SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.

Slides:



Advertisements
Presentazioni simili
Presentazione presso AIEA Milano, 12 Ottobre 2001 Esperienze pratiche delluso di Cobit in ambiente bancario EUROS Consulting.
Advertisements

SIVADIS BOLOGNA - Bongiovanni / Facchini Autovalutazione di Istituto II. Una possibile procedura.
Informatica e Telecomunicazioni
Commissione Europea PROGRAMMA URB - AL EUROPA - AMERICA LATINA RETE 14 SICUREZZA URBANA NELLE CITTA.
La Programmazione dei Fondi Comunitari
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
NESSUS.
TECHNICAL COMPETENCES
Perché lo vogliamo fare: Impianti metodologici finora oggettivamente limitati Perché lo vogliamo fare: Impianti metodologici finora oggettivamente limitati.
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
MAIS WP5 – Architectures Luca Negri Politecnico di Milano Roma – novembre 05.
L’Activity Based Management
Area: la gestione dei progetti complessi
Le fasi della progettazione strutturale delle costruzioni esistenti
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
FONDAMENTI DI INFORMATICA III A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2.3 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO.
Lesplosione del social tagging apre straordinarie potenzialità per la condivisione sociale di risorse, informazioni e conoscenze.
Progettare interventi di orientamento Linee guida e suggerimenti operativi.
Pronti o no, arriva il 2000 Pier Carlo Rapetti. Contingency Planning n Cosè essenziale per: il primo giorno dellanno? La prima settimana? n Non dimentichiamo:
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
INTEGRAZIONE, RILASCIO
III Convegno Nazionale
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
Lesperienza della Università degli Studi di Milano Progetto suddiviso in due fasi principali: Raccolta Informazioni rilevazione delle tipologie dei dati,
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
29 aprile 2005 Presentazione Integrazione di Competenze 1.
COME PREPARARE LOFFERTA. La raccolta delle informazioni Prima di predisporre la proposta economica è necessario avere tutte le informazioni utili alla.
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
Un Piano Strategico per lo Sviluppo dei Sistemi ITS in Italia ROMA 13 Dicembre 2007 Prof. Giovanni Tesoriere I SISTEMI ITS A SUPPORTO DELLE POLITICHE SULLA.
Creare un progetto PBL In che modo si può implementare un progetto PBL? È necessario innanzitutto: che l’insegnante lavori in maniera strutturata, ovvero.
Partner Citrix da sempre, XTT svolge servizi professionali altamente qualificati nell’ambito della centralizzazione delle applicazioni, con particolare.
FESR Trinacria Grid Virtual Laboratory ADAT (Archivi Digitali Antico Testo) Salvatore Scifo TRIGRID Second TriGrid Checkpoint Meeting Catania,
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
RISK MANAGEMENT NELLA LOGISTICA
Safety Road Tool TEMA Sicurezza Stradale PROSPETTIVA Gestione e manutenzion e stradale OBIETTIVO Metodologia operativa per analisi rete stradale TECNOLOGIE.
RUO – Sviluppo Organizzativo e Pianificazione 10 Marzo 2010 Aree Territoriali Controllo Interno.
Capitolo 8 La gestione di rete
Il profilo di salute della scuola
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Progettazione di basi di dati: metodologie e modelli
ANALISI DEGLI OSTACOLI AL CAMBIAMENTO Donato Verducci.
Sicurezza e attacchi informatici
30 agosto Progetto Quarantena Gateway Security Appliance.
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Business Continuity Come andare in On-Line con serenità Trento, 11 novembre 2004 Autore: C. Mascarello (11/11/2004)
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con ver 2.1 SEI – Sistemi di Esercizio Infrastrutturale.
Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
12 dicembre Benvenuti. 12 dicembre Application Security Live demo sulla sicurezza applicativa.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con SEI – Sistemi di Esercizio Infrastrutturale.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Roma, 15 gennaio 2016 Le principali evidenze emerse Giancarlo Capitani – Presidente NetConsulting cube.
Gruppo ITAS Servizio Elaborazione Dati IAM. Gruppo ITAS Servizio Elaborazione Dati IAM ITAS e IAM Obiettivi  identity management (primario)  access.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Laboratorio Valutazione in Promozione della Salute Torino, 23 novembre 2006 Pillola Formativa La “sostenibilità” di un programma di promozione della salute.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
Interazione Persona Computer prova di progetto Gruppo: IO Componenti: Carlo Solimando Sito analizzato:
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
Open City Platform: i primi risultati Riunione CCR, 16 settembre 2015 Luciano Gaido.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
P. Morettini. Organizzazione della CCR Le principali attività della CCR consistono da un lato nell’assegnazione di fondi per le infrastrutture di rete.
FatIn: Fatturazione Interventi Applicazione di facile utilizzo che permette la prenotazione, la gestione e la fatturazione di interventi e prestazioni.
ISMB – DENERG FORMAZIONE III LIVELLO 2013 Strategic Programs.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
1 luglio Application Security Database Protection.
Vulnerability Assessment
Transcript della presentazione:

SARA Assicurazioni Proposta di VA

Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire un Security Plan  Ottenere un sistema scritto di procedure di sicurezza  Obiettivo:  Studio della sicurezza  Analisi delle procedure di sicurezza esistenti  Individuazione di un piano strategico  Effetti correlati:  Focalizzazione sugli aspetti di sicurezza effettivamente essenziali  Evidenza al management delle reali necessità di sicurezza

Proposta  Proposta: VA tecnico-procedurale  Obiettivi:  Analizzare lo stato attuale  Evidenziare carenze e punti di debolezza  Stilare una scala di priorità  Metodologia:  Step 1: analisi dell’esistente  Step 2: assessment tecnico  Step 3: taratura e contestualizzazione  Step 4: Strategie –Piano di fixing –Piano di sicurezza –Piano delle procedure –Piano di analisi approfondita Fase 1 Fase 2 (non obbligatoria)

Ambiente di riferimento

Le attività previste  Vulnerability Assessment atto a identificare tutte le attività, lecite o illecite, permesse alle varie tipologie di utenti  Vulnerability Assessment atto a identificare tutte le vulnerabilità presenti a livello di:  reti e sistemi (esterni ed interni rispetto alla Server Farm)  applicazioni (esterne ed interne rispetto alla Server Farm)  Analisi dei sistemi di sicurezza attualmente in funzione  Revisione di tutte le procedure di sicurezza attualmente in essere

La metodologia Documentazione

Assessment di rete  Analisi della topologia e dell’architettura di rete  Identificazione delle vulnerabilità di reti e sistemi  Test di penetrazione  Primo stadio –FOOTPRINTING –SCANNING  Secondo Stadio –ENUMERATION –GAINING ACCESS –ESCALATION PRIVILEGES –CONSOLIDAMENTO e BACKDOORS

Assessment applicativo  Analisi dell’architettura applicativa  Test di penetrazione in base alle tecnologie di attacco esistenti  Cross-site scripting  Parameter tampering  Hidden field manipulation  SQL injection  Backdoors e opzioni di debug  Stealth commanding  Forceful browsing  Buffer overflow  Cookie poisoning  Configurazioni errate  Vulnerabilità note  Attacchi http

Analisi procedure di sicurezza  Identificazione delle vulnerabilità legate agli aspetti organizzativi/procedurali in merito alle procedure di sicurezza attualmente in essere  Backup/restore e disaster recovery  Hardening dei sistemi e patching  Password management  Authentication, authorization, accounting (AAA)  Controllo del traffico e del contenuto  Monitoring e Auditing  Gestione della posta elettronica  Testing

Tempistiche