SlideShare ist ein Scribd-Unternehmen logo
1 von 41
DATA LO S S PR E V E N TI O N




 GOOD
 POINT
Come proteggere i dati sensibili in azienda dopo il caso
 GOOD                 Wikileaks.
 POINT
                                Ing. Francesco Marinuzzi, Ph.D.
 GOOD
 POINT                                  Webinar organizzato da
                                         Business International

MARINUZZI & ASSOCIATES
 TEMPISMO E PROFESSIONALITÀ                  Versione 1.0 - 2011
2   DATA LOSS PREVENTION
3   DATA LOSS PREVENTION
4   DATA LOSS PREVENTION
Casi
          12% Dolo



                                Negligenza
                     88% Non
                       dolo     Dolo




Per ogni record “perso” si stima un costo
              medio di 200 $.

                         5     DATA LOSS PREVENTION
 I principali beni pubblicizzati nel black market:
   – Informazioni carte di pagamento
   – Credenziali per l’accesso a conti correnti
     online
 Pubblicizzati anche strumenti e servizi del black
  market.




                        6         DATA LOSS PREVENTION
                                                         6
7   DATA LOSS PREVENTION
8   DATA LOSS PREVENTION
DATA LO S S PR E V E N TI O N




 GOOD
 POINT

 GOOD
 POINT

 GOOD
 POINT


MARINUZZI & ASSOCIATES
 TEMPISMO E PROFESSIONALITÀ
10   DATA LOSS PREVENTION
 Nel 2009 l’88% delle perdite sono state per
  negligenza e solo il 12% per dolo.
 Per ogni record “perso” si stima un costo
  medio di 200 $.
 Il costo per “postazione” di un sistema DLP va
  da 15$ a 30$.
 Il ROI di una installazione per 1.000 postazioni
  di lavoro è di circa 12 mesi nel caso di un
  rischio significativo (50%) di perdita di circa
  almeno 200 record/annui.


                       11        DATA LOSS PREVENTION
 Localizzare e catalogare le informazioni
  sensibili
 Monitorare e controllare i movimenti dei dati
  in rete e presso i sistemi degli utenti finali
 Avere un luogo centralizzato per gestire e
  controllare tutte le policy e le attività (DLP
  management console).



                       12        DATA LOSS PREVENTION
13   DATA LOSS PREVENTION
 Ricordare e proteggere tutte le proprie profili,
  email, cellulari, accounts che hanno una user e
  password con una password molto lunga(*) e
  difficilmente pronunciabile ma facilmente
  memorizzabile!
 Installare e tenere aggiornati i sofware di
  protezione per evitare virus e spyware.

(*) ad eccezione dei dispositivi che dopo tre tentativi errati si bloccano per un dato periodo.




                                            14                 DATA LOSS PREVENTION
 Prevenire le perdite dei dati.
 Formare ed educare gli utenti nel valore dei dati
  sensibili gestiti ed innescare un cambiamento
  organizzativo e culturale.

I sistemi DLP a differenza degli altri sistemi di
   sicurezza dei sistemi (antivirus, firewall, ecc…)
   segnalano esplicitamente ogni evento all’utente
   per informarlo sulle “implicazioni per la sicurezza”
   della sua azione e riportarlo nel futuro a
   comportamenti più “consoni” (educazione on the
   job).

                         15         DATA LOSS PREVENTION
   Log: dell’evento con tutti i suoi attributi.
   Report: a tutte le figure previste dal workflow.
   Tag: secondo la tassonomia prevista.
   Encrypt: con le chiavi centralizzate date.
   Relocate: secondo l’assegnazione prevista.
   Classify: secondo la tassonomia prevista.
   EDRM: digital right management.




                         16        DATA LOSS PREVENTION
 “At rest”: fissi memorizzati su alcuni supporti
  visitabili e catalogabili grazie a degli opportuni
  “crawlers” o “spider”. Caratterizzati anche dai
  “path” di residenza.
 “In motion”: in trasmissione sulle reti filtrati da
  opportune “network appliance” che effettuano una
  “deep packet inspection” ed eventualmente
  decriptano e ricriptano il canale ed i singoli
  pacchetti.
 “In use”: in uso presso i sistemi utente finali dove
  vengono installati degli “agenti software” che
  controllano tutte le azioni (anche il cut & paste!).
                         17         DATA LOSS PREVENTION
 Per le persone:
  l'origine razziale ed etnica,
  le convinzioni religiose, filosofiche o di altro genere,
  le opinioni politiche,
  l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
      religioso, filosofico, politico o sindacale,
  lo stato di salute e la vita sessuale
  Dal Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4

 Per le aziende:
  I dati relativi alle possibili acquisizioni o merger con altre aziende e di bilancio,
  I dati sulle retribuzioni del personale.
  I dati dei clienti
  I dati sulla produzione o sui servizi erogati.
  Altri dati la cui “diffusione” può impattare significativamente sui processi
     aziendali e/o sull’immagine dell’organizzazione.



                                               18                    DATA LOSS PREVENTION
Dati contenuti nei database aziendali.
Dati dei sistemi di messaggistica.
Dati sui forum, sui blog e sui wiki.
Dati sui “social network”: il problema della
  irreversibilità e della proprietà.
Dati temporanei che sono “permanenti”.
Dati sui device “mobili”
Dati di supporto per chi lavora “da casa”…



                      19        DATA LOSS PREVENTION
20   DATA LOSS PREVENTION
21   DATA LOSS PREVENTION
   Creare e gestire le varie policy.
   Integrarsi con i servizi di “directory”.
   Gestire il “workflow” degli incidenti segnalati.
   Effettuare il backup e restore del sistema.
   Produrre un articolato e flessibile reporting
    per tutte le figure coinvolte nella gestione del
    sistema DLP.




                         22        DATA LOSS PREVENTION
1.   Effettuare una tassonomia dei dati e dei flussi fra sistemi e
     verso l’utente finale.
2.   Identificare gli archivi principali e i “percorsi” principali sia
     prima che dopo l’installazione della soluzione DLP.
3.   Disegnare il ciclo di vita dei dati.
4.   Definire le policy che correlano le azioni con i tipi di dati,
     con i ruoli h24, con gli eventi.
5.   Implementazione del sistema DLP: in primis solo come
     “MONITOR”, poi con gradualità per evitare blocchi ai
     processi di business per aree a maggior rischio
     coinvolgendo sempre il top management e i responsabili
     non IT delle aree coinvolte.




                                 23           DATA LOSS PREVENTION
 Protezione della proprietà intellettuale.
 Miglioramento del rispetto a norme e regolamenti sul
  trattamento dei dati.
 Minor rischio di perdita dei dati.
 Maggiore formazione e consapevolezza negli utenti del
  valore dei dati trattati.
 Miglioramento dei processi di business che venendo
  analizzati sono spesso ridefiniti.
 Ottimizzazione delle risorse HW (reti, supporti di memoria,
  ecc…)
 Maggior controllo nell’esistenza di codici “maliziosi” o
  “virali” sulle postazioni utente.



                             24           DATA LOSS PREVENTION
 Moduli DLP non adeguati che bloccano i
  processi, fanno perder tempo, inducono danni a
  clienti e partner, fanno perdere il supporto degli
  “stake holder”.
 Moduli DLP non dimensionati: che non
  controllano tutto il traffico di rete o introducono
  gravi rallentamenti.
 Eccessivi falsi positivi
 Conflitti con software sottostante e creazione di
  problemi prestazionali.

                         25        DATA LOSS PREVENTION
 Gestione della criptazione esistente: il sistema deve
  poter gestire TUTTE le chiavi per poter aprire e
  richiudere tutti i files criptati.
 Grafica: il sistema non è in grado di capire “il
  contenuto” più o meno sensibile di una immagine.
 Fornitori e terze parti: devo adottare misure simili.
 Device mobili: non sono adeguatamente supportati.
 Supporto multilingua e caratteri internazionali: spesso
  non presente.
 Supporto di vari sistemi operativi: limitato.
 Blocco su un fornitore: non sono previste funzioni di
  import ed export per supportare il cambio del fornitore.
                         26        DATA LOSS PREVENTION
 Nel processo decisionale devono esser coinvolti i manager
  NON IT responsabili dei dati trattati.
 I professionisti di assicurazione della qualità devono
  garantire l’allineamento fra le policy dei DLP e gli obiettivi
  aziendali.
 Le persone coinvolte devono provenire da: ufficio legale,
  ufficio della sicurezza, sicurezza informatica, sistemi ICT,
  ufficio del personale, sindacato, manager rappresentativi
  delle principali linee di business, top manager.
 Per ogni processo di business occorre identificare quali
  siano i dati sensibili.
 Occorre verificare che l’implementazione tecnologica sia
  stata fatta “ad arte”.


                              27           DATA LOSS PREVENTION
28   DATA LOSS PREVENTION
 Nei sistemi meccanici a media bassa
  complessità il valore del tutto è spesso dato
  dalla “somma” del valore delle parti.
 I sistemi “digitali” hanno spesso una altissima
  complessità di vari ordini di grandezza che li
  rende simili ai sistemi “biologici” dove il valore
  del tutto è dato dall’armonia fra le parti.




                        29        DATA LOSS PREVENTION
 Produrre sistemi digitali “universali” particolarizzati
  con “strati software (per costruzione reversibili)” è
  conveniente: si ammortizza con grande economia di
  scala il costo della progettazione dell’hardware, il
  resto è …“sabbia” (silicio).
 I sistemi “fisici” sono pensati fin dall’inizio
  specificatamente per ogni singolo uso.
 Il valore nei sistemi “digitali universali” è spesso
  dato dalla “inibizione irreversibile” di una
  funzionalità piuttosto che dall’aggiunta.



                          30        DATA LOSS PREVENTION
 Ipod, itune e il mercato delle “apps” di Apple ha
  assunto il valore economico che ha grazie
  all’inibizione della funzione di “copia” a livello
  irreversibile (hardware).
 Paradossalmente “Rompere” meccanicamente una
  porta USB di un PC può risultare una misura di
  sicurezza più efficiente di tante altre “software”
  reversibili per natura centrate nel “controllo della
  stessa porta”.
 Il lucchetto o l’involucro per il cabinet del PC che
  non lo rende accessibile e aggiornabile.


                         31         DATA LOSS PREVENTION
32   DATA LOSS PREVENTION
I principi fondano le metodologie e le policy che
    vengono attuate con gli opportuni strumenti.
Gli strumenti “leader” di mercato hanno al loro
    interno già “embedded” il supporto per le
    policy e le metodologie più efficaci per le
    minacce ed i rischi più “recenti”.
Risulta dunque organizzativamente critico saper
    scegliere lo strumento più adeguato.


                       33       DATA LOSS PREVENTION
Privacy vs sicurezza

      34       DATA LOSS PREVENTION
I dati “sensibili” sono legislativamente
    equivalenti al materiale “esplosivo”. Perché
  affidarli a personale “sconosciuto” che lavora
    spesso in subappalto per catene di terzisti?
Più i ruoli e le mansioni sono “inferiori” più i
    dati devono essere “aggregati” e/o con breve
    finestra storica.
Gli amministratori dei sistemi che gestiscono le
    credenziali devono sottostare a doveri
    specifici.

                      35        DATA LOSS PREVENTION
 Registrazione degli accessi
    Adozione di sistemi di controllo che consentano la registrazione degli accessi
    effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi
    elettronici.
   Le registrazioni devono comprendere i riferimenti temporali e la descrizione
    dell'evento che le ha generate e devono essere conservate per un congruo periodo,
    non inferiore a sei mesi.

 Verifica della attività
    Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza
    dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di
    sicurezza previste dalla legge per i trattamenti di dati personali.

 Elenco degli amministratori di sistema e loro
  caratteristiche
    Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico
    della sicurezza o in un documento interno (disponibile in caso di accertamenti da
    parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco
    delle funzioni loro attribuite.


                                            36                 DATA LOSS PREVENTION
 Dovranno infine essere valutate con attenzione
  esperienza, capacità, e affidabilità della persona
  chiamata a ricoprire il ruolo di amministratore di
  sistema, che deve essere in grado di garantire il
  pieno rispetto della normativa in materia di
  protezione dei dati personali, compreso il profilo
  della sicurezza.

Si scopre che quando c’e’ bisogno di tutelare un
  bene vitale della persona o dell’organizzazione
  sono utili gli albi, ma allora….

                       37        DATA LOSS PREVENTION
Il modello del professionista, dello studio associato e
    della società di ingegneria ha reso l’ingegneria
    civile italiana leader nel mondo; per il settore ICT
    c’e’ il DPR 328/2001 che prevede l’”ingegnere
    dell’informazione”.
 Utili soprattutto per le attività di terzietà dove la
   professionalità e l’indipendenza rappresentano i
   valori aggiunti principali: auditing, controllo esterno,
   collaudi, verifiche, stime, studi di fattibilità,
   documenti di gara o RFP, monitoraggi, scrittura di
   metodologie e policy.

                            38         DATA LOSS PREVENTION
39   DATA LOSS PREVENTION
 La professionalità e l’indipendenza devono
  essere predicate “in primis” a livello della
  persona “fisica” che poi può anche partecipare o
  appartenere ad un’organizzazione superiore con
  altri suoi “simili” che può offrire maggiori
  garanzie.
 Studi ben noti effettuali nel settore hanno
  dimostrato che la produttività di un addetto ICT
  può variare da 1 a 10 in funzione della
  competenza, degli strumenti a disposizione e
  della motivazione dello stesso.

                      40       DATA LOSS PREVENTION
Grazie dell’attenzione.
              Riferimento:    Francesco Marinuzzi

                              direzione@marinuzzi.it
                              Tel. 06 4522 18 27 1
                              www.marinuzzi.it




         41                  DATA LOSS PREVENTION

Weitere ähnliche Inhalte

Was ist angesagt?

Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezzariminese77
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 

Was ist angesagt? (12)

Caso 3
Caso 3Caso 3
Caso 3
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezza
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Easy Smart Working
Easy Smart WorkingEasy Smart Working
Easy Smart Working
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciuti
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Tirasa
TirasaTirasa
Tirasa
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 

Ähnlich wie Webinar sulla Prevenzione della perdita di dati

Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Smau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano FratepietroSmau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano FratepietroSMAU
 
Anteprima del webinar Data Loss Prevention
Anteprima del webinar Data Loss PreventionAnteprima del webinar Data Loss Prevention
Anteprima del webinar Data Loss PreventionMarinuzzi & Associates
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityProf Web
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Domenico Barile
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec   hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec   hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibiliat MicroFocus Italy ❖✔
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniAlessandro Bonu
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 

Ähnlich wie Webinar sulla Prevenzione della perdita di dati (20)

Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Smau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano FratepietroSmau Milano 2014 - Stefano Fratepietro
Smau Milano 2014 - Stefano Fratepietro
 
Anteprima del webinar Data Loss Prevention
Anteprima del webinar Data Loss PreventionAnteprima del webinar Data Loss Prevention
Anteprima del webinar Data Loss Prevention
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it security
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Penelope
PenelopePenelope
Penelope
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
 
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
Serate di alfbetizzazione digitale - Terzo incontro 11 Maggio 2015
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec   hp atalla soluzioni enterprise per la protezione dei dati sensibiliReportec   hp atalla soluzioni enterprise per la protezione dei dati sensibili
Reportec hp atalla soluzioni enterprise per la protezione dei dati sensibili
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 

Mehr von Marinuzzi & Associates

La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 
Controllo della Spesa sanitaria con l'innovazione ICT
Controllo della Spesa sanitaria con l'innovazione ICTControllo della Spesa sanitaria con l'innovazione ICT
Controllo della Spesa sanitaria con l'innovazione ICTMarinuzzi & Associates
 
Nuove sfide e possibili soluzioni innovative per la sicurezza dei porti
Nuove sfide e possibili soluzioni innovative per la sicurezza dei portiNuove sfide e possibili soluzioni innovative per la sicurezza dei porti
Nuove sfide e possibili soluzioni innovative per la sicurezza dei portiMarinuzzi & Associates
 
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...Marinuzzi & Associates
 
Procurement ICT e la figura dell'ingegnere dell'informazione
Procurement ICT e la figura dell'ingegnere dell'informazioneProcurement ICT e la figura dell'ingegnere dell'informazione
Procurement ICT e la figura dell'ingegnere dell'informazioneMarinuzzi & Associates
 
Color People Management e la Leadership
Color People Management e la LeadershipColor People Management e la Leadership
Color People Management e la LeadershipMarinuzzi & Associates
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete  Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete  Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereMarinuzzi & Associates
 
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...Marinuzzi & Associates
 
Nuove tecnologie IT ed impatti organizzativi
Nuove tecnologie IT ed impatti organizzativiNuove tecnologie IT ed impatti organizzativi
Nuove tecnologie IT ed impatti organizzativiMarinuzzi & Associates
 
Formazione ed Informazione delle nuove generazioni nel contesto digitale
Formazione ed Informazione delle nuove generazioni nel contesto digitaleFormazione ed Informazione delle nuove generazioni nel contesto digitale
Formazione ed Informazione delle nuove generazioni nel contesto digitaleMarinuzzi & Associates
 
Stesura e revisione di contratti di Outsourcing tecnologico
Stesura e revisione di contratti di Outsourcing tecnologicoStesura e revisione di contratti di Outsourcing tecnologico
Stesura e revisione di contratti di Outsourcing tecnologicoMarinuzzi & Associates
 

Mehr von Marinuzzi & Associates (19)

La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 
Controllo della Spesa sanitaria con l'innovazione ICT
Controllo della Spesa sanitaria con l'innovazione ICTControllo della Spesa sanitaria con l'innovazione ICT
Controllo della Spesa sanitaria con l'innovazione ICT
 
Governance in Sanità
Governance in SanitàGovernance in Sanità
Governance in Sanità
 
Convegno contact center
Convegno contact centerConvegno contact center
Convegno contact center
 
2017 05-02 qualita del sw-fm
2017 05-02  qualita del sw-fm2017 05-02  qualita del sw-fm
2017 05-02 qualita del sw-fm
 
Nuove sfide e possibili soluzioni innovative per la sicurezza dei porti
Nuove sfide e possibili soluzioni innovative per la sicurezza dei portiNuove sfide e possibili soluzioni innovative per la sicurezza dei porti
Nuove sfide e possibili soluzioni innovative per la sicurezza dei porti
 
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...
Digitalizzazione delle Pubbliche Amministrazioni - Convegno AdessoRoma 20 mag...
 
Procurement ICT e la figura dell'ingegnere dell'informazione
Procurement ICT e la figura dell'ingegnere dell'informazioneProcurement ICT e la figura dell'ingegnere dell'informazione
Procurement ICT e la figura dell'ingegnere dell'informazione
 
Color People Management e la Leadership
Color People Management e la LeadershipColor People Management e la Leadership
Color People Management e la Leadership
 
Data center and Business Continuity
Data center and Business ContinuityData center and Business Continuity
Data center and Business Continuity
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete  Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete  Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
 
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...
Valore ed etica delle professioni nell’era digitale: la formazione e l’aggior...
 
Nuove tecnologie IT ed impatti organizzativi
Nuove tecnologie IT ed impatti organizzativiNuove tecnologie IT ed impatti organizzativi
Nuove tecnologie IT ed impatti organizzativi
 
Startup: dall'idea all'impresa:
Startup: dall'idea all'impresa: Startup: dall'idea all'impresa:
Startup: dall'idea all'impresa:
 
Formazione ed Informazione delle nuove generazioni nel contesto digitale
Formazione ed Informazione delle nuove generazioni nel contesto digitaleFormazione ed Informazione delle nuove generazioni nel contesto digitale
Formazione ed Informazione delle nuove generazioni nel contesto digitale
 
Outsourcing tecnologico: il contratto
Outsourcing tecnologico: il contrattoOutsourcing tecnologico: il contratto
Outsourcing tecnologico: il contratto
 
Stesura e revisione di contratti di Outsourcing tecnologico
Stesura e revisione di contratti di Outsourcing tecnologicoStesura e revisione di contratti di Outsourcing tecnologico
Stesura e revisione di contratti di Outsourcing tecnologico
 
Apertura Convegno Ucc EXPOCOMM 2011
Apertura Convegno Ucc EXPOCOMM 2011Apertura Convegno Ucc EXPOCOMM 2011
Apertura Convegno Ucc EXPOCOMM 2011
 
UCC: le potenzialità a medio termine
UCC: le potenzialità a medio termineUCC: le potenzialità a medio termine
UCC: le potenzialità a medio termine
 

Webinar sulla Prevenzione della perdita di dati

  • 1. DATA LO S S PR E V E N TI O N GOOD POINT Come proteggere i dati sensibili in azienda dopo il caso GOOD Wikileaks. POINT Ing. Francesco Marinuzzi, Ph.D. GOOD POINT Webinar organizzato da Business International MARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITÀ Versione 1.0 - 2011
  • 2. 2 DATA LOSS PREVENTION
  • 3. 3 DATA LOSS PREVENTION
  • 4. 4 DATA LOSS PREVENTION
  • 5. Casi 12% Dolo Negligenza 88% Non dolo Dolo Per ogni record “perso” si stima un costo medio di 200 $. 5 DATA LOSS PREVENTION
  • 6.  I principali beni pubblicizzati nel black market: – Informazioni carte di pagamento – Credenziali per l’accesso a conti correnti online  Pubblicizzati anche strumenti e servizi del black market. 6 DATA LOSS PREVENTION 6
  • 7. 7 DATA LOSS PREVENTION
  • 8. 8 DATA LOSS PREVENTION
  • 9. DATA LO S S PR E V E N TI O N GOOD POINT GOOD POINT GOOD POINT MARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITÀ
  • 10. 10 DATA LOSS PREVENTION
  • 11.  Nel 2009 l’88% delle perdite sono state per negligenza e solo il 12% per dolo.  Per ogni record “perso” si stima un costo medio di 200 $.  Il costo per “postazione” di un sistema DLP va da 15$ a 30$.  Il ROI di una installazione per 1.000 postazioni di lavoro è di circa 12 mesi nel caso di un rischio significativo (50%) di perdita di circa almeno 200 record/annui. 11 DATA LOSS PREVENTION
  • 12.  Localizzare e catalogare le informazioni sensibili  Monitorare e controllare i movimenti dei dati in rete e presso i sistemi degli utenti finali  Avere un luogo centralizzato per gestire e controllare tutte le policy e le attività (DLP management console). 12 DATA LOSS PREVENTION
  • 13. 13 DATA LOSS PREVENTION
  • 14.  Ricordare e proteggere tutte le proprie profili, email, cellulari, accounts che hanno una user e password con una password molto lunga(*) e difficilmente pronunciabile ma facilmente memorizzabile!  Installare e tenere aggiornati i sofware di protezione per evitare virus e spyware. (*) ad eccezione dei dispositivi che dopo tre tentativi errati si bloccano per un dato periodo. 14 DATA LOSS PREVENTION
  • 15.  Prevenire le perdite dei dati.  Formare ed educare gli utenti nel valore dei dati sensibili gestiti ed innescare un cambiamento organizzativo e culturale. I sistemi DLP a differenza degli altri sistemi di sicurezza dei sistemi (antivirus, firewall, ecc…) segnalano esplicitamente ogni evento all’utente per informarlo sulle “implicazioni per la sicurezza” della sua azione e riportarlo nel futuro a comportamenti più “consoni” (educazione on the job). 15 DATA LOSS PREVENTION
  • 16. Log: dell’evento con tutti i suoi attributi.  Report: a tutte le figure previste dal workflow.  Tag: secondo la tassonomia prevista.  Encrypt: con le chiavi centralizzate date.  Relocate: secondo l’assegnazione prevista.  Classify: secondo la tassonomia prevista.  EDRM: digital right management. 16 DATA LOSS PREVENTION
  • 17.  “At rest”: fissi memorizzati su alcuni supporti visitabili e catalogabili grazie a degli opportuni “crawlers” o “spider”. Caratterizzati anche dai “path” di residenza.  “In motion”: in trasmissione sulle reti filtrati da opportune “network appliance” che effettuano una “deep packet inspection” ed eventualmente decriptano e ricriptano il canale ed i singoli pacchetti.  “In use”: in uso presso i sistemi utente finali dove vengono installati degli “agenti software” che controllano tutte le azioni (anche il cut & paste!). 17 DATA LOSS PREVENTION
  • 18.  Per le persone: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale Dal Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4  Per le aziende: I dati relativi alle possibili acquisizioni o merger con altre aziende e di bilancio, I dati sulle retribuzioni del personale. I dati dei clienti I dati sulla produzione o sui servizi erogati. Altri dati la cui “diffusione” può impattare significativamente sui processi aziendali e/o sull’immagine dell’organizzazione. 18 DATA LOSS PREVENTION
  • 19. Dati contenuti nei database aziendali. Dati dei sistemi di messaggistica. Dati sui forum, sui blog e sui wiki. Dati sui “social network”: il problema della irreversibilità e della proprietà. Dati temporanei che sono “permanenti”. Dati sui device “mobili” Dati di supporto per chi lavora “da casa”… 19 DATA LOSS PREVENTION
  • 20. 20 DATA LOSS PREVENTION
  • 21. 21 DATA LOSS PREVENTION
  • 22. Creare e gestire le varie policy.  Integrarsi con i servizi di “directory”.  Gestire il “workflow” degli incidenti segnalati.  Effettuare il backup e restore del sistema.  Produrre un articolato e flessibile reporting per tutte le figure coinvolte nella gestione del sistema DLP. 22 DATA LOSS PREVENTION
  • 23. 1. Effettuare una tassonomia dei dati e dei flussi fra sistemi e verso l’utente finale. 2. Identificare gli archivi principali e i “percorsi” principali sia prima che dopo l’installazione della soluzione DLP. 3. Disegnare il ciclo di vita dei dati. 4. Definire le policy che correlano le azioni con i tipi di dati, con i ruoli h24, con gli eventi. 5. Implementazione del sistema DLP: in primis solo come “MONITOR”, poi con gradualità per evitare blocchi ai processi di business per aree a maggior rischio coinvolgendo sempre il top management e i responsabili non IT delle aree coinvolte. 23 DATA LOSS PREVENTION
  • 24.  Protezione della proprietà intellettuale.  Miglioramento del rispetto a norme e regolamenti sul trattamento dei dati.  Minor rischio di perdita dei dati.  Maggiore formazione e consapevolezza negli utenti del valore dei dati trattati.  Miglioramento dei processi di business che venendo analizzati sono spesso ridefiniti.  Ottimizzazione delle risorse HW (reti, supporti di memoria, ecc…)  Maggior controllo nell’esistenza di codici “maliziosi” o “virali” sulle postazioni utente. 24 DATA LOSS PREVENTION
  • 25.  Moduli DLP non adeguati che bloccano i processi, fanno perder tempo, inducono danni a clienti e partner, fanno perdere il supporto degli “stake holder”.  Moduli DLP non dimensionati: che non controllano tutto il traffico di rete o introducono gravi rallentamenti.  Eccessivi falsi positivi  Conflitti con software sottostante e creazione di problemi prestazionali. 25 DATA LOSS PREVENTION
  • 26.  Gestione della criptazione esistente: il sistema deve poter gestire TUTTE le chiavi per poter aprire e richiudere tutti i files criptati.  Grafica: il sistema non è in grado di capire “il contenuto” più o meno sensibile di una immagine.  Fornitori e terze parti: devo adottare misure simili.  Device mobili: non sono adeguatamente supportati.  Supporto multilingua e caratteri internazionali: spesso non presente.  Supporto di vari sistemi operativi: limitato.  Blocco su un fornitore: non sono previste funzioni di import ed export per supportare il cambio del fornitore. 26 DATA LOSS PREVENTION
  • 27.  Nel processo decisionale devono esser coinvolti i manager NON IT responsabili dei dati trattati.  I professionisti di assicurazione della qualità devono garantire l’allineamento fra le policy dei DLP e gli obiettivi aziendali.  Le persone coinvolte devono provenire da: ufficio legale, ufficio della sicurezza, sicurezza informatica, sistemi ICT, ufficio del personale, sindacato, manager rappresentativi delle principali linee di business, top manager.  Per ogni processo di business occorre identificare quali siano i dati sensibili.  Occorre verificare che l’implementazione tecnologica sia stata fatta “ad arte”. 27 DATA LOSS PREVENTION
  • 28. 28 DATA LOSS PREVENTION
  • 29.  Nei sistemi meccanici a media bassa complessità il valore del tutto è spesso dato dalla “somma” del valore delle parti.  I sistemi “digitali” hanno spesso una altissima complessità di vari ordini di grandezza che li rende simili ai sistemi “biologici” dove il valore del tutto è dato dall’armonia fra le parti. 29 DATA LOSS PREVENTION
  • 30.  Produrre sistemi digitali “universali” particolarizzati con “strati software (per costruzione reversibili)” è conveniente: si ammortizza con grande economia di scala il costo della progettazione dell’hardware, il resto è …“sabbia” (silicio).  I sistemi “fisici” sono pensati fin dall’inizio specificatamente per ogni singolo uso.  Il valore nei sistemi “digitali universali” è spesso dato dalla “inibizione irreversibile” di una funzionalità piuttosto che dall’aggiunta. 30 DATA LOSS PREVENTION
  • 31.  Ipod, itune e il mercato delle “apps” di Apple ha assunto il valore economico che ha grazie all’inibizione della funzione di “copia” a livello irreversibile (hardware).  Paradossalmente “Rompere” meccanicamente una porta USB di un PC può risultare una misura di sicurezza più efficiente di tante altre “software” reversibili per natura centrate nel “controllo della stessa porta”.  Il lucchetto o l’involucro per il cabinet del PC che non lo rende accessibile e aggiornabile. 31 DATA LOSS PREVENTION
  • 32. 32 DATA LOSS PREVENTION
  • 33. I principi fondano le metodologie e le policy che vengono attuate con gli opportuni strumenti. Gli strumenti “leader” di mercato hanno al loro interno già “embedded” il supporto per le policy e le metodologie più efficaci per le minacce ed i rischi più “recenti”. Risulta dunque organizzativamente critico saper scegliere lo strumento più adeguato. 33 DATA LOSS PREVENTION
  • 34. Privacy vs sicurezza 34 DATA LOSS PREVENTION
  • 35. I dati “sensibili” sono legislativamente equivalenti al materiale “esplosivo”. Perché affidarli a personale “sconosciuto” che lavora spesso in subappalto per catene di terzisti? Più i ruoli e le mansioni sono “inferiori” più i dati devono essere “aggregati” e/o con breve finestra storica. Gli amministratori dei sistemi che gestiscono le credenziali devono sottostare a doveri specifici. 35 DATA LOSS PREVENTION
  • 36.  Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.  Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.  Verifica della attività Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.  Elenco degli amministratori di sistema e loro caratteristiche Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. 36 DATA LOSS PREVENTION
  • 37.  Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza. Si scopre che quando c’e’ bisogno di tutelare un bene vitale della persona o dell’organizzazione sono utili gli albi, ma allora…. 37 DATA LOSS PREVENTION
  • 38. Il modello del professionista, dello studio associato e della società di ingegneria ha reso l’ingegneria civile italiana leader nel mondo; per il settore ICT c’e’ il DPR 328/2001 che prevede l’”ingegnere dell’informazione”.  Utili soprattutto per le attività di terzietà dove la professionalità e l’indipendenza rappresentano i valori aggiunti principali: auditing, controllo esterno, collaudi, verifiche, stime, studi di fattibilità, documenti di gara o RFP, monitoraggi, scrittura di metodologie e policy. 38 DATA LOSS PREVENTION
  • 39. 39 DATA LOSS PREVENTION
  • 40.  La professionalità e l’indipendenza devono essere predicate “in primis” a livello della persona “fisica” che poi può anche partecipare o appartenere ad un’organizzazione superiore con altri suoi “simili” che può offrire maggiori garanzie.  Studi ben noti effettuali nel settore hanno dimostrato che la produttività di un addetto ICT può variare da 1 a 10 in funzione della competenza, degli strumenti a disposizione e della motivazione dello stesso. 40 DATA LOSS PREVENTION
  • 41. Grazie dell’attenzione. Riferimento: Francesco Marinuzzi direzione@marinuzzi.it Tel. 06 4522 18 27 1 www.marinuzzi.it 41 DATA LOSS PREVENTION