso dare alla mia applicazione web? Security Summit 15h, March
21 Overview di ASVS Verification Levels section Verification Requirements section Verification Reporting Requirements section Security Summit 15h, March
22 Quali sono i livelli di verifica proposti da ASVS? Security Summit 15h, March
23 Security Analysis Techniques: Trovare vulnerabilità nel Codice Sorgente (White Box Testing) Trovare vulnerabilità nelle applicazioni sviluppate (Black Box Testing) Manual Code Review Manual Penetration Testing Automated Static Code Analysis Automated Vulnerabilty Scanning Security Summit 15h, March
24 Definizione dei livelli in ASVS Level 1 Automated Verification Level 1A Dynamic Scan (Partial Automated Verification) Level 1B Source Code Scan (Partial Automated Verification) Level 2 Manual Verification Level 2A Penetration Test (Partial Manual Verification) Level 2B Code Review (Partial Manual Verification) Level 3 Design Verification Level 4 Internal Verification Security Summit 15h, March
25 Livello 1 Verifiche automatizzate di una applicazione vista come un gruppo di componenti con entità singole monolitiche. Security Summit 15h, March
26 Opzioni del livello 1 Level 1A Dynamic Scan (Partial Automated Verification) Level 1B Source Code Scan (Partial Automated Verification) Sono necessarie entrambe per raggiungere un pieno livello 1 Security Summit 15h, March
27 Livello 2 Verifica manuale di una applicazione web organizzata in una architettura di alto livello. Security Summit 15h, March
28 Level 2 Options Level 2A Manual Penetration Test Level 2B Manual Code Review Sono necessarie entrambe per raggiungere un pieno livello 2 Security Summit 15h, March
29 Livello 3 Verifica del design dell applicazione organizzata in un architettura di alto livello (Threat modeling e design review). Security Summit 15h, March
30 Livello 4 in dettaglio Verifica interna dell applicazione web ed esame di come funzionano i controlli di sicurezza. Security Summit 15h, March
31 Quali sono i requisiti di verifica nel ASVS? V1. Security Architecture V2. Authentication V3. Session Management V4. Access Control V5. Input Validation V6. Output Encoding/Escaping V7. Cryptography V8. Error Handling and Logging V9. Data Protection V10. Communication Security V11. HTTP Security V12. Security Configuration V13. Malicious Code Search V14. Internal Security Security Summit 15h, March 2011
32 Security Summit 15h, March 2011
33 Security Summit 15h, March 2011
34 Secure Coding Practices Checklist Input Validation Output Encoding Authentication and Password Management Session Management Access Control Cryptographic Practices Error Handling and Logging Data Protection Communication Security System Configuration Database Security File Management Memory Management General Coding Practices Security Summit 15h, March 2011
35 Security Summit 15h, March 2011
36 Security Summit 15h, March 2011
37 OWASP Building Guide Al fine di comprendere ed eliminare le cause della insicurezza nel software,owasp ha sviluppato la guida per lo sviluppo delle applicazioni web sicure pensata per: Sviluppatori per implementare i meccanismi di sicurezza ed evitare le vulnerabilità; Project manager che la utilizzano per identificare le attività da svolgere (threat modeling, code review, development); Team di sicurezza che la usano per apprendere le tematiche di application security e l approccio per la messa in sicurezza; Security Summit 15h, March 2011
38 Security Summit 15h, March 2011
39 OWASP Code Review Guide Descrive la metodologia OWASP per testare il codice di un applicazione (white box testing, conoscendo il codice sorgente) Security Summit 15h, March 2011
40 Security Summit 15h, March 2011
41 OWASP Testing Guide v3 SANS Top NIST Technical Guide to Information Security Testing (Draft) Gary McGraw (CTO Cigital) says: In my opinion it is the strongest piece of Intellectual Property in the OWASP portfolio OWASP Podcast by Jim Manico Security Summit 15h, March 2011
42 Proposed v4 list Authorization Path Traversal TG Bypassing authorization schema TG Privilege Escalation TG Insecure Direct Object References Top Failure to Restrict access to authorized resource TG Session Managment Bypassing Session Management Schema TG Weak Session Token TG Cookies are set not HTTP Only, Secure, and no time validity TG Exposed sensitive session variables TG CSRF Session passed over http Vishal Session token within URL Vishal Session Fixation Vishal Session token not removed on server after logout Vishal Persistent session token Vishal Session token not restrcited properly (such as domain or path not set properly) Vishal Data Validation Reflected XSS TG Stored XSS TG - Vishal HTTP Verb Tampering new TG HTTP Parameter pollution new TG Unvalidated Redirects and Forwards T : new TG SQL Injection TG SQL Fingerprinting LDAP Injection TG ORM Injection TG XML Injection TG SSI Injection TG Security Summit 15h, March 2011
43 Security Summit 15h, March 2011
44 Security Summit 15h, March 2011
45 != Security Summit 15h, March 2011
46 OWASP!= Bollini!=certificazioni Security Summit 15h, March 2011
47 Linee guida OWASP nel SDLC Governance Construction Verification Deployment Security Summit 15h, March
48 Next step Training, OWASP-Day, AppSec: OWASP Training per luglio 2011 OWASP Day per PA Novembre 2011 OWASP AppSec 2013 Iscrivetevi alla mailing list OWASP-it! Membership (50$/y) Lista dei membri sul sito OWASP Accesso AppSec (sconto) OWASP Training (free) Security Summit 15h, March 2011
49 Thank you! Security Summit 15h, March
Come valutare la maturità del proprio modello di sviluppo del software
Come valutare la maturità del proprio modello di sviluppo del software Matteo Meucci Chair OWASP Day per la PA Roma 9, Novembre 2010 Copyright 2010 - The OWASP Foundation Permission is granted to copy,
OWASP Day IV: introduzione
OWASP Day IV: introduzione Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Italy Day IV Milan 6th, November 2009 Copyright 2008 - The OWASP Foundation Permission is granted to copy, distribute
Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
Carlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
Introduzione all OWASP- Day II
Introduzione all OWASP- Day II Matteo Meucci OWASP-Day Università La Sapienza Rome 31 st March, 2008 OWASP-Italy Chair CEO Minded Security matteo.meucci@owasp.org Copyright 2007 - The OWASP Foundation
OWASP e gli standard per la sicurezza applicativa
OWASP e gli standard per la sicurezza applicativa Matteo Meucci OWASP-Italy Chair OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation Permission is granted to copy, distribute
Le linee guida OWASP per la sicurezza applicativa
Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto
Domenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
Quality gate. Sono eventi programmati regolarmente e condotti seguendo una procedura standard
Quality gate Nei punti chiave del processo di sviluppo del software, viene integrato un insieme di quality gate per monitorare la qualità del prodotto intermedio prima che quest ultimo possa passare al
Catalogo Corsi. Aggiornato il 16/09/2013
Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...
Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management
10-dic-2008 Osservatorio P 3 MO Il PMO come strumento di diffusione ed enforcement della cultura di Project Management Oscar Pepino Consigliere Esecutivo Reply S.p.A. 2 Sommario Gruppo Reply - scenario
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.
V.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it
IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?
ESI International Project Management & Business Analysis Solutions
ESI International Project Management & Business Analysis Solutions ESI International Leader globali nei servizi di PERFORMANCE IMPROVEMENT in: Project Management Business Analysis AGILE Project Management
Secure Code Review: dalla teoria alla pratica
Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi
Il controllo di progetto come strumento di IT Governance
Il controllo di progetto come strumento di IT Governance ing. Giorgio Beghini 20 febbraio 2003 - Vicenza OST Organizzazione Sistemi Tecnologie Via T. Aspetti, 157-35134 Padova tel: 049-60 90 78 fax:049-88
Simone Riccetti. Applicazioni web:security by design
Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento
N 1 alla versione bilingue (italiano-inglese) NORMA UNI EN ISO 9001 (novembre 2008) Sistemi di gestione per la qualità - Requisiti.
ERRATA CORRIGE N 1 alla versione bilingue (italiano-inglese) DEL 31 luglio 2009 NORMA UNI EN ISO 9001 (novembre 2008) TITOLO Sistemi di gestione per la qualità - Requisiti Punto della norma Pagina Oggetto
Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza
Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione
Application Security Governance
Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza
Ciclo di vita del software
Ciclo di vita del software Nel corso degli anni, nel passaggio dalla visione artigianale alla visione industriale del software, si è compreso che il processo andava formalizzato attraverso: un insieme
I I SISTEMI INFORMATIVI INTEGRATI. Baan IV IV - Enterprise e Orgware NOTE
I I SISTEMI INFORMATIVI INTEGRATI Baan IV IV - Enterprise e Orgware Strumento Enterprise (Azienda) Sistema Informativo Aziendale (EIS Enterprise Information System) Indicatori di Rendimento (PI - Performance
La gestione della sicurezza applicativa nelle aziende italiane
La gestione della sicurezza applicativa nelle aziende italiane Matteo Meucci, CISSP, CISA Chair CEO @ Minded Security Security Summit 20 Marzo 2012, Milano Copyright 2007 - The OWASP Foundation Permission
Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e
Security Summit 2010 Insert Company L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e L evoluzione nella sicurezza delle applicazioni
Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org
Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna Copyright 2008 - The Foundation Permission is granted
penetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
Corso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant
Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness
Università degli Studi di Milano 16 gennaio 2007. Dipartimento Informatica e Comunicazione aula Beta
Università degli Studi di Milano 16 gennaio 2007 Dipartimento Informatica e Comunicazione aula Beta DICo: seminario 16/01/07 Reply Reply è una società di Consulenza, System Integration, Application Management
Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009
Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle
Test e collaudo del software Continuous Integration and Testing
Test e collaudo del software Continuous Integration and Testing Relatore Felice Del Mauro Roma, Cosa è la Continuous Integration A software development practice where members of a team integrate their
Introduzione all Agile Software Development
IBM Rational Software Development Conference 5RPDRWWREUH 0LODQR RWWREUH Introduzione all Agile Software Development 0DULDQJHOD2UPH Solution Architect IBM Rational Services PRUPH#LWLEPFRP 2008 IBM Corporation
Internet Banking e Web Security
Internet Banking e Web Security Giorgio Fedon Chief Operation Officer Minded Security S.r.l. OWASP-Day II Università La Sapienza, Roma 31st, March 2008 giorgio.fedon@mindedsecurity.com Copyright 2008 -
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras
SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras 2 Introduzione Le architetture basate sui servizi (SOA) stanno rapidamente diventando lo standard de facto per lo sviluppo delle applicazioni aziendali.
The approach to the application security in the cloud space
Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance
DigitPA - P@norama sulle tecnologie innovative
DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La
Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
Gestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
Reply Business Intelligence Overview
Reply Business Intelligence Overview 2 Coverage B.I. Competency Center Analytical Systems Development Process Analisi di dettaglio Definizione dell Ambito Assessment Aree di Business Interessate Business
CEPIS e-cb Italy Report. Roberto Bellini (da leggere su www.01net.it )
CEPIS e-cb Italy Report Roberto Bellini (da leggere su www.01net.it ) Free online selfassessment tool Online services Enables the identification of competences needed for various ICT roles e-cf Competences
Valorizzazione della professionalità di SW Quality Assurance
Valorizzazione della professionalità di SW Quality Assurance 17 Esther BEVERE Miriam MERENDA ALTEN Italia Agenda Rilevanza della Professionalità del Software Tester Professionalità nel Testing Percorsi
Introduzione al Project Management
IT Project Management Lezione 1 Introduzione al Project Management Federica Spiga A.A. 2009-2010 1 Rapporto CHAOS 2009 Progetti completati in tempo, all interno del budget, rispettando i requisiti RAPPORTO
Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
PROFILO AZIENDALE NET STUDIO 2015
PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,
Qlik Services. Roma 10 Giugno, 2015
Qlik Services Roma 10 Giugno, 2015 By 2015, the shifting tide of BI platform requirements, moving from reporting-centric to analysis-centric, will mean the majority of BI vendors will make governed data
Software. Engineering
Software Il modello CMMI Engineering nelle organizzazioni software Agenda Focalizzazione sul processo CMMI come modello per il miglioramento dei processi Struttura del modello CMMI Aree di processo Riferimenti
VULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
Sicurezza e Gestione delle Reti (di telecomunicazioni)
Sicurezza e Gestione delle Reti (di telecomunicazioni) Tommaso Pecorella tommaso.pecorella@unifi.it Corso di Studi in Ingegneria Elettronica e delle Telecomunicazioni Corso di Studi in Ingegneria Informatica
Configuration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
Marco Salvato, KPMG. AIEA Verona 25.11.2005
Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance
Ciclo di vita del progetto
IT Project Management Lezione 2 Ciclo di vita del progetto Federica Spiga A.A. 2009-2010 1 Ciclo di vita del progetto Il ciclo di vita del progetto definisce le fasi che collegano l inizio e la fine del
ESI International. Project Management & Business Analysis Solutions. www.esi-italy.it
ESI International Project Management & Business Analysis Solutions www.esi-italy.it Chi siamo Leader globali nei servizi di PERFORMANCE IMPROVEMENT in: Project Management Business Analysis Agile Project
IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM
Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel
La portata del software
La portata del software Portata Contesto. In che modo il software in costruzione si inserirà nel sistema, prodotto o contesto aziendale esistente e quali vincoli impone il contesto? Obiettivi relativi
Software Embedded Integration Testing. Ing. Matteo Maglio Milano, 17 Febbraio 2011
Software Embedded Integration Testing Ing. Matteo Maglio Milano, 17 Febbraio 2011 Chi siamo Skytechnology è una società di ingegneria che opera nell area dei sistemi embedded aiutando i propri Clienti
Università di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano
L'impatto della flessibilità sull'infrastruttura tecnologica. Luca Amato IT Architect, Global Technology Services, IBM Italia
L'impatto della flessibilità sull'infrastruttura tecnologica Luca Amato IT Architect, Global Technology Services, IBM Italia La mia infrastruttura... Supporterà la SOA? Sarà ottimizzata dalla SOA? Che
Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
Collaudo e qualità del software Organizzazione, psicologia e competenza
Collaudo e qualità del software Organizzazione, psicologia e competenza Relatore Ercole Colonese Roma, 29 novembre 2010 Organizzazione del test Temi trattati nel libro Il gruppo di test Competenze e specializzazione
CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
Il Project Management nell Implementazione dell'it Service Operations
Con il patrocinio di: Sponsorizzato da: Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 Il Project Management nell Implementazione dell'it Service Operations
Risparmiare innovando
GIANLUCA VAGLIO Risparmiare innovando La tecnologia come strumento di risparmio 2011 Gianluca Vaglio www.gianlucavaglio.net Avvertenze legali AVVERTENZE LEGALI Copyright 2011 Gianluca Vaglio. La presente
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
IL PESO DELLE CAPACITA NELL ESERCIZIO DELLE COMPETENZE DISTINTIVE
IL PESO DELLE CAPACITA NELL ESERCIZIO DELLE COMPETENZE DISTINTIVE cristina.andreoletti@praxi.com www.ideamanagement.it I www.praxi.com I www.khc.it www.ideamanagement.it I www.praxi.com 1 PREMESSA PREMESSA
Rational Unified Process Introduzione
Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un
Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director
Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted
Software Product Lines (SPL)
Software Product Lines (SPL) Laboratorio di Ingegneria del Software Prof. Paolo Ciancarini Dott. Sara Zuppiroli A.A. 2010/2011 Lab di Ingegneria del Software () Software Product Lines (SPL) A.A. 2010/2011
Collaudo e qualità del software Quali test eseguire
Collaudo e qualità del software Relatore Ercole Colonese Roma, Tipologie di test Temi trattati nel libro Modello a V Livelli di testing Tipi di test Test funzionali Test delle funzionalità Test di gestione
Iniziativa: "Sessione di Studio" a Milano
Iniziativa: "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
Revisione dei processi in chiave ITIL
Il Sole 24 Ore S.p.A. pag. 1 Milano, Perché la revisione dei processi in chiave ITIL Esigenza: necessità di interagire in modo strutturato con un fornitore di servizi (Outsourcer) Creazione e gestione
Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia
Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005 Certification Europe Italia 1 IT Service Management & ITIL Ä La IT Infrastructure Library (ITIL) definisce le best practice
Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini
Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini
La gestione della sicurezza applicativa nelle aziende italiane
La gestione della sicurezza applicativa nelle aziende italiane (Matteo Meucci CISA CISSP OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 INDICE DELLA PRESENTAZIONE : Introduzione alla sicurezza del
Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli
Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
Catalogo corsi di formazione
nno 2015 utore F. Guasconi Revisore F. Morini Data 27/05/2015 Classificazione Corsi di formazione BL4CKSWN La nostra offerta formativa ricalca le linee di eccellenza su cui siamo attivi nell erogazione
Corso Base ITIL V3 2008
Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione
Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management
Incentive & Performance Management La soluzione per informatizzare e gestire il processo di Performance Management Il contesto di riferimento La performance, e di conseguenza la sua gestione, sono elementi
Canon Business Services
Canon Business Services per il Manufacturing Bologna, 19 marzo 2015 Andrea Lazzoni Sales Manager Italia Vision Creare valore e accelerare la trasformazione digitale dei processi di business dei nostri
INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA
INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA Fondato a New York nel 1941 Presente in 160 paesi, conta ora più di 110.000 membri Ha sede negli USA ma la sua Governance è Globale Globali sono pure il
Entri con un idea, esci con un impresa
Entri con un idea, esci con un impresa Perché? 2 La disoccupazione in Italia* *(dati dicembre 2011) Disoccupazione giovanile (15-24 anni) 31% Sviluppare nuova Occupabilità L occupazione è una delle emergenze
ICT Security Governance. 16 Marzo 2010. Bruno Sicchieri ICT Security Technical Governance
ICT Security 16 Marzo 2010 Bruno Sicchieri ICT Security Technical Principali aree di business 16 Marzo 2010 ICT Security in FIAT Group - I Principi Ispiratori Politica per la Protezione delle Informazioni
A PROPOSITO DI ITIL IT SERVICE MANAGEMENT. Dove si trova ITIL...nel framework delle Best Practice?
A PROPOSITO DI ITIL ITIL fornisce un framework di linee guida best practice per l IT Service Management. Fornisce un framework per la governance dell IT e si focalizza sulla continua misurazione e miglioramento
Progettare, sviluppare e gestire seguendo la Think it easy philosophy
Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E
Dematerializzazione e prospettive tecnologiche :
FORUM P.A. Roma, 15 maggio 2008 Dematerializzazione e prospettive tecnologiche : l opportunità cedere in outsourcing i processi documentali Océ-Italia SpA Enzo Capilli Sales Manager - Business Il Gruppo
Pianificazione e progettazione
Pianificazione e progettazione L analisi preventiva degli eventi e delle loro implicazioni rappresenta una necessità sempre più forte all interno di tutte le organizzazioni variamente complesse. L osservazione
SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture
SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere
lem logic enterprise manager
logic enterprise manager lem lem Logic Enterprise Manager Grazie all esperienza decennale in sistemi gestionali, Logic offre una soluzione modulare altamente configurabile pensata per la gestione delle
Progetto AURELIA: la via verso il miglioramento dei processi IT
Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce
Debian Security Team
Debian Security Team 16 dicembre 2005 Dipartimento di Informatica e Scienze dell'informazione Emanuele Rocca - ema@debian.org http://people.debian.org/~ema/talks/ Debian Security Team Introduzione al progetto
IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
LBSEC. http://www.liveboxcloud.com
2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità
Verifica del codice con Interpretazione Astratta
Verifica del codice con Interpretazione Astratta Daniele Grasso grasso@dsi.unifi.it grasso.dan@gmail.com Università di Firenze, D.S.I., Firenze, Italy December 15, 2009 D.Grasso (Università di Firenze)
Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale
18 aprile 2012 Il punto di vista dell OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell integrazione nei processi aziendali Marco Bellotti Functional Safety Manager Contenuti