Elementi di Sicurezza e Privatezza

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Elementi di Sicurezza e Privatezza"

Transcript

1 Elementi di Sicurezza e Privatezza Proteggere le informazioni: aspetti organizzativi Lez

2 La Sicurezza delle Informazioni Risorse a Supporto dell Informazione le risorse umane le infrastrutture (ossia i siti fisici e tutte le attrezzature a supporto delle strutture) la tecnologia (hardware, software, network, etc ) Fattore critico: le risorse umane fondamentali per l'uso della tecnologia 2

3 Sistema di ges5one della sicurezza Necessità di implementare modalità di gestione complessiva della sicurezza delle informazioni in azienda, che non comprenda i soli aspetti tecnici Necessità di definire un sistema di gestione della sicurezza delle informazioni (SGSI), comprendente aspetti organizzativi e gestionali, oltre ad aspetti tecnici Non solo l applicazione di strumenti più appropriati al singolo obiettivo di protezione (introduzione di firewall, antivirus, backup, ecc.) 3

4 Sicurezza delle Informazioni vs. Sicurezza Informatica IT Governance Sicurezza dell Informazione Sicurezza Informatica 4

5 Lo standard ISO 27001:2005 La normativa ISO detta i requisiti per realizzare un Sistema di Gestione della Sicurezza delle Informazioni e riprende alcuni dei concetti dello standard ISO 9001 Lo standard si basa su due concetti (come ISO 9000) Politica di sicurezza Sistema di governo della sicurezza 5

6 Poli5ca e Governo Specificazione ad alto livello degli obiettivi per la sicurezza che l organizzazione si propone di conseguire Complesso di procedure per il governo della sicurezza attuato e mantenuto dall organizzazione per garantire nel tempo il soddisfacimento della politica della sicurezza (SGSI) 6

7 Cosa dobbiamo proteggere? Le informazioni I beni della azienda (asset) Il software proprietario dell azienda Per salvaguardare: Il business della azienda L immagine della azienda La reputazione della azienda Tutto ciò che ci viene richiesto dai vincoli legali (vedi D. lgs. 196/03: Codice in materia di dati personali) 7

8 Come gestiamo? L implementazione e la manutenzione di un sistema di IT Governance secondo lo standard ISO prevedono quattro fasi cicliche, che si ripetono continuamente: pianificazione (plan) a-uazione (do) monitoraggio (check) miglioramento (correct o act) 8

9 Come pianifico gli interventi L informazione è un bene Devo definirne il valore (soggettivo) Devo valutare il rischio associato a tale bene Valutazione delle minacce, dell impatto, delle vulnerabilità delle informazioni Devo stimare la probabilità di accadimento di ciascun rischio Devo calcolare il danno stimato in caso di incidente Cioè devo fare una risk analysis 9

10 Istituire la politica, gli obiettivi, i processi e le procedure per la sicurezza rilevanti per la gestione del rischio e il miglioramento della sicurezza Attuazione (DO) Attuare e operare la politica, i controlli, i processi e le procedure per la sicurezza Requisiti PDCA Pianificazione (PLAN) Ciclo PDCA Monitoraggio (CHECK) 10 Miglioramento (ACT) Intraprendere azioni correttive e preventive basandosi sui risultati del riesame da parte delle direzione per conseguire il miglioramento continuo di SGSI Valutare e misurare le prestazioni dei processi sulla base della politica e degli obiettivi per la sicurezza e dell esperienza, riportando alla direzione i risultati

11 ASPETTI ORGANIZZATIVI 11

12 I ruoli della Information Security Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 12

13 Le figure professionali Un organizzazione ha solitamente diverse persone a cui affida responsabilità nel settore della sicurezza delle informazioni Questi alcuni dei nomi più diffusi: Chief Information Security Officer (CISO) Security manager Security administrator e analyst Security tech Security staff 13

14 I ruoli 14

15 Security Staff in un organizzazione molto grande 15

16 Security Staff in un organizzazione medio/grande 16

17 Security Staff in una piccola organizzazione 17

18 Dove posizionare la sicurezza ICT? Nelle grandi organizzazioni: InfoSec viene localizzata di solito all interno delle divisioni IT Il responsabile è il CISO che riporta direttamente al CIO o al CEO Va però detto che spesso per gli scopi e le attività svolte, la divisione Infosec contrasta con la divisione IT Di fatto le soluzioni aodttate da varie organizzazioni sono tra le più disparate 18

19 All interno della divisione IT 19

20 All interno della divisione Sicurezza 20

21 All interno della divisione servizi amministrativi 21

22 All interno della divisione Affari Legali From Information Security Roles and Responsibilities Made Easy, used with permission. 22

23 ANALISI DEI RISCHI 23

24 Rischio per un organizzazione La possibilità di subire una perdita Essenziale per progredire La sfida è saper gestire il rischio Indici utili Esposizione al rischio RE p (di un evento inatteso) x perdita associata Risk ReductionLeverage RRL = (Re before Re after ) / costo dell intervento 24

25 Quali rischi Operational Hazard Physical Strategic Capital / resource allocation Industry / competitors Technological Databases Security Confidential information Stakeholder Legal Compliance Regulatory Financial Capital markets Credit risks Taxes Human capital Retention Training Reputational

26 Sicurezza come rischio La sicurezza COSTA non solo in termini di denaro ma anche di: Tempo Privacy Flessibilità Convenienza Maggiore sicurezza implica maggiori costi (non vale il viceversa!!!) 26

27 Conseguenze La quantità di sicurezza che inserisco in un sistema dipende dai costi che sono disponibile a sostenere Non sempre sarò in grado di ottenere il massimo livello di sicurezza 27

28 Sicurezza come processo La messa in sicurezza di un sistema diventa allora un attività molto complessa, in cui vanno progettate, stimate e implementate misure di varia natura (tecnologiche, organizzative e sociali) Tenendo conto di una serie di vincoli di varia natura: economica, politica, legale e sociale La sicurezza di un sistema è spesso ottenuta con l adozione simultanea di diversi strumenti e strategie 28

29 Analisi del rischio Strumento usato estensivamente in fase di pianificazione come strumento di supporto alle decisioni Obiettivo: stimare le perdite associate ad errori/eventi anomali che possono verificarsi in un sistema Esistono diverse metodologie per svolgere l analisi dei rischi: Quantitative Qualitative 29

30 I beni da proteggere Primari Dati/Programmi Servizi/Processi Secondari Vite umane Tempo Denaro Privacy 30

31 I Rischi Perdita d immagine verso l opinione pubblica Perdita d immagine verso i propri clienti Perdita del competitive advantage Furto di Informazioni sensibili Blocco di attività critiche Mancato rispetto di regole contrattuali Coinvolgimento in procedimenti processuali Danneggiamento degli asset Mancato rispetto di leggi e regolamenti 31

32 I ritorni Risparmi nelle seguenti aree: Incident recovery Business continuity Downtime recovery Minori perdite dati Salvaguardia dell immagine dell azienda Riduzione downtime Razionalizzazione della struttura organizzativa 32

33 Annual Loss Expectancies La tecnica quantitativa più diffusa per associare una quantità all avverarsi di un certo evento catastrofico è basata sul calcolo dell ALE ALE = perdita attesa nel caso in cui si verificano certi evento Esempio: il black out di un server costa ad un azienda /giorno, il guasto si verifica mediamente una volta ogni due anni, quindi ALE in un anno

34 La valutazione quantitativa: ALE Asset1 Asset2 Asset3 Asset4 TOTAL Threat1 ALE11 ALE12 ALE13 ALEt1 Threat2 ALE21 ALE22 ALE23 ALEt2 Threat3 TOTAL ALEa1 ALEa2 ALE 34

35 Svantaggi Non consente di valutare gli asset intangibili Valutazione del danno solo economica Labour Intensive Time Consuming 35

36 Risk Analysis Qualitativa Utilizzo di scala qualitativa per la valutazione di asset, minacce, vulnerabilità, rischi 1-10 LOW, Medium, High Very low, Low, Medium, High, Very High 36

37 La valutazione qualitativa Matrice di correlazione tra: valore dell asset (1-10) livello della minaccia (VL, L, M, H, VH) livello delle vulnerabilità (L, M, H) Valore del rischio (1-7) esplicitato per ogni asset in relazione ai livelli di minaccia, vulnerabilità e valore dell asset 37

38 Matrice del Rischio : Qualitativa Asset Threat à Very Low Low Very High Vuln y à L M H L M H L

39 Esempio valutazione qualitativa Asset: sito web Minaccia: SQL injection Vulnerabilità: Bad code Rischio: furto di informazioni riservate Valore minaccia: M Valore vulnerabilità: L Valore Asset: 7 VALORE RISCHIO: 5 39

40 Vantaggi Meno Labour Intensive and Time Consuming Piu versatile: valutazione beni intangibili valutazione impatti anche non economici applicabile anche a sistemi informativi in divenire 40

41 Matrice del rischio

42 Altri metodi di Risk Analysis Check List Questionari Visualizzazioni RABWA Indicatori 42

43 Gestione del rischio Una volta individuati i rischi ed averne stimato la portata è necessario decidere cosa fare per ciascuno degli elementi presenti nella matrice del rischio: Evitare Accettare Trasferire Ridurre 43

44 Schema di riferimento Danno : Valore Impatto Trasferire Accettare Evitare Ridurre Probabilità (M,V) 44

45 I DOCUMENTI 45

46 I documenti di riferimento 46

47 L audience 47

48 Politiche, Standard, e Linee guida Nell ambito di (NIST ) è fortemente consigliata la realizzazione di tre tipi di politiche: Enterprise information security program Issue-specific information security policy Systems-specific information security policy 48

49 Politiche, Standard, & Linee Guida Policy: un insieme di indicazioni e regole che indicano quali sono le aspettative del management in termini di sicurezza informatica Standard: un documento più dettagliato rispetto alla policy, che da indicazioni più precise sulle attività da svolgere Procedure e linee guida: spiegano le diverse attività da svolgere, le modalità con cui realizzarle, nonché dettano norme comportamentali 49

50 Enterprise Information Security Policy (EISP - Policy) Detta la linea strategica, e gli obiettivi principali a cui devono essere orientati gli investimenti dell azienda in termini di sicurezza Il documento viene solitamente predisposto dal CISO e CIO Documento di alto livello; 2-10 pagine Assegna le responsabilità per i vari settori della sicurezza ICT, compresi La manutenzione delle politiche di sicurezza Training e supporto agli utenti ifnali Fornisce lineee guida per Lo sviluppo, l implementazione e la gestione di tutte le attività rigurdanti la sicurezza informatica 50

51 EISP EISP deve contenere: L indicazione degli obiettivi strategici della Sicurezza Ict in azienda Indicazioni sulla struttura organizzativa che si vuole predisporre per raggiungere gli obiettivi su prefissati Ruoli e responsabilità di tutte le persone coinvolte, sottolineando le responsabilità personali Previsioni di budget 51

52 Issue-Specific Security Policy (ISSP -Standard) Tre caratteristiche principali: Affronta problematiche legate alla tecnologia Richiede aggiornamenti frequenti Viene predisposta a partire da un problema sollevato in ambito di policy generale Argomenti tipici: Uso , Uso Internet e World Wide Web, Configurazione minima per la difesa contro malware, Divieti sull uso di particolari tool o procedure (penetration testing, etchical hacking) Uso risorse informatiche aziendali 52

53 Componenti di una ISSP Scopo Scopo e dominio di riferimento Definizione della tecnologia analizzata Responsabilità Accesso e uso della tecnologia Modalità d accesso degli utenti Modalità d uso accettate Protezione della Privacy Usi vietati della tecnologia Atti vandalici Atti criminali Violazione Copyrighte leggi sulla proprietà intellettuale Altre restrizioni 53

54 Componenti di una ISSP (Continua) System Management Gestione del materiale memorizzato Controllo dipendenti Virus Protection Sicurezza Fisica Encryption Violazione della politica of Policy Procedure per riportare violazioni della politica Provvedimenti disciplinari per violazioni Aggiornamenti e modifiche Programma per la revisione e modifica della politica Vincoli sulle responsabilità Dichiarazioni circa l esclusione di responsabilità 54

55 Quante ISSP? Tre approcci: Un ISSP per ogni tecnologia da gestire/trattare Un ISSP generico per tutte le tecnologie Un documento modulare formato da tanti capitoli gestito centralmente 55

56 Systems-Specific Policy (SysSP Linee guida) Essenzialmente dei documenti che servono come standard o linee guida per la configurazione e gestione di sistemi Formati da due componenti: Direttive generali Specifiche tecniche 56

57 Direttive generali Scritte dal management di II livello Danno indicazioni generali sulle modalità con cui procedere alla gestione manutenzione dei sistemi, nonché sulle responsabilità dei sysadmin 57

58 Specifiche Tecniche Specificano il modo effettivo con cui mettere in opera le direttive che provengono dal management Due metodi generali: Access control lists Configuration rules 58

59 CONTINGENCY PLAN 59

60 Che cos è il Contingency Plan? Contingency plannining (CP) Progettare le attività per gestire un evento inatteso e dannoso per l organizzazione RILEVARE, RISPONDERE (react) e RIPRISTINARE il sistema da eventi che ne hanno la sicurezza delle risorse e delle informazioni Obiettivo principale: Ripristinare nel minor tempo possibile e con il minimo costo, la modalità operativa normale a seguito di un attacco distruttivo 60

61 Introduzione Quando la tecnologia viene messa fuori uso e le normali attività dell organizzazione rischiano il collasso è necessario disporre di una serie di procedure che consentano all organizzazione di continuare a svolgere almeno le funzioni essenziali Più del 40% delle organizzazioni vittime di un evento anomalo, che non avevano predisposto un CP sono fallite nell arco di un anno dall evento 61

62 CP: componenti Incident response (IRP) Focalizzato sulla risposta immediata Disaster recovery (DRP) Focalizzato sul restore delle operazioni dopo che il disastro è avvenuto Business continuity (BCP) Focalizzato sulla ripresa delle operazioni su un sito remoto, in attesa del ripristino del sito originale 62

63 Timeline 63

64 CP contenuti Al fine di predisporre un CP è necessario: Sulla base del core business dell organizzazione identificare le funzioni critiche allo svolgimento dello stesso Identificare le risorse che supportano lo svolgimento delle funzioni critiche Prevedere potenziali criticità o disastri che possono affliggere tali risorse Selezionare i piani di recupero Implementare tali piani Testare e revisionare periodicamente i piani 64

65 CP: operativamente Nel contingency planning sono coinvolte 4 tipi di professionalità: CP team Incident recovery (IR) team Disaster recovery (DR) team Business continuity plan (BC) team 65

66 Incident Response Plan IRP: Insieme dettagliato di processi e procedure che descrivono gli eventi inattesi che possono compromettere risorse e sistemi, ed indicano anche come rilevare e mitigare gli stessi Incident response (IR): Insieme di procedure da attivare nel momento in cui viene rilevato un incidente 66

67 Incident Response Plan (Continua) Una minaccia diventa un attacco e quindi un incidente di sicurezza ICT quando: È diretta contro sistemi informatici Ha una certa probabilità di essere eseguita con successo Minaccia confidenzialità, integrità e disponibilità IR è una misura reattiva non preventiva 67

68 Incident Response Plan Deve contenere procedure che specificano: Cosa fare per rilevare un incidente (Detection phase) Cosa fare quando un incidente si è verificato (Reaction phase) Come ripristinare il tutto (Recovery phase) Post mortem 68

69 Detection Come rilevare un possibile tentativo di intrusione Report dagli utilizzatori dei sistemi, allarmi degli IDS, antivirus, Log correlation, ecc. Fondamentale il coinvolgimento degli utenti finali Problema Definire il limite entro cui un evento sospetto diventa attacco Incident classification: Una volta individuato un evento anomalo è necessaria una sua classificazione al fine di individuare le casistiche più adeguate per il suo trattamento 69

70 Reaction Una volta che un incidente è stato dichiarato e classificato è necessario avviare la procedura di reazione Allertare persone e organizzazioni chiave Contenere gli effetti dell attacco: circoscriverne la diffusione e possibilmente bloccarlo 70

71 Strategie di contenimento Disconnettere i sistemi coinvolti Modificare dinamicamente le regole di accesso al firewall Disabilitare gli account compromessi Disabilitare servizi compromessi o in odore di Disconettere server Disconettere l intera rete aziendale 71

72 Documentazione Immediamente dopo aver attivato la fase di reazione è necessario avviare la fase di documentazione dell incidente: È necessario tenere traccia di tutte le azioni intraprese durante la gestione dell incidente in particolare di ogni attiivtà è necessario indicare chi, cosa, quando, dove e perchè Serve per l analisi post-mortem 72

73 Recovery Incident Recovery Inizia quando un attacco è stato contenuto e IRT ha ripreso il controllo della situazione A questo punto è necessario determinare l estensione del danno e individuare tutti i sistemi coinvolti ed il livello di danno subito Tutti questi elementi vanno accuratamente documentati e in caso di causa civile e/o penale è necessario conservare l evidenza dei danni subiti 73

74 Recovery Il processo di recovery consiste in: Identificare e risolvere le vulnerabilità che hanno consentito il verificarsi dell attacco Individuare criticità nei sistemi di protezione che non hanno consentito agli stessi di rilevare l attacco Eventualmente installare nuovi sistemi di monitoring e detection 74

75 Recovery (Continua) Ripristinare dati dai back-up Ripristinare processi e sistemi che si sono disabilitati durante la gestione dell incidente Continuare a monitorare il sistema Ripristinare la confidenza nel sistema da parte degli utenti finali e della parti coinvolte nell incidente 75

76 Post-mortem Al termine dell attività di recovery, IRT deve analizzare attentamente tutte le fasi della gestione dell incidente al fine di individuare eventuali criticità che fossero emerse durante le diverse fasi di gestione dell incidente per un loro miglioramento 76

77 Law Enforcement Un attacco informatico di norma è un reato previsto da nostro codice penale e come tale va denunciato all autorità giudiziaria 77

78 Escalation Durante la gestione di un incidente l IRP può realizzare di non essere più in grado di contenerne gli effetti che possono estendersi anche ad altre organizzazioni È compito di chi prepara il CP determinare il punto in cui un incidente diventa un disastro 78

79 DISASTER RECOVERY 79

80 Disaster Recovery DRP Preparazione al recovery del sistema dopo un disastro naturale o artificiale Un incidente diventa un disastro quando: L organizzazione non è in grado di controllare o contenere gli effetti dell attacco Il livello di danno e distruzione dell attacco è così severo che l organizzazione non è nemmeno in grado di mettere in atto le procedure di recovery Scopo primario del DRP: ristabilire l operatività del sistema danneggiato 80

81 Classificazione dei disastri Naturali vs. generati dall uomo (la più comune) Velocità di propagazione: Rapidi: terremoti, incendi, alluvioni, black-out Lenti: degrado ambientale, deforestazione, carestie, ecc 81

82 Pianificare i disastri Classificare i potenziali disastri in funzione dell impatto Esistono a questo proposito opportune metodologie di impact analysis Punti chiave di un DRP: Chiara definizione di ruoli e responsabilità Elenco delle entità da allertare e coinvolgere Chiara definizione delle priorità Documentazione del disastro Attività di mitigazione dell impatto Alternative implementative dei sistemi critici Il DRP va testato periodicamente 82

83 Crisis Management DRP potrebbe fare riferimento ad un processo di CM Insieme di attività intraprese durante e dopo il disastro per assistere le persone coinvolte Attività tipiche di un team di crisis management: Supporto a persone e loro familiari durante la crisi Stabilire l impatto del disastro sulle normali attività ed eventualmente dichiarare lo stato di crisi Comunicare con il mondo esterno 83

84 Respondere al disastro Nella realtà gli eventi catastrofici possono superare ogni previsione DRP deve essere flessibile a configurabile a situazioni non previste Quando un disastro minaccia le sedi operative e più importanti di un organizzazione DRP diventa anche BCP 84

85 Business Continuity Planning (BCP) Garantire che un organizzazione possa continuare ad erogare e svolgere le sue funzioni primarie anche a fronte di un disastro È necessaria quindi un analisi preliminare per l identificazione di queste funzionalità e delle infrastrutture di supporto Solitamente effettuato di concerto con CEO Si attiva e viene eseguito concorrentemente con DRP Ristabilisce le funzioni primarie in siti alternativi (DRP è invece concentrato sul recupero delle funzioni sul luogo in cui avviene il disastro) 85

86 BCP: problematiche I costi sono sempre un fattore determinante per la selezione della soluzione più appropriata Opzioni per siti alternativi ad uso esclusivo: Hot site Warm site Cold site Opzioni per siti alternativi ad uso condiviso : Timeshare Service bureau Mutual agreement 86

87 Hot Sites Uso esclusivo Computer facility completamente configurate a replica dei servizi da rimpiazzare Warm Sites Come sopra, ma con servizi sw non completamente allineati Cold Sites Si predispone un sotto insieme di sistemi in grado di ospitare, quando necessario, i servizi da rimpiazzare 87

88 Uso condiviso Timeshare Sito dedicato ma preso in affitto Service Bureau Agenzie che forniscono HW su richiesta Mutual Agreement Contratti con altre organizzazioni per mutua assistenza in caso di disastro Altre soluzioni: Siti mobili Risorse di memorizzazione esterne 88

89 Dati Affinché un BCP possa entrare in azione il più velocemente possibile, è necessario che l organizzazione coinvolta disponga nel sito remoto dei dati necessari Le possibili opzioni sono: Electronic vaulting: batch-transfer dei dati al sito remoto, anche su base periodica Remote Journaling: trasferimento in tempo reale delle transazioni, sul sito remoto Database shadowing: copia integrale e in tempo reale dei dati critici 89

90 Standard Per facilitare la realizzazione dei documenti legati ad un piano della sicurezza, sono state proposte e sono in continua revisione una serie di metodologie ISO RFC 2196 NIST SP 90

91 STANDARD 91

92 ISO Nasce a partire da una metodologia molto discussa e molto diffusa in Europa BS 7799:1 Information Technology Code of Practice for Information Security Management, Originariamente nota come British Standard BS 7799 Ora ISO 27001:2005 BS 7799:2 Information Security Management: Specification with Guidance for Use, ora ISO 17799:1 Scopo: Fornire raccomandazione a tutti coloro che devono predisporre, implementare o gestire un sistema per la gestione della sicurezza delle informazioni e dei sistemi in una organizzazione 92

93 BS 7799 (II) Volume 2 Fornisce indicazioni su come implementare effettivamente quanto descritto nel volume I Come predisporre una Information Security Management Structure (ISMS) Noto anche come ISO Questo standard non è stato adottato tra gli altri, da USA, Germania, Giappone 93

94 RFC 2196 Site Security Handbook RFC 2196 Creato dal Security Area Working Group di IETF Contiene discussione e suggerimenti sulle più importanti problematiche relative alla sicurezza, con suggerimenti in merito alla loro implementazione Aspetti considerati security policies, security technical architecture, security services, and security incident handling 94

95 NIST Security Models Il NIST ha predisposto una serie di documenti pubblici che affrontano con diversi livelli di approfondimento diverse tematiche: SP , Computer Security Handbook SP , Generally Accepted Security Principles & Practices SP , Guide for Developing Security Plans SP , Security Self-Assessment Guide-IT Systems SP , Risk Management for Information Technology Systems SP , Recommended Security controls for. La standard de facto per la PA statunitense 95

96 ISO 27002:2005 (EX ISO 17799) 96

97 Le dieci sezioni di ISO/IEC Organizational Security Policy 2. Organizational Security Infrastructure objectives 3. Asset Classification and Control 4. Personnel Security objectives 5. Physical and Environmental Security objectives 6. Communications and Operations Management objectives 7. System Access Control objectives 8. System Development and Maintenance objectives 9. Business Continuity Planning 10. Compliance objectives 97

98 Organizational security policy 5.1 POLITICHE DI SICUREZZA INFORMATICA Documentazione sulle politiche di Sicurezza Informatica Revisione delle informazioni sulla Sicurezza Informatica 98

99 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.1 ORGANIZZAZIONE INTERNA Impegni del management per la sicurezza informatica Coordinamento delle attività di sicurezza informatica Allocazione delle responsabilità di sicurezza informatica Processo di autorizzazione per gestire le strutture di sicurezza informatica Accordi di confidenzialità Contatti con le Autorità Contatti con gruppi si interesse speciale Revisioni indipendenti della sicurezza informatica 99

100 6 ORGANIZZARE LA SICUREZZA INFORMATICA 6.2 ENTITA ESTERNE ALL ORGANIZZAZIONE Identificazione dei rischi collegati a entità esterne Definire le problematiche di sicurezza delle informazioni nel caso di rapporti con i clienti Definire le problematiche di sicurezza delle informazioni nel caso di accordi con terze parti 100

101 7 GESTIONE DEGLI ASSET 7.1 RESPONSIBILITA PER GLI ASSETS Inventario degli asset Possesso degli asset Uso accettabile degli asset 7.2 CLASSIFICAZIONE DELLE INFORMAZIONI Linee guida sulla Classificazione Etichettatura e gestione delle informazioni 101

102 8 SICUREZZA DELLE RISORSE UMANE 8.1 PRIMA DELL ASSUNZIONE Ruoli e Responsabilità Selezione Termini e condizioni di assunzione 8.2 DURANTE L IMPIEGO Responsabilità di Management Consapevolezza, educazione ed addestramento sulla Sicurezza Informatica Processi disciplinari 102

103 8 SICUREZZA DELLE RISORSE UMANE 8.3 FINE O CAMBIO DI IMPIEGO Responsabilità per interruzione del rapporto lavorativo Restituzione dei beni aziendali Revoca dei diritti di accesso 103

104 9 SICUREZZA FISICA ED AMBIENTALE 9.1 AREE SICURE Sicurezza fisica perimetrale Controllo fisico degli accessi Rendere sicuri uffici, stanze e strutture Proteggersi contro pericoli esterni ed ambientali Lavorare in aree sicure Accesso pubblico ad aree di carico e scarico 104

105 9 SICUREZZA FISICA ED AMBIENTALE 9.2 SICUREZZA DELLE APPARECCHIATURE Posizionamento e protezione delle apparecchiature Utilità di supporto Sicurezza dei cavi Manutenzione degli apparati Sicurezza degli apparati esterni ai locali dell organizzazione Smaltimento sicuro o riuso di apparecchiature Rimozione di proprietà 105

106 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.1 PROCEDURE OPERATIVE E RESPONSABILITÀ procedure operative documentate Gestione dei cambiamenti Separazione dei compiti Separazione delle strutture di sviluppo, test ed utilizzo 106

107 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.2 Gestione dei Servizi effettuati da Terze Parti Classificazione dei Servizi Monitoraggio e revisione dei servi offerti da terze parti Gestione dei cambiamenti nei servizi offerti da terze parti 10.3 Pianificazione e approvazione dei sistemi Capacità Manageriale Approvazione dei Sistemi 107

108 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.4 PROTEZIONE CONTRO CODICE MALEVOLO E MOBILE Controllo del codice malevolo Controllo contro il codice mobile 10.5 BACK-UP Back-up delle informazioni 10.6 GESTIONE DELLA SICUREZZA DELLA RETE Controllo della Rete Sicurezza dei servizi di rete 108

109 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.7 GESTIONE DEI SUPPORTI Gestione dei supporti removibili Disposizione dei supporti Procedura per maneggiare le informazioni Sicurezza della documentazione del sistema 10.8 SCAMBIO DI INFORMAZIONI Procedure e politiche di scambio di informazioni Accordi di scambio Trasporto di supporti fisici Messaggistica elettronica Sistemi di informazioni di business 109

110 10 GESTIONE DELLE COMUNICAZIONE E DELLE OPERAZIONI 10.9 SERVIZI DI COMMERCIO ELETTRONICO Commercio Elettronico Transazioni On-Line Informazioni pubblicamente disponibili MONITORAGGIO Log delle Audit Monitoraggio dell uso del sistema Protezione delle informazioni di log Log degli operatori e dell amministratore Log degli errori Sincronizzazione degli orologi 110

111 11 CONTROLLO DEGLI ACCESSI 11.1 REQUISITI DI BUSINESS PER IL CONTROLLO DEGLI ACCESSI Politiche di controllo degli accessi 11.2 GESTIONE DELL ACCESSO UTENTI Registrazione utente Gestione dei privilegi Gestione della password utente Revisione dei diritti di accesso utente 11.3 RESPONSABILITÀ UTENTE Uso della password Apparecchiature utente non vigilate Politica della scrivania pulita e dello schermo pulito 111

112 11 CONTROLLO DEGLI ACCESSI 11.4 CONTROLLO DI ACCESSO ALLA RETE Politica sull uso dei servizi di rete Autenticazione utente per connessioni esterne Identificazione degli appartati sulla rete Protezione dalla diagnostica remota e dalla configurazione delle porte Segregazione delle reti Controllo delle connessioni di rete Controllo dell indirizzamento di rete 112

113 11 CONTROLLO DEGLI ACCESSI 11.5 CONTROLLO DI ACCESSO AL SISTEMA OPERATIVO Procedure sicure di log-on Identificazione ed autenticazione utente Sistemi di gestione delle password Uso di utility di sistema Time-out di sessione Limitazione sul tempo di connessione 11.6 CONTROLLO DI ACCESSO AD APPLICAZIONI ED INFORMAZIONI Restrizione di accesso alle informazioni Isolamento di sistemi sensibili 11.7 MOBILE COMPUTING E TELELAVORO Mobile computing e comunicazioni Telelavoro 113

Elementi di Sicurezza e Privatezza

Elementi di Sicurezza e Privatezza Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez. 15-16 1 I documenti di riferimento 2 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Indice Il Processo di Security Governance l analisi e gestione del

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI

Information technology (IT) Techniche per la sicurezza RACCOLTA DI PRASSI SUI CONTROLLI PER LA SICUREZZA DELLE INFORMAZIONI 1 Per conto di AICQ CN 1 Autore dr. Giovanni Mattana Presidente AICQ CentroNord PECULIARITÀ DELLA NORMA Scopo della presente scheda è quello di attirare l attenzione sull importanza di questa norma e sintetizzarne

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza Unità Didattica S ISO 27001 SGSI Docente: Ing. Rutilio Mazza Cosa significa SGSI Sistema (modo di operare - metodo) Gestione (organizzazione - coordinamento di risorse in processi e attività) Sicurezza

Dettagli

BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ

BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ Angela Pietrantoni Managing Director cienze per la sicurezza consulting Garantire

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro

HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro HR e nuove tecnologie l impatto delle tecnologie sull organizzazione del lavoro venerdì 30 Marzo dalle ore 17.00 alle ore 20.00 CNR di Genova Torre di Francia, via De Marini n.6 (11 piano) LA NORMA ISO

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

ISACA VENICE MEETING 2014

ISACA VENICE MEETING 2014 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

La Sicurezza ICT e la difesa del patrimonio informativo

La Sicurezza ICT e la difesa del patrimonio informativo La Sicurezza ICT e la difesa del patrimonio informativo Danilo Bruschi Dip. di Informatica e Comunicazione Università degli Studi di Milano bruschi@dico.unimi.it Argomenti Trattati Un po di storia Le reti

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

(CAI) e ISO/IEC 17799: un metodo di verifica

(CAI) e ISO/IEC 17799: un metodo di verifica 1/50 Centrale d Allarme d Interbancaria (CAI) e ISO/IEC 17799: un metodo di verifica Roma, 25 novembre 2003 Agatino Grillo, CISA, CISSP EUROS Consulting 2/50 Sommario CAI - Centrale d Allarme Interbancaria

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Proteggere il proprio Business con BSI.

Proteggere il proprio Business con BSI. Proteggere il proprio Business con BSI. Siamo i maggiori esperti nello standard ISO/IEC 27001, nato dalla nostra norma BS 7799: è per questo che CSA ci ha coinvolto nello sviluppo della Certificazione

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

L importanza di una corretta impostazione delle politiche di sicurezza

L importanza di una corretta impostazione delle politiche di sicurezza La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA

CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA Fabrizio Matta Direttore Servizi ICT Security Management and Consulting Business-e ITWay group In questa sessione impareremo a: Definire

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Le Soluzioni IBM per la continuità operativa

Le Soluzioni IBM per la continuità operativa Le Soluzioni IBM per la continuità operativa Storage Expo 2006 Verona, 9 Maggio 2006 Sergio Resch IBM System Storage Solutions Manager sergio_resch@it.ibm.com Continuità operativa capacità di adattarsi

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili

Var Group Approccio concreto e duraturo Vicinanza al Cliente Professionalità e metodologie certificate In anticipo sui tempi Soluzioni flessibili Var Group, attraverso la sua società di servizi, fornisce supporto alle Aziende con le sue risorse e competenze nelle aree: Consulenza, Sistemi informativi, Soluzioni applicative, Servizi per le Infrastrutture,

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A.

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A. Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 pag. 1 di 12 Revisione Data Motivo Revisione Redatto da Approvato da 1.0 03/10/2009 Emissione Andrea

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa Denominazione intervento: Networking Security SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa F.l- Modalita organizzative, gestione operativa e calendario dell'intervento. (Max 200 righe):

Dettagli

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing Infracom case studies per la gestione tecnologica del rischio operativo 1 Il Gruppo Infracom Competenze, Metodologie, Servizi ed Infrastrutture

Dettagli

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli