SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE"

Transcript

1 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede. Limitarsi a un penetration test applicativo non è più sufficiente. È per questo che Spike Reply, attraverso la sua offerta Spike Application Security, offre una soluzione modulare per introdurre la sicurezza all interno del ciclo di vita del software. SCENARIO L espansione dei servizi offerti attraverso il web e il fenomeno del social networking hanno dato una forte spinta alla domanda di applicazioni sicure. La preoccupazione maggiore per gli utenti di tali servizi è quella che i loro dati non possano essere trafugati e quindi che non possano subire un danno economico a causa di un illecito informatico. D altro canto, chi fornisce un servizio, ha la preoccupazione di garantire un adeguato livello di confidenzialità dei propri servizi per guadagnare clienti e soprattutto per non subire danni economici per l esposizione ad un attacco informatico. Questi elementi hanno portato, chi pubblica servizi online attraverso applicazioni web, a ricercare nuovi modi di scrivere applicazioni intrinsecamente sicure. Spike Reply, per rispondere a questa crescente domanda, ha sviluppato l offerta Spike Application Security con lo scopo di aiutare i propri clienti nell introduzione della sicurezza in tutte le fasi del ciclo di vita del software. Reply

2 2 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE UN ARCHITETTURA MODULARE A SERVIZI Una delle caratteristiche principali di una linea di offerta che mira ad integrarsi con un workflow di sviluppo presente in un ambiente enterprise non può prescindere da una forte scalabilità e da una forte verticalità dei servizi offerti. L esperienza ci porta a categorizzare gli ambienti di sviluppo come ambienti complessi con dinamiche che devono essere affrontate in modo agile. Per questo motivo l offerta di Spike Reply è costituita da un framework di intervento formato da sei servizi: Application Architecture Risk Analysis Static Code Review Application Penetration Testing Vulnerability Remediation Secure code Guidelines Security Tools Questi sei servizi sono in grado di offire al cliente l introduzione della sicurezza in tutti i punti del ciclo di vita del software. I sei sono pensati per essere adattati alle realtà del cliente in modo da avere il minor impatto possibile, appunto per evitare di rovinare equilibri preziosi per un ambiente corporate. Per raggiungere al meglio questo obiettivo, tutti i progetti proposti da Spike Reply e che utilizzano questo framework sono preceduti da un accurata analisi dello scenario. Questa analisi, oltre a recepire l ambiente in essere dal cliente, ha lo scopo di aiutare l ambiente ad adattarsi ai cambiamenti introdotti nelle fasi del ciclo di vita del software grazie all adozione, in prima battuta, degli accorgimenti di impatto minore per il cliente. APPLICATION ARCHITECTURE SYSTEM RISK ANALYSIS Rilevare una vulnerabilità che interessa la logica applicativa (es. il meccanismo di gestione della sessione di un sito di home banking) può richiedere un effort per la remediation che non è economicamente sostenibile. Per evitare di dover disfarsi di un architettura applicativa complessa ma vulnerabile, quindi perdendo molto tempo per ricrearne una nuova, è una buona prassi quella di gettare delle buone fondamente per le applicazioni web.

3 3 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE L offerta di Spike Application Security offre proprio come primo servizio quello di assessment della logica e dell architettura applicativa attraverso una risk analysis ed un threat modeling. Per Spike Reply, aiutare gli architetti software nel disegnare un architettura applicativa che risulta solida ad un attività di threat modeling, è un obiettivo imprescindibile per ottenere del codice che sia sicuro e di qualità. Coinvolti in questa fase sono i designer dell applicazione, gli architetti ed il project manager affiancati da un esperto in disegno sicuro di applicazioni. Al termine di questa fase, come deliverable e quindi allegati alla documentazione ufficiale di progetto, il report del threat modeling ed il documento di disegno dell architettura andranno a costituire l ossatura sulla quale saranno implementati i singoli moduli applicativi. STATIC CODE REVIEW Il servizio sicuramente più innovativo tra quelli proposti nell offerta Spike Application Security. La revisione statica del codice è una pratica consolidata in America, tanto da essere citata nel paragrafo 6.6 dello standard PCI come condizione necessaria per ottenere la certificazione della propria applicazione. Nel mercato italiano, si sta prendendo in questi anni la consapevolezza di dover affiancare in qualche modo le attività di penetration test applicativo. In risposta a questa consapevolezza, Spike Reply offre ai propri clienti un servizio di revisione del codice collocato al termine della fase di sviluppo, quando ormai il codice è consolidato. Questo servizio viene erogato attraverso le metodologie descritte nella Owasp Code Review Guide e con i principali tool di revisione del codice sia commerciali che opensource. L attività viene finalizzata da un intervento manuale volto a recepire i risultati dell assessment automatico per andare ad eliminare eventuali falsi positivi cercando di contestualizzare al meglio la vulnerabilità nell ambiente del cliente. Il report di revisione statica conterrà le vulnerabilità individuate nel codice all interno di un piano di remediation con un indice di priorità di intervento, i link alla letteratura

4 4 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE esistente per comprendere meglio la problematica e un esempio di codice, opportunamente contestualizzato, che risolve la problematica in oggetto. VULNERABILITY REMEDIATION Ideale compendio del servizio di analisi statica del software, il servizio di Vulnerability remediation vuole fornire al cliente un supporto diretto ai propri sviluppatori per correggere le vulnerabilità emerse durante l attività di verifica. SECURE CODE GUIDELINE Lo sviluppatore, durante l implementazione dei requisiti funzionali, non è supportato dal punto di vista della sicurezza del codice che sta producendo. La documentazione a cui può fare riferimento tratta, solitamente aspetti del linguaggio riguardanti la mera implementazione del codice. Per questo motivo, Spike Reply, dopo aver recepito le abitudini del team di sviluppo, è in grado di dare loro supporto producendo una serie di linee guida, materiali operativi e blueprint che spieghino come utilizzare i vari linguaggi di programmazione per implementare del codice che sia robusto rispetto alle vulnerabilità note in letteratura (secondo gli standard CWE, SANS ed Owasp). SECURITY TOOL L offerta di Spike Application Security prevede il servizio di implementazione o di customizzazione di tool di analisi statica opensource per venire incontro ad esigenze particolari dei propri clienti. Spesso può nascere l esigenza di integrare un tool di analisi statica del codice in maniera del tutto trasparente rispetto alla normale operatività degli sviluppatori, ad esempio integrandolo in un sistema di change o di valutazione della qualità del software. In questi casi Spike Reply è in grado di prendere le migliori soluzioni opensource ed calarle nella realtà del cliente.

5 5 SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE All interno del Gruppo Reply SpA, Spike Reply è la società specializzata sulle tematiche relative all area della Sicurezza e della tutela dei Dati Personali. Spike Reply ha definito un offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato ad un sistema informativo: dall individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione e di implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative o di ritenzione del rischio. Spike Reply

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it

Il processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

CYBER SECURITY COMMAND CENTER

CYBER SECURITY COMMAND CENTER CYBER COMMAND CENTER Il nuovo Cyber Security Command Center di Reply è una struttura specializzata nell erogazione di servizi di sicurezza di livello Premium, personalizzati in base ai processi del cliente,

Dettagli

DEFINIO REPLY BACKTESTING

DEFINIO REPLY BACKTESTING DEFINIO REPLY BACKTESTING La piattaforma Definio Reply può essere utilizzata come strumento di supporto per l implementazione del processo di Backtesting, inteso come metodologia per misurare il carattere

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

KASPERSKY SECURITY INTELLIGENCE SERVICES

KASPERSKY SECURITY INTELLIGENCE SERVICES KASPERSKY SECURITY INTELLIGENCE SERVICES Fabio Sammartino Pre-Sales Manager Kaspersky Lab Italia KASPERSKY LAB MAJOR DISCOVERIES Duqu Flame Gauss miniflame Red October NetTraveler Careto/The Mask 3 MALWARE

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

La ISA nasce nel 1994 DIGITAL SOLUTION

La ISA nasce nel 1994 DIGITAL SOLUTION La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Fortify. Proteggete il vostro portfolio applicativo

Fortify. Proteggete il vostro portfolio applicativo Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne

Dettagli

L approccio di Consip alla sicurezza applicativa. Matteo Cavallini

L approccio di Consip alla sicurezza applicativa. Matteo Cavallini L approccio di Consip alla sicurezza applicativa Matteo Cavallini Chi sono Dal 2007 Responsabile della Struttura Operativa della Unità Locale della Sicurezza MEF/Consip che raggruppa nella propria constituency:

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive),

Dettagli

Sommario. L'Azienda I Servizi Le Soluzioni I Partner

Sommario. L'Azienda I Servizi Le Soluzioni I Partner 1 Sommario L'Azienda I Servizi Le Soluzioni I Partner 2 L azienda 3 Profilo La Società Essematica nasce nel 1987 da un team di specialisti e ricercatori informatici che, aggregando le esperienze maturate

Dettagli

SOC le ragioni che determinano la scelta di una struttura esterna

SOC le ragioni che determinano la scelta di una struttura esterna SOC le ragioni che determinano la scelta di una struttura esterna Indice Scopo Servizi SOC Descrizione Servizi Modello di Erogazione Risorse / Organizzazione Sinergia con altri servizi Conclusioni 2 Scopo

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

The quest for secure code

The quest for secure code The quest for secure code Paolo Perego Owasp Italy @eacademy 2006 Security consultant Spike Reply thesp0nge@gmail.com 4-7 Ottobre 2006 Copyright The Foundation Permission is granted to copy, distribute

Dettagli

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana

Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci a settimana Storie di successo Microsoft per le Imprese Scenario: Software e Development Settore: Servizi In collaborazione con Neomobile incentra l infrastruttura IT su Microsoft ALM, arrivando a 40 nuovi rilasci

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Quantum Leap L AZIEND

Quantum Leap L AZIEND L AZIENDA Quantum Leap, Salto di Qualità, è una società nata nel 2004 dallo spirito imprenditoriale di alcuni professionisti operanti da diversi anni nell ambito IT e nell information security. Il taglio

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Corporate profile Via A. Carrante 1/F - 70124 BARI tel. 080.21 49 681 - fax 080.21 40 682 www.mastergroupict.com info@mastergroupict.

Corporate profile Via A. Carrante 1/F - 70124 BARI tel. 080.21 49 681 - fax 080.21 40 682 www.mastergroupict.com info@mastergroupict. Corporate profile Chi siamo MasterGroup ICT è un Azienda globale di Formazione e Consulenza ICT che supporta l evoluzione delle competenze individuali e l innovazione delle organizzazioni. Si propone al

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

GRUPPO AMADORI: TRACCIABILITA DOWNSTREAM PER ALIMENTI CONFEZIONATI SURGELATI

GRUPPO AMADORI: TRACCIABILITA DOWNSTREAM PER ALIMENTI CONFEZIONATI SURGELATI GRUPPO AMADORI: TRACCIABILITA DOWNSTREAM PER ALIMENTI CONFEZIONATI SURGELATI Già da un certo tempo le architetture orientate ai servizi (SOA) hanno assicurato alle aziende un supporto di considerevole

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit Modellazione e automazione per una sicurezza attiva e preventiva Appunti metodologici Mauro Cicognini Clusit Agenda Appunti metodologici Mauro Cicognini L'esperienza ICBPI Mario Monitillo La tecnologia

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant

Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness

Dettagli

CALENDARIO EVENTI 2015

CALENDARIO EVENTI 2015 CALENDARIO EVENTI 2015 IDC BANKING FORUM 2015 Milano, 10 Febbraio Full Day PREDICTIVE SECURITY IN THE 3rd PLATFORM ERA Milano, 11 Marzo Full Day IDC SMART ENERGY FORUM 2015 Milano, 22 Aprile Half Day LEGACY

Dettagli

Case Study Certificazione BS 7799

Case Study Certificazione BS 7799 Corso di formazione Case Study Certificazione BS 7799 PRIMA GIORNATA Analisi degli standard ISO 17799 e BS7799: cosa sono, come e perché affrontare il percorso di certificazione h. 9.00: Registrazione

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK ROMA 8-9 GIUGNO 2015 ROMA 10-11 GIUGNO 2015 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37

LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK ROMA 8-9 GIUGNO 2015 ROMA 10-11 GIUGNO 2015 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 LA TECHNOLOGY TRANSFER PRESENTA KEN VAN WYK BREAKING AND FIXING WEB APPLICATIONS SECURITY PENETRATION TESTING IOS APPS ROMA 8-9 GIUGNO 2015 ROMA 10-11 GIUGNO 2015 VISCONTI PALACE HOTEL - VIA FEDERICO CESI,

Dettagli

Risk Management Richard Zoni Business Unit Manager ICT Security

Risk Management Richard Zoni Business Unit Manager ICT Security Risk Management Richard Zoni Business Unit Manager ICT Security ver 2.1 Agenda > Introduzione > Obiettivi e prospettive operative > Risk Analysis > Gap Analysis > Risk Management > Il prodotto: SkyboxView

Dettagli

OWASP Day IV: introduzione

OWASP Day IV: introduzione OWASP Day IV: introduzione Matteo Meucci OWASP-Italy Chair CEO Minded Security OWASP-Italy Day IV Milan 6th, November 2009 Copyright 2008 - The OWASP Foundation Permission is granted to copy, distribute

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato

Dettagli

GESTIONE DEL PALINSESTO DI UN PORTALE MOBILE

GESTIONE DEL PALINSESTO DI UN PORTALE MOBILE GESTIONE DEL PALINSESTO DI UN PORTALE MOBILE Per un Operatore Mobile la gestione dei contenuti sul proprio portale rappresenta un fattore chiave. L obiettivo è quello di trovare il giusto equilibrio tra

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza

Massimo Caprinali. Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza Massimo Caprinali Rational Client Technical Professional La soluzione IBM Rational per la Sicurezza 2009 IBM CIO Survey: Risk Management e Compliance sono considerati fra gli elementi piu importanti del

Dettagli

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture

SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA. Service Oriented Architecture SOA è solo tecnologia? Consigli utili su come approcciare un progetto SOA Service Oriented Architecture Ormai tutti, nel mondo dell IT, conoscono i principi di SOA e i benefici che si possono ottenere

Dettagli

Esperienze di analisi del rischio in proggeti di Information Security

Esperienze di analisi del rischio in proggeti di Information Security INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile

Dettagli

Cyber Security e Information Assurance

Cyber Security e Information Assurance Cyber Security e Information Assurance Offriamo servizi in tempo reale e soluzioni tecnologiche sviluppate per prevenire, individuare e contrastare le minacce più sofisticate e persistenti, preservando

Dettagli

La circolare 263 di Banca d Italia

La circolare 263 di Banca d Italia La circolare 263 di Banca d Italia Supporto operativo alla compliance 15 Aprile 2014 Massimo Crubellati CAST Italia m.crubellati@castsoftware.com Il supporto CAST: Titolo V, Capitolo 8, 15 agg. 263 Standard:

Dettagli

Iniziativa : "Sessione di Studio" a Milano

Iniziativa : Sessione di Studio a Milano Iniziativa : "Sessione di Studio" a Milano Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,

Dettagli

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE

MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE OFFERTA FORMATIVA Titolo: MASTER SPECIALISTICO IN PROGRAMMAZIONE E CONTROLLO DI GESTIONE Padova, Roma e Bologna. Destinatari: Il Master si rivolge a laureati, preferibilmente in discipline economiche,

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA. L arte di costruire ROMA 3-5 DICEMBRE 2012 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37

LA TECHNOLOGY TRANSFER PRESENTA. L arte di costruire ROMA 3-5 DICEMBRE 2012 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 LA TECHNOLOGY TRANSFER PRESENTA KENNETH VAN WYK L arte di costruire applicazioni sicure per ios e Android ROMA 3-5 DICEMBRE 2012 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it

Dettagli

Services Portfolio per gli Istituti Finanziari

Services Portfolio per gli Istituti Finanziari Services Portfolio per gli Istituti Finanziari Servizi di consulenza direzionale e sviluppo sulle tematiche di Security, Compliance e Business Continuity 2015 Summary Chi siamo Il modello operativo di

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

Business Analysis. Emiliano Castellina Senior Consultant

Business Analysis. Emiliano Castellina Senior Consultant Business Analysis Emiliano Castellina Senior Consultant Presentazione Reply è una società di Consulenza, System Integration e Application Management. Reply unisce competenze verticali di mercato, con il

Dettagli

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

CORPORATE GOVERNANCE. Implementare una corporate governance efficace CORPORATE GOVERNANCE Implementare una corporate governance efficace 2 I vertici aziendali affrontano una situazione in evoluzione Stiamo assistendo ad un cambiamento senza precedenti nel mondo della corporate

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Information Security Management Percorso Executive e Corsi brevi 11 Edizione. Contatti: www.securman.it securman@cefriel.com tel. 02.23954.

Information Security Management Percorso Executive e Corsi brevi 11 Edizione. Contatti: www.securman.it securman@cefriel.com tel. 02.23954. Information Security Management Percorso Executive e Corsi brevi 11 Edizione Contatti: www.securman.it securman@cefriel.com tel. 02.23954.1 INDICE Obiettivi del catalogo e Direzione 03 Percorso Executive

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 Gestione dell emergenza nel processo di integrazione SIA-SSB Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008 sia ssb 2008 Agenda Il Gruppo SIA-SSB - Aree di Business La struttura di Risk

Dettagli

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare! Si può fare! Premessa La sicurezza informatica La sicurezza rappresenta uno dei più importanti capisaldi dell informatica, soprattutto da quando la diffusione delle reti di calcolatori e di Internet in

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Blue Bay Tech Srl. www.bluebaytech.it info@bluebaytech.it COMPANY OVERVIEW

Blue Bay Tech Srl. www.bluebaytech.it info@bluebaytech.it COMPANY OVERVIEW Blue Bay Tech Srl www.bluebaytech.it info@bluebaytech.it COMPANY OVERVIEW La società L'azienda BLUE BAY TECH Srl nasce nel 2011 dall incontro di professionisti da anni impegnati nel mondo ICT dei servizi

Dettagli

POWER REPLY E ORACLE UTILITIES - UNA PARTNERSHIP DI GRANDE SUCCESSO

POWER REPLY E ORACLE UTILITIES - UNA PARTNERSHIP DI GRANDE SUCCESSO POWER REPLY E ORACLE UTILITIES - UNA PARTNERSHIP DI GRANDE SUCCESSO La collaborazione tra Power Reply e Oracle è iniziata nel 2006 tramite la Lodestar Corporation, un azienda statunitense specializzata

Dettagli

DEFINIO REPLY WEALTH MANAGEMENT

DEFINIO REPLY WEALTH MANAGEMENT DEFINIO REPLY WEALTH MANAGEMENT Definio Reply dà una risposta concreta ed efficiente alle richieste sempre più pressanti provenienti dal mercato del risparmio gestito, in termini di strumenti di analisi

Dettagli

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO Allegato A CAPITOLATO TECNICO PROCEDURA APERTA PER L AFFIDAMENTO DI SERVIZI PROFESSIONALI PER L ANALISI E LA REDAZIONE DI DOCUMENTAZIONE INERENTE LA GESTIONE DELLA SICUREZZA INFORMATICA. DETERMINA A CONTRARRE

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Riccardo Zanchi Partner NetConsulting Milano, Osteria del Treno 24 giugno 2008 Agenda Il contesto del mercato della security

Dettagli

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ.

I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. ANALISI 12 Luglio 2012 I TOOL A SUPPORTO DELL'ICT MANAGEMENT: UTILITÀ, MODALITÀ D'USO E PRINCIPALI CRITICITÀ. Le sfide a cui deve rispondere l IT e i tool di ICT Management Analisi a cura di Andrea Cavazza,

Dettagli

Operational Risk vs Advanced IT RISK

Operational Risk vs Advanced IT RISK Operational Risk vs Advanced IT RISK Claudio Ruffini 24 Giugno 2015 L evoluzione normativa in tema di sicurezza informatica Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012

L Azienda Digitale. Viaggio nell'italia che compete. Executive Summary. Novembre 2012 L Azienda Digitale Viaggio nell'italia che compete Executive Summary Novembre 2012 Realizzato da NetConsulting per Repubblica Affari&Finanza e Samsung Evento Territoriale di Verona NetConsulting 2012 1

Dettagli

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

DEFINIO REPLY FINANCIAL PLATFORM

DEFINIO REPLY FINANCIAL PLATFORM DEFINIO REPLY FINANCIAL PLATFORM Definio Reply è una piattaforma tecnologica in grado di indirizzare le esigenze di gestione, analisi e reporting su portafogli di strumenti finanziari (gestiti, amministrati,

Dettagli

Le linee guida OWASP per la sicurezza applicativa

Le linee guida OWASP per la sicurezza applicativa Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission

Dettagli

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management 10-dic-2008 Osservatorio P 3 MO Il PMO come strumento di diffusione ed enforcement della cultura di Project Management Oscar Pepino Consigliere Esecutivo Reply S.p.A. 2 Sommario Gruppo Reply - scenario

Dettagli

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia

RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia RISK MANAGEMENT: Gestione integrata dei sistemi nell esperienza di Aler Brescia Si definisce Risk Management - o gestione del rischio - il complesso di attività mediante le quali si misura o si stima il

Dettagli

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M.

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. I C o n s u l e n z a S e t t o r e I T - C o n s u l e n z a

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

TSecNet. Soluzioni per la security Bologna 29 marzo 2012. Pietro Cecilia. Tecnology Security Networking

TSecNet. Soluzioni per la security Bologna 29 marzo 2012. Pietro Cecilia. Tecnology Security Networking TSecNet Tecnology Security Networking Soluzioni per la security Bologna 29 marzo 2012 Pietro Cecilia Chi Siamo - Dove Siamo TSecNet nasce per soddisfare le sempre più crescenti esigenze di sicurezza con

Dettagli