Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.

Slides:



Advertisements
Presentazioni simili
Piano di Formazione per la Riqualificazione del Personale
Advertisements

Il check-up dell’innovazione
INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
La qualità come processo di creazione di senso. Verifica della qualità: approccio per standard Concetto utilizzato: qualità come conformità a norme predefinite.
L’EVOLUZIONE DEL RUOLO DELL’INTERNAL AUDITING IN BANCA
TROVARE LAVORO NELLAREA COMMERCIALE LE PROFESSIONI DEL MARKETING IN AZIENDA Torino 28 marzo 2012 Gianluigi Montresor.
Master P.A. – Cod. W4 Dal testo elettronico tradizionale al documento intelligente: le nuove frontiere della produttività nella Pubblica Amministrazione.
L’offerta di prodotti di Sicurezza e la roadmap evolutiva
1 IBM Global Services eStrategy & Change –Transportation Convegno: le UNIVERSITA MILANESI per la GESTIONE della MOBILITA CONTRIBUTO PER LA GESTIONE DELLA.
OMEN un anno dopo. Il quadro di riferimento e la Mutual Learning Platform (MLP) Mutual Learning Platform (MLP) : un'iniziativa congiunta di varie DG della.
Palermo, 19 ottobre 2005 Progetto Governance Progetto Pilota Regione Siciliana Kick Off.
per un’agricoltura sostenibile
Le misure per la qualità dellistruzione e della formazione in Italia e in Europa: un approfondimento sullautovalutazione Monza, 19 settembre 2006 Ismene.
1 Università degli Studi di Urbino Carlo Bo FACOLTA DI ECONOMIA IMPORTANZA ED ELEMENTI DI CRITICITÁ DEL MARKETING STRATEGICO NELLE PMI Fulvio Fortezza.
New Public Management Prof. Federico Alvino.
Corso “Organizzazione Aziendale e Formazione Continua”
Programmazione e Controllo nelle Aziende Pubbliche
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
LA FORMA ORGANIZZATIVA DECENTRATA
Gli schemi organizzativi funzionali modificati e reticolari
E-Business Management School Comunità di Pratica ECONOMICS OF INNOVATION Modelli organizzativi a supporto della Gestione della Conoscenza: le Comunità
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
Corso di Informatica per Giurisprudenza Lezione 5
Control and Risk Self Assessment – CRSA. Il caso Telecom.
CHIEF NETWORK & SALES OFFICE
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
PROGETTO FIRB – GESTIONE DELLA CONOSCENZA (GECON) Documento per il Meeting del 6/4/06 - Milano.
Roma, 17 novembre 2003 Michele Morciano 1 Roma, 17 novembre 2003 Michele Morciano 1 Programmazione e controllo di gestione nelle amministrazioni pubbliche:
Il sistema italiano IFP e la garanzia di qualità
Security & Safety - GCSL - Supporto Formativo CHIEF OPERATING OFFICE e CHIEF NETWORK AND SALES OFFICE Fabbisogno formativo in materia di igiene e sicurezza.
Associazione Industriale Bresciana Responsabili risorse umane Gruppo di Lavoro INDAGINE SULLE POLITICHE DI RETENTION Relazioni industriali e risorse umane.
incertezza di misura prove chimiche
La struttura organizzativa e informativa del controllo
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
Il ruolo dei LVS nella sicurezza di prodotti e sistemi ICT
Il mondo corporate: sfide, tendenze, linguaggi, aspettative nella gestione degli eventi e dei congressi.
14 Aprile 2005 Presentazione v. 6 - Tutti I diritti riservati. Vietata la duplicazione e la distribuzione parziale o totale Presentazione della Società
UNICAB S.p.a. MARZO 2004 UNICAB S.p.a. INDAGINE UIR CONSORZIO GIOVENTU DIGITALE La presenza femminile nelle aziende del terziario della provincia di Roma.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 1 - introduzione AICA © 2005.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
MAPPA DEL PROCESSO BUDGET ACTUAL DECISIONI DATI DELLA PIANIFICAZIONE
La Protezione delle Infrastrutture Critiche in Europa: Conclusioni del Progetto Europeo Dependability Development Support Initiative (DDSI) di Lorenzo.
, PRESENTAZIONE AZIENDALE, VERSIONE DEL 24/02/1999, 1.
Certificazioni di Sicurezza Informatica”
Evoluzione del modello organizzativo di Poste Italiane
PROGETTO “EU-FORMA” COMPETENZE DEL TM
Dicembre 2001Convegno RINA –Milano © Danilo Bruschi 1 Il problema e le norme sulla sicurezza Danilo Bruschi Università degli Studi di Milano CERT-IT CLUSIT.
Marketing e cittadino cliente: un benchmark internazionale delle strategie di innovazione nei servizi delle pubbliche amministrazioni Parma, 2 marzo 2010.
Fasi di progetto di SI Impostazione strategica e di disegno concettuale Implementazione Utilizzo e monitoraggio.
L’information security e la governance
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
La progettazione organizzativa
Pippo.
COO/RU - Organizzazione Operativa 0 CHIEF OPERATING OFFICE COMMISSIONE INQUADRAMENTO Roma, 25 luglio 2007 Incontro con le OO.SS. Nazionali.
Certificazione delle Competenze digitali se pensate che la formazione sia costosa provate con l’ignoranza - Derek Bok-
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
RISK MANAGEMENT NELLA LOGISTICA
Organizzazione Aziendale
Policy making condiviso nelle organizzazioni pubbliche: il ruolo della funzione centrale Personale e Organizzazione.
RUO – Sviluppo Organizzativo e Pianificazione 10 Marzo 2010 Aree Territoriali Controllo Interno.
Università di Macerata - P. Cioni1 Economia delle aziende di assicurazione La Circolare Isvap n. 577/D: “Disposizioni in materia di sistema dei controlli.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 5 -Amministrazione remota Ernesto Damiani Lezione 1 – Gestione.
EHealthAcademy 2015: Un percorso di qualificazione delle competenze e formazione per Chief Information Officer (e aspiranti tali) in Sanità Organizzato.
FITEL Telecomunicazioni Soluzioni per tecnologie informatiche e telecomunicazioni.
5 marzo Come affrontare il problema Contromisure organizzative e tecnologiche.
Governare la valutazione di una politica di sviluppo territoriale Il caso dello sviluppo rurale Martina Bolli, Patrizia Fagiani, Alessandro Monteleone.
Attori Enterprise risk management
Transcript della presentazione:

Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 2 Agenda Premessa Lapproccio consulenziale Lapproccio tecnologico Il ciclo di vita della sicurezza CSO – Chief Security Officer

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 3 Premessa Indagine Sirmi Security Management: le nuove frontiere della sicurezza nell'ICT il 20% degli attori intervistati dichiara di avere una politica scritta comprendente tutte le regole di sicurezza dei sistemi informativi il 31% degli attori intervistati dispone di una politica scritta ma limitata agli obiettivi di sicurezza il 30% degli attori intervistati ha un politica informale

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 4 Premessa Indagine Sirmi Security Management: le nuove frontiere della sicurezza nell'ICT Gli elementi più comuni l'uso di password (92 %) amministrazione di rete (83 %) protezione e detenzione dati (83 %) amministrazione del sistema informativo (81 %) architettura sicura (70 %) regole di uso delle (62 %)

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 5 Lapproccio consulenziale La security consulting tradizionalmente si pone come obiettivo interventi di natura strategica, secondo un approccio tipicamente top down: Identificazione e formalizzazione delle piramidi gerarchiche Identificazione di minacce da cui proteggersi Classificazione di beni aziendali da proteggere Identificazione delle misure di Sicurezza funzionali da adottare …

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 6 Lapproccio consulenziale La scelta e ladozione delle soluzioni strategiche si accompagna generalmente alla scelta di standard metodologici di riferimento ITSEC (Information Technology Security Evaluation Criteria) UE 1991 ISO (Common Criteria) ISO (Code of Practice for Information Security Management - BS British Standard) …ma anche TCSEC Orange Book (Trusted Computer Systems Evaluation Criteria) D.o.D. USA 1985 CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) CA 1993 FC (Federal Criteria) 1992 USA

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 7 Lapproccio consulenziale Gli attori generalmente coinvolti sono Top manager Responsabili dellorganizzazione (Più raramente ) Responsabili di network Responsabili della logistica Responsabili legali (Molto più raramente) Responsabili dei sistemi Responsabili degli applicativi Responsabili di auditing

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 8 Lapproccio consulenziale I valori dellapproccio consulenziale – Visione olistica del problema della sicurezza – Accezione di Sicurezza in termini di sistema informativo I limiti dellapproccio consulenziale Generalmente non è oggetto di controllo la propagazione delle direttive alle azioni puntuali Generalmente sono carenti i meccanismi di feedback per valutare lapplicazione delle direttive

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 9 Lapproccio tecnologico La tecnologia tradizionalmente ha come obiettivo interventi di natura tattica, secondo un approccio tendenzialmente bottom up: Difesa perimetrale dellinfrastruttura Difesa e compartimentazione delle porzioni inside del sistema Data analysis Rilevazione di vulnerabilità atomiche Improvement …

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 10 Lapproccio tecnologico Ovviamente, anche lapproccio tecnologico si avvale di visioni strategiche

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 11 Lapproccio tecnologico Ovviamente, anche lapproccio tecnologico si avvale di visioni strategiche

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 12 Lapproccio tecnologico Gli attori generalmente coinvolti sono Responsabili dei sistemi Responsabili di network Responsabili degli applicativi (Più raramente ) Top manager Responsabili dellorganizzazione Responsabili della logistica Responsabili legali (Molto più raramente) Responsabili di auditing

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 13 Lapproccio tecnologico I valori dellapproccio tecnologico – Visione operativa del problema della sicurezza – Tempestività di intervento – Copertura di larga casistica di minacce I limiti dellapproccio tecnologico Visione settoriale Carenza di strumenti di comunicazione con il mondo esterno Non viene valutata la propagazione del rischio ai sistemi connessi (organizzativi e fisici)

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 14 Il ciclo di vita della sicurezza Un modello abusato (ma sempre valido): il ciclo della sicurezza Pianfiicazione Controllo Implementazione Corporate Security Policy SECURE MONITOR AUDIT / TEST MANAGE & IMPROVE Policy Development Policy Review

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 15 Il ciclo di vita della sicurezza Il principio del ciclo di vita della sicurezza coordina il passaggio tra consulenza a tecnologia Problema: come coordinare il ciclo di vita della sicurezza? Altro problema: come gestire gli approcci ibridi (non top down e nemmeno bottom up)?

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 16 CSO – Chief Security Officer Il Chief Security Officer (CSO) è la figura preposta alla gestione del processo di sicurezza Coordina gli attori (interni ed esterni) Riporta al top management Gestisce e attiva le competenze Struttura ed alimenta i canali di comunicazione tra le differenti entità, condividendone lo stesso linguaggio … Gestisce e storicizza la Sicurezza come un Processo in Qualità ( …dimmi ciò che fai, e fa ciò che dici… )

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 17 CSO – Chief Security Officer Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (1) Principi generali di sicurezza aziendale Concetti di politica ed organizzazione della sicurezza del sistema informativo Concetti di analisi del rischio, di progettazione dei sistemi di protezione e di classificazione delle informazioni Concetti di progettazione di un piano di protezione del sistema informativo

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 18 CSO – Chief Security Officer Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (2) Elementi di architetture e loro evoluzione nel tempo; Visibilità dello stato dellarte in materia di information security Visibilità dei prodotti di sicurezza disponibili sul mercato; Competenze su norme legali ed operative di sicurezza per i sistemi distribuiti e sistemi di telecomunicazioni

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 19 Ci sono domande?

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.