VoIP (in)security: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO. E. Bortolani, A.L.R. Pennasilico
|
|
- Anna Carnevale
- 8 anni fa
- Visualizzazioni
Transcript
1 VoIP (in)security: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO Elisa Bortolani Università di Verona elisa@cd.univr.it Alessio L.R. Pennasilico AIPSI, ISSA Italian Chapter mayhem@aipsi.org E. Bortolani, A.L.R. Pennasilico Milano, 8 Febbraio 2007
2 Elisa Bortolani Psicologa del Lavoro Ph.D., Dipartimento di psicologia ed antropologia culturale Università di Verona Selezione e formazione per le aziende E. Bortolani, A.L.R. Pennasilico
3 Alessio L.R. Pennasilico Security Alba S.T. Member / Board of Directors: AIP, AIPSI, CaCert, CLUSIT, HPP, ILS, IT-ISAC, LUGVR, OPSI, Metro Olografix, No1984.org, OpenBeer/OpenGeeks, Recursiva.org, Sikurezza.org, Spippolatori, VoIPSA, Thawte. E. Bortolani, A.L.R. Pennasilico
4 VoIP Voice over IP Tecnologia emergente che trasporta la voce su una rete IP (WAN aziendale o Internet). Vantaggi: A) Economica rispetto ad un infrastruttura basata su telefonia tradizionale; B) Integrata con altri servizi. Svantaggi: A) Analisi del rischio più complessa B) Meno affidabile se non implementata correttamente E. Bortolani, A.L.R. Pennasilico 4
5 Telefonia tradizionale La telefonia tradizionale si basa su reti e protocolli proprietari, spesso su hardware e firmware/os proprietari. I sistemi telefonici tradizionali sono spesso slegati dalla infrastruttura IT. E. Bortolani, A.L.R. Pennasilico 5
6 Rischi della telefonia tradizionale Compagnie telefoniche e aziende hanno spesso trascurato i rischi di un utilizzo imprevisto delle loro infrastrutture telefoniche (da parte di interni ed esterni). E. Bortolani, A.L.R. Pennasilico 6
7 già la telefonia tradizionale I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. Captain Crunch, 1971, Secrets of the Little Blue Box, (fonte: Hacker's Profile Project, E. Bortolani, A.L.R. Pennasilico 7
8 la rete VoIP (1) - non soffre solamente le debolezze della rete telefonica tradizionale, ma le moltiplica per i problemi delle reti IP; - riassume pregi e difetti di un sistema interconnesso (facilita azioni di phreaking a chiunque sia dotato di un accesso alla rete e di alcuni strumenti, generici e spesso open source). E. Bortolani, A.L.R. Pennasilico 8
9 la rete VoIP (2) Principali rischi: - eavesdropping; - Denial of Service (DoS); - toll fraud; - ID Spoofing / Identity theft; - vishing; - SPam over Internet Telephony (SPIT). La confidenza che crediamo di avere con lo strumento "telefono" sarà completamente da rivedere. E. Bortolani, A.L.R. Pennasilico 9
10 Creare un ambiente sicuro Quando una nuova tecnologia viene inserita in un organizzazione: - i rischi non sono ancora pienamente conosciuti; - gli amministratori non posseggono sufficiente esperienza; - controlli di sicurezza e policy non vengono tempestivamente aggiornati. These issues should be considered for all systems but are especially important with VOIP deployment for essential operations, [ ] FIPS 199, Standards for Security Categorization of Federal Information and Information Systems E. Bortolani, A.L.R. Pennasilico 10
11 VoIP e valutazione del rischio La complessità degli ambienti VoIP richiede strategie di pianificazione e intervento ad hoc, ma: gli esseri umani (anche i cosiddetti esperti) commettono importanti bias nell emettere giudizi e nel prendere decisioni, trascurando regole e norme di ragionamento ottimale per ottenere il massimo beneficio con il minimo sforzo. E. Bortolani, A.L.R. Pennasilico 11
12 VoIP e valutazione del rischio #2 le decisioni non raggiungono la perfezione, ma ricercano livelli di performance sufficientemente buoni la valutazione il più delle volte è su base intuitiva e alcuni aspetti restano inevitabilmente vulnerabili E. Bortolani, A.L.R. Pennasilico 12
13 Euristiche Strategie di semplificazione cognitiva, per lo più inconsapevoli, che hanno lo scopo di accelerare il processo di decision-making e permettere un buon adattamento all'ambiente. Sono scorciatoie mentali che avvalorano la definizione di essere umano come decisore a razionalità limitata. (Simon, '50, Nobel per l'economia) E. Bortolani, A.L.R. Pennasilico 13
14 Euristica della disponibilità Un evento viene valutato come obiettivamente più frequente tanto è maggiore la facilità con cui esempi ed eventi vengono richiamati alla mente. Il recupero mentale di eventi passati però è condizionato da elementi superficiali che connotano l evento ma che nulla hanno a che fare con la frequenza oggettiva di questo. E. Bortolani, A.L.R. Pennasilico 14
15 Ancoraggio In condizioni di incertezza o ambiguità, la decisione è guidata da un informazione-àncora iniziale della quale non si conosce l effettiva rilevanza. L effetto dell àncora non diminuisce nonostante vengano raccolte altre informazioni (sempre ambigue). E. Bortolani, A.L.R. Pennasilico 15
16 Dimensione collettiva della sicurezza Assimilare telefonia tradizionale e VoIP ATTACCO Dati e voce sulla stessa VLAN Non utilizzo della crittografia Mancanza QoS ATTACCO DI SUCCESSO - processo multi-stratificato - fallimenti locali a qualsiasi livello e per ogni ruolo, interagendo tra loro, abbassano il livello globale di sicurezza. E. Bortolani, A.L.R. Pennasilico 16
17 Andamento della sicurezza all introduzione di una nuova tecnologia Rischi Interventi Assestamento Percezione di invulnerabilità Nuova tecnologia Baseline sicurezza E. Bortolani, A.L.R. Pennasilico 17
18 Information Security Risks CIA, ovvero: Confidentiality (confidenzialità) Integrity (integrità) Availability (disponibilità) E. Bortolani, A.L.R. Pennasilico 18
19 Confidenzialità Si riferisce alla necessità di mantenere sicure e private le informazioni ed evitare che persone non autorizzate possano: - ottenere un tabulato delle chiamate (intercettazione dei flussi di signaling) - registrarle (intercettazione del flusso RTP). Come garantirla? Encryption! E. Bortolani, A.L.R. Pennasilico 19
20 Integrità Si riferisce al fatto che le informazioni non vengano alterate da utenti non autorizzati (accidentalmente o deliberatamente). Es. un utilizzatore legittimo può commettere un errore e causare modifica o cancellazione di dati (ad es. per ACL più permissive di quello che gli è necessario per la sua mansione). un eventuale intruso può fingersi un utilizzatore legittimo. E. Bortolani, A.L.R. Pennasilico 20
21 Autenticazione identità dell utente: un utente deve essere l unico in grado di fare telefonate con un certo numero o, addirittura, deve poter essere identificato univocamente indipendentemente dal numero. Precauzione per: - essere certi di parlare con chi crediamo - evitare che qualcun altro possa qualificarsi come noi stessi. E. Bortolani, A.L.R. Pennasilico 21
22 Disponibilità Si riferisce al fatto che informazioni e servizi necessari siano sempre accessibili. - necessario un piano testato di disaster recovery per mantenere alto il trend di disponibilità anche in condizioni critiche di: - sovraccarichi di lavoro - rottura di apparati - attacchi. E. Bortolani, A.L.R. Pennasilico 22
23 Attacchi Denial of Service (DoS): milioni di richieste contemporanee e/o GB di traffico spazzatura vengono inoltrate contemporaneamente ai server dell azienda i quali, pur non smettendo di funzionare, non sono più in grado di onorare le richieste degli utenti legittimi. Qualsiasi rete è vulnerabile a tali attacchi. Per il VoIP, però, il problema è particolarmente critico per la sua sensibilità alla perdita di pacchetti. E. Bortolani, A.L.R. Pennasilico 23
24 Programmi Vomit Sipsak Ohrwurm Wireshark Cain & Abel Smap SiVus SIP Bomber SIPp NastySIP Scapy Oreka VoiPong Protos Sip Suite SFTF IAX Flood Inoltre: Packet Gen & Packet Scan, Shoot, Sipness, Sipshare, Sip scenario, Siptest harness, Sipv6analyzer, Winsip Call Generator, Sipsim, Mediapro, Netdude, Sipkill, RTP Flooder, Invite flooder, RTP injector, Sipscan, registration hijacker-eraser/adder, Fuzzy Packet. E. Bortolani, A.L.R. Pennasilico 24
25 Vishing Attacco finalizzato ad ottenere dati personali (password, numeri di carte di credito, conto bancario, ecc.) di un ignaro utente per uso illecito. Attraverso un sistema automatico di chiamata vengono contattate potenziali vittime che, al momento della risposta, sono invitate a chiamare un certo numero, appartenente al truffatore, che si impossessa così dei dati. E. Bortolani, A.L.R. Pennasilico 25
26 Il VoIP può essere sicuro? Se implementati, gli strumenti per la sicurezza delle reti IP possono renderlo più sicuro della telefonia tradizionale. Una peculiarità dello strumento è la possibilità di sommare la sicurezza creata da strumenti tecnologici con quella derivante dall esperienza empirica. Ad esempio è possibile identificare l interlocutore non solo grazie al certificato che lo identifica, ma anche grazie alla voce, all accento, ecc. E. Bortolani, A.L.R. Pennasilico 26
27 Conclusioni: il versante tecnologico Corretta analisi del rischio Attenta pianificazione del progetto Implementazione di misure tecniche adeguate: Separazione della rete dati dalla rete voce (VLAN) Firewall a livello di applicazione Gestione della priorità del traffico (QoS) Autenticazione ed Autorizzazione (AAA) Utilizzo di crittografia e certificati digitali (TLS, SRTP) Configurazione apparati idonea a prevenire attacchi IP conosciuti (MITM, garp, spoofing, flooding) Evitare i single point of failure Verifica periodica della sicurezza dell'infrastruttura E. Bortolani, A.L.R. Pennasilico 27
28 Conclusioni: il versante umano #1 Addestramento all utilizzo del VoIP (commisurato a mansione, famiglia professionale di appartenenza, ecc.): - hardening dei sistemi - piano di disaster recovery - sicurezza fisica del sistema - encryption E. Bortolani, A.L.R. Pennasilico 28
29 Conclusioni: il versante umano #2 In-formazione (pervasiva a tutti i livelli) su: - processi psicologici e cognitivi di decision-making - abilità sociali e comunicative che favoriscono l interpretazione del contesto informazionale - gestione del cambiamento tout court (compresi atteggiamenti, emozioni, ecc.) E. Bortolani, A.L.R. Pennasilico 29
30 Conclusioni: il versante umano #3 Obiettivi: - potenziare la consapevolezza rispetto ai rischi - partecipare ai progressi del processo strategico aziendale - essere promotori del cambiamento E. Bortolani, A.L.R. Pennasilico 30
31 Bibliografia Bellovin, S., Blaze, M., Brickell, E., et al. (2006). Security Implications of Applying the Communications Assistance to Law Enforcement Act to Voice over IP, news/docs/caleavoipreport.pdf Besnard, D., & Arief, B. (2004). Computer security impaired by legitimate users. Computers & Security, 23 (3), Kuhn, D.R., Walsh, T.J., Fries, S. (2005). Security Considerations for Voice Over IP Systems, Niccolini, S. (2006). VoIP Security: Hype or Necessity?. Third Annual VoIP Security Workshop, Berlin, June Reason, J. (1990). Human Error, Cambridge: Cambridge University Press. Simon, H.A. (1955). A behavioral model of rational choice. Quarterly Journal of Economics, 69, Stredicke, C. (2006). Securing VoIP Media Communication. Third Annual VoIP Security Workshop, Berlin, June Tversky, A., & Kahneman, D. (1974). Judgment Under Uncertainty: Heuristics and Biases. Science, 185, Wang, X., Chen, C., & Jajodia, S. (2005). Tracking Anonymous Peer-to-Peer VoIP Calls on the Internet. CCS 05 ACM, Nov , Alexandra, Virginia, USA Werbach, K. (2005). Using VoIP to Compete, Harvard Business Review. Sept. 2005, 83 (9), E. Bortolani, A.L.R. Pennasilico 31
32 Licenza Queste slide sono state realizzate da Elisa Bortolani & Alessio L.R. Pennasilico, mayhem, e sono soggette alla licenza Creative Commons nella versione Attribution-ShareAlike 2.0; possono pertanto essere distribuite liberamente e altrettanto liberamente modificate, a patto che si citino gli autori e la provenienza. E. Bortolani, A.L.R. Pennasilico 32
33 ? E. Bortolani, A.L.R. Pennasilico 33
VoIP e Sicurezza: parliamone!
VoIP e Sicurezza: parliamone! Marco Misitano misi-at-aipsi.org Alessio L.R. Pennasilico Mayhem-at-aipsi.org $ whois misi Marco Misitano, si occupa professionalmente di sicurezza informatica da oltre dieci
DettagliContent Security Spam e nuove minacce
Content Security Spam e nuove minacce Alessio L.R. Pennasilico - apennasilico@clusit.it Antonio Ieranò - antonio.ierano@cisco.com Security Summit 16 Marzo 2010 ATA Hotel Executive, Milano Alessio L.R.
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliVoIP (in)security: strumenti Open Source per il Security Assessment
VoIP (in)security: strumenti Open Source per il Security Assessment Alessio L.R. Pennasilico, Marco Misitano & Elisa Bortolani 04 Ottobre 2006 Come dimostrano i fatti di cronaca, i rischi di subire un
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliIntervento al Corso Università digitale. Filippo D Arpa. 14 Novembre 2011
Intervento al Corso Università digitale Filippo D Arpa 14 Novembre 2011 Indice Premessa Introduzione al nuovo C.A.D Le linee guida Università Digitale Le iniziative in corso in UNIPA Premessa Piano egov
DettagliCyber Security Day. 6 ottobre 2014. Con il supporto di:
Cyber Security Day 6 ottobre 2014 Con il supporto di: ovvero dei dispositivi mobili Alessio L.R. Pennasilico - apennasilico@clusit.it Università degli Studi di Verona Ottobre 2014 $whois -=mayhem=- Security
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliSERVIZIO SISTEMI INFORMATIVI
SERVIZIO SISTEMI INFORMATIVI Prot. n. Misure finalizzate al contenimento della spesa (art. 2 Commi 594-599 della Legge 244/2007 - Legge Finanziaria 2008) Relazione sulle misure per il contenimento delle
DettagliGli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05
Gli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05 Comune di Nembro Progetti dematerializzazione del Comune di Bergamo 26/092011 Finalità e caratteristiche
DettagliLa progettazione centrata sull utente nei bandi di gara
Progetto PerformancePA Ambito A - Linea 1 - Una rete per la riforma della PA La progettazione centrata sull utente nei bandi di gara Autore: Maurizio Boscarol Creatore: Formez PA, Progetto Performance
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliCriticità dei servizi di telecomunicazione nella convergenza voce/dati. Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008
Criticità dei servizi di telecomunicazione nella convergenza voce/dati Colloquia sulla infrastrutture critiche AIIC Univ. Roma Tre, 27 Febbraio 2008 Agenda Analisi introduttiva Univocità del problema sicurezza-voip
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliSOGEI E L AGENZIA DEL TERRITORIO
SOGEI E L AGENZIA DEL TERRITORIO CHI SIAMO Sogei è la società di ICT, a capitale interamente pubblico, partner tecnologico del Ministero dell Economia e delle Finanze italiano. Progettiamo, realizziamo,
DettagliIL MANAGER COACH: MODA O REQUISITO DI EFFICACIA. Nelle organizzazioni la gestione e lo sviluppo dei collaboratori hanno una importanza fondamentale.
IL MANAGER COACH: MODA O REQUISITO DI EFFICACIA Nelle organizzazioni la gestione e lo sviluppo dei collaboratori hanno una importanza fondamentale. Gestione e sviluppo richiedono oggi comportamenti diversi
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
Dettagli14 Marzo 2013 Security Summit Milano
Lamento pubblico con chi mi può capire Alessio L.R. Pennasilico - apennasilico@clusit.it 14 Marzo 2013 Security Summit Milano $whois -=mayhem=- Security Evangelist @! Committed: AIP Associazione Informatici
DettagliSecurity by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliVoipExperts.it SkyStone - Introduzione
VoipExperts.it SkyStone - Introduzione Autore : Giulio Martino IT Security, Network and Voice Manager Technical Writer e Supporter di ISAServer.it www.isaserver.it giulio.martino@isaserver.it Creatore
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliReceptionist 2.0. La soluzione semplice ed affidabile per il contact center
Receptionist 2.0 La soluzione semplice ed affidabile per il contact center Il nostro Open Source ONC crede nell opportunità dell open source e ha basato due delle sue soluzioni full IP sulla piattaforma
DettagliA.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 3. INFRASTRUTTURE...
Pagina 1 di 6 INDICE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 2.1. GENERALITÀ... 2 2.2. COMPETENZA, CONSAPEVOLEZZA E ADDESTRAMENTO... 2 3. INFRASTRUTTURE...3 4. AMBIENTE DI LAVORO...6
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliMida Directory. Introduzione. Mida Directory
Mida Directory Introduzione MidaDirectory è un applicazione XML per telefoni Cisco, che consente la gestione della rubrica aziendale su display telefonico. Essa permette di consultare i contatti aziendali
DettagliAssociazione Italiana Information Systems Auditors
Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:
DettagliBE ACTIVE. Upgrading means growing
BE ACTIVE Upgrading means growing Troviamo soluzioni, risolviamo problemi e restiamo al passo con lo sviluppo tecnologico. Lo facciamo garantendovi la nostra presenza continua e la massima velocità di
DettagliREALIZZAZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA SUL LAVORO: CASTELLO DI CARTE O CASSETTA DEGLI ATTREZZI PER UNA GESTIONE EFFICACE?
13 Salone della qualità e sicurezza sul lavoro REALIZZAZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA SUL LAVORO: CASTELLO DI CARTE O CASSETTA DEGLI ATTREZZI PER UNA GESTIONE EFFICACE? Dott. Ing. Massimo
DettagliElementi di Sicurezza e Privatezza Lezione 1 - Introduzione
Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione Chiara Braghin chiara.braghin@unimi.it Inziamo a interagire Chi prova a rispondere alle seguenti domande: w Cosa si intende per sicurezza informatica?
DettagliMisure volte a gettare le fondamenta per un avvenire sicuro della CPE
Risposte alle domande più frequenti (FAQ) Misure volte a gettare le fondamenta per un avvenire sicuro della CPE 1. Dal 2014, l aliquota di conversione legale LPP all età di 65 anni è del 6,8%. È ammissibile
DettagliCOMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)
COMUNE DI RAVENNA Il sistema di valutazione delle posizioni del personale dirigente GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI) Ravenna, Settembre 2004 SCHEMA DI SINTESI PER LA
DettagliSICUREZZA INFORMATICA MINACCE
SICUREZZA INFORMATICA MINACCE Come evitare gli attacchi di phishing e Social Engineering Ver.1.0, 19 febbraio 2015 2 Pagina lasciata intenzionalmente bianca 1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?
DettagliSICUREZZA. Sistemi Operativi. Sicurezza
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliSistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1
SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema
DettagliCOSA HA VERAMENTE DETTO IL FONDO MONETARIO INTERNAZIONALE
75 i dossier www.freefoundation.com COSA HA VERAMENTE DETTO IL FONDO MONETARIO INTERNAZIONALE NEL RAPPORTO CONCLUSIVO DELLA MISSIONE IN ITALIA DEL 3-16 MAGGIO 17 maggio 2012 a cura di Renato Brunetta EXECUTIVE
DettagliIntegrazione dei processi aziendali Sistemi ERP e CRM. Alice Pavarani
Integrazione dei processi aziendali Sistemi ERP e CRM Alice Pavarani Un ERP rappresenta la maggiore espressione dell inseparabilità tra business ed information technology: è un mega-package di applicazioni
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliSICUREZZA INFORMATICA
SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI
DettagliSecurity by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliLa Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo
La Firma Digitale La sperimentazione nel Comune di Cuneo Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo Perchè questa presentazione Il Comune di Cuneo, aderente alla RUPAR, ha ricevuto due
DettagliCapire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.
LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright
DettagliImplementing a new ADT based on the HL7 version 3 RIM. Esempio
Implementing a new ADT based on the HL7 version 3 RIM Esempio Contesto di riferimento Alla fine degli anni 90, sei ospedali vennero fusi allo scopo di formare un unica organizzazione lo University Hospital
DettagliISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali. Roma 22/10/15 Bollate 05/11/15
ISO 14001:2015 Le nuove prospettive dei Sistemi di Gestione ambientali Roma 22/10/15 Bollate 05/11/15 EVOLUZIONE DELLA NORMA ISO 14001 Prima pubblicazione: 1996 Prima revisione: 2004 (introdotti cambiamenti
DettagliIL CASO DELL AZIENDA. Perché SAP. www.softwarebusiness.it
LA SOLUZIONE SAP FOR PROFESSIONAL SERVICES IL CASO DELL AZIENDA Perché SAP Grazie a SAP siamo riusciti a pianificare meglio e ad ottenere tempestive informazioni su tempi e costi delle nostre commesse.
DettagliLa sicurezza nel Web
La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione
DettagliCOME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING
Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN
DettagliVoip risparmio e tanti vantaggi
Voip risparmio e tanti vantaggi Giuseppe Augiero 21 ottobre 2011 - Linux Day 2011 - Camera di Commercio di Pisa 1 Agenda Voip: stato dell arte. I vantaggi della tecnologia. Soluzione Open Source. Le applicazioni.
DettagliIl tuo partner strategico per la gestione delle ICT aziendali
Il tuo partner strategico per la gestione delle ICT aziendali Entro il 2024 L ammontare di informazioni che le imprese dovranno gestire aumenterà di 50 volte. Le risorse umane in campo IT aumenteranno
DettagliCONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL
CONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL Versione del 01 Dicembre 2015 DEFINIZIONI Cliente: persona fisica o giuridica, consumatore o professionista,
DettagliIl sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno dal punto di vista del revisore
Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno dal punto di vista del revisore Università degli studi di Pavia Obiettivo=Relazione Team di Revisione Principi Contabili/Principi
DettagliVOIP CALL RECORDER VCR2
VOIP CALL RECORDER VCR2 Networking review Abelya S.r.l. Via A. Stradella 137 00124 Roma 1 VoIP Recording VoIP (Voice over IP) è quella tecnologia in grado di offrire servizi voce su reti IP standard, sia
DettagliCOMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016.
COMUNE DI CASTELLAR (Provincia di Cuneo) PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA TRIENNIO 2014/2016. Indice: Premessa 1. FONTI NORMATIVE 2. STRUMENTI 3. DATI DA PUBBLICARE 4. INIZIATIVE DI
DettagliREGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE
REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE Bando pubblico per lo sviluppo della rete a Banda Larga nelle aree a fallimento di mercato finalizzato al superamento
DettagliProcedura n. 03 (Ed. 02) TENUTA SOTTO CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI
INDICE 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. DEFINIZIONI 4. GENERALITÀ 5. RESPONSABILITÀ 6. IDENTIFICAZIONE 7. REDAZIONE, CONTROLLO, APPROVAZIONE ED EMISSIONE 8. DISTRIBUZIONE 9. ARCHIVIAZIONE 10. MODIFICHE
DettagliPROFILO AZIENDALE NET STUDIO 2015
PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,
DettagliPOLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03
POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5
DettagliLO SVILUPPO DELLE COMPETENZE RELAZIONALI DEL PERSONALE INTERNO A CONTATTO CON IL CLIENTE
LO SVILUPPO DELLE COMPETENZE RELAZIONALI DEL PERSONALE INTERNO A CONTATTO CON IL CLIENTE La qualità del servizio passa attraverso la qualità delle persone 1. Lo scenario In presenza di una concorrenza
DettagliCaro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona
Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it 3 Ottobre 2013 Security Summit Verona $ whois -=mayhem=- Security Evangelist @ Members of: Associazione Informatici Professionisti,
DettagliProspettive e programmi internazionali
Cyber Security Energia Prospettive e programmi internazionali Alessio L.R. Pennasilico - apennasilico@clusit.it Roma - Settembre 2015 #iosonopreoccupato 2 $whois -=mayhem=- Security Evangelist @ Obiectivo
Dettaglienside www.xdatanet.com
enside è il software che affianca responsabili aziendali, energy manager e proprietari di edifici per capire come intervenire sui consumi e sui costi, migliorando l efficienza energetica. enside www.xdatanet.com
DettagliSistemi informativi aziendali struttura e processi
Sistemi informativi aziendali struttura e processi Concetti generali sull informatica aziendale Copyright 2011 Pearson Italia Prime definizioni Informatica Scienza che studia i principi di rappresentazione
DettagliVIDEOSORVEGLIANZA E CERTIFICAZIONE
Bancasicura Milano, 18 ottobre 2007 VIDEOSORVEGLIANZA E CERTIFICAZIONE Ing. Vincenzo LA FRAGOLA Direttore Funzione Elettronica & Misure Le premesse Come affrontare le nuove esigenze della sicurezza nel
DettagliCONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)
CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico
DettagliINFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it
INFORMATION TECNOLOGY 3 a cura di Alessandro Padovani padoale@libero.it 1 SICUREZZA DELLE INFORMAZIONI Le politiche di sicurezza dei dati informatici (che sono spesso il maggior patrimonio di un azienda)
DettagliAccreditamento operatori Elenco degli ISP accreditati ad OVER network. Direzione Sistema Informatico 09 Luglio 2009
Una risposta alle nuove esigenze di connettività Accreditamento operatori Elenco degli ISP accreditati ad OVER network Direzione Sistema Informatico 09 Luglio 2009 Premessa Riferimenti normativi Il progetto
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliPolicy. L Information Management
Policy L Information Management Approvato dal Consiglio di Amministrazione di eni spa il 15 dicembre 2010 1. Le informazioni 3 2. I sistemi informativi 4 3. La comunicazione 5 2 Le informazioni 1 Le informazioni,
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
Dettagliairis consulting Via Domenichino, 19-20149 - Milano Tel: 02.43986313 - Fax: 02.43917414 e-mail: info@airisconsulting.it web: www.airisconsulting.
Via Domenichino, 19-20149 - Milano Tel: 02.43986313 - Fax: 02.43917414 e-mail: info@.it web: www..it Chi siamo AIRIS CONSULTING è una Società di Consulenza di Direzione nata per rispondere al bisogno delle
DettagliVirtualization (in)security
Virtualization (in)security Dovevo scrivere Cloud da qualche parte :) Security Summit 16 Marzo 2011 ATA Hotel Executive, Milano - mayhem@alba.st facebook:alessio.pennasilico twitter:mayhemspp http://www.linkedin.com/in/mayhem
DettagliCliccare sul titolo della FAQ per leggere la risposta relativa
Cliccare sul titolo della FAQ per leggere la risposta relativa Integrazione SGSL UNI INAIL con ISO 14001 : come si può integrare un SGSL UNI INAIL in un sistema gestione ISO 14001 già esistente?nel dettaglio:
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
DettagliLa certificazione CISM
La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica
DettagliQ&C dei sistemi di gestione in base alla norma UNI CEI EN 16001
Ing. Sandro Picchiolutto Fabbisogni di qualificazione e certificazione (Q&C) di competenze, servizi e sistemi per l efficienza energetica e le fonti rinnovabili Q&C dei sistemi di gestione in base alla
DettagliSalute e Sicurezza dei Lavoratori nella filiera del riciclo della carta: il punto di vista dell ente di certificazione. Milano 18 novembre 2008
Elementi salienti e criticità di un Sistema di Gestione della Salute e Sicurezza dei Lavoratori nella filiera del riciclo della carta: il punto di vista dell ente di certificazione. Milano 18 novembre
DettagliLa gestione del budget e della pianificazione delle attività in tempi di spending review
La gestione del budget e della pianificazione delle attività in tempi di spending review Leopoldo Ferrè Partner Exeo Consulting Ettore Turra Direttore Sistemi di Gestione APSS Trento Impossibile visualizzare
DettagliIn estrema sintesi, NEMO VirtualFarm vuol dire:
VIRTUAL FARM La server consolidation è un processo che rappresenta ormai il trend principale nel design e re-styling di un sistema ICT. L ottimizzazione delle risorse macchina, degli spazi, il risparmio
DettagliSeminario su D.Lgs.81/08
Seminario su D.Lgs.81/08 La Valutazione del Rischio Per individuare le Misure di Prevenzione e Protezione a tutela della Salute e Sicurezza dei lavoratori Piacenza, 17/11/2010 Anna Bosi Dipartimento Sanità
DettagliCOMUNE DI SOLBIATE ARNO
SISTEMA DI MISURAZIONE E VALUTAZIONE DEL PERSONALE DIPENDENTE Approvato con deliberazione della Giunta Comunale n. 98 del 14.11.2013 1 GLI ELEMENTI DEL SISTEMA DI VALUTAZIONE Oggetto della valutazione:obiettivi
DettagliLA SICUREZZA STRADALE IN ITALIA NEL CONTESTO DELL OBIETTIVO EUROPEO 2020
LA SICUREZZA STRADALE IN ITALIA NEL CONTESTO DELL OBIETTIVO EUROPEO 2020 Roma, 18 settembre 2013 Dott. Dario Focarelli DG ANIA L ASSICURAZIONE IN CIFRE (ANNO 2011) Oltre 230 le imprese che operano in Italia
DettagliPROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ
Premessa PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITÀ Le recenti e numerose modifiche previste nell ambito del vasto progetto di riforma della P.A. impongono agli Enti Locali il controllo e la
DettagliDIMENSIONI CRITERI INDICATORI
Allegato 4 - Manerbio META EDUCATIVA: autonomia in ambito scolastico (classe 4/5 scuola primaria) DIMENSIONI CRITERI INDICATORI GESTIONALE OPERATIVA Uso degli strumenti Conoscere gli strumenti necessari
DettagliVoIP INSECURITY: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO
VoIP INSECURITY: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO Elisa Bortolani University of Verona Department of Psychology and Cultural Anthropology Via San Francesco, 22 37129 Verona - Italy elisa@cd.univr.it
DettagliVoIP (in)security strumenti OpenSource per il security assessment
VoIP (in)security strumenti OpenSource per il security assessment Alessio L.R. Pennasilico http://www.recursiva.org $ whois mayhem Security Evangelist @ Member / Board of Directors: AIP, AIPSI, CLUSIT,
DettagliElementi di Psicometria con Laboratorio di SPSS 1
Elementi di Psicometria con Laboratorio di SPSS 1 29-Analisi della potenza statistica vers. 1.0 (12 dicembre 2014) Germano Rossi 1 germano.rossi@unimib.it 1 Dipartimento di Psicologia, Università di Milano-Bicocca
Dettagli* Sistemi Mobili e VOIP *
* Sistemi Mobili e VOIP * Luca Leone lleone@thundersystems.it Sommario VoIP Dispositivi mobili e VoIP Protocolli Firewall e VoIP Skype VoIP Voice Over Internet Protocol Tecnologia che rende possibile una
DettagliCONTENT MANAGEMENT SYSTEM
CONTENT MANAGEMENT SYSTEM P-2 PARLARE IN MULTICANALE Creare un portale complesso e ricco di informazioni continuamente aggiornate, disponibile su più canali (web, mobile, iphone, ipad) richiede competenze
DettagliDBA Group DIAGNOSI ENERGETICHE
DBA Group DIAGNOSI ENERGETICHE Settembre 2015 OBBLIGHI DERIVANTI DAL DECRETO 102 SULL EFFICIENZA ENERGETICA DELLE AZIENDE SETTORE EFFICIENZA ENERGETICA Referenze Diagnosi Energetiche 2 OBBLIGHI DERIVANTI
DettagliPROTEGGI IL TUO BUSINESS OVUNQUE TI CONDURRÀ. Protection Service for Business
PROTEGGI IL TUO BUSINESS OVUNQUE TI CONDURRÀ Protection Service for Business IL MONDO È MOBILE Wifi In strada Oggi usiamo più dispositivi su un numero sempre maggiore di connessioni. Decidere quando, dove
DettagliCHI È TWT SERVIZI OFFERTI
RESELLER CHI È TWT Dal 1995, TWT interpreta le sfide del settore delle telecomunicazioni, sviluppando soluzioni innovative che anticipano le esigenze dei propri partner. L offerta Reseller comprende un
DettagliLa norma ISO 9001:08 ha apportato modifiche alla normativa precedente in
La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in base alle necessità di chiarezza emerse nell utilizzo della precedente versione e per meglio armonizzarla con la ISO 14001:04. Elemento
DettagliDiventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.
ISO 9001 Con la sigla ISO 9001 si intende lo standard di riferimento internazionalmente riconosciuto per la Gestione della Qualità, che rappresenta quindi un precetto universale applicabile all interno
DettagliCertificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica
Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica Certificazione valida per servizi e i sistemi presso i Data Centre Europei di COLT (Internet Solution Centre), i servizi
DettagliComunità della Val di Non La Firma Digitale
Comunità della Val di Non La Firma Digitale Che cos è e come utilizzarla al meglio Conferenza dei Sindaci della Val di Non Revò, 4 luglio 2013 In collaborazione con La Firma Digitale Che cos è? La firma
DettagliLa Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità
Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo
DettagliLa politica Nestlé per la Salute e la Sicurezza sul Lavoro
La politica Nestlé per la Salute e la Sicurezza sul Lavoro La sicurezza non è negoziabile Nestlé è convinta che il successo a lungo termine possa essere raggiunto soltanto grazie alle sue persone. Nessun
Dettagli