Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Smau Bologna | R2B Marco Bozzetti(AIPSI)

38 vues

Publié le

Un aiuto a costruire e gestire le idonee misure di sicurezza digitale dai dati dell’Osservatorio OAD, dai framework ITIL, COBIT, NIST, e dagli standard ISO che trattano l’argomento

Publié dans : Internet
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/yxufevpm } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD FULL eBOOK INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. PDF eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... 1.DOWNLOAD FULL. doc eBook here { https://tinyurl.com/y3nhqquc } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookeBOOK Crime, eeBOOK Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Soyez le premier à aimer ceci

Smau Bologna | R2B Marco Bozzetti(AIPSI)

  1. 1. Un aiuto a costruire e gestire le idonee misure di sicurezza digitale dai dati dell’Osservatorio OAD, dai framework ITIL, COBIT, NIST, e dagli standard ISO che trattano l’argomento. Marco R. A. Bozzetti, Presidente AIPSI CEO Malabo Srl
  2. 2. • Ingegnere elettronico al Politecnico di Milano, è Presidente AIPSI e CEO di Malabo Srl • Ha operato con responsabilità crescenti presso primarie imprese di produzione, quali Olivetti ed Italtel, e di consulenza, quali Arthur Andersen Management Consultant e Gea/Gealab, oltre ad essere stato il primo responsabile dei sistemi informativi (CIO) dell’intero Gruppo ENI a livello mondiale (1995-2000). • Nella seconda metà degli anni 70 è stato uno dei primi ricercatori a livello mondiale ad occuparsi di internetworking, partecipando alla standardizzazione dei protocolli del modello OSI dell’ISO • È certificato ITIL v3 ed EUCIP Professional Certificate “Security Adviser” • Commissario d’Esame per le certificazioni eCF (EN 16234 - UNI 11506). • Ha pubblicato articoli e libri sull’evoluzione tecnologica, la sicurezza digitale, gli scenari e gli impatti dell’ICT • Malabo Srl è stata creata da M. Bozzetti nel 2001 • una società di consulenza direzionale per l’ICT, che opera per Clienti lato domanda e lato offerta basandosi su una consolidata rete di esperti e di società ultra specializzate • Obiettivo primario degli interventi di Malabo è di creare valore misurabile per il Cliente, bilanciando adeguatamente gli aspetti tecnici con quelli organizzativi nello specifico contesto del Cliente • Dispone di un proprio laboratorio ICT con server e storage duali, virtualizzati, , collegati con switch a 10 G e connessi ad internet con fibra ottica a 100 Mbps, oltre ad uno spazio in cloud (IaaS) • Per garantire un effettivo trasferimento di know- how, fornisce come servizio ai Clienti le proprie metodologie e gli strumenti informatici usati nell’intervento consulenziale Marco R. A. Bozzetti e Malabo Srl 2
  3. 3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica • Associazione apolitica e senza fini di lucro • Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org) che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della SicurezzaICT nel mondo • Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze →carriera e crescita business • Offrendo ai propri Soci serviziqualificati per tale crescita, che includono • Convegni, workshop, webinar sia a livello nazionale che internazionale via ISSA • ISSA Journal • Rapporti annuali e specifici;esempi: • Rapporto annuale OAD nel nuovo sito https://www.oadweb.it • ESG ISSA Survey “The Life and Times of Cyber Security Professionals” • Concreto supporto nell’intero ciclo di vita professionale, con formazione specializzata e supporto alle certificazioni,in particolare eCF Plus (EN 16234- 1:2016) • Collaborazione con varie Associazioni ed Enti per eventi ed iniziativecongiunte • Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a tutte le donne che in Italia operano a qualsiasi livello nell’ambito della sicurezza digitale(anche non socie AIPSI) 3
  4. 4. • Che cosa è • Indagine via web sugli attacchi digitaliintenzionali ai sistemi informatici in Italia • Obiettiviiniziativa • Fornire informazioni sulla reale situazione degliattacchi digitaliin Italia • Contribuire alla creazione di una cultura della sicurezza informatica in Italia, sensibilizzandoin particolare i vertici delleaziende/entied i decisorisulla sicurezzainformatica • Che cosa fa • Indagini annuali e specifichesu argomenti caldi, condotte attraverso un questionario on-line indirizzatoa CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende • Come • Rigore,trasparenza, correttezza,assoluta indipendenza(anche dagli Sponsor) • Rigoroso anonimato per i rispondenti ai questionari • Collaborazione con numerose Associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori OAD, Osservatorio Attacchi Digitali in Italia (ex OAI) 4
  5. 5. 2008 - 2018 10 anni di indagini via web sugli attacchi digitali in Italia https://www.oadweb.it 5
  6. 6. • 160 pagine A4 • 140 grafici • 11 Capitoli → 131 pagine A4 • Cap. 11: Dati dalla Polizia Postale e delle Telecomunicazioni, commentati dall’autore • 9 Allegati →29 pagine A4 • Prefazione dott. ssa Nunzia Ciardi, Direttore Polizia Postale e delle Telecomunicazioni • Executive Summary in italiano e in inglese Per scaricare il Rapporto 2018 OAD (gratuito): • Registrarsi a https://www.oadweb.it • Consenso esplicito privacy • Scaricare il file in pdf 6
  7. 7. Rispondete al prossimo Questionario 2019 OAD (check annunci sul sito OAD e sul sito AIPSI) La nuova edizione OAD 2019: l’iniziativa è partita (Gantt 2019) Da https://www.oadweb.it/it/oad2018/oad-2019.html è scaricabile la proposta di sponsorizzazione. Maggio ‘19 7 7
  8. 8. Il ruolo per il business di un Sistema Informatico SICURO 8
  9. 9. • Ogni attività si basa ormai su applicazioni del Sistema Informatico • Il Sistema Informatico non può che operare su Internet, ed è quindi esposto ad attacchi dall’esterno • Il corretto, continuo e sicuro funzionamento del Sistema Informatico garantisce: • La continuità operativa (business continuity) • L’integrità dei dati • Il mantenimento del vantaggio competitivo rispetto ai competitori • La compliance alle varie normative: GDPR per la privacy, L. 231, Banca d’Italia, ABI-LAB, ecc. • Le informazioni del Sistema Informatico sono un bene (asset) aziendale, e come tali vanno protette e gestite • L’appropriato uso del Sistema Informato da parete degli utenti è condizione necessaria e determinante per: • Il corretto, efficiente ed efficace svolgimento dell’attività lavorativa • La sicurezza digitale globale Il ruolo del Sistema Informatico (SI) per il business 9
  10. 10. • Diviene fondamentale la governance del sistema informativo e la efficace ed efficiente sua gestione • Il sistema informativo gioca un ruolo tale per il business che non può essere considerato solo un problema tecnico, ma deve essere tratto dai vertici aziendali • Il business deve prontamente sfruttare le opportunità fornite dalle nuove tecnologie ICT • La complessità delle nuove tecnologie ICT e la necessità di specifiche competenze richiede nella maggior parte dei casi l’uso di servizi terziarizzati e di Terze Parti (outsourcer) che devono essere governate, controllate e gestite. Il ruolo dell’ICT per il business 10
  11. 11. ● Le informazioni costituiscono una risorsa fondamentale per tutte le organizzazioni e la tecnologia svolge un ruolo significativo dal momento in cui l'informazione viene creata fino al momento in cui viene distrutta. ● Il progresso dell'information technology è continuo e la tecnologia pervade le organizzazioni e gli ambienti sociali, pubblici e aziendali. ● Nell’era digitale, l’informazione è quasi totalmente in formato elettronico, dai dati ai filmati, e costituisce per l’azienda/ente un vero e proprio bene aziendale, che come tale va gestito e protetto. ● E’ una risorsa chiave per l’azienda/ente, ed è trattata da sistemi ICT ● L’ICT è pervasiva a tutte le attività aziendali 11 Il bene (asset) informazione
  12. 12. Governance del business e dell’ICT • Sono due cose diverse, ma che nella pratica devono essere sincronizzate per non avere gap tra esigenze di business e il Sistema Informatico che supporta le attività per il business • L’ICT Architecture è uno degli elementi che guidano e facilitano tale sincronizzazione • La struttura organizzativa sia dell’intera struttura sia dell’Unità Organizzativa Sistemi Informatici (UOSI) devono adeguarsi ed effettuare un continuo (continual) cambiamento → change management • Il paradosso: mentre le tecnologie dell’informazione si evolvono a velocità esponenziale, la capacità delle organizzazioni di evolvere per coglierne appieno i benefici è al più lineare. 12
  13. 13. 50 Business tempo ICT • sistemi ICT • tecnologie ICT • reti • servizi ICT • outsourcing • cloudINFRASTRUTTURE INFORMATIVO STRATEGICO Piano strategico business ICT EA • processi • organizzazione • competenze • ruoli • clienti • fornitori • visitatori • FCS • KPI Devono essere sistematicamente allineati ! A h z ll’ EA 13
  14. 14. Per progettare ed implementare un Sistema Informatico SICURO 14
  15. 15. Application Server Web Server Router Proxy Server aziendale Servizi ICT in cloud e/o terziarizzati Internet Proxy server del Provider AREA DMZ LDAP server duale Rete GSM-UMTS Router Collegamento Provider 2 CA Server Server Radius FirewallLAN Switch Collegamento Provider 1 Access Server (LDAP) AP, Access Point Data Base Server LAN Switch La crescita della complessità nel sistema informatico anche di una piccola realtà 15
  16. 16. LA N Firewall router PC LA N Firewall router Sede X Reti Data Center ISMS Information Security Management Sys • Sicurezza perimetrale e fisica • Sicurezza infrastrutture • Sicurezza logica • Protezione dei dati • Disaster Recovery Data Center Repliche- Disaster Recovery SLA Cloud Computing l zz SMS SMS SMS Consolle SMS Reports NMS, Network Mgt Sys 16 SMS, System Management System ISMS. Information Security Management System
  17. 17. • La sicurezza ICT viene definita come la "protezione dai requisiti di integrità, disponibilità e confidenzialità" delle informazioni trattate, ossia acquisite, comunicate, archiviate, processate, dove: • integrità è la proprietà dell'informazione di non essere alterabile; o poter verificare se è stata alterata • disponibilità è la proprietà dell'informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti autorizzati; • confidenzialità è la proprietà dell'informazione di essere nota solo a chi ne ha il diritto di accedervi • Per le informazioni e i sistemi connessi in rete le esigenze di sicurezza includono anche: • autenticità, ossia la certezza da parte del destinatario dell'identità del mittente • non ripudio, ossia il mittente o il destinatario di un messaggio non ne possono negare l'invio o la ricezione La sicurezza ICT (o informatica o digitale) 17
  18. 18. La sicurezza globale ICT Sicurezza Globale ICT Sicurezza fisica Sicurezza logica Aspetti organizzativi: • Procedure e normative • Ruoli & responsabilità Fonte: dal volume “Sicurezza Digitale” ed. 2007 di Marco Bozzetti 18
  19. 19. Il “processo continuo” per la sicurezza ICT Audit Policy Costi Rilevazionesituazione (Assessment) Analisidei rischi Definizionepolicy Applicazione contromisure Classificazione Dati Minacce Vulnerabilità Rischi Obiettivi strategici Attuazione Formazione Feedback Leggi Processi Risorse ICT Organizzazione Piano e progetto interventi Obiettivi di sicurezza ont : vo um “ cu zz D g t ” M.R. . Bozz tt . Z mbon 19
  20. 20. • La sicurezza assoluta NON esiste: occorre essere in grado di gestire eventi e/o attacchi con il minimo del danno per l’azienda/ente • Attivazione di adeguate e ben bilanciate misure tecniche ed organizzative • di prevenzione, di protezione, di ripristino • a seguito di una contestuale analisi dei rischi, formale o non, • e gestendo il tutto come un unico processo continuativo • Le vulnerabilità dei sistemi ICT e del personale (utenti, sviluppatori software, operatori) esistono sempre .. • Gli attacchi volontari possono sempre accadere anche per aziende/enti di piccola-media struttura Sistema informatico sicuro … 20
  21. 21. • La sicurezza digitale è come una catena delle misure tecniche ed organizzative: tanto forte nel complesso quanto l’anello più debole • Gli attacchi si concentrano sui punti più deboli La necessità di un buon bilanciamento tra le varie misure di sicurezza 21
  22. 22. Analisi vulnerabilità e rischi
  23. 23. Tutte si basano sulle vulnerabilità tecniche e/o umane-organizzative •Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni) •siti web e piattaforme collaborative •Smartphone e tablette → mobilità → >>14.000 malware •Posta elettronica → spamming e phishing •Piattaforme e sistemi virtualizzati •Terziarizzazione e Cloud (XaaS) •Circa il 40% o più delle vulnerabilità non ha patch di correzione •Vulnerabilità delle persone •Social Engineering e phishing •Utilizzo dei social network, anche a livello aziendale •Vulnerabilità organizzative •Mancanza o non utilizzo procedure organizzative •Insufficiente o non utilizzo degli standard e delle best practices •Mancanza di formazione e sensibilizzazione •Mancanza di controlli e monitoraggi sistematici •Analisi dei rischi mancante o difettosa •Non efficace controllo dei fornitori •Limitata o mancante SoD, Separation of Duties La vulnerabilità più grave e diffusa è quella del comportamento umano (utenti ed amministratori di sistemi): • Inconsapevolezza • Imperizia • Ignoranza • Imprudenza • Dolo Aggravata dalla non o inefficace organizzazione Mancanza di formazione e addestramento Vulnerabilità causa delle minacce 23
  24. 24. Attacchi a specifici obiettivi (target), con precisi obiettivi e larga disponibilità di risorse e competenze Attacchi di massa, anche non sofisticati, con l’obiettivo di colpire almeno qualcuno nella massa (es: ransomware, phishing) PMI Studi Esercizi commerciali Singole persone Grandi Aziende/Enti Due grandi categorie di attacchi digitali 24
  25. 25. OAD 2018: attacchi rilevati 2016-17 58,43% 54,68% 41,57% 45,32% 0% 10% 20% 30% 40% 50% 60% 70% 2016 2017 Numero di attacchi rilevati nel 2016 e nel 2017 dai rispondentiOAD 2018 Mai rilevato attacchi Rilevato attacchi © OAD 2018 Circa +4% 25
  26. 26. 62,9% 52,6% 66,7% 60,2% 59,1% 61,3% 65,2% 57,5% 62,4% 58,43% 54,68% 37,1% 47,4% 33,3% 39,8% 40,9% 38,7% 34,8% 42,5% 37,6% 41,57% 45,32% 0% 10% 20% 30% 40% 50% 60% 70% 80% 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 Confrontodella rilevazionepercentualedi attacchi dai rispondenti alle indagini OAD- OAI negli anni 2007-2017 (validosolo come indicatoredel trend, non statisticamente) Mai subiti o non rilevati nell'anno Attacchi rilevati/subiti nell'anno © OAD 2018
  27. 27. 37,50% 22,79% 8,82% 10,29% 6,62% 7,35% 6,62% 0% 5% 10% 15% 20% 25% 30% 35% 40% < 10 10 - 50 51 - 100 101 - 250 251 - 1000 1001 - 5000 > 5001 Distribuzionedei rispondentiper dimensionedella loroAzienda/Ente per numerodi dipendenti © OAD 2018 PMI quasi 80% I più recenti dati ISTAT per le aziende: • Fino a 9 dipendenti: 4.180.870 • Da 10 a 49: 184.098 • Da 50 a 249: 22.156 • 250 e più: 3.787. Pubbliche Amministrazioni: • Circa 55.000 27
  28. 28. 11,79% 9,23% 2,56% 12,31% 21,03% 1,54% 33,33% 21,03% 6,67% 44,62% 21,54% 7,69% 8,21% 4,62% 18,59% 29,22% 10,90% 19,35% 16,87% 22,62% 25,29% 28,57% 39,39% 27,22% 12,66% 2,56% 3,95% 2,60% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% Uso non autorizzato risorse ICT(dal PC ai server-storage e aiserviziICT terziarizzati) Saturazione risorse digitali (DoS, DDoS) Modifichenon autorizzate alleinformazionitrattate dai sistemi ICT Modifichenon autorizzate aiprogrammi applicativi e di sistema, alleconfigurazioni, ecc. Furto informazionidasistemi mobili (palmari, smartphone, tablet, ecc.) Fu f m z d m f ( , v , y m,…) Furto fisico didispositivi ICT o di loro parti Distruzione fisica di dispositivi ICTo diloro parti Attacchi all'identificazione,autenticazione e controllo accessi degliutentie degli operatori Attacchi alle retilocalie geografiche, fissee wireless, e ai DNS Attacchi aipropri sistemi terziarizzati (cloud,housing,hosting) Attacchi aipropri sistemi di automazione industriale (DCS, PLC, ..) e/o dirobotica Attacchi asistemie/o servizi usati e basati su blockchain Attacchi adispositivi IoT (Internet of Things) in uso Diffusione %tipologiaattacchi(checosaattacco) rilevatidairispondentinel2016enel2017 (risposte multiple) 2017 2016 © OAD 2018 2016 Attacchi alle reti 2017 Attacchi al controllo degli accessi 28
  29. 29. 0% 100% 200% 300% 400% 500% 600% Script e programmi maligni Agenti autonomi Toolkit Botnet e simili Mix tecniche/APT Raccolta informazioni Attacco fisico Queste perecentuali sono solo un indicatare e non hanno alcun senso statistico pur se indicati come % Diffusione tecnichedi attacco (come) nelle varie tipologie (che cosa) di attacco rilevatedai rispondenti nel 2017 © OAD 2018 29
  30. 30. 30,23% 46,51% 23,26% Il ruolo del Responsabiledella sicurezza digitale, CISO, nella organizzazionedell'azienda/ente dei rispondenti Ruolo CISO definito formalmente Ruolo CISO non definito ma di fatto espletato Ruolo CISO non definito e non espletato © OAD 2018 De facto non de jure De facto e de jure 30
  31. 31. OAD 2018: dati Polizia Postale - 1 Protezione strutture critiche 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza % Attacchi rilevati 1032 844 22,27% Alert diramati 31524 6721 369,04% Indagini avviate 72 70 2,86% Persone arrestate 3 3 0,00% Persone denunciate 1316 1226 7,34% Perquisizioni 73 58 25,86% Richiesta di cooperazione internazionale in ambito Rete 24/7 High Tech Crime G8 (Convenzione Budapest) 83 85 -2,35% C.N.A.I.P.I.C. Centro NazionaleAnticrimine Informatico per la Protezione delle Infrastrutture Critiche Arresti/ denunce 0,23% Arresti/ denunc e 0,24% Indagini /attacchi 6,89% Indagini /attacchi 8,29% 31
  32. 32. OAD 2018: dati Polizia Postale - 2 Financial Cyber Crime Cyber Terrorismo Financial Cyber Crime 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza % Transazioni Fraudolente Bloccate in € € 20.839.576,00 € 16.050.812,50 29,84% Somme Recuperate € 862.000,00 = Arrestati 25 25 0,00% Denunciati 2851 3772 -24,42% Cyber Terrorismo 1 gen – 31 dic 2017 1 gen – 31 dic 2016 Differenza % Arrestati 4 2 100,00% Denunciati 18 9 100,00% Arresti/ denunce 22% Arresti/ denunce 22% Arresti/ denunce 0,88% Arresti/ denunce 0,66% 32
  33. 33. Per la realizzazione e la gestione delle misure di sicurezza digitali, fare e far fare riferimento ai framework più diffusi e consolidati
  34. 34. ● La basilare importanza dell’ICT nel business, e la sua parallela continua innovazione, hanno portato: ○ Da un lato all’emergere di framework specialisti su specifici aspetti del binomio ICT-business ○ Dall’altro alla evoluzione dei due framework più consolidati e diffusi, ITIL e COBIT, per poter coprire aree attigue al loro ruolo di base e a considerare e ad interfacciarsi a taluni dei framework specialistici ● La matrice 3x3 può aiutarci a capire le logiche di posizionamento, di estensione e di interfacciamento ● NB1: i vari framework/standard sono stati creati da persone diverse per fin i diversi: non costituiscono pezzi di un unico mosaico … ● NB2: sia ITIL che COBIT possono essere considerati framework specialistici 34 La crescita di framework e standard generali e specifici
  35. 35. Legislazione Europea ed Italiana sulla sicurezza ICT e sulla privacy Organizzazione e gestione ICT ITIL v 3/ 4( 2019) ICT service mgmt COBIT 5/2019Standard e metodiche sviluppo software sicuro UMLOpenRUP PMbok/Prince 2 project mgmt Architetture ICT TOGAF – ICT architecture OSA – security architecture Standard e buone pratiche sulla Sicurezza ICT ISO270xx Sicurezza ICT ISF SOGP ≈ Iso 27002 NIST SP-800-xxx Octave ICT Risk mgmt SAS70 Audit eCF Competenze ISO 9001 Qualità Altri standard rilevanti SOA W3C - OASIS Common Criteria PCI DSS OSWAP SANS CERT Metodologie Altre Metodologie DB Vulnerabilità Maggio ‘19 35 Novità Forte Novità
  36. 36. 61 Enterprise Architecture & ICT Architecture ICT outsourcer e fornitori ercato ICT Leggi e regolamenti Processi di Business Innovazione tecnologica Business architetture Contratti e SLA Procedure e SLA Processi ICT Fonte: dal volume “Sicurezza Digitale” di M.R. A. Bozzetti e F. Zambon UTENTI FINALI UTENTI PRIVILEGIATI Il comportamento degli utenti è determinante per il corretto funzionamento del tutto 36
  37. 37. Aspetti Organizzativi 37
  38. 38. Sicurezza organizzativa La struttura organizzativa di chi si occupa di sicurezza ICT • Compiti e competenze • La separazione dei ruoli (SoD, Separation of Duties) → matrici RACI • Policy e procedure organizzative • Sensibilizzazione, formazione, addestramento degli utenti e degli operatori ICT (in particolare gli Amministratori di Sistema, AdS) 38 Messa in discussione da devops ripreso da ITIL v4 e da COBIT 2019
  39. 39. Direzione ICT Utenti Richieste di servizi Implementazione Servizi Erogazione servizio Service desk Test e passaggio In produzione Gestione operativa Livello strategico Livello tattico Livello operativo AttoriAttori Front end Back endAttori Delivery Demand Il modello demand-delivery per l’orientamento ai servizi ICT 39
  40. 40. ITIL Information Technology Infrastructure Library 40
  41. 41. • ITIL è una best practice molto consolidate e diffusa per la gestione dei servizi IIT (ICT), ossia per il IT service management (ITSM), e si focalizza sull’allineamento tra gli IT services e le necessità del business. • ITIL descrive processi (practices con la nuova v4), procedure, attività e liste di controllo (checklists ) indipendenti dal tipo di business, del tipo di organizzazione, del settore merceologico e dal tipo di tecnologie ICT usate o a piano. • ITIL, se efficacemente attuato e contestualizzato alla realtà dell’azienda/ente che vuole seguirlo, consente: • Di stabilire un quadro di riferimento ed una base per pianificare ed implementare gli interventi tecnici ed organizzativi, analizzandone i costi e misurando i gli effettivi risultati ottenuti • Di attuare l'integrazione tra ICT e strategia dell'organizzazione, fornire valore e mantenere l’idoneo livello di qualità e competenza. • Di dimostrare la compliance (effettiva conformità) alle normative sull’ICT o che coinvolgono l’ICT • Di misurare I miglioramenti che l’adozione di ITIL ha portato • and to measure improvement. • Le certificazioni in ITIL sono disponibili solo per le singole persone (livello individuale). Che cosa è ITIL 41
  42. 42. ● Il paradigma Cliente-Fornitore ● Il paradigma del management su tre livelli (matrice 3x3) ● SoD, Separation of Duties ● Servizio (Service) ● Processo (Process) ● Funzioni (Functions) ● Qualità ● Ciclo di vita dei servizi 42 Concetti base di ITIL 3
  43. 43. Continual Service Improvement Service Strategy Strategie, politiche Service Design Standard e piani Service Transition Cambiamento dei servizi e loro messa in esercizio Service Operation esercizio Il ciclo di vita in ITIL 3 feedback Portafoglio Servizi Servizio Rilasciato Misure prestazioni Progetto del Servizio Fonte: dal volume “Sicurezza Digitale” di M.R. A. Bozzetti e F. Zambon
  44. 44. • Più che un aggiornamento della v3, è una reimpostazione concettuale delle precedenti logiche, per rendere più veloce ed efficace la gestione ICT . • Mantiene comunque una certa corrispondenza e compatibilità tra le «vecchie logiche ed i vecchi concetti e quelli nuovi (ad esempio processi vs practices) • Include un nuovo focus e delle linee guida pratiche sull’integrazione di ITIL con altre practice come DevOps, Agile e Lean. • ITIL 4 è stato rilasciato a fine febbraio 2019, e non ha pertanto ancora implementazioni sul campo. • Serve ancora tempo per ben approfondirlo e provarlo su effettive realtà, verificandone i pro ed i contro • ITIL 4 Foundation è disponibile dal 28 Febbraio 2019, gli altri moduli saranno disponibili nel secondo semestre del 2019 ITIL v4 44
  45. 45. 45 ITIL 4: dai processi alle pratiche
  46. 46. COBIT 46
  47. 47. COBIT 5: "Control Objectives for IT" ● Sviluppato da ISACA: Information Systems Audit and Control Association ● Prima versione 1996; corrente implementata v.5 del 2013; ultima COBIT 2019 ● Obiettivo: supporto alla gestione (management) e controllo (governance) del IT di impresa ○ NB: Cobit parla sempre di IT, non di ICT ● Le imprese esistono per dare valore ai loro steackholder ● Ogni impresa, commerciale o no, ha come obiettivo della governance la creazione di valore ● Creare valore = realizzare benefici ottimizzando sia il costo delle risorse che i risultati per gli stakeholder WWW.ADVANSYS.IT 47
  48. 48. ● COBIT 2019 offers greater flexibility and openness to enhances the currency and relevance of COBIT. ● The introduction of new concepts such as focus areas and design factors allow for additional gu nc fo t o ng gov n nc syst m to th nt p s ’s n s ● Updated alignment to global standards, frameworks and best practices enhances the relevancy of COBIT ● n “op n-sou c ” mo o th g ob gov n nc commun ty th b ty to nfo m futu updates by providing feedback, sharing applications and proposing enhancements to the framework and derivative products in real-time, with further COBIT evolutions released on a rolling basis. ● New guidance and tools support the development of a best-fit governance system, making COBIT 2019 more prescriptive. 48 Le principali novità COBIT 2019
  49. 49. 49 Process Reference Model in COBIT 5 = COBIT Core Model in COBIT® 2019
  50. 50. 50
  51. 51. Nuovi framework e nuove logiche
  52. 52. ● Si parla di metodologia e di sviluppo agile del software (ASD, Agile Software Development) già dal 2001 con la pubblicazione del Manifesto Agile (agilemanifesto.org.) ● I numerosi metodi agile si contrappongono al tradizionale (ora vecchio ed obsoleto) metodo a cascata (top-down), basato tipicamente sulle fasi di: ○ analisi dei requisiti ○ progetto ○ sviluppo ○ collaudo ○ Manutenzione ● Le varie metodiche agile introdotte negli anni (si veda un elenco nella prossima slide) hanno un approccio molto meno strutturato, ma che sfrutta al meglio le moderne tecnologie (cloud, larga banda Internet, moderni linguaggi ed ambienti di sviluppo, SOA, etc.) e che richiede una stretta collaborazione del personali dei (piccoli) team di sviluppo. 52 Agile
  53. 53. ● Deriva dai concetto di lean production industriale, ossia snella, realizzato per prima dalla Toyota per la produzione di auto (metodologie Kanban per il just in time e Kaizen) ● Il Lean software development è un tipo di Agile ● I principi, molto simili a quelli della produzione, includono: ○ Eliminare gli sprechi ○ Amplificare l'apprendimento ○ Decidere il più tardi possibile ○ Consegnare il più velocemente possibile ○ Dare potere al team (riduzione gerarchia decisionale) ○ Integrità nella costruzione (totale trasparenza verso il cliente) ○ Vedere il tutto 53 Lean software development
  54. 54. ● DevOps è stata introdotta dopo il 2010 ● Si basa sostanzialmente su concetti e logiche, parzialmente evolute e/o integrate, che includono: ○ Agile programming ○ Necessità di incrementare la frequenza dei rilasci in produzione ○ Ampia disponibilità di un'infrastruttura virtualizzata e in cloud ○ Incremento nell'uso di data center automatizzati[16] e strumenti di configuration management e Infrastructure as Code ● Relazione più collaborativa e produttiva tra i gruppi di sviluppo e quelli di operation. Ciò incrementa l'efficienza e riduce i rischi di frequenti modifiche in produzione. 54 La continua evoluzione degli ambienti di sviluppo software …
  55. 55. ● DevOps (dalla contrazione inglese di development, "sviluppo", e operations, qui simile a "messa in produzione" o "deployment") è un metodo di sviluppo del software che punta alla comunicazione, collaborazione e integrazione tra sviluppatori e addetti alle operations dell’ICT. ● DevOps vuole rispondere all'interdipendenza tra sviluppo software e IT operations, puntando ad aiutare un'organizzazione a sviluppare in modo più rapido ed efficiente prodotti e servizi software ● Secondo il modello DevOps, i team dedicati a sviluppo e produzione non agiscono più separatamente. In alcuni casi, al contrario, i due team vengono fusi in un'unità in cui i tecnici sono attivi lungo tutto il ciclo di vita dell'applicazione, da sviluppo e testing a distribuzione e produzione, e acquisiscono una serie di competenze non limitate da una singola funzione. ● In alcuni modelli DevOps, anche i team dedicati a controllo della qualità e sicurezza spesso sono coinvolti più direttamente nelle fasi di sviluppo e gestione in tutto il ciclo di vita dell'applicazione. ● Quando in un team di DevOps la sicurezza è il punto focale di tutti, a volte prende il nome di DevSecOps. ● I team si affidano all'automatizzazione per velocizzare processi manuali che sono da sempre lenti. 55 DevOps: che cosa è Fonte: AWS e Wikipedia
  56. 56. VANTAGGI ❑ Velocità ❑ Distribuzione rapida ❑ Affidabilità ❑ Scalabilità ❑ Collaborazione migliorata ❑ Sicurezza 56 Vantaggi dell’approccio DevOps .. da verificare Fonte: elab su info AWS STRUMENTI e PRASSI ❑ Microservizi ❑ Integrazione continua ❑ Distribuzione continua ❑ Monitoraggio ❑ Registrazione Log ❑ Infrastrutture come codice ❑ Policy come codice ???
  57. 57. Occorre terziarizzare … ma come farlo senza farsi imbrogliare right sourcing
  58. 58. • La sicurezza digitale è multi-disciplinare e richiede una vasta gamma di competenze e di esperienza sul campo • Difficilmente un’Azienda/Ente può avere al proprio interno specifiche e aggiornate competenze di sicurezza digitale • Deve pertanto terziarizzare gran parte (o la totalità) delle decisioni e dell’operatività, e l’unico criterio di scelta è spesso il passa parola ed il costo • Ma di chi si può fidare? Come può garantirsi sulle reali competenze dei Fornitori e dei Consulenti? Condizione necessaria, ma non sempre sufficiente, è fare riferimento a: • professionisti certificati • Iscritti ad Associazioni professionali qualificate Il problema delle effettive competenze sulla sicurezza digitale 58
  59. 59. • Sono le uniche ad avere valore giuridico in Italia e in Europa (se erogate da un Ente accreditato Accredia) • AIPSI collabora con AICA, Ente Certificatore accreditato • possono valorizzare alcune altre certificazioni indipendenti • si basano sulla provata esperienza maturata sul campo dal professionista • qualificano il professionista considerando l’intera sua biografia professionale e le competenze ed esperienze maturate nella sua vita professionale (e non solo per aver seguito un corso e superato un esame) • Per la sicurezza digitale eCF prevede due profili: • Security Specialist • Security Manager Le certificazioni eCF (EN 16234 1:2016) 59
  60. 60. Per concludere ..
  61. 61. • La sicurezza digitale costa … ma quanto costa la non sicurezza? • La sicurezza digitale, soprattutto nella parte organizzativa, deve essere contestualizzata all’azienda/ente • Le misure tecniche ed organizzative devono essere ben bilanciate • Essenziale la consapevolezza dell’utente • ICT e sua sicurezza implicano cambiamenti organizzativi • Automatizzare/far automatizzare quanto più possibile monitoraggi, controlli, correlazioni tra eventi, procedure (workflow), etc. • Terziarizzare è necessario, anche per la sicurezza digitale, ma scegliere accuratamente i fornitori (right sourcing) è controllare sistematicamente il loro operato (SLA, KPI) Prime considerazioni conclusive …
  62. 62. Grazie dell’attenzione m.bozzetti@aipsi.org www.aipsi.org www.oadweb.it www.malaboadvisoring.it

×