Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”.
Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione.
Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.
ScrapeGraphAI: a new way to scrape context with AI
ICT SECURITY E PMI - SMAU Milano 2013
1. ICT SECURITY E PMI
Proteggersi dal Cybercrime
Massimo Chirivì
ICT SECURITY E PMI
2. Chi sono
•
•
•
•
Dal 1988 con la passione dell’informatica
Dal 1996 al servizio delle aziende per lavoro
Dal 1998 al servizio della P.A. per il bene di tutti
Dal 2010 in una delle più grandi aziende ICT d’Italia.
Di cosa mi occupo
-
Information Security
System Administrator
Ethical Hacking
Condividere è un dovere etico… La condivisione è conoscenza.
ICT SECURITY E PMI
3. AIPSI – Associazione Italiana Professionisti Sicurezza
Informatica
AIPSI
Capitolo
Italiano di
ISSA
Oltre 10.000
esperti in
tutto il
mondo
ICT SECURITY E PMI
Associazione
di singoli
professionisti
200 soci in
Italia
4. AIPSI – Associazione Italiana Professionisti Sicurezza
Informatica
Obiettivi:
• Organizzazione di forum educativi
• Redazione di documenti e pubblicazioni specializzate
• Interscambio di esperienze fra i professionisti del
settore (nazionali e internazionali)
• Riferimento per la ricerca di professionisti di sicurezza
IT
• Interazione con altre organizzazioni professionali
• Rilascio di attestati e certificazioni specifiche
ICT SECURITY E PMI
13. Innalziamo il livello di sicurezza fisico – Passo 1
•
•
•
•
•
•
•
•
Sala CED chiusa a chiave
Nomina responsabili
Registro degli accessi
Sistema Antincendio
Sensori di temperatura
Temperatura adeguata
Apparati elettronici sollevati da terra
Accessi protetti, no finestre a vetri
ICT SECURITY E PMI
REQUISITI MINIMI
14. Innalziamo il livello di sicurezza logico – Passo 2
•
•
•
•
•
•
•
•
•
•
Policy sulle Password
REQUISITI
Gestione centralizzata tipo AD
Log Management
Monitoring
Share Permission
NTFS Permission
Server adeguati (DFS, Rights Management Services)
Backup
Antivirus
Firewall
ICT SECURITY E PMI
MINIMI
15. Innalziamo il livello di sicurezza culturale – Passo 3
Massima attenzione ai dipendenti e collaboratori
Il 100% delle informazioni aziendali in loro possesso è a rischio!
Attività consapevole:
Posta Elettronica – USB – CLOUD – Social Network
Attività non consapevole: Telefono – Posta Elettronica - Social Network Social Engineering
… tutto lavoro per il responsabile della sicurezza informatica
ICT SECURITY E PMI
16. Alcuni consigli:
•
•
•
•
•
•
•
Eliminare i dati superflui e tenere traccia dei dati presenti
Verifica periodica e regolare di tutte le policy di sicurezza
Analisi dei dati sugli incidenti di sicurezza
Valutazione dei rischi costante e aggiornata
Non sottovalutare mai gli avversari
Aggiornamento costante delle tecnologie utilizzate
Monitoraggio giornaliero di Backup, Antivirus, Firewall, Log Management
Non fidatevi di soluzioni universali per
proteggere l’azienda!
ICT SECURITY E PMI
18. Il Cloud è sicuro?
Account Security
You are responsible for safeguarding the password that you use to access the Services
and you agree not to disclose your password to any third party. You are responsible for
any activity using your account, whether or not you authorized that activity. You should
immediately notify xxxxxx of any unauthorized use of your account.
Your General Responsibilities
Files and other content in the Services may be protected by intellectual property rights of
others. Please do not copy, upload, download, or share files unless you have the right to
do so. You, not xxxxxx, will be fully responsible and liable for what you copy, share,
upload, download or otherwise use while using the Services. You must not upload
spyware or any other malicious software to the Service.
You, and not xxxxxx, are responsible for maintaining and protecting all of your files.
Xxxxxx will not be liable for any loss or corruption of your files, or for any costs or
expenses associated with backing up or restoring any of your files.
If your contact information, or other information related to your account, changes, you
must notify us promptly and keep your information current.
ICT SECURITY E PMI
19. Ethical Hacking
•
Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di
competenze specifiche per determinare le vulnerabilità dei sistemi informatici.
L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno
probabili di essere penetrati.
•
Molte aziende utilizzano i servizi di hacking etico a tempo pieno per
mantenere i loro sistemi e informazioni al sicuro.
•
Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza
la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al
contrario, questo lavoro è etico perché viene eseguito per aumentare la
sicurezza dei sistemi informatici.
•
L'obiettivo di ethical hacking è quello di determinare il modo di violare i
programmi presenti in esecuzione, ma solo su richiesta della società che
possiede il sistema ed in particolare per impedire ad altri di attaccarlo.
ICT SECURITY E PMI
20. Information Gathering
- Rappresenta la fase della raccolta di informazioni.
Quante più ne abbiamo meglio valuteremo la sicurezza aziendale
Quindi bisogna organizzare le informazioni in modo corretto.
- E’ la fase più importante del penetration test.
- Durante le fasi successive potrebbe servire qualsiasi particolare.
NON CI SONO INFORMAZIONI NON NECESSARIE!
ICT SECURITY E PMI
21. Information Gathering
Attività passiva:
Information gathering passive o OSINT (Open Source Intelligence) è la
modalità di raccolta informazioni tenendo nascosta la propria identità.
Attività attiva:
Raccolta di informazioni sull’organizzazione attraverso IDS o log di servizi
BUSINESS
ICT SECURITY E PMI
INFRASTRUCTURE