Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend"

Transcript

1 Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma, 27 Maggio

2 I relatori Raoul Chiesa Director of Communication, ISECOM (USA) Membro del Comitato Direttivo: ISECOM (USA), CLUSIT (IT), OWASP Italian Chapter (USA), Telecom Security Task Force (EU/ASIA) Consulente per le Nazioni Unite in tema di Cybercrime presso l UNICRI (United Nations Interregional Crime & Justice Research Institute) Fabio Guasconi Esperto nazionale UNINFO per l'iso/iec, SC27 Chief of Italian Delegation ISO/IEC JTC1/SC27 2

3 OSSTMM e ISO/IEC Le norme e le best practices internazionali sulla sicurezza delle informazioni permettono principalmente di unificare e rendere comparabile l approccio impiegato, riconducendolo quanto più possibile a qualcosa di ripetibile e verificabile. ISECOM per OSSTMM e UNINFO, organismo federato UNI, per la ISO/IEC sono gli enti di riferimento, a livello rispettivamente mondiale e nazionale. 3

4 Cos è l OSSTMM? Open Source Security Testing Methodology Manual. Creato nel 2001 da Pete Herzog (IBM Tiger Team, SAP) di downloads. Uno standard internazionale per i test e le analisi di sicurezza. Una metodologia basata su metodi scientifici. Un mezzo per misurare la sicurezza operativa oggettivamente (e persino finanziariamente). Un mezzo per ridurre in modo totale i falsi positivi ed i falsi negativi. Un processo concreto per essere funzionali e realmente sicuri. Un codice etico con chiare Rules of Engagement. 4

5 OSSTMM: i moduli Process Security Internet Security Information Security Physical Security Communications Security Wireless Security Process Security Information Security Physical Security Communications Security Wireless Security Internet Security 5

6 Penetration Testing: approccio OSSTMM 6

7 Cos è la ISO/IEC 27001? La norma internazionale di riferimento per la gestione della sicurezza delle informazioni. Uno strumento ad alto livello, che considera anche gli aspetti trasversali alla sicurezza Un framework basato sul paradigma PDCA orientato al miglioramento continuo. Un insieme di processi finalizzati al raggiungimento del livello di sicurezza ottimale. Un mezzo per dimostrare agli stakeholders la consistenza del proprio approccio verso la sicurezza. 7

8 ISO/IEC 27001: struttura 8

9 Alcuni errori comuni (1) La sicurezza è considerata su due livelli paralleli: tecnologico e organizzativo. Inoltre: spesso è presente una ridotta sensibilità verso il lato tecnologico (pochi vettori di attacco considerati, scarso approfondimento, mancata conoscenza specifica delle terminologie e degli approcci tecnici); molto spesso non esiste alcun collegamento tra lato tecnologico e lato organizzativo (fornitori diversi che non si parlano tra loro o forniture di diversa qualità e ambito). 9

10 Alcuni errori comuni (2) Soluzioni IT standard dove la sicurezza non sempre è adeguata al loro impiego nel settore finance, uno dei più esposti ad attacchi esterni, ad esempio: Applicazioni Web poco robuste (mancato rispetto dello standard OWASP): sanitizzazione dell input utente, SQL Injection, Cross-Site Scripting, etc. Vulnerabilità causate dalle soluzioni e dalle architetture imposte dai vendor, tenendo in considerazione le sole performance. 10

11 Approcci alla sicurezza Approccio ORGANIZZATIVO ISO/IEC 27001, COBIT (ISO L.A., CISA, CISM) INTRANET ADMIN DMZ Approccio TECNOLOGICO OSSTMM, OWASP (OPST, OPSA) 11

12 I punti di incontro (1) La ISO/IEC può trarre vantaggio dall uso con OSSTMM per migliorare la qualità di diversi suoi processi, primo tra tutti il Risk Assessment, ottenendo: I. Una stima del rischio più precisa, piani di trattamento e quindi investimenti sulle contromisure più corretti. II. Maggiori indicazioni per il monitoraggio e il controllo del livello di sicurezza (indicatori). III. Integrazione con processi e con strutture organizzative di dettaglio, concretizzando maggiormente la sicurezza. 12

13 I punti di incontro (2) OSSTMM può beneficiare della vision tipica della ISO/IEC predisponendo i risultati della propria applicazione per una loro fruizione a un più alto livello, raggiungendo quindi: I. Un trattamento non solo più dei sintomi ma anche delle cause. II. L integrazione con processi e con strutture organizzative di più alto livello, portando le problematiche ad una maggiore attenzione. 13

14 Impiego sul campo: OSSTMM Diffusamente utilizzata per le verifiche tecnologiche in oltre 50 enti o istituti del settore nel mondo; Impiegata dallo US Department of Treasure nei controlli da esso effettuati; Richiesta come requisito per la quotazione in borsa in Messico; Applicata da numerose banche private e centrali, da operatori finanziari. Utilizzato anche da: - U.S. Navy, U.S. Air Force, U.S. Army (Army-mst) 14

15 Impiego sul campo: ISO/IEC Impiegata, a diversi livelli di profondità e insieme alle altre norme della famiglia, nella maggior parte delle aziende del settore nel mondo: Adottata ufficialmente dal Ministero del tesoro di Taiwan; Indicata come punto di eccellenza da numerose banche private e da diverse banche centrali; Oltre 4400 certificati emessi nel mondo (di cui un centinaio distribuiti tra i principali operatori del settore). 15

16 Un nuovo trend per la sicurezza? Il settore finance, anche (ma non solo) per fronteggiare il crescente fenomeno del cybercrime, ha bisogno di innovazione. Integrare davvero i due approcci costituisce un opportunità importante, che permette di ripensare i modelli di sicurezza finora impiegati sotto una prospettiva olistica, mantenendo al tempo stesso un riuso decisamente elevato di quanto già sviluppato. 16

17 Links osstmm.mediaservice.net 17

18 Contatti e Q&A RAOUL CHIESA FABIO GUASCONI DOMANDE? 18

Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi

Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi di sicurezza informatica Autore: Raoul Chiesa (OPST, OPSA) Socio Fondatore, Membro del Comitato Direttivo CLUSIT Board of Directors

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP Quaderni Clusit 004 La verifica della sicurezza di applicazioni Web-based ed il R. Chiesa, L. De Santis, M. Graziani, L. Legato, M. Meucci, A. Revelli La verifica della sicurezza di applicazioni Web-based

Dettagli

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy. NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

IT Risk Management a 360

IT Risk Management a 360 IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle

Dettagli

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010 Come affrontare le minacce alla sicurezza IT Roma, 16 Giugno 2010 Fabio Guasconi Introduzione Presidente del SC27 di UNINFO Chief of Italian Delegation for JTC1/SC27 (ISO/IEC) Socio CLUSIT, ITSMF, ISACA

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche

Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche Lo standard PCI-DSS e gli impatti sulla sicurezza informatica delle banche ABI Eventi Banche e Sicurezza 2009 Fabio Guasconi Roma, 09/06/2009 1 Prima di Iniziare Fabio Guasconi ISECOM Deputy Director of

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Iniziativa: "Sessione di Studio" a Roma. Presso HSPI SPA. Viale Vittorio Emanuele Orlando 75, 00185 Roma (RM)

Iniziativa: Sessione di Studio a Roma. Presso HSPI SPA. Viale Vittorio Emanuele Orlando 75, 00185 Roma (RM) Gentili Associati, Iniziativa: "Sessione di Studio" a Roma Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

Iniziativa : "Sessione di Studio" a Roma

Iniziativa : Sessione di Studio a Roma Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

PROFILO SOCIETARIO. Via Santorelli, 15 10095 Grugliasco Torino, ITALY Tel. +39 011 3272100. www.mediaservice.net

PROFILO SOCIETARIO. Via Santorelli, 15 10095 Grugliasco Torino, ITALY Tel. +39 011 3272100. www.mediaservice.net PROFILO SOCIETARIO Via Santorelli, 15 10095 Grugliasco Torino, ITALY Tel. +39 011 3272100 www.mediaservice.net 1 Introduzione 1.1 Scopo del presente documento Il presente documento presenta @ Mediaservice.net

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

Formazione, Aggiornamento. e Certificazioni in Sicurezza

Formazione, Aggiornamento. e Certificazioni in Sicurezza Formazione, Aggiornamento e Certificazioni in Sicurezza Informatica Andrea Pasquinucci Comitato Direttivo Comitato Tecnico Scientifico Indice Presentazione di CLUSIT Sicurezza e Formazione Il problema

Dettagli

La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive

La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive Associazione Informatici Professionisti Osservatorio Privacy e Sicurezza delle Informazioni La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive Paolo Giardini AIP Privacy

Dettagli

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale; Presentazione Blu Consulting è una società di consulenza direzionale certificata ISO 9001:2008, fondata da Mauro Masciarelli nel 2009, specializzata nella revisione delle strategie di business, adeguamento

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

COMITATO dei PROBIVIRI AIEA 2015-2018

COMITATO dei PROBIVIRI AIEA 2015-2018 Al servizio dei professionisti dell IT Governance Capitolo di Milano Profili dei Candidati per il rinnovo del COMITATO dei PROBIVIRI AIEA 2015-2018 Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013),

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Esperienze di analisi del rischio in proggeti di Information Security

Esperienze di analisi del rischio in proggeti di Information Security INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile

Dettagli

Situation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi

Situation AWare Security Operations Center (SAWSOC) Topic SEC-2012.2.5-1 Convergence of physical and cyber security. Relatore: Alberto Bianchi Situation AWare Security Operations Center (SAWSOC) Relatore: Alberto Bianchi Topic SEC-2012.2.5-1 Convergence of physical and cyber security Coordinatrice di Progetto: Anna Maria Colla annamaria.colla@selexelsag.com

Dettagli

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it

Dettagli

Iniziativa : "Sessione di Studio" a Roma

Iniziativa : Sessione di Studio a Roma Iniziativa : "Sessione di Studio" a Roma Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento, di formazione

Dettagli

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013

Il Sistema dei Controlli nel Gruppo Bancario Iccrea. Aggiornato al 13/11/2013 Il Sistema dei Controlli nel Gruppo Bancario Iccrea Aggiornato al 13/11/2013 1 Il sistema dei controlli adottato da Iccrea Holding Le attività, i processi, l assetto organizzativo, la gestione del rischio,

Dettagli

PCI-DSS. Sicurezza dei dati delle carte di pagamento

PCI-DSS. Sicurezza dei dati delle carte di pagamento PCI-DSS Sicurezza dei dati delle carte di pagamento Torino, 19 Aprile 2012 Agenda PCI Council e Standard collegati Storia e life-cycle della PCI-DSS Applicabilità, soggetti e ruoli Adempimenti, "incentivi"

Dettagli

Iniziativa : "Sessione di Studio" a Milano

Iniziativa : Sessione di Studio a Milano Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager Raffaele Rocco A.D. - AICOM Spa 1 PRESENTAZIONE di AICOM Spa AICOM Società

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione

Dettagli

Quando la sicurezza stradale è una priorità. ISO 39001 Road Safety Management System

Quando la sicurezza stradale è una priorità. ISO 39001 Road Safety Management System Quando la sicurezza stradale è una priorità. ISO 39001 Road Safety Management System ISO 39001: per una migliore gestione della sicurezza stradale Si stima che entro il 2030 gli incidenti stradali saranno

Dettagli

ISTITUZIONI - CITTADINI E SICUREZZA. Le iniziative in ambito comunitario

ISTITUZIONI - CITTADINI E SICUREZZA. Le iniziative in ambito comunitario ISTITUZIONI - CITTADINI E SICUREZZA Le iniziative in ambito comunitario Agenda Quadro delle iniziative europee La risoluzione sulla sicurezza del 28/1/2002 La cyber security task force Le linee guida dell

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Presentazione dell iniziativa ROSI

Presentazione dell iniziativa ROSI Presentazione dell iniziativa ROSI Return on Security Investment Security Summit Roma Alessandro Vallega Oracle Italia http://rosi.clusit.it 1 Sponsor dell iniziativa Ogni azienda / associazione ha investito

Dettagli

Iniziativa : "Sessione di Studio" a Milano

Iniziativa : Sessione di Studio a Milano Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Security assessment e normative Riccardo Barghini

Security assessment e normative Riccardo Barghini Security assessment e normative Riccardo Barghini Agenda Valutazione livello di sicurezza Leggi e Normative attuali Documento di Security Assessment Benefici Aziendali Che cosa propone il gruppo AFBNet

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e

Security Summit 2010. Insert Company Logo. L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e Security Summit 2010 Insert Company L evoluzione nella sicurezza delle applicazioni Lucilla Mancini, Massimo Biagiotti, Business-e L evoluzione nella sicurezza delle applicazioni

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

CONNECTING THE FUTURE

CONNECTING THE FUTURE 4 CONNECTING THE FUTURE Acquisire nuove competenze e saper innovare è fondamentale per poter competere con successo in un mercato in continuo cambiamento. PRES forma i professionisti dell IT e accompagna

Dettagli

Produrre in sicurezza e nel rispetto dell ambiente

Produrre in sicurezza e nel rispetto dell ambiente Produrre in sicurezza e nel rispetto dell ambiente ISO 14001 e OHSAS 18001 nuovi traguardi per una raffineria ogni giorno più compatibile, innovativa, responsabile api raffineria di ancona S.p.A. DUE TRAGUARDI

Dettagli

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation Il mestiere del security manager Giorgio Ledda Senior Director Security Oracle Corporation Argomenti della discussione Il mestiere del security manager. Perché la security? Una definizione di security.

Dettagli

LA CERTIFICAZIONE DELLA SICUREZZA ICT CON OSSTMM. (ICT SECURITY CERTIFICATION WITH OSSTMM)

LA CERTIFICAZIONE DELLA SICUREZZA ICT CON OSSTMM. (ICT SECURITY CERTIFICATION WITH OSSTMM) Mediaservice LA CERTIFICAZIONE DELLA SICUREZZA ICT CON OSSTMM. (ICT SECURITY CERTIFICATION WITH OSSTMM) Sommario Le verifiche di sicurezza ricoprono un ruolo fondamentale all'interno del processo di gestione

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

Iniziativa : "Sessione di Studio" a Roma. Roma, 14 dicembre 2006

Iniziativa : Sessione di Studio a Roma. Roma, 14 dicembre 2006 Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Iniziativa : "Sessione di Studio" a Milano

Iniziativa : Sessione di Studio a Milano Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di

Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di figura professionale nell ambito della sicurezza informatica

Dettagli

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica CAPITOLATO TECNICO PER UN SERVIZIO DI MANUTENZIONE, GESTIONE ED EVOLUZIONE DELLA COMPONENTE AUTOGOVERNO DEL SISTEMA INFORMATIVO

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Catalogo corsi di formazione

Catalogo corsi di formazione nno 2015 utore F. Guasconi Revisore F. Morini Data 27/05/2015 Classificazione Corsi di formazione BL4CKSWN La nostra offerta formativa ricalca le linee di eccellenza su cui siamo attivi nell erogazione

Dettagli

03/07/2012. Il Comitato AICQ Qualità del SW e dei Servizi IT

03/07/2012. Il Comitato AICQ Qualità del SW e dei Servizi IT Il Comitato AICQ Qualità del SW e dei Servizi IT Alfredo Avellone Roma, 3 luglio 2012 1 Nasce nel novembre 1987 come Comitato Qualità del Software. Missione Promuovere, coordinare, favorire l analisi,

Dettagli

Finanziamenti per la Promozione dei Sistemi di Gestione Ambientale nelle Piccole e Medie Imprese.

Finanziamenti per la Promozione dei Sistemi di Gestione Ambientale nelle Piccole e Medie Imprese. LABORATORIO ACCREDITATO ACCREDIA N 0181 CERTIFICATO DA DNV UNI EN ISO 9001 UNI EN ISO 14001 ISCRIZIONE NELL ELENCO DEI LABORATORI DELLA REGIONE EMILIA ROMAGNA AL N LABORATORIO ALTAMENTE QUALIFICATO PER

Dettagli

Il Cloud Computing nel mondo dei servizi: prospettive per Banche e PA

Il Cloud Computing nel mondo dei servizi: prospettive per Banche e PA Forum Banche e PA 2012 Roma, 23 24 Febbraio 2012 Il Cloud Computing nel mondo dei servizi: prospettive per Banche e PA Monica Pellegrino Research Analyst, ABI Lab Roma, 23 Febbraio 2012-1- Agenda L evoluzione

Dettagli

Iniziativa : "Sessione di Studio" a Verona. 18 Novembre 2010 presso GlaxoSmithKline SpA via Fleming, 2 (A4 - Uscita Verona Sud) 15 novembre p.v.

Iniziativa : Sessione di Studio a Verona. 18 Novembre 2010 presso GlaxoSmithKline SpA via Fleming, 2 (A4 - Uscita Verona Sud) 15 novembre p.v. Gentili Associati, Iniziativa : "Sessione di Studio" a Verona Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Iniziativa: "Sessione di Studio" a Milano

Iniziativa: Sessione di Studio a Milano Iniziativa: "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

EMIT Executive Master in IT Governance & Management Franco Zuppini

EMIT Executive Master in IT Governance & Management Franco Zuppini EMIT Executive Master in IT Governance & Management Franco Zuppini Strumenti manageriali per la gestione del ciclo di vita dei servizi IT 4 Dicembre 2014 Con il patrocinio di Agenda Perché questo master

Dettagli

Iniziativa : "Sessione di Studio" a Padova. Padova, 29 ottobre 2009

Iniziativa : Sessione di Studio a Padova. Padova, 29 ottobre 2009 Iniziativa : "Sessione di Studio" a Padova Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Iniziativa : "Sessione di Studio" a Torino. Torino, 27 novembre 2008. 25 novembre p.v.

Iniziativa : Sessione di Studio a Torino. Torino, 27 novembre 2008. 25 novembre p.v. Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

SECURITY AWARENESS. Padova, 31 Gennaio 2013 Ore 14-17

SECURITY AWARENESS. Padova, 31 Gennaio 2013 Ore 14-17 SECURITY AWARENESS Padova, 31 Gennaio 2013 Ore 14-17 Introduzione ai rischi IT per acquisire una consapevolezza di base e per selezionare le priorità di successivi approfondimenti personalizzati. I destinatari

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Italian Scientific Community on Addiction

Italian Scientific Community on Addiction Italian Scientific Community on Addiction Conoscere, Condividere, Costruire: Una Community Scientifica per il futuro. Workshop (Programma preliminare) Roma, 26 luglio 2011 Sala Polifunzionale della Presidenza

Dettagli

Danais s.r.l. Profilo Aziendale

Danais s.r.l. Profilo Aziendale Danais s.r.l. Profilo Aziendale Danais s.r.l. Marzo 2013 Indice Caratteri identificativi della società... 3 Gli ambiti di competenza... 3 Edilizia... 3 Mercati di riferimento... 4 Caratteristiche distintive...

Dettagli

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi.

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. BSI vi aiuta a gestire i rischi e ad accrescere il benessere aziendale.

Dettagli

Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD.

Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD. Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD. Ma siamo soprattutto. TÜV SÜD - Presenza a livello internazionale Austria Belgio Danimarca Francia Germania

Dettagli

SICUREZZA DELLE APPLICAZIONI MOBILE

SICUREZZA DELLE APPLICAZIONI MOBILE CORSO SPECIALISTICO SICUREZZA DELLE APPLICAZIONI MOBILE Lunedì 31 marzo e martedì 1 aprile 2014, dalle ore 9 alle ore 18 Padova mail: iscrizioni@isacavenice.org www.isacavenice.org 1 CORSO SPECIALISTICO

Dettagli

Sanità (pubblica e privata) ed Information Security: un matrimonio difficile.

Sanità (pubblica e privata) ed Information Security: un matrimonio difficile. Milano, 13 Marzo 2013 Sanità (pubblica e privata) ed Information Security: un matrimonio difficile. Raoul Nobody Chiesa Comitato Direttivo CLUSIT Founder, Partner, Security Brokers ScpA Principal, Cyberdefcon

Dettagli

Iniziativa : "Sessione di Studio" a Torino

Iniziativa : Sessione di Studio a Torino Iniziativa : "Sessione di Studio" a Torino Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto

INIZIATIVA TESI. ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto INIZIATIVA TESI ISACA VENICE promuove le best practice proposte da ISACA e la collaborazione fra le Università e le Imprese del triveneto In linea con la sua mission e con le indicazioni del Comitato Strategico,

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Innovare la Governance dell ICT

Innovare la Governance dell ICT Innovare la Governance dell ICT per ottenere qualità e creare valore Servono i profili professionali ICT giusti Marco Gentili Centro Nazionale per l Informatica nella PA 1 Domanda ed Offerta ICT Domanda

Dettagli

Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria

Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria Welfare comunitario e normazione tecnica Di Stefano Bonetto Auditor ed esperto UNI in materia di pianificazione ed educazione finanziaria L obiettivo di queste note è semplice, vogliamo fornire informazioni

Dettagli

INTERVENTO LEGGE 81/2008 CONSULENZA IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO

INTERVENTO LEGGE 81/2008 CONSULENZA IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO INTERVENTO LEGGE 81/2008 CONSULENZA IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO Bologna, Maggio 2009 Rev.2 del 08.05.2009 LE NOSTRE COMPETENZE ECF e CTQ sono due aziende che operano da anni nel settore

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione

Dettagli

TXT e-solutions. Passion for Quality. Marzo 2014

TXT e-solutions. Passion for Quality. Marzo 2014 TXT e-solutions Passion for Quality Marzo 2014 TXT e-solutions S.p.A. Fornitore Internazionale di prodotti e soluzioni software dedicati a Grandi Clienti Un azienda solida, con budget raggiunti e bilanci

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Curriculum Vitae Europeo

Curriculum Vitae Europeo Curriculum Vitae Europeo Informazioni personali Cognome/Nome Indirizzo Guasconi Fabio 00054 Fiumicino (RM), ITALY Telefono +39 329.465.69.30 E-mail fabio.guasconi@bl4ckswan.com Cittadinanza Italiana Data

Dettagli

a.a. 2014/2015 IX MODULO

a.a. 2014/2015 IX MODULO a.a. 2014/2015 IX MODULO QUALITY & OUTSOURCING MANAGEMENT Perché formazione sul Procurement? I sistemi di Procurement stanno subendo profonde modificazioni sia nelle grandi imprese che nella Pubblica Amministrazione.

Dettagli

Iniziativa : "Sessione di Studio" a Milano

Iniziativa : Sessione di Studio a Milano Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Lo standard ISO 31000 nel sistema di controllo interno e di gestione dei rischi ex art. 7 del Codice di Autodisciplina

Dettagli