I casi di sicurezza nel mondo retail
-
Upload
ditech-spa -
Category
Documents
-
view
48 -
download
4
Transcript of I casi di sicurezza nel mondo retail
8 maggio 2013
I casi di sicurezza nel mondo
retail
Elisabetta Rigobello
Il bicchiere è mezzo vuoto o mezzo pieno?
REAZIONI POSSIBILI SUL TEMA SICUREZZA
2
MEZZO PIENO
3
La mia realtà
è diversa
Non abbiamo
mai avuto
problemi
simili
In azienda questo
non è un mio
problema
Se penso a
come eravamo
messi poco
tempo fa Noi siamo più
avanti degli
altri
Ho i firewall
nuovi e i
sistemi in HA
MEZZO VUOTO
4
Ci voleva
anche questa Si devono
fare degli
investimenti
Da dove parto
Ci vuole un
supporto
legale …….
Cosa fanno
gli altri
retailer?
INTRAPRENDERE UN CAMMINO
Come abbiamo visto oggi il 2014 sarà un anno
particolarmente importante perché si attende il
nuovo regolamento europeo
Nel frattempo possiamo pensare di prendere
consapevolezza della nostra situazione facendo Inventario delle informazioni che gestiamo
Classificazione delle procedure di gestione delle informazioni
Selezioni delle tecnologie in campo
Formazione del personale
Confronto aperto con situazioni simili alla nostra
5
PROCESSI
ACQUISTI:
Listini di acquisto
Condizioni contrattuali
Piano promozionale
VENDITE:
Prezzi di cessione
Margini
Ristorni
AGENTI E FORZA VENDITA:
Listini di cessione
Contratti
Fatture
Note accredito
6
I “DATI” DEL RETAILER
Consumatore:
Dati anagrafici
Scontrini
Operation:
Produttività
Ore lavorate
Tariffe operatori terzi
Costo trasporti
Paghe
7
RETAIL: I NOSTRI CONTESTI
Magazzini Punti
Vendita
Centrali Centri
servizi/fornitori
8
MAGAZZINI
9
Magazzino
MAGAZZINO: POSSIBILI CRITICITÀ
L’impianto Wi-fi del magazzino è spesso vulnerabile:
Si è sviluppato da tempo, un po’ per volta
Obsolescenza dei materiali
Velocità di configurazione terminalino
Facilità di sostituzione terminalino
La rete locale:
Cablaggio non è certificato
Gli apparati senza management
Rete non partizionata
I sistemi:
Utente unico
Diritti di amministrazione
Spesso in remoto
10
PUNTO DI VENDITA
11
Punto vendita
PUNTO DI VENDITA: POSSIBILI CRITICITÀ
Per il Wi-fi, le reti e i sistemi vale quanto già indicato per la
parte magazzino, ma nel punto di vendita ci sono alcuni punti di
ulteriore attenzione
La barriera cassa
Non sempre è isolata dal resto della rete
Ci possono essere condivisioni su cartelle di accesso senza
gestione dei privilegi
Ha bisogno di condividere dati in tempo reale
I sistemi di pagamento
Le autorizzazioni vengono fatte in tempo reale
Le connessioni ai centri servizi, in outsourcing
La mancanza di ridondanza
I terminalini possono essere smartphone dei consumatori
12
CENTRALE
13
Centrale
CENTRALE: POSSIBILI CRITICITÀ
Per il Wi-fi, le reti e i sistemi vale quanto già indicato per la
parte magazzino
Nelle centrali il personale è più eterogeneo e accede alle
informazioni e ai processi core dell’impresa, mediamente la
gestione degli accessi è più controllata, ma potrebbe
presentare alcune problematiche:
Password complesse e periodiche e quindi scritte per non
dimenticarle (file oppure Post-IT)
Cartelle di backup pubbliche o backup “privati” degli utenti
(dropbox, icloud, googledrive etc)
Uso di dispositivi privati come smartphone/tablet
È necessario prevedere l’accesso di ospiti fornitori/partner
Bisogna lasciare la possibilità di accesso anche strutturato a
partner esterni che erogano servizi
14
I CENTRO SERVIZI
Una menzione particolare deve essere fatta per i centri servizi
presso i quali vengono sempre più spesso vengono
esternalizzati alcuni tipi di business:
Servizi Cloud da IaaS a SaaS
Servizi office (Mail/Fax etc)
Servizi pagamento
Servizi di gestione backup/ HA e Disaster Recovery
È fondamentale verificare:
Modello di erogazione servizi, in termini di collegamenti e tipi
di accesso
Quali sono le garanzie in termini si gestione delle
informazioni
I contenuti dei contratti che vengono sottoscritti
15
DA DOVE SI PARTE?
La prima buona notizia è che probabilmente tutti
siete già partiti e forse anche piuttosto avanti
La prima cosa da fare è comunque inventariare lo
stato dell’arte, per capire come procedere
Esistono degli “strumenti di misurazione” della
vulnerabilità di accesso, che possiamo chiamare
“penetration test”
Lo abbiamo scelto come primo argomento di
community perché pensiamo che su un tema del
genere il confronto sia molto utile
16
IL QUESTIONARIO
BREVE SURVEY SULLA SICUREZZA DELLE
INFORMAZIONI
Premessa: La compilazione della presente survey non da
considerarsi un obbligo, ma va vista come spunto per la
discussione. La compilazione deve essere anonima. Non
si deve riportato né il nominativo della persona che lo
compila , né l’azienda di appartenenza.
Sarà il primo argomento che tratteremo online, vi piace?
Perché verrà valutato chi di più contribuirà in community,
sia online che agli eventi
17
SIAMO PRONTI?
18