5 marzo 2016 1 La tutela del patrimonio informativo aziendale Lo scenario attuale.

Slides:



Advertisements
Presentazioni simili
Italiano Da quando siamo passati al corso di metallurgia (3^o ) abbiamo cominciato a lavorare utilizzando i maniera didattica tecnologie di tipo hardware.
Advertisements

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA
SERVIZIO POLIZIA POSTALE
INTERNET: RISCHI E PERICOLI
I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.
OA: nuovo modello organizzativo ed operativo delle Access Operations Area Roma, aprile 2012 PROPRIETARY & CONFIDENTIAL_FOR INTERNAL USE ONLY.
P. Oorts Paolo sees Giulia. Paolo = subject sees = verb Giulia = direct object He sees her. he = a subject pronoun (replaces a noun) her = a direct.
IDUL 2010 WEB 2.0. Internet, o della globalizzazione Internet è uno dei lati più importanti della globalizzazione del mondo. Nel momento in cui diventa.
IDUL 2011 Distribuzione delle risorse e WEB 2.0. Internet, o della globalizzazione Internet è uno dei lati più importanti della globalizzazione del mondo.
Tommaso Palumbo Servizio Polizia Postale e delle Comunicazioni
FORUM Mezzi di pagamento elettronici: la nuova frontiera delle frodi e dei crimini finanziari Conoscerli per prevenirli Centro Congressi Cavour 30 gennaio.
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
La sicurezza dei dispositivi mobili Consigli pratici su come mantenere al sicuro i vostri dispositivi mobili e i dati in essi.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni L’ICT Security Manager: ruolo, programma di formazione.
Il Passato Prossimo The Past Perfect Tense.
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
UNIVERSITA’ DEGLI STUDI DI PALERMO
Come nella stampa tradizionale, un giornale online può essere di informazione informazione o un periodico dedicato a una disciplina specifica.
La gestione del rischio clinico: approcci di sviluppo organizzativo Le opportunità del SSI Milano, 26 ottobre 2012.
Servizio Polizia Postale e delle Comunicazioni
Algiusmi – 16 aprile 2014 ITALY-CHINA BUSINESS MEDIATION CENTER.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
Il pericolo riguarda due terzi dei siti mondiali. Sì, perché è appena saltato fuori un bug, chiamato Heartbleed, in uno dei sistemi più utilizzati per.
Profilo professionale
Imagine.
WP4 – Software Infrastructures. How it was Overall goal “The outcome of WP4 is the design, implementation and evaluation of software components that will.
IDUL 2013  Distribuzione delle risorse e WEB 2.0.
Giovanni Biondi ICT e trasformazione della Scuola.
1 Sicurezza Informatica CHI e/o CHE COSA RIGUARDA ? PC ( vai  SICURpc ) ( SICURutente  vai ) UTENTE WEBWEB (hacker o cracker) WEB.
PINK FLOYD DOGS You gotta be crazy, you gotta have a real need. You gotta sleep on your toes. And when you're on the street. You gotta be able to pick.
Adolfo Bertani Presidente Cineas Politecnico di Milano, 06 novembre 2014 Inaugurazione Anno Accademico Cineas Anno Accademico Cineas2014/2015 Per una.
Il Calendario.
G. Martellotti Roma RRB 16 Aprile Presentazione M&O cat A (per LHCb i M&O cat B sono gestiti autonomamente e non sono scrutinati fino al 2005/2006)
La convergenza digitale Torino, 29 novembre 2005 Claudio Inguaggiato.
Taccani1 7.4 Identification ANALISI DEI PERICOLI Hazard Analysis Identificazione Valutazione Misure di Controllo Control Measures Assessment.
Azione esterna dell’Unione europea – Come rafforzare il ruolo dell’Europa Elisabetta Capannelli, Commissione Europea
Corso di Statistica e Gestione delle Imprese Insegnamento: MARKETING Docente: Roberto Grandinetti Università di Padova Cap. 2 - Dal marketing di massa.
La didattica della matematica e le prove invalsi
1a. Digital evangelization: a social event. 1b. Evangelizing the digital continent Web 2.0 user-generated Social network peer-to-peer one-to-many many-to-manyweblog.
Viruses.
Oggi è il quindici aprile LO SCOPO: Impariamo ad usare i pronomi tonici. FATE ADESSO: Study for 5 minutes.
Each student will be able to ask an adult or stranger: What do you like to do? and What don’t you like to …?
MyEconLab_Univerità degli studi di Milano, corso Prof.ssa Valentina Raimondi How to Access MyEconLab 1.
Gestione trasferte SAP Best Practices. ©2013 SAP AG. All rights reserved.2 Finalità, vantaggi e passi fondamentali del processo Finalità  Fornire una.
PAST SIMPLE O PRESENT PERFECT?
Sicurezza e attacchi informatici
Relative pronouns Forms and uses. Relative pronouns Uses and functions of the relative CHI Translates he who, she who, those who, everybody who Does not.
Cloud SIA V anno.
ECDL European Computer Driving Licence
1. Raul e Leo e…… una sola palla Raul and Leo……… 2.
Websense Confidential DATA SECURITY SUITE Come Proteggere I Vostri Dati Dalla Fuga Di Informazioni.
Hacker ed i Social Network
IL SISTEMA BANCARIO E FINANZIARIO
7 marzo Tutela del patrimonio informativo aziendale Come tutelare l’azienda dalla perdita di informazioni e dallo spionaggio industriale.
9 marzo Monitoraggio e controllo Il contesto normativo.
A.S Digiaro Antonio Classe 3°A I.T.E. Tutor aziendale: Adriano Fortinelli Tutor scolastico: Angela Ferrari.
Buon giorno, ragazzi oggi è il quattro aprile duemilasedici.
R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna dicembre
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
21 giugno Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.
ORGANISATION OF THE EDUCATION SYSTEM IN ITALY 2010/2011.
RIUNIONE DEI PRESIDENTI DELLE COMMISSIONI COMPETENTI IN MATERIA DI OCCUPAZIONE, RICERCA E INNOVAZIONE Roma, novembre 2014 Camera dei deputati (Palazzo.
27 giugno Il patrimonio informativo Data Loss Prevention Come tutelare l’azienda dalla fuga di notizie e dallo spionaggio industriale.
1 luglio Application Security Database Protection.
Ninux.org OpenCamp Traditional Network Infrastructure: commercial wireless access Big operators –GPRS  UMTS  HSDPA “small”
Do You Want To Pass Actual Exam in 1 st Attempt?.
Prof. Stefano Zambon Università di Ferrara e WICI
Cyber Safety.
Transcript della presentazione:

5 marzo La tutela del patrimonio informativo aziendale Lo scenario attuale

Cosa può causare? 05/03/2016 2

Ma dove siamo arrivati!!! 5 marzo The Economist del 24 Aprile 2008 Crime as a Service (CaaS) “Criminal attacks are moving upmarket—they're now real businesses,” says Bruce Schneier Criminals are moving from selling data/exploits to selling services (via botnet) Flooding a web site spamming Infection with malware Just as companies that adopt SaaS no longer need armies of support technicians; criminals using CaaS no longer need to be hackers Examples: Neosploit and 76service Renting a website that distributes malware to personal computers costs a few cents per target machine; access to a computer infected with software that grabs personal information (such as credit-card details) can cost $1,000 or more a month.

Casi recentissimi Hongkong & Shanghai Banking Corporation (HSBC), la più grande banca inglese Perso hard disk da un corriere: informazioni personali e relativi alla polizza vita di 370,000 persone Governo UK Perso 2 CD contenenti dettagli di 25m di records relativi a sgravi fiscali Royal Bank of Scotland Venduto PC usato su e-Bay contenente 1m di clienti (dati personali e di carte di credito) Best Western (Agosto 2008) Falla o trojan sul PC delle prenotazioni in reception ha permesso ad un hacker indiano di rubare i dati di 8m di clienti (dati personali e di carte di credito) 5 marzo

Arrivano multe cospicue 5 marzo Financial Times del 28 Aprile 2008 The Financial Services Authority (FSA) has taken action against companies that have lost data Norwich Union, the insurer, was fined £1.26m in December for not having effective controls in place, enabling fraudsters to get hold of customers' details and cash in £3.3m of policies Nationwide, the building society, was fined £980,000 by the FSA for lapses in information security procedures after a laptop containing sensitive customer information was stolen from an employee's home Recent research from the US-based Ponemon Institute estimated that data loss cost British companies £47 for each record, with the average cost per case being £1.4m

Spionaggio militare/governativo Financial Times del 12 Marzo 2008 US military raises alarm on cyber attacks Kevin Chilton (general for cyber operations): “You worry about activities from an individual to an organisation like al-Qaeda to a nation state” The Pentagon has become especially sensitive to the growing threat from cyberspace since last June, when hackers successfully penetrated and stole data from the unclassified network serving Robert Gates, the US defence secretary Privately, US cyber experts admit that the US has long had the ability to attack – and steal – information from foreign government computer networks. Their concerns are that China and Russia are developing the same capabilities 5 marzo

Malware in aumento Rapporto Gdata del 7 Febbraio 2008 Il furto di dati e reti “Bot” ha occupato i titoli dei giornali nel 2007 Malware aumentato del 338,6% Principale interesse: furto dati e spionaggio Esempio citato: violente manifestazioni aventi protagonisti russi ed estoni sfociarono, attraverso le reti “Bot”, in attacchi di tipo Distributed Denial of Service su numerosi siti web di ministeri, funzionari governativi, banche, giornali e imprese 5 marzo

Spionaggio alle corporates Financial Times del 01 Dicembre 2007 US military raises alarm on cyber attacks The director-general of MI5 (Jonathan Evans) has warned banks and financial services companies that commercially sensitive information is at risk of being compromised by Chinese computer hacking The decision to send a letter to private companies appears to be an attempt to emphasise that it is not only government computers at risk from Chinese hackers, but those from the private sector too They do not only use traditional methods to collect intelligence but increasingly deploy sophisticated technical attacks, using the internet to penetrate computer networks 5 marzo

Sottrazione di informazioni La Repubblica del 01 Dicembre 2007 Il sistema economico britannico a forte rischio di cyber spionaggio A rivelarlo sono i servizi segreti di Sua Maestà, secondo cui gli hacker cinesi su mandato di "organizzazioni statali" di Pechino si infiltrano nella rete per sottrarre informazioni dai database di grande banche, importanti società o studi legali "Le aziende britanniche - prosegue la nota - che operano in Cina sono guardate a vista dall'esercito cinese che usa Internet per appropriarsi di informazioni commerciali confidenziali“ Dopo gli Usa e la Francia anche la Gran Bretagna entra quindi nel mirino degli hacker cinesi 5 marzo

Furti di know-how Il Sole24Ore del 28 Ottobre 2007 Spiate 4 aziende su 10 Società vittime di frodi industriali e l’Italia detiene il primato per il numero di reati in materia di proprietà intellettuale… furti di intellectual properties all’ordine del giorno… Una tra le cause principali di rischio è la mancanza di fedeltà all’azienda con cui si hanno rapporti di lavoro. 80% del settore finanziario è vittima di violazioni delle regole di governance, di frodi finanziarie interne, di attacchi informatici. Il 23% di queste violazioni sono attentati alla proprietà intellettuale 5 marzo

Il fattore umano Il Sole24Ore del 28 Ottobre 2007 Il fattore umano è la prima causa di violazione dei sistemi In certi casi e per certe situazioni la tecnologia non può fare nulla Dischi esterni, pendrive e palmari aumentano il rischio dell’azienda, diminuiscono la difficoltà di compimento del reato, diminuiscono le possibilità di rilevamento Il 47% delle aziende manifatturiere italiane hanno subito furti di proprietà intellettuale Un illecito è spesso commesso da parte di qualcuno che ha la ragionevole certezza di farla franca, ergo, una della cause per le attività di spionaggio è la totale assenza di procedure e meccanismi di auditing che consentano, a fronte d un incidente, di poterlo ricostruire individuandone il responsabile 5 marzo

Computer Crime Trend Fonte: Computer Security Institute – Security Survey 2007 Perdite medie riportate rispetto al 2006: +108% Il 18% del totale è dovuto a malware Le frodi finanziarie sorpassano gli attacchi virus in termini di perdite finanziarie. Se si unisse in una sola categoria tutte le perdite di dati (customer e proprietary), quest’ultima sarebbe al secondo posto. Le azioni di penetration da outsiders sono al quarto posto. L’abuso interno della rete e della posta ha superato la problematica dei virus in termini di “types of attacks or misuse” La percentuale delle organizzazioni che hanno denunciato intrusioni agli enti preposti è passata dal 25% al 29% Budget IT speso per Awareness Training: <1% per il 48% delle organizzazioni Tecniche utilizzate per valutare l’efficacia delle tecnologie di sicurezza implementate: 63% mediante security audits compiute da staff interno 5 marzo

Alcuni casi (1) TJX Companies (denunciato il 17 Gennaio 2007) Più di 45 milioni di records (carte di credito) rubati da hackers (outsiders) sfruttando una debolezza del sistema wireless. Visa (denunciato il 19 Giugno 2005) Milioni di carte di credito rubate da hackers (outsiders) mediante la compromissione del sistema di gestione delle carte CardSystem. Corriere della Sera del 23 Ottobre 2007 La casa automobilistica Great Wall Motor replica alle accuse di Torino: non abbiamo copiato la Panda. La Repubblica del 26 Aprile 2006 In Cina copiano anche le Ferrari. Sequestrata una rara 330 P4. E questo si aggiunge alla nota vicenda che ha visto coinvolta la McLaren (insiders) 5 marzo

Alcuni casi (2) La Gazzetta dello Sport dell’08 Novembre 2007 La Renault è stata accusata di essere entrata in possesso, senza autorizzazione, di progetti e informazioni confidenziali appartenenti alla McLaren-Mercedes“ (insiders) Il Corriere della Sera del 9 Settembre 2007 Fuga di notizie (insiders) sui test, pubblico ministero all’università (plichi a Catanzaro, voti sospetti al sud) La Repubblica del 22 Giugno 2007 La polizia postale indaghi sulla fuga di notizie (insiders) avvenuta ieri durante la seconda prova degli esami di maturità: lo chiede il Codacons. La Repubblica del 15 Ottobre 2007 Fuga di notizie riservate verso boss di Cosa Nostra (insiders) La repubblica del 26 Settembre 2007 Caos arbitri dopo la fuga di notizie (insiders): il designatore Collina cambia la terna arbitrale 5 marzo

Tipologie di utenti e comportamenti (fonte Forrester) Utente “zero-knowledge” Peccano di ingenuità Non conoscono le policy e le normative Utente “gadget-maniac” Utilizzatore della tecnologia e dei supporti esterni Tester di software e soluzioni Chat, blog, p2p, voip Utente “giocherellone” Non utilizza gli strumenti aziendali come dovrebbe Scarica musica, film e giochi Utente “spia-calimero” Fuga di notizie fraudolenta Accesso fisico-logico ad aree a lui non consentite L’ 80-90% della perdita di informazioni è accidentale e non Intenzionale (Gartner) 5 marzo

Sintesi e statistiche (1) 5 marzo

Sintesi e statistiche (2) 5 marzo

La sfida di oggi: DLP 5 marzo

Temi di discussione La situazione italiana Esperienze sull’argomento Consapevolezza del top management E’ un problema dell’IT? Insiders, outsiders o partners 5 marzo