Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Documenti analoghi
Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

V.I.S.A. VoiP Infrastructure Security Assessment

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Situation AWare Security Operations Center (SAWSOC) Topic SEC Convergence of physical and cyber security. Relatore: Alberto Bianchi

La certificazione della sicurezza ICT

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

Certificazione ISO Il sistema di gestione per la qualità


Certificazioni ISECOM e Certificazione PILAR advanced user

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Come scrivere una proposta progettuale

Iniziativa : "Sessione di Studio" a Roma

Progetto Atipico. Partners

VULNERABILITY ASSESSMENT E PENETRATION TEST

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Security assessment e normative Riccardo Barghini

CHI SIAMO. Viale Assunta Cernusco s/n Milano

Sistemi per la Sicurezza Consulenza. Sicurezza Analisi Consulenza. La La Sicurezza non è un gioco. non è un gioco

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

Riunione del Comitato di gestione Monitoraggio APQ - 18/12/03

Salute e sicurezza sul lavoro

L integrazione dei sistemi qualità, sicurezza, ambiente

Esperienze di integrated reporting in Italia e nel mondo

Progetto DAP Database delle Abitudini di Pagamento

La certificazione CISM

Iniziativa : "Sessione di Studio" a Torino. Torino, 6 maggio maggio p.v.

Finanziamenti per la Promozione dei Sistemi di Gestione Ambientale nelle Piccole e Medie Imprese.

Sistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente

Project Cycle Management

Produrre in sicurezza e nel rispetto dell ambiente

CERTIFICAZIONE DI QUALITA

INVITO CLIENTI A EVENTI TECNICO SCIENTIFICI ORGANIZZATI DA STRUTTURE ESTERNE E SPONSORIZZATO DALLE AZIENDE

Novità 2015 ARE YOU READY FOR ISO 9001:2015?

Scende in campo l esperienza

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

1- Corso di IT Strategy

IL MANAGER COACH: MODA O REQUISITO DI EFFICACIA. Nelle organizzazioni la gestione e lo sviluppo dei collaboratori hanno una importanza fondamentale.

Perché parlare di Qualità

Come cambierà la ISO 9001 nel 2015?

airis consulting Via Domenichino, Milano Tel: Fax: info@airisconsulting.it web:

IMPIANTI INDUSTRIALI. I Sistemi di gestione per la qualità secondo norma UNI EN ISO 9001:2008 Di Andrea Chiarini andrea.chiarini@chiarini.

I CONTRATTI DI RENDIMENTO ENERGETICO:

HTA: FATTORE DI CFESCITA O OSTACOLO ALL INNOVAZIONE?

PowerSchedo. Un sistema di supporto alla decisione nel settore dell'oil&gas. For further information:

Quando la sicurezza stradale è una priorità. ISO Road Safety Management System

Professionista della Security UNI Achille Sirignano

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

GLI STRUMENTI VOLONTARI DI GESTIONE AMBIENTALE La norma ISO 14001:2004 E IL REGOLAMENTO EMAS (Reg. n. 761/2001 CE)

Follia è fare quel che si è sempre fatto aspettandosi risultati diversi

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Esperienze di analisi del rischio in proggeti di Information Security

Gli 8 principi della Qualità

Information Systems Audit and Control Association

Politica di Acquisto di FASTWEB

Politica per la Sicurezza

Automation Solutions

Informatica e Telecomunicazioni

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

3 rd Annual ABI-AFME Event Opportunities in the Italian Funding Market 2010: Securitisation & Covered Bonds

DAMA DEMOLIZIONI E SMONTAGGI S.R.L.

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Progetto IDENTITAS: Formazione agli operatori di Bilancio di Competenze

INDICE. Che cosa vuol dire partecipazione. La relazione tra A21 e partecipazione dei cittadini. Lo strumento che garantisce la partecipazione in A21

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

5.1.1 Politica per la sicurezza delle informazioni

Perchè fare ricerca in salute mentale? Più di un cittadino Europeo su tre

Indagine su: L approccio delle aziende e delle associazioni nei confronti dell accessibilità dei siti web

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

PRINCIPI FONDAMENTALI...

Presentazione dell Azienda

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

Associazione Italiana Information Systems Auditors

Sistemi Informativi e Creazione di valore

profilo dna team clienti

LINEA INTERREGIONALITA. III Laboratorio

Applicazione della norma ISO 9001:2008 al Sistema Gestione per la Qualità del Gruppo Ricerca Fusione. Claudio Nardi Frascati 24 novembre 2009

NUMERICA RISK STP FUNZIONI FONDAMENTALI SII

Osservatorio ICT nel NonProfit. Claudio Tancini Novembre 2009

SAIE al Consiglio Superiore dei Lavori Pubblici su BIM e

Mercoledì degli Associati. Opportunità di business per le Aziende UCIF. Milano, 20 novembre Federata

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

PROGRAMMA TRIENNALE PER LA TRASPARENZA E INTEGRITA ANNO

SISTEMA DI GESTIONE SICUREZZA

UNI CEI Certificazione dei servizi energetici

- Getting better all the time -

MODALITÀ E CRITERI DI RINNOVO DELLA CERTIFICAZIONE NEL SETTORE QUALITÀ

Accreditamento e Sistemi di Qualità nella Formazione Professionale

ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE

Danais s.r.l. Profilo Aziendale

I SISTEMI DI GESTIONE DELLA SICUREZZA

Certificazioni Project Management

Transcript:

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma, 27 Maggio 2008 1

I relatori Raoul Chiesa Director of Communication, ISECOM (USA) Membro del Comitato Direttivo: ISECOM (USA), CLUSIT (IT), OWASP Italian Chapter (USA), Telecom Security Task Force (EU/ASIA) Consulente per le Nazioni Unite in tema di Cybercrime presso l UNICRI (United Nations Interregional Crime & Justice Research Institute) Fabio Guasconi Esperto nazionale UNINFO per l'iso/iec, SC27 Chief of Italian Delegation ISO/IEC JTC1/SC27 2

OSSTMM e ISO/IEC 27001 Le norme e le best practices internazionali sulla sicurezza delle informazioni permettono principalmente di unificare e rendere comparabile l approccio impiegato, riconducendolo quanto più possibile a qualcosa di ripetibile e verificabile. ISECOM per OSSTMM e UNINFO, organismo federato UNI, per la ISO/IEC 27001 sono gli enti di riferimento, a livello rispettivamente mondiale e nazionale. 3

Cos è l OSSTMM? Open Source Security Testing Methodology Manual. Creato nel 2001 da Pete Herzog (IBM Tiger Team, SAP) + 3.000.000 di downloads. Uno standard internazionale per i test e le analisi di sicurezza. Una metodologia basata su metodi scientifici. Un mezzo per misurare la sicurezza operativa oggettivamente (e persino finanziariamente). Un mezzo per ridurre in modo totale i falsi positivi ed i falsi negativi. Un processo concreto per essere funzionali e realmente sicuri. Un codice etico con chiare Rules of Engagement. 4

OSSTMM: i moduli Process Security Internet Security Information Security Physical Security Communications Security Wireless Security Process Security Information Security Physical Security Communications Security Wireless Security Internet Security 5

Penetration Testing: approccio OSSTMM 6

Cos è la ISO/IEC 27001? La norma internazionale di riferimento per la gestione della sicurezza delle informazioni. Uno strumento ad alto livello, che considera anche gli aspetti trasversali alla sicurezza Un framework basato sul paradigma PDCA orientato al miglioramento continuo. Un insieme di processi finalizzati al raggiungimento del livello di sicurezza ottimale. Un mezzo per dimostrare agli stakeholders la consistenza del proprio approccio verso la sicurezza. 7

ISO/IEC 27001: struttura 8

Alcuni errori comuni (1) La sicurezza è considerata su due livelli paralleli: tecnologico e organizzativo. Inoltre: spesso è presente una ridotta sensibilità verso il lato tecnologico (pochi vettori di attacco considerati, scarso approfondimento, mancata conoscenza specifica delle terminologie e degli approcci tecnici); molto spesso non esiste alcun collegamento tra lato tecnologico e lato organizzativo (fornitori diversi che non si parlano tra loro o forniture di diversa qualità e ambito). 9

Alcuni errori comuni (2) Soluzioni IT standard dove la sicurezza non sempre è adeguata al loro impiego nel settore finance, uno dei più esposti ad attacchi esterni, ad esempio: Applicazioni Web poco robuste (mancato rispetto dello standard OWASP): sanitizzazione dell input utente, SQL Injection, Cross-Site Scripting, etc. Vulnerabilità causate dalle soluzioni e dalle architetture imposte dai vendor, tenendo in considerazione le sole performance. 10

Approcci alla sicurezza Approccio ORGANIZZATIVO ISO/IEC 27001, COBIT (ISO L.A., CISA, CISM) INTRANET ADMIN DMZ Approccio TECNOLOGICO OSSTMM, OWASP (OPST, OPSA) 11

I punti di incontro (1) La ISO/IEC 27001 può trarre vantaggio dall uso con OSSTMM per migliorare la qualità di diversi suoi processi, primo tra tutti il Risk Assessment, ottenendo: I. Una stima del rischio più precisa, piani di trattamento e quindi investimenti sulle contromisure più corretti. II. Maggiori indicazioni per il monitoraggio e il controllo del livello di sicurezza (indicatori). III. Integrazione con processi e con strutture organizzative di dettaglio, concretizzando maggiormente la sicurezza. 12

I punti di incontro (2) OSSTMM può beneficiare della vision tipica della ISO/IEC 27001 predisponendo i risultati della propria applicazione per una loro fruizione a un più alto livello, raggiungendo quindi: I. Un trattamento non solo più dei sintomi ma anche delle cause. II. L integrazione con processi e con strutture organizzative di più alto livello, portando le problematiche ad una maggiore attenzione. 13

Impiego sul campo: OSSTMM Diffusamente utilizzata per le verifiche tecnologiche in oltre 50 enti o istituti del settore nel mondo; Impiegata dallo US Department of Treasure nei controlli da esso effettuati; Richiesta come requisito per la quotazione in borsa in Messico; Applicata da numerose banche private e centrali, da operatori finanziari. Utilizzato anche da: - U.S. Navy, U.S. Air Force, U.S. Army (Army-mst) 14

Impiego sul campo: ISO/IEC 27001 Impiegata, a diversi livelli di profondità e insieme alle altre norme della famiglia, nella maggior parte delle aziende del settore nel mondo: Adottata ufficialmente dal Ministero del tesoro di Taiwan; Indicata come punto di eccellenza da numerose banche private e da diverse banche centrali; Oltre 4400 certificati emessi nel mondo (di cui un centinaio distribuiti tra i principali operatori del settore). 15

Un nuovo trend per la sicurezza? Il settore finance, anche (ma non solo) per fronteggiare il crescente fenomeno del cybercrime, ha bisogno di innovazione. Integrare davvero i due approcci costituisce un opportunità importante, che permette di ripensare i modelli di sicurezza finora impiegati sotto una prospettiva olistica, mantenendo al tempo stesso un riuso decisamente elevato di quanto già sviluppato. 16

Links www.iso.org www.uninfo.polito.it www.iso27001certificates.com www.sincert.it www.isecom.org www.osstmm.org www.opsa.org www.opst.org osstmm.mediaservice.net 17

Contatti e Q&A RAOUL CHIESA E-mail: raoul@isecom.org FABIO GUASCONI E-mail: fabio.guasconi@sgsi.net DOMANDE? 18

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back