Digital Security per la PA 28/05/2015

Documenti analoghi
I trend emergenti e lo scenario di riferimento

Roma, 28/11/2018. «6 SICURO?» L esperienza INAIL

Cybersecurity, come difendersi dal furto dati

Da una protezione perimetrale ad una user centric Security Summit Verona

IL PROGETTO EU-FP7 ECOSSIAN PROTEZIONE DELLE INFRASTRUTTURE CRITICHE E COOPERAZIONE EUROPEA NEL CONTRASTO ALLE MINACCE CYBER

Advanced Security Operations

La Cyber Security nel Gruppo FS

Cybersecurity per la PA: approccio multicompliance Sogei

Cyber Security Lo scenario di rischio

NON CLASSIFICATO COMANDO C4 DIFESA. La struttura CDC del Comando C4D Prospettive ed evoluzione. Gen. B. CASTELLI Comandante C4Difesa

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Il CERT Sogei. Modello operativo e servizi erogati. 23 maggio 2017 Federico Filacchione. Sogei S.p.A. - Sede Legale Via M. Carucci n.

Le iniziative Consip a supporto

Gli effetti della Digital Transformation sugli scenari della Cyber Security

Il Cloud in Italia lo stato dell arte, la dimensione del fenomeno, le prospettive. Annamaria Di Ruscio Amministratore Delegato, NetConsulting cube

STATO DELLA SICUREZZA NEGLI ENTI SANITARI PUBBLICI

La protezione dal rischio cyber per le PMI e le PAL

Trasformazione digitale, Cyber Risk Management: spunti da survey su aziende italiane

NIS e GDPR: compliance istituzionali, competenze, risorse. Elisabetta Zuanelli

Fintech District. The First Testing Cyber Security Platform. In collaboration with CISCO. Cloud or On Premise Platform

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

Privacy e requisiti per la Cybersecurity nella PA

15 Aprile 2016, Trento

Cloud Transformation: Opportunità e sfide

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

INNOVAZIONE SUPPORTO

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

CYBERSECURITY & RISK MANAGEMENT PROGRAM EDIZIONE 2017 CYBERTECH PRACTICAL WORKSHOP

Il Piano d azione OGP Servizi digitali

Axitea. Integrated Security Solutions. Axitea Integrated Security Solutions

Le iniziative Consip a supporto

SWASCAN THE FIRST CLOUD CYBER SECURITY PLATFORM

LE SFIDE GOVERNANCE INTEGRAZIONE SICUREZZA

Giancarlo Capitani Presidente NetConsulting cube

Giancarlo Capitani. Presidente NetConsulting cube

L evoluzione della cyber security per la pubblica amministrazione: GDPR, risk analysis e cloud

Da una protezione perimetrale ad una user centric Security Summit Treviso

BANCHE E SICUREZZA 2017

IDENTITA DIGITALE E SICUREZZA PER LA PUBBLICA AMMINISTRAZIONE

Il Nuovo Sistema Informativo Sanitario

La Customer Experience Il punto di vista di un Outsourcer

IBM - IT Service Management 1

Cyber Risk Management Italia v1.0 - Modelli di governance dei rischi cyber e raccomandazioni di sviluppo per le aziende italiane

Datacenter Innovation

Giancarlo Capitani Presidente NetConsulting cube

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Servizi di identità digitale e sicurezza applicativa

SWASCAN REGISTRATI E ACCEDI AL FREE TRIAL

CLOUD E SICUREZZA APPLICATIVA: nuove sfide e nuove opportunità per la PA

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

LA PREVENZIONE CON IL GovCERT ED I CERT-SPC FORUMPA Gianluigi Moxedano GovCERT-CNIPA

6 sicuro? Cyber Security a misura di PMI e PAL. Andrea Ardizzone Segretario Generale Assintel

La valutazione del rischio informatico e gli impatti sul business

ED Contact S.r.l. Roma, 28 Ottobre 2015

Cybaze Group ha l ambizioso obiettivo di rappresentare il polo italiano di eccellenza nell arena della cybersecurity.

Security Summit Verona 4 ottobre 2018

Evoluzione dei sistemi informativi nel Gruppo FS Italiane

SPETT.LE. Consiglio dell'ordine degli Avvocati di Roma Palazzo di Giustizia Piazza Cavour Roma".

Sicurezza Integrata: Stato dell arte e prospettive

Il valore della cyber security per la sicurezza nazionale e la protezione delle infrastrutture energetiche

Cyber Security Architecture in Sogei

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

CYBER SECURITY IN CAMPO

The First Cloud Cyber Security & GDPR Platform REGISTRATI E ACCEDI AL FREE TRIAL SWASCAN. In collaboration with CISCO NETWORK SCAN

Swascan Security Service MSSP

Osservatorio normativo EY

28 Paesi 1 Cyber Security

Marco Cinquegrani. Capo della Segreteria Tecnica del Ministro. Roma, 14 aprile 2007

SENSIBILIZZAZIONE, CONSAPEVOLEZZA E CULTURA CYBER SEC

Trasformazione digitale Efficienza e innovazione: esperienze del GSE Gennaro Niglio Direttore Sistemi Informativi GSE SpA

ISA Presentazione dei servizi. isaitalia.it

Un modello di Cloud Ibrido per la PA alla luce del Piano Triennale

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Xecurity Portfolio Cyber Security & Cyber Intelligence Services. 4 novembre 2016 Xecurity Portfolio 1

Oltre la sicurezza. Tutela e valorizzazione degli investimenti

I rischi cyber. Corrado Giustozzi. Conferenza Chimica 4.0: la gestione della security nell era della digitalizzazione

Le infrastrutture materiali a supporto della strategia di crescita digitale

SFIDA 4.0 DIGITAL INNOVATION HUB

Modelli di business e determinanti della redditività

La sicurezza informatica del Paese, tra nuova governance nazionale e Agenda digitale

Impresa 4.0: opportunità e sfide

CYBERSECURITY AND IT RISK MANAGEMENT FOR FINANCIAL INSTITUTIONS INFRASTRUCTURES - CPEXPO Partner

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

The first all-in-one Cloud Security Suite Platform

Danilo Massa aramis CTO aizoon. Matteo Herin RSO Leroy Merlin. LA CYBER SECURITY NELLA GDO: Il caso Leroy Merlin

DATA & ANALYTICS FRAMEWORK PER UN NUOVO MODELLO DI GESTIONE DEI DATI: STATO DELL ARTE E PRIME ESPERIENZE FORUM PA 2018 ROMA, 23 MAGGIO 2018

Scenari e costi di un attacco cyber: la formazione come prima arma di prevenzione. Maura Frusone Head of Marketing, Kaspersky Lab

La strategia AgID per la realizzazione dell Agenda Digitale Italiana Agostino Ragosa

ALIMENTARE NUOVI MODELLI AD ALTA PERFOMANCE PER LE IMPRESE come sostenere la competitività favorendo la convergenza tra business e tecnologia

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

Un possibile approccio industriale per l evoluzione delle reti: Evoluzione e non rivoluzione. Roma, 24 Novembre 2016

Come affrontare le nuove minacce della Cybersecurity in Italia: Ransomware e Attacchi mirati. Fabio Sammartino Presales Manager Kaspersky Lab

DPCM 24 gennaio 2013 Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale.

Responsabilità e piano di azione per un nuovo approccio alla Cyber Security

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

Il piano triennale ICT della PA e ruolo di Consip. Roma, 9 novembre 2017

Transcript:

Digital Security per la PA 28/05/2015

Lo stato delle cose visto dall Italia Su minacce strutturate alle infrastrutture critiche nazionali Sulle attività di spionaggio in ambiente digitale a danno di soggetti, sia pubblici che privati Cyber Focus Su campagne e sui singoli attacchi riconducibili al fenomeno dell attivismo digitale Su propaganda, disinformazione e controinformazione, proselitismo e pianificazione di azioni terroristiche Fonte: Relazione sulla politica dell informazione per la sicurezza 2014 3

cyberspazio quale terreno di confronto tra Stati, Utilizzo dello spazio cibernetico in contesti di confronto militare progressiva sofisticazione delle tecniche di attacco e di penetrazione informatica ancora inadeguato livello di sicurezza tecnico-organizzativa e di percezione del rischio\ continua espansione della superficie di attacco, ( sistemi informatici industriali SCADA), Sistemi Cloud e connettività, piattaforme mobili livelli talora non adeguati di investimenti nel settore della sicurezza ICT ridurre la superficie d attacco attraverso un ridimensionamento numerico dei data center pubblici rischi legati alla gestione della supply chain di operatori pubblici e privati Fonte: Relazione sulla politica dell informazione per la sicurezza 2014 4

Come reagiscono le organizzazioni? Policy change 85,7% Security Technologies/products Risk& vulnerability assessment 64,3% 57,1% Anti DDoS, IPS, MDM, IAM Internal Cyber Teams 50,0% Security Operation Center 28,6% Mainly MSSP Training 7,1% Integrated Cyber Security Programs 7,1% Fonte: NetConsulting, web survey 2015 5

La spesa in sicurezza aumenta Global Cyber Security Market* Trend storici e prospettici per Product sub-segment (Bln **; 2013-2018) TOTAL MARKET SIZE 13/18 AVG. WEIGHT 13/18 CAGR 13/18 Bln 80 70 60 50 40 30 20 10 0 47,7 55,3 60,9 65,3 70,1 74,8 1,9 1,4 3,5 7,3 9,1 8,7 2,3 2,5 4,3 8,6 10,9 2,9 2,8 4,9 9,6 12,4 9,6 10,3 10,8 11,4 12,0 15,8 17,0 18,0 19,0 19,9 21,0 2013 2014 2015 2016 2017 2018 3,2 2,9 5,2 10,5 13,8 3,6 3,1 5,8 11,4 14,9 4,0 3,2 6,3 12,2 16,1 5% 4% 8% 16% 21% 17% 30% Worldwide Cloud Security App. Security Endpoint Security Id. & Access Mgmt Data Security Security Operations Network Security 9,4% 22,4% 11,6% 12,6% 10,8% 12,0% 6,7% 5,9% Network Security Security Operations Data Security Identity & Access Management Endpoint Security Application Security Cloud Security (*) Source: Visiongain, Cyber Security Market Forecast 2014-2024 6

Eppure Il numero delle segnalazioni d incidenti di sicurezza in tutto il mondo è aumentato del 48 per cento a 42,8 milioni, l'equivalente di 117.339 attacchi al giorno Gli Incidenti di sicurezza rilevati sono aumentati del 66% anno su anno dal 2009. Aumenta anche la frequenza e i costi di gestione associati. A livello globale, la perdita finanziaria media riportata è stata stimata in 2,7 milioni dollari con un aumento del 34 per cento rispetto al 2013 Il costo medio per ogni record perso o rubato contenente informazioni sensibili e riservate è aumentato da $ 188 a $ 201 Il costo medio totale pagato dalle organizzazioni è aumentato da 5,4 milioni a 5,9 milioni di dollari Fonti: The 2014 Cost of DataBreach Study: United States - Ponemon Institute The Global State of Information Security Survey 2015 - PwC, CIO, CSO 7

So what? o, per dirla con Forum PA, che #sipuòfare?? 2014 Selex ES S.p.A. All rights reserved 8

Piano per la crescita digitale Il Progetto di Digital Security per la PA nasce per aumentare il livello di sicurezza delle informazioni e delle comunicazioni digitali per consentire nuovi livelli di servizi per i cittadini e le imprese. Il fine ultimo è di tutelare la privacy, l integrità e la continuità dei servizi della PA, vera e propria infrastruttura critica per il paese. In questo progetto rientra anche il CERT-PA. Chi fa cosa? Il Governo Italiano attraverso l Agenzia per l Italia Digitale definisce gli Standard e le linee guida di sicurezza per tutta la pubblica amministrazione. L aderenza agli standard di servizio e di processo sarà obbligatorio per tutte le Amministrazioni Pubbliche. La Cabina di Regia per la Cybersecurity, presieduta dal Consigliere Militare del Presidente del Consiglio assicura il coordinamento fra tutti i soggetti pubblici. Il ministero dello Sviluppo Economico attraverso l Organo di Certificazione della Sicurezza Informatica, verifica l aderenza delle soluzioni agli standard. Il settore privato avrà il compito di sviluppare prodotti e soluzioni allineati agli Standard. Gli stakeholders coinvolti Nel progetto sono coinvolte tutte le Amministrazioni Pubbliche, nonché tutti quegli attori del settore privato che forniscono soluzioni e servizi alla PA Tempistica 2015-2020 Monitoraggio dell iniziativa Agenzia per l Italia Digitale e Cabina di Regia per la Cybersecurity della Presidenza del Consiglio Progetto Digital Security per la PA in primo luogo il Governo, attraverso l Agenzia per l Italia Digitale che conduce azioni molteplici: definisce le regole tecniche e le linee guida per la sicurezza ICT; verifica ed approva i piani per la continuità operativa ed il disaster recovery; predispone i piani per la razionalizzazione delle infrastrutture ICT della PA; opera il Computer Emergency Response Team della PA (CERT-PA); cura il Sistema Pubblico di Connettività (SPC), ossia la rete informatica della PA. Il Ministero dello Sviluppo Economico che, attraverso l Organo di Certificazione della Sicurezza Informatica (OCSI), garantisce la rispondenza ai requisiti di sicurezza dei prodotti e dei sistemi informatici ed opera il CERT per il settore privato. Il Ministero dell Interno che con il CNAIPIC monitora e sorveglia la sicurezza informatica delle infrastrutture critiche. Il settore industriale che deve sviluppare e fornire soluzioni adeguate con i requisiti di sicurezza 2014 Selex ES S.p.A. All rights reserved 9

Gli strumenti disponibili in Italia «Quadro Strategico Nazionale» Il miglioramento delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati. Il potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-paese. L incentivazione della cooperazione tra istituzioni ed imprese nazionali. La promozione e diffusione della cultura della sicurezza. Il rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali on-line. Il rafforzamento della cooperazione internazionale in materia di sicurezza cibernetica. «Piano nazionale per la protezione cibernetica e la sicurezza informatica» Potenziamento delle capacità di intelligence, di Polizia e di difesa civile e militare. Potenziamento dell organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento. Cooperazione internazionale ed esercitazioni. Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteri. Interventi legislativi e compliance con obblighi internazionali. Compliance a standard e protocolli di sicurezza. Supporto allo sviluppo industriale e tecnologico. Comunicazione strategica. Risorse. Implementazione di un sistema di information risk management nazionale. 10

Il progetto Digital Security: la rilettura di un player industriale Nodo cruciale di una rete di progettualità pubbliche e private, con ruoli precisi Individua la PA come infrastruttura critica Centralità degli standard e delle linee guida «Quadro Strategico Nazionale» «Piano nazionale per la protezione cibernetica e la sicurezza informatica» «Digital Security per la PA» Ruolo chiaro dei controllori, valutazione dei livelli di implementazione e delle soluzioni Favorisce nelle PA l avviamento di processi e procedure di gestione operativa della sicurezza Valorizza il CERT-PA come punto di raccordo e di coordinamento fra le diverse capacità delle PA Particolare attenzione agli incidenti e a tutti gli eventi di particolare rilevanza Sviluppa la collaborazione pubblico-privato delineata nelle strategie nazionali su tutti i punti 11

Il progetto Digital Security: cosa occorrerebbe? Piano attuativo che individui gli attori e i loro ruoli, e definisca gli obblighi dei soggetti chiamati all adozione degli standard. Ruoli, raccomandazioni e obblighi molto precisi per il ruolo dei privati come fornitori ed attori dello spazio cyber (vedi CERT US o UK) «Quadro Strategico Nazionale» «Piano nazionale per la protezione cibernetica e la sicurezza informatica» «Digital Security per la PA» Razionalizzazione dell architettura in termini di processi e policy mandatorie (anonime??), KPI, efficienza, knowledge sharing, intelligence, incident notification Modalità di valutazione e gestione del rischio per tutta la pubblica amministrazione, verificandone la sua esecuzione Sviluppo di set di KPI di implementazione basati su standard Piano continuo di assessment della vulnerabilità Piano operativo e mandatorio di implementazione per le PA a tutti i livelli con monitoraggio effettivo delle milestones e possibilità reali di intervento presso i soggetti implementanti 12

Possibile strategia di progetto / interazione pubblico privato Sviluppo del tema dello scambio delle informazioni Costruzione di servizi e capacità condivise sia in termini di Cyber Security che di ICT Exchange Manage Servizi MSSP per chi non può adottare il modello in house Processi e architetture per Centri per la Sicurezza Operativa (SOC) Servizi proattivi di assessment Aumentata responsabilità delle aziende strategiche a supporto dei programmi della PA, con un sempre maggiore ruolo nelle iniziative più critiche, es. SPC Cloud e Sicurezza Trust Cyber Strategy Governance Partecipazione alla definizione degli obiettivi e dei framework di digitalizzazione e sicurezza Valutazione delle implementazioni Un evoluzione della sicurezza cyber dalla protezione di perimetro a più sofisticati meccanismi basati sull intelligenza artificiale, i big data, l analisi comportamentale ed i metodi probabilistici Technology Awareness La tecnologia senza competenza non è una soluzione. Serve formazione per creare consapevolezza e cultura Incremento delle capacità e dei servizi offerti in termini di Supporto alle indagini, Big Data, Open Source Intelligence, Content Analysis a supporto di un modello Intelligence driven di cyber security 13

Il contributo di Selex ES Servizi Professionali Servizi personalizzati di cyber risk management, design, implementazione e certificazione di sistemi, nell analisi e prevenzione di Advanced Persistent Threat e disaster recovery. Esperienza specifica su CNI, Energia, Difesa, Industria Cyber Solutions Soluzioni specializzate per l intercettazione, cattura, gestione ed elaborazione di informazioni per uso governativo/militare e servizi di cyber intelligence finalizzati al monitoraggio ed analisi di Big Data/OSINT Managed Services Sistemi di individuazione del malware, architetture per la protezione dei dati, dell infrastruttura e della rete, mitigazione del rischio e gestione integrata degli eventi e degli incidenti di sicurezza (SIEM). Moduli e offerte specifiche per SCADA, CNI, Polizie, Industrie Cyber Intelligence SOC nazionali, attivi 24 ore su 24 365 giorni l anno, con una expertise consolidata per offrire il monitoraggio continuo delle infrastrutture, l immediata individuazione di attacchi e/o minacce 14

Da non trascurare Preparare l ambiente target un punto di partenza stabile Usare Framework esistenti e Standard riconosciuti Utilizzare Systems Integrator per gestire la complessità ed ingaggiare i partner e le tecnologie Adottare un concetto operativo ed un framework di riferimento basati sull Intelligence Assicurare il coinvolgimento di tutti gli stakeholder ed utenti lungo i progetti Deadline chiare e brevi, ruoli chiari & program management Adottare un approccio di delivery iterativo rilasciare spesso chiari e completi set di capacità Abbracciare il cambiamento non è solo tecnologia Risorse si ha sempre ciò per cui si paga La sicurezza è un viaggio non un punto d arrivo 15

THANK YOU FOR YOUR ATTENTION Giorgio Mosca VP Marketing Security & Information Systems giorgio.mosca@selex-es.com Via Laurentina 760-00143 Rome Italy www.selex-es.com Selex ES S.p.A. Piazza Monte Grappa 4 00195 Rome, Italy 16

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back