Il processo di analisi dei rischi (parte III)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Il processo di analisi dei rischi (parte III)"

Transcript

1 Il processo di gestione dei rischi Il processo di analisi dei rischi (parte III) ESTABLISH CONTEXT RISK ASSESSMENT RISK ANALYSIS Marco Domenico Aime < polito.it > RISK COMMUNICATION RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK DECISION POINT 1 No Assessment satisfactory Yes RISK MONITORING AND REVIEW Politecnico di Torino Dip. di Automatica e Informatica RISK TREATMENT RISK DECISION POINT 2 No Accept risks Yes RISK ACCEPTANCE 1 END OF FIRST OR SUBSEQUENT ITERATIONS 2 motivazioni dell'analisi Il processo di gestione dei rischi 1. definizione del contesto (establish context) target e criteri dell'analisi 2. identificazione dei rischi (risk identification) beni, minacce e vulnerabilità, controlli e impatti 3. stima dei rischi (risk estimation) Identificazione dell'impatto (Impact identification) modello delle minacce e delle vulnerabilità RISK ANALYSIS RISK IDENTIFICATION ASSET IDENTIFICATION THREAT IDENTIFICATION valore beni, occorrenza minacce e vulnerabilità, valutazione impatti, valutazione rischi modello degli asset identificazione dell'impatto VULNERABILITY IDENTIFICATION IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION revisione dei rischi (risk review) audit certificazione piano operativo (operational plan) piano di risposta agli incidenti (incident response) piano di continuità operativa (business continuity) trattamento dei rischi (risk treatment) 4. classificazione dei rischi (risk evaluation) rischi e priorità, controlli addizionali, opzioni di trattamento dei rischi modello degli impatti RISK ESTIMATION 3 4 Identificazione dell'impatto consiste nell'identificare gli effetti potenziali dovuti alle minacce considerando le possibili vulnerabilità dei beni a prescindere dall'effetto dei controlli corrisponde al collegamento del modello di minacce e vulnerabilità con il modello dei beni es. aggiungo in un attack tree i nodi che rappresentano la compromissione dei requisiti/dimensioni di sicurezza dei beni coinvolti (cfr. identificazione minacce e vulnerabilità) 5 Identificazione dell'impatto perché è utile identificare gli effetti di minacce e vulnerabilità prima di considerare i controlli già esistenti? per poter, in fase di trattamento dei rischi, analizzare l'effetto dei controlli esistenti e: stimarne l'efficacia un controllo può essere classificato come efficace, non sufficiente, o non giustificato confrontarla con quella di altri controlli proposti un controllo può essere rimosso, sostituito con uno più appropriato, o confermato (es. perché ottimale o per ragioni di costi) 6 Marco Domenico Aime (2009) 1

2 Impatto e beni un impatto può riguardare: un bene molti beni una parte di un bene in assenza di contromisure, gli impatti saranno combinazioni dei beni e dimensioni/requisiti coinvolti in fase di stima si può valorizzare il danno parziale (cfr. stima degli impatti) successivamente differiranno (possibilmnte diminuiranno) per l'effetto dei controlli esistenti e/o pianificati e della loro efficiacia Valutazione dei controlli esistenti (Evaluate existing and planned controls) modello delle minacce delle vulnerabilità, e degli impatti conoscenze sui controlli valutazione dei controlli modello dei controlli e valorizzazione RISK ANALYSIS RISK IDENTIFICATION ASSET IDENTIFICATION THREAT IDENTIFICATION VULNERABILITY IDENTIFICATION IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION RISK ESTIMATION 7 8 Controlli Incidenti e controlli controllo (control): anche contromisura (safeguard / countermeasure) mezzo per gestire i rischi, incluse politiche, procedure, lienee guida, pratiche e strutture organizzative, di natura amministrativa, tecnica, gestionale o legale [cfr :2005] procedura o meccanismo tecnologico che riduce il rischio (cfr. MAGERIT v2) tecnologie di difesa o moduli usati per rilevare, prevenire o bloccare attachi (cfr. OWASP) minaccia (threat) sfrutta (exploits) causa (causes) riduce (reduces) impatto (impact) riduce (reduces) riguarda (affects) vulnerabilità (vulnerability) riduce (reduces) controllo (control) valore (value) possiede (has) possiede (has) bene (asset) 9 10 Valutazione dei controlli esistenti in effetti richiede tre attività distinte: identificazione dei controlli esistenti e/o pianificati verifica dello loro stato di funzionamento (implementazione e utilizzo corretti) un controllo che non funziona come previsto può introdurre delle vulnerabilità valutazione degli effetti dei controlli (valorizzazione) è anche necessario considerare le situazioni in cui un controllo può fallire: è possibile aggiungere ulteriori livelli di controlli Acquisizione delle informazioni documenti sul processo di gestione della sicurezza piano di sicurezza, piano di risposta agli incidenti, piano di continuità operativa se la gestione della sicurezza è ben pianificata, tutti i controlli esistenti e/o pianificati e il loro stato dovrebbero essere listati in questi documenti questionari/interviste a responsabili della sicurezza e agli utenti responsabili sicurezza fisica, sicurezza ICT, servizi,... verificare quali controlli sono realmente implementati Marco Domenico Aime (2009) 2

3 Acquisizione delle informazioni ispezione diretta confronto tra controlli effettivamente implementati con quelli listati nei documenti/questionari/checklist come per l'identificazione delle vulnerabilità, anche questa fase può avvalersi di: procedure di test e valutazione checklist e guide standard strumenti automatici scanner di rete,... Tipi di controlli come al solito, più formalizzati i controlli contro minacce naturali e accidentali, meno quelli contro attacchi intenzionali in pratica si usano dizionari di controlli e guide per la valutazione (security assessment) controllo - protezioni incluse nell' hardware, software e firmware tecnico non tecnico Tipi di controlli preventivo investigativo preventivo investigativo reattivo - inibisce i tentativi di violazione della politica di sicurezza - include controlli come access control, protezioni crittografiche, metodi di autenticazione - allarme di violazione o tentativo di violazione della politica di sicurezza - include controlli come audit trails, intrusion detection, verifiche di integrità Tipi di controlli distinguiamo innanzi tutto tra controlli tecnici (non tecnici) gestionali e operativi come modalità distinguiamo innanzi tutto in preventivi (prevent) investigativi (detect) reattivi (recover) - controlli gestionali e operativi - es. politiche di sicurezza, piano di sicurezza, sicurezza personale/fisica/ambientale, gestione dei rischi Controlli gestionali si tratta delle best practice per la progettazione di sistemi di gestione della sicurezza: preventivi: assegnazione delle responsabilità di sicurezza, sviluppo di un piano di sicurezza, sicurezza del personale (separation of duties, least privilege,...), training di sicurezza investigativi: sicurezza del personale (investigazioni, rotation of duties), periodici test e valutazioni di sicurezza (controlli e procedure), sviluppo di un processo di gestione dei rischi reattivi: sviluppo di un piano di continuità operativa, sviluppo di un piano di risposta algi incidenti cfr. SP , pp /05/09 Marco Domenico Aime (2009) 20 Controlli gestionali nello sviluppo software corrispondono ai principi per la progettazione di applicazioni sicure, ad esempio: minimizzare la superficie di attacco (attack surface) usare default sicuri defense in depth least privilege assumere i sistemi esterni come insicuri gestione eccezioni security features!= secure fetures mai dipendere solo da security through obscurity imparare dagli errori riscontrati cfr. M.Howard, D.LeBlanc, Writing Secure Code, chap. 3 12/05/09 Marco Domenico Aime (2009) 21 Marco Domenico Aime (2009) 3

4 Controlli operativi si tratta delle best practice per l'implementazione dei sistemi di gestione della sicurezza: preventivi: procedure per uso e rottamazione dei media, controllo dell'accesso fisico ai dispositivi, servizi di backup, protezioni ambientali (fuoco/acqua/ calore/...), fornitura energia di emergenza, procedure di gestione degli aggiornamenti investigativi: controllo delle sicurezza fisica, controllo della sicurezza ambientale, procedure di investigazione informatica (forensic investigation) reattivi: procedure per continuità operativa, procedure di risposta agli incidenti cfr. SP , pp /05/09 Marco Domenico Aime (2009) 22 Controlli operativi nello sviluppo software corrispondono alle best practice per la scrittura di codice sicuro: es. M.Howard, D.LeBlanc, 'Writing Secure Code' es. OWASP Code Review 12/05/09 Marco Domenico Aime (2009) 23 Controlli tecnici servizi e meccanismi di sicurezza delle informazioni un dispositivo di sicurezza implementa tipicamente un'insieme di servizi e meccanismi di sicurezza es. firewall appliance con capacità di filtraggio e supporto IPSec bisogna tener conto di controlli non strettamente di sicurezza, ma che interagiscono con essi: servizi di routing: es. un firewall fornisce 'network access control', ma anche 'routing control' controlli di allocazione risorse (CPU / storage / banda) es. in relazione ad attacchi di tipo denial of service 24 Tassonomia dei controlli di dependability fonte: Avizienis, Laprie, Randell, Landwher, Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE TDSC, Categorie di controlli tecnici di sicurezza le numerose relazioni di interdipendenza identificano bene le difficoltà nella pianificazione di sicurezza Controlli tecnici reattivi il problema dei controlli reattivi nella sicurezza delle informazioni molte relazioni di dipendenza ricorsive tra requisiti e controlli di sicurezza meccanismi di reazione automatici sono spesso sfruttabili da un attaccante per causare danno (es. denial of service) fonte: NIST SP , pp 33 12/05/09 Marco Domenico Aime (2009) Marco Domenico Aime (2009) 4

5 Servizi e meccanismi di sicurezza Servizi e meccanismi di sicurezza un servizio di sicurezza può essere implementato attraverso l'uso (congiunto o alternativo) di diversi meccanismi di sicurezza le metodologie di analisi dei rischi classiche si concentrano su i servizi di sicurezza più che sui meccanismi requisito di sicurezza (requirement) richiede (requires) prodotto di sicurezza (product) richiede (requires) richiede (requires) implementa (implements) implementa (implements) implementa (implements) servizio di sicurezza (service) meccanismo di sicurezza (mechanism) 29 fonte: W.Stallings, Cryptography and Network, 4th Ed, pp Riferimenti su controlli di sicurezza Riferimenti su controlli di sicurezza le metodologie di analisi dei rischi includono dizionari e guide per i principi alla loro base: prima parte del corso W.Stallings, 'Cryptography and Network ' NIST SP , Information Handbook: A Guide for Managers S.Harris, 'CISSP Certification All-in-One Exam Guide' M.Howard, D.LeBlanc, 'Writing Secure Code', 2nd edition 36 IETF RFC utili: Internet Glossary, Version Operational Requirements for Large (ISP) IP Network Infrastructure Mechanisms for the Internet Recommended Internet Service Provider Services and Procedures Expectations for Computer Incident Response Users' Handbook Site Handbook 37 Dizionari e guide per controlli di sicurezza dizionari e guide, esempi: NIST SP : Recommended Controls for Federal Information Systems and Organizations, ISACA COBIT Baseline, (a pagamento) ISO / ISO / BS (a pagamento) PCI/DSS ISO/IEC 15408, Information technology - techniques - Evaluation criteria for IT security, ISF, The Standard of Good Practice for Information, 12/05/09 Marco Domenico Aime (2009) 38 per dimensione di sicurezza e minacce confidenzialità Eavesdropping Physical Controls, Information security policy, Data confidentiality protection Electromagnetic radiation Physical Controls, Data confidentiality protection, Low radiation equipment with Malicious code Protection against malicious code, Information security incident management 12/05/09 Marco Domenico Aime (2009) 39 Marco Domenico Aime (2009) 5

6 Masquerading of user identity and audit, Protection against malicious code, Network management, Data confidentiality protection Misrouting/re-routing of messages Network management, Data confidentiality protection Software failure Incident management, Operational issues Theft Physical controls, Personnel, Data confidentiality protection, Media controls Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control, Data confidentiality protection Unauthorized access to storage media Operational issues, Physical security, Data confidentiality protection 12/05/09 Marco Domenico Aime (2009) 40 12/05/09 Marco Domenico Aime (2009) 41 integrità Deterioration of storage media Media controls, Back-ups, Data integrity protection Maintenance error Maintenance, Back-ups, Data integrity protection Malicious code Protection against malicious code, Incident management Masquerading of user identity and audit, Protection against malicious code, Network management, Data integrity protection 12/05/09 Marco Domenico Aime (2009) 42 Misrouting/re-routing of messages Network management, Data integrity protection, Nonrepudiation Software failure Reporting of software malfunctions, Operational issues, Back-ups, Data integrity protection Supply failure (power, air conditioning) Power and air conditioning, Back-ups Technical failure Operational issues, Network management, Power and air conditioning, Back-ups Transmission errors Cabling, Network management, Data integrity protection 12/05/09 Marco Domenico Aime (2009) 43 Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control, Data integrity Use of unauthorized programmes and data awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Unauthorized access to storage media Operational issues, Physical security, Data integrity User error awareness and training, Back-ups 12/05/09 Marco Domenico Aime (2009) 44 disponibilità Destructive attack Disciplinary process, Media controls, Back-ups, Material protection, Identification and authentication, Logical access control and audit Deterioration of storage media Media controls, Back-ups Failure of communication equipment and services Redundancy and Back-ups, Network management, Cabling, Non-repudiation Fire, water Physical protection, Business continuity plan 12/05/09 Marco Domenico Aime (2009) 45 Marco Domenico Aime (2009) 6

7 Maintenance error Maintenance, Back-ups Malicious code Protection against malicious code, Incident managemen Masquerading of user identity and audit, Protection against malicious code, Network management, Data back-up Misrouting/re-routing of messages Network management, Non-repudiation Misuse of resources Personnel, Operational issues, Identification and authentication, Logical access control and audit, Network management Natural disasters Natural disaster protection, Business continuity plan Software failure Reporting of software malfunctions, Operational issues, Back-ups Supply failure (power, air conditioning) Power and air conditioning, Back-ups 12/05/09 Marco Domenico Aime (2009) 46 12/05/09 Marco Domenico Aime (2009) 47 Technical failure Theft Operational issues, Network management, Business continuity plan Physical controls, Personnel, Media controls Traffic overloading Redundancy and Back-ups, Network management Transmission errors Cabling, Network management 12/05/09 Marco Domenico Aime (2009) 48 Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control Use of unauthorized programmes and data awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Unauthorized access to storage media Operational issues, Physical security User error awareness and training, Back-ups, Controls for 12/05/09 accountability, authenticity Marco Domenico Aime and (2009) reliability 49 Magerit: catalogo di controlli distingue in controlli (contromisure): generali per la protezione dei servizi per la protezione dei dati/informazioni per la protezione delle applicazioni (software) per la protezione dei dispositivi (hardware) per la protezione deelle comunicazioni sicurezza fisica relative all'outsourcing 12/05/09 Marco Domenico Aime (2009) 51 Magerit: catalogo di controlli controlli generali: pratiche di gestione della sicurezza, con un effetto positivo su tutti i beni Organisational security: roles, committees, etc. Corporate information security policy Privilege management adjudication, revision and termination Procedures for scaling and managing incidents Procedures for continuity of operations: emergency and recovery Auditing, recording (certification) and accreditation of the system 12/05/09 Marco Domenico Aime (2009) 52 Marco Domenico Aime (2009) 7

8 Magerit: protezione dei servizi Magerit: protezione dati/informazioni 12/05/09 Marco Domenico Aime (2009) 53 12/05/09 Marco Domenico Aime (2009) 54 Magerit: protezione applicazioni Magerit: protezione dispositivi 12/05/09 Marco Domenico Aime (2009) 55 12/05/09 Marco Domenico Aime (2009) 56 Magerit: protezione comunicazioni Magerit: sicurezza fisica 12/05/09 Marco Domenico Aime (2009) 57 12/05/09 Marco Domenico Aime (2009) 58 Marco Domenico Aime (2009) 8

9 Magerit: protezione del personale 12/05/09 Marco Domenico Aime (2009) 59 Magerit: outsourcing la separazione tra servizi di sicurezza esterni e interni diventa sempre più felssibile e complicata: servizi di comunicazione sviluppo interno / COTS / piattaforme applicative servizi di supporto per applicazioni e dispositivi servizi di archiviazione e protezione dati esecuzione remota di applicazioni (Application Service Provisioning, Software As A Service, Virtualisation as a service) sicurezza gestita: monitoraggio remoto e delega nella gestione degli incidenti... 12/05/09 Marco Domenico Aime (2009) 60 Magerit: outsourcing nei casi di outsourcing, un'importanza fondamentale hanno gli aspetti contrattuali: SLA: service level agreement (disponibilità) NDA: Non-disclosure agreement (confidenzialità) identità e qualifica del personale in carica coordinamento nell'investigazione e risoluzione degli incidenti procedure di terminazione contratto (durata) responsabilità e penali per non conformità OCTAVE: catalogo di pratiche di sicurezza Strategic Practice Areas Catalog of Practices Operational Practice Areas fonte: OCTAVE 12/05/09 Marco Domenico Aime (2009) 61 12/05/09 Marco Domenico Aime (2009) 62 OCTAVE: catalogo di pratiche di sicurezza Awareness and Training Strategy Strategic Practice Areas Management fonte: OCTAVE Policies and Regulations Collaborative Management Contingency Planning/ Disaster Recovery 12/05/09 Marco Domenico Aime (2009) 63 OCTAVE: catalogo di pratiche di sicurezza Physical Physical Plans and Procedures Physical Access Control Monitoring and Auditing Physical Operational Practice Areas Information Staff Technology System and Network Management Incident Management Monitoring and Auditing IT Authentication and Authorization Encryption Vulnerability Management System Administration Tools Architecture and Design fonte: OCTAVE General Staff Practices 12/05/09 Marco Domenico Aime (2009) 64 Marco Domenico Aime (2009) 9

10 STRIDE e controlli distingue tra: tecniche di mitigazione: autenticazione integrità servizi di non ripudio confidenzialità disponibilità autorizzazione e tecnologie di mitigazione 12/05/09 Marco Domenico Aime (2009) 65 Threat type Mitigation Technique Mitigation Technologies Spoofing Authentication Authenticate principals: Basic authentication Digest authentication Cookie authentication Kerberos authentication PKI systems such as SSL/TLS IPSec Digitally signed packets Tampering STRIDE e controlli Integrity Authenticate code or data: Digital signatures Message authentication codes Hashes Access Control Lists (ACLs) Message authentication codes Digital signatures cfr. M.Howard, S.Lipner, The Development Lifecycle, Microsoft Press, pp Threat type Mitigation Technique Mitigation Technologies Repudiation Information disclosure Denial of Service Escalation of Privileges STRIDE e controlli Non-repudiation services Confidentiality Availability Authorization Strong authentication Secure auditing and logging Digital signatures Secure time-stamps Trusted third parties Access Control Lists (ACLs) Encryption Access Control Lists (ACLs) Filtering Quota Authorization Access Control Lists (ACLs) Group or role membership Privilege ownership Permissions cfr. M.Howard, S.Lipner, The Development Lifecycle, Microsoft Press, pp Efficacia dei controlli tecnici è determinante anche considerare l'efficacia dei controlli, in termini di: forza intrinseca es. algoritmi crittografici, lunghezza chiavi,... affidabilità procedure di test e valutazione interne / esterne certificazioni: generali o per l'uso nel sistema sotto analisi (es. Common Criteria: uso effettivo un controllo non attivo o usato scorrettamente costituisce una vulnerabilità 12/05/09 Marco Domenico Aime (2009) 68 Efficacia dei controlli tecnici metodi per la misurazione dell'efficia dei controlli di sicurezza sono un'area di crescente attenzione accademica e industriale storicamente un aspetto poco sviluppato intrinsecamente difficile ruolo di formalizzazione e modelli esempi: ISO 27004: standard per metriche e misurazione di un ISMS ISO fonte: ISO /05/09 Marco Domenico Aime (2009) 69 12/05/09 Marco Domenico Aime (2009) 70 Marco Domenico Aime (2009) 10

11 Modello dei controlli riassumendo un modello dei controlli include almeno: identificazione categroizzazione servizi di sicurezza offerti beni (e proprietà) a cui si può applicare efficacia Modello strutturato dei controlli esempio di modello strutturato: grafo costruito a partire da tamplate in stile OCTAVE effetti rappresentati dai collegamenti con il grafo delle minacce / vulnerabilità / impatti efficacia rappresentata in termini delle minacce che riguardano i controlli stessi cfr. la sezione su 'trattamento dei rischi' 12/05/09 Marco Domenico Aime (2009) 71 12/05/09 Marco Domenico Aime (2009) 72 Marco Domenico Aime (2009) 11

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Analisi dei rischi e gestione della sicurezza ICT

Analisi dei rischi e gestione della sicurezza ICT Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche

Dettagli

Elementi di Sicurezza e Privatezza

Elementi di Sicurezza e Privatezza Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez. 15-16 1 I documenti di riferimento 2 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

Le certificazioni ISC² : CISSP CSSLP SSCP

Le certificazioni ISC² : CISSP CSSLP SSCP Le certificazioni ISC² : CISSP CSSLP SSCP Chi è ISC² (ISC)² = International Information Systems Security Certification Consortium (ISC)²is the non-profit international leader dedicated to training, qualifying

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Indice Il Processo di Security Governance l analisi e gestione del

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

IT Risk Management a 360

IT Risk Management a 360 IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Sicurezza dell Informazione M

Sicurezza dell Informazione M Sicurezza dell Informazione M Rebecca Montanari Dipartimento di Elettronica, Informatica e Sistemistica rebecca.montanari@unibo.it tel. 0512093865 Virus and Worm Morris Internet Worm Esempi di Attacchi

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

L OUTSOURCING IT: BEST PRACTICE E AUDITING

L OUTSOURCING IT: BEST PRACTICE E AUDITING L OUTSOURCING IT: BEST PRACTICE E AUDITING La Sicurezza e gli SLA, PhD CISA CISSP UCCI.IT Outsourcing? Sicurezza Contratto Sicurezza Conoscere i propri sistemi Conoscere i propri dati/informazioni Conoscere

Dettagli

Un metodo di Risk Assessment semplice

Un metodo di Risk Assessment semplice Cesare Gallotti Roma, 3 marzo 2010 Il contenuto della presentazione è protetto dalla licenza Creative Commons Attribuzione Non Commerciale 2.5 Italia http://creativecommons.org/licenses/by-nc/2.5/it/ 1

Dettagli

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Luca De Angelis Product Marketing Manager Dato di fatto #1: Flessibilità Dato di fatto #2:

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014 MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE 27 Maggio 2014 CHI SIAMO NTT WORLD $130B Annual revenue $14B 1st Telco in revenue worldwide Interna9onal telecom Mobile operator $11B $44B $3,5B In RD

Dettagli

MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS

MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS UN BUON MOTIVO PER [cod. E103] Questo corso combina i contenuti di tre corsi: Network Infrastructure Technology Specialist, Active

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

Revisione dei processi in chiave ITIL

Revisione dei processi in chiave ITIL Il Sole 24 Ore S.p.A. pag. 1 Milano, Perché la revisione dei processi in chiave ITIL Esigenza: necessità di interagire in modo strutturato con un fornitore di servizi (Outsourcer) Creazione e gestione

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC)

Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC) Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC) Sessione di studio AIEA Torino, 17 Marzo 2007 Fabio Battelli,

Dettagli

Indice Indice...3 Introduzione e riconoscimenti...11 1. La Governance della Sicurezza...13 Il panorama legislativo...17

Indice Indice...3 Introduzione e riconoscimenti...11 1. La Governance della Sicurezza...13 Il panorama legislativo...17 Indice...3 Introduzione e riconoscimenti...11 1. La Governance della Sicurezza...13 La società del rischio...13 Il concetto di sicurezza applicata alle aziende e alle organizzazioni...15 La sicurezza come

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 2

Corso di Amministrazione di Sistema Parte I ITIL 2 Corso di Amministrazione di Sistema Parte I ITIL 2 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Privacy e Sicurezza delle Informazioni

Privacy e Sicurezza delle Informazioni Privacy e Sicurezza delle Informazioni Mauro Bert GdL UNINFO Serie ISO/IEC 27000 Genova, 18/2/2011 Ente di normazione federato all UNI (Ente Nazionale Italiano di Unificazione) Promuove e partecipa allo

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

Il Cloud Computing: uno strumento per migliorare il business

Il Cloud Computing: uno strumento per migliorare il business Il Cloud Computing: uno strumento per migliorare il business Luca Zanetta Uniontrasporti I venti dell'innovazione - Imprese a banda larga Varese, 9 luglio 2014 1 / 22 Sommario Cos è il cloud computing

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT Che cos è ITIL Sessione didattica su ITIL per Studenti di Ingegneria Informatica Politecnico di Torino Introduzione ad ITIL 17 Ottobre 2006 Information Technolgy Infrastructure Library COGITEK s.r.l. Via

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL

Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Al servizio dei professionisti dell IT Governance Capitolo di Milano Misura delle performance dei processi con le metriche suggerite da COBIT e ITIL Valter Tozzini - ItSMF Italia Paola Belforte - ItSMF

Dettagli

Security audit per le stampanti di rete. Danilo Massa

Security audit per le stampanti di rete. Danilo Massa Security audit per le stampanti di rete Danilo Massa Agenda Secure printing Standard di sicurezza Rischi Audit Domande e risposte Secure printing Le stampanti di rete sono in realtà dispositivi multifunzionali

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

IT Value. Referenze di Progetto. Settembre 2013

IT Value. Referenze di Progetto. Settembre 2013 IT Value Referenze di Progetto Settembre 2013 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione di Applicativi per il Credit

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

La Sicurezza ICT e la difesa del patrimonio informativo

La Sicurezza ICT e la difesa del patrimonio informativo La Sicurezza ICT e la difesa del patrimonio informativo Danilo Bruschi Dip. di Informatica e Comunicazione Università degli Studi di Milano bruschi@dico.unimi.it Argomenti Trattati Un po di storia Le reti

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

Siamo quello che ti serve

Siamo quello che ti serve Siamo quello che ti serve Fabaris TECNOLOGIA E COMPETENZA A SERVIZIO DELLE AZIENDE Fabaris opera da oltre quindici anni nel settore ITC, nella realizzazione e gestione di complessi sistemi ad alto contenuto

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000 Autore: Maxime Sottini Consigliere itsmf Italia itsmf International IQC Officer CEO icons Innovative Consulting S.r.l. COBIT è un marchio registrato

Dettagli

Rischio, sicurezza e analisi giuridica per il passaggio nel cloud. PARTE 2: Organizzare un'architettura cloud sicura

Rischio, sicurezza e analisi giuridica per il passaggio nel cloud. PARTE 2: Organizzare un'architettura cloud sicura Rischio, sicurezza e analisi giuridica per il passaggio nel cloud PARTE 2: Organizzare un'architettura cloud sicura PARTE 2 SOMMARIO 1. Modelli di sicurezza 2. Rischi Metodi per la progettazione di sistemi

Dettagli