UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina.

Slides:



Advertisements
Presentazioni simili
Il gestore di posta elettronica per le aziende e per gli studi
Advertisements

Marika Arena - Economia e Organizzazione Aziendale B - A.A. 2008/2009
Cos’è la posta elettronica
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
“I nuovi servizi on-line SUAP-FE per le Imprese”
Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.
Eventi, rischi e risarcimenti catastrofali
INTERNET: RISCHI E PERICOLI
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
Analisi e Contromisure di tecniche di Sql Injection
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Indicatori di produttività ed efficienza 1/a
Legislazione informatica - Presentazione del corso (I. Zangara)
Sistemi informativi e documentazione giuridica italiana Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di laurea in Informatica Anno Accademico.
Sicurezza II Prof. Dario Catalano Strong Password Protocols.
Università degli studi di Firenze Facoltà di Psicologia A.A Insegnamento: Psicologia della Formazione docente: prof. Carlo Odoardi Laboratorio.
Chiara Mocenni - Sistemi di Supporto alle Decisioni I – aa Sistemi di Supporto alle Decisioni I Lezione 2 Chiara Mocenni Corso di laurea L1.
Daniela Corsaro Università Cattolica del Sacro Cuore di Milano
Introduzione al corso di Economia ed Organizzazione aziendale
Nuove truffe on line Phishing.
Introduzione all’analisi forense: metodologie e strumenti
ORDINE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI di Ivrea Pinerolo Torino CORSO DI FORMAZIONE IN MATERIA DI ENTI LOCALI UNIVERSITA DI TORINO.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Il Corso di Laurea in Fisica
UNIVERSITA DEGLI STUDI DI MILANO Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Trienmale in Informatica Relatore:Prof.ssa FIORELLA.
CISI – Centro Interstrutture di Servizi Informatici e Telematici Progettazione e realizzazione di un sistema FaD dAteneo CISI – Centro Interstrutture di.
Control and Risk Self Assessment – CRSA. Il caso Telecom.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
delle agenzie di comunicazione Un’indagine quantitativa e qualitativa.
Presidio ospedaliero di Mondovì
LA VISIONE INTEGRATA DEL RISCHIO:
LA DIFESA Prof MORETTI Maurizio.
Università degli studi di Modena e Reggio Emilia Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Progetto e sviluppo.
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
III Convegno Nazionale
Proposta di unImplementazione per i Servizi di Localizzazione e Traffic Monitoring nellIntelligent Trasportation System Pegasus UNIVERSITÀ DEGLI STUDI.
Incontri di prossimità In collaborazione con. LE CARTE DI PAGAMENTO: COSA SONO E A COSA SERVONO Le chiamiamo genericamente carte di credito, ma in circolazione.
Candidata: Carlotta Gandolfo Relatori: Prof. Carlo Maganza
Nome progetto_ DiDà -progettare lofferta formativa- data inizio_ novembre 2002 gruppo di realizzazione_ dipartimento scienze della comunicazione, ufficio.
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
UNIVERSITA’ DEGLI STUDI DI GENOVA
UNIVERSITA' DEGLI STUDI DI MILANO Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Analisi, progettazione e realizzazione.
A cura della Prof. Giuseppina Carfagno 1 Prof. Armando Buccellato Programmazione e Controllo aa Caso “La mia Impresa” Linee guida per la preparazione.
Gli affidamenti bancari ai gruppi di imprese nell’attuale scenario economico Tempo di crisi, tempo di scelte - Il credito oltre la crisi.
RISK MANAGEMENT NELLA LOGISTICA
LA VALUTAZIONE DEI RISULTATI DELLA FORMAZIONE Arduino Salatin Mestre 14 novembre 2003 Progetto FSE ob.3 - azioni di sistema C1 Monitoraggio e valutazione:
Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.
UNIVERSITA’ DEGLI STUDI DI PAVIA Dipartimenti di Scienze Politiche e Sociali, Studi Umanistici, Giurisprudenza, Ingegneria Industriale e dell’Informazione,
UNIVERSITA’ DEGLI STUDI DI PAVIA Dipartimenti di Giurisprudenza, Ingegneria Industriale e dell’Informazione, Scienze Economiche e Aziendali, Scienza Politiche.
Dall’ambiente imprenditoriale al settore dell’impresa
Università degli Studi di Pavia Facoltà di Lettere e Filosofia, Scienze politiche, Giurisprudenza, Ingegneria, Economia Corso di Laurea Interfacoltà in.
Claudio Cacciamani Università di Parma
1 6 Maggio 2008 – Milano INCONTRO ATTUARI INCARICATI VITA L’EVOLUZIONE DEL RUOLO DELL’ATTUARIO INCARICATO ALLA LUCE DEL REGOLAMENTO ISVAP N.20/2008 SUI.
Corso di Sicurezza e Privacy - 15 luglio Dipartimento di Scienze - 15 luglio 2015 Pamela Peretti Corso di Sicurezza e Privacy mercoledì 7 novembre.
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Cloud SIA V anno.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Le banche online. Che cosa sono le banche online? Si tratta di banche, denominate anche banche virtuali o digitali, che offrono servizi esclusivamente.
PIANO DI ATTUAZIONE DEL PNSD A CURA DELL’INSEGNANTE A.D. CLAUDIA MORESCHI.
PHISHING di Filippo Giandomenico. Il phishing è un tipo di truffa effettuata su internet in cui un malintenzionato cerca di ingannare una ‘vittima’ convincendola.
2Ai Alex Alvoni 2015/2016. Cos'è il Phishing? E’ un tipo di truffa effettuata su Internet: un malintenzionato cerca di ingannare la vittima convincendola.
Phishing Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire.
La salute e la sicurezza sul lavoro riguardano tutti. Un bene per te. Un bene per l'azienda.. Lavoriamo insieme per la prevenzione dei rischi Cosa può.
Lezioni di Ricerca Operativa Corso di Laurea in Informatica
Lezione n. Parole chiave: Corso di Laurea: Codice: Docente: A.A Mauro Sciarelli Le tecniche per la valutazione dei progetti di investimento.
21 giugno Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.
Servizi ENEA per l’EE Comparto industria Nino Di Franco Sigfrido Vignati ENEA UTEE-IND.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
Transcript della presentazione:

UNIVERSITA’ DEGLI STUDI DI CATANIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica, primo livello Realizzato da: Giuseppina Maccarrone Relatore: Ch.mo Prof. Giampaolo Bella Analisi dei rischi di sicurezza con “fattore di collusione”

Negli ultimi decenni si è assistito ad un rapido progresso tecnologico, da cui emerge che le informazioni rivestono un ruolo cruciale per il successo dell'impresa, e di conseguenza bisogna porre la tutela della sicurezza del sistema informativo tra le priorità aziendali. Information Security Risk Management Lo scopo di questa tesi è di studiare le varie tecniche di analisi dei rischi, in particolare esaminare il processo di Information Security Risk Management, analizzando le varie metodologie esistenti ed introducendo dei nuovi indicatori per arricchire l’analisi. Introduzione

Information Security Risk Management Risk Assessment Risk Mitigation Evaluation and Assessment Risk Assessment:  Risk Assessment: identificazione di risorse, minacce, vulnerabilità e controlli;  Risk Mitigation:  Risk Mitigation: valutazione ed implementazione controlli;  Evaluation and assessment :  Evaluation and assessment : verifiche periodiche di valutazione e gestione dei rischi.

Approcci per il processo di valutazione dei rischi QUALITATIVO IBRIDO QUANTITATIVO Qualitativo: Qualitativo: valutazioni soggettive tra il team tramite questionari, interviste, sondaggi; è di semplice utilizzo ma non fornisce risultati attendibili; Quantitativo: Quantitativo: misura delle grandezze necessarie per la valutazione dei rischi attraverso l’uso di indici; più complicato del primo ma più preciso; Ibrido: Ibrido: combinazione degli approcci precedenti.

Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi Fattore di collusione (FC):  Fattore di collusione (FC): quantità di complici necessari per portare a termine con maggior probabilità di successo un attacco.  FC incrementa il rischio d’esposizione ad una particolare minaccia (dal punto di vista dell’impresa);  FC diminuisce la difficoltà dell’attacco e ne aumenta la fattibilità (dal punto di vista dell’attaccante). Fattore d’esposizione in funzione della collusione (EF FC ):  Fattore d’esposizione in funzione della collusione (EF FC ): impatto di un evento dannoso su una certa risorsa: EF FC = EF + FC – (EF * FC); EF: livello d’esposizione al rischio, senza considerare la collusione. Single Loss Exposure (SLE FC ):  Single Loss Exposure (SLE FC ): perdita associata al successo dell’evento dannoso.

Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi  Annualized Rate of Occurrence(ARO):  Annualized Rate of Occurrence (ARO): frequenza, ovvero numero di volte che un particolare evento dannoso si verifica nell’arco di un anno.  Annualized Loss Expectancy (ALE):  Annualized Loss Expectancy (ALE): perdita annua attesa associata ad una specifica minaccia.  Percentuale di Successo della Contromisura (%SC):  Percentuale di Successo della Contromisura (%SC): successo di una contromisura nello scoraggiare un malintenzionato dal portare a termine l’attacco.  Percentuale di Successo dell’Attaccante (%SA):  Percentuale di Successo dell’Attaccante (%SA): successo o efficacia dell’attaccante nel violare la misura di sicurezza.

Indicatori utilizzati nell’approccio quantitativo per l’analisi dei rischi  Return On A Security Investment (ROSI):  Return On A Security Investment (ROSI): percentuale di guadagno risultante da un investimento in sicurezza, tenendo conto del successo della contromisura, del suo costo e della perdita annua causata dall’attacco. Percentuale di Rischio per l’Attaccante come conseguenza dell’attacco (%RA):  Percentuale di Rischio per l’Attaccante come conseguenza dell’attacco (%RA): percentuale di rischio per l’attaccante o gli attaccanti di essere scoperti e puniti in seguito all’attacco.  Return On Attack (ROA):  Return On Attack (ROA): guadagno percentuale atteso dall’attaccante, tenendo conto della sua efficacia nel violare la misura di sicurezza e dei costi dell’attacco.

Obiettivo Modalità 1 Modalità 2 Passo 1 Passo 2 Attack Trees Nodi OR Nodi AND Strumento qualitativo utilizzato per l’individuazione degli scenari d’attacco; Rappresentano: - i vari modi attraverso i quali un sistema può essere colpito (OR); - l’insieme di passi da seguire (AND); Mettono in evidenza le vulnerabilità del sistema in modo da poter individuare le contromisure necessarie.

Utilizzo degli indici quantitativi sugli attack trees difensore attaccante E’ possibile utilizzare gli attack trees come strumento quantitativo grazie all’aggiunta degli indici prima discussi. In tal modo è possibile valutare la visione da due punti di vista: quello del difensore, ovvero l’azienda e quello dell’attaccante. VS

Visione del difensore Determinare i diversi scenari d’attacco a cui è soggetto il sistema IT; Stabilire le contromisure più efficaci per fronteggiarli.

Visione dell’attaccante Stabilire quale attacco è più vantaggioso in termini di guadagno (e più probabilmente messo in atto), tenendo conto:  dell’efficacia dell’aggressore;  dei costi sostenuti per portare a termine l’attacco;  della collusione.

Applicazione dell’analisi dei rischi al caso di studio “Phishing a danni di una società bancaria” Def. Phishing: ottenere l'accesso ad informazioni personali e riservate mediante l'utilizzo di messaggi di posta elettronica fasulli. - Stima del fattore di collusione: FC= 55%; - Fattore d’esposizione: EF FC = EF + FC – (EF * FC)= 0,65 + 0,55 – (0,65 * 0,55)= 84% assumendo che EF sia pari a 65% in assenza di collusione; - ARO= 3 (l’azienda ha subito 3 attacchi di phishing nel 2005); - Capitale sociale della banca: AV= €; - SLE= * 0.84 = €, ridimensioniamo la perdita supponendo che circa 1/10 dei clienti hanno ricevuto le e hanno “abboccato” : SLE/10= € ; - ALE= SLE * ARO = * 3= € ; - Guadagno per l’attaccante: circa €, Costo medio attacco: € - Costi postAttacco: €, percentuale di rischio per gli attaccanti: 25%.

Possibili contromisure per fronteggiare il rischio di phishing: 1.Effettuare dei controlli approfonditi sui redirect dei siti web; 2.Avvisare tempestivamente tutti i clienti di diffidare di qualunque chieda di inserire codici segreti o informazioni personali e diffondere una cultura di internet; 3.Aggiungere un ulteriore livello di autenticazione (con password differenziata) per l’esecuzione di operazioni dispositive tramite il servizio di home banking; 4.Inserire dei codici di validazione sulla banda magnetica delle carte per autorizzare le transazioni di denaro; ContromisuraROSIROA 123%77% 230%70% 341%59% 444%54%

Conclusioni Grazie a questa analisi dei rischi, è possibile dedurre: quali attacchi saranno più probabilmente portati a termine (quelli con il ROA più elevato); quali contromisure riescono meglio a mitigare i rischi e l’impatto degli attacchi stessi (quelle con il ROSI più alto). fattore di collusione Grazie all’aggiunta dell’originale “fattore di collusione” è stato possibile effettuare un’analisi dei rischi più precisa e il più vicino possibile alla realtà.

Fine Ringraziamenti: Prof. Giampaolo Bella La mia famiglia Tutti i miei cari presenti