TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.

Slides:

Advertisements

Presentazioni simili

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Advertisements

Informatica e Telecomunicazioni

Proposta architettura sistema elearning

Sistema di gestione flussi documentali

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.

Progetto comunicazione interna Sede Provinciale Inpdap Trieste Realizzazione di un Portale web di sede che agevoli lo scambio di informazioni tra gli uffici.

Amministratore di sistema di Educazione&Scuola

PROGETTO SeT Fiuggi novembre 2001 Documentazione e Standard Tecnologici Commissione 2 Coordinatore : Massimo Faggioli.

CD ROM Library. Descrizione generale del sistema La soluzione di CD ROM Library sviluppata permette la condivisione di rete di CD ROM (qualunque numero)

Nuovi servizi per il personale

Il sito web di una casa editrice (consigli operativi)

World Wide Web (www) Unita logica tra servizi fisicamente distinti Semplicita di accesso alle informazioni (navigazione ipertestuale) Tanti soggetti concorrono.

Lautore e il ricercatore nellambiente digitale 2. edizione 12 aprile 2007 Introduzione al Portale AIRE A cura di Cristina Capodaglio (Biblioteca del Dipartimento.

Riorganizzazione Reclami

Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.

Wireless Authentication

Il circuito GuidaECO per il Metano

Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Modulo 1 - Hardware u.d. 3 (syllabus – 1.3.5)

System for Card MESSENGER Gestione Messaggi Presentazione.

1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.

SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.

Easy Library Project Nuove tecnologie per il documentalista ing. Pierluigi de Cosmo INFOLOGIC SRL SINM Lecce - 3 ottobre.

ECDL per TUTTI con I Simpson Azzurra & Silvia.

ECDL Patente europea del computer

Sistema per la gestione dei piani di assistenza domiciliare

RECON Acquisizione Parametri Monitoraggio Live da remoto

Brev. Dep. Tel: –

IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.

FESR Consorzio COMETA Giuseppe Andronico Industry Day Catania, 30 Giugno 2011 IaaS, PaaS e SaaS: cosa significano per le aziende.

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

CIOFS/FP Piemonte - CFP "M. Ausiliatrice" Alessandria © Laboratorio di Informatica Operativa CREARE UN SITO WEB: 1.PROGETTAZIONE 2.REALIZZAZIONE.

Inmagic Web Publisher ® Cenfor International Books presenta Rossella Welzel * electronic resources *

1 Il Servizio di Posta Elettronica Relatori Gianpiero Guerrieri Francesco Baldini S.C. Information and Communication Technology.

1Milano, 3 Novembre 2004Assemblea Nazionale FISM Un Nuovo Progetto!!! “IDENTIFICAZIONE DEI PROCESSI DIAGNOSTICO-TERAPEUTICI CRITICI” identificati Processi.

Ministero per i Beni e le Attività Culturali DIPARTIMENTO PER LA RICERCA, L’INNOVAZIONE E L’ORGANIZZAZIONE DIREZIONE GENERALE PER L’INNOVAZIONE TECNOLOGICA.

FERRERO Mangimi S.p.A.

Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.

Osservatorio regionale del commercio Sistema per il monitoraggio trimestrale delle strutture di vendita e degli esercizi di somministrazione di alimenti.

Comune di Spoleto La comunicazione come leva strategica per governare le amministrazioni e il cambiamento Forum P.A. Roma, 12 maggio 2004.

Aditech Life Acquisizione Parametri Monitoraggio Live da remoto

Integrazione con e /. Integrazione e/ - Banche24 Aggiornamenti previsti nel 2012 Sono previsti due momenti di rilascio per le funzionalità di integrazione.

TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.

Premessa 1 Eurovita è una compagnia di bancassicurazione, piattaforma aperta, indipendente e specializzata nella distribuzione di polizze tramite.

31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.

Progetto di Riuso BresciaGOV Presentazione progetto esecutivo Ultima modifica Luglio 2009.

Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,

Analisi di sicurezza della postazione PIC operativa

Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.

Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.

Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Alessandria,

PROGETTO “Insieme nel Quartiere” dedicato al Vigile di Quartiere Nicolò Savarino Modello “MILANO” 13 Febbraio 2012 Unità Centrale Vigili di Quartiere.

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.

Servizi portanti di adeguamento e diffusione del protocollo informatico Calliope a tutte le articolazioni del Ministero della Giustizia #1Messa in sicurezza.

Risultati Leapfrog IP per una comunicazione sicura e affidabile Cristiano Novelli ENEA, XML-Lab.

IL CATALOGO DI MODULI FORMATIVI PROFESSIONALIZZANTI Aggiornamento Provincia di Genova Direzione Politiche Formative e del Lavoro Giancarlo Sintoni.

TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.

SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.

Il team Insegnare e apprendere nel web 2.0 La cassetta degli attrezzi PROJECT WORK GRUPPO RIGEL La tutor Maria Rita Biagini.

Novembre 2009 SIGEC WEB – Presentazione Prototipo.

Netgroup (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Roma, Ottobre 2013.

Corso teorico-pratico e gara di programmazione Urbino settembre 2010 Svelato in anteprima ai corsisti il codice della nuova piattaforma multimediale.

Il Monitoraggio delle azioni di mobilità: finalità e strumenti La gestione delle azioni di mobilità Leonardo da Vinci Seminario Progetti Approvati Annualità.

23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.

Transcript della presentazione:

TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa Risk Analysis tecnica e Penetration Test relativi alle nuove funzionalità che si renderanno disponibili alle piattaforme di lavoro PIC operative 28 Ottobre 2008

3 Oggetto delle analisi Ambiente centrale   Già analizzato e certificato Funzionalità aggiuntive fruibili dalle postazioni PIC operative   Lettura della posta elettronica su caselle di posta interne (OWA)   Navigazione su alcuni portali applicativi interni (portale lineadiretta) Target   Delta architetturale e funzionale Obiettivo   Rilevare ed evidenziare eventuali punti critici di sicurezza presenti nell’introduzione di tali nuove funzionalità

Risk Analysis (1) 4 Approccio   Prettamente tecnologico   Aderente ai controlli ISO27001 Attività previste   A.1 - Verifica delle policy "rilassate" sulla PDL PIC   A.2 - Analisi della sicurezza della sistema di posta, in merito alle sole relazioni con la PDL PIC   A.3 - Analisi delle modalità di accesso ai siti web intranet da parte della PDL PIC   A.4 - Verifica regole su firewall, router e reverse proxy aggiunte da questo progetto   A.5 - Analisi dello stato di blindatura del reverse proxy   A.6 - Analisi dei flussi di comunicazione tra PDL PIC e reverse proxy

Risk Analysis (2) 5 Attività previste   A.7 - Valutazione delle minacce, analisi dei rischi tecnologici e valutazione quantitativa del rischio residuo   A.8 - Valutazione dei GAP rispetto ai controlli previsti dalla ISO27001 Delivery   Documento descrittivo delle attività eseguite, dei risultati ottenuti e delle azioni che eventualmente si consigliano di effettuare   Mitigazione del rischio qualitativa   GAP con i controlli ISO27001

Vulnerability Assessment 6 Approccio   Vulnerability Assessment in ambiente di esercizio Attività previste   B.1 - Raggiungibilità della VPN rossa (PDL PIC) dalla VPN Verde   B.2 - Test di effettiva copertura da malware della PDL PIC   B.3 - Vulnerability assessment del reverse proxy dalla LAN Accesso   B.4 - Vulnerability assessment del reverse proxy dalla LAN Front-end   B.5 - Raggiungibilità del sistema centrale attestandosi con portatile nella stessa rete della PDL PIC Delivery   Documento descrittivo delle attività eseguite, dei risultati ottenuti e delle azioni che eventualmente si consigliano di effettuare

Pianificazione e tempistiche 7 ElapsedConsegnaInizio attività Risk Analysis 20 giornate Seconda metà di Novembre Ottobre 2008 Vulnerability Assessment 15 giornate 3 settimane solari dall’inizio delle attività Appena terminati i lavori (dal 5 al 10 Novembre)

Gantt 8

Raccolta informazioni per l’attività di RA 9   A.1 - elenco policy di hardening (soprattutto quelle oggetto del delta)   A.2 - configurazione del server di posta in relazione ai client PDL PIC   A.3 - whitelist e tipologia di accesso e di applicativi web e flusso di dati   A.4 - regole di firewall, router e reverse inerenti il delta oggetto dello studio   A.5 - policy di hardening del reverse proxy e della piattaforma MS su cui gira   A.6 - flussi di comunicazione e scambio dati tra PDL PIC e reverse   A.7 - niente da richiedere   A.8 - interviste inerenti i controlli ISO e relativi al delta oggetto dello studio (controlli ISO non previsti precedentemente e controlli ISO già in essere)

Raccolta informazioni per l’attività di VA 10   B.1 - attestazione alla rete verde e lista della rete rossa per test di raggiungibilità   B.2 - affiancamento durante i test e creazione di un utente di test PDL PIC   B.3 - affiancamento per attestazione alla LAN Accesso   B.4 - affiancamento per attestazione alla LAN Front-End   B.5 - attestazione alla rete PIC e lista della rete centrale per test di raggiungibilità

Criticità 11   Di difficile valutazione in quanto strettamente dipendenti dalle attività progettuali in corso e quindi dai tempi di reperibilità delle informazioni   Forte dipendenza nella pianificazione dalle attività programmate per la realizzazione la messa in esercizio della soluzione

Proposte e sviluppi futuri 12 Code review   Fonte di possibili rischi costituisce il codice sviluppato ad hoc e che verrà eseguito dalle postazioni PDL PIC operative: modulo di lancio browser e gestione dell’autenticazione via smartcard   E’ consigliabile pianificare, come sviluppo futuro, un reverse engineering e un code review: il primo per rilevare il grado di reversibilità del codice, il secondo per rilevare eventuali vulnerabilità applicative Web Application Intranet   E’ consigliabile pianificare un’analisi di sicurezza degli applicativi web a cui le postazioni PIC operative si collegheranno