Il processo di analisi dei rischi (parte III)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Il processo di analisi dei rischi (parte III)"

Transcript

1 Il processo di gestione dei rischi Il processo di analisi dei rischi (parte III) ESTABLISH CONTEXT RISK ASSESSMENT RISK ANALYSIS Marco Domenico Aime < polito.it > RISK COMMUNICATION RISK IDENTIFICATION RISK ESTIMATION RISK EVALUATION RISK DECISION POINT 1 No Assessment satisfactory Yes RISK MONITORING AND REVIEW Politecnico di Torino Dip. di Automatica e Informatica RISK TREATMENT RISK DECISION POINT 2 No Accept risks Yes RISK ACCEPTANCE 1 END OF FIRST OR SUBSEQUENT ITERATIONS 2 motivazioni dell'analisi Il processo di gestione dei rischi 1. definizione del contesto (establish context) target e criteri dell'analisi 2. identificazione dei rischi (risk identification) beni, minacce e vulnerabilità, controlli e impatti 3. stima dei rischi (risk estimation) Identificazione dell'impatto (Impact identification) modello delle minacce e delle vulnerabilità RISK ANALYSIS RISK IDENTIFICATION ASSET IDENTIFICATION THREAT IDENTIFICATION valore beni, occorrenza minacce e vulnerabilità, valutazione impatti, valutazione rischi modello degli asset identificazione dell'impatto VULNERABILITY IDENTIFICATION IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION revisione dei rischi (risk review) audit certificazione piano operativo (operational plan) piano di risposta agli incidenti (incident response) piano di continuità operativa (business continuity) trattamento dei rischi (risk treatment) 4. classificazione dei rischi (risk evaluation) rischi e priorità, controlli addizionali, opzioni di trattamento dei rischi modello degli impatti RISK ESTIMATION 3 4 Identificazione dell'impatto consiste nell'identificare gli effetti potenziali dovuti alle minacce considerando le possibili vulnerabilità dei beni a prescindere dall'effetto dei controlli corrisponde al collegamento del modello di minacce e vulnerabilità con il modello dei beni es. aggiungo in un attack tree i nodi che rappresentano la compromissione dei requisiti/dimensioni di sicurezza dei beni coinvolti (cfr. identificazione minacce e vulnerabilità) 5 Identificazione dell'impatto perché è utile identificare gli effetti di minacce e vulnerabilità prima di considerare i controlli già esistenti? per poter, in fase di trattamento dei rischi, analizzare l'effetto dei controlli esistenti e: stimarne l'efficacia un controllo può essere classificato come efficace, non sufficiente, o non giustificato confrontarla con quella di altri controlli proposti un controllo può essere rimosso, sostituito con uno più appropriato, o confermato (es. perché ottimale o per ragioni di costi) 6 Marco Domenico Aime (2009) 1

2 Impatto e beni un impatto può riguardare: un bene molti beni una parte di un bene in assenza di contromisure, gli impatti saranno combinazioni dei beni e dimensioni/requisiti coinvolti in fase di stima si può valorizzare il danno parziale (cfr. stima degli impatti) successivamente differiranno (possibilmnte diminuiranno) per l'effetto dei controlli esistenti e/o pianificati e della loro efficiacia Valutazione dei controlli esistenti (Evaluate existing and planned controls) modello delle minacce delle vulnerabilità, e degli impatti conoscenze sui controlli valutazione dei controlli modello dei controlli e valorizzazione RISK ANALYSIS RISK IDENTIFICATION ASSET IDENTIFICATION THREAT IDENTIFICATION VULNERABILITY IDENTIFICATION IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION RISK ESTIMATION 7 8 Controlli Incidenti e controlli controllo (control): anche contromisura (safeguard / countermeasure) mezzo per gestire i rischi, incluse politiche, procedure, lienee guida, pratiche e strutture organizzative, di natura amministrativa, tecnica, gestionale o legale [cfr :2005] procedura o meccanismo tecnologico che riduce il rischio (cfr. MAGERIT v2) tecnologie di difesa o moduli usati per rilevare, prevenire o bloccare attachi (cfr. OWASP) minaccia (threat) sfrutta (exploits) causa (causes) riduce (reduces) impatto (impact) riduce (reduces) riguarda (affects) vulnerabilità (vulnerability) riduce (reduces) controllo (control) valore (value) possiede (has) possiede (has) bene (asset) 9 10 Valutazione dei controlli esistenti in effetti richiede tre attività distinte: identificazione dei controlli esistenti e/o pianificati verifica dello loro stato di funzionamento (implementazione e utilizzo corretti) un controllo che non funziona come previsto può introdurre delle vulnerabilità valutazione degli effetti dei controlli (valorizzazione) è anche necessario considerare le situazioni in cui un controllo può fallire: è possibile aggiungere ulteriori livelli di controlli Acquisizione delle informazioni documenti sul processo di gestione della sicurezza piano di sicurezza, piano di risposta agli incidenti, piano di continuità operativa se la gestione della sicurezza è ben pianificata, tutti i controlli esistenti e/o pianificati e il loro stato dovrebbero essere listati in questi documenti questionari/interviste a responsabili della sicurezza e agli utenti responsabili sicurezza fisica, sicurezza ICT, servizi,... verificare quali controlli sono realmente implementati Marco Domenico Aime (2009) 2

3 Acquisizione delle informazioni ispezione diretta confronto tra controlli effettivamente implementati con quelli listati nei documenti/questionari/checklist come per l'identificazione delle vulnerabilità, anche questa fase può avvalersi di: procedure di test e valutazione checklist e guide standard strumenti automatici scanner di rete,... Tipi di controlli come al solito, più formalizzati i controlli contro minacce naturali e accidentali, meno quelli contro attacchi intenzionali in pratica si usano dizionari di controlli e guide per la valutazione (security assessment) controllo - protezioni incluse nell' hardware, software e firmware tecnico non tecnico Tipi di controlli preventivo investigativo preventivo investigativo reattivo - inibisce i tentativi di violazione della politica di sicurezza - include controlli come access control, protezioni crittografiche, metodi di autenticazione - allarme di violazione o tentativo di violazione della politica di sicurezza - include controlli come audit trails, intrusion detection, verifiche di integrità Tipi di controlli distinguiamo innanzi tutto tra controlli tecnici (non tecnici) gestionali e operativi come modalità distinguiamo innanzi tutto in preventivi (prevent) investigativi (detect) reattivi (recover) - controlli gestionali e operativi - es. politiche di sicurezza, piano di sicurezza, sicurezza personale/fisica/ambientale, gestione dei rischi Controlli gestionali si tratta delle best practice per la progettazione di sistemi di gestione della sicurezza: preventivi: assegnazione delle responsabilità di sicurezza, sviluppo di un piano di sicurezza, sicurezza del personale (separation of duties, least privilege,...), training di sicurezza investigativi: sicurezza del personale (investigazioni, rotation of duties), periodici test e valutazioni di sicurezza (controlli e procedure), sviluppo di un processo di gestione dei rischi reattivi: sviluppo di un piano di continuità operativa, sviluppo di un piano di risposta algi incidenti cfr. SP , pp /05/09 Marco Domenico Aime (2009) 20 Controlli gestionali nello sviluppo software corrispondono ai principi per la progettazione di applicazioni sicure, ad esempio: minimizzare la superficie di attacco (attack surface) usare default sicuri defense in depth least privilege assumere i sistemi esterni come insicuri gestione eccezioni security features!= secure fetures mai dipendere solo da security through obscurity imparare dagli errori riscontrati cfr. M.Howard, D.LeBlanc, Writing Secure Code, chap. 3 12/05/09 Marco Domenico Aime (2009) 21 Marco Domenico Aime (2009) 3

4 Controlli operativi si tratta delle best practice per l'implementazione dei sistemi di gestione della sicurezza: preventivi: procedure per uso e rottamazione dei media, controllo dell'accesso fisico ai dispositivi, servizi di backup, protezioni ambientali (fuoco/acqua/ calore/...), fornitura energia di emergenza, procedure di gestione degli aggiornamenti investigativi: controllo delle sicurezza fisica, controllo della sicurezza ambientale, procedure di investigazione informatica (forensic investigation) reattivi: procedure per continuità operativa, procedure di risposta agli incidenti cfr. SP , pp /05/09 Marco Domenico Aime (2009) 22 Controlli operativi nello sviluppo software corrispondono alle best practice per la scrittura di codice sicuro: es. M.Howard, D.LeBlanc, 'Writing Secure Code' es. OWASP Code Review 12/05/09 Marco Domenico Aime (2009) 23 Controlli tecnici servizi e meccanismi di sicurezza delle informazioni un dispositivo di sicurezza implementa tipicamente un'insieme di servizi e meccanismi di sicurezza es. firewall appliance con capacità di filtraggio e supporto IPSec bisogna tener conto di controlli non strettamente di sicurezza, ma che interagiscono con essi: servizi di routing: es. un firewall fornisce 'network access control', ma anche 'routing control' controlli di allocazione risorse (CPU / storage / banda) es. in relazione ad attacchi di tipo denial of service 24 Tassonomia dei controlli di dependability fonte: Avizienis, Laprie, Randell, Landwher, Basic Concepts and Taxonomy of Dependable and Secure Computing, IEEE TDSC, Categorie di controlli tecnici di sicurezza le numerose relazioni di interdipendenza identificano bene le difficoltà nella pianificazione di sicurezza Controlli tecnici reattivi il problema dei controlli reattivi nella sicurezza delle informazioni molte relazioni di dipendenza ricorsive tra requisiti e controlli di sicurezza meccanismi di reazione automatici sono spesso sfruttabili da un attaccante per causare danno (es. denial of service) fonte: NIST SP , pp 33 12/05/09 Marco Domenico Aime (2009) Marco Domenico Aime (2009) 4

5 Servizi e meccanismi di sicurezza Servizi e meccanismi di sicurezza un servizio di sicurezza può essere implementato attraverso l'uso (congiunto o alternativo) di diversi meccanismi di sicurezza le metodologie di analisi dei rischi classiche si concentrano su i servizi di sicurezza più che sui meccanismi requisito di sicurezza (requirement) richiede (requires) prodotto di sicurezza (product) richiede (requires) richiede (requires) implementa (implements) implementa (implements) implementa (implements) servizio di sicurezza (service) meccanismo di sicurezza (mechanism) 29 fonte: W.Stallings, Cryptography and Network, 4th Ed, pp Riferimenti su controlli di sicurezza Riferimenti su controlli di sicurezza le metodologie di analisi dei rischi includono dizionari e guide per i principi alla loro base: prima parte del corso W.Stallings, 'Cryptography and Network ' NIST SP , Information Handbook: A Guide for Managers S.Harris, 'CISSP Certification All-in-One Exam Guide' M.Howard, D.LeBlanc, 'Writing Secure Code', 2nd edition 36 IETF RFC utili: Internet Glossary, Version Operational Requirements for Large (ISP) IP Network Infrastructure Mechanisms for the Internet Recommended Internet Service Provider Services and Procedures Expectations for Computer Incident Response Users' Handbook Site Handbook 37 Dizionari e guide per controlli di sicurezza dizionari e guide, esempi: NIST SP : Recommended Controls for Federal Information Systems and Organizations, ISACA COBIT Baseline, (a pagamento) ISO / ISO / BS (a pagamento) PCI/DSS ISO/IEC 15408, Information technology - techniques - Evaluation criteria for IT security, ISF, The Standard of Good Practice for Information, 12/05/09 Marco Domenico Aime (2009) 38 per dimensione di sicurezza e minacce confidenzialità Eavesdropping Physical Controls, Information security policy, Data confidentiality protection Electromagnetic radiation Physical Controls, Data confidentiality protection, Low radiation equipment with Malicious code Protection against malicious code, Information security incident management 12/05/09 Marco Domenico Aime (2009) 39 Marco Domenico Aime (2009) 5

6 Masquerading of user identity and audit, Protection against malicious code, Network management, Data confidentiality protection Misrouting/re-routing of messages Network management, Data confidentiality protection Software failure Incident management, Operational issues Theft Physical controls, Personnel, Data confidentiality protection, Media controls Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control, Data confidentiality protection Unauthorized access to storage media Operational issues, Physical security, Data confidentiality protection 12/05/09 Marco Domenico Aime (2009) 40 12/05/09 Marco Domenico Aime (2009) 41 integrità Deterioration of storage media Media controls, Back-ups, Data integrity protection Maintenance error Maintenance, Back-ups, Data integrity protection Malicious code Protection against malicious code, Incident management Masquerading of user identity and audit, Protection against malicious code, Network management, Data integrity protection 12/05/09 Marco Domenico Aime (2009) 42 Misrouting/re-routing of messages Network management, Data integrity protection, Nonrepudiation Software failure Reporting of software malfunctions, Operational issues, Back-ups, Data integrity protection Supply failure (power, air conditioning) Power and air conditioning, Back-ups Technical failure Operational issues, Network management, Power and air conditioning, Back-ups Transmission errors Cabling, Network management, Data integrity protection 12/05/09 Marco Domenico Aime (2009) 43 Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control, Data integrity Use of unauthorized programmes and data awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Unauthorized access to storage media Operational issues, Physical security, Data integrity User error awareness and training, Back-ups 12/05/09 Marco Domenico Aime (2009) 44 disponibilità Destructive attack Disciplinary process, Media controls, Back-ups, Material protection, Identification and authentication, Logical access control and audit Deterioration of storage media Media controls, Back-ups Failure of communication equipment and services Redundancy and Back-ups, Network management, Cabling, Non-repudiation Fire, water Physical protection, Business continuity plan 12/05/09 Marco Domenico Aime (2009) 45 Marco Domenico Aime (2009) 6

7 Maintenance error Maintenance, Back-ups Malicious code Protection against malicious code, Incident managemen Masquerading of user identity and audit, Protection against malicious code, Network management, Data back-up Misrouting/re-routing of messages Network management, Non-repudiation Misuse of resources Personnel, Operational issues, Identification and authentication, Logical access control and audit, Network management Natural disasters Natural disaster protection, Business continuity plan Software failure Reporting of software malfunctions, Operational issues, Back-ups Supply failure (power, air conditioning) Power and air conditioning, Back-ups 12/05/09 Marco Domenico Aime (2009) 46 12/05/09 Marco Domenico Aime (2009) 47 Technical failure Theft Operational issues, Network management, Business continuity plan Physical controls, Personnel, Media controls Traffic overloading Redundancy and Back-ups, Network management Transmission errors Cabling, Network management 12/05/09 Marco Domenico Aime (2009) 48 Unauthorized access to computers, data, services and applications and audit, Network segregation, Physical access control, Media control Use of unauthorized programmes and data awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Unauthorized access to storage media Operational issues, Physical security User error awareness and training, Back-ups, Controls for 12/05/09 accountability, authenticity Marco Domenico Aime and (2009) reliability 49 Magerit: catalogo di controlli distingue in controlli (contromisure): generali per la protezione dei servizi per la protezione dei dati/informazioni per la protezione delle applicazioni (software) per la protezione dei dispositivi (hardware) per la protezione deelle comunicazioni sicurezza fisica relative all'outsourcing 12/05/09 Marco Domenico Aime (2009) 51 Magerit: catalogo di controlli controlli generali: pratiche di gestione della sicurezza, con un effetto positivo su tutti i beni Organisational security: roles, committees, etc. Corporate information security policy Privilege management adjudication, revision and termination Procedures for scaling and managing incidents Procedures for continuity of operations: emergency and recovery Auditing, recording (certification) and accreditation of the system 12/05/09 Marco Domenico Aime (2009) 52 Marco Domenico Aime (2009) 7

8 Magerit: protezione dei servizi Magerit: protezione dati/informazioni 12/05/09 Marco Domenico Aime (2009) 53 12/05/09 Marco Domenico Aime (2009) 54 Magerit: protezione applicazioni Magerit: protezione dispositivi 12/05/09 Marco Domenico Aime (2009) 55 12/05/09 Marco Domenico Aime (2009) 56 Magerit: protezione comunicazioni Magerit: sicurezza fisica 12/05/09 Marco Domenico Aime (2009) 57 12/05/09 Marco Domenico Aime (2009) 58 Marco Domenico Aime (2009) 8

9 Magerit: protezione del personale 12/05/09 Marco Domenico Aime (2009) 59 Magerit: outsourcing la separazione tra servizi di sicurezza esterni e interni diventa sempre più felssibile e complicata: servizi di comunicazione sviluppo interno / COTS / piattaforme applicative servizi di supporto per applicazioni e dispositivi servizi di archiviazione e protezione dati esecuzione remota di applicazioni (Application Service Provisioning, Software As A Service, Virtualisation as a service) sicurezza gestita: monitoraggio remoto e delega nella gestione degli incidenti... 12/05/09 Marco Domenico Aime (2009) 60 Magerit: outsourcing nei casi di outsourcing, un'importanza fondamentale hanno gli aspetti contrattuali: SLA: service level agreement (disponibilità) NDA: Non-disclosure agreement (confidenzialità) identità e qualifica del personale in carica coordinamento nell'investigazione e risoluzione degli incidenti procedure di terminazione contratto (durata) responsabilità e penali per non conformità OCTAVE: catalogo di pratiche di sicurezza Strategic Practice Areas Catalog of Practices Operational Practice Areas fonte: OCTAVE 12/05/09 Marco Domenico Aime (2009) 61 12/05/09 Marco Domenico Aime (2009) 62 OCTAVE: catalogo di pratiche di sicurezza Awareness and Training Strategy Strategic Practice Areas Management fonte: OCTAVE Policies and Regulations Collaborative Management Contingency Planning/ Disaster Recovery 12/05/09 Marco Domenico Aime (2009) 63 OCTAVE: catalogo di pratiche di sicurezza Physical Physical Plans and Procedures Physical Access Control Monitoring and Auditing Physical Operational Practice Areas Information Staff Technology System and Network Management Incident Management Monitoring and Auditing IT Authentication and Authorization Encryption Vulnerability Management System Administration Tools Architecture and Design fonte: OCTAVE General Staff Practices 12/05/09 Marco Domenico Aime (2009) 64 Marco Domenico Aime (2009) 9

10 STRIDE e controlli distingue tra: tecniche di mitigazione: autenticazione integrità servizi di non ripudio confidenzialità disponibilità autorizzazione e tecnologie di mitigazione 12/05/09 Marco Domenico Aime (2009) 65 Threat type Mitigation Technique Mitigation Technologies Spoofing Authentication Authenticate principals: Basic authentication Digest authentication Cookie authentication Kerberos authentication PKI systems such as SSL/TLS IPSec Digitally signed packets Tampering STRIDE e controlli Integrity Authenticate code or data: Digital signatures Message authentication codes Hashes Access Control Lists (ACLs) Message authentication codes Digital signatures cfr. M.Howard, S.Lipner, The Development Lifecycle, Microsoft Press, pp Threat type Mitigation Technique Mitigation Technologies Repudiation Information disclosure Denial of Service Escalation of Privileges STRIDE e controlli Non-repudiation services Confidentiality Availability Authorization Strong authentication Secure auditing and logging Digital signatures Secure time-stamps Trusted third parties Access Control Lists (ACLs) Encryption Access Control Lists (ACLs) Filtering Quota Authorization Access Control Lists (ACLs) Group or role membership Privilege ownership Permissions cfr. M.Howard, S.Lipner, The Development Lifecycle, Microsoft Press, pp Efficacia dei controlli tecnici è determinante anche considerare l'efficacia dei controlli, in termini di: forza intrinseca es. algoritmi crittografici, lunghezza chiavi,... affidabilità procedure di test e valutazione interne / esterne certificazioni: generali o per l'uso nel sistema sotto analisi (es. Common Criteria: uso effettivo un controllo non attivo o usato scorrettamente costituisce una vulnerabilità 12/05/09 Marco Domenico Aime (2009) 68 Efficacia dei controlli tecnici metodi per la misurazione dell'efficia dei controlli di sicurezza sono un'area di crescente attenzione accademica e industriale storicamente un aspetto poco sviluppato intrinsecamente difficile ruolo di formalizzazione e modelli esempi: ISO 27004: standard per metriche e misurazione di un ISMS ISO fonte: ISO /05/09 Marco Domenico Aime (2009) 69 12/05/09 Marco Domenico Aime (2009) 70 Marco Domenico Aime (2009) 10

11 Modello dei controlli riassumendo un modello dei controlli include almeno: identificazione categroizzazione servizi di sicurezza offerti beni (e proprietà) a cui si può applicare efficacia Modello strutturato dei controlli esempio di modello strutturato: grafo costruito a partire da tamplate in stile OCTAVE effetti rappresentati dai collegamenti con il grafo delle minacce / vulnerabilità / impatti efficacia rappresentata in termini delle minacce che riguardano i controlli stessi cfr. la sezione su 'trattamento dei rischi' 12/05/09 Marco Domenico Aime (2009) 71 12/05/09 Marco Domenico Aime (2009) 72 Marco Domenico Aime (2009) 11

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Le certificazioni ISC² : CISSP CSSLP SSCP

Le certificazioni ISC² : CISSP CSSLP SSCP Le certificazioni ISC² : CISSP CSSLP SSCP Chi è ISC² (ISC)² = International Information Systems Security Certification Consortium (ISC)²is the non-profit international leader dedicated to training, qualifying

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

La sicurezza in banca: un assicurazione sul business aziendale

La sicurezza in banca: un assicurazione sul business aziendale Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Analisi dei rischi e gestione della sicurezza ICT

Analisi dei rischi e gestione della sicurezza ICT Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001)

Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Progettazione di un efficace Sistema di Gestione per la Sicurezza delle Informazioni (utilizzando il framework dello standard ISO27001) Indice Il Processo di Security Governance l analisi e gestione del

Dettagli

Elementi di Sicurezza e Privatezza

Elementi di Sicurezza e Privatezza Elementi di Sicurezza e Privatezza Proteggere dati e sistemi: aspetti organizzativi Lez. 15-16 1 I documenti di riferimento 2 Le politiche di sicurezza Per poter mettere in sicurezza il sistema informatico

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

IT Risk Management a 360

IT Risk Management a 360 IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Sicurezza dell Informazione M

Sicurezza dell Informazione M Sicurezza dell Informazione M Rebecca Montanari Dipartimento di Elettronica, Informatica e Sistemistica rebecca.montanari@unibo.it tel. 0512093865 Virus and Worm Morris Internet Worm Esempi di Attacchi

Dettagli

Revisione dei processi in chiave ITIL

Revisione dei processi in chiave ITIL Il Sole 24 Ore S.p.A. pag. 1 Milano, Perché la revisione dei processi in chiave ITIL Esigenza: necessità di interagire in modo strutturato con un fornitore di servizi (Outsourcer) Creazione e gestione

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 2

Corso di Amministrazione di Sistema Parte I ITIL 2 Corso di Amministrazione di Sistema Parte I ITIL 2 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Frodi: Realizzare il Perimetro Virtuale Sicuro Paolo Zanotti, Business-e Spa Lo scenario lavorativo mobile e globale genera nuovi requisiti nella gestione del

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS

MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS MS WINDOWS SERVER 2008 - CONFIGURING, MANAGING AND MAINTAINING SERVERS UN BUON MOTIVO PER [cod. E103] Questo corso combina i contenuti di tre corsi: Network Infrastructure Technology Specialist, Active

Dettagli

Security audit per le stampanti di rete. Danilo Massa

Security audit per le stampanti di rete. Danilo Massa Security audit per le stampanti di rete Danilo Massa Agenda Secure printing Standard di sicurezza Rischi Audit Domande e risposte Secure printing Le stampanti di rete sono in realtà dispositivi multifunzionali

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

IT Value. Referenze di Progetto. Settembre 2013

IT Value. Referenze di Progetto. Settembre 2013 IT Value Referenze di Progetto Settembre 2013 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione di Applicativi per il Credit

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014 MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE 27 Maggio 2014 CHI SIAMO NTT WORLD $130B Annual revenue $14B 1st Telco in revenue worldwide Interna9onal telecom Mobile operator $11B $44B $3,5B In RD

Dettagli

Un metodo di Risk Assessment semplice

Un metodo di Risk Assessment semplice Cesare Gallotti Roma, 3 marzo 2010 Il contenuto della presentazione è protetto dalla licenza Creative Commons Attribuzione Non Commerciale 2.5 Italia http://creativecommons.org/licenses/by-nc/2.5/it/ 1

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT

Introduzione ad ITIL. Information Technolgy Infrastructure Library. Che cos è ITIL. Una situazione critica. La sfida GOVERNO ICT GOVERNO ICT Che cos è ITIL Sessione didattica su ITIL per Studenti di Ingegneria Informatica Politecnico di Torino Introduzione ad ITIL 17 Ottobre 2006 Information Technolgy Infrastructure Library COGITEK s.r.l. Via

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Tanta fatica solo per un bollino ne vale davvero la pena?

Tanta fatica solo per un bollino ne vale davvero la pena? Tanta fatica solo per un bollino ne vale davvero la pena? Relatori: Paolo SFERLAZZA Alberto PERRONE Relatori Paolo Sferlazza Security Advisor CISA,LA27001,LA22301,OPST, COBIT 5, ITIL,LA9001,ISFS, ITSM,ISMA

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

L OUTSOURCING IT: BEST PRACTICE E AUDITING

L OUTSOURCING IT: BEST PRACTICE E AUDITING L OUTSOURCING IT: BEST PRACTICE E AUDITING La Sicurezza e gli SLA, PhD CISA CISSP UCCI.IT Outsourcing? Sicurezza Contratto Sicurezza Conoscere i propri sistemi Conoscere i propri dati/informazioni Conoscere

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Luca De Angelis Product Marketing Manager Dato di fatto #1: Flessibilità Dato di fatto #2:

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994 ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC)

Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC) Case Study L utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC) Sessione di studio AIEA Torino, 17 Marzo 2007 Fabio Battelli,

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli