Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Domenico Ercolani Come gestire la sicurezza delle applicazioni web"

Transcript

1 Domenico Ercolani Come gestire la sicurezza delle applicazioni web

2 Agenda Concetti generali di sicurezza applicativa La soluzione IBM

3 La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow Cookie Poisoning Hidden Fields Cross Site Scripting Stealth Commanding Parameter Tampering Forceful Browsing SQL Injection Etc % di attacchi % di euro 75% 25% Applicazioni Web Server Rete 10% 90% 75% 2/3 degli attacchi alla sicurezza informatica sono diretti verso il livello delle applicazioni Web di tutte le applicazioni Web sono considerate vulnerabili Sources: Gartner, Watchfire

4 Perchè è importante gestire la sicurezza durante l intero ciclo di sviluppo? Codifica Compilazione Qualità Sicurezza Produzione Sviluppatori Sviluppatori Sviluppatori

5 +Qualità + Sicurezza = Riduzione Costi L 80% dei costi di sviluppo è speso per individuare e correggere i difetti! During the coding phase $25/defect During the build phase $100/defect During the QA/Testing phase $450/defect I costi di correzione dei difetti aumentano Once released as a product $16,000/defect

6 Maturità del modello di Security Test Evoluzione della Web Application Security In-House White-Grey Strategic Black Box In-House Analysis Evangelization Sicurezza pienamente integrata nel ciclo di vita delle applicazioni e parte Integrante del processo di Quality Assurance Condivisione dei risultati degli Audit con gli Sviluppatori e definizione di metodologie di sviluppo sicure basate sulle best-practice Black In-House Box Tactical Analysis Audit da parte dell Ufficio Sicurezza e/o QA sulle applicazioni in Produzione o in Pre-Produzione Oursourced Vulnerability Assessment affidati a società specializzate per le applicazioni più critiche Nothing

7 IBM Rational AppScan Overview

8 Rational Software Quality Management IBM Collaborative Application Lifecycle Management Rational Quality Manager Quality Dashboard Requirements Management Test Management and Execution Defect Management Create Plan Build Tests Manage Test Lab Report Results Best Practice Processes Functional Testing SAP Java Performance Testing JAZZ TEAM SERVER Open Lifecycle Service Integrations Web Service Quality Code Quality System z, i.net Security and Compliance

9 Rational AppScan per l analisi dinamica (black-box analysis) AppScan è la soluzione leader di mercato per l identificazione delle vulnerabilità della sicurezza applicativa (in modalità Black-box) e del relativo processo di risoluzione AppScan offre una soluzione per tutte le tipologie di test di sicurezza applicativa - esternalizzato, a livello utente o aziendale Fornisce report descrittivi ed operativi con azioni e raccomandazioni concrete AppScan automatizza le attività di test della sicurezza applicativa Dai responsabili della qualità per garantire che le applicazioni siano sicure prima di essere rilasciate Dai certificatori per monitorare continuamente lo stato della sicurezza

10 Rational AppScan per l analisi dinamica (black-box analysis) Naviga sull applicazione e costruisce il site model Determina i tipi di attacchi basandosi sulle Test policy selezionate Esegue i test mandando verso l applicazione richieste HTTP modificate ed esamina le risposte HTTP utilizzando regole di validazione HTTP Request Web Application HTTP Response

11 Rational AppScan per l analisi statica (white-box analysis) Soluzioni di Web Application Security per lo Sviluppo AppScan Developer Edition permette agli sviluppatori di effettuare test di sicurezza Plug-in dell ambiente di sviluppo AppScan Build Edition assicura che tutto il codice sia stato controllato prima della compilazione Integrato con le soluzioni di Build Automation

12 Rational AppScan per l analisi statica (white-box analysis) Total Potential Security Issues GREY BOX Analisi del codice durante l esecuzione dell applicazione ANALISI Static Analysis Runtime Analysis COMBINATA Dynamic Analysis BLACK BOX Analisi tramite richieste HTTP con riferimento diretto delle vulnerabilità al codice WHITE BOX Analisi del codice fatta dal programmatore

13 Rational AppScan per l analisi statica (white-box analysis) Rational AppScan Developer e Build Edition Disegnata per gli Sviluppatori, non Auditors Self-Serve Non richiede competenze di sicurezza Naturalmente integrata nel processo / tools di SDLC (Software Development Life Cycle)

14 Black- Box Analysis vs. White-Box Analysis Analisi Plus Minus Black Box White / Grey Box - Completa perchè esamina l intero enviroment dell applicazione - Effettuabile anche senza avere il codice a disposizione - Utilizzabile su tutte le applicazioni web perchè non legata al linguaggio di sviluppo, compreso web-services e web 2.0 (Ajax) - Basso impatto organizzativo - Eseguibile all inizio del ciclo di vita - Le vulnerabilità rilevate sono riferite direttamente al codice - Utilizzabile su tutte le tipologie di applicazioni, non solo web (dipende da quali ambienti di sviluppo / linguaggi sono coperti) - Si deve avere a disposizione un eseguibile (quindi già avanti nel ciclo di sviluppo) - Le vulnerabilità individuate sono riferite al campo / pagina - Utilizzabile sono per applicazioni web (protocollo HTTP - HTTPs) - Può identificare solo una parte delle potenziali vulnerabilità - Elevato numero di falsi positivi - Disponibile solo per alcuni ambienti di sviluppo / linguaggi - Alto impatto organizzativo

15 D O M A N D E?

Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web

Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Domenico Ercolani Gestire la sicurezza e la compliance delle applicazioni web Agenda Concetti generali di sicurezza applicativa Rational AppScan Standard / Enterprise Edition Source Edition > Black-Box

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Come gestire al meglio la sicurezza e la compliance delle applicazioni Web

Come gestire al meglio la sicurezza e la compliance delle applicazioni Web IBM Software Group Come gestire al meglio la sicurezza e la compliance delle applicazioni Web Paolo Cravino paolo_cravino@it.ibm.com Senior IT Specialist Solution Leader 2008 IBM Corporation Agenda Concetti

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software

Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele. Qualità del Software Noi siamo quello che facciamo ripetutamente. Perciò l'eccellenza non è un'azione, ma un'abitudine. Aristotele Qualità del Software Quality Assurance per tutte le esigenze Web Site Testing Mobile Application

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Collaudo e qualità del software Quali test eseguire

Collaudo e qualità del software Quali test eseguire Collaudo e qualità del software Relatore Ercole Colonese Roma, Tipologie di test Temi trattati nel libro Modello a V Livelli di testing Tipi di test Test funzionali Test delle funzionalità Test di gestione

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Introduzione alle problematiche di hacking

Introduzione alle problematiche di hacking Introduzione alle problematiche di hacking Approfondire ed applicare le tecniche utilizzate dagli esperti di sicurezza, per far fronte agli attacchi informatici ed alle più comuni problematiche a cui i

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

Fortify. Proteggete il vostro portfolio applicativo

Fortify. Proteggete il vostro portfolio applicativo Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne

Dettagli

IBM Rational AppScan: gestire la sicurezza delle applicazioni e la conformità normativa

IBM Rational AppScan: gestire la sicurezza delle applicazioni e la conformità normativa IBM Software Sicurezza Rational IBM Rational AppScan: gestire la sicurezza delle applicazioni e la conformità normativa Identificare, classificare in ordine di priorità, monitorare e correggere le vulnerabilità

Dettagli

RANDY RICE USER ACCEPTANCE TESTING LA TECHNOLOGY TRANSFER PRESENTA ROMA 3-4 GIUGNO 2008 ROMA 5-6 GIUGNO 2008

RANDY RICE USER ACCEPTANCE TESTING LA TECHNOLOGY TRANSFER PRESENTA ROMA 3-4 GIUGNO 2008 ROMA 5-6 GIUGNO 2008 LA TECHNOLOGY TRANSFER PRESENTA RANDY RICE STRUCTURED USER ACCEPTANCE TESTING TESTING SOA ROMA 3-4 GIUGNO 2008 ROMA 5-6 GIUGNO 2008 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

Spett.le Clever Consulting Via Broletto, 39 20121 Milano

Spett.le Clever Consulting Via Broletto, 39 20121 Milano Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni

Dettagli

Aspetti di sicurezza per l innovazione nel Web

Aspetti di sicurezza per l innovazione nel Web Aspetti di sicurezza per l innovazione nel Web Attacchi tipo Drive-by Downloads e x-morphic Simone Riccetti IBM Security Services Sr. IT Security Architect Agenda Web 2.0: Evoluzione delle minacce Attacchi

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto

Dettagli

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

Software Testing. Lezione 1 Introduzione al processo di testing. Federica Spiga. federica_spiga@yahoo.it. A.A. 2010-2011 Autori: A. Bei/F.

Software Testing. Lezione 1 Introduzione al processo di testing. Federica Spiga. federica_spiga@yahoo.it. A.A. 2010-2011 Autori: A. Bei/F. Software Testing Lezione 1 Introduzione al processo di testing Federica Spiga federica_spiga@yahoo.it A.A. 2010-2011 Autori: A. Bei/F.Spiga 1 2 Definizione di Software Testing Glen Myers -The Art of Software

Dettagli

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA TESTING SOA TESTING CLOUD APPLICATIONS ROMA 7-8 NOVEMBRE 2011 ROMA 9-11 NOVEMBRE 2011

LA TECHNOLOGY TRANSFER PRESENTA TESTING SOA TESTING CLOUD APPLICATIONS ROMA 7-8 NOVEMBRE 2011 ROMA 9-11 NOVEMBRE 2011 LA TECHNOLOGY TRANSFER PRESENTA RANDY RICE TESTING SOA TESTING CLOUD APPLICATIONS ROMA 7-8 NOVEMBRE 2011 ROMA 9-11 NOVEMBRE 2011 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it

Dettagli

TXT e-solutions. Passion for Quality. Marzo 2014

TXT e-solutions. Passion for Quality. Marzo 2014 TXT e-solutions Passion for Quality Marzo 2014 TXT e-solutions S.p.A. Fornitore Internazionale di prodotti e soluzioni software dedicati a Grandi Clienti Un azienda solida, con budget raggiunti e bilanci

Dettagli

Continuous Improvement della Qualità IT

Continuous Improvement della Qualità IT Relatori: Claudio Gaiani, Assioma.net - QA Manager Paolo Baracco, Intesa Sanpaolo IT Architect Continuous Improvement della Qualità IT L esperienza di un grande gruppo bancario Software Testing Forum -

Dettagli

ALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI

ALLEGATO 8.1 DESCRIZIONE PROFILI PROFESSIONALI PROCEDURA DI SELEZIONE PER L AFFIDAMENTO DEL SERVIZIO DI PROGETTAZIONE, ANALISI, SVILUPPO, MANUTENZIONE ADEGUATIVA, CORRETTIVA ED EVOLUTIVA DI SISTEMI INFORMATIVI SU PIATTAFORMA IBM WEBSPHERE BPM (EX LOMBARDI)

Dettagli

Introduzione all Agile Software Development

Introduzione all Agile Software Development IBM Rational Software Development Conference 5RPDRWWREUH 0LODQR RWWREUH Introduzione all Agile Software Development 0DULDQJHOD2UPH Solution Architect IBM Rational Services PRUPH#LWLEPFRP 2008 IBM Corporation

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione

Dettagli

Technology Consulting and Engineering IMPOSTAZIONE STRATEGICA E GOVERNANCE DELLE ATTIVITÀ DI TEST

Technology Consulting and Engineering IMPOSTAZIONE STRATEGICA E GOVERNANCE DELLE ATTIVITÀ DI TEST Technology Consulting and Engineering IMPOSTAZIONE STRATEGICA E GOVERNANCE DELLE ATTIVITÀ DI TEST AGENDA ALTEN Italia Quanto è importante il testing? Testing Governance: processi e strategia Dal Risk Management

Dettagli

Ferdinando Gorga Rational Europe Tiger Team Twitter: @fergor. Come la tecnologia Rational induce consistenti risparmi economici nei progetti software

Ferdinando Gorga Rational Europe Tiger Team Twitter: @fergor. Come la tecnologia Rational induce consistenti risparmi economici nei progetti software Ferdinando Gorga Rational Europe Tiger Team Twitter: @fergor Come la tecnologia Rational induce consistenti risparmi economici nei progetti software Come risparmiare 10.000 euro all'anno a sviluppatore

Dettagli

ALTEN ITALIA ACADEMY progetta ed eroga ai propri Clienti e Dipendenti formazione professionale nelle seguenti aree tematiche:

ALTEN ITALIA ACADEMY progetta ed eroga ai propri Clienti e Dipendenti formazione professionale nelle seguenti aree tematiche: ALTEN ITALIA ACADEMY è l ente di formazione specialistica del gruppo ALTEN in Italia che in ragione del proprio accreditamento, talvolta esclusivo, con alcuni dei più importanti schemi di certificazione

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale

Sistemi elettronici per la sicurezza dei veicoli: presente e futuro. Il ruolo della norma ISO 26262 per la Sicurezza Funzionale 18 aprile 2012 Il punto di vista dell OEM sulla norma ISO 26262 per la Sicurezza Funzionale dei veicoli: la sfida dell integrazione nei processi aziendali Marco Bellotti Functional Safety Manager Contenuti

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY. contactus@omniagroup.it +39 055 53 83 250

OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY. contactus@omniagroup.it +39 055 53 83 250 OMNIA GROUP BUSINESS SECURIY 2014 KEEP YOUR BUSINESS SAFE ISECURIY OMNIA contactus@omniagroup.it +39 055 53 83 250 1 I SECURIY OMNIA // SOLUZIONI AVANZAE PER LA SICUREZZA INFORMAICA est sulle vulnerabilità,

Dettagli

Reply Business Intelligence Overview

Reply Business Intelligence Overview Reply Business Intelligence Overview 2 Coverage B.I. Competency Center Analytical Systems Development Process Analisi di dettaglio Definizione dell Ambito Assessment Aree di Business Interessate Business

Dettagli

Test e collaudo del software Continuous Integration and Testing

Test e collaudo del software Continuous Integration and Testing Test e collaudo del software Continuous Integration and Testing Relatore Felice Del Mauro Roma, Cosa è la Continuous Integration A software development practice where members of a team integrate their

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti

PHOENIX S.P.A. ANALISI DI SICUREZZA. Milano, 31 Ottobre 2008. Nome e Cognome Società Ruolo Riferimenti PHOENIX S.P.A. ANALISI DI SICUREZZA Milano, 31 Ottobre 2008 PARTECIPANTI Nome e Cognome Società Ruolo Riferimenti Gianluca Vadruccio Ivan Roattino Silvano Viviani Hacking Team Hacking Team Direzione Tecnica

Dettagli

IBM UrbanCode Deploy Live Demo

IBM UrbanCode Deploy Live Demo Dal 1986, ogni giorno qualcosa di nuovo Marco Casu IBM UrbanCode Deploy Live Demo La soluzione IBM Rational per il Deployment Automatizzato del software 2014 www.gruppoconsoft.com Azienda Nata a Torino

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

L'evoluzione nella gestione dei Processi l IIM (Integrated IT Management)

L'evoluzione nella gestione dei Processi l IIM (Integrated IT Management) L'evoluzione nella gestione dei Processi l IIM (Integrated IT ) Claudio Sangiorgi IT Governance Solutions claudio.sangiorgi@it.compuware.com +39.02.66123.235 Sezione di Studio AIEA 25 Novembre 2005 Verona

Dettagli

Dallo sviluppo all'esercizio: application lifecycle management a 360

Dallo sviluppo all'esercizio: application lifecycle management a 360 Dallo sviluppo all'esercizio: application lifecycle management a 360 Laura Venturini IBM Rational software email: laura_venturini@it.ibm.com Umberto Fogagnolo IBM Tivoli software email: umberto_fogagnolo@it.ibm.com

Dettagli

Business white paper. Sette best practice per creare applicazioni che rispondano alle esigenze aziendali

Business white paper. Sette best practice per creare applicazioni che rispondano alle esigenze aziendali Business white paper Sette best practice per creare applicazioni che rispondano alle esigenze aziendali Indice 3 Sommario esecutivo 3 Introduzione 3 Best practice a livello aziendale 5 Best practice a

Dettagli

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato

Intalio. Leader nei Sistemi Open Source per il Business Process Management. Andrea Calcagno Amministratore Delegato Intalio Convegno Open Source per la Pubblica Amministrazione Leader nei Sistemi Open Source per il Business Process Management Navacchio 4 Dicembre 2008 Andrea Calcagno Amministratore Delegato 20081129-1

Dettagli

Università degli studi di Salerno Corso di Ingegneria del Software 2. Sesa Maintenance - Project Thesis

Università degli studi di Salerno Corso di Ingegneria del Software 2. Sesa Maintenance - Project Thesis Università degli studi di Salerno Corso di Ingegneria del Software 2 Sesa Maintenance - Project Thesis Martedì 17 Luglio 2012 Sesa Lab - Maintenance Change Request: Aggiungere al sito Sesa una sezione

Dettagli

KEN VAN WYK. Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software

KEN VAN WYK. Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK Fondamenti di Secure Coding e metodi di Testing contro le violazioni del Software ROMA 2-6 OTTOBRE 2006 RESIDENZA DI RIPETTA - VIA DI RIPETTA, 231 info@technologytransfer.it

Dettagli

Le certificazioni ISC² : CISSP CSSLP SSCP

Le certificazioni ISC² : CISSP CSSLP SSCP Le certificazioni ISC² : CISSP CSSLP SSCP Chi è ISC² (ISC)² = International Information Systems Security Certification Consortium (ISC)²is the non-profit international leader dedicated to training, qualifying

Dettagli

ALTEN è ad oggi training Provider:

ALTEN è ad oggi training Provider: L ALTEN ITALIA ACADEMY è l ente di formazione specialistica del gruppo ALTEN in Italia che, in ragione del proprio accreditamento, talvolta esclusivo, con alcuni dei più importanti schemi di certificazione

Dettagli

Le linee guida OWASP per la sicurezza applicativa

Le linee guida OWASP per la sicurezza applicativa Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Pieces of Technology at your service. Jtest

Pieces of Technology at your service. Jtest Pieces of Technology at your service Jtest JAVA ANALISI STATICHE, REVISIONE CODICE, UNITÀ DI TEST, RILEVAMENTO ERRORI RUNTIME Jtest è la soluzione di sviluppo e test per applicazioni Java che automatizza

Dettagli

Valorizzazione della professionalità di SW Quality Assurance

Valorizzazione della professionalità di SW Quality Assurance Valorizzazione della professionalità di SW Quality Assurance 17 Esther BEVERE Miriam MERENDA ALTEN Italia Agenda Rilevanza della Professionalità del Software Tester Professionalità nel Testing Percorsi

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Software Embedded Integration Testing. Ing. Matteo Maglio Milano, 17 Febbraio 2011

Software Embedded Integration Testing. Ing. Matteo Maglio Milano, 17 Febbraio 2011 Software Embedded Integration Testing Ing. Matteo Maglio Milano, 17 Febbraio 2011 Chi siamo Skytechnology è una società di ingegneria che opera nell area dei sistemi embedded aiutando i propri Clienti

Dettagli

Secure Code Review: dalla teoria alla pratica

Secure Code Review: dalla teoria alla pratica Secure Code Review: dalla teoria alla pratica Antonio Parata http://www.emaze.net Antonio.parata@emaze.net OWASP-Day III Centro di Competenza ICT-Puglia - Dipartimento di Informatica Università degli Studi

Dettagli

Novità di Visual Studio 2008

Novità di Visual Studio 2008 Guida al prodotto Novità di Visual Studio 2008 Introduzione al sistema di sviluppo di Visual Studio Visual Studio Team System 2008 Visual Studio Team System 2008 Team Foundation Server Visual Studio Team

Dettagli

Pieces of Technology at your service. dottesttm

Pieces of Technology at your service. dottesttm Pieces of Technology at your service dottesttm DOTNET - AUTOMATIZZAZIONE DELL ANALISI STATICA, CODE REVIEW, TEST UNIT dottest è una soluzione di test di sviluppo integrato per automatizzare una vasta gamma

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA ROMA 18-20 GIUGNO 2012 ROMA 21-22 GIUGNO 2012 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37

LA TECHNOLOGY TRANSFER PRESENTA ROMA 18-20 GIUGNO 2012 ROMA 21-22 GIUGNO 2012 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 LA TECHNOLOGY TRANSFER PRESENTA RANDY RICE TESTING DI SISTEMI LEGACY COMPLESSI E NON DOCUMENTATI PRACTICAL SOFTWARE TEST AUTOMATION ROMA 18-20 GIUGNO 2012 ROMA 21-22 GIUGNO 2012 VISCONTI PALACE HOTEL -

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

La sicurezza delle applicazioni

La sicurezza delle applicazioni La sicurezza delle applicazioni -dal modello tradizionale al cloud- Simone Riccetti, IT Security Architect IBM Italy 2009 IBM Corporation Vulnerabilità riportate dai vendor Rispetto all H1 2009 c è stato

Dettagli

Application Lifecycle Management

Application Lifecycle Management Application Lifecycle Management Bologna 09/06/2011 Giacomo Borri AIVEBST S.p.A. Agenda Chi siamo Azienda Referenze Application Lifecycle Management Un caso pratico: What If Visual Studio ALM 2 AIVEBST

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it

Dettagli

Iniziativa : "Sessione di Studio" a Roma. Roma, 9 ottobre 2008. Hotel Universo. 7 ottobre p.v.

Iniziativa : Sessione di Studio a Roma. Roma, 9 ottobre 2008. Hotel Universo. 7 ottobre p.v. Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack

serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack serena.com IL SUCCESSO DIPENDE DAI PROCESSI Velocizzateli con Serena TeamTrack SERENA TEAMTRACK Serena TeamTrack è un sistema per la gestione dei processi e dei problemi basato sul Web, sicuro e altamente

Dettagli

Verifica del codice con Interpretazione Astratta

Verifica del codice con Interpretazione Astratta Verifica del codice con Interpretazione Astratta Daniele Grasso grasso@dsi.unifi.it grasso.dan@gmail.com Università di Firenze, D.S.I., Firenze, Italy December 15, 2009 D.Grasso (Università di Firenze)

Dettagli

Good Practice Guide: Calibration Management

Good Practice Guide: Calibration Management Predictive Maintenance & Calibration Milano 14 dicembre 2005 GAMP Good Practice Guide: Calibration Management Giorgio Civaroli Le GAMP Good Practice Guides Calibration Management Validation of Process

Dettagli

ERP Security e Audit: un modello per costruire una soluzione automatizzata

ERP Security e Audit: un modello per costruire una soluzione automatizzata ERP Security e Audit: un modello per costruire una soluzione automatizzata 19 Aprile 2007 Eleonora Sassano Contenuti Evoluzione Sistemi Informativi Impatto sul sistema di controllo interno Obiettivi di

Dettagli

Riccardo Sponza Technical Evangelism Manager Microsoft Italia

Riccardo Sponza Technical Evangelism Manager Microsoft Italia Riccardo Sponza Technical Evangelism Manager Microsoft Italia SOA/EDA Composite Apps Software + Services Esercizio EAI Integrazione Punto-a-Punto Web services Consolidamento dell Infrastruttira Razionalizzazione

Dettagli

SCD IS. Processi software. Processi Software. UniPD - 2009 - Ingegneria del Software mod. A 1. Definizioni. Modelli di ciclo di vita

SCD IS. Processi software. Processi Software. UniPD - 2009 - Ingegneria del Software mod. A 1. Definizioni. Modelli di ciclo di vita Processi software Anno accademico 2009/10 Ingegneria del mod. A Tullio Vardanega, tullio.vardanega@math.unipd.it SCD IS Definizioni Ciclo di vita Copre l evoluzione di un prodotto dal concepimento al ritiro

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Instant Messaging e Peerto-Peer

Instant Messaging e Peerto-Peer Instant Messaging e Peerto-Peer Postecom Security Service Versione: 1.0 Security Service Unit 2 La Sicurezza è nel DNA dell azienda Postecom ma la mappa è lungi dall essere completata! I servizi ed i prodotti

Dettagli

DRUPAL CONTINUOUS INTEGRATION. Parte I - Introduzione

DRUPAL CONTINUOUS INTEGRATION. Parte I - Introduzione DRUPAL CONTINUOUS INTEGRATION Parte I - Introduzione La Continuous Integration è una pratica di sviluppo software nella quale i membri di un team integrano il proprio lavoro di frequente, spesso con cadenza

Dettagli

Progetto AURELIA: la via verso il miglioramento dei processi IT

Progetto AURELIA: la via verso il miglioramento dei processi IT Progetto AURELIA: la via verso il miglioramento dei processi IT Maurizio Coluccia Agenda BNL - BNP Paribas: IT Convergence Projects Il programma Il progetto Aurelia Il perimetro del progetto e le interfacce

Dettagli

Progettare, sviluppare e gestire seguendo la Think it easy philosophy

Progettare, sviluppare e gestire seguendo la Think it easy philosophy Progettare, sviluppare e gestire seguendo la Think it easy philosophy CST Consulting è una azienda di Consulenza IT, System Integration & Technology e Servizi alle Imprese di respiro internazionale. E

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Security policy e Risk Management: la tecnologia BindView

Security policy e Risk Management: la tecnologia BindView NETWORK SECURITY COMPANY Security policy e Risk Management: la tecnologia BindView www.bindview.com Luca Ronchini lr@symbolic.it Security policy e Risk Management : vulnerabilty management e security assessment,

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Attivitá e prospettive per la

Attivitá e prospettive per la Attivitá e prospettive per la sicurezza ICT ForumPA 2005 Roma, 9 Maggio Andrea Valboni andreav@microsoft.com Chief Technology Officer Settore Pubblico Microsoft Italia Agenda Programmi per i Governi Security

Dettagli

Adozione del Cloud: Le Domande Inevitabili

Adozione del Cloud: Le Domande Inevitabili Adozione del Cloud: Le Domande Inevitabili All IT Aziendale Quali sono i rischi che non esistevano negli ambienti fisici o virtualmente statici? Ho bisogno di separare ruoli di amministratore dei server

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Riccardo Paganelli Analisi, Reporting, Dashboard, Scorecard per prendere le migliori decisioni: Cognos 8 BI

Riccardo Paganelli Analisi, Reporting, Dashboard, Scorecard per prendere le migliori decisioni: Cognos 8 BI Riccardo Paganelli Analisi, Reporting, Dashboard, Scorecard per prendere le migliori decisioni: Cognos 8 BI Information On Demand Business Optimization Strumenti per comprendere meglio le informazioni

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Centro Nazionale per l Informatica nella Pubblica Amministrazione. Gara a procedura aperta n. 1/2007. per l appalto dei

Centro Nazionale per l Informatica nella Pubblica Amministrazione. Gara a procedura aperta n. 1/2007. per l appalto dei Centro Nazionale per l Informatica nella Pubblica Amministrazione Gara a procedura aperta n. 1/2007 per l appalto dei Servizi di rilevazione e valutazione sullo stato di attuazione della normativa vigente

Dettagli

ALTEN ITALIA ACADEMY

ALTEN ITALIA ACADEMY Catalogo Corsi ALTEN ITALIA ACADEMY 1/17 ALTEN Italia S.p.A. Società Unipersonale Sistema Qualità Certificato UNI EN ISO 9001 Sede Legale e Amm.va: Via G. Crespi, 12-20134 Milano - Altre sedi: Bologna,

Dettagli

Strumenti di Migrazione, Testing Applicativo e Infrastrutturale

Strumenti di Migrazione, Testing Applicativo e Infrastrutturale Strumenti di Migrazione, Testing Applicativo e Infrastrutturale Domenico Fortunato Oracle System and Application Management (SAM) Specialist domenico.fortunato@oracle.com Application

Dettagli

GRUPPO PARTNERS ASSOCIATES IT GLOBAL INDUSTRY

GRUPPO PARTNERS ASSOCIATES IT GLOBAL INDUSTRY PROFILE 2015 GRUPPO PARTNERS ASSOCIATES IT GLOBAL INDUSTRY PA GROUP> Leader nel settore IT. Dal 1998 fornisce prodotti e soluzioni best in class nei diversi settori di competenza: Finanza, Industria, PA,

Dettagli

PROFILO AZIENDALE NET STUDIO 2015

PROFILO AZIENDALE NET STUDIO 2015 PROFILO AZIENDALE NET STUDIO 2015 NET STUDIO 2015 Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration,

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Introduzione di nuove logiche di

Introduzione di nuove logiche di Introduzione di nuove logiche di Romano Brida Venezia Mestre, 6 Ottobre 01 1 Obiettivi del documento Presentare l'approccio NTT DATA al Performance & Quality Management lungo il ciclo di vita del software

Dettagli