LA TECHNOLOGY TRANSFER PRESENTA KENNETH VAN WYK BYOD Security COME PREVENIRE UN DISASTRO NELLA VOSTRA AZIENDA ROMA 26-28 MARZO 2014 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it www.technologytransfer.it
BYOD Security - Come prevenire un disastro nella Vostra azienda DESCRIZIONE Le apparecchiature mobile hanno invaso l azienda come mai prima e molti chiedono al dipartimento di IT il supporto del BYOD (Bring Your Own Device). Supportare le necessità del personale con le sue apparecchiature BYOD e mantenere la sicurezza dell azienda sono diventate due delle più importanti sfide alla sicurezza che l IT si trova ad affrontare. Questa classe comincia ad analizzare i problemi che circondano i BYOD, sia apparecchiature Google Android, sia apparecchiature ios (iphone e ipad). I partecipanti impareranno come fare un analisi statica delle mobile apps per vedere i più comuni punti deboli riguardo alla sicurezza come: una protezione debole dei dati sensibili dell utente memorizzati nel mobile device, trovare segreti embedded nella mobile app, esplorare le perdite di informazione dal lato canale. Quindi i partecipanti impareranno come fare un analisi dinamica delle mobile apps per vedere i più comuni punti deboli riguardo alla sicurezza come: perdita di informazioni attraverso key logs, screen shots e altro, uso non adeguato di SSL/TLS per criptare dati sensibili che transitano sul network. Partendo da qui, la classe prosegue spiegando come configurare le apparecchiature Android e ios per massimizzare la loro sicurezza. I partecipanti useranno tools per bloccare la configurazione di sicurezza sui devices Android e ios. Infine verranno esaminati dei prodotti disponibili che possono rappresentare una soluzione per gestire consistenti flotte di mobile devices. I partecipanti impareranno quali prodotti sono disponibili per fare un management centralizzato dei deployments di BYOD in azienda. Le caratteristiche e le capabilities dei prodotti saranno comparate in modo tale che i partecipanti saranno in condizione di decidere efficacemente quali prodotti si adattano meglio alla propria organizzazione e come selezionarli. Verranno anche discusse le implicazioni sulla policy in modo che i partecipanti avranno una visione realistica di quello che li aspetta quando implementeranno prodotti di Mobile Management. Il seminario sarà ricco di esercitazioni, i partecipanti dovranno portare il proprio mobile device e il proprio laptop con sistema operativo Windows o OS X. Si ricorda ai partecipanti di portare il laptop. Configurazioni raccomandate: Apple OS X Mountain Lion (o Mavericks) OPPURE Microsoft Windows ( preferibilmente 7) Privilegi di amministratore per potere installare del software Ambiente Virtual Machine - Virtual Box (fornito) o VMware (non fornito) Porta USB disponibile per installare dei tools per le esercitazioni Approssimativamente 20 Gigabytes di spazio su disco 4-8 Gigabytes di RAM Inoltre il partecipante dovrebbe portare con sé una apparecchiatura mobile, preferibilmente un iphone o ipod Touch o ipad. L apparecchiatura mobile sarà configurata nei laboratori di esercitazione, di conseguenza nessun profilo di configurazione (amovibile) esistente dovrebbe essere presente.
PROGRAMMA PRIMA GIORnATA SECOnDA GIORnATA 1. Fase di preparazione: comprensione del problema Quali sono gli aspetti critici del software nel mobile che è suscettibile a un attacco? Quali tipi di dati sono tipicamente disponibili da un punto di vista di indagine legale su una apparecchiatura rubata o smarrita? Perché gli sviluppatori software su smart phone continuano a sviluppare software debole? 2. Principi e trabocchetti di sicurezza per apparecchiature mobili Principi di sicurezza che si possono applicare alle applicazioni mobile I principali 10 problemi di sicurezza dell OWASP che sono pertinenti con smart phones e tablets I principali 10 rischi OWASP per il mobile Comuni trabocchetti che si trovano nelle applicazioni mobile - Analisi statica delle mobile apps e dei loro dati - Analisi dinamica delle connessioni network della mobile app Esercizi pratici per illustrare i problemi - Cercare i punti di debolezza nelle apps ipad off the shelf 3. Policy concerns Una discussione sulle politiche che i dipartimenti di IT Security devono utilizzare quando permettono BYOD nei propri networks 5. Condurre operazioni di incident response su apparecchiature mobili Come usare l informazione disponibile su una apparecchiatura mobile durante gli incidenti di sicurezza Tipici scenari di incidente e come gestirli - Un executive smarrisce durante una trasferta la propria apparecchiatura mobile - L informazione dell impiegato compromessa su un network WiFi insicuro - Un attacco malware attraverso il sistema BYOD 6. Configurare apparecchiature mobili per l uso aziendale Quali controlli sono possibili da parte dell IT Security per forzare politiche di sicurezza Esercitazioni su iphone Configuration Utility per costruire profili personalizzati di configurazione 7. Deploying dei profili di configurazione Dopo aver costruito un profilo personalizzato di configurazione per la Vostra azienda fare il deployment e la gestione attraverso tutti i Vostri sistemi - Soluzioni con MDM - Aspetti di scalabilità 8. Domande e risposte 4. Domande e risposte
TERzA GIORnATA 9. Anticipare i problemi Quali sono i problemi che molto probabilmente incontrerete? - Jailbreaking/rooting - Malware - Partenza del dipendente - Aggiornamento dell apparecchiatura PArteCiPAnti Questo workshop si rivolge a Management e Staff di IT Security responsabili di gestire sistemi BYOD nei propri ambienti di lavoro. 7. Cosa su Android? Siccome molte delle esercitazioni pratiche durante questo workshop sono focalizzate su ios, allora cosa dire su Android? - Quali sono i tools disponibili? - Quali particolari difficoltà si porta con sé la piattaforma? 8. Prepararsi per i casi speciali Analizzare situazioni particolari - Trasferte in località pericolose - Accesso del contractor a progetti sensibili 9. Getting Started Come partire con un programma aziendale BYOD nella maniera migliore - Bilanciamento fra sicurezza e funzionalità - Considerazioni pratiche Costruire una check list su come partire 10. Domande e risposte
INFORMAZIONI QUOTA DI PARTECIPAZIONE 1600 (+iva) La quota di partecipazione comprende documentazione, colazioni di lavoro e coffee breaks. LUOGO Roma, Visconti Palace Hotel Via Federico Cesi, 37 DURATA ED ORARIO 3 giorni: 9.30-13.00 14.00-17.00 È previsto il servizio di traduzione simultanea MODALITÀ D ISCRIZIONE Il pagamento della quota, IVA inclusa, dovrà essere effettuato tramite bonifico, codice IBAn: IT 03 W 06230 03202 000057031348 Banca: Cariparma Agenzia 1 di Roma intestato alla Technology Transfer S.r.l. e la ricevuta di versamento inviata insieme alla scheda di iscrizione a: TECHnOLOGY TRAnSFER S.r.l. Piazza Cavour, 3 00193 ROMA (Tel. 06-6832227 Fax 06-6871102) entro l 11 Marzo 2014 Vi consigliamo di far precedere la scheda d iscrizione da una prenotazione telefonica. CONDIZIONI GENERALI In caso di rinuncia con preavviso inferiore a 15 giorni verrà addebitato il 50% della quota di partecipazione, in caso di rinuncia con preavviso inferiore ad una settimana verrà addebitata l intera quota. In caso di cancellazione del seminario, per qualsiasi causa, la responsabilità della Technology Transfer si intende limitata al rimborso delle quote di iscrizione già pervenute. SCONTI DI GRUPPO Se un azienda iscrive allo stesso evento 5 partecipanti, pagherà solo 4 partecipazioni. Chi usufruisce di questa agevolazione non ha diritto ad altri sconti per lo stesso evento. ISCRIZIONI IN ANTICIPO I partecipanti che si iscriveranno al seminario 30 giorni prima avranno uno sconto del 5%. TUTELA DATI PERSONALI Ai sensi dell art. 13 della legge n. 196/2003, il partecipante è informato che i suoi dati personali acquisiti tramite la scheda di partecipazione al seminario saranno trattati da Technology Transfer anche con l ausilio di mezzi elettronici, con finalità riguardanti l esecuzione degli obblighi derivati dalla Sua partecipazione al seminario, per finalità statistiche e per l invio di materiale promozionale dell attività di Technology Transfer. Il conferimento dei dati è facoltativo ma necessario per la partecipazione al seminario. Il titolare del trattamento dei dati è Technology Transfer, Piazza Cavour, 3-00193 Roma, nei cui confronti il partecipante può esercitare i diritti di cui all art. 13 della legge n. 196/2003. KENNETH VAN WYK BYOD SeCuritY COMe Prevenire un DiSAStrO nella vostra AzienDA Roma 26-28 Marzo 2014 Visconti Palace Hotel Via Federico Cesi, 37 Quota di iscrizione: 1600 (+iva) nome... cognome... funzione aziendale... azienda... partita iva... codice fiscale... Timbro e firma indirizzo... In caso di rinuncia o di cancellazione dei seminari valgono le condizioni generali riportate sopra. città... cap... provincia... È previsto il servizio di traduzione simultanea telefono... fax... e-mail... Da restituire compilato a: Technology Transfer S.r.l. Piazza Cavour, 3-00193 Roma Tel. 06-6832227 - Fax 06-6871102 info@technologytransfer.it www.technologytransfer.it
DOCENTE Kenneth van Wyk è un riconosciuto esperto di Information Security di fama internazionale, autore del libro incident response and Secure Coding. È columnist di esecurityplanet e Visiting Scientist al Software Engineering Institute della Canergie Mellon University. Ha più di 20 anni di esperienza nel settore dell IT Security, ha operato a livello accademico, militare e nei settori commerciali. Ha occupato posizioni tecniche prestigiose alla Tekmark, Para-Protect, SAIC oltre che al Dipartimento della Difesa e alle Università di Canergie Mellon e Lehigh. È stato membro e chairman del comitato esecutivo di FIRST (Forum of Incident Response and Security Teams) ed è stato uno dei fondatori di CERT (Computer Emergency Response Team).