1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario



Documenti analoghi
IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

Vision strategica della BCM

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

1- Corso di IT Strategy

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Sicurezza informatica in azienda: solo un problema di costi?

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

La certificazione CISM

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

MANDATO DI AUDIT DI GRUPPO

Sommario IX. Indice analitico 331

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Hanson Brothers. PIANO DI DISASTER RECOVERY delle sale server

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Requisiti di controllo dei fornitori esterni

Progetto di Information Security

Direzione Centrale Sistemi Informativi

Banche e Sicurezza 2015

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014

HOSTING ASICT. Roberto Gaffuri Servizio infrastrutture software e identità digitale

Il Partner di riferimento per i progetti informatici

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

Il Partner di riferimento per i progetti informatici

Associazione Italiana Information Systems Auditors

PROFILO FORMATIVO Profilo professionale e percorso formativo

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

SOA GOVERNANCE: WHAT DOES IT MEAN? Giorgio Marras

Le possibili sinergie della Direzione e della AQ orientate alla Buona Gestione del C.d.S.

Continuità operativa - FAQ

Policy sulla Gestione delle Informazioni

I dati in cassaforte 1

La Business Unit Sistemi

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

TSecNet. Soluzioni per la security Bologna 29 marzo Pietro Cecilia. Tecnology Security Networking

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY

Continuità operativa e disaster recovery nella pubblica amministrazione

Politica per la Sicurezza

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

Information Systems Audit and Control Association

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

I dati : patrimonio aziendale da proteggere

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

5.1.1 Politica per la sicurezza delle informazioni

Gestione Operativa e Supporto

La gestione della qualità nelle aziende aerospaziali

La sicurezza in banca: un assicurazione sul business aziendale

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Redazione e Presentazione di Progetti Informatici

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

Configuration Management

SOGEI E L AGENZIA DEL TERRITORIO

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

Il modello di ottimizzazione SAM

Il Sistema di Gestione per la Qualità nelle RSA. Principi metodologici della consulenza

Business Process Management

PROFILO AZIENDALE 2011

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Il Security Manager in Banca. Ing. Anthony C. Wright Business Continuity Banca Nazionale del Lavoro

BUSINESS CONTINUITY CAPABILITY: LE PERSONE AL CENTRO DEL PROCESSO DECISIONALE, OVVERO CULTURA, CONSAPEVOLEZZA E RESPONSABILITÀ

ILMS. Integrated Learning Management System

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Protezione della propria rete

Violazione dei dati aziendali

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

La Guida per l Organizzazione degli Studi professionali

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

Osservatorio Solvency II Operational Transformation

Le sfide del Mobile computing

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

The ITIL Foundation Examination

Sicurezza, Rischio e Business Continuity Quali sinergie?

Disaster Recovery: Aspetti tecnico-organizzativi

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

Transcript:

1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2 Frode... 24 1.3.3 Danni cagionati con dolo... 25 1.3.4 Errore umano... 25 1.3.5 Incidenti e disastri... 25 1.4 Le motivazioni delle minacce... 25 1.5 Minacce esterne e interne... 26 2. IL RISCHIO E LA SUA GESTIONE 2.1 La valutazione del rischio... 31 2.2 Anticipare il rischio... 31 2.3 Un approccio quantitativo al rischio... 32 2.4 Il risk management... 33 2.5 Il framework del risk management... 34 2.5.1 Mandato e impegno... 35 2.5.2 La progettazione del framework per la gestione del rischio... 35 2.5.3 Implementazione del risk management... 37 2.5.4 Monitoraggio e revisione del framework... 38 2.5.5 Miglioramento continuo del framework... 38 2.6 Il processo del risk management... 38 2.6.1 Comunicazione e consultazione... 38 2.6.2 Stabilire il contesto... 40 2.6.3 Il risk assessment... 41 2.6.4 Il trattamento del rischio... 43 2.6.5 Monitoraggio e revisione... 45 2.7 Il processo di valutazione del rischio (risk assessment) e la mitigazione. 45 2.7.1 I benefici del risk assessment... 46 2.7.3 Definizione del progetto di risk assessment... 48 2.7.4 Preparazione del progetto... 50 2.7.5 Raccolta dati... 50 2.7.6 Introduzione alla fase di analisi del rischio... 51 2.7.7 L identificazione del rischio... 54 2.7.8 L analisi del rischio... 55 2.7.9 La valutazione del rischio... 57 2.7.10 Mitigazione del rischio... 57 2.7.11 Documentazione dei risultati... 59 2.7.12 Monitoraggio e revisione del risk assessment... 59 2.7.13 Il risk assessment durante il ciclo di vita... 59 2.7.14 Attività del risk assessment... 60 IPSOA - Security Risk Management 11

2.8 Metodologie di risk management nell information security... 62 2.8.1 CRAMM... 62 2.8.2 Metodi ISF... 62 2.8.3 ISO 27001... 63 2.8.4 ISO 27005... 63 2.8.4 IT Grundschutz... 63 2.8.5 Magerit... 63 2.8.6 MEHARI... 64 2.9.7 OCTAVE... 64 3. LA MITIGAZIONE DELLE MINACCE INTERNE 3.1 Introduzione... 67 3.2 Best practice contro la minaccia interna... 68 3.2.1 Istituire risk assessment periodici che riguardino l intera azienda... 68 3.2.2 Istituire corsi di formazione periodici dedicati alla sicurezza... 70 3.2.3 Applicare i principi di segregazione dei ruoli e di privilegio minimo 71 3.2.4 Implementare policy e prassi rigide nella gestione di password e di account... 73 3.2.5 Registrare, monitorare e effettuare audit delle azioni online dei dipendenti... 74 3.2.6 Utilizzare cautele ulteriori con gli amministratori di sistema e gli utenti privilegiati... 75 3.2.7 Difesa attiva contro il codice maligno... 76 3.2.8 Utilizzare una difesa a multilivello contro gli attacchi remoti... 77 3.2.9 Monitorare e rispondere a comportamenti sospetti o importuni... 78 3.2.10 Disattivare l accesso ai sistemi dopo la cessazione del rapporto di lavoro... 80 3.2.11 Collezionare e salvare i dati per un futuro utilizzo nelle investigazioni... 81 3.2.12 Implementare processi sicuri di backup e ripristino... 82 3.2.13 Documentare con chiarezza i controlli interni... 83 4. LA PROTEZIONE DELL AZIENDA IN RETE 4.1 Introduzione... 87 4.2 L architettura di rete... 87 4.3 Tipologie di configurazione... 87 4.3.1 L azienda centralizzata... 89 4.3.2 L azienda centralizzata con una locazione esterna di erogazione servizi... 89 4.3.3 Uffici periferici... 90 4.4 Il primo livello di protezione: il firewall... 91 4.4.1 L evoluzione dei firewall... 91 4.4.2 La tecnologia dei firewall... 92 12 IPSOA - Security Risk Management

4.4.4 Firewall ibridi... 94 4.4.5 Caratteristiche principali dei firewall... 94 4.4.6 Dai firewall agli UTM... 94 4.4.7 Il firewall: un buon punto di partenza... 96 4.5 La prevenzione delle intrusioni... 96 4.5.1 Le tipologie di analisi delle intrusioni... 96 4.5.2 Categorie di individuazione delle intrusioni... 97 4.6 La sicurezza delle applicazioni web... 99 4.6.1 Pensare come un hacker... 99 4.6.2 I rischi delle applicazioni web... 100 4.6.3 Come mitigare il rischio... 103 4.7 L uso di e-mail e internet... 105 4.7.1 I rischi della e-mail... 106 4.7.2 Lo spam... 107 4.7.3 Utilizzo improprio di internet... 108 4.7.3 Esempio di policy di uso accettabile... 109 4.8 Conservazione della posta elettronica... 112 4.8.1 Esigenze normative... 112 4.8.1 Esigenze tecnico/organizzative... 113 4.8.2 Obiettivi... 114 4.8.3 Caratteristiche di valutazione... 115 5. ACCESSO E CONTROLLI INTERNI 5.1 Il controllo degli accessi... 119 5.1.1 Hacker: un po di background... 119 5.1.2 Come opera un hacker... 120 5.1.3 Policy di controllo degli accessi... 121 5.1.4 Gestione dell accesso utenti... 123 5.1.5 La registrazione dell utente... 124 5.1.6 I sistemi di Single Sign-on... 125 5.1.7 La gestione dei privilegi... 126 5.1.8 La gestione delle password... 127 5.1.9 Revisione periodica dei diritti di accesso... 128 5.1.10 La policy di schermo e scrivania puliti... 128 5.2 L accesso ai sistemi operativi... 129 5.2.1 La gestione delle sessioni... 129 5.2.2 La gestione delle password... 130 5.2.3 L utilizzo di utility di sistema... 131 5.3 L accesso alle applicazioni... 131 5.3.1 Restrizioni all accesso ai dati... 131 5.3.2 Isolamento di sistemi sensibili... 132 5.4 Il mobile computing e il telelavoro... 132 5.4.1 Mobile computing... 132 5.4.2 Il lavoro da remoto... 134 5.4.3 Il salvataggio dei dati online... 135 5.5 Le reti wireless... 136 IPSOA - Security Risk Management 13

5.6 La sicurezza degli endpoint... 138 5.6.1 Una minaccia in crescita... 138 5.6.2 Gli strumenti dell endpoint security... 139 5.6.3 Applicare l endpoint security... 139 5.7 Il network access control (NAC)... 140 5.7.1 I device non gestiti... 140 5.7.2 Controllo di accesso alla rete pre e post-ammissione... 141 5.7.3 Quarantena e remediation... 141 5.8 Acquisizione dei sistemi, sviluppo e mantenimento... 142 5.8.1 Analisi e decrizione delle specifiche di sicurezza... 142 5.8.2 Verificare la correttezza delle elaborazioni... 143 5.9 Evitare fughe di dati dagli ambienti di test e sviluppo... 145 5.9.1 Scenari di fughe di dati... 146 5.9.2 Strumenti di sicurezza per database... 146 5.9.3 Problemi... 147 5.9.4 Il data masking... 147 5.9.5 Conoscere i dati... 148 5.9.6 Iniziare con la documentazione e la tracciabilità... 149 5.9.7 Metodi di mascheratura... 149 5.9.8 Gestire le nuove release... 150 6. AUDIT E GESTIONE DEI LOG 6.1 Introduzione... 153 6.1.1 Tipologie di log... 153 6.1.2 Software di sicurezza... 154 6.1.3 Sistemi operativi... 154 6.1.4 Applicazioni... 154 6.2 La necessità di un log management... 155 6.3 Le sfide del log management... 155 6.3.1 Generazione e memorizzazione dei log... 155 6.3.2 Protezione dei log... 156 6.3.3 Analisi dei log... 157 6.3.4 Una gestione dei log efficace... 157 6.5 L infrastruttura di log management... 158 6.5.1 L architettura... 158 6.5.2 Le funzioni... 160 6.6 Pianificazione del log management... 161 6.6.1 Definire ruoli e responsabilità... 162 6.6.2 Stabilire policy adeguate... 163 6.6.3 Problematiche legali relative al log management... 165 6.6.5 Stabilire policy attuabili... 167 6.6.6 Progettare un infrastruttura di log management... 168 6.7 I processi operativi del log management... 168 6.7.1 Configurazione delle fonti di log... 169 6.7.2 Generazione dei log... 169 6.7.3 Archiviazione e smaltimento dei log... 169 14 IPSOA - Security Risk Management

6.7.3 Sicurezza dei log... 171 6.8 Analizzare i dati di log... 171 6.8.1 Comprendere i log... 172 6.8.2 Assegnare la priorità corretta alle entry... 173 6.8.3 Confrontare analisi a livello di sistema e di infrastruttura... 174 6.8.4 Rispondere agli eventi identificati... 175 6.8.5 Gestire lo storage a lungo termine... 175 6.8.6 Test e convalida... 176 7. LA CONTINUITÀ DEL BUSINESS 7.1 Il Business Continuity Management... 181 7.1.1 Costi e benefici... 182 7.1.2 La resilienza... 182 7.1.3 Il ciclo di vita... 183 7.1.4 Il disaster recovery... 183 7.1.5 Il risk management... 183 7.1.6 La gestione delle risposte di emergenza... 184 7.1.7 La gestione degli incidenti... 184 7.2 Gestire la continuità del business... 184 7.2.1 Sviluppo in-house o con consulenza esterna... 185 7.2.2 La gestione... 185 7.3 La gestione della continuità del business nella cultura aziendale... 185 7.3.1 La sponsorizzazione del management esecutivo... 185 7.3.2 L integrazione con il change management... 186 7.3.3 Formazione e awareness... 187 7.4 Analizzare l azienda e il suo contesto... 188 7.4.1 Il collegamento con il risk management... 188 7.4.2 Identificare i processi di businesss critici... 188 7.4.3 Assegnare una categoria e una classifica... 188 7.4.4 Identificare i processi di business interdipendenti... 189 7.4.5 Individuare i requisiti minimi per ogni processo critico... 189 7.4.6 Condurre una business impact analysis... 190 7.4.7 Analisi degli impatti operativi e finanziari... 191 7.5 L approccio alla business continuity... 192 7.5.1 Identificare e valutare le opzioni per minimizzare gli effetti di un interruzione... 192 7.5.2 Le telecomunicazioni... 194 7.5.3 Gestione dei documenti fondamentali (record management)... 194 7.5.4 Le interdipendenze... 194 7.5.5 La selezione di attività e risorse alternative... 195 7.6 Realizzare la resilienza... 195 7.6.1 La predisposizione dei controlli preparatori... 195 7.6.2 La preparazione del business continuity plan... 196 7.7 Attivare il piano... 198 7.7.1 Il ritorno alla normale operatività... 198 7.7.2 La revisione post-incidente... 199 IPSOA - Security Risk Management 15

7.8 Il mantenimento del piano... 199 7.8.1 Test ed esercizi... 199 7.8.2 Analisi post-esercizio... 201 7.8.3 L aggiornamento del piano... 201 7.8.4 La revisione del programma... 202 GLOSSARIO... 203 16 IPSOA - Security Risk Management

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back