5 marzo 2016 1 Come affrontare il problema Contromisure organizzative e tecnologiche.

Slides:



Advertisements
Presentazioni simili
Fabio Comini Ikon Corp La progettazione industriale e la sua tutela
Advertisements

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
Linguaggi di programmazione
Provvedimento Garante Privacy GRUPPO TELECOM ITALIA Provvedimento del emesso dal Garante Privacy Sicurezza dei dati di traffico telefonico.
3A Informatica A.s
Informatica e Telecomunicazioni
L’offerta di prodotti di Sicurezza e la roadmap evolutiva
Aula Levi, Roma 10 settembre 2012
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
La SistanCommunity Presentazione Portale del Sistan - LA RETE E IL TERRITORIO Luciano Fanfoni | Istat.
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
Palermo, 19 ottobre 2005 Progetto Governance Progetto Pilota Regione Siciliana Kick Off.
Sicurezza e Policy in Active Directory
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Politiche e programmi europei per la sicurezza e la lotta alla criminalità Rimini 5 dicembre 2006.
Le strategie di collaborazione
Tipo Documento: unità didattica 1 Modulo 14 Compilatore: Antonella Bolzoni Supervisore: Data emissione: Release: Indice: A.Scheda informativa B.Introduzione.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
SISTEMI DI GESTIONE DELLA SALUTE E DELLA SICUREZZA SUL LAVORO (SGSL)
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
Struttura dei sistemi operativi (panoramica)
g.contardi1 EVOLUZIONE INDICE SBN Uninfrastruttura per i servizi catalografici.
Il servizio tra tradizione e prospettive future. Il complesso delle risorse umane, finanziarie, documentarie che la biblioteca può mettere a disposizione.
Reti di Calcolatori L-S Un Sistema Decentrato di Allocazione del Carico per Applicazioni di Calcolo Distribuito Mauro Bampo.
Distributed File System Service Dario Agostinone.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
PROGETTO SECURITY ROOM
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Norman SecureBox Sincronizza * Archivia * Condividi * Collabora Archiviazione sicura su cloud per imprese.
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
PON LEW - SAL III Autostrade Tech S.p.A. Funzionalità Sistema
Un problema importante
© 2012 Giorgio Porcu – Aggiornamennto 29/01/2012 C OLLABORAZIONE Excel Avanzato.
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.
Salotto MIX 2014 "La sicurezza di Internet in Italia: rischi, resilienza e fragilità" Milano, 25 Novembre 2014.
- Direzione Interregionale per il Lazio e l’Abruzzo –
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Gestione Sicura dei Dati
Tipo Documento: unità didattica 1 Modulo 14 Compilatore: Antonella Bolzoni Supervisore: Data emissione: Release: Indice: A.Scheda informativa B.Introduzione.
30 agosto Progetto Quarantena Gateway Security Appliance.
Bologna, 3 aprile 2014 – A. Mura Da un sistema provinciale ad uno regionale Il SIRED L’esperienza della Sardegna Provincia di Nuoro Provincia di Oristano.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Le basi di dati.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
gestione dei prodotti fitosanitari in azienda e loro utilizzo
7 marzo Tutela del patrimonio informativo aziendale Come tutelare l’azienda dalla perdita di informazioni e dallo spionaggio industriale.
9 marzo Monitoraggio e controllo Il contesto normativo.
9 marzo Monitoraggio e controllo Il contesto normativo.
KSecurity Smart Safety La tecnologia al servizio della semplificazione e dell’efficienza.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
Referenti ICT1 Progetto di Formazione-Intervento® per i Referenti ICT Le linee di Piano.
21 giugno Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.
Elaborare una strategia di sviluppo locale con il Metodo Leader Regione Toscana Rete Nazionale per lo Sviluppo Rurale 30 giugno (Firenze Fiera - Piazza.
27 giugno Il patrimonio informativo Data Loss Prevention Come tutelare l’azienda dalla fuga di notizie e dallo spionaggio industriale.
Dott.ssa M. Assunta CECCAGNOLI
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

5 marzo Come affrontare il problema Contromisure organizzative e tecnologiche

Il percorso operativo da seguire 5 marzo Dati Analisi dei macrodati Analisi del rischio Outsiders Analisi delle minacce Diminuzione probabilità di accadimento Contromisure Insiders Analisi delle minacce Possibilità di investigazione e ricostruzione incidenti Inasprimento pena e sanzioni Contromisure Policy operative Utilizzo strumenti aziendali Definizione regole di accesso ed utilizzo dei dati Regolamentare i rapporti con partner e terzisti Policy organizzative Definizione e divulgazione controlli in essere Sensibilizzazio ne e formazione Relazioni sindacali

Analisi delle minacce completa 5 marzo

Copertura del ciclo di vita del dato 5 marzo

Le contromisure 5 marzo Contromisure volte a mitigare il rischio di sottrazione delle informazioni dall’esterno Contromisure volte a mitigare il rischio di sottrazione delle informazioni dall’interno Contromisure tecnologiche volte a contenere la possibilità di accesso e trattamento delle informazioni riservate Contromisure tecnologiche volte a supportare le attività investigative e di ricostruzione degli incidenti Contromisure organizzative volte a regolare l’uso delle tecnologie da parte delle utenze e le conseguenti attività di audit

Le contromisure tecnologiche per la DLP Protezione e controllo accessi al dato On-line Off-line (backup, caselle mail POP, file system locale, device esterni…) Cartaceo (cestini, armadi, scrivanie…) IRM (Information Rights Management) Filtraggio ed analisi del contenuto Sicurezza fisica Monitoraggio del traffico Monitoraggio delle attività Centralizzazione e controllo degli eventi 5 marzo

Le contromisure organizzative per la DLP (1) Definizione delle politiche di: accesso e manipolazione dei dati comportamento ed utilizzo dei dati Definizione delle procedure di: monitoraggio delle attività conservazione degli eventi controllo degli eventi Divulgazione ai fruitori delle: norme di utilizzo dei dati norme di utilizzo degli strumenti aziendali esistenza e modalità di effettuazione dei controlli 5 marzo

Le contromisure organizzative per la DLP (2) Definire opportune procedure di audit periodico dinamicità degli strumenti dinamicità delle politiche e dell’utenza dinamicità dei meccanismi di controllo modifica della classificazione dei dati Impostare norme contrattuali, leve politiche e di etica per la gestione dei partners e dei terzisti Impostare un dialogo ed un approccio condiviso con la rappresentanza sindacale 5 marzo

La attuale tecnologia DLP (1) 1. Data analysis & inventory Classificazione dei dati e politiche di accesso Localizzazione e movimento dei dati Data fingerprinting 2. Ciclo di vita del dato Gestione del dato: creazione, modifica, cancellazione, rimozione Strumenti utilizzati per l’accesso alle informazioni Modalità di utilizzo e scambio del dato 3. Politiche di controllo e reaction Definizione delle security policies Monitoraggio real-time dell’utilizzo del dato Tracciamento e ricostruzione 5 marzo

La attuale tecnologia DLP (2) DATA IN MOTION CED ► Strumenti utilizzati ► Controllo del ciclo di vita del dato Network ► Monitoraggio del traffico real-time ► Protocolli utilizzati DATA AT REST Controllo dell’accesso al dato Crittografia DATA IN USE Definizione delle regole di comportamento sul dato Controllo dell’end-point Tempo di validità e di fruizione del dato 5 marzo

Tallone d’Achille 1. Difficile “garantire” la protezione dei dati critici aziendali a. Si agisce sull’aumento del rischio per chi commette l’illecito 2. Attenzione alla steganografia o simili 1. Si agisce sul monitoraggio delle attività e sulla conservazione degli eventi 5 marzo

Il decalogo della DLP 1. Quali sono i dati riservati? 2. Chi vi può accedere e con che strumenti? 3. Chi potrebbe essere l’outsider? 4. Chi potrebbe essere l’insider? 5. Come proteggermi dagli outsiders? 6. Come definire e regolamentare il rapporto con i partners/terzisti? 7. Come monitorare gli insiders? 8. Come definire e divulgare le mie politiche interne? 9. Come sensibilizzare e formare i miei dipendenti? 10. Come condurre il tracciamento e le analisi investigative? 5 marzo

Temi di discussione Importanza della tecnologia Adozione di contromisure tecnologiche volte al controllo dell’accesso e del trattamento tecnologiche volte alla investigazione e alla ricostruzione degli incidenti organizzative volte a regolare l’uso delle tecnologie e a informare sulle attività di audit 5 marzo

5 marzo