際際滷

際際滷Share a Scribd company logo

Go2Tec - Security assessment e normative - Riccardo Barghini

AFB Net
AFB Net

Se vuoi ricevere la presentazione, invia un e-mail a info@afbnetgroup.it

1 of 19
Security assessment e normative Riccardo Barghini
Agenda Valutazione livello di sicurezza Leggi e Normative attuali Documento di Security Assessment Benefici Aziendali Che cosa propone il gruppo AFBNet Sicurezza e protezione dei dati aziendali
Complessit e problematiche di valutazione Una valutazione complessiva delle stato di sicurezza aziendale 竪 complesso. Necessita di strumenti validi di valutazione dei risultati ottenuti I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dellinfrastruttura attualeT
Complessit e problematiche di valutazione
Leggi e Normative A differenza degli anni passati la tutela dei dati adesso ha normative specifiche e legislazione. Non pi湛 Best Practices . La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup , allaccesso e alle possibili metodologie di ripristino. Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC
Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione. Documento di valutazione Risk Documento di Valutazione di Risk Assessment
Definizione del Valore di Rischi In base a questa visione si pu嘆 definire un fattore di rischio nellambito di ogni sezione e sottosezione dellassessment; il fattore di rischio pu嘆 avere una valutazione qualitativa o quantitativa, tenendo presente che in ogni caso 竪 costituito dalla formula: Rischio = Vulnerabilit X Impatto X Probabilit dove vulnerabilit 竪 un coefficiente che misura quanto il sistema sia sensibile ad un determinato evento, impatto misura le conseguenze sul business del verificarsi di un determinato evento e probabilit 竪 la misura, appunto, della probabilit che un tale evento si verifichi.
Risk Assessment Un piano di Risk Assessment passa dalla valutazione di 10 sezioni. La redazione di un documento in normativa ISO 27001 che specifica una serie di attivit, controlli, fattori di rischio e indicazioni
Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
Come viene effettuata lanalisi Lanalisi viene eseguita mediante lutilizzo di Tools specifici alla scansione, cattura e analisi dellintera infrastruttura IT. Come scansione interna con e senza credenziali Come Penetration Test da Internet Interviste specifiche a personale aziendale IT e non Sono utilizzati strumenti specifici come Nessus, LanGuard, Microsoft Security Analyzer.
Scanner e Log
Scanner e Log
Redazione del documento di Risk Assessment Una volta catturati tutti i log sono aggregati per : Secondo le discipline individuate dal documento ISO di Risk Assessment Per tipologia Per valore di rischio Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA
Risultati di un documento di Risk Assessment
Risultati di un documento di Risk Assessment
Benefici Aziendali Che cosa permette di ottenere questo documento . 1. Colmare il Gap di comunicazione IT e Direzione 2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici. 3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale. 4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.
Che cosa propone il Gruppo AFBNet Group AFBNet Group propone una serie di soluzioni sia tecniche che consulenziali : Realizzazione del piano di scansione dellinfrastruttura IT tramite strumenti sia Commerciali che Open Source. Consulenza tecnica e legale (opzionale tramite consulente esterno ). Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilit. Sfruttare al meglio linfrastruttura esistente per renderla pi湛 sicura e adeguata alle normative.
Grazie dellAttenzione

More Related Content

Go2Tec - Security assessment e normative - Riccardo Barghini

  • 1. Security assessment e normative Riccardo Barghini
  • 2. Agenda Valutazione livello di sicurezza Leggi e Normative attuali Documento di Security Assessment Benefici Aziendali Che cosa propone il gruppo AFBNet Sicurezza e protezione dei dati aziendali
  • 3. Complessit e problematiche di valutazione Una valutazione complessiva delle stato di sicurezza aziendale 竪 complesso. Necessita di strumenti validi di valutazione dei risultati ottenuti I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dellinfrastruttura attualeT
  • 4. Complessit e problematiche di valutazione
  • 5. Leggi e Normative A differenza degli anni passati la tutela dei dati adesso ha normative specifiche e legislazione. Non pi湛 Best Practices . La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup , allaccesso e alle possibili metodologie di ripristino. Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC
  • 6. Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione. Documento di valutazione Risk Documento di Valutazione di Risk Assessment
  • 7. Definizione del Valore di Rischi In base a questa visione si pu嘆 definire un fattore di rischio nellambito di ogni sezione e sottosezione dellassessment; il fattore di rischio pu嘆 avere una valutazione qualitativa o quantitativa, tenendo presente che in ogni caso 竪 costituito dalla formula: Rischio = Vulnerabilit X Impatto X Probabilit dove vulnerabilit 竪 un coefficiente che misura quanto il sistema sia sensibile ad un determinato evento, impatto misura le conseguenze sul business del verificarsi di un determinato evento e probabilit 竪 la misura, appunto, della probabilit che un tale evento si verifichi.
  • 8. Risk Assessment Un piano di Risk Assessment passa dalla valutazione di 10 sezioni. La redazione di un documento in normativa ISO 27001 che specifica una serie di attivit, controlli, fattori di rischio e indicazioni
  • 9. Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
  • 10. Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza
  • 11. Come viene effettuata lanalisi Lanalisi viene eseguita mediante lutilizzo di Tools specifici alla scansione, cattura e analisi dellintera infrastruttura IT. Come scansione interna con e senza credenziali Come Penetration Test da Internet Interviste specifiche a personale aziendale IT e non Sono utilizzati strumenti specifici come Nessus, LanGuard, Microsoft Security Analyzer.
  • 14. Redazione del documento di Risk Assessment Una volta catturati tutti i log sono aggregati per : Secondo le discipline individuate dal documento ISO di Risk Assessment Per tipologia Per valore di rischio Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA
  • 15. Risultati di un documento di Risk Assessment
  • 16. Risultati di un documento di Risk Assessment
  • 17. Benefici Aziendali Che cosa permette di ottenere questo documento . 1. Colmare il Gap di comunicazione IT e Direzione 2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici. 3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale. 4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.
  • 18. Che cosa propone il Gruppo AFBNet Group AFBNet Group propone una serie di soluzioni sia tecniche che consulenziali : Realizzazione del piano di scansione dellinfrastruttura IT tramite strumenti sia Commerciali che Open Source. Consulenza tecnica e legale (opzionale tramite consulente esterno ). Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilit. Sfruttare al meglio linfrastruttura esistente per renderla pi湛 sicura e adeguata alle normative.