Tracciamento delle operazioni bancarie: il concetto di Power User e il trade-off tra norme, standard ed esigenze di produttività

Documenti analoghi
La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

NSR. Company Profile Business & Values

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

15 Aprile 2016, Trento

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Iniziativa : "Sessione di Studio" a Torino. Torino, 10 aprile aprile p.v.

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Alessandro Gaspari Data Center Specialist

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

La information security integrata nel management system aziendale. Eugenio Marogna 6 dicembre 2002

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

Privacy by Design: evoluzione e implicazioni

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Risultati, cioè attenzione ai risultati.

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

Software Defined Data Center and Security Workshop

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

Privacy e requisiti per la Cybersecurity nella PA

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

1) Junior TIBCO Consultant

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

Le iniziative Consip a supporto

Whitebox Security BI e Sicurezza attiva per dati e applicazioni mission critical

Gruppo di ricerca su. Business Continuity Management & Auditing

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

La sicurezza in banca: un assicurazione sul business aziendale

Capacity Availability Continuity Infrastructure Management

Iniziativa : "Sessione di Studio" a Roma. Roma, 3 marzo 2010 presso Monte Paschi Siena. 1 marzo p.v.

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group

Gestione integrata dei rischi e data protection: casestudy

Convegno Annuale AISIS

Principali certificazioni e corsi

Piattaforma per la Security delle Infrastrutture Critiche. Maurizio Dal Re, Araknos CEO CPEXPO Genova 30 Ottobre 2013

Datacenter Innovation

La protezione delle Basi Dati, l integrazione con i sistemi di Sicurezza aziendali, nel rispetto delle Normative internazionali.

Gli effetti della Digital Transformation sugli scenari della Cyber Security

PIANO OPERATIVO PER LA VALUTAZIONE DELL ADEGUAMENTO ALLE NORME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

Introduzione alla ISO/IEC 27001

Mario Nicosia Security & Identity Management Solutions

Sesso Maschile Data di nascita 15 Ago. 70. Software & Services - Roma

Swascan Security Service MSSP

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

Group Business Assurance Revisione modello Incident di sicurezza

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Business Continuity: criticità e best practice

The first all-in-one Cloud Security Suite Platform

CURRICULUM VITAE INFORMAZIONI PERSONALI DATA DI NASCITA 12/07/ 1959 TELEFONO AZIENDALE CELLULARE AZIENDALE ESPERIENZA PROFESSIONALE IN ANAS

La nuova normativa. Maggiori diritti a tutela della privacy. Maggiori doveri a chi deve proteggere i dati. Obbligo di segnalazione per le violazioni

ideacloud Business Driven Infrastructure Services

La soluzione sicura e completa, 100% gestita e as a service, per il backup e disaster recovery dei dati aziendali.

Cybersecurity per la PA: approccio multicompliance Sogei

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail - Posta Sicura. IntactMail Casella 20 GB

Navigando sulle Nuvole...

Roma, 28/11/2018. «6 SICURO?» L esperienza INAIL

Come affrontare le minacce alla sicurezza IT. Roma, 16 Giugno 2010

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

L attività Sarbanes Oxley Act : punti di contatto con la funzione di compliance nelle assicurazioni

Sicurezza dei sistemi. e servizi IT. Privacy e Cyber Security: strumenti tecnici ed organizzativi per la sicurezza. dei dati. Ing.

JOB ALERT PUBBLICATI ANNO 2016

La nostra storia. Indicom Centro Nord nasce per presidiare il territorio dell Emilia Romagna, Marche, Toscana, Umbria.

PIRELLI ENTERPRISE RISK MANAGEMENT turn risk into a choice

IBM - IT Service Management 1

SOLUZIONI E SERVIZI ICT

Aspetti operativi della analisi e dell adeguamento SOX per i sistemi informativi. Yann Bongiovanni

Procedura di segnalazione Data Breach

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail - Posta Sicura. IntactMail Casella 20 GB

Chi siamo e le nostre aree di competenza

Company overview. *stimato

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Modelli di business e determinanti della redditività

Ministero dell Interno Dipartimento per gli Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici

EXECUTIVE MASTER CYBER SECURITY E DATA PROTECTION

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

I Servizi IBM : Servizi professionali per garantire sicurezza e disponibilità dei sistemi IT

Vulnerability to ICT Risk Management. Andrea Ghislandi Amministratore Delegato

Esperienze CobiT nelle banche: il Testo Unico dei Controlli di Banca CR Firenze

Trasformazione digitale, Cyber Risk Management: spunti da survey su aziende italiane

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

GDPR Come valutare i rischi IT e la sicurezza dei dati

GDPR 2016/679 Analisi dei Rischi, Impatti Organizzativi e Soluzioni Tecnologiche Terni, 21 settembre 2017

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO

Sicurezza end-to-end alle aziende per tutte le risorse IT e compliance al GDPR

The Þrst all-in-one Cloud Security Suite Platform

Il GDPR applicato al settore del retail: il caso di Pittarello

Gestione integrata dei rischi e data protection: casestudy

ICT Security Governance. 16 Marzo Bruno Sicchieri ICT Security Technical Governance

Transcript:

Tracciamento delle operazioni bancarie: il concetto di Power User e il trade-off tra norme, standard ed esigenze di produttività AIEA, Milano 18 Maggio 2011 Paolo Capozucca Advisory & Alliance Manager Gruppo Terasystem paolo.capozucca@gruppoterasystem.it

B.U. SECURITY: CHI SIAMO Security Team operante dal 1998, in Italia, Europa, Medio Oriente 8 Principal Sec. Consultant 6 Sec. Program Manager 28 Security Consultant Oltre 80 certificazioni ICT SECURITY AUDITING & COMPLIANCE (DL 196, SOX, DL. 231, L.262,..) ORGANIZZAZIONE, RUOLI, PROCESSI ANALISI DEL RISCHIO IDENTITA DIGITALI FEDERATE DATA LOSS & LEAKAGE PREVENTION DAM: DB ACTIVITY MONITORING CLOUD SECURITY e SECURITY per il CLOUD

DIGITAL IDENTITY IN ITALIA: INPDAP

DIGITAL IDENTITY IN ITALIA: SPARKLE

REFERENZE SECURITY FINANCE & TELCO ALL ESTERO ABN AMRO UK Progetto Risk Assessment ICT Sarbanes-Oxley ALPHA BANK (Grecia): Identità digitali e Role Mgmt EUROBANK (Grecia, Romania, Bulgaria): Identità digitali e Role Mgmt HALK BANK Banca Turca : Role Management e Identità Digitali TCMB - Banca Centrale Turchia : Identità digitali federate UNICREDIT TIRIAC BANK (Romania): Identità digitali e Role Management ASTELIT MOBILE (Ucraina): Identità digitali VODAFONE (Albania e Romania): Identità digitali federate per adeguamento Sarbanes-Oxley

INFORMATION SECURITY: COSA E CAMBIATO TRA XIII E XXI SECOLO?

SECURITY: MOLTO SEMBRA FATTO MA.

FORSE NON ANCORA PROPRIO TUTTO!

XXI SECOLO: ANDREW CHAPMAN E IL DATA LOSS Andrew Chapman con l hard disk comprato su ebay e che conteneva informazioni bancarie private di più di un milione di persone* * Articolo pubblicato su DailyMail.co.uk nel mese di Agosto 2008

INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING Le informazioni digitalizzate da proteggere: un asset che ogni anno raddoppia di volume. 10

INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING - 2 In un contesto normativo internazionale e italiano sempre più capillare e complesso: (SOX, BASEL III, D.Lgs 231/01, L.262/2005, D.Lgs 196/2003) 11

TERASYSTEM NELLA CLOUD SECURITY ALLIANCE 12

INFRASTRUCTURE MGMT OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE INFORMATION CENTRIC SECURITY PLAN: definizione ISMS ambito ISMS, obiettivi ISMS (Policy), individuazione rischi, Controlli, preparazione di un SoA: Statement of Applicability Area delle Regole POLICY MGMT DO: implementazione ed attivazione ISMS definizione Piano di Risk Management, implementazione Piano di Risk Management, implementazione dei Controlli ACT: manutenzione e adeguamento (miglioramento ) ISMS implementazione migliorie, attivazione azioni correttive e preventive, comunicazione azioni e risultati, controllo raggiungimento obiettivi Area della Infrastruttura INFORMAZIONI CONTROL MGMT Area del cosa può accadere e del cosa accade IDENTITY MGMT Area di Chi Opera CHECK: monitoraggio e revisione ISMS attivazione procedure di monitoraggio, revisione periodica efficacia ISMS, revisione periodica Livello di Rischio residuo, auditing periodico

OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE Spunti importanti dal ROSI 2.0 Pattern DLP, DAM, ROLE MANAGEMENT 5.10: DLP 5.11: DAM 5.12: ROLE MANAGEMENT

DOPO LA SECURITY: E LA DATA PROTECTION? Sicurezza Data Eradication Business Continuity Data Protection Disaster Recovery Backup Archiving

PRINCIPALI CAUSE DI PERDITA DATI

Principali cause di perdita dati Fonte: KPMG

Principali cause di perdita dati Fonte: KPMG

Perdite dati per settore Fonte: KPMG

Sicurezza del dato Enterpise Policy Management Policy Configurazioni Access Control Management Data Security Identity & Access Management Identità Eventi Security Informations & Event Management Information Integrity Management Integrità

CLASSIFICAZIONE DEI DATI

Classificazione dei dati La classificazione dei dati e delle informazioni degli Enti ha una duplice valenza, da un lato discende di fatto dagli obblighi di legge connessi, in particolare, alla normativa sulla privacy (D. Lgs. 196/2003 e Provvedimenti del Garante), dall altro è necessario al fine di attribuire a ciascuna informazione l adeguato livello di protezione, rispetto alla criticità del dato per la missione dell Ente (secondo gli standard internazionali di sicurezza, per esempio, ISO 27001). In entrambi i casi, il livello di protezione dei dati e delle informazioni classificate, in termini di controlli di sicurezza tecnici, organizzativi o fisici, deve essere determinato attraverso un procedimento di analisi dei rischi cui le informazioni medesime sono esposte.

I POWER USER AL LAVORO (FINO A IERI) Audit & Monitor Net Admin L amministrazione delle applicazioni, dei server e degli apparati avviene direttamente sugli ambienti target. I privilegi di accesso sono generalmente di livello elevato Le tracce e le evidenze delle operazioni ICT sono a cura dei sistemi gestiti e quindi esse stesse soggette ad azioni da parte dei Power User Log Managed Zone Log Sys Admin La unica forma di reale deterrenza dalle manipolazioni è la Separation of Duties tra i Power User User Zone Log Non costituisce però una prova forense in caso di contestazione Mail Admin

I POWER USER da OGGI: Una rivoluzione silenziosa Net Admin Audit & Monitor COME? 1. Disaccoppiare i Power User dai Sistemi Gestiti 2. Fornire un logging autonomo, indipendente, inalterabile Log Managed Zone Log Sys Admin Log User Zone NOOS Admin Mail Admin

DAM: DB Activity Monitoring Protezione in tempo reale dei database ed aderenza alle esigenze di Compliance e Data Protection

DAM: Le componenti necessarie Tracciabilita dell accesso degli utenti ai database in ambienti WAN e LAN strumenti di Vulnerability assessment per DB Oracle, SQL Server, MySQL, DB2 Strumenti per la gestione ed il reporting delle attivia di auditing Prevenzione delle intrusioni dall interno del DB, con pieno controllo dei POWER USER Intrusion Prevention Virtual Patching Virtual patching basati sulle vulnerabilità note dei DB con azione 0 day protections.

ILM: INDIPENDENZA DAI VENDOR! Su tutto il ciclo di Information LifeCycle Management Business Needs Collect / Organize Delete / Destroy Replicate/ Monitor Migrate / Archive Access / Share Protect / Recover

GRAZIE! Vi aspettiamo al SECURITY SUMMIT DI ROMA Paolo Capozucca Advisory & Alliance Manager Gruppo Terasystem paolo.capozucca@gruppoterasystem.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back