La (cyber) security ha bisogno di norme
1 like•605 views
Il documento discute l'importanza delle norme nella sicurezza informatica, evidenziando il ruolo delle organizzazioni di normazione nel settore. Viene sottolineata la necessità di un approccio sistematico alla gestione della sicurezza delle informazioni attraverso standard riconosciuti, come ISO/IEC 27001. Infine, il documento illustra le misure di protezione necessarie per affrontare le minacce informatiche e la rilevanza della formazione del personale.
![La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace
Ma a noi interessa davvero? [PMI]](https://image.slidesharecdn.com/20161129ai-award-short-161128235959/85/La-cyber-security-ha-bisogno-di-norme-29-320.jpg)
![La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace
D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai?
R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non
subire danni come una grande azienda. Pochi danni = poco risalto sui mass
media
D: Noi non abbiamo mai avuto problemi di questo tipo™, perché?
R: Due cause sono quelle più plausibili:
●
avete avuto MOLTA fortuna
●
non ve ne siete mai accorti
D: Quelle per la sicurezza informatica non sono altre spese inutili?
R: Le spese fatte a caso o per mettere a posto i danni tendono ad essere
inutili, un sensato livello di protezione è anche economicamente efficace.
Ma a noi interessa davvero? [PMI]](https://image.slidesharecdn.com/20161129ai-award-short-161128235959/85/La-cyber-security-ha-bisogno-di-norme-30-320.jpg)
![La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace
Hackers Remotely Kill a Jeep on the
Highway.
– Wired, July 2015
Tech Insight: Hacking The
Nest Thermostat
– Dark Reading, Aug 2014
100,000 Refrigerators and other
home appliances hacked to perform
cyber attack
– The Guardian, Feb 2013
Philips Hue Light Bulbs Are Highly
Hackable
– Gizmodo, Aug 2013
Millions of Kwikset Smartkey Locks Vulnerable to
Hacking, Say Researchers– Wired, Aug 2013
Ma a noi interessa davvero? [IoT]](https://image.slidesharecdn.com/20161129ai-award-short-161128235959/85/La-cyber-security-ha-bisogno-di-norme-31-320.jpg)
La (cyber) security ha bisogno di norme
- 1. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace La (cyber) security ha bisogno di norme D. (Mimmo) Squillace [email protected] [email protected]
- 2. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Mimmo Squillace Technical Relations Executive – IBM Italia Presidente UNINFO
- 3. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Sicurezza Informatica UNINFO e gli Standard
- 4. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Nemmeno a farlo apposta, ieri ... Source: http://www.bleepingcomputer.com/news/security/ransomware-hits-san-francisco-public-transit-system-asks-for-73-000/
- 5. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Source: http://www.bleepingcomputer.com/news/security/900-000-routers-knocked-offline-in-germany-amid-rumors-of-cyber-attack/ Nemmeno a farlo apposta, ieri ...
- 6. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Sicurezza Informatica UNINFO e gli Standard
- 7. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace standard o Standard?
- 8. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Una Norma Tecnica è un documento che descrive lo “stato dell’arte” di: un bene, un servizio, un processo, un sistema, ... Sviluppato presso un Ente di Normazione in maniera trasparente e democratica, approvato in maniera consensuale ed adottato su base volontaria.
- 9. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Chi sviluppa le Norme Tecniche?
- 10. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Le Norme Tecniche sono sviluppate da: International Standard Setting Organizations “All-others” ISO Telecommunication ITU Electrotechnical IEC European Standard Setting Organizations CEN ETSICENELEC National Standard Bodies JTC/1
- 11. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Le Norme Tecniche sono sviluppate da: International Standard Setting Organizations “All-others” ISO Telecommunication ITU Electrotechnical IEC European Standard Setting Organizations CEN ETSICENELEC National Standard Bodies JTC/1 IETF&IEEE W3C Fora Consorzi
- 12. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Gli Enti di Normazione italiani sono: CEI ed UNI
- 13. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace UNICHIM Chimica CIG Gas CTI Termotecnica UNSIDER Ferro e Metalli UNIPLAST Materie Plastiche CUNA Automobili Quando si parla di UNI si intende il Sistema UNI
- 14. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace UNICHIM Chimica CIG Gas UNINFO Informatica CTI Termotecnica UNSIDER Ferro e Metalli UNIPLAST Materie Plastiche CUNA Automobili UNINFO “fa” gli Standard per l’ICT
- 15. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace 1 Norma EN: ● equivale a 33 Norme Nazionali ● consente l’accesso ad un mercato di 650 milioni di persone Perchè sono importanti? Interoperabilità Definizione univoca Sicurezza prodotti Economie di Scala
- 16. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace I settori di attività di UNINFO
- 17. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Informatica MedicaIngegneria del SW Sicurezza informatica eBSF “Traffico” “MPEG” Automazione Ind. APNR-ICT Tecnologie Additive
- 18. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace “Tecnologie abilitanti per l’I4.0” ● JTC/1-WG 9 “Big Data” ● JTC/1-WG 10 “IoT” ● JTC/1-WG 11 “Smart City” ● JTC/1-SC 38 “Cloud” Blockchain
- 19. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Sicurezza Informatica UNINFO e gli Standard
- 20. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Sicurezza di cosa? Intendiamoci ... Sicurezza delle informazioni Preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni Riservatezza Proprietà delle informazioni di non essere rese disponibili o divulgate a individui, entità o processi non autorizzati Integrità Proprietà relativa all’accuratezza e alla completezza Disponibilità Proprietà di essere accessibile e usabile a richiesta di un’entità autorizzata
- 21. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Da cosa ci difendiamo?
- 22. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Da cosa ci difendiamo?
- 23. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Da cosa ci difendiamo? Presenza web ● Siti vetrina o e-commerce ● Posta elettronica ● Accesso remoto a file e sistemi Progettazione ● Specifiche di prodotto / disegni ● Know-how aziendale ● Amministrazione e contabilità ● Accesso ai conti aziendali ● Dati personali dei dipendenti ● Budget e dati finanziari Management ● Strategie aziendali ● Legale rappresentanza Produzione ● Sistemi tecnologici Commerciale ● Dati dei Clienti Malware Sabo- taggio Malware Sabo- taggio Attacchi web-based Attacchi web-based DoSDoS PhishingPhishing DoSDoS Furto identità Furto identità Cyber spionaggio Cyber spionaggio
- 24. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero?
- 25. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero? Familiarizziamo con termini quali: ● Phishing ● Ramsonware o cryptolocker ● Men-in-the-middle ● Malware ● DoS (Denial of Service) ● Botnet
- 26. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero? http://www.sonicwall.com/phishing/ Phishing su Internet Banking ✔ Creazione di un sito web più possibile similare a quello legittimo ✔ Invio indiscriminato (se mirato si tratta di spear-phshing) di email contraffatte che portano l’utente verso il sito web contraffatto ✔ Raccolta di credenziali valide degli utenti tramite sito web contraffatto ✔ Riuso delle credenziali raccolte sul sito legittimo / su altri siti per transazioni illecite
- 27. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero? Cryptolocker ✔ Apertura di allegato di email infetto o consultazione di sito web con contenuti malevoli ✔ Cifratura dei contenuti del disco locale e dei dischi di rete acceduti ✔ Richiesta di riscatto in Bitcoin (o altra valuta non tracciabile) per avere le chiavi di decifratura da parte del malware entro 3 o 4 giorni di tempo
- 28. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero? Attacco per finto bonifico ✔ Compromissione o registrazione di dominio di posta elettronica di un fornitore ✔ Apertura di un conto ponte che non desti sospetti ✔ Invio di email per richiesta di modifica del conto registrato per i pagamenti verso un cliente ✔ Incasso del bonifico e spostamento di denaro su conto off-shore
- 29. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Ma a noi interessa davvero? [PMI]
- 30. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace D: Si sente parlare poco di attacchi alla sicurezza delle PMI, come mai? R: Le PMI tendono ad essere vittima di attacchi generalizzati e a non subire danni come una grande azienda. Pochi danni = poco risalto sui mass media D: Noi non abbiamo mai avuto problemi di questo tipo™, perché? R: Due cause sono quelle più plausibili: ● avete avuto MOLTA fortuna ● non ve ne siete mai accorti D: Quelle per la sicurezza informatica non sono altre spese inutili? R: Le spese fatte a caso o per mettere a posto i danni tendono ad essere inutili, un sensato livello di protezione è anche economicamente efficace. Ma a noi interessa davvero? [PMI]
- 31. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Hackers Remotely Kill a Jeep on the Highway. – Wired, July 2015 Tech Insight: Hacking The Nest Thermostat – Dark Reading, Aug 2014 100,000 Refrigerators and other home appliances hacked to perform cyber attack – The Guardian, Feb 2013 Philips Hue Light Bulbs Are Highly Hackable – Gizmodo, Aug 2013 Millions of Kwikset Smartkey Locks Vulnerable to Hacking, Say Researchers– Wired, Aug 2013 Ma a noi interessa davvero? [IoT]
- 32. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo
- 33. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo Riduciamo la lunghezza delle nostre mura e consolidiamole ✔ Dove sono le informazioni aziendali? ✔ Chi vi deve poter accedere? ✔ Possono essere accentrate e messe sotto controllo?
- 34. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo Riduciamo la lunghezza delle nostre mura e consolidiamole ✔ Dove sono le informazioni aziendali? ✔ Chi vi deve poter accedere? ✔ Possono essere accentrate e messe sotto controllo? Facciamo un’analisi del rischio in base al nostro business!
- 35. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo Adottando misure di igiene informatica su tutti i sistemi aziendali. ✔ Antimalware ✔ Autenticazione ✔ Aggiornamento ✔ Backup ✔ Cifratura ✔ Limitazione della connettività ✔ Limitazione dei privilegi
- 36. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo Gestiamo correttamente l’autenticazione ai sistemi
- 37. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo Informiamo e formiamo periodicamente il nostro personale: ✔ su cosa devono fare per stare in sicurezza (v. uso delle password) ✔ su cosa non devono fare per evitare le minacce (v. phishing) ✔ sul perché la sicurezza delle informazioni è importante (v. giornata odierna)
- 38. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Come ci difendiamo I temi da toccare sono diversi e coinvolgono non solo i tecnici (o i fornitori) informatici ma tutta l’azienda, qualunque cosa produca! Per essere efficaci è necessario un APPROCCIO COMPLESSIVO alla sicurezza e, vista la complessità dei temi, non è necessario inventarselo da capo
- 39. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace UNINFO: Standard per la Sicurezza Informatica!
- 40. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Attività di UNINFO
- 41. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Attività di UNINFO Norme di ISO/IEC JTC 1 SC27 “IT Security Techniques” (sono più di 150 ...) • Sistemi di gestione per la sicurezza delle informazioni (27001, 27002) • Linee guida per i sistemi di gestione (2700X) • Linee guida di settore (2701X) • Linee guida per la sicurezza (2703X-2704X) • Certificazione della sicurezza dei prodotti (15408, 18045) • Autenticazione e biometria (2476X) • Protezione dei dati personali (291XX) • Crittografia (979X, 18033)
- 42. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). • Applicabile a realtà di ogni dimensione • Quasi 20 anni di esistenza sul mercato • Ambito definibile a piacimento • Approccio ciclico (PDCA) • Costituisce un framework completo • Dice cosa fare, non come farlo • Rivolto al miglioramento continuo • È un riferimento universale e certificabile ISO/IEC 27001
- 43. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo. Analisi del rischio secondo ISO/IEC 27001:2013 Definizione del contesto Definizione del contesto Valutazione del rischio Valutazione del rischio Trattamento del rischio Trattamento del rischio
- 44. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace ISO/IEC 27002:2013
- 45. La (cyber) security ha bisogno di norme | Milano 29 novembre 2016 | Mimmo Squillace Grazie dell'attenzione This work is licensed under the Creative Commons Attribution- NonCommercial-NoDerivs 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-nd/3.0/ Follow us on: www.uninfo.it https://twitter.com/uninfo_it https://www.facebook.com/UNINFO.it http://www.slideshare.net/uninfoit Segreteria UNINFO [email protected]