L analisi del rischio: il modello statunitense

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "L analisi del rischio: il modello statunitense"

Transcript

1 L analisi del rischio: il modello statunitense La sicurezza nelle agenzie federali USA La gestione della sicurezza in una Nazione deve affrontare ulteriori problemi rispetto a quella tipica di una Azienda. Infatti è necessario avere un uniformità di obiettivi un uniformità di progettazione e di soluzioni tecniche ed infine risulta di fondamentale importanza l ottimizzazione delle risorse umane. Negli USA in seguito agli eventi dell 11 settembre 2001, è stata rinforzata la strategia di messa in sicurezza delle Agenzie Federali, anche mediante il progetto FISMA (Federal Information Security Management Act. Il FISMA Implementation Project è stato istituito nel gennaio 2003 al fine di produrre gli standard di sicurezza e le linee guida richieste dal Congresso degli Stati Uniti d America. La vision del FISMA Il raggiungimento degli obiettivi stabiliti dal congresso avviene attraverso i seguenti elementi: 1) Standard per la classificazione delle informazioni; 2) Standard per l individuazione di requisiti minimi di sicurezza per le informazioni e i sistemi informativi; 3) Linee guida per la selezione degli appropriati controlli che devono essere attuati nei sistemi informativi; 4) Linee guida per la verifica dell efficacia dei controlli di sicurezza realizzati; 5) Linee guida per la certificazione dei sistemi informativi. Gli obiettivi principali sono cosi elencati: a) realizzare programmi di sicurezza che siano basati sull analisi e la gestione dei rischi e siano cost-effective ;b) stabilire i livelli di sicurezza che devono essere assicurati dalle agenzie federali e dai loro outsourcer; c) uniformare e rendere più convenienti dal punto di vista economico l applicazione dei controlli di sicurezza; d) stabilire modalità di controllo delle misure di sicurezza realizzate che siano efficaci, uniformi e comparabili; e) fornire dei punti di riferimento stabili e univoci per tutti i dirigenti e il personale delle agenzie federali; g) aumentare il livello di sicurezza delle infrastrutture critiche nazionali. I punti fondamentali nella gestione del rischio sono i seguenti: 1. Classificare il sistema informativo; 2. Selezionare e individuare i controlli minimi di sicurezza; 3. Aggiungere controlli sulla base di una stima del rischio; 4. Realizzare i controlli di sicurezza; 5. Documentare i controlli di sicurezza; 6. Stimare l efficacia dei controlli; 7. Autorizzare le operazioni sui sistemi informativi (need to know); 8. Verificare in modo continuativo nel tempo. Tutto il ciclo completo del FISMA viene meglio raffigurato nel grafico successivo:

2 Per ciò che concerne il FISMA esiste una notevole mole di informazioni tra cui è di fondamentale importanza citare i seguenti documenti: a)fips 199: Standards for Security Categorization of Federal Information and Information Systems SP : Guide for Mapping Types of Information and Information Systems to Security Categories; b) FIPS 200: Minimum Security Requirements for Federal Information and Information Systems SP : Recommended Security Controls for Federal Information Systems; c) SP : Guide for Developing Security Plans for Federal Information Systems; d) SP : Security Configuration Checklists Program for IT Products; e) SP A: Guide for Assessing the Security Controls in Federal Information Systems; f) SP : Guide for the Security Certification and Accreditation of Federal Information Systems. Inoltre il NIST (organo massimo di certificazione sulla sicurezza americana) ha sviluppato moltissime altre linee guida divise per tecnologia (VPN, crittografia, Wireless, etc), per prodotti specifici (Oracle, Sistemi operativi, etc.), in forma di checklist. Nelle due tabelle successive viene fatta una classificazione delle categorie di sicurezza per mission e per contenuti.

3

4 Le metriche L attuazione del FISMA è monitorata a livello federale, infatti il monitoraggio è effettuato sulla base di specifici criteri stabiliti nella SP Da un punto di vista documentale è necessario analizzare le relazioni con gli standard internazionali, tra cui ISO 27001/17799 e Common Criteria,. La metodologia USA presenta degli aspetti positivi come la classificazione con obiettivi univoci per tutti, (ovverossia delle linee guida tecniche molto dettagliate) e degli aspetti negativi come la farraginosità, (infatti la sicurezza non è solo formalità). Tale modello statunitense difficilmente trova applicazione in Italia. Passiamo ora ad esaminare la gestione degli asset. Un asset è un bene da proteggere che viene catalogato per valore (economico, non economico) come ad esempio l integrità, la confidenzialità, la disponibilità (da 1 a 10). L asset ha anche una sua collocazione geografica ed è di fondamentale importanza nei processi aziendali. Ci permette di analizzare anche il proprietario, la marca/produttore, le capacità/prestazioni, la data (ad esempio, la data di acquisizione). Gli asset nell IT Gli asset in IT presentano determinate fasi che sono a) l identificazione, b) l acquisizione/generazione, c) la gestione durante il ciclo di vita, d) la gestione della configurazione, e) la gestione dei cambiamenti, f) la distruzione. Quando parliamo di gestione degli asset e ci riferiamo all aspetto umano intendiamo con ciò analizzare il sistema di gestione delle risorse umane e di skill inventory mentre se ci riferiamo all aspetto documentale intendiamo soffermarci sulla gestione documentale e knowledge management. Un software di asset management dovrebbe dare la possibilità di definire campi informativi personalizzati (numero di contratto, data di acquisto, etc), consentire la generazione automatica di

5 un numero progressivo identificativo unico, consentire la visualizzazioni del database personalizzabili. Inoltre consente l effettuazione delle seguenti attività cosi elencate: 1) gestione dello storico; 2) stato attuale dell asset; 3) classificazione dell asset in base a criteri definiti dall utente; 4) associare documenti (manuali, etc); 5) visualizzare eventuali associazioni tra asset; 6) identificazione responsabili/utenti/proprietari; 7) effettuare ricerche libere; 8) reportistica personalizzabile; 9) gestire vari ruoli e privilegi sull asset. Inoltre l asset managemente consente l integrazione con applicativi di office automation, la gestione di help desk, il Billing, la gestione finanziaria, il monitoraggio, l autodiscovery degli asset nella rete LAN. Esistono dei softaware applicativi per la gestione degli asset tra cui ricordiamo IRM (opensource, tracciamento degli asset, trouble ticketing), Hyperic HQ (opensource), Remedy Asset Management HP openview AssetCenter, Assyst di Axios Systems (integrata con ITIL) Change management La Gestione del cambiamento (ch ange management) si prefigge di realizzare cambiamenti nel sistema minimizzando l impatto negativo (interruzioni, atteggiamento negativo del personale, etc), di analizzarne il processo tramite l RFC (Request for Change mediante degli studi di fattibilità) di effettuare un approvazione formale ed una pianificazione dettagliata ed infine di effettuare una fase di monitoraggio. Il sistema (ovverosia il software) di gestione del cambiamento dovrebbe essere integrato con il sistema di asset management, gestire le priorità delle RFC, gestire le varie tipologie di utenti, gestione dei workflow di approvazione, allegare alle RFC tutta la documentazione pertinente, ed infine gestire lo storico dei cambiamenti. Lo scopo del configuration management è quello di identificare, controllare e tracciare tutte le versioni di hw, sw, documentazione, processi, procedure. Inoltre consente solo agli autorizzati di introdurre modifiche (per es, alla documentazione). La Configuration management presenta delle fasi cosi enunciate: a) Stabilire la baseline della configurazione (composizione, interrelazioni); b) Istituire un database (Configuration Management Database CMD); c) Gestire le configurazioni; d) Cancellare le configurazioni. Applicativi Esistono dei softaware applicativi per la gestione della Configuration Management tra cui ricordiamo Cmdbuild (opensource, in italiano, ispirato a ITIL), Netdirector (opensource), Controltier opensource, Microsoft SMS (System Management Server) e MOM (Microsoft Operation Manager) I processi aziendali L analisi dei processi aziendali consente di individuare gli asset. I processi possono essere suddivisi in processi strategici, processi competitivi, che costituiscono il nucleo competitivo dell ente, processi di innovazione e trasformazione, che, nel futuro, consentiranno maggiore competitività, processi operativi che realizzano i prodotti/servizi (logistica, marketing, vendite, etc), processi di supporto, che aumentano l efficacia e l efficienza (amministrazione, gestione del personale, servizi IT). Per ogni processo occorre conoscere lo scopo del processo, il responsabile, l inizio e la fine del processo (temporale e/o funzionale), il cliente e il fornitore, gli input e gli output, i vincoli di legge, normativi o regolamentari, i controlli da effettuare, le infrastrutture necessarie per lo svolgimento, le risorse umane coinvolte ed infine gli eventuali sottoprocessi. Analisi dei processi

6 E piuttosto diffuso uno standard (v.1.0 del 2004, v. 2.0 in fase di revisione) il cosiddetto BPMN ( Business Process Modeling Notation) sviluppato da Business Process Management Initiative (BPMI) BPMN Business Process Modeling Notation (BPMN) The BPMN will provide businesses with the capability of defining and understanding their internal and external business procedures through a Business Process Diagram, which will give organizations the ability to communicate these procedures in a standard manner. BPMN will also be supported with an internal model that will enable the generation of executable BPEL4WS (v1.1). Quando si parla di BPMN si analizzano i cosiddetti ruoli cosi elencati: 1) Business analyst: costruisce logicamente i processi; 2) Technical Developer: realizza la tecnologia che realizza i processi; 3) Business People: monitorano i processi. Gli elementi fondamentali del BPMN sono raffigurati nei seguenti grafici:

7

8

9 Attualmente ci sono 43 implementazioni di BPMN tra cui possiamo ricordare un tool applicativo chiamato Intalio (www.intalio.com), opensource e freeware. Per utilizzare al meglio BPMN normalmente si usa una matrice (Design Structure Matrix) (www.dsmweb.org) che ha tutti i processi come righe e come colonne (si veda la seguente tabella). Processi critici Un processo è critico quando il suo output è usato da più processi, il suo risultato ha valore per l azienda, ha bisogno di molti input ed infine è composto da molti sottoprocessi. Causa Effetto

10 Molta importanza nella gestione dei processi aziendali assumono i cosiddetti diagrammi di causa effetto tra cui non possiamo non menzionare il diagramma di Ishikawa, o a lisca di pesce. Nei diagrammi di causa effetto è possibile studiare un problema determinandone le cause, analizzare le motivazioni per il malfunzionamento di un processo, esaminare le relazione tra i dati e tra i processi. Altra metodologia da ricordare è quella delle 4 M (Metodi, Macchine, Materiali, Manpower). Passiamo infine ad esaminare le minacce che si possono verificare all interno dell analisi del rischio. Una minaccia sfrutta una vulnerabilità per arrecare danno agli asset. L analisi delle minacce può essere condotto mediante il modello degli attack tree (alberi di attacco). E un modello formale introdotto da Schneier, CIO della Counterpane Internet Security, nel Un contributo importante è stato dato da Edward Amoroso (Fundamentals of Computer Security) nel 1994 Gli Attack trees sono diagrammi multilivello costituiti da una radice, da dei rami, dalle foglie. I nodi figli sono condizioni che devono essere soddisfatte per rendere vera la foglia madre. Quando la radice è vera l attacco è completo.

11 La notazione dell attack tree può essere anche quello dei normali schemi logici (AND, OR, NOT, XOR, i cosiddetti operatori booleani). Se si aggiungono informazioni sui costi (monetari, di competenza, etc) o sulle probabilità di evento, si può stabilire anche l attacco a minor costo o quello più probabile. Attack tree: applicativi

12 Analisi attack tree Dall analisi attack tree si può (per esempio) determinare il minimo insieme di eventi che realizza una foglia, determinare la probabilità di evento per una foglia, determinare gli indicatori per ogni insieme di eventi, determinare i valori di rischio per ogni foglia, effettuare una reportistica varia. Le vulnerabilità Le vulnerabilità possono essere di tre tipi e cioè amministrative (es., policy e procedure di sicurezza), fisiche (es., persone, luoghi, apparati fisici) e tecniche (es., configurazioni, backdoor, gestione password). I nuovi trend degli attacchi sfruttano sempre più porte tcp/ip lecite. Possono essere fermati solo da firewall e da contromisure di tipo applicativo. Sfruttano il social engineering (complicità involontaria di insider), tendono al furto d identità e/o alla creazione di zombie (bot network) utilizzando piattaforme nuove (umts, bluetooth, ), utilizzano raffinate tecniche per nascondersi (rootkit,..). I pericoli principali sono lo Spam, il Phishing e l esecuzione di programmi illeciti lato client. Per misurare le vulnerabilità di un sistema informatico si utilizza il metodo CVSS (Common vulnerabillity Scoring System). Ora però e necessario rispondere alla seguente domanda: Quale sforzo deve compiere un attaccante per sfruttare una vulnerabilità? La risposta è la seguente: 1) tempo, 2) equipaggiamento hw e sw, 3) capacità (conoscenze); 4) conoscenza del sistema attaccato, 5) accesso al sistema. Le vulnerabilità: come si cercano? Il ciclo di vita di un vulnerabilità presenta le seguenti fasi: a) la vulnerabilità viene scoperta (da chi?); b) viene rilasciato il primo exploit; c) la vulnerabilità viene conosciuta da tutti (disclosure); d) sviluppo delle patch tempo.

13 Gli attacchi possono essere alle dipendenze da risorse esterne del software, all interfaccia utente, al progetto del software (ad es.: algoritmi insicuri), all implementazione del progetto (ad es.: configurazione). Il modo migliore per cercare vulnerabilità è quello di installare il software in una sandbox (tipo Holodeck di Star Trek) e verificare tutte le interazioni con l esterno. Security Information Providers La disclosure viene effettuata dai Security Information Providers (non solo ), dal CERT, dal Secunia, dal FrSirt, da ISS X-Force Securityfocus, da Mitre, da OSVDB. Tipologie di disclosure IAV-A: Information Assurance Vulnerabilità Alerts. Sono vulnerabilità ad alto rischio che devono essere risolte entro 30 giorni. IAV-B: IAV Bullettins. Sono vulnerabilità a rischio medio. IAV-T: IAV Technical Advisory. Sono vulnerabilità a rischio basso. Statistiche Utilizzando programmi specifici che si basano su basi di dati che devono essere aggiornate. Si utilizzano alcuni tool come Nessus, Nikto eeye Retina, Saint. Spesso questi programmi fanno anche penetration testing Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Il modello di ottimizzazione SAM

Il modello di ottimizzazione SAM Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per

Dettagli

Configuration Management

Configuration Management Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Le aree funzionali ed i processi

Le aree funzionali ed i processi Le aree funzionali ed i processi Gestione Operativa ITIL Information Technology Infrastructure Library (ITIL) è un insieme di linee guida ispirate dalla pratica (Best Practice) nella gestione dei servizi

Dettagli

Ciclo di Vita Evolutivo

Ciclo di Vita Evolutivo Ciclo di Vita Evolutivo Prof.ssa Enrica Gentile a.a. 2011-2012 Modello del ciclo di vita Stabiliti gli obiettivi ed i requisiti Si procede: All analisi del sistema nella sua interezza Alla progettazione

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION

La ISA nasce nel 1994. Servizi DIGITAL SOLUTION ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS Allegato 1 Sono stati individuati cinque macro-processi e declinati nelle relative funzioni, secondo le schema di seguito riportato: 1. Programmazione e Controllo area ICT 2. Gestione delle funzioni ICT

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

ITIL Best Practices: dall Operation al Service Management L esperienza TIM

ITIL Best Practices: dall Operation al Service Management L esperienza TIM ITIL Best Practices: dall Operation al Service Management L esperienza TIM 30 Novembre 2005 Sandra Foglia, Francesco Muscuso 1 d i gi t a l IBM d i g i t a l Data General Il contesto: IT Operations Area

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 2

Corso di Amministrazione di Sistema Parte I ITIL 2 Corso di Amministrazione di Sistema Parte I ITIL 2 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi B1_1 V1.0. Strumenti software

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi B1_1 V1.0. Strumenti software Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi B1_1 V1.0 Strumenti software Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Sicurezza informatica in ambito aziendale

Sicurezza informatica in ambito aziendale Sicurezza informatica in ambito aziendale Silvano Marioni,, CISSP Lugano, 23 ottobre 2003 I rischi nel mondo reale I rischi nel mondo virtuale???????????????? Internet e le nuove sfide alla sicurezza I

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

use ready 2 La soluzione open source enterprise preconfigurata per l'it Asset Management www.cmdbuild.org Tecnoteca Srl

use ready 2 La soluzione open source enterprise preconfigurata per l'it Asset Management www.cmdbuild.org Tecnoteca Srl 1 ready 2 use La soluzione open source enterprise preconfigurata per l'it Asset Management www.cmdbuild.org Tecnoteca Srl tecnoteca@tecnoteca.com www.tecnoteca.com CMDBuild ready2use 2 CMDBuild ready2use

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Centro Nazionale per l Informatica nella Pubblica Amministrazione. Gara a procedura aperta n. 1/2007. per l appalto dei

Centro Nazionale per l Informatica nella Pubblica Amministrazione. Gara a procedura aperta n. 1/2007. per l appalto dei Centro Nazionale per l Informatica nella Pubblica Amministrazione Gara a procedura aperta n. 1/2007 per l appalto dei Servizi di rilevazione e valutazione sullo stato di attuazione della normativa vigente

Dettagli

EyesTK Trouble Ticketing System. Soluzioni Informatiche

EyesTK Trouble Ticketing System. Soluzioni Informatiche Soluzioni Informatiche Che cos è EyesTK è un servizio basato su GLPI che fornisce agli IT Manager uno strumento per la gestione dei trouble ticket aziendali. Questo strumento costruisce, mediante un database,

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE MAPPA DELLE COMPETENZE a.s. 2014-2015 CODICE ASSE: tecnico-professionale QUINTO ANNO PT1 scegliere dispositivi e strumenti in base alle loro caratteristiche funzionali; Progettare e realizzare applicazioni

Dettagli

Giuseppe Santucci. Qualità nella Produzione del Software. 02- Il sistema assicurazione qualità (SQAS: Sofware Quality Assurance System)

Giuseppe Santucci. Qualità nella Produzione del Software. 02- Il sistema assicurazione qualità (SQAS: Sofware Quality Assurance System) Giuseppe Santucci Qualità nella Produzione del Software 02- Il sistema assicurazione qualità (SQAS: Sofware Quality Assurance System) 02SQAS.1 Peculiarità del SW XXX warrants that the media (!) on which

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Risk Management. Alessandro Sinibaldi alessandro_sinibaldi@virgilio.it

Risk Management. Alessandro Sinibaldi alessandro_sinibaldi@virgilio.it Risk Management Alessandro Sinibaldi alessandro_sinibaldi@virgilio.it Questa presentazione è pubblicata con la licenza GFDL (GNU Free Documentation License) Parte I Cosa è il Rischio Processi e Asset Minacce

Dettagli

Security Patch Management

Security Patch Management II INFN SECURITY WORKSHOP - Parma 24/25 Febbraio 2004 Security Patch Management Francesca Del Corso INFN Sez. Firenze delcorso@fi.infn.it PERCHE E IMPORTANTE IL SECURITY PATCH MANAGEMENT Downtime Remediation

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

PROGRAMMA CORSO SISTEMISTA INFORMATICO

PROGRAMMA CORSO SISTEMISTA INFORMATICO PROGRAMMA CORSO SISTEMISTA INFORMATICO Corso Sistemista Junior OBIETTIVI L obiettivo dei corsi sistemistici è quello di fornire le conoscenze tecniche di base per potersi avviare alla professione di sistemista

Dettagli

Eurisko Srl - Consulenza SAP

Eurisko Srl - Consulenza SAP EURISKO Srl Sede legale e commerciale Via Chiaverano 78-10010 Cascinette d Ivrea (TO) Tel. 0125617513 Sito Web www.euriskosrl.it P.IVA 08407400012 Eurisko Srl - Consulenza SAP Eurisko è una società di

Dettagli

Cloud Computing Stato dell arte, Opportunità e rischi

Cloud Computing Stato dell arte, Opportunità e rischi La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi IT attraverso l'impiego

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Il Progetto e il Project Management

Il Progetto e il Project Management Il Progetto e il Project Management Metodologie di Specifica del Software Per contattare il docente Dr. Anna Rita Laurenzi email: annarita.laurenzi@insiel.it cell.+39 3356368206 Agenda Progetto e Project

Dettagli

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Incident Management Obiettivi Obiettivo dell Incident Management e di ripristinare le normali operazioni di servizio nel piu breve tempo possibbile e con il minimo impatto sul business, garantendo il mantenimento

Dettagli

IT Service e Asset Management

IT Service e Asset Management IT Service e Asset Management la soluzione Guella Barbara Tivoli Technical Sales 2007 IBM Corporation IBM ISM & Maximo Una soluzione unica per l esecuzione dei processi Incident & Problem Mgmt Knowledge

Dettagli

Descrizione generale del sistema SGRI

Descrizione generale del sistema SGRI NEATEC S.P.A. Il sistema è un sito WEB intranet realizzato per rappresentare logicamente e fisicamente, in forma grafica e testuale, le informazioni e le infrastrutture attive e passive che compongono

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

Risk management. Concetti e Metodologie. ( a cura di Alessandro Sinibaldi CISSP, Assistente CC, MCSE: Security, CEH, OCP, CWSP,...

Risk management. Concetti e Metodologie. ( a cura di Alessandro Sinibaldi CISSP, Assistente CC, MCSE: Security, CEH, OCP, CWSP,... Risk management Concetti e Metodologie ( a cura di Alessandro Sinibaldi CISSP, Assistente CC, MCSE: Security, CEH, OCP, CWSP,... ) 11 dicembre 2007 Pag. 1 INDICE DELLA PRESENTAZIONE : Parte I 1. Cosa è

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Innovazione. Tecnologia. Know How

Innovazione. Tecnologia. Know How > Presentazione FLAG Consulting S.r.L. Innovazione. Tecnologia. Know How SOMMARIO 01. Profilo aziendale 02. Gestione Documentale 03. Enterprise Document Platform 01. Profilo aziendale Il partner ideale

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base)

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) ISIPM Base Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo B Conoscenze Tecniche e Metodologiche Syllabus da 2.1.1 a 2.7.1 1 Tema: Gestione Ambito del Progetto e Deliverable

Dettagli

I controlli generali IT riguardano l organizzazione della funzione IT, le attività di acquisizione e manutenzione del software, le procedure di sicurezza logica e fisica, i controlli sul funzionamento

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 8

Corso di Amministrazione di Sistema Parte I ITIL 8 Corso di Amministrazione di Sistema Parte I ITIL 8 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi

Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Soluzioni per la gestione di risorse e servizi A supporto dei vostri obiettivi di business Ottimizzate i processi IT, massimizzate il ROA (return on assets) e migliorate il livello dei servizi Utilizzate

Dettagli

Alcune persone guardano le cose accadere. Altre fanno in modo che accadano!

Alcune persone guardano le cose accadere. Altre fanno in modo che accadano! 2013 Alcune persone guardano le cose accadere. Altre fanno in modo che accadano! Nel mondo economico dei nostri tempi, la maggior parte delle organizzazioni spende migliaia (se non milioni) di euro per

Dettagli

Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business

Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business Firewall Change & Vulnerability Management come rispondere ai requisiti dell audit andando alla velocità del business Matteo Perazzo BU Security - Manager matteo.perazzo@digi.it Mauro Cicognini Tech Director

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

APPENDICE 5 AL CAPITOLATO TECNICO

APPENDICE 5 AL CAPITOLATO TECNICO APPENDICE 5 AL CAPITOLATO TECNICO Descrizione dei profili professionali INDICE 1 PROFILI PROFESSIONALI RICHIESTI 3 1.1 CAPO PROGETTO 3 1.2 ANALISTA FUNZIONALE 4 1.3 ANALISTA PROGRAMMATORE 5 1.4 PROGRAMMATORE

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt Trouble Ticketing Contesto di riferimento I benefici del Trouble Ticketing Nell area Operations Support si collocano le varie fasi della gestione di un infrastruttura IT: a tale area è strettamente correlata

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Forum P.A. 07 La Sicurezza ICT nella PA Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Sicurezza: il modello ed i servizi Assessment del Sistema di Gestione

Dettagli

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S. Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.

Dettagli

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza Roberto Ugolini 1 Il processo di sviluppo sicuro del codice (1/2) Il processo di sviluppo sicuro del codice () è composto

Dettagli

Workflow Infrastructure Services

Workflow Infrastructure Services Workflow Infrastructure Services Power & Control Solutions Paolo Fulli Senior Consultant IT IBM venerdì 26 ottobre 2007 Perché i Workflow Infrastructure Services? I Workflow Infrastructure Services (WIS)

Dettagli

Gli strumenti dell ICT

Gli strumenti dell ICT Gli strumenti dell ICT 1 CREARE, GESTIRE E FAR CRESCERE IL PROPRIO SITO La rete è sempre più affollata e, per distinguersi, è necessario che le aziende personalizzino il proprio sito sulla base dei prodotti/servizi

Dettagli

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE TRASPORTI TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI TECNICO SUPERIORE DELLE INFRASTRUTTURE

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Mystic Pizza Gestione Pizzeria Scheda di Progetto Version 1.0 Data 19/03/2007 Indice degli argomenti 1. Introduzione 3 a. Scenario

Dettagli

Realizzazione di un Network Operations Center (NOC) secondo best practices ITIL. Roberto Raguseo Roberto.raguseo@necs-servizi.it

Realizzazione di un Network Operations Center (NOC) secondo best practices ITIL. Roberto Raguseo Roberto.raguseo@necs-servizi.it Realizzazione di un Network Operations Center (NOC) secondo best practices ITIL Roberto Raguseo Roberto.raguseo@necs-servizi.it 1 Agenda Il Cliente oggetto dello studio La rete elettrica come Servizio

Dettagli

MCi BUSINESS SUITE MANAGEMENT

MCi BUSINESS SUITE MANAGEMENT MCi BUSINESS SUITE MANAGEMENT Acquisizione, archiviazione, gestione e consultazione flussi documentali Fatturazione elettronica e conservazione sostitutiva Soluzione rivolta a tutte le aziende che : generano,

Dettagli

Bollettino VA-IT-140901-01.A

Bollettino VA-IT-140901-01.A Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Internet Security Systems Stefano Volpi

Internet Security Systems Stefano Volpi Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata

Dettagli