Elementi di Sicurezza e Privatezza

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Elementi di Sicurezza e Privatezza"

Transcript

1 Elementi di Sicurezza e Privatezza Proteggere le informazioni: aspetti organizzativi Lez

2 La Sicurezza delle Informazioni Risorse a Supporto dell Informazione le risorse umane le infrastrutture (ossia i siti fisici e tutte le attrezzature a supporto delle strutture) la tecnologia (hardware, software, network, etc ) Fattore critico: le risorse umane fondamentali per l'uso della tecnologia 2

3 Sistema di ges5one della sicurezza Necessità di implementare modalità di gestione complessiva della sicurezza delle informazioni in azienda, che non comprenda i soli aspetti tecnici Necessità di definire un sistema di gestione della sicurezza delle informazioni (SGSI), comprendente aspetti organizzativi e gestionali, oltre ad aspetti tecnici Non solo l applicazione di strumenti più appropriati al singolo obiettivo di protezione (introduzione di firewall, antivirus, backup, ecc.) 3

4 Sicurezza delle Informazioni vs. Sicurezza Informatica IT Governance Sicurezza dell Informazione Sicurezza Informatica 4

5 Lo standard ISO 27001:2005 La normativa ISO detta i requisiti per realizzare un Sistema di Gestione della Sicurezza delle Informazioni e riprende alcuni dei concetti dello standard ISO 9001 Lo standard si basa su due concetti (come ISO 9000) Politica di sicurezza Sistema di governo della sicurezza 5

6 Poli5ca e Governo Specificazione ad alto livello degli obiettivi per la sicurezza che l organizzazione si propone di conseguire Complesso di procedure per il governo della sicurezza attuato e mantenuto dall organizzazione per garantire nel tempo il soddisfacimento della politica della sicurezza (SGSI) 6

7 Cosa dobbiamo proteggere? Le informazioni I beni della azienda (asset) Il software proprietario dell azienda Per salvaguardare: Il business della azienda L immagine della azienda La reputazione della azienda Tutto ciò che ci viene richiesto dai vincoli legali (vedi D. lgs. 196/03: Codice in materia di dati personali) 7

8 Come gestiamo? L implementazione e la manutenzione di un sistema di IT Governance secondo lo standard ISO prevedono quattro fasi cicliche, che si ripetono continuamente: pianificazione (plan) a-uazione (do) monitoraggio (check) miglioramento (correct o act) 8

9 Come pianifico gli interventi L informazione è un bene Devo definirne il valore (soggettivo) Devo valutare il rischio associato a tale bene Valutazione delle minacce, dell impatto, delle vulnerabilità delle informazioni Devo stimare la probabilità di accadimento di ciascun rischio Devo calcolare il danno stimato in caso di incidente Cioè devo fare una risk analysis 9

10 Istituire la politica, gli obiettivi, i processi e le procedure per la sicurezza rilevanti per la gestione del rischio e il miglioramento della sicurezza Attuazione (DO) Attuare e operare la politica, i controlli, i processi e le procedure per la sicurezza Requisiti PDCA Pianificazione (PLAN) Ciclo PDCA Monitoraggio (CHECK) 10 Miglioramento (ACT) Intraprendere azioni correttive e preventive basandosi sui risultati del riesame da parte delle direzione per conseguire il miglioramento continuo di SGSI Valutare e misurare le prestazioni dei processi sulla base della politica e degli obiettivi per la sicurezza e dell esperienza, riportando alla direzione i risultati

11 ASPETTI ORGANIZZATIVI 11

12 I ruoli della Information Security Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 12

13 Le figure professionali Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 13

14 I ruoli 14

15 Security Staff in un organizzazione molto grande 15

16 Security Staff in un organizzazione medio/grande 16

17 Security Staff in una piccola organizzazione 17

18 Dove posizionare la sicurezza ICT? Nelle grandi organizzazioni: InfoSec viene localizzata di solito all interno delle divisioni IT Il responsabile è il CISO che riporta direttamente al CIO o al CEO Va però detto che spesso per gli scopi e le attività svolte, la divisione Infosec contrasta con la divisione IT Di fatto le soluzioni aodttate da varie organizzazioni sono tra le più disparate 18

19 All interno della divisione IT 19

20 All interno della divisione Sicurezza 20

21 All interno della divisione servizi amministrativi 21

22 All interno della divisione Affari Legali From Information Security Roles and Responsibilities Made Easy, used with permission. 22

23 ANALISI DEI RISCHI 23

24 Rischio per un organizzazione La possibilità di subire una perdita Essenziale per progredire La sfida è saper gestire il rischio Indici utili Esposizione al rischio RE p (di un evento inatteso) x perdita associata Risk ReductionLeverage RRL = (Re before Re after ) / costo dell intervento 24

25 Quali rischi Operational Hazard Physical Strategic Capital / resource allocation Industry / competitors Technological Databases Security Confidential information Stakeholder Legal Compliance Regulatory Financial Capital markets Credit risks Taxes Human capital Retention Training Reputational

26 Sicurezza come rischio La sicurezza COSTA non solo in termini di denaro ma anche di: Tempo Privacy Flessibilità Convenienza Maggiore sicurezza implica maggiori costi (non vale il viceversa!!!) 26

27 Conseguenze La quantità di sicurezza che inserisco in un sistema dipende dai costi che sono disponibile a sostenere Non sempre sarò in grado di ottenere il massimo livello di sicurezza 27

28 Sicurezza come processo La messa in sicurezza di un sistema diventa allora un attività molto complessa, in cui vanno progettate, stimate e implementate misure di varia natura (tecnologiche, organizzative e sociali) Tenendo conto di una serie di vincoli di varia natura: economica, politica, legale e sociale La sicurezza di un sistema è spesso ottenuta con l adozione simultanea di diversi strumenti e strategie 28

29 Analisi del rischio Strumento usato estensivamente in fase di pianificazione come strumento di supporto alle decisioni Obiettivo: stimare le perdite associate ad errori/eventi anomali che possono verificarsi in un sistema Esistono diverse metodologie per svolgere l analisi dei rischi: Quantitative Qualitative 29

30 I beni da proteggere Primari Dati/Programmi Servizi/Processi Secondari Vite umane Tempo Denaro Privacy 30

31 I Rischi Perdita d immagine verso l opinione pubblica Perdita d immagine verso i propri clienti Perdita del competitive advantage Furto di Informazioni sensibili Blocco di attività critiche Mancato rispetto di regole contrattuali Coinvolgimento in procedimenti processuali Danneggiamento degli asset Mancato rispetto di leggi e regolamenti 31

32 I ritorni Risparmi nelle seguenti aree: Incident recovery Business continuity Downtime recovery Minori perdite dati Salvaguardia dell immagine dell azienda Riduzione downtime Razionalizzazione della struttura organizzativa 32

33 Annual Loss Expectancies La tecnica quantitativa più diffusa per associare una quantità all avverarsi di un certo evento catastrofico è basata sul calcolo dell ALE ALE = perdita attesa nel caso in cui si verificano certi evento Esempio: il black out di un server costa ad un azienda /giorno, il guasto si verifica mediamente una volta ogni due anni, quindi ALE in un anno

34 La valutazione quantitativa: ALE Asset1 Asset2 Asset3 Asset4 TOTAL Threat1 ALE11 ALE12 ALE13 ALEt1 Threat2 ALE21 ALE22 ALE23 ALEt2 Threat3 TOTAL ALEa1 ALEa2 ALE 34

35 Svantaggi Non consente di valutare gli asset intangibili Valutazione del danno solo economica Labour Intensive Time Consuming 35

36 Risk Analysis Qualitativa Utilizzo di scala qualitativa per la valutazione di asset, minacce, vulnerabilità, rischi 1-10 LOW, Medium, High Very low, Low, Medium, High, Very High 36

37 La valutazione qualitativa Matrice di correlazione tra: valore dell asset (1-10) livello della minaccia (VL, L, M, H, VH) livello delle vulnerabilità (L, M, H) Valore del rischio (1-7) esplicitato per ogni asset in relazione ai livelli di minaccia, vulnerabilità e valore dell asset 37

38 Matrice del Rischio : Qualitativa Asset Threat à Very Low Low Very High Vuln y à L M H L M H L

39 Esempio valutazione qualitativa Asset: sito web Minaccia: SQL injection Vulnerabilità: Bad code Rischio: furto di informazioni riservate Valore minaccia: M Valore vulnerabilità: L Valore Asset: 7 VALORE RISCHIO: 5 39

40 Vantaggi Meno Labour Intensive and Time Consuming Piu versatile: valutazione beni intangibili valutazione impatti anche non economici applicabile anche a sistemi informativi in divenire 40

41 Matrice del rischio

42 Altri metodi di Risk Analysis Check List Questionari Visualizzazioni RABWA Indicatori 42

43 Gestione del rischio Una volta individuati i rischi ed averne stimato la portata è necessario decidere cosa fare per ciascuno degli elementi presenti nella matrice del rischio: Evitare Accettare Trasferire Ridurre 43

44 Schema di riferimento Danno : Valore Impatto Trasferire Accettare Evitare Ridurre Probabilità (M,V) 44

45 I DOCUMENTI 45

46 I documenti di riferimento 46

47 L audience 47

48 Politiche, Standard, e Linee guida Nell ambito di (NIST ) è fortemente consigliata la realizzazione di tre tipi di politiche: Enterprise information security program Issue-specific information security policy Systems-specific information security policy 48

49 Politiche, Standard, & Linee Guida Policy: un insieme di indicazioni e regole che indicano quali sono le aspettative del management in termini di sicurezza informatica Standard: un documento più dettagliato rispetto alla policy, che da indicazioni più precise sulle attività da svolgere Procedure e linee guida: spiegano le diverse attività da svolgere, le modalità con cui realizzarle, nonché dettano norme comportamentali 49

50 Enterprise Information Security Policy (EISP - Policy) Detta la linea strategica, e gli obiettivi principali a cui devono essere orientati gli investimenti dell azienda in termini di sicurezza Il documento viene solitamente predisposto dal CISO e CIO Documento di alto livello; 2-10 pagine Assegna le responsabilità per i vari settori della sicurezza ICT, compresi La manutenzione delle politiche di sicurezza Training e supporto agli utenti ifnali Fornisce lineee guida per Lo sviluppo, l implementazione e la gestione di tutte le attività rigurdanti la sicurezza informatica 50

51 EISP EISP deve contenere: L indicazione degli obiettivi strategici della Sicurezza Ict in azienda Indicazioni sulla struttura organizzativa che si vuole predisporre per raggiungere gli obiettivi su prefissati Ruoli e responsabilità di tutte le persone coinvolte, sottolineando le responsabilità personali Previsioni di budget 51

52 Issue-Specific Security Policy (ISSP -Standard) Tre caratteristiche principali: Affronta problematiche legate alla tecnologia Richiede aggiornamenti frequenti Viene predisposta a partire da un problema sollevato in ambito di policy generale Argomenti tipici: Uso , Uso Internet e World Wide Web, Configurazione minima per la difesa contro malware, Divieti sull uso di particolari tool o procedure (penetration testing, etchical hacking) Uso risorse informatiche aziendali 52

53 Componenti di una ISSP Scopo Scopo e dominio di riferimento Definizione della tecnologia analizzata Responsabilità Accesso e uso della tecnologia Modalità d accesso degli utenti Modalità d uso accettate Protezione della Privacy Usi vietati della tecnologia Atti vandalici Atti criminali Violazione Copyrighte leggi sulla proprietà intellettuale Altre restrizioni 53

54 Componenti di una ISSP (Continua) System Management Gestione del materiale memorizzato Controllo dipendenti Virus Protection Sicurezza Fisica Encryption Violazione della politica of Policy Procedure per riportare violazioni della politica Provvedimenti disciplinari per violazioni Aggiornamenti e modifiche Programma per la revisione e modifica della politica Vincoli sulle responsabilità Dichiarazioni circa l esclusione di responsabilità 54

55 Quante ISSP? Tre approcci: Un ISSP per ogni tecnologia da gestire/trattare Un ISSP generico per tutte le tecnologie Un documento modulare formato da tanti capitoli gestito centralmente 55

56 Systems-Specific Policy (SysSP Linee guida) Essenzialmente dei documenti che servono come standard o linee guida per la configurazione e gestione di sistemi Formati da due componenti: Direttive generali Specifiche tecniche 56

57 Direttive generali Scritte dal management di II livello Danno indicazioni generali sulle modalità con cui procedere alla gestione manutenzione dei sistemi, nonché sulle responsabilità dei sysadmin 57

58 Specifiche Tecniche Specificano il modo effettivo con cui mettere in opera le direttive che provengono dal management Due metodi generali: Access control lists Configuration rules 58

59 CONTINGENCY PLAN 59

60 Che cos è il Contingency Plan? Contingency plannining (CP) Progettare le attività per gestire un evento inatteso e dannoso per l organizzazione RILEVARE, RISPONDERE (react) e RIPRISTINARE il sistema da eventi che ne hanno la sicurezza delle risorse e delle informazioni Obiettivo principale: Ripristinare nel minor tempo possibile e con il minimo costo, la modalità operativa normale a seguito di un attacco distruttivo 60

61 Introduzione Quando la tecnologia viene messa fuori uso e le normali attività dell organizzazione rischiano il collasso è necessario disporre di una serie di procedure che consentano all organizzazione di continuare a svolgere almeno le funzioni essenziali Più del 40% delle organizzazioni vittime di un evento anomalo, che non avevano predisposto un CP sono fallite nell arco di un anno dall evento 61

62 CP: componenti Incident response (IRP) Focalizzato sulla risposta immediata Disaster recovery (DRP) Focalizzato sul restore delle operazioni dopo che il disastro è avvenuto Business continuity (BCP) Focalizzato sulla ripresa delle operazioni su un sito remoto, in attesa del ripristino del sito originale 62

63 Timeline 63

64 CP contenuti Al fine di predisporre un CP è necessario: Sulla base del core business dell organizzazione identificare le funzioni critiche allo svolgimento dello stesso Identificare le risorse che supportano lo svolgimento delle funzioni critiche Prevedere potenziali criticità o disastri che possono affliggere tali risorse Selezionare i piani di recupero Implementare tali piani Testare e revisionare periodicamente i piani 64

65 CP: operativamente Nel contingency planning sono coinvolte 4 tipi di professionalità: CP team Incident recovery (IR) team Disaster recovery (DR) team Business continuity plan (BC) team 65

66 Incident Response Plan IRP: Insieme dettagliato di processi e procedure che descrivono gli eventi inattesi che possono compromettere risorse e sistemi, ed indicano anche come rilevare e mitigare gli stessi Incident response (IR): Insieme di procedure da attivare nel momento in cui viene rilevato un incidente 66

67 Incident Response Plan (Continua) Una minaccia diventa un attacco e quindi un incidente di sicurezza ICT quando: È diretta contro sistemi informatici Ha una certa probabilità di essere eseguita con successo Minaccia confidenzialità, integrità e disponibilità IR è una misura reattiva non preventiva 67

68 Incident Response Plan Deve contenere procedure che specificano: Cosa fare per rilevare un incidente (Detection phase) Cosa fare quando un incidente si è verificato (Reaction phase) Come ripristinare il tutto (Recovery phase) Post mortem 68

69 Detection Come rilevare un possibile tentativo di intrusione Report dagli utilizzatori dei sistemi, allarmi degli IDS, antivirus, Log correlation, ecc. Fondamentale il coinvolgimento degli utenti finali Problema Definire il limite entro cui un evento sospetto diventa attacco Incident classification: Una volta individuato un evento anomalo è necessaria una sua classificazione al fine di individuare le casistiche più adeguate per il suo trattamento 69

70 Reaction Una volta che un incidente è stato dichiarato e classificato è necessario avviare la procedura di reazione Allertare persone e organizzazioni chiave Contenere gli effetti dell attacco: circoscriverne la diffusione e possibilmente bloccarlo 70

71 Strategie di contenimento Disconnettere i sistemi coinvolti Modificare dinamicamente le regole di accesso al firewall Disabilitare gli account compromessi Disabilitare servizi compromessi o in odore di Disconettere server Disconettere l intera rete aziendale 71

72 Documentazione Immediamente dopo aver attivato la fase di reazione è necessario avviare la fase di documentazione dell incidente: È necessario tenere traccia di tutte le azioni intraprese durante la gestione dell incidente in particolare di ogni attiivtà è necessario indicare chi, cosa, quando, dove e perchè Serve per l analisi post-mortem 72

73 Recovery Incident Recovery Inizia quando un attacco è stato contenuto e IRT ha ripreso il controllo della situazione A questo punto è necessario determinare l estensione del danno e individuare tutti i sistemi coinvolti ed il livello di danno subito Tutti questi elementi vanno accuratamente documentati e in caso di causa civile e/o penale è necessario conservare l evidenza dei danni subiti 73

74 Recovery Il processo di recovery consiste in: Identificare e risolvere le vulnerabilità che hanno consentito il verificarsi dell attacco Individuare criticità nei sistemi di protezione che non hanno consentito agli stessi di rilevare l attacco Eventualmente installare nuovi sistemi di monitoring e detection 74

75 Recovery (Continua) Ripristinare dati dai back-up Ripristinare processi e sistemi che si sono disabilitati durante la gestione dell incidente Continuare a monitorare il sistema Ripristinare la confidenza nel sistema da parte degli utenti finali e della parti coinvolte nell incidente 75

76 Post-mortem Al termine dell attività di recovery, IRT deve analizzare attentamente tutte le fasi della gestione dell incidente al fine di individuare eventuali criticità che fossero emerse durante le diverse fasi di gestione dell incidente per un loro miglioramento 76

77 Law Enforcement Un attacco informatico di norma è un reato previsto da nostro codice penale e come tale va denunciato all autorità giudiziaria 77

78 Escalation Durante la gestione di un incidente l IRP può realizzare di non essere più in grado di contenerne gli effetti che possono estendersi anche ad altre organizzazioni È compito di chi prepara il CP determinare il punto in cui un incidente diventa un disastro 78

79 DISASTER RECOVERY 79

80 Disaster Recovery DRP Preparazione al recovery del sistema dopo un disastro naturale o artificiale Un incidente diventa un disastro quando: L organizzazione non è in grado di controllare o contenere gli effetti dell attacco Il livello di danno e distruzione dell attacco è così severo che l organizzazione non è nemmeno in grado di mettere in atto le procedure di recovery Scopo primario del DRP: ristabilire l operatività del sistema danneggiato 80

81 Classificazione dei disastri Naturali vs. generati dall uomo (la più comune) Velocità di propagazione: Rapidi: terremoti, incendi, alluvioni, black-out Lenti: degrado ambientale, deforestazione, carestie, ecc 81

82 Pianificare i disastri Classificare i potenziali disastri in funzione dell impatto Esistono a questo proposito opportune metodologie di impact analysis Punti chiave di un DRP: Chiara definizione di ruoli e responsabilità Elenco delle entità da allertare e coinvolgere Chiara definizione delle priorità Documentazione del disastro Attività di mitigazione dell impatto Alternative implementative dei sistemi critici Il DRP va testato periodicamente 82

83 Crisis Management DRP potrebbe fare riferimento ad un processo di CM Insieme di attività intraprese durante e dopo il disastro per assistere le persone coinvolte Attività tipiche di un team di crisis management: Supporto a persone e loro familiari durante la crisi Stabilire l impatto del disastro sulle normali attività ed eventualmente dichiarare lo stato di crisi Comunicare con il mondo esterno 83

84 Respondere al disastro Nella realtà gli eventi catastrofici possono superare ogni previsione DRP deve essere flessibile a configurabile a situazioni non previste Quando un disastro minaccia le sedi operative e più importanti di un organizzazione DRP diventa anche BCP 84

85 Business Continuity Planning (BCP) Garantire che un organizzazione possa continuare ad erogare e svolgere le sue funzioni primarie anche a fronte di un disastro È necessaria quindi un analisi preliminare per l identificazione di queste funzionalità e delle infrastrutture di supporto Solitamente effettuato di concerto con CEO Si attiva e viene eseguito concorrentemente con DRP Ristabilisce le funzioni primarie in siti alternativi (DRP è invece concentrato sul recupero delle funzioni sul luogo in cui avviene il disastro) 85

86 BCP: problematiche I costi sono sempre un fattore determinante per la selezione della soluzione più appropriata Opzioni per siti alternativi ad uso esclusivo: Hot site Warm site Cold site Opzioni per siti alternativi ad uso condiviso : Timeshare Service bureau Mutual agreement 86

87 Hot Sites Uso esclusivo Computer facility completamente configurate a replica dei servizi da rimpiazzare Warm Sites Come sopra, ma con servizi sw non completamente allineati Cold Sites Si predispone un sotto insieme di sistemi in grado di ospitare, quando necessario, i servizi da rimpiazzare 87

88 Uso condiviso Timeshare Sito dedicato ma preso in affitto Service Bureau Agenzie che forniscono HW su richiesta Mutual Agreement Contratti con altre organizzazioni per mutua assistenza in caso di disastro Altre soluzioni: Siti mobili Risorse di memorizzazione esterne 88

89 Dati Affinché un BCP possa entrare in azione il più velocemente possibile, è necessario che l organizzazione coinvolta disponga nel sito remoto dei dati necessari Le possibili opzioni sono: Electronic vaulting: batch-transfer dei dati al sito remoto, anche su base periodica Remote Journaling: trasferimento in tempo reale delle transazioni, sul sito remoto Database shadowing: copia integrale e in tempo reale dei dati critici 89

90 Standard Per facilitare la realizzazione dei documenti legati ad un piano della sicurezza, sono state proposte e sono in continua revisione una serie di metodologie ISO RFC 2196 NIST SP 90

91 STANDARD 91

92 ISO Nasce a partire da una metodologia molto discussa e molto diffusa in Europa BS 7799:1 Information Technology Code of Practice for Information Security Management, Originariamente nota come British Standard BS 7799 Ora ISO 27001:2005 BS 7799:2 Information Security Management: Specification with Guidance for Use, ora ISO 17799:1 Scopo: Fornire raccomandazione a tutti coloro che devono predisporre, implementare o gestire un sistema per la gestione della sicurezza delle informazioni e dei sistemi in una organizzazione 92

93 BS 7799 (II) Volume 2 Fornisce indicazioni su come implementare effettivamente quanto descritto nel volume I Come predisporre una Information Security Management Structure (ISMS) Noto anche come ISO Questo standard non è stato adottato tra gli altri, da USA, Germania, Giappone 93

94 RFC 2196 Site Security Handbook RFC 2196 Creato dal Security Area Working Group di IETF Contiene discussione e suggerimenti sulle più importanti problematiche relative alla sicurezza, con suggerimenti in merito alla loro implementazione Aspetti considerati security policies, security technical architecture, security services, and security incident handling 94

95 NIST Security Models Il NIST ha predisposto una serie di documenti pubblici che affrontano con diversi livelli di approfondimento diverse tematiche: SP , Computer Security Handbook SP , Generally Accepted Security Principles & Practices SP , Guide for Developing Security Plans SP , Security Self-Assessment Guide-IT Systems SP , Risk Management for Information Technology Systems SP , Recommended Security controls for. La standard de facto per la PA statunitense 95

96 ISO 27002:2005 (EX ISO 17799) 96

97 Le dieci sezioni di ISO/IEC Organizational Security Policy 2. Organizational Security Infrastructure objectives 3. Asset Classification and Control 4. Personnel Security objectives 5. Physical and Environmental Security objectives 6. Communications and Operations Management objectives 7. System Access Control objectives 8. System Development and Maintenance objectives 9. Business Continuity Planning 10. Compliance objectives 97

98 Organizational security policy 5.1 POLITICHE DI SICUREZZA INFORMATICA Documentazione sulle politiche di Sicurezza Informatica Revisione delle informazioni sulla Sicurezza Informatica 98

99 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.1 ORGANIZZAZIONE INTERNA Impegni del management per la sicurezza informatica Coordinamento delle attività di sicurezza informatica Allocazione delle responsabilità di sicurezza informatica Processo di autorizzazione per gestire le strutture di sicurezza informatica Accordi di confidenzialità Contatti con le Autorità Contatti con gruppi si interesse speciale Revisioni indipendenti della sicurezza informatica 99

100 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.2 ENTITA ESTERNE ALL ORGANIZZAZIONE Identificazione dei rischi collegati a entità esterne Definire le problematiche di sicurezza delle informazioni nel caso di rapporti con i clienti Definire le problematiche di sicurezza delle informazioni nel caso di accordi con terze parti 100

101 7 GESTIONE DEGLI ASSET 7.1 RESPONSIBILITA PER GLI ASSETS Inventario degli asset Possesso degli asset Uso accettabile degli asset 7.2 CLASSIFICAZIONE DELLE INFORMAZIONI Linee guida sulla Classificazione Etichettatura e gestione delle informazioni 101

102 8 SICUREZZA DELLE RISORSE UMANE 8.1 PRIMA DELL ASSUNZIONE Ruoli e Responsabilità Selezione Termini e condizioni di assunzione 8.2 DURANTE L IMPIEGO Responsabilità di Management Consapevolezza, educazione ed addestramento sulla Sicurezza Informatica Processi disciplinari 102

103 8 SICUREZZA DELLE RISORSE UMANE 8.3 FINE O CAMBIO DI IMPIEGO Responsabilità per interruzione del rapporto lavorativo Restituzione dei beni aziendali Revoca dei diritti di accesso 103

104 9 SICUREZZA FISICA ED AMBIENTALE 9.1 AREE SICURE Sicurezza fisica perimetrale Controllo fisico degli accessi Rendere sicuri uffici, stanze e strutture Proteggersi contro pericoli esterni ed ambientali Lavorare in aree sicure Accesso pubblico ad aree di carico e scarico 104

105 9 SICUREZZA FISICA ED AMBIENTALE 9.2 SICUREZZA DELLE APPARECCHIATURE Posizionamento e protezione delle apparecchiature Utilità di supporto Sicurezza dei cavi Manutenzione degli apparati Sicurezza degli apparati esterni ai locali dell organizzazione Smaltimento sicuro o riuso di apparecchiature Rimozione di proprietà 105

106 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.1 PROCEDURE OPERATIVE E RESPONSABILITÀ procedure operative documentate Gestione dei cambiamenti Separazione dei compiti Separazione delle strutture di sviluppo, test ed utilizzo 106

107 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.2 Gestione dei Servizi effettuati da Terze Parti Classificazione dei Servizi Monitoraggio e revisione dei servi offerti da terze parti Gestione dei cambiamenti nei servizi offerti da terze parti 10.3 Pianificazione e approvazione dei sistemi Capacità Manageriale Approvazione dei Sistemi 107

108 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.4 PROTEZIONE CONTRO CODICE MALEVOLO E MOBILE Controllo del codice malevolo Controllo contro il codice mobile 10.5 BACK-UP Back-up delle informazioni 10.6 GESTIONE DELLA SICUREZZA DELLA RETE Controllo della Rete Sicurezza dei servizi di rete 108

109 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.7 GESTIONE DEI SUPPORTI Gestione dei supporti removibili Disposizione dei supporti Procedura per maneggiare le informazioni Sicurezza della documentazione del sistema 10.8 SCAMBIO DI INFORMAZIONI Procedure e politiche di scambio di informazioni Accordi di scambio Trasporto di supporti fisici Messaggistica elettronica Sistemi di informazioni di business 109

110 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.9 SERVIZI DI COMMERCIO ELETTRONICO Commercio Elettronico Transazioni On-Line Informazioni pubblicamente disponibili MONITORAGGIO Log delle Audit Monitoraggio dell uso del sistema Protezione delle informazioni di log Log degli operatori e dell amministratore Log degli errori Sincronizzazione degli orologi 110

111 11 CONTROLLO DEGLI ACCESSI 11.1 REQUISITI DI BUSINESS PER IL CONTROLLO DEGLI ACCESSI Politiche di controllo degli accessi 11.2 GESTIONE DELL ACCESSO UTENTI Registrazione utente Gestione dei privilegi Gestione della password utente Revisione dei diritti di accesso utente 11.3 RESPONSABILITÀ UTENTE Uso della password Apparecchiature utente non vigilate Politica della scrivania pulita e dello schermo pulito 111

112 11 CONTROLLO DEGLI ACCESSI 11.4 CONTROLLO DI ACCESSO ALLA RETE Politica sull uso dei servizi di rete Autenticazione utente per connessioni esterne Identificazione degli appartati sulla rete Protezione dalla diagnostica remota e dalla configurazione delle porte Segregazione delle reti Controllo delle connessioni di rete Controllo dell indirizzamento di rete 112

113 11 CONTROLLO DEGLI ACCESSI 11.5 CONTROLLO DI ACCESSO AL SISTEMA OPERATIVO Procedure sicure di log-on Identificazione ed autenticazione utente Sistemi di gestione delle password Uso di utility di sistema Time-out di sessione Limitazione sul tempo di connessione 11.6 CONTROLLO DI ACCESSO AD APPLICAZIONI ED INFORMAZIONI Restrizione di accesso alle informazioni Isolamento di sistemi sensibili 11.7 MOBILE COMPUTING E TELELAVORO Mobile computing e comunicazioni Telelavoro 113

Elementi di Sicurezza e Privatezza

Elementi di Sicurezza e Privatezza Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez. 15-16 1 I documenti di riferimento 2 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ

BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ Angela Pietrantoni Managing Director cienze per la sicurezza consulting Garantire

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI 1 Per conto di AICQ CN 1 Autore dr. Giovanni Mattana Presidente AICQ CentroNord PECULIARITÀ DELLA NORMA Scopo della presente scheda è quello di attirare l attenzione sull importanza di questa norma e sintetizzarne

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia con il sostegno di propongono il percorso formativo RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia sede del corso: ISFOR 2000, via Pietro Nenni 30, Brescia periodo

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA

CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA Fabrizio Matta Direttore Servizi ICT Security Management and Consulting Business-e ITWay group In questa sessione impareremo a: Definire

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza Unità Didattica S ISO 27001 SGSI Docente: Ing. Rutilio Mazza Cosa significa SGSI Sistema (modo di operare - metodo) Gestione (organizzazione - coordinamento di risorse in processi e attività) Sicurezza

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web

Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web 1 INDICE 1. DESCRIZIONE DEL SERVIZIO 3 2. SLA RELATIVO ALLA INFRASTRUTTURA PRIMARIA 3 2.1. Dati di targa... 3 2.2. Banda virtuale

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Indice Il Processo di Security Governance l analisi e gestione del

Dettagli

L importanza di una corretta impostazione delle politiche di sicurezza

L importanza di una corretta impostazione delle politiche di sicurezza La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza

Dettagli

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEGLI STUDI LEGALI (DPS) Redatto ai sensi e per gli effetti dell art. 34, c. 1, lett. g) del D.Lgs 196/2003 e del

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

XXVII Convegno Nazionale AIEA

XXVII Convegno Nazionale AIEA XXVII Convegno Nazionale AIEA Classificazione delle Informazioni e Data Loss Prevention Impatti normativi da governare Milano, 3 Ottobre 2013 Giuseppe Blasi Alessandro Santacroce 0 2013 Protiviti S.r.l.

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

ISACA VENICE MEETING 2014

ISACA VENICE MEETING 2014 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto

Dettagli

tt CLOUD THINK HIGHER WORK LIGHTER

tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD SERVIZI DI HOSTING Oggi sono sempre di più le piccole e medie imprese che scelgono di virtualizzare la capacità di un server e le applicazioni aziendali risparmiando

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli