Metriche per la misurazione dei. Come utilizzare i risultati all'interno di una analisi dei rischi?
|
|
- Giuseppa Mari
- 7 anni fa
- Visualizzazioni
Transcript
1 Metriche per la misurazione dei risultati di un Penetration Testing Come utilizzare i risultati all'interno di una analisi dei rischi?
2 Relatore Massimo Biagiotti Project Manager - Senior Security Consultant Iso27001 Lead Auditor, ITIL v3 + 5 anni in attività di Ethical Hacking Responsabile del Progetto Internship e Progetti di Ricerca Trainer
3 Rischio misura del pericolo alla sicurezza insito in un applicazione, un sistema operativo o in una rete di computer, valutando il grado di vulnerabilità, il livello di minaccia e il valore delle risorse presenti nel sistema 3
4 Analisi dei rischi valutazione del livello di rischio che un impresa, un associazione o un privato dovrebbe fare per garantirsi il corretto e costante funzionamento di un sistema in tutta sicurezza 4
5 Un esempio: metodologia CRAMM (Iso27001 compliant) 5
6 Minacce e contromisure Minacce Indisponibilità servizi fondamentali Guasti/malfunzionamenti hw Degrado Errori nell esercizio delle applicazioni Accesso non autorizzato per visione o divulgazione dati Accesso non autorizzato per modifica dati Manomissione distruzione sw Virus Sabotaggio Disastri Contromisure di sicurezza In fase di progettazione In fase di esercizio In fase correttiva Business Il management vuole minimizzare l impatto sul business 6
7 Minacce, asset ed impatto Processi di business Applicazioni Dati Infrastruttura Criteri di valutazione dell Impatto Evento Asset Vulnerabilità asset Impatto Sul business Rischio 7
8 Rischio e rischio residuo: concetti base Impatto Rischio residuo Rischio Rischio residuo ( attraverso l implementazione delle contromisure si riduce uno o più dei tre fattori) vulnerabilità 8
9 Minacce e Asset Minacce Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Infrastruttura esistente Nuova Infrastruttura Reti Applicazi ioni Requisiti di sicurezza/contromisure in funzione del livello di rischio Sistemi in esercizio Nuovi Sistemi 9 Sistemi
10 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in esercizio: Attività di Vulnerability Assessment e Penetration testing: Consentono di valutare il reale rischio delle applicazioni in esercizio al fine di determinare le contromisure da implementare per ridurlo fino al livello ritenuto accettabile dal business 10
11 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in manutenzione: 1) Linee guida sviluppo sicuro: l attività di sviluppo per la manutenzione evolutiva segue le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Vulnerability Assessment e Penetration testing Consentono di valutare il reale rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 11
12 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Nuove applicazioni: 1) Linee guida sviluppo sicuro: l attività di sviluppo di qualsiasi applicazione deve seguire le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Code Review: consentono di valutare il rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 12
13 Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. in funzione del rischio correlato e dell impatto sul business Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 13
14 Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente efficaci 14
15 Come si misura il rischio? Esistono numerosi modi, più o meno articolati e utili, per valutare il rischio e ciascuno dipende dall approccio e dalla logica di fondo. Ciò è dovuto al fatto che calcolare il rischio significa tenere conto di molte variabili che mutano al variare del contesto 15
16 Metodologie Di seguito alcune metodologie e strumenti tra i più noti. Per ciascuna è definito l approccio qualitativo quantitativo o ibrido. Va sottolineato che spesso gli approcci quantitativi partono da quelli qualitativi facendo poi delle assunzioni di base per passare da aggettivi a valori.
17 AS/NZS 4360:2004 Metodologia Qualitativa Quantitativa Semi-quantitativa AS/NZS 4360:2004 Risk Management X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche Poiché AS/NZS ha l obiettivo di definire il processo di risk management in modo generale identifica e definisce tutte le diverse tipologie di approccio alla misurazione dei rischi: qualitativo, quantitativo e semiquantitativo. 17
18 Ce.TRA - Continuous e.business Threat and Risk Analysis Metodologia Qualitativa Quantitativa Semi-quantitativa Ce.TRA -Continuous e.business Threat and Risk Analysis X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio è di tipo semi-quantitativo. Viene effettuata una misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere).. 18
19 CRAMM Metodologia Qualitativa Quantitativa Semi-quantitativa CRAMM X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo semi-quantitativo. Il set di minacce e vulnerabilità è fisso e guidato dal tipo di asset. Il rischio viene espresso, attraverso un opportuna matrice, i cui elementi sono definiti in funzione di impatto/minaccia/vulnerabilità. 19
20 ISA Information Security Assessment Metodologia Qualitativa Quantitativa Semi-quantitativa ISA Information Security Assessment X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio alla misurazione dei rischi è di tipo semi-quantitativo è consente la misurazione del rischio effettivo o residuo (cioè il rischio relativo alla situazione in essere, comprese le contromisure implementate). L obiettivo principale che si intende perseguire attraverso l applicazione della metodologia ISA è la protezione del patrimonio informativo aziendale: la metodologia può essere applicata in tutte le fasi di vita di un attività, una funzione, un progetto, un processo, un prodotto o un bene; è indipendente rispetto a specifici settori industriali ed economici. 20
21 NORA - Network Oriented Risk Analysis methodology Metodologia Qualitativa Quantitativa Semi-quantitativa NORA -Network Oriented Risk Analysis methodology X La metodologia prevede l applicazione dell analisi dei rischi su: risorse tecnologiche. La metodologia NORA punta l attenzione sui contesti di rete di comunicazione come ambito di applicazione dell analisi del rischio. In particolare la risorsa base che viene definita nella prima fase della metodologia e intorno alla quale ruoterà tutto il processo di analisi del rischio, è costituita dal NAP (Network Access Path), ossia la descrizione dei percorsi di accesso alla rete in termini di client, server e funzione di rete (O&M, Billing, etc.). L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). 21
22 OCTAVE - Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologia Qualitativa Quantitativa Semi-quantitativa OCTAVE -Operationally Critical Threat, Asset, and Vulnerability Evaluation X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). Consente di fornire indicazioni in merito a: riduzione probabilità; riduzione conseguenze; accettare il rischio; contromisure preventive; disegno della contromisura; applicazione della contromisura. 22
23 OSSTMM Metodologia Qualitativa Quantitativa Semi-quantitativa OSSTMM Open Source Security Testing Methodology Manual X La metodologia prevede l applicazione dell analisi dei rischi su: risorse di business; risorse tecnologiche. Open Source Security Testing Methodology Manual (OSSTMM) è una metodologia per l esecuzione di test sulla sicurezza e una metrica per la misurazione dei risultati. Quest ultima è denominata RAVs (Risk Assessment Values). Consente di fornire indicazioni in merito a: riduzione conseguenze; evitare il rischio; accettare il rischio; contromisure preventive; contromisure reattive; disegno della contromisura; applicazione della contromisura. 23
24 RISKWATCH Metodologia Qualitativa Quantitativa Semi-quantitativa RISKWATCH X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è sia di tipo qualitativo che di tipo quantitativo e semi-quantitativo. Le metodologie di misurazione dei rischi utilizzate sono: SQRM è la metodologia standard quantitativa di RiskWatch presente anche nella versione internazionale in inglese; TLQE è la metodologia qualitativa/semiquantitativa. Consente dati di input qualitativi, ma anche quantitativi, fornendo in uscita risultati Qualitativi. Utilizza funzionalità di normalizzazione dei dati di input. Permette l analisi costi/benefici; La TLQ QUAL è la versione qualitativa pura e consente notevoli riduzioni di tempi e di costi, permettendo comunque, una valutazione completa del livello di sicurezza e un'identificazione dei rischi, considerati possibili nell'ambito dell analisi. 24
25 Grafi d attacco I grafi d attacco rappresentano i modi attarverso i quali un utente malevolo può sfruttare delle vulnerabilità che gli permettano di avere accesso a risorse di un sistema. Analizzando tali grafi è possibile comprendere quanto rischiose siano le vulnerabilità in modo tale che questa informazione sia d aiuto nel decidere quali siano le migliori contromisure da inserire e quale sia la prioritizzazione di tali interventi 25
26 A cosa servono? Misurano l effetto combinato delle vulnerabilità Permettono quindi di comprendere le correlazioni tra le stesse Visualizzano come un attaccante può combinarle per introdursi illecitamente Un grafo è un modello di sequenze potenziali di condizioni che permettono la compromissione di risorse 26
27 Esempio Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 27
28 Ipotetico grafo tra la macchina 0 ed il DB Server Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 28
29 Probabilità I numeri rappresentano le probabilità stimate di sfruttamento, sulla base della loro difficoltà. Gli exploit ftp_rhosts e rsh non richiedono molta competenza da parte dell attaccante Uno skill maggiore viene richiesto per ftp_rhosts al fine di creare un file.rhost. sshd_bof e local_bof sono attacchi buffer-overflow, che richiedono maggiori competenze. Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 29
30 Propagazione delle vulnerabilità ( 0.60) 0.9 ( 0.54) 0.9( 0.72) ( 0.72) ( ) Quando un exploit deve seguirne un altro nel grafo, significa che entrambi sono necessari a raggiungere l obiettivo, quindi le loro probabilità devono essere moltiplicate: p(a and B) = p(a)p(b) Quando è possibile scegliere più percorsi, ciascuno di essi è sufficiente a raggiungere l obiettivo: p(a or B) = p(a) + p(b) p(a)p(b). Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 30
31 Variazioni a seguito di interventi L inserimento di una contromisura cambia ovviamente il grafo d attacco ed al contempo il modo attraverso il quale le probabilità si propagano. 31
32 Metrica per la misurazione di un risultato di pentest Abbiamo visto la complessità degli approcci possibili per il calcolo del rischio, a questo va aggiunto che nello specifico di un attività di pentest, la valutazione di minacce, vulnerabilità ed impatti può essere peculiare. Infatti altri elementi potrebbero essere importanti da considerare tra cui: Esposizione della vulnerabilità Vettori d attacco Componente vulnerabile Processo di business collegato Profondità dell attacco 32
33 Conclusioni Ognuna delle precedenti diventa quindi un nuovo importante elemento di valutazione che opportunamente combinato con gli altri ci potrebbe permettere di esprimere delle analisi di rischio che possono, al meglio, supportare le esigenze di business a partire da analisi operative ; questo, oltre a migliorare il calcolo e la gestione del rischio stesso, crea anche l importante collegamento dialettico tra chi dirige e chi gestisce, cosa che spesso nelle aziende non è efficace. 33
34 Grazie Massimo Biagiotti
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni Requisiti), recentemente pubblicata in nuova
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliKeyMap Analisi del Rischio
KeyMap Analisi del Rischio Risk Management La valutazione del rischio quale minimo comun denominatore ISO 27001 - D.Lgs. 231/01 ISO 22301 D.Lgs. 196/03 - ISO 9001 Risk Management 2 Risk Management 3 Il
DettagliSicuramente www.clusit.it
Sicuramente www.clusit.it L applicazione degli standard della sicurezza delle informazioni nella piccola e media impresa Claudio Telmon Clusit ctelmon@clusit.it Sicuramente www.clusit.it Associazione no
DettagliIL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi
IL GDPR E LA COMPLIANCE Strumenti a servizio della sicurezza dei sistemi informativi 6 Giugno 2017 Principi applicabili al trattamento (Art. 5) Il GDPR all art. 5 impone il rispetto di una serie di Principi
DettagliCyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21
Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21 Il supporto di Advanction in risposta alle nuove richieste della Normativa finalizzate a migliorare la sorveglianza e la
DettagliCybersecurity per la PA: approccio multicompliance Sogei
SOGEI - Società Generale di Informatica SpA ing. Fabio LAZZINI, Responsabile Security Governance & Privacy Cybersecurity per la PA: approccio multicompliance Sogei Relatore ITASEC17 Italian Conference
DettagliLa gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo
RiS is powered by Network Integration and Solutions srl a DGS Company info: ris@nispro.it La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo Ing. Alessandro
DettagliProblem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking
Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem
DettagliOrganizzare per Crescere
Life cycle continuous improvement Il contesto La rapida evoluzione dei mercati, il progredire delle tecnologie, la concorrenza rafforzata dal periodo di crisi e la crescita delle esigenze dei clienti creano
DettagliLa necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001
La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001 2 dicembre 2016 Ing. Diego Mezzina 1 Chi sono Ingegnere con EMBA ICT Security Manager @ CISM,
DettagliIl ruolo dei controlli nella gestione del rischio di frode
Il ruolo dei controlli nella gestione del rischio di frode Questo materiale didattico rientra nell ambito dei Percorsi e-learning di alta formazione specialistica del Progetto Esperi@ - Rafforzamento della
DettagliServizio L2.S3.9 - Servizi professionali
Servizio L2.S3.9 - Servizi professionali Il servizio ha come obiettivo quello di supportare le Amministrazioni nella realizzazione di attività nell ambito della sicurezza applicativa, comprensive di quelle
DettagliProgetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliGli strumenti di misurazione della conformità al Regolamento UE sulla protezione dei dati personali 2016/679 (GDPR)
Gli strumenti di misurazione della conformità al Regolamento UE sulla protezione dei dati personali 2016/679 (GDPR) Giancarlo Butti EUROPRIVACY.INFO #READY4EUDATAP Le affermazioni e le opinioni espresse
DettagliSicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007
Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Servizi di informatica Processo Sviluppo e gestione di prodotti e servizi informatici Sequenza di
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Servizi di Processo Sviluppo e gestione di prodotti e servizi informatici Sequenza di processo Definizione
DettagliApplication Risks Assessment. Analisi dei rischi e pianificazione delle contromisure
Application Risks Assessment Analisi dei rischi e pianificazione delle contromisure Analisi dei rischi Generalità Confrontando il ritmo evolutivo delle minacce alla sicurezza applicativa ed il passo con
DettagliTECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE
TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE Materiale di supporto alla didattica Tecnologie dell informazione e della comunicazione per le aziende CAPITOLO 5: La gestione delle informazioni
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 AREA COMUNE SERVIZI PER LE IMPRESE Sequenza di processo Area di Attività Qualificazione regionale
DettagliSecurity & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
DettagliConsiderazioni di carattere ambientale e appalti pubblici nel diritto interno: TUTELA AMBIENTALE A LIVELLO NAZIONALE
TUTELA AMBIENTALE A LIVELLO NAZIONALE L. n. 296/2006: art. 1, comma 1126: l attuazione e il monitoraggio di un Piano d azione per la sostenibilità ambientale dei consumi della pubblica amministrazione.
DettagliCLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2. Descrizione dei profili professionali
CLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2 Descrizione dei profili professionali pag. 1 di 11 SOMMARIO 1 INTRODUZIONE 3 2 DESCRIZIONE DEI PROFILI PROFESSIONALI 4 2.1 CAPO PROGETTO
DettagliPIANO DI AUDIT RISK BASED APPROCCIO METODOLOGICO
18 ottobre 2012 PIANO DI AUDIT RISK BASED APPROCCIO METODOLOGICO Marco Cossutta (Partner) Fabio Meda (Manager) 1 Il processo di gestione dei rischi La definizione e il raggiungimento degli obiettivi aziendali
Dettagli1. I compiti del Collegio Sindacale quale comitato per il controllo interno e la revisione contabile
Relazione sulle questioni fondamentali emerse in sede di revisione legale e, in particolare sulle carenze significative rilevate nel sistema di controllo interno in relazione al processo di informativa
DettagliConsulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale
Consulenza e Software, insieme per la certificazione ISO 9001-2015: presentazione di un caso reale Workshop Pier Alberto Guidotti QualiWare Alberto Mari NCG Francesco Bassi Soluzioni Bologna, 6 settembre
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 Area Comune Processo Gestione del processo produttivo, qualità, funzioni tecniche e logistica interna
DettagliMEGA Process Oriented & Risk Driven Solution
MEGA Process Oriented & Risk Driven Solution Solvency 2012 La Roadmap verso la Risk Based Insurance Risk Appetite Framework: una possibile declinazione operativa Agenda dell intervento 5 20 Risk Appetite:
DettagliConsiderazioni sul Risk Management
Considerazioni sul Risk Management Gruppo Fondiaria-SAI Pietro RANIERI Sicurezza e Privacy pietro.ranieri@fondiaria-sai.it Lugano, 13 gennaio 2006 1 L analisi 2 L analisi Per la gestione del rischio, ed
DettagliLa manutenzione è da sempre considerata un servizio
Tecniche di affidabilità: Analisi delle macchine critiche Si illustra l'applicazione delle tecniche di analisi RCM, nell'ambito degli impianti pilota del Centro Ricerche Basell Poliolefine Italia a Ferrara
DettagliRisultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice
Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015 Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano
DettagliCiclo di vita per lo sviluppo di software sicuro
Ciclo di vita per lo sviluppo di software sicuro (a cura di Roberto Ugolini Postecom Spa) Security Service Unit Documento pubblico Le motivazioni del cambiamento 1/3 2 Aumentare il livello di sicurezza
DettagliRischi dell informatica e scelte di trasferimento
Milano 26/05/2009 Rischi dell informatica e scelte di trasferimento Paolo Scalzini Insurance & Risk Manager A. Menarini I.F.R. Srl Introduzione L obiettivo della presentazione è fornire una panoramica
DettagliSQL e linguaggi di programmazione. Cursori. Cursori. L interazione con l ambiente SQL può avvenire in 3 modi:
SQL e linguaggi di programmazione L interazione con l ambiente SQL può avvenire in 3 modi: in modo interattivo col server attraverso interfacce o linguaggi ad hoc legati a particolari DBMS attraverso i
DettagliIT Risk Assessment. IT Risk Assessment
IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliSICUREZZA e QUALITÀ. Relatore: Giovanni Scotti - - Certification Coordinator per SGS Italia S.p.A.
CONVEGNO ESSERE IN REGOLA PER ESSERE UN PASSO AVANTI Non solo un obbligo di legge, un dovere, ma anche una condizione ideale per potersi porre sul mercato nel modo più vantaggioso. SICUREZZA e QUALITÀ
DettagliFRAMEWORK NAZIONALE PER LA CYBER SECURITY
FRAMEWORK NAZIONALE PER LA CYBER SECURITY ramework Nazionale per la Cyber Security ramework Nazionale per la Cyber Security Versione 2.0 della strategia Relazione al parlamento [ ] la recente presentazione
DettagliComune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000
Comune Fabriano Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata Progetto di Certificazione secondo le norme ISO 9000 Formazione per auditor interni 25 maggio 2009 1 SOMMARIO Il significato
DettagliKit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.
Premessa Il sistema di gestione per la qualità conforme alla norma internazionale UNI EN ISO 9001:2015 dovrebbe essere implementato nell ordine di seguito indicato, che riporta le clausole della norma
Dettagli1) Junior TIBCO Consultant
Atos SE (Società Europea) è leader nei servizi digitali con un fatturato annuo pro forma 2014 di circa 11 miliardi di euro e 93.000 dipendenti che operano in 72 Paesi. Fornisce servizi di Consulting &
DettagliInfoSec: non solo firewall e antivirus. Massimo Grandesso
InfoSec: non solo firewall e antivirus Massimo Grandesso massimo.grandesso@gmail.com Don't Try This at Home! Le principali cause di incidente (dati globali) 2015 State of the Endpoint Report Le principali
DettagliSezione 1 - Gestione e governance della protezione dei dati
PRONTI PER GDPR? Il regolamento generale sulla protezione (GDPR) dell'ue rappresenta una modifica significativa rispetto ai precedenti requisiti di conformità in materia di Data Privacy. L'informazione
DettagliPercorso professionalizzante per la Compliance in banca
www.abiformazione.it Percorso professionalizzante per la Compliance in banca Compliance / Corsi Professionalizzanti La nuova edizione del Percorso Professionalizzante è stata riformulata secondo l orientamento
DettagliGestione dell integrazione del progetto. Luigi De Laura, PMP, PE, PMI Central Italy Chapter Branch Toscana director
Gestione dell integrazione del progetto Luigi De Laura, PMP, PE, PMI Central Italy Chapter Branch Toscana director 1 Gestione dell integrazione del progetto La gestione dell integrazione di progetto include
DettagliLa Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect
La Sicurezza nel Cloud Computing Simone Riccetti IBM IT Security Architect Agenda Sicurezza e Cloud Computing Soluzioni di sicurezza per il Cloud Soluzioni di sicurezza nel Cloud IBM Security Services
DettagliITIL e PMBOK Service management and project management a confronto
ITIL e PMBOK Service management and project management a confronto PMBOK IV e ITIL v.3 Project and Service Management : progettare e gestire la qualità Giampaolo Rizzi COGITEK Socio Fondatore itsmf Italia
DettagliCONTINUOUS PERIMETER ASSESSMENT Descrizione del servizio e degli strumenti utilizzati
CONTINUOUS PERIMETER ASSESSMENT Descrizione del servizio e degli strumenti utilizzati L ESIGENZA DA SODDISFARE Censimento delle classi di indirizzi IP Pubblici riconducibili alle società del gruppo Bancario
DettagliNovembre 2014 Maurizio Pedraglio moviri.com
Novembre 2014 Maurizio Pedraglio maurizio.pedraglio@moviri.com moviri.com Contesto normativo e la soluzione Moviri per l adempimento alle prescrizioni della Circolare 263 Soluzione Moviri per il capacity
DettagliUX-PM level 1: Adopting UX
UX-PM level 1: Adopting UX La certificazione UX-PM (UX-Project Manager) è un programma di formazione internazionale sulla User Experience (UX) per i prodotti e i servizi digitali. Il programma si articola
DettagliAcquisizione di prodotti e servizi Parte 2
Università di Bergamo Dip. di Ingegneria gestionale, dell'informazione e della produzione GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A5_2 V1.0 Acquisizione di prodotti e servizi Parte 2 Il contenuto del
DettagliMetodologia di lavoro: PCM & GOPP
Metodologia di lavoro: PCM & GOPP Obiettivo del Laboratorio Approfondire le metodologie e le tecniche di progettazione nell ambito dei programmi a gestione diretta del ciclo 2014-2020 attraverso l identificazione
DettagliCATALOGO DI HEVA MANAGEMENT ACCREDITATO DA FONDAZIONE IDI
CATALOGO DI HEVA MANAGEMENT ACCREDITATO DA FONDAZIONE IDI INDICE DEI MODULI FORMATIVI: 1- Project Management Basic. 2- Gestione dei tempi di progetto. 3- Budgeting di progetto. 4- Gestione della comunicazione
DettagliConfiguration Management secondo l ISO
SUPSI Project Management Forum Configuration Management secondo l ISO Alessandro Colasurdo alessandro.colasurdo@aptar.com Lugano, 23 Giugno 2017 Alessandro Colasurdo Configuration Management secondo l
DettagliMoviri e DevOps: Case Studies. Un approccio concreto al DevOps per accelerare dialogo e risultati tra IT Operations e Quality Assurance
Moviri e DevOps: Case Studies Un approccio concreto al DevOps per accelerare dialogo e risultati tra IT Operations e Quality Assurance Settembre 2013 Case Study 1: IT Operations Department Contesto Il
DettagliI processi di innovazione
I processi di innovazione CeTIF International Forum Federico Rajola 13 ottobre 2005, Università Cattolica, Milano www.cetif.it Struttura dell intervento Cos è l innovazione Quali i principali tipi di innovazione
DettagliIniziativa : "Sessione di Studio" a Roma. Roma, 3 marzo 2010 presso Monte Paschi Siena. 1 marzo p.v.
Iniziativa : "Sessione di Studio" a Roma Gentili Associati, Il Consiglio Direttivo è lieto di informarvi che, proseguendo nell attuazione delle iniziative promosse dall' volte al processo di miglioramento,
DettagliIT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994
ISA ICT Value Consulting IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di Consulting ICT alle organizzazioni
DettagliL IT Audit nel gruppo Benetton
L IT Audit nel gruppo Benetton Panoramica sulle attività di controllo condotte in ambito IT Trento, 15 aprile 2016 1 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta
DettagliLa Gestione della Prestazione
La Gestione della Prestazione 1 La gestione della prestazione 3 1.1 Come è possibile individuare correttamente gli obiettivi per i singoli ruoli? 3 1.2 Come si possono valutare le capacità in modo oggettivo?
DettagliOperations Management
La schedulazione dei progetti Estratto da Operations Management Modelli e metodi per la logistica II Edizione Autore: Giuseppe Bruno Edizioni Scientifiche Italiane I problemi di scheduling 21 6.8 - LA
DettagliPiani di vigilanza per il monitoraggio sui reati informatici. Dr. Giuseppe DEZZANI Informatico Forense
Piani di vigilanza per il monitoraggio sui reati informatici Dr. Giuseppe DEZZANI Informatico Forense www.dezzani.biz La prevenzione dei Reati Informatici A partire dagli anni 90 è aumentata la cultura
DettagliERP Operational Security Evaluate, Build, Monitor
ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate
DettagliOfferta Risk Management e Find your way
Offerta Risk Management e Find your way La Vision del progetto alla base dell'offerta Accrescere il valore delle organizzazioni tramite un modello di gestione integrato delle organizzazioni e delle risorse
DettagliPROPOSTE FORMATIVE LINEE ADA
ANNO 2016 PROPOSTE FORMATIVE LINEE ADA CRESCITA DELL ADATTABILITÀ DEI LAVORATORI ATTRAVERSO LA FORMAZIONE CONTINUA - REGIONE LAZIO: ASSESSORATO FORMAZIONE, RICERCA, SCUOLA E UNIVERSITÀ ATTUAZIONE DEL PROGRAMMA
DettagliCertificazioni ISECOM e Certificazione PILAR advanced user
Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza
DettagliValutazione d impatto e gestione integrata dei rischi
Privacy e Data Protection Il dialogo con le imprese alla luce del nuovo Regolamento europeo sulla privacy Valutazione d impatto e gestione integrata dei rischi Andrea Foschi Bologna, 11 maggio 2017 1 REGOLAMENTO
DettagliI REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015
I REQUISITI INNOVATIVI DELLA ISO 9001 Alessandra Peverini Perugia 23 ottobre 2015 Le principali novità 1. Le relazioni fra l Organizzazione ed il contesto interno ed esterno 2. Le aspettative delle parti
DettagliPRINCIPIO DI REVISIONE N 320. Significatività
PRINCIPIO DI REVISIONE N 320 Significatività Significatività Principio Revisione n 320 gli errori, incluse le omissioni, sono considerati significativi se ci si possa ragionevolmente attendere che essi,
DettagliObblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale
Obblighi di dei Fornitori esterni EUDA Applicazioni sviluppate dall utente finale Area di Titolo di Descrizione del Perché è importante? Governance e assicurazione di Ruoli e responsabilità Il Fornitore
DettagliStefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network
Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it
DettagliREPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA
REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA SETTORE ECONOMICO PROFESSIONALE 1 EDILIZIA Sequenza di processo Progettazione edile e gestione del cantiere Area di Attività ADA 1.1:
DettagliCAPITOLO 7 GESTIONE DEI PROCESSI
CAPITOLO 7 GESTIONE DEI PROCESSI 7.1 GENERALITA 7.2 PIANIFICAZIONE E CONTROLLO DEI PROCESSI 7.3 RESPONSABILITA ED AUTORITA RELATIVE AI PROCESSI Pagina 51 di 76 7.1 GENERALITÁ Nel presente capitolo l Istituto
DettagliSISTEMI INFORMATIVI DIREZIONALI
SISTEMI INFORMATIVI DIREZIONALI Domande chiave Cosa sono i sistemi informativi direzionali (SID)? Che differenza con i sistemi di supporto alle attività operative? Qual è il punto di partenza per capire
DettagliRisultati, cioè attenzione ai risultati.
2 Risultati, cioè attenzione ai risultati. L impegno di Siledo Consulting é rivolto all operatività in tutte le fasi dell attività. La mission del nostro team é garantire efficacia e risultati in tutti
DettagliProgettazione di basi di dati
Progettazione di basi di dati Sistemi Informativi L-B Home Page del corso: http://www-db.deis.unibo.it/courses/sil-b/ Versione elettronica: progettazionedb.pdf Sistemi Informativi L-B Progettazione di
DettagliIntervento del Dott. Ruggero Battisti, Socio Fondatore Global Management Group S.r.l.
Organizatione & Financial Business Advisors ORGANIZATION & FINANCIAL BUSINESS ADVISORS INVESTIMENTI ALTERNATIVI E PRESIDIO DEI RELATIVI RISCHI Intervento del Dott. Ruggero Battisti, Socio Fondatore Global
DettagliEsperienze di analisi del rischio in proggeti di Information Security
INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile
DettagliLa CyberSecurity nel modello ICT per la PA
AgID per la Cybersecurity della Pubblica Amministrazione Le Misure Minime di sicurezza ICT per le Pubbliche amministrazioni Corrado Giustozzi Agenzia per l Italia Digitale -PA Security Summit Roma, 8 giugno
DettagliLUCA COMELLO, PMP Head of Business Consulting. Udine, 27 Ottobre 2017 METODI DI RISK MANAGEMENT Inquadramento metodologico
LUCA COMELLO, PMP Head of Business Consulting Udine, 27 Ottobre 2017 METODI DI RISK MANAGEMENT Inquadramento metodologico Quin in breve BUSINESS UNIT Operations & Project & Innovation Management FORMAZIONE
DettagliUN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA
C O M P A N Y P R O F I L E UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA System Integration Infrastrutture hardware ibride e iperconvergenti Soluzioni cloud, IT security Servizi gestiti Servizi tecnici
DettagliDIVISIONE DATA & NETWORK SECURITY
DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it
DettagliL integrazione della Customer Satisfaction nel ciclo delle performance
L integrazione della Customer Satisfaction nel ciclo delle performance Metodologia e strumenti per il Customer Satisfaction Management Cos è il CSM È un modello di rilevazione della soddisfazione dei cittadini
DettagliIl governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale
ATTIVITA DI RICERCA 2014 Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale Metodologie, processi e strumenti PROPOSTA DI PARTECIPAZIONE 1 TEMI E MOTIVAZIONI
DettagliAble Tech. Company Profile
Able Tech Company Profile L azienda Able Tech è l azienda leader in Italia per la gestione delle Informazioni e dei processi aziendali. Da 15 anni semplifichiamo e miglioriamo il lavoro delle aziende.
DettagliANALISI E GESTIONE DEI COSTI
ANALISI E GESTIONE DEI COSTI Dott.ssa Francesca Mandanici Le valutazioni di convenienza economica di breve periodo: l'analisi differenziale 18 NOVEMBRE 2010 Le applicazioni dell analisi della variabilità
DettagliConfartigianato Vicenza. Navigazione Web ed sicura per l associazione di categoria di PMI più grande d Italia
Confartigianato Vicenza Navigazione Web ed Email sicura per l associazione di categoria di PMI più grande d Italia Dal 1946, Valore per le Imprese Vicentine Confartigianato Vicenza più di 22.000 soci (imprese
DettagliVirtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale
Virtualizzazione Infrastrutture ICT - Consulenza specialistica sulla virtualizzazione di infrastrutture - Virtualizzazione dei server e/o dello storage - Implementazione e configurazione infrastrutture
DettagliProject Management Newsletter
PM NEWS Project Management Newsletter # #MAGGIO 2013 Bimestrale di informazione sul Project Management In questa release: Note PMBok - Lo standard per il project management di un progetto,project Web App:
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1 L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione
DettagliSistema di controllo interno
Sistema di controllo interno Corso di revisione aziendale anno accademico 2012-2013 Università degli Studi di Bergamo Prof.ssa Stefania Servalli Sistema di controllo interno INSIEME delle PROCEDURE e delle
DettagliStato dell arte sulle tecniche di testing di Sistemi Embedded
tesi di laurea Anno Accademico 2011/2012 relatore Ch.mo prof. Porfirio Tramontana candidato Alfonso Cutolo Matr. 041/3068 Obiettivi Facoltà di Ingegneria Obiettivi Ordinare e descrivere in maniera metodologica
DettagliMission. Proteggiamo il Business dei nostri Clienti
2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per
DettagliLa ISA nasce nel 1994. Servizi DIGITAL SOLUTION
ISA ICT Value Consulting La ISA nasce nel 1994 Si pone sul mercato come network indipendente di servizi di consulenza ICT alle organizzazioni nell'ottica di migliorare la qualità e il valore dei servizi
DettagliSettore Guida Sicurezza Ferroviaria
Settore Guida Sicurezza Ferroviaria Presented by Mr. Antonio Ruggieri Ansaldo STS Roma, 24 marzo 2011 Sicurezza Sistemi di Controllo e Segnalamento (1/2) Obiettivo: Realizzazione ed integrazione di tecnologie
DettagliLa risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)
La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei
DettagliCase Study Certificazione BS 7799
Corso di formazione Case Study Certificazione BS 7799 PRIMA GIORNATA Analisi degli standard ISO 17799 e BS7799: cosa sono, come e perché affrontare il percorso di certificazione h. 9.00: Registrazione
Dettagli