OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY
|
|
- Geraldina Cattaneo
- 9 anni fa
- Visualizzazioni
Transcript
1 OMNIA GROUP BUSINESS SECURIY 2014 KEEP YOUR BUSINESS SAFE ISECURIY OMNIA
2 I SECURIY OMNIA // SOLUZIONI AVANZAE PER LA SICUREZZA INFORMAICA est sulle vulnerabilità, prove di attacco informatico, messa in sicurezza del codice di software, applicazioni e piattaforme web. La nuova divisione Omnia Group per rendere sicuri tutti i tuoi sistemi aziendali. U n attacco di cyber-spionaggio per il furto di dati sensibili in un Azienda viene scoperto in media 458 giorni dopo il suo inizio. 15 Nella maggior parte dei casi, il personale si accorge di quello che sta succedendo solo perché avvertito da Enti Governativi. MESI DI FURO DI DAI OGNI ANNO, VENGONO UCCISE PIÙ PERSONE DAI MAIALI CHE DAGLI SQUALI. QUESO MOSRA QUANO SIAMO BRAVI A VALUARE I RISCHI. (BRUCE SCHNEIER) 2
3 I SECURIY OMNIA CYBER-CRIME & HACKING Confidenzialità e sicurezza delle nostre informazioni sono messe in pericolo ogni giorno. SIAMO DAVVERO SICURI? Abbiamo usato una citazione di Bruce Schneier, uno dei maggiori esperti di sicurezza informatica, per spiegare uno dei dati sulla sicurezza I più importanti: molto spesso il top management è convinto di conoscere SISEMI ALAMENE VULNERABILI perfettamente beni, informazioni e rischi della propria azienda, ma dopo una corretta analisi rimane sconcertato e scopre di aver avuto per anni una visione parziale e distorta. software, hardware, reti, applicativi, codice, server aziendali 3
4 I SECURIY OMNIA IALIA SOO AACCO In Italia c è una forte sottovalutazione del pericolo, soprattutto nelle Piccole e Medie Imprese. PRIMI IN EUROPA ED USA 42% Aumento degli attacchi informatici nell anno 2013 In generale, le aziende tendono a sottovalutare il problema e a ritenere che le contromisure adottate a protezione di un sistema siano sufficienti a scongiurare un attacco informatico. 604 Migliaia di profili con dati sensibili rubati per ogni attacco Nei primi 6 mesi del 2013 l Italia si è conquistata la maglia nera come nazione più colpita da attacchi informatici in tutta l Europa occidentale e Nord America. 247 Migliaia di attacchi web scoperti e fermati ogni giorno 4
5 I SECURIY OMNIA DAI CYBER-CRIME RUSSIA USA AFRICA Gli attacchi informatici nel mondo sono in crescita dal L Italia ha il primato in Europa con il 44% dei sistemi attaccati per furto di password e dati bancari
6 I SECURIY OMNIA // NON CAPIERÀ MAI A ME LA SESSA COSA... Lo pensano tutte le aziende: in psicologia si chiama l «illusione della sicurezza». La stessa per cui allacciamo la cintura in aereo. I casi a seguire sono pubblici: la maggior parte delle aziende non dichiara gli attacchi subiti per paura di problemi legali. Spesso anche le grandi aziende non hanno sistemi di sicurezza adeguati, come dimostrano i casi seguenti. Oltre il 92% delle piccole e medie imprese non hanno nessun sistema di sicurezza e non ne sono neanche consapevoli. I casi a seguire sono molti noti; tuttavia, la maggior parte delle 39% AZIENDE aziende non dichiara gli attacchi subiti per paura di problemi legali. Aprile PlayStation numeri di carta di credito non USA ed informazioni su 77 milioni di account rubati. Danni per 171 milioni di dollari. che subiscono attacchi informatici hanno meno di 250 dipendenti ILLUSIONE DELLA SICUREZZA Febbraio Symantec (Norton Antivirus) - Furto, tentata estorsione e pubblicazione di 1,27 Giga di codice sorgente. Luglio Linkedin - Furto della password per oltre 6 milioni di utente. Agosto POS di migliaia di Aziende in Australia - Furto dei dati di Carte di Credito; lo stesso gruppo criminale aveva già hackerato i terminali Subway. «NON FARE MAI PREVISIONI», DISSE UN UOMO SAGGIO: «SOPRAUO SUL FUURO». 6
7 I SECURIY OMNIA // QUALI SONO I RISCHI? Nel 97% dei casi, i nostri test mostrano vulnerabilità nel sistema. Nel 32% dei casi, queste 97% 32% vulnerabilità coinvolgono l accesso a dati finanziari e legali sensibili. Nel 18% dei casi, i danni potenziali per un intrusione nel sistema ammontano ad oltre 3 milioni di euro. 18% USO LIMIAO DI SISEMI PROEIVI Secondo l Italian Cyber Security Report, studio realizzato dall università La Sapienza di Roma, il primato di attacchi informatici italiano è legato a un uso limitato di sistemi protettivi: solo nel 33% dei casi siamo consapevoli dei rischi legati alla sicurezza. 7
8 I SECURIY OMNIA // I NOSRI SERVIZI OMNIA SICUREZZA I Omnia ti accompagna in un percorso a 360 gradi di messa in sicurezza di tutti i dati sensibili presenti in azienda o nelle applicazioni software. Omnia analizza la situazione dei sistemi applicativi e delle reti aziendali e pone correttivi che risolvano le vulnerabilità del sistema. Penetration est (P) - Prova di attacco per valutare la sicurezza di un infrastruttura I e la possibilità di accedere a dati, policies ed informazioni riservate. Vulnerability Assessment (VA) - Individuazione delle vulnerabilità presenti nelle componenti applicative e infrastrutturali dei sistemi e delle reti aziendale. Code Review - Individuazione e correzione degli errori di sicurezza del codice sorgente di software ed applicazioni sviluppate dall azienda o da fornitori esterni. 8
9 I SECURIY OMNIA // VULNERABILIY ASSESSMEN (VA) L obiettivo principale di un VA consiste nell individuare in maniera analitica ed esaustiva le varie tipologie di vulnerabilità presenti nelle componenti applicative ed infrastrutturali del sistema/rete da analizzare. Il Vulnerability Assessment permette di fotografare lo stato dell infrastruttura I nel momento in cui viene eseguito e supportare la pianificazione di misure correttive efficaci e mirate a diminuire i rischi. Lo scopo di un VA è quello di verificare: l effettiva attuazione delle politiche di sicurezza; lo stato di hardening dei server anche in termini di analisi delle porte; l aggiornamento dei sistemi operativi e degli applicativi. Prima Fase - Definizione dominio e pianificazione - Viene formalizzato il dominio di intervento, concordate le tecniche di indagine, le modalità operative, le risorse da predisporre per la conduzione dell attività e sono acquisite le informazioni inerenti l architettura di rete e le piattaforme applicative coinvolte. Sono concordate con il Cliente le rules of engagement, ossia le modalità di dettaglio con cui il test deve essere svolto e l ambito di esecuzione dello stesso. Seconda Fase - Network Scanning - Lo scopo dello scanning è quello di identificare il maggior numero di informazioni sui sistemi in rete, identificando la tipologia di apparato, il sistema operativo con il livello di patching ed i servizi attivi. erza Fase - Vulnerability Discovery - In questa fase si cerca di individuare le vulnerabilità che potrebbero essere sfruttate da un attaccante. Quarta Fase - Reporting - La fase finale prevede l elaborazione dei risultati, la redazione e la consegna al cliente di tutta la documentazione relativa all attività svolta, la descrizione delle vulnerabilità individuate e l indicazione delle correzioni suggerite per sanare i problemi riscontrati. ools & Metodologie Per le operazioni di scanning e vulnerability discovery vengono utilizzati un insieme di strumenti e tool, principalmente OpenSource. Ad esempio, per la fase di scanning vengono impiegati programmi quali Nmap, hping2/3, arpscan, UnicornScan, Snmpwalk, xprobe2, IkeScan, SipScan e numerosi altri. Prima di eseguire la fase di vulnerability discovery viene svolta un analisi dei risultati ottenuti dalla fase di scanning per individuare lo strumento più adatto in base alla tipologia di target rilevato (ad esempio device di rete/voip, server, servizio web, ecc.). Gli strumenti proposti per questa fase sono numerosi, fra i principali, dobbiamo sicuramente citare NeXpose, OpenVAS e Nessus. Nessus è un Network Security Scanner in grado di analizzare da remoto i sistemi e determinare se è possibile penetrare in essi, sfruttando specifiche vulnerabilità con un ampio e aggiornatissimo database. Nessus è considerato uno dei migliori Security Vulnerability Scanner presenti sul mercato. Ogni vulnerabilità riporta il riferimento numerico CVE (Common Vulnerabilities and Exposure). La metodologia utilizzata principalmente è la OSSMM 3.0 (Open Source Security esting Methodology Manual ISECOM, personale certificato OPS. 9
10 I SECURIY OMNIA // PENERAION ES (P) Il Penetration est (P) è un servizio di sicurezza offensiva atto a valutare la sicurezza di un infrastruttura I e l eventuale capacità di individuare e di reagire ad attacchi informatici, anche accidentali. Il Penetration est può anche avere l obiettivo di valutare realmente e tecnicamente la possibilità di eseguire un escalation of privilege nell accedere a dati ed informazioni riservate, del non rispetto di una policy aziendale oppure della possibilità di leakage di dati classificate da parte di un insider infedele o di un consulente esterno (esempio furto di dati contabili, brevetti, codice sorgente, ecc.). Prima Fase - Footprinting (raccolta informazioni) Questa fase ha lo scopo di raccogliere il maggior numero d informazioni sull obiettivo che si intende attaccare senza toccare l obiettivo stesso, ovvero effettuando una cosiddetta analisi non invasiva. Seconda Fase - Scanning (analisi dell infrastruttura) L obiettivo dello scanning è ottenere una mappa il più dettagliata possibile del sistema da attaccare; ciò significa acquisire informazioni su quali ip dei blocchi di rete trovati nella fase precedente siano effettivamente contattabil, scoprire che servizi abbiano attivi (CP/UDP portscan) e che sistemi operativi nascondano. erza Fase - Enumeration (enumerazione dei servizi) Con questa fase si inizia l analisi invasiva infatti si effettuano connessioni dirette ai server ed interrogazioni esplicite. Attraverso l enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, degli account validi, delle risorse condivise e delle applicazioni attive sulle porte in ascolto. Quarta Fase - Gaining access (sfruttamento vulnerabilità, tecniche di evasione) Una volta ottenute le informazioni del punto precedente inizia il vero e proprio attacco che ha come obiettivo il riuscire ad entrare (penetrare) nel sistema. 10 I metodi utilizzati si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento d errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, Sql Injection, ecc.) o del sistema operativo stesso. Quinta Fase - Escalating Privileges (opzionale) L obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Sesta Fase - Pilfering (opzionale) Se si giunge a questa fase significa che si è ottenuto il pieno controllo del sistema target. Quindi è bene valutare la configurazione del sistema stesso al fine di capire se, dove e cosa il sistema registra (logs), eventualmente si disabilita l auditing. Settima Fase - Covering traces / backdoors (opzionale) Prima di abbandonare il sistema conquistato vengono cancellati i logs ed eventualmente installati trojan o backdoors che consentono di rientrare facilmente sulla macchina in un secondo momento. Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete.
11 I SECURIY OMNIA // PENERAION ES (P) Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete. In particolare, il Penetration est può essere eseguito su una moltitudine eterogenea di targets (web, rete, wireless, voip, scada, ecc.), al limite su tutta l infrastruttura I del cliente o su una sua parte di essa (rete inside, rete dmz, perimetrale, ecc.). I test possono essere condotti dall interno, dall esterno all organizzazione o da una combinazione di essi a seconda delle specifiche esigenze e degli obiettivi che si vuole perseguire.. Le metodologie utilizzate - Come base per effettuare i Penetration est viene utilizzata una metodologia ormai consolidata nella comunità scientifica internazionale (Isecom OSSMM - Open Source Security esting Methodology Manual). Oltre a questa metodologia generale viene utilizzata anche una serie di indicazioni più tecniche e specifiche per le attività di Security Assessment contenute nel NIS SP Il National Institute of Standards and echnology (NIS) è un agenzia del governo degli Stati Uniti d America che si occupa della gestione delle tecnologie. Il NIS attualmente si sta occupando attivamente delle tessere di identificazione per i dipendenti federali per controllare e prevenire il terrorismo, i criminali e tutti gli accessi non autorizzati all interno di strutture governative e dei loro sistemi informatici. Report Finale - Al termine dell attività viene rilasciato un documento di sintesi che riporta le modalità di esecuzione del Penetration est, l elenco dei controlli effettuati e tutte le vulnerabilità rilevate con le azioni correttive suggerite. ipologie di Attacco Cross-site scripting: attacchi che sfruttano una non corretta validazione dei contenuti restituiti dal server in risposta a richieste HP opportunamente modificate. Parameter tampering: attacchi che sfruttano una non corretta validazione dei parametri passati dal browser al web server. Hidden field manipulation: attacchi che, sfruttando paradigmi di programmazione non sicuri, alterano il valore di parametri applicativi fra due successive richieste HP. Backdoors e opzioni di debug: attacchi basati su errori di configurazione e/o di programmazioni molto noti e diffusi. Stealth commanding: attacchi che mediante tecniche di injection mirano ad eseguire comandi sui server. Forceful browsing: attacchi che mirano ad accedere a risorse protette seguendo percorsi di navigazione non previsti. Buffer overflow: attacchi che comportano l esecuzione di codice arbitrario in assenza di opportuna validazione dei parametri in ingresso. Cookie poisoning: attacchi basati sulla manipolazione dei coockies di sessione HP. Configurazioni errate: attacchi che sfruttano comuni errori di configurazione. Vulnerabilità note: attacchi che sfruttano la mancata applicazione di patch. SQL injection: attacchi che mirano all esecuzione di query non previste sui DBMS di back end. Attacchi HP: manipolazioni degli Header HP. 11
12 I SECURIY OMNIA // SECURIY CODE REVIEW Il Security Code Review, noto anche come Peer Review, è un test sistemico che viene eseguito per esaminare un codice sorgente, identificare e correggere errori a beneficio del miglioramento della qualità del software. Coinvolgere un consultente di Security in ogni fase del Systems Development Life-Cycle (SDLC - ciclo di vita dello sviluppo) comporta un enorme vantaggio sia in termini economici che di performance rispetto ad interventi di revisione in fasi successive. Intervenire a intervalli regolari consente di individuare eventuali problemi nelle prime fasi del ciclo di vita dello sviluppo, in queste fasi il costo per la risoluzione è sensibilmente ridotto. Diverse Forme di Code Review - Esistono diverse forme e modalità di revisione del codice relativamente al livello di formalità richiesto, che possono essere schematizzate nel modo seguente (secondo un grado di formalità crescente): Ad hoc Review; Passaround; Pair programming; Walkthrough; eam Review; Ispezione. Un Risparmio a Lungo ermine - L impatto dell integrazione di un sistema di code review orientata alla security all interno del SDLC comporta un approccio completamente nuovo, sicuro e puntale alle procedure di sviluppo. Adottare fin da subito una procedura di code review si rivela un investimento che nel lungo periodo porterà vantaggi impagabili. Modello Waterfall con Security Code Review 1. Definizione dei requisiti - Requisiti applicativi in termini di security. 2. Definizione dell architettura - Architettura della security applicativa e/o definizione del set di minacce al sistema. 3. Sviluppo - Adozione di best practices orientate alla security; Security esting; Code review orientata alla security. 4. est - Penetration esting. 5. Deploy - Gestione delle configurazioni in termini di security; Deploy secondo criteri di security. Servizi Security Code Review Prevenzione SQL Injection Prevenzione Cross-Site Scripting (XSS) Prevenzione altri tipi di Injection (LDAP, OS Injection, XPA Injection, Mitigation Log Injection, ecc.) Prevenzione Buffer Overflow Messa in sicurezza del sistema di autenticazione ed autorizzazione Prevenzione Cross-Site Request Forger (CSFR) Prevenzione Clickjacking Implementazione di un sistema sicuro di Log Implementazione di un sistema di gestione degli errori orientato alla security Adesione al Secure Development Life Cycle (SDLC) Review con strumenti manuali e automatici Adozione di librerie/classi per la gestione della security 12
13 I SECURIY OMNIA IL GRUPPO OMNIA 5 divisioni di servizi informatici. Oltre 90 dipendenti. 19 anni di esperienza I. Omnia Group ti offre la garanzia di oltre 19 anni di esperienza nell automazione di processi core-business di alcune delle più grandi aziende Italiane, come Coop Italia, Autostrade e Mapei. In Italia le aziende I hanno in media 5 collaboratori e 4 anni di storia. Con i suoi 91 collaboratori, i 19 anni di esperienza, le partnership con multinazionali leader di settore, Omnia Group è in grado di offrirti una partnership tecnologica d eccellenza. CONAACI CONSULENZA GRAUIA contactus@omniagroup.it
14 HAI PROBLEMI...? ABBIAMO LA SOLUZIONE. OMNIA GROUP - SICUREZZA I ISECURIY OMNIA contactus@omniagroup.it
Allegato Tecnico. Progetto di Analisi della Sicurezza
Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
VULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
V.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale
Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del
SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL
SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221
Spett.le Clever Consulting Via Broletto, 39 20121 Milano
Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni
Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna
Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability
Offerta per attività Ethical Hacking livello rete e sistemi e applicativo
Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:
penetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
Domenico Ercolani Come gestire la sicurezza delle applicazioni web
Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow
Sicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius
Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius L obiettivo del presente progetto consiste nel sostituire il sistema di autenticazione
TeamPortal. Servizi integrati con ambienti Gestionali
TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione
Sicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1
NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la
Export Development Export Development
SERVICE PROFILE 2014 Chi siamo L attuale scenario economico nazionale impone alle imprese la necessità di valutare le opportunità di mercato offerte dai mercati internazionali. Sebbene una strategia commerciale
Strategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment
TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa
Scopri un nuovo mondo di opportunità e vantaggi!
Scopri un nuovo mondo di opportunità e vantaggi! Un Partner Accreditato ha energia da vendere e tante altre opportunità Come già sai, Conergy ha pensato un nuovo modello di business per la vendita di impianti
Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
Requisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico
Presidenza della Giunta Ufficio Società dell'informazione ALLEGATO IV Capitolato tecnico ISTRUZIONI PER L ATTIVAZIONE A RICHIESTA DEI SERVIZI DI ASSISTENZA SISTEMISTICA FINALIZZATI ALLA PROGETTAZIONE E
Vuole rappresentare un punto di riferimento affidabile in quei delicati momenti di cambiamento e di sviluppo del nuovo.
MASTER si propone come facilitatore nella costruzione e pianificazione di strategie di medio e lungo termine necessarie ad interagire con gli scenari economici e sociali ad elevato dinamismo. Vuole rappresentare
Identità e autenticazione
Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,
PAWSN. Wireless social networking
PAWSN Wireless social networking WI-FI pubblico in sicurezza SFRUTTA LA TUA RETE WI-FI PER OFFRIRE AL PUBBLICO CONNETTIVITÀ E ACCESSO A SERVIZI PROFILATI E CONTESTUALI Non sarebbe bello potere utilizzare
Politica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Convegno La biblioteca scientifica e tecnologica
Università degli Studi Roma Tre Università degli Studi La Sapienza Convegno La biblioteca scientifica e tecnologica Roma, 17 aprile 2008 Valutazione delle pubblicazioni scientifiche e open access Emanuela
Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it
Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali COOKIE POLICY La presente informativa è resa anche ai sensi dell art. 13 del D.Lgs 196/03 Codice in materia di protezione
Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane
Associazione Italiana Corporate & Investment Banking 02.36531506 www.aicib.it aicib@unicatt.it Presentazione Ricerca Il risk management nelle imprese italiane AICIB Associazione Italiana Corporate & Investment
Software per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
TeamPortal. Infrastruttura
TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal
Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio
Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel
Configuration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
Protezione della propria rete
Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione
Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
Generazione Automatica di Asserzioni da Modelli di Specifica
UNIVERSITÀ DEGLI STUDI DI MILANO BICOCCA FACOLTÀ DI SCIENZE MATEMATICHE FISICHE E NATURALI Corso di Laurea Magistrale in Informatica Generazione Automatica di Asserzioni da Modelli di Specifica Relatore:
Database e reti. Piero Gallo Pasquale Sirsi
Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente
BOLLETTINO DI SICUREZZA INFORMATICA
STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere
Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano
Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano Sistemi di Antivirus CEFRIEL Politecnico di Milano Antivirus I sistemi di antivirus sono dei software che
Via Convento Aguzzano 8 25034 Orzinuovi (BS) Tel: 0309444899 Fax: 0309946633 www.elettroteksnc.it
Via Convento Aguzzano 8 25034 Orzinuovi (BS) Tel: 0309444899 Fax: 0309946633 www.elettroteksnc.it SOPRALUOGO Per dimensionare correttamente un sistema di sicurezza in tutte le sue parti è doveroso eseguire
Piano di gestione della qualità
Piano di gestione della qualità Pianificazione della qualità Politica ed obiettivi della qualità Riferimento ad un eventuale modello di qualità adottato Controllo della qualità Procedure di controllo.
Altre misure di sicurezza
Altre misure di sicurezza Prevenzione dei danni e backup Ombretta Pinazza Altre misure di sicurezza Prevenzione dei danni e backup : Strumenti di protezione hardware Sistemi anti intrusione Backup: supporti
IL CASO DELL AZIENDA. www.softwarebusiness.it
LA SOLUZIONE SAP NELLE PICCOLE E MEDIE IMPRESE IL CASO DELL AZIENDA Perché SAP Contare su un sistema che ci consente di valutare le performance di ogni elemento del nostro listino è una leva strategica
Domande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale
Network Monitoring & Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Nicholas Pocher Poker SpA - Settimo Torinese, Novembre 2013 1 Indice Il Network Monitoring:
Cloud Service Broker
Cloud Service Broker La nostra missione Easycloud.it è un Cloud Service Broker fondato nel 2012, che ha partnership commerciali con i principali operatori del settore. La nostra missione: aiutare le imprese
Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007
Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle
Introduzione alle problematiche di hacking
Introduzione alle problematiche di hacking Approfondire ed applicare le tecniche utilizzate dagli esperti di sicurezza, per far fronte agli attacchi informatici ed alle più comuni problematiche a cui i
Progettaz. e sviluppo Data Base
Progettaz. e sviluppo Data Base! Progettazione Basi Dati: Metodologie e modelli!modello Entita -Relazione Progettazione Base Dati Introduzione alla Progettazione: Il ciclo di vita di un Sist. Informativo
INDICOD-ECR Istituto per le imprese di beni di consumo
INDICOD-ECR Istituto per le imprese di beni di consumo GLOBAL SCORECARD Uno strumento di autovalutazione, linguaggio e concetti comuni Versione base - Entry Level Introduzione Introduzione La Global Scorecard
NUMANI PER CHI AMA DISTINGUERSI
NUMANI PER CHI AMA DISTINGUERSI NuMani è una realtà e nasce dall unione d esperienza di persone che da 11 anni si occupano a tempo pieno dell applicazione e decorazione unghie con l ambiziosa idea delle
Azienda: cooperativa di consumatori nata nel 1989 e presente nelle Province di Modena e di Ferrara e nella Regione Puglia e Basilicata.
Andrea Goldoni Azienda: cooperativa di consumatori nata nel 1989 e presente nelle Province di Modena e di Ferrara e nella Regione Puglia e Basilicata. Vendite: quasi 1.300 milioni di euro di vendite, di
La Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
Progetto Atipico. Partners
Progetto Atipico Partners Imprese Arancia-ICT Arancia-ICT è una giovane società che nasce nel 2007 grazie ad un gruppo di professionisti che ha voluto capitalizzare le competenze multidisciplinari acquisite
Mentore. Rende ordinario quello che per gli altri è straordinario
Mentore Rende ordinario quello che per gli altri è straordinario Vision Creare un futuro migliore per le Nuove Generazioni Come? Mission Rendere quante più persone possibili Libere Finanziariamente Con
PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.
Open System s.r.l. P.IVA: 00905040895 C.C.I.A.A.: SR-7255 Sede Legale: 96016 Lentini Via Licata, 16 Sede Operativa: 96013 Carlentini Via Duca degli Abruzzi,51 Tel. 095-7846252 Fax. 095-7846521 e-mail:
Il modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
Automazione Industriale (scheduling+mms) scheduling+mms. adacher@dia.uniroma3.it
Automazione Industriale (scheduling+mms) scheduling+mms adacher@dia.uniroma3.it Introduzione Sistemi e Modelli Lo studio e l analisi di sistemi tramite una rappresentazione astratta o una sua formalizzazione
Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.
Sommario A cosa serve InfoWEB?... 3 Quali informazioni posso comunicare o ricevere?... 3 Cosa significa visualizzare le informazioni in maniera differenziata in base al livello dell utente?... 4 Cosa significa
Vulnerability scanning
Vulnerability scanning Metodi e strumenti per la Sicurezza informatica Claudio Telmon claudio@telmon.org Si tendono a distinguere in funzione di quanto il tester si mette nei panni di un vero attaccante
TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE
ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE
SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI
ANALISI SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI Descrizione dell indagine e del panel utilizzato L associazione itsmf Italia
Offerta per attivita di Vulnerability Assessment per il portale www.poste.it
Milano, 5 Novembre 2004 Spett.le Postecom S.p.A. Ufficio Acquisti Via Cordusio, 4 20123 Milano n. 20041105.m02 Alla c. att.ne : Dr. Alessandro Verdiani Oggetto: per attivita di Vulnerability Assessment
INDICAZIONI GENERALI
INDICAZIONI GENERALI PER LA VALUTAZIONE, L ACQUISTO O LA REALIZZAZIONE IN PROPRIO DI SOFTWARE GESTIONALI PER LE SOCIETA DI RICERCA E SELEZIONE DEL PERSONALE, LE SOCIETA DI RICERCA DIRETTA E LE DIREZIONI
Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni
Specifiche dello sviluppo di un progetto software e indicazioni sulla documentazione e sulle modalità di esercizio delle prestazioni Redatto dalla Commissione per l elettronica, l informatica e la telematica
Quintiq stabilisce un nuovo standard per la pianificazione delle risorse nel settore ferroviario
DB SCHENKER RAIL Case study Quintiq stabilisce un nuovo standard per la pianificazione delle risorse nel settore ferroviario DB Schenker Rail Netherlands è estremamente soddisfatta della soluzione per
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
Privacy Policy di www.retesmash.com
Privacy Policy di www.retesmash.com Questo sito applicativo (di seguito Applicazione ) raccoglie Dati Personali. Tali Dati Personali sono raccolti per le finalità e sono trattati secondo le modalità di
I dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
Manuale di Gestione Integrata POLITICA AZIENDALE. 4.2 Politica Aziendale 2. Verifica RSGI Approvazione Direzione Emissione RSGI
Pag.1 di 5 SOMMARIO 4.2 Politica Aziendale 2 Verifica RSGI Approvazione Direzione Emissione RSGI. Pag.2 di 5 4.2 Politica Aziendale La Direzione della FOMET SpA adotta e diffonde ad ogni livello della
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
Costruiamo reti vendita, di successo!
Costruiamo reti vendita, di successo! Sales Line è la sintesi delle esperienze professionali mie e degli specialisti che in questi anni hanno collaborato con me nella realizzazione di reti di vendita di
Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG
Soluzioni per archiviazione sicura di log di accesso server Windows PrivacyLOG Perché mi devo occupare di questo problema? Il provvedimento del Garante Privacy - 27 novembre 2008 ("Misure e accorgimenti
L uso della Balanced Scorecard nel processo di Business Planning
L uso della Balanced Scorecard nel processo di Business Planning di Marcello Sabatini www.msconsulting.it Introduzione Il business plan è uno strumento che permette ad un imprenditore di descrivere la
... Una proposta per la definizione di un protocollo di valutazione preliminare e definitiva del software da acquisire.
.......... Una proposta per la definizione di un protocollo di valutazione preliminare e definitiva del software da acquisire. Protocollo di validazione software Alcune regole per l acquisizione di software
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE
SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.
Application Assessment Applicazione ARCO
GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946
Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili
Il servizio di registrazione contabile che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili Chi siamo Imprese giovani e dinamiche ITCluster nasce a Torino
DATAMORFOSI. E la sintesi della strategia di prodotto di Webgate400.
DATAMORFOSI E la sintesi della strategia di prodotto di Webgate400. Indica tutte le trasformazioni di forma e di struttura che si possono applicare alle soluzioni software RPG per IBM Power System, attraverso
Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi
Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi Indagine ottenuta grazie alla somministrazione di questionario ad oltre 260
Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi
Servizi di Sicurezza Informatica Antivirus Centralizzato per Intranet CEI-Diocesi Messina, Settembre 2005 Indice degli argomenti 1 Antivirus Centralizzato...3 1.1 Descrizione del servizio...3 1.2 Architettura...4
Virus informatici Approfondimenti tecnici per giuristi
Creative Commons license Stefano Fratepietro - www.stevelab.net 1 Virus informatici Approfondimenti tecnici per giuristi Ciclo dei seminari Informatica nei laboratori del CIRSFID Facoltà di Giurisprudenza
Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
MANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
comscore: costruire un grande data warehouse per i Big Data
comscore: costruire un grande data warehouse per i Big Data comscore Inc. Settore di mercato High tech ed elettronica Prodotti e servizi Analisi e marketing intelligence Sito Web www.comscore.com SAP Solutions
Creare una Rete Locale Lezione n. 1
Le Reti Locali Introduzione Le Reti Locali indicate anche come LAN (Local Area Network), sono il punto d appoggio su cui si fonda la collaborazione nel lavoro in qualunque realtà, sia essa un azienda,
Via Don Angelo Scapin, 36 I-35020 Roncaglia di Ponte San Nicolò (PD) ITALIA Phone/Fax: +39 049 719065 - info@spinips.com www.spinips.
Via Don Angelo Scapin, 36 I-35020 Roncaglia di Ponte San Nicolò (PD) ITALIA Phone/Fax: +39 049 719065 - info@spinips.com www.spinips.com STUDI E VERIFICHE DI FATTIBILITÀ... 2 PROGETTAZIONE MECCANICA...
COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy
COMUNICATO Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy Nel secondo semestre del 2011 l Agenzia delle Entrate avvierà nuovi e più articolati controlli sul rispetto
POLYEDRO. La migliore piattaforma tecnologica di sempre per EMBYON, l evoluzione dell ERP Metodo
POLYEDRO La migliore piattaforma tecnologica di sempre per EMBYON, l evoluzione dell ERP Metodo 1 Indice Chi siamo La tecnologia POLYEDRO EMBYON 4 8 12 Siamo nati in Italia, siamo leader in Italia. TeamSystem
BANDI E FINANZIAMENTI
BANDI E FINANZIAMENTI 1. Accesso ai fondi europei Gli obiettivi strategici della proposta Lo sviluppo di progetti nel mondo non profit è ormai una funzione chiave sia a livello strategico che per la sostenibilità
Attività federale di marketing
Attività federale di marketing Gestione e certificazione delle sponsorizzazioni Il Feedback Web Nel piano di sviluppo della propria attività di marketing, la FIS ha adottato il sistema Feedback Web realizzato
Risparmiare innovando
GIANLUCA VAGLIO Risparmiare innovando La tecnologia come strumento di risparmio 2011 Gianluca Vaglio www.gianlucavaglio.net Avvertenze legali AVVERTENZE LEGALI Copyright 2011 Gianluca Vaglio. La presente
Retail L organizzazione innovativa del tuo punto vendita
fare Retail L organizzazione innovativa del tuo punto vendita fareretail è una soluzione di by www.fareretail.it fareretail fareretail è la soluzione definitiva per la Gestione dei Clienti e l Organizzazione
CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA
CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA 2ª PARTE NEL CAPITOLO PRECEDENTE NOTA METODOLOGICA LA PAROLA AI CIO I MIGLIORI HYPERVISOR AFFIDARSI AI VENDOR INVESTIRE PER IL CLOUD APPLICAZIONI
LEAD GENERATION PROGRAM
LEAD GENERATION PROGRAM New Business Media al servizio delle imprese con una soluzione di comunicazione totalmente orientata alla generazione di contatti L importanza della lead generation La Lead Generation
Cookie Policy per www.lalocandadisettala.com
Policy per www.lalocandadisettala.com Uso dei cookie Il "Sito" (www.lalocandadisettala.com) utilizza i per rendere i propri servizi semplici e efficienti per l utenza che visiona le pagine di www.lalocandadisettala.com.
Bollettino VA-IT-150129-01.A
Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI