ICT SECURITY E PMIMassimo Chirivì

ICT SECURITY E PMI

Proteggersi dal Cybercrime

ICT SECURITY E PMI

Chi sono• Dal 1988 con la passione dell’informatica• Dal 1996 al servizio delle aziende per lavoro• Dal 1998 al servizio della P.A. per il bene di tutti• Dal 2010 in una delle più grandi aziende ICT d’Italia.

Di cosa mi occupo- Information Security- System Administrator- Ethical Hacking

Condividere è un dovere etico… La condivisione è conoscenza.

ICT SECURITY E PMI

AIPSI – Associazione Italiana Professionisti Sicurezza Informatica

AIPSI Capitolo

Italiano di ISSA

Associazione di singoli

professionisti

Oltre 10.000 esperti in

tutto il mondo

200 soci in Italia

ICT SECURITY E PMI

Obiettivi:

• Organizzazione di forum educativi• Redazione di documenti e pubblicazioni specializzate• Interscambio di esperienze fra i professionisti del

settore (nazionali e internazionali)• Riferimento per la ricerca di professionisti di sicurezza

IT• Interazione con altre organizzazioni professionali• Rilascio di attestati e certificazioni specifiche

AIPSI – Associazione Italiana Professionisti Sicurezza Informatica

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

Fonte: Verizon DBIR

ICT SECURITY E PMI

2 MINUTI IN UN VIDEO

ICT SECURITY E PMI

Innalziamo il livello di sicurezza fisico – Passo 1

• Sala CED chiusa a chiave• Nomina responsabili• Registro degli accessi• Sistema Antincendio• Sensori di temperatura• Temperatura adeguata• Apparati elettronici sollevati da terra• Accessi protetti, no finestre a vetri

REQUISITI MINIMI

ICT SECURITY E PMI

Innalziamo il livello di sicurezza logico – Passo 2

• Policy sulle Password• Gestione centralizzata tipo AD• Log Management• Monitoring• Share Permission• NTFS Permission• Server adeguati (DFS, Rights Management Services)• Backup• Antivirus• Firewall

REQUISITI MINIMI

ICT SECURITY E PMI

Massima attenzione ai dipendenti e collaboratori

Il 100% delle informazioni aziendali in loro possesso è a rischio!

Attività consapevole:Posta Elettronica – USB – CLOUD – Social Network

Attività non consapevole: Telefono – Posta Elettronica - Social Network - Social Engineering

Innalziamo il livello di sicurezza culturale – Passo 3

… tutto lavoro per il responsabile della sicurezza informatica

ICT SECURITY E PMI

Alcuni consigli:

• Eliminare i dati superflui e tenere traccia dei dati presenti• Verifica periodica e regolare di tutte le policy di sicurezza• Analisi dei dati sugli incidenti di sicurezza• Valutazione dei rischi costante e aggiornata• Non sottovalutare mai gli avversari• Aggiornamento costante delle tecnologie utilizzate• Monitoraggio giornaliero di Backup, Antivirus, Firewall, Log Management

Non fidatevi di soluzioni universali per proteggere l’azienda!

ICT SECURITY E PMI

Cloud Computing

ICT SECURITY E PMI

Il Cloud è sicuro?

Account SecurityYou are responsible for safeguarding the password that you use to access the Services and you agree not to disclose your password to any third party. You are responsible for any activity using your account, whether or not you authorized that activity. You should immediately notify xxxxxx of any unauthorized use of your account.Your General ResponsibilitiesFiles and other content in the Services may be protected by intellectual property rights of others. Please do not copy, upload, download, or share files unless you have the right to do so. You, not xxxxxx, will be fully responsible and liable for what you copy, share, upload, download or otherwise use while using the Services. You must not upload spyware or any other malicious software to the Service.You, and not xxxxxx, are responsible for maintaining and protecting all of your files. Xxxxxx will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files.If your contact information, or other information related to your account, changes, you must notify us promptly and keep your information current.

ICT SECURITY E PMI

Ethical Hacking

• Ethical hacking, spesso eseguita da esperti informatici qualificati, è l'uso di competenze specifiche per determinare le vulnerabilità dei sistemi informatici. L'hacker etico valuta e suggerisce modifiche ai sistemi che li rendono meno probabili di essere penetrati.

• Molte aziende utilizzano i servizi di hacking etico a tempo pieno per mantenere i loro sistemi e informazioni al sicuro.

• Il lavoro di hacking etico da molti è ancora considerato pirateria perché utilizza la conoscenza dei sistemi informatici nel tentativo di penetrare o crashare. Al contrario, questo lavoro è etico perché viene eseguito per aumentare la sicurezza dei sistemi informatici.

• L'obiettivo di ethical hacking è quello di determinare il modo di violare i programmi presenti in esecuzione, ma solo su richiesta della società che possiede il sistema ed in particolare per impedire ad altri di attaccarlo.

ICT SECURITY E PMI

Information Gathering

- Rappresenta la fase della raccolta di informazioni.Quante più ne abbiamo meglio valuteremo la sicurezza aziendaleQuindi bisogna organizzare le informazioni in modo corretto.

- E’ la fase più importante del penetration test.- Durante le fasi successive potrebbe servire qualsiasi particolare.

NON CI SONO INFORMAZIONI NON NECESSARIE!

ICT SECURITY E PMI

Attività passiva:Information gathering passive o OSINT (Open Source Intelligence) è la modalità di raccolta informazioni tenendo nascosta la propria identità.

Attività attiva:Raccolta di informazioni sull’organizzazione attraverso IDS o log di servizi

Information Gathering

BUSINESS INFRASTRUCTURE

ICT SECURITY E PMI

Social Engineering

La maggior parte delle persone quando pubblica qualcosa sul WEB o meglio suiSocial network non pensa a quanto queste informazioni possano essere potenzialmente dannose

Phishing Pretexting

Baiting Phisical

ICT SECURITY E PMI

Grazie per l’attenzione

www.massimochirivi.netinfo@massimochirivi.net

FacebookSkype: mchirivi

LinkedinSito smau – www.smau.itSito AIPSI -- www.aipsi.org

Studia, prova, amplia, ricerca, analizza, migliora …… condividi con gli altri anche tu

… sempre con il cappello bianco