SlideShare ist ein Scribd-Unternehmen logo

ICT SECURITY E PMI - SMAU Milano 2013

Als PPTX, PDF herunterladen
Massimo Chirivì
Massimo Chirivì

Alcuni anni fa erano per lo più le banche e le grandi imprese ad essere prese di mira dai criminali informatici; il loro campo di azione è completamente cambiato: tantissime PMI ogni giorno subiscono perdite e danni a causa del “cybercrime”. Le piccole e medie imprese oggi vengono considerate come obiettivi sensibili, poichè sono le meno attente alle proprie difese informatiche. Danni ai dati dei clienti e fornitori, perdita della proprietà intellettuale, cattiva reputazione da violazione del sistema informatico sono solo alcuni dei punti che bisognerebbe ancora oggi tenere in alta considerazione. Il talk mira ad illustrare le principali tematiche relative all’argomento con un' introduzione al Penetration Testing aziendale.

Technologie
1 von 23
ICT SECURITY E PMI Proteggersi dal Cybercrime Massimo Chirivì ICT SECURITY E PMI
Chi sono • • • • Dal 1988 con la passione dell’informatica Dal 1996 al servizio delle aziende per lavoro Dal 1998 al servizio della P.A. per il bene di tutti Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security System Administrator Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. ICT SECURITY E PMI
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Capitolo Italiano di ISSA Oltre 10.000 esperti in tutto il mondo ICT SECURITY E PMI Associazione di singoli professionisti 200 soci in Italia
AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
Fonte: Verizon DBIR ICT SECURITY E PMI
2 MINUTI IN UN VIDEO ICT SECURITY E PMI
Innalziamo il livello di sicurezza fisico – Passo 1 • • • • • • • • Sala CED chiusa a chiave Nomina responsabili Registro degli accessi Sistema Antincendio Sensori di temperatura Temperatura adeguata Apparati elettronici sollevati da terra Accessi protetti, no finestre a vetri ICT SECURITY E PMI REQUISITI MINIMI
Innalziamo il livello di sicurezza logico – Passo 2 • • • • • • • • • • Policy sulle Password REQUISITI Gestione centralizzata tipo AD Log Management Monitoring Share Permission NTFS Permission Server adeguati (DFS, Rights Management Services) Backup Antivirus Firewall ICT SECURITY E PMI MINIMI
Innalziamo il livello di sicurezza culturale – Passo 3 Massima attenzione ai dipendenti e collaboratori Il 100% delle informazioni aziendali in loro possesso è a rischio! Attività consapevole: Posta Elettronica – USB – CLOUD – Social Network Attività non consapevole: Telefono – Posta Elettronica - Social Network Social Engineering … tutto lavoro per il responsabile della sicurezza informatica ICT SECURITY E PMI
Alcuni consigli: • • • • • • • Eliminare i dati superflui e tenere traccia dei dati presenti Verifica periodica e regolare di tutte le policy di sicurezza Analisi dei dati sugli incidenti di sicurezza Valutazione dei rischi costante e aggiornata Non sottovalutare mai gli avversari Aggiornamento costante delle tecnologie utilizzate Monitoraggio giornaliero di Backup, Antivirus, Firewall, Log Management Non fidatevi di soluzioni universali per proteggere l’azienda! ICT SECURITY E PMI
Cloud Computing ICT SECURITY E PMI
Il Cloud è sicuro? Account Security You are responsible for safeguarding the password that you use to access the Services and you agree not to disclose your password to any third party. You are responsible for any activity using your account, whether or not you authorized that activity. You should immediately notify xxxxxx of any unauthorized use of your account. Your General Responsibilities Files and other content in the Services may be protected by intellectual property rights of others. Please do not copy, upload, download, or share files unless you have the right to do so. You, not xxxxxx, will be fully responsible and liable for what you copy, share, upload, download or otherwise use while using the Services. You must not upload spyware or any other malicious software to the Service. You, and not xxxxxx, are responsible for maintaining and protecting all of your files. Xxxxxx will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files. If your contact information, or other information related to your account, changes, you must notify us promptly and keep your information current. ICT SECURITY E PMI
Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. ICT SECURITY E PMI
Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza aziendale Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! ICT SECURITY E PMI
Information Gathering Attività passiva: Information gathering passive o OSINT (Open Source Intelligence) è la modalità di raccolta informazioni tenendo nascosta la propria identità. Attività attiva: Raccolta di informazioni sull’organizzazione attraverso IDS o log di servizi BUSINESS ICT SECURITY E PMI INFRASTRUCTURE
Social Engineering Phishing Baiting Pretexting Phisical La maggior parte delle persone quando pubblica qualcosa sul WEB o meglio sui Social network non pensa a quanto queste informazioni possano essere potenzialmente dannose ICT SECURITY E PMI
Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco ICT SECURITY E PMI

Empfohlen

Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 

Empfohlen

Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per ManagerLivia Francesca Caruso
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityProf Web
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 

Weitere ähnliche Inhalte

Was ist angesagt?

La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Patrick1201
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 

Was ist angesagt? (11)

La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)Cybersecurity ed attacchi hacker (2)
Cybersecurity ed attacchi hacker (2)
 
Cyber Security Awareness per Manager
Cyber Security Awareness per ManagerCyber Security Awareness per Manager
Cyber Security Awareness per Manager
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 

Ähnlich wie ICT SECURITY E PMI - SMAU Milano 2013

Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityProf Web
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustVincenzo Calabrò
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011mircobova
 

Ähnlich wie ICT SECURITY E PMI - SMAU Milano 2013 (20)

Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Nuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it securityNuova ecdl modulo 5 it security
Nuova ecdl modulo 5 it security
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
Come Implementare Strategie Zero Trust
Come Implementare Strategie Zero TrustCome Implementare Strategie Zero Trust
Come Implementare Strategie Zero Trust
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
 

Mehr von Massimo Chirivì

Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Massimo Chirivì
 
DHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniDHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniMassimo Chirivì
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearMassimo Chirivì
 
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Massimo Chirivì
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014Massimo Chirivì
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroMassimo Chirivì
 
Adolescenti salentini e social network
Adolescenti salentini e social networkAdolescenti salentini e social network
Adolescenti salentini e social networkMassimo Chirivì
 

Mehr von Massimo Chirivì (11)

Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019
 
DHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioniDHCP Server Attack - Metodologie di attacco e soluzioni
DHCP Server Attack - Metodologie di attacco e soluzioni
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Social Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR YearSocial Engineering and other Foes in the GDPR Year
Social Engineering and other Foes in the GDPR Year
 
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...Carte di credito contactless: quali i rischi per la privacy e per il portaf...
Carte di credito contactless: quali i rischi per la privacy e per il portaf...
 
SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014SVILUPPO WEB E SICUREZZA NEL 2014
SVILUPPO WEB E SICUREZZA NEL 2014
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Il Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuroIl Cloud computing nel 2012 - il know aziendale è al sicuro
Il Cloud computing nel 2012 - il know aziendale è al sicuro
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSI
 
Adolescenti salentini e social network
Adolescenti salentini e social networkAdolescenti salentini e social network
Adolescenti salentini e social network
 
SMAU 2011 Bari
SMAU 2011 BariSMAU 2011 Bari
SMAU 2011 Bari
 

Kürzlich hochgeladen

Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 

Kürzlich hochgeladen (9)

Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 

ICT SECURITY E PMI - SMAU Milano 2013

  • 1. ICT SECURITY E PMI Proteggersi dal Cybercrime Massimo Chirivì ICT SECURITY E PMI
  • 2. Chi sono • • • • Dal 1988 con la passione dell’informatica Dal 1996 al servizio delle aziende per lavoro Dal 1998 al servizio della P.A. per il bene di tutti Dal 2010 in una delle più grandi aziende ICT d’Italia. Di cosa mi occupo - Information Security System Administrator Ethical Hacking Condividere è un dovere etico… La condivisione è conoscenza. ICT SECURITY E PMI
  • 3. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica AIPSI Capitolo Italiano di ISSA Oltre 10.000 esperti in tutto il mondo ICT SECURITY E PMI Associazione di singoli professionisti 200 soci in Italia
  • 4. AIPSI – Associazione Italiana Professionisti Sicurezza Informatica Obiettivi: • Organizzazione di forum educativi • Redazione di documenti e pubblicazioni specializzate • Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) • Riferimento per la ricerca di professionisti di sicurezza IT • Interazione con altre organizzazioni professionali • Rilascio di attestati e certificazioni specifiche ICT SECURITY E PMI
  • 5. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 6. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 7. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 8. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 9. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 10. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 11. Fonte: Verizon DBIR ICT SECURITY E PMI
  • 12. 2 MINUTI IN UN VIDEO ICT SECURITY E PMI
  • 13. Innalziamo il livello di sicurezza fisico – Passo 1 • • • • • • • • Sala CED chiusa a chiave Nomina responsabili Registro degli accessi Sistema Antincendio Sensori di temperatura Temperatura adeguata Apparati elettronici sollevati da terra Accessi protetti, no finestre a vetri ICT SECURITY E PMI REQUISITI MINIMI
  • 14. Innalziamo il livello di sicurezza logico – Passo 2 • • • • • • • • • • Policy sulle Password REQUISITI Gestione centralizzata tipo AD Log Management Monitoring Share Permission NTFS Permission Server adeguati (DFS, Rights Management Services) Backup Antivirus Firewall ICT SECURITY E PMI MINIMI
  • 15. Innalziamo il livello di sicurezza culturale – Passo 3 Massima attenzione ai dipendenti e collaboratori Il 100% delle informazioni aziendali in loro possesso è a rischio! Attività consapevole: Posta Elettronica – USB – CLOUD – Social Network Attività non consapevole: Telefono – Posta Elettronica - Social Network Social Engineering … tutto lavoro per il responsabile della sicurezza informatica ICT SECURITY E PMI
  • 16. Alcuni consigli: • • • • • • • Eliminare i dati superflui e tenere traccia dei dati presenti Verifica periodica e regolare di tutte le policy di sicurezza Analisi dei dati sugli incidenti di sicurezza Valutazione dei rischi costante e aggiornata Non sottovalutare mai gli avversari Aggiornamento costante delle tecnologie utilizzate Monitoraggio giornaliero di Backup, Antivirus, Firewall, Log Management Non fidatevi di soluzioni universali per proteggere l’azienda! ICT SECURITY E PMI
  • 18. Il Cloud è sicuro? Account Security You are responsible for safeguarding the password that you use to access the Services and you agree not to disclose your password to any third party. You are responsible for any activity using your account, whether or not you authorized that activity. You should immediately notify xxxxxx of any unauthorized use of your account. Your General Responsibilities Files and other content in the Services may be protected by intellectual property rights of others. Please do not copy, upload, download, or share files unless you have the right to do so. You, not xxxxxx, will be fully responsible and liable for what you copy, share, upload, download or otherwise use while using the Services. You must not upload spyware or any other malicious software to the Service. You, and not xxxxxx, are responsible for maintaining and protecting all of your files. Xxxxxx will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files. If your contact information, or other information related to your account, changes, you must notify us promptly and keep your information current. ICT SECURITY E PMI
  • 19. Ethical Hacking • Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati. • Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro. • Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici. • L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo. ICT SECURITY E PMI
  • 20. Information Gathering - Rappresenta la fase della raccolta di informazioni. Quante più ne abbiamo meglio valuteremo la sicurezza aziendale Quindi bisogna organizzare le informazioni in modo corretto. - E’ la fase più importante del penetration test. - Durante le fasi successive potrebbe servire qualsiasi particolare. NON CI SONO INFORMAZIONI NON NECESSARIE! ICT SECURITY E PMI
  • 21. Information Gathering Attività passiva: Information gathering passive o OSINT (Open Source Intelligence) è la modalità di raccolta informazioni tenendo nascosta la propria identità. Attività attiva: Raccolta di informazioni sull’organizzazione attraverso IDS o log di servizi BUSINESS ICT SECURITY E PMI INFRASTRUCTURE
  • 22. Social Engineering Phishing Baiting Pretexting Phisical La maggior parte delle persone quando pubblica qualcosa sul WEB o meglio sui Social network non pensa a quanto queste informazioni possano essere potenzialmente dannose ICT SECURITY E PMI
  • 23. Grazie per l’attenzione www.massimochirivi.net info@massimochirivi.net Facebook Skype: mchirivi Linkedin Sito smau – www.smau.it Sito AIPSI -- www.aipsi.org Studia, prova, amplia, ricerca, analizza, migliora … … condividi con gli altri anche tu … sempre con il cappello bianco ICT SECURITY E PMI