SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Torino 2016 - Marco Bozzetti, AIPSI
1. Cyber crime in Italia: analisi del
fenomeno dal Rapporto OAD 2016
Marco R.A. Bozzetti
Presidente AIPSI
CEO Malabo Srl
Ideatore e curatore OAD
.
2. 2
AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• http://www.aipsi.org/
• Capitolo italiano di ISSA, Information Systems Security Association,
(www.issa.org)
• >>10.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT
• ISSA Journal, Webinar, Conferenze, …
• AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i
professionisti della sicurezza, sia dipendenti sia liberi professionisti ed
imprenditori del settore
• Primari obiettivi AIPSI
• Aiutare i propri Soci nella crescita professionale e quindi del loro business
• offrire ai propri Soci qualificati servizi per tale crescita
• diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli
utenti digitali,
• Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce
• Collaborazione con varie associazioni ICT ed Enti per eventi ed iniziative
congiunte: AICA, Anorc, i vari ClubTI sul territorio, CSA Italy, FidaInform, Inforav,
Polizia Postale, Smau, ecc.
3. OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)
• Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori: il
Rapporto annuale non ha stretta validità statistica ma fornisce chiare e
valide indicazioni sulla situazione e sul trend in Italia, basilari per
un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
– Fornire informazioni sulla reale situazione degli attacchi informatici in
Italia
– Contribuire alla creazione di una cultura della sicurezza informatica in
Italia
– Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
– Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende
– Gruppo OAI su Linked
• Come
– Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
– Stretto anonimato sui rispondenti al questionario on line via web
– Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
3
5. 5
Rapporto 2016 OAD
• In corso di completamento, sarà
pubblicato entro la fine di luglio
2016
• Workshop-conferenza stampa di
presentazione dei risultati entro
la fine di luglio 2016 (giovedì
21/7 pv nel pomeriggio ???)
• Chi fosse interessato a riceverlo
mi lasci il suo biglietto da vista
con email. Gli verrà inviato il
codice coupon per scaricare
(gratuitamente) il Rapporto OAD
2016
8. 8
Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte, multiple o
singola, da selezionare con un click tra quelle predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di Malabo,
di NextValue, dei Patrocinatori
• 294 rispondenti in totale
9. 9
Tassonomia degli attacchi considerati
• Attacchi fisici.
• Furto di apparati
• Furto di informazioni e loro uso illegale da dispositivi mobili Furto di
informazioni e loro uso illegale da dispositivi non mobili
• Attacchi di Social Engineering e di Phishing
• Ricatti sulla continuità operativa e sull’integrità dei dati del sistema
informativo
• Accesso a e uso non autorizzato degli elaboratori, delle applicazioni
supportate e delle relative informazioni
• Modifiche non autorizzate ai programmi applicativi e di sistema, alle
configurazioni ecc.
• Modifiche non autorizzate ai dati e alle informazioni trattate
• Utilizzo vulnerabilità del codice software
• Codici maligni (malware) Attacchi per la saturazione di risorse ICT
• Attacchi alle reti, fisse o wireless, e ai DNS
• Attacchi mirati (targeted) e APT, Advanced Persistent Threats,
17. • La sicurezza dell’ICT è un elemento chiave per:
– garantire la continuità operativa dell’Azienda o dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un asset e
come tali vanno protette
• garantire la compliance alle varie normative e certificazioni
Sicurezza digitale … non solo un problema tecnico
19. 19
19
• Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono
non essere sufficienti per individuare e contrastare attacchi come TA e APT
– ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale,
fuzzy logic, statistica bayesiana, ecc.
– Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni),
del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla “normale”
media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
Le misure tecniche
20. 20
20
Le misure organizzative
• Non sono burocrazia
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali
ed internazionali
• Includono:
– Chiara e pubblica definizione di ruoli e competenze
• separazione dei ruoli (SoD, Separation of Duties) matrici RACI
– Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
– Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
– Radiazione dei sistemi obsoleti
– Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)
Nuovo
regolamento
europeo sulla
privacy
21. 21
L’effettiva sicurezza ICT dipende da come viene gestita
• Sia dal punto di vista tecnico
– Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
– Deve essere gestita internamente
– Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate:
Famiglia ISO 27000, Cobit 5 (4.1- DS5) , ITIL v.3, ecc.
22. 22
Come scegliere fornitori e consulenti realmente competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti
della sicurezza digitale (e/o dell’intero loro sistema informatico)
Le certificazioni professionali sono uno degli strumenti a livello sia di singola
persona sia di azienda/ente.
Ma ne esistono molte, quali sono quelle di riferimento e realmente affidabili?
23. 23
23
• D. Lgs. 16 gennaio 2013, n. 13
– Art. 3 Sistema nazionale di certificazione delle competenze
– Art. 17 Riordino della formazione professionale
• UNI 11506: Attività professionali non regolamentate - Figure professionali
operanti nel settore ICT - Definizione dei requisiti di conoscenza, abilità e
competenze
– In vigore
Da professionista a Professionista Certificato
EUCIP
e-CF
3.0
UNI
11506
e-CFPlus
(AICA)
24. 24
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
– ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
– può valorizzare alcune altre certificazioni indipendenti
– si basa sulla provata esperienza maturata sul campo dal
professionista
– qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella
sua vita professionale (e non solo per aver seguito un corso e
superato un esame)
Perché fare riferimento alle certificazioni eCF?
25. 25
Le esperienze «provate»
• Un duplice non banale impegno: l’analisi e la verifica (lato commissario) delle esperienze
maturate, documentate dall’esaminato:
• Lato commissario:
– Analisi della documentazione fornita rispetto al Syllabus delle competenze
ed al loro grado di approfondimento
– Verifica di tali competenze nel colloquio
– non farsi condizionare dalla persona, ma valutare serenamente le effettive
competenze maturate
• Lato esaminato:
– Scelta delle prove (es progetti) che comprovino il livello di competenza sui
vari temi
• Basilare lo scambio di idee e l’allineamento tra i componenti della Commissione d’esame
26. 26
Ulteriori considerazioni
• La logica e l’approccio eCF penalizza i giovani?
• Certificazioni eCF di fatto con qualità e valenze diverse a secondo delle
modalità di attuazione della certificazione?
– eCFPlus di AICA
• La multi-disciplinarietà della sicurezza digitale
• La certificazione eCFPlus per la reale qualificazione del professionista è un
elemento basilare nell’ambito degli obiettivi di AIPSI per la crescita
professionale dei suoi Soci
– In tale ottica, in collaborazione con AICA , AIPSI sta programmando un
insieme modulare di corsi, anche in e-learning, focalizzati a
migliorare/approfondire specifiche competenze della sicurezza digitale
27. 27
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete
europea di ricerca (tipo ARPA) a commutazione di pacchetto
• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network Environment, e
comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel
Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants
• 1987-91 fondatore e Partner Ibimaint System Engineers
• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza
• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET
• 1995-2000 CIO Gruppo ENI
• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab
• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
Marco R.A. Bozzetti
• FTI, Forum delle Tecnologie dell’Informazione (Fondatore)
• EITO, European Information Technology Observatory ( Co-ideatore e
Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni Professionali di
Information Management (Past President)
• AIPSI-ISSA (Presidente)