CONTROLLI ESSENZIALI DI CYBERSECURITY

Documenti analoghi
Global Cyber Security Center

La CyberSecurity nel modello ICT per la PA

Servizio Calcolo e Reti

CIS Sapienza. Cyber Intelligence and information Security Italian Cybersecurity Report. Controlli Essenziali di Cybersecurity

FRAMEWORK NAZIONALE PER LA CYBER SECURITY

Cybersecurity per la PA: approccio multicompliance Sogei

InfoCamere: Sicurezza degli asset digitali delle CCIAA italiane. Enrico Notariale 14/12/2017

Kick Off Gruppo di Lavoro AIIC. Cyber Insurance

Kick Off Gruppo di Lavoro AIIC

Gli intermediari assicurativi e i rischi informatici

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

WELCOME. To The Net. Ovvero sopravvivere alla rete ed altre storie incredibili.

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

LA GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI A TUTELA DEL PATRIMONIO AZIENDALE

GRUPPO HERA: INTEGRAZIONE DEL CYBER RISK NELL APPROCCIO ERM. Cybersecurity Summit 2016 Milano 24 maggio 2016

Gestione del Rischio Informatico

IL BACKUP DEI DATI backup restore

IDENTITY MANAGEMENT AND GOVERNANCE

Proposta per l organizzazione della Sicurezza Informatica dell ISTI

Sistemi informativi in ambito sanitario e protezione dei dati personali

Soluzioni HP per la stampa pull

Framework per la Cybersecurity (*)

Cybersecurity, come difendersi dal furto dati

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Rifer. a nota n. del Agli Intermediari assicurativi e riassicurativi iscritti nel Registro Unico degli Intermediari. e p.c.

Il problema della Cyber Security e il Framework Nazionale Ing. Luca Montanari, Ph.D CIS-Sapienza

Manutenzione del computer a livello software e tecniche di protezione anti malware Bologna - 26 novembre Elena Camerin

Settore delle carte di pagamento (PCI) Standard di protezione dei dati

Standard di protezione dei dati (DSS)

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

Alleanze tra imprese: creare reti e aggregazioni per creare valore aggiunto Gli interventi regionali per favorire le alleanze tra imprese

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

La cultura della sicurezza informatica in Italia

GESTORE DEL SISTEMA QUALITA AZIENDALE

Security Conference Milano, 20 Febbraio 2007

ACQUA SICURA 4.0 la Cyber Security nei sistemi Scada

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

Apertura dei lavori. Convegno Banche e Sicurezza Roma, 4-5 giugno Giovanni PIROVANO Comitato Presidenza ABI

DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data MISURE IN ESSERE E DA ADOTTARE

Conservazione a norma

Progetto Formativo La prevenzione dai pericoli digitali: strumenti di Sicurezza Informatica per la professione medica

Usabilità e Sicurezza: un binomio fondamentale per il futuro del digitale. Prof. Giuseppe Vaciago

Registro elettronico scuola ospedaliera rel. 5.0

Proteggere le informazioni The New Literacy Set Project

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

Spid, il servizio per gli enti

PIANO DI AZIONE LOCALE Il Quadro Logico della Strategia di Sviluppo Locale

Marco Cinquegrani. Capo della Segreteria Tecnica del Ministro. Roma, 14 aprile 2007

COMUNE DI TORELLA DEI LOMBARDI. Provincia di Avellino PIANO DI INFORMATIZZAZIONE

Contratto Assistenza informatica Esempio WEB 2017/2018

SICUREZZA RIELLO CONNECT. Tecnologie utilizzate dalla soluzione Riello Connect per mantenere al sicuro i vostri dati

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

CONTROLLARE I DISPOSITIVI AZIENDALI PER PREVENIRE I CRIMINI INFORMATICI

LETTERA DI CONSEGNA DELLE PASSWORD ALL INCARICATO-CUSTODE

Questa policy riassume gli accordi in cui Novox Capital Ltd (di qui in avanti indicata quale la Compagnia )

HACKING: LE LEGGI CHE IL GIORNALISTA DEVE CONOSCERE. Avv. Daniele Loglio

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

DOMANDA OMOLOGAZIONE CHIP CIE INFORMAZIONI MINIME DA FORNIRE NELLA DOMANDA DI OMOLOGAZIONE.

Risultati, cioè attenzione ai risultati.

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

gli attacchi mirati alle organizzazioni continuano ad aumentare, sia come numeri sia come visibilità, provocando danni significativi alle

IT Security Strumenti avanzati per la produttività, collaborazione on-line e sicurezza in rete

Federica TANLONGO, Consortium GARR, Roma (RM) Sandro TUMINI, Università Politecnica delle Marche, Ancona (AN)

Progetto Formativo La prevenzione dai pericoli digitali: Strumenti di Sicurezza Informatica per il giovane avvocato e la sua famiglia

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione al problema. Obiettivi. Protezione dei dati e Privacy A.A

LA VIGILANZA SUGLI INTERMEDIARI ENTRATEL : AGGIORNAMENTI NORMATIVI E RISVOLTI PRATICI. Pesaro, 26/10/2011

Tecnico sistemista di reti

Certificato Safe Harbor

S.E.F. s.r.l. Servizi Etici Finanziari. Documento Programmatico sulla Sicurezza

HOSTING ASICT. Servizio piattaforme software e identità digitale Roberto Gaffuri - 27 marzo 2017

Il nuovo webmail dell'università degli Studi di Palermo

Richiesta preventivo per consulenza e manutenzione e assistenza tecnico-informatica hardware e software

Mozy Backup Desktop DATI PROTETTI E SEMPRE A DISPOSIZIONE NEL CLOUD TNOTICE, LA RACCOMANDATA ELETTRONICA

COME PROTEGGERE L AZIENDA NELL ERA DEL RANSOWMARE? Claudio Panerai, CTO

NOTA: I prezzi disponibili non sono comprensivi di IVA né di costi di Setup* SERVIZI CLOUD. IntactMail Posta Sicura

La valutazione immobiliare come elemento base nella mitigazione del rischio di credito Convegno ABI-Credito alle Famiglie 2009 Giampaolo Corsini

Nuove responsabilità organizzative del titolare e azioni da intraprendere

La nuova edizione della norma ISO (seconda parte)

L'innovazione digitale del fisco. 25 maggio 2017

(1) (2) (3) (4) 11 nessuno/a (1) (2) (3) (4) X è il minore tra A e B nessuno/a X è sempre uguale ad A X è il maggiore tra A e B

INDICE INTRODUZIONE E SCOPO DEL DOCUMENTO ORGANIZZAZIONE DEL DOCUMENTO. Introduzione e scopo del documento SICUREZZA... 8

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

SISTEMA DI CONTROLLO E GESTIONE STAZIONI DI RICARICA E-CORNER PER VEICOLI ELETTRICI

Corsi d'informatica. La formazione quale elemento indispensabile per lo sviluppo. Schede Corsi Serali

NON CLASSIFICATO COMANDO C4 DIFESA. La struttura CDC del Comando C4D Prospettive ed evoluzione. Gen. B. CASTELLI Comandante C4Difesa

BANCHE E SICUREZZA 2017

INTERVENTO DI IDA CLAUDIA PANETTA IT OR NOT IT.. THAT IS THE QUESTION

Configuration Change Release Management

MANIFATTURA ADDITIVA E INDUSTRY 4.0: NUOVE COMPETENZE RICHIESTE

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Assemblatore e riparatore di personal computer e installatore di reti locali

Aziende Italia S.r.l. Politiche di utilizzo dei servizi Aziende Italia

La sicurezza informatica

Regolamento Generale UE sulla Protezione dei Dati (GDPR) Raggiungi la conformità

Sistemi di identificazione elettronica Il Regolamento europeo. 910/2014 (eidas) quali opportunità per l economia del Paese SENATO DELLA REPUBBLICA

l assistenza tecnica professionale per la tua azienda

L'evoluzione della Sicurezza Fisica: un approccio globale

ALLEGATO AL CAPITOLATO TECNICO

Area Sistemi di Elaborazione Microinformatica

Transcript:

CONTROLLI ESSENZIALI DI CYBERSECURITY

Definizione di Essenziale una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, causa un aumento considerevole del rischio informatico

Controlli Essenziali sono parte dello stesso processo del Framework Nazionale Strumento che permette di iniziare a parlare la lingua del Framework Nazionale dedicato a uno specifico target d imprese

Imprese target Le imprese che non hanno sufficienti risorse per adottare il Framework Nazionale Razionale: Indipendenza dalla dimensione Possibilità di danni verso terzi in servizi/prodotti Esposizione su internet Dati sensibili, personali, know how nei dispositivi

Imprese target Se l organizzazione è parte del target dovrebbe implementare tutti i Controlli Essenziali di Cybersecurity

Definizione di Essenziale Pratica di cybersecurity che, se ignorata, causa un aumento inaccettabile del rischio

Processo di definizione di controlli Definizione del set iniziale dei controlli definito dagli autori accademia, industria pubblica amministrazione) Consultazione pubblica (circa 200 commenti tra esperti e imprese)

Il Cybersecurity Report 2016

I 15 Controlli Essenziali di Cybersecurity

I 15 Controlli Essenziali di Cybersecurity Inventario dispositivi e software Governance Protezione da malware Gestione password e account Formazione e consapev. Protezione dei dati Protezione delle reti Prevenzione e mitigazione 1 5 6 7 10 11 13 14 2 8 12 15 3 9 4

I 15 Controlli Essenziali di Cybersecurity Inventario dispositivi e software 1 2 3 4 Creare inventari di sistemi, dispositivi, software, servizi Minimizzare l esposizione sui social/servizi da terzi Creare inventari di informazioni, dati e sistemi critici Nominare un referente per la cybersecurity

I 15 Controlli Essenziali di Cybersecurity Governance 5 Identificare e rispettare le leggi e i regolamenti relativi alla cybersecurity

I 15 Controlli Essenziali di Cybersecurity Protezione da Malware 6 Utilizzare e mantenere aggiornato software antimalware su tutti i dispositivi che lo consentono

I 15 Controlli Essenziali di Cybersecurity Gestione password e account 7 8 9 Utilizzare password lunghe e diverse per ogni account, dismissione vecchi account, autenticazione forte Effettuare l accesso ai sistemi usando utenze personali, non condivise con altri Applicare il principio del privilegio minimo di accesso alle risorse

I 15 Controlli Essenziali di Cybersecurity Formazione e consapevolezza 10 Eseguire adeguata formazione per tutto il personale, coordinata dai vertici aziendali

I 15 Controlli Essenziali di Cybersecurity Protezione dei dati 11 12 Effettuare la configurazione iniziale dei dispositivi tramite di esperti Definire procedure di backup dei dati critici Protezione delle reti 13 Utilizzare dispositivi di protezione delle reti

I 15 Controlli Essenziali di Cybersecurity Prevenzione e mitigazione 14 15 In caso di incedente informare i responsabili. Il ripristino viene curato da personale esperto Eseguire gli aggiornamenti software/firmware e dismettere hardware e software non più supportato

Guida all applicazione Organizzata per tematiche di sicurezza, per ognuna: Descrizione dei Controlli Essenziali Esempi di incidenti dovuti alla carente/errata applicazione Relazione tra Controlli Essenziali e Framework Nazionale

Relazione con il Framework Nazionale FUNCTION CATEGORY SUBCATEGORY CONTROLLO PROTECT (PR) Access Control (PR.AC): L'accesso agli asset ed alle relative risorse è limitato al personale, ai processi, ai dispositivi, alle attività ed alle transazioni effettivamente autorizzate PR.AC-1:Le identità digitali e le credenziali di accesso per gli utenti e per i dispositivi autorizzati sono amministrate PR.AC-3: L'accesso remoto alle risorse è amministrato 7 Le password sono diverse per ogni account, della complessità adeguata e viene valutato l'utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). 8 Il personale autorizzato all'accesso, sia esso remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l'accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati PR.AC-4: Gli accessi alle risorse sono amministrati secondo il principio del privilegio minimo e della separazione delle funzioni 9 Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

Stima dei costi Cerchiamo di fornire una stima dei costi di applicazione dei controlli: Basata su un modello (sarà disponibile a breve sul sito) Prendendo come riferimento 2 aziende tipo italiane: Micro da 9 dipendenti Piccola da 50 dipendenti La cybersecurity è ancora un costo certo a fronte di danno incerto?

Stima dei costi Tra settembre 2015 e settembre 2016 il 45.2% delle imprese italiane ha subito almeno un attacco che ha provocato danni

Stima dei costi Tra settembre 2015 e settembre 2016 il 45.2% delle imprese italiane ha subito almeno un attacco che ha provocato danni Danno medio per le PMI nel mondo 35.000 per anno

Stima dei costi In 5 anni costo cybersecurity dal 41% al 76% inferiore al danno medio

Raccomandazioni Come ogni anno concludiamo il report con alcune raccomandazioni 5 per le imprese target 3 per gli enti governativi

Raccomandazioni per imprese target Processo di sicurezza interno Awareness e formazione Filiere produttive e il processo di trasformazione digitale, monitoraggio e valutazione delle vulnerabilità Il rischio cyber all attenzione dei vertici aziendali

Raccomandazioni per enti governativi e regolatori di settore Evoluzione verso il Framework Nazionale per la Cybersecurity Aspetti economici della cybersecurity: sgravi fiscali e incentivi per i virtuosi Una certificazione leggera e dinamica per fornitori di servizi

Conclusioni I controlli sono un mezzo per avvicinare le imprese target al Framework Nazionale

Conclusioni I controlli sono un mezzo per avvicinare le imprese target al Framework Nazionale Il processo può essere supportato dalle associazioni di categoria

Conclusioni I controlli sono un mezzo per avvicinare le imprese target al Framework Nazionale Il processo può essere supportato dalle associazioni di categoria L obiettivo per le imprese target è non far più parte del target

GRAZIE Stefano Armenia Roberto Baldoni Claudia Biancotti Camillo Carlini Fabrizio d Amore Luisa Franchina Michele Kidane Mariam Luca Montanari Leonardo Querzoni Lorenzo Russo Federico Ruzzi Marco Spada Emanuele Spagnoli Annalisa Vitale

GRAZIE www.cybersecurityframework.it/csr2016 staff@cybersecurityframework.it @CIS_Sapienza @lucamontanari

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back