8 maggio 2013

I casi di sicurezza nel mondo

retail

Elisabetta Rigobello

Il bicchiere è mezzo vuoto o mezzo pieno?

REAZIONI POSSIBILI SUL TEMA SICUREZZA

2

MEZZO PIENO

3

La mia realtà

è diversa

Non abbiamo

mai avuto

problemi

simili

In azienda questo

non è un mio

problema

Se penso a

come eravamo

messi poco

tempo fa Noi siamo più

avanti degli

altri

Ho i firewall

nuovi e i

sistemi in HA

MEZZO VUOTO

4

Ci voleva

anche questa Si devono

fare degli

investimenti

Da dove parto

Ci vuole un

supporto

legale …….

Cosa fanno

gli altri

retailer?

INTRAPRENDERE UN CAMMINO

Come abbiamo visto oggi il 2014 sarà un anno

particolarmente importante perché si attende il

nuovo regolamento europeo

Nel frattempo possiamo pensare di prendere

consapevolezza della nostra situazione facendo Inventario delle informazioni che gestiamo

Classificazione delle procedure di gestione delle informazioni

Selezioni delle tecnologie in campo

Formazione del personale

Confronto aperto con situazioni simili alla nostra

5

PROCESSI

ACQUISTI:

Listini di acquisto

Condizioni contrattuali

Piano promozionale

VENDITE:

Prezzi di cessione

Margini

Ristorni

AGENTI E FORZA VENDITA:

Listini di cessione

Contratti

Fatture

Note accredito

6

I “DATI” DEL RETAILER

Consumatore:

Dati anagrafici

Scontrini

Operation:

Produttività

Ore lavorate

Tariffe operatori terzi

Costo trasporti

Paghe

7

RETAIL: I NOSTRI CONTESTI

Magazzini Punti

Vendita

Centrali Centri

servizi/fornitori

8

MAGAZZINI

9

Magazzino

MAGAZZINO: POSSIBILI CRITICITÀ

L’impianto Wi-fi del magazzino è spesso vulnerabile:

Si è sviluppato da tempo, un po’ per volta

Obsolescenza dei materiali

Velocità di configurazione terminalino

Facilità di sostituzione terminalino

La rete locale:

Cablaggio non è certificato

Gli apparati senza management

Rete non partizionata

I sistemi:

Utente unico

Diritti di amministrazione

Spesso in remoto

10

PUNTO DI VENDITA

11

Punto vendita

PUNTO DI VENDITA: POSSIBILI CRITICITÀ

Per il Wi-fi, le reti e i sistemi vale quanto già indicato per la

parte magazzino, ma nel punto di vendita ci sono alcuni punti di

ulteriore attenzione

La barriera cassa

Non sempre è isolata dal resto della rete

Ci possono essere condivisioni su cartelle di accesso senza

gestione dei privilegi

Ha bisogno di condividere dati in tempo reale

I sistemi di pagamento

Le autorizzazioni vengono fatte in tempo reale

Le connessioni ai centri servizi, in outsourcing

La mancanza di ridondanza

I terminalini possono essere smartphone dei consumatori

12

CENTRALE

13

Centrale

CENTRALE: POSSIBILI CRITICITÀ

Per il Wi-fi, le reti e i sistemi vale quanto già indicato per la

parte magazzino

Nelle centrali il personale è più eterogeneo e accede alle

informazioni e ai processi core dell’impresa, mediamente la

gestione degli accessi è più controllata, ma potrebbe

presentare alcune problematiche:

Password complesse e periodiche e quindi scritte per non

dimenticarle (file oppure Post-IT)

Cartelle di backup pubbliche o backup “privati” degli utenti

(dropbox, icloud, googledrive etc)

Uso di dispositivi privati come smartphone/tablet

È necessario prevedere l’accesso di ospiti fornitori/partner

Bisogna lasciare la possibilità di accesso anche strutturato a

partner esterni che erogano servizi

14

I CENTRO SERVIZI

Una menzione particolare deve essere fatta per i centri servizi

presso i quali vengono sempre più spesso vengono

esternalizzati alcuni tipi di business:

Servizi Cloud da IaaS a SaaS

Servizi office (Mail/Fax etc)

Servizi pagamento

Servizi di gestione backup/ HA e Disaster Recovery

È fondamentale verificare:

Modello di erogazione servizi, in termini di collegamenti e tipi

di accesso

Quali sono le garanzie in termini si gestione delle

informazioni

I contenuti dei contratti che vengono sottoscritti

15

DA DOVE SI PARTE?

La prima buona notizia è che probabilmente tutti

siete già partiti e forse anche piuttosto avanti

La prima cosa da fare è comunque inventariare lo

stato dell’arte, per capire come procedere

Esistono degli “strumenti di misurazione” della

vulnerabilità di accesso, che possiamo chiamare

“penetration test”

Lo abbiamo scelto come primo argomento di

community perché pensiamo che su un tema del

genere il confronto sia molto utile

16

IL QUESTIONARIO

BREVE SURVEY SULLA SICUREZZA DELLE

INFORMAZIONI

Premessa: La compilazione della presente survey non da

considerarsi un obbligo, ma va vista come spunto per la

discussione. La compilazione deve essere anonima. Non

si deve riportato né il nominativo della persona che lo

compila , né l’azienda di appartenenza.

Sarà il primo argomento che tratteremo online, vi piace?

Perché verrà valutato chi di più contribuirà in community,

sia online che agli eventi

17

SIAMO PRONTI?

18

FINE

Grazie per l’attenzione

Elisabetta Rigobello

elisabetta.rigobello@ditechspa.it

19