[Vadruccio] [Gianluca]
Transcript
[Vadruccio] [Gianluca]
CURRICULUM VITAE INFORMAZIONI PERSONALI Nome [Vadruccio] [Gianluca] Data di nascita 16 Febbraio 1971 Qualifica Dirigente Analista Amministrazione Unita Operativa Sistemi Informativi ed Informatici Incarico attuale Sicurezza Informatica Numero telefonico dell'ufficio 02.55038518 Fax dell'ufficio 02.55038506 E-mail istituzionale [email protected] TITOLI DI STUDIO E PROFESSIONALI ED ESPERIENZE LAVORATIVE Titolo di studio Altri titoli di studio e professionali Esperienze professionali (incarichi ricoperti) → Laurea: Ingegneria Informatica – Politecnico di Milano – 22 Dicembre 1997 → Superato l’esame di Stato per l’abilitazione alla professione di Ingegnere → Master: Tecnologia dell’Informazione – CEFRIEL – Milano – Settembre 1997 / Luglio 1998 → Progetto Robotica: Consiglio Nazionale di Ricerca (CNR) - Ottobre 1994 / Maggio 1995 Società: Hacking Team (dal 2004 al 2009) Durante i primi due anni, trattandosi di una startup, ho avuto la responsabilità di organizzare il portafoglio d’offerta, la delivery dei progetti, la documentazione formale, i processi interni e la selezione/crescita del personale. A struttura avvenuta mi sono occupato della gestione di progetti di sicurezza su alcune tematiche principali (con l’aiuto di due persone di fiducia e di una squadra di 10 collaboratori): security plan, event correlation, progettazione di architetture sicure, sistemi di provisioning, endpoint security, ethical hacking. La tematica su cui mi sto concentrando attualmente è la fuga di notizie e la protezione del patrimonio informativo (data loss prevention), in parallelo alle seguenti responsabilità: → responsabilità della prevendita, dei progetti e di tutte le scelte tecnologiche → responsabile dello scouting di nuovi prodotti e di tutto il delivery pre e postvendita → partecipazione al business development sui clienti → affiancamento alla direzione per le attività di marketing, per le relazioni di partnership, per la definizione dell’offerta e per le scelte strategiche → gestione di un team di 10 persone Società: CryptoNet (dal 1998 al 2004) E’ stata per due anni una vera e propria palestra del settore sicurezza informatica. Ho potuto apprendere le metodologie e le tecnologie della sicurezza informatica ed ho partecipato a parecchi progetti relativi alla sicurezza perimetrale (firewall, vpn, ids/ips, pki, content filtering). Nella parte centrale di questa esperienza ho condotto, in qualità di project manager, alcuni progetti di una certa complessità relativamente alle tecnologie di cui avevo conoscenza ed ho partecipato a progetti di altre discipline (vulnerability assessment, analisi del rischio, security policy, strong authentication, single sign-on, log management). Gli ultimi due anni ho ricoperto il ruolo di responsabile dell’area Network Security con mansioni di: → supporto al settore commerciale (prevendita e technical account management), → responsabilità di tutti i progetti dell’area network security presso i clienti → gestione di un team di 8 persone Capacità linguistiche Lingua Comprensione Scritto Conversazione inglese buona ottimo buona francese buona scolastico scolastica Vulnerability Assessment e Risk Assessment: → Analisi del rischio informatico e procedurale di sistemi, rilevamento delle vulnerabilità e delle debolezze di sistemi/procedure. Analisi del rischio a livello di dati e procedure organizzative e a livello di vulnerabilità tecniche dei livelli 2,3,4. → Studio dell’architettura di rete di un’organizzazione e della struttura dei servizi offerti nell’ottica dell’abbattimento del rischio informatico. → Security planning in merito alle leggi 196/03 (Testo Unico sulla Privacy del 2003), 231 (Illeciti amministrativi) e 547 (frodi informatiche) ed alle normative Basilea2/ABI per il mondo bancario, ISVAP per il mondo assicurativo e, in generale, la ISO27001. Capacità nell'uso delle tecnologie Log Management e Event Correlation: → Progettazione/implementazione di sistemi di gestione e consolidamento dei log e correlazione degli eventi per funzionalità di sicurezza, di tracciabilità e di accounting. Post-Attack analysis e rilevamento delle anomalie di rete e di sistema. → Cruscotto per il monitoraggio della sicurezza ed il tracciamento delle attività in conformità alle normative ed alle leggi vigenti. → Implementazione di sistemi e procedure per la gestione degli incidenti (Incident Response Team and Procedure). Awareness, Training & Education Security: → Definizione e progettazione del Awareness & Training Program: sviluppo della consapevolezza sulla Security. → Stretagia di esecuzione delle iniziative e dei programmi di awareness (plan and assess, execute and manage, evaluate and adjust): come aumentare il livello di security awareness. Identity and Access Management (IAM): → Progettazione di sistemi per il controllo degli accessi e delle credenziali utente. → Pianificazione organizzativa e di processo per l’automatizzazione del provisioning/deprovisioning delle risorse aziendali e per la riconciliazione con le periferie (controllo ed allineamento delle politiche e dei privilegi). → Progettazione di sistemi di Single Sign-on e Password Management. Ethical Hacking: → Azioni di hacking con l’obiettivo di rilevare punti di debolezza del perimetro aziendale e fornire uno stato dell’arte della sicurezza perimetrale. → Piano di azione per la minimizzazione del rischio ed azioni tecniche, architetturali e procedurali per l’eliminazione delle vulnerabilità: fixing strategy, risk mitigation plan, security plan → Simulazione dei profili per verificare i reali permessi delle utenze e l’aderenza alle politiche aziendali: simulazione consulente, simulazione dipendente, simulazione hacker, simulazione fornitore, simulazione amministratore. Security Policy → Azioni di verifica della compliance con le leggi e le normative vigenti in ambito ICT Security; definizione ed implementazione di un piano a copertura del gap riscontrato. → Security Policies Definition e stesura del Piano della Sicurezza (politiche organizzative, procedurali e tecnologiche) e del DPS. Difesa perimetrale: → Sistemi di firewalling: progettazione di sistemi firewall complessi, ottimizzazione e gestione delle regole, definizione ed attuazione delle politiche e dei flussi di traffico. → Reti Private Virtuali: progettazione/implementazione di VPN IPSec e VPN SSL. → Intrusion Detection System (IDS) and Intrusion Prevention System (IPS): progettazione ed implementazione di sistemi anti-intrusione per proteggere il sistema da attacchi interni o da attacchi che hanno superato la barriera firewall. Progettazione di IDS avanzati in ambienti switched ed in ambienti ad alta densità di traffico. → Content filtering: progettazione ed implementazione di sistemi di url filtering, mail filtering, antispam, anti-phishing (protezione della navigazione e del sistema di posta elettronica). Strong Authentication: → Adozione della tecnologia opportuna e delle soluzioni ottimali per il raggiungimento della strong authentication aziendale. → Gestione e controllo delle credenziali utente ed utilizzo di token, chiavette USB e smartcard, fino ad arrivare al concetto di company card. → Progettazione/Implementazione di infrastrutture di certificazione CA e PKI per l’autenticazione forte di utenti e/o dispositivi, per la confidenzialità/integrità dei dati e delle mail. Desktop Security e Policy Enforcement: → Progettazione ed implementazione di sistemi di protezione dei dati sensibili e di accesso riservato a file condivisi (crittografia del disco o di porzioni di disco per stazioni di lavoro fisse e mobili e secure file sharing) → Definizione di politiche e di audit per la garanzia del rispetto delle politiche aziendali in termini di utilizzo e di accesso alle risorse Altro (partecipazione a convegni e seminari, pubblicazioni, collaborazioni a riviste; ecc., ed ogni altra informazione che il dirigente ritiene di dover pubblicare) Patch Management and Vulnerability Remediation: → Definizione e progettazione di sistemi di gestione delle patch e delle vulnerabilità con relative procedure di testing e di roll-back Partecipazione a corsi tecnici di varia natura sui prodotti e le tecnologie elencate nella sezione “Capacità nell'uso delle tecnologie” Corsi manageriali: → Project Management (2001) → Il Project Plan (2001) → Abilità manageriali: gestione delle risorse umane, lavoro di gruppo, analisi transazionale, gestione dei conflitti, negoziazione, comportamento e comunicazione, leadership (2002) → Le leggi della Information Security (2004) → Tecniche di budget e controllo budgettario (2006) Relatore presso: → Sessione di studio AIEA: la protezione del patrimonio informativo (Data Loss Prevention) (Aprile 2008) → Università Statale di Milano: tutor per 3 stagisti del Master in Sicurezza delle tecnologie dell’informazione e della comunicazione – Argomenti: Event correlation – Log Centralization Performances – Penetration Test avanzato, studio di una metodologia e scelta di una piattaforma (2003) → Università Statale di Milano: relatore per la tesi di laurea “Managed Security Services: monitoring di una rete aziendale mediante tecnologie di log consolidation e correlazione degli eventi” (2002) → Facoltà di Ingegneria dell’Università di Trento: seminari di Network Security (2001) → Dipartimento di Scienza dell’Informazione dell’Università Statale di Milano: seminari di Network Security (2001) → Università di Lecce: corso di Information Security (Luglio 2000)