Slides
Transcript
Slides
Quando inizi ad accettare l'impossibile, rischi di scoprire la verità (sulla sicurezza delle applicazioni in the cloud) http://www.alba.st/ Verona, Milano, Roma Phone/Fax +39 045 8271202 Alessio L.R. Pennasilico [email protected] Alessio L.R. Pennasilico Security Evangelist @ Board of Directors: Associazione Informatici Professionisti, CLUSIT, OPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project ! Alessio L.R. Pennasilico [email protected] 2 Di cosa ci occupiamo? Servizi a valore aggiunto: Gap Analysis, Gestione della Compliance, Penetration Test, Attack Mitigation, Hardening, Crisis Management, Formazione Gestione dell’infrastruttura: Switching, Routing, Firewalling, Bridging, Wireless, VoIP, Virtualization Alessio L.R. Pennasilico [email protected] 3 Security Operation Center ERT SOC Alessio L.R. Pennasilico [email protected] 4 World Wide Work Customers Conferences Customers & Conferences Alessio L.R. Pennasilico [email protected] 5 Research Programs CrISTAL Critical Infrastructures Security Testing and Analysis Lab Childhood ITSec Awareness Permanent Program Alessio L.R. Pennasilico [email protected] 6 Credits Grazie ai colleghi con i quali lavoro su questi temi: Elisa Bortolani Raoul Chiesa Andrea Zapparoli Manzoni Daniele Martini Enzo Maria Tieghi Alessio L.R. Pennasilico [email protected] 7 Disclaimer Sono personalmente responsabile di tutto quel che dirò, che rappresenta la mia opinione e la mia soltanto Alessio L.R. Pennasilico [email protected] 8 Alessio L.R. Pennasilico - http://www.alba.st/ Lo scenario Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell’anno precedente cosa ci si aspetta dall’anno in corso Alessio L.R. Pennasilico [email protected] 10 Contenuti ✓ Panoramica degli eventi cybercrime e incidenti informatici più significativi del 2012, verificatisi in Italia e nel mondo, con tendenze per il 2013 ed oltre ✓ Analisi del mercato italiano della sicurezza ICT e tendenze degli investimenti delle aziende. Analisi e prospettive del mercato del lavoro nel nostro settore. ✓ 7 Focus on: Mobile Security, Social Media Security, Cloud Security, Sicurezza in Sanità, e-Commerce, il protocollo IPv6, Il salvataggio delle informazioni e la continuità di servizio. Alessio L.R. Pennasilico [email protected] 11 Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci Alessio L.R. Pennasilico [email protected] 12 Panoramica cybercrime Analisi della situazione italiana Fonte: Paolo Passeri – www.hackmageddon.com Alessio L.R. Pennasilico [email protected] Perché preoccuparsi? Nel 2012 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 252% Campione 1652 attacchi internazionali Alessio L.R. Pennasilico [email protected] 14 Trend di crescita 2011 2012 Totale Incremento Ins$tu$ons:)Gov),)Mil),)LEAs),)Intelligence 153 374 527 244,44% Others 97 194 291 200,00% Industry:)Entertainment)/)News 76 175 251 230,26% Industry:)Online)Services)/)Cloud) 15 136 151 906,67% Ins$tu$ons:)Research),)Educa$on 26 104 130 400,00% Industry:)Banking)/)Finance) 17 59 76 347,06% Industry:)SoQware)/)Hardware)Vendor 27 59 86 218,52% Industry:)Telco 11 19 30 172,73% Gov.)Contractors)/)Consul$ng 18 15 33 ,16,67% Industry:)Security)Industry: 17 14 31 ,17,65% Religion) 0 14 14 1400,00% Industry:)Health 10 11 21 110,00% Industry:)Chemical)/)Medical 2 9 11 450,00% 469 1.183 1.652 252,24 VITTIME&PER&TIPOLOGIA TOTALE Alessio L.R. Pennasilico [email protected] 15 Chi attacca? Perché? Alessio L.R. Pennasilico [email protected] L’Italia #1 ➡ ➡ ➡ ➡ I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012) Gli utenti di Social Network sono l’85,6% degli utenti online (23 M) Il 28% della popolazione usa uno smartphone (17 M) In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure. ➡ Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti) Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi. ➡ Alessio L.R. Pennasilico [email protected] 17 L’Italia #2 ➡ ➡ ➡ Nel 2012 l’Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC infettati e controllati da cyber criminali (le cosiddette botnet). Nel 2012 8,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi) Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed 11.893 utenti, causando il furto di oltre 16 milioni di euro in pochi giorni. Alessio L.R. Pennasilico [email protected] 18 Cosa ci aspettiamo? Cybercrime: in mancanza sia di barriere all’ingresso che di forme efficaci di contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli tradizionali veicolati e/o commessi con l’ausilio di sistemi ICT. Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage. Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di “tutti contro tutti”. Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War). Crescente rischio di “Black Swans” ed instabilità sistemica diffusa. Alessio L.R. Pennasilico [email protected] 19 Alessio L.R. Pennasilico - http://www.alba.st/ Hacker ed i media Titolo #2 C'è una guerra là fuori e non vincerà chi ha più pallottole Alessio L.R. Pennasilico [email protected] 21 Contributo video Alessio L.R. Pennasilico [email protected] 22 Quote del Video Il nostro mondo non è più dominato dalle armi, dall'energia, dai soldi; è dominato da piccoli uno e zero, da bit e da dati, tutto è solo elettronica. C'è una guerra là fuori, amico mio. Una guerra mondiale. E non ha la minima importanza chi ha più pallottole, ha importanza chi controlla le informazioni. Ciò che si vede, si sente, come lavoriamo, cosa pensiamo, si basa tutto sull'informazione! Alessio L.R. Pennasilico [email protected] 23 Internet è reale Alessio L.R. Pennasilico [email protected] 24 Titolo #3 Clicca qui per fare avere tutti i tuoi dati ad una organizzazione criminale Alessio L.R. Pennasilico [email protected] 25 SecurityFocus breach 2001 - November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. http://www.sikurezza.org/ml/12_01/msg00006.html Alessio L.R. Pennasilico [email protected] 26 Quanta attenzione... Alessio L.R. Pennasilico [email protected] 27 WikiLeaks "Could become as important a journalistic tool as the Freedom of Information Act." Time Magazine http://wikileaks.org/ Alessio L.R. Pennasilico [email protected] 28 Anonymous https://secure.wikimedia.org/wikipedia/it/wiki/Anonymous Alessio L.R. Pennasilico [email protected] 29 Lulzsec https://twitter.com/#!/LulzSec Alessio L.R. Pennasilico [email protected] 30 CCC Le forze dell’ordine tedesche utilizzano malware per spiare i criminali/cittadini? http://www.ccc.de/en/updates/2011/staatstrojaner Alessio L.R. Pennasilico [email protected] 31 Forze dell’ordine In Italia? http://www.repubblica.it/politica/2011/06/22/news/mail_spia_hacker-18041273/ Alessio L.R. Pennasilico [email protected] 32 SecurityFocus breach 2001 - November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. http://www.sikurezza.org/ml/12_01/msg00006.html Alessio L.R. Pennasilico [email protected] 33 Quanta attenzione... Alessio L.R. Pennasilico [email protected] 34 Pallottole... Alessio L.R. Pennasilico [email protected] 35 Credenziali Alessio L.R. Pennasilico [email protected] 36 Identity theft Solo un furto di denaro? Alessio L.R. Pennasilico [email protected] 37 Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi Alessio L.R. Pennasilico [email protected] 38 Password in chiaro Analisi tecnica? Analisi del rischio? Alessio L.R. Pennasilico [email protected] 39 Chi vuole le informazioni? La criminalità organizzata mondiale ha capito da tempo che con “quelli dei computer” è possibile gestire truffe estremamente redditizie Alessio L.R. Pennasilico [email protected] 40 Costo di un incidente? Il danno medio di una intrusione informatica è in costante aumento Il costo per commissionare un attacco è in costante diminuzione Il numero di intrusioni informatiche... Alessio L.R. Pennasilico [email protected] 41 Problema tecnologico? Siamo sicuri che il problema sia l’informatica? Il budget? Il tempo? Alessio L.R. Pennasilico [email protected] 42 Alessio L.R. Pennasilico - http://www.alba.st/ Da chi ci dobbiamo difendere? Hacker’s Profiling Project Il progetto H.P.P. si pone l’obiettivo di analizzare il fenomeno tecnologico, sociale ed economico dell’hacking e del cybercrime nelle sue mille sfaccettature, mediante approcci sia di tipo tecnico che criminologico Alessio L.R. Pennasilico [email protected] 44 Hacker “ I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. ” Captain Crunch Tratto da “Secrets of the Little Blue Box “ Esquire Magazine, Ottobre 1971 Alessio L.R. Pennasilico [email protected] 45 I profili Alessio L.R. Pennasilico [email protected] 46 L’etica e la percezione Alessio L.R. Pennasilico [email protected] 47 Deterrenti Alessio L.R. Pennasilico [email protected] 48 Cosa si evince? Dal curioso che gioca con gli amici ... ... al criminale al servizio dei criminali ... ... che non conosce deterrente ... Alessio L.R. Pennasilico [email protected] 49 Alessio L.R. Pennasilico - http://www.alba.st/ Conseguenze nel mondo reale Mobile Botnet di Smartphone Alessio L.R. Pennasilico [email protected] 51 iPhone Worm: Rickrolls Jailbreak di iPhone: qualcuno cambia la password di root? (Novembre 2009) Alessio L.R. Pennasilico [email protected] 52 PDF Alessio L.R. Pennasilico [email protected] 53 Alessio L.R. Pennasilico [email protected] 54 Bakeca.it DDoS http://www.slideshare.net/mayhemspp/bakeca-ddos-hope Alessio L.R. Pennasilico [email protected] 55 SCADA Alessio L.R. Pennasilico [email protected] 56 L’automazione Industriale Un tema così attuale e difficile da trattare Clusit ha prodotto una monografia per approfondire il tema Alessio L.R. Pennasilico [email protected] 57 WiFi in fabbrica Alessio L.R. Pennasilico [email protected] 58 Un tema sempre più noto Alessio L.R. Pennasilico [email protected] 59 Worms “In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours.” NIST, Guide to SCADA Alessio L.R. Pennasilico [email protected] 60 Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/ Alessio L.R. Pennasilico [email protected] 61 Il costo dell’hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato a L3 3M € vs 3K €: progetto bocciato Alessio L.R. Pennasilico [email protected] 62 Alessio L.R. Pennasilico - http://www.alba.st/ Cloud Marketing Performance Il cloud mette a disposizione risorse che difficilmente sarebbero gestibili “in-house” anche da clienti finali anche molto grandi Alessio L.R. Pennasilico [email protected] 64 Flessibilità Sul cloud posso aumentare o diminuire le risorse utilizzate (pagate) secondo necessità Alessio L.R. Pennasilico [email protected] 65 Sicurezza I grandi player garantiscono strumenti tecnologici e di governance che offrono una sicurezza superiore a quella che dovrebbero garantire le soluzioni “in-house” Alessio L.R. Pennasilico [email protected] 66 Disponibilità Il cloud utilizza strumenti e protocolli standard, garantisce l’interoperabilità e la possibilità di trasportare il dato da un contesto all’altro Alessio L.R. Pennasilico [email protected] 67 Cloud Un mondo dorato di soffici arcobaleni? Alessio L.R. Pennasilico [email protected] 68 Cloud “Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati” Bertolt Brecht Alessio L.R. Pennasilico [email protected] 69 Value proposition? DDOS? High Performance? Scaling resorces? Pay per use? Dynamic adapting? Mobile users? Alessio L.R. Pennasilico [email protected] 70 Non è tutto oro... Ma forse è ora? Alessio L.R. Pennasilico [email protected] 71 Problemi secondari PT? Data location? Audit? Alessio L.R. Pennasilico [email protected] 72 Digital divide Hai abbastanza banda? Una linea di backup? Alessio L.R. Pennasilico [email protected] 73 Alessio L.R. Pennasilico - http://www.alba.st/ La commedia Personaggi Il Governo Gli Hacker Il Popolo Internet Noi Alessio L.R. Pennasilico [email protected] 75 Abientazione Dove si è svolta l’intera commedia per me Alessio L.R. Pennasilico [email protected] 76 Ambientazione Reale? Alessio L.R. Pennasilico [email protected] 77 Ambientazione Reale? Alessio L.R. Pennasilico [email protected] 78 Prologo Alessio L.R. Pennasilico [email protected] 79 Prologo A volte la realtà supera la peggiore delle fiction Alessio L.R. Pennasilico [email protected] 80 Alessio L.R. Pennasilico - http://www.alba.st/ La notte del 19 Gennaio SOPA Stop Online Piracy Act La legge permetterebbe ai titolari di copyright statunitensi di agire direttamente per impedire la diffusione di contenuti protetti. A seconda del richiedente, le sanzioni potrebbero includere il divieto ai network pubblicitari o ai siti di gestione dei pagamenti d'intrattenere rapporti d'affari con il sito accusato delle infrazioni, il divieto ai motori di ricerca di mantenere attivi link verso il sito in questione e la richiesta agli Internet Service Provider di bloccare l'accesso al sito web. http://it.wikipedia.org/wiki/Stop_Online_Piracy_Act Alessio L.R. Pennasilico [email protected] 82 La protesta Alessio L.R. Pennasilico [email protected] 83 La protesta Google BoingBoing Wired Twitter Huffington Post Tumblr Craiglist Wordpress Mozilla EFF ArsTecnica Reddit O’Reilly Alessio L.R. Pennasilico [email protected] TechCrunch Xkcd GoDaddy Vimeo Amazon … 84 Il Grande giubilo I cittadini orientano la politica Grande vittoria della democrazia Alessio L.R. Pennasilico [email protected] 85 FBI vs MegaVideo http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=9998 Alessio L.R. Pennasilico [email protected] 86 Anonymous Alessio L.R. Pennasilico [email protected] 87 L’opinione di 2600 Most importantly, these attacks are turning attention away from what is going on with Wikileaks. This fight is not about a bunch of people attacking websites, yet that is what is in the headlines now. It certainly does not help Wikileaks to be associated with such immature and boorish activities any more than it helps the hacker community. From what we have been hearing over the past 24 hours, this is a viewpoint shared by a great many of us. http://www.2600.com/news/view/article/12037 Alessio L.R. Pennasilico [email protected] 88 Alessio L.R. Pennasilico - http://www.alba.st/ Mega* & Kim Kim Kimble Schmitz Dotcom Alessio L.R. Pennasilico [email protected] 90 Kimble come lo ricordiamo... Alessio L.R. Pennasilico [email protected] 91 Le reazioni nell’underground Alessio L.R. Pennasilico [email protected] 92 Kimble e la legge As a teenager, Dotcom earned a reputation in his native Germany for cracking corporate PBX systems in the United States […] That effort led to his arrest on charges of using and selling stolen calling card numbers. […] In 1998, Dotcom was sentenced to a probationary sentence of two years for computer fraud and handling stolen goods. https://en.wikipedia.org/wiki/Kim_Schmitz Alessio L.R. Pennasilico [email protected] 93 Kimble ed il denaro In January 2002, Dotcom was arrested in Bangkok, Thailand, deported to Germany, and sentenced to a probationary sentence of one year and eight months, and a €100,000 fine, the largest insider-trading case in Germany at the time. Dotcom also pleaded guilty to embezzlement in November 2003 and received a two-year probation sentence. https://en.wikipedia.org/wiki/Kim_Schmitz Alessio L.R. Pennasilico [email protected] 94 Kimble e l’innovazione In 1999, […] presented the "Megacar", a Brabustuned Mercedes-Benz S-Class W220 which, among other features, had a Windows NT server, a 17.3" SGI flat panel display and combined 16 GSM modules to provide mobile broadband Internet access. https://en.wikipedia.org/wiki/Kim_Schmitz Alessio L.R. Pennasilico [email protected] 95 Kimble e la musica MegaUpload is currently being portrayed by the MPAA and RIAA as one of the world’s leading rogue sites. But top music stars including P Diddy, Will.i.am, Alicia Keys, Snoop Dogg and Kanye West disagree and are giving the site their full support in a brand new song. https://torrentfreak.com/riaa-label-artists-a-list-stars-endorse-megaupload-in-new-song-111209/ Alessio L.R. Pennasilico [email protected] 96 Kimble e SOPA “We implemented this to give users the fastest and most direct channel to our sites,” Kim told TorrentFreak. “Mega is not concerned about SOPA or Protect IP. We are a legitimate online service provider, online for 7 years.” Alessio L.R. Pennasilico [email protected] 97 Errore? http://www.repubblica.it/tecnologia/2012/04/23/news/salta_estradizione_dot_com-33813600/ Alessio L.R. Pennasilico [email protected] 98 Alessio L.R. Pennasilico - http://www.alba.st/ Dubbi Domande nella notte Dove sono i nostri dati? Chi li può visionare? Conservare? I miei dati da chi verranno visionati? Saranno sempre nella mia disponibilità? Alessio L.R. Pennasilico [email protected] 100 Riservatezza? Kimble è tra i buoni o i cattivi? Resta il CEO pluricondannato che poteva chiedere ai suoi tecnici di vedere i dati dei clienti Alessio L.R. Pennasilico [email protected] 101 Mega*: solo film ed MP3? Dove sono ora i dati delle aziende paganti? Cosa fare degli abbonamenti pre-pagati? Alessio L.R. Pennasilico [email protected] 102 Paranoia is a virtue Alessio L.R. Pennasilico [email protected] 103 Alessio L.R. Pennasilico - http://www.alba.st/ Cloud services Servizi cloud Possono essere declinati in diverse modalità operative Alessio L.R. Pennasilico [email protected] 105 Cloud Services Alessio L.R. Pennasilico [email protected] 106 SaaS (Software as a Service) - Consiste nell'utilizzo di programmi installati su un server remoto, cioè fuori del computer fisico o dalla LAN locale, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso, ASP (Application service provider). http://it.wikipedia.org/wiki/Cloud_computing Alessio L.R. Pennasilico [email protected] 107 DaaS (Data as a Service) - Con questo servizio vengono messi a disposizione via web solamente i dati ai quali gli utenti possono accedere tramite qualsiasi applicazione come se fossero residenti su un disco locale. http://it.wikipedia.org/wiki/Cloud_computing Alessio L.R. Pennasilico [email protected] 108 HaaS (Hardware as a Service) - Con questo servizio l'utente invia dati ad un computer che vengono elaborati da computer messi a disposizione e restituiti all'utente iniziale. http://it.wikipedia.org/wiki/Cloud_computing Alessio L.R. Pennasilico [email protected] 109 PaaS (Platform as a Service) - Invece che uno o più programmi singoli, viene eseguita in remoto una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, etc. (ad esempio Google's App Engine) http://it.wikipedia.org/wiki/Cloud_computing Alessio L.R. Pennasilico [email protected] 110 IaaS (Infrastructure as a Service) - Utilizzo di risorse hardware in remoto. Questo tipo di cloud è quasi un sinonimo di Grid Computing, ma con una caratteristica imprescindibile: le risorse vengono utilizzate su richiesta o domanda al momento in cui una piattaforma ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo. http://it.wikipedia.org/wiki/Cloud_computing Alessio L.R. Pennasilico [email protected] 111 Cloud services Alessio L.R. Pennasilico [email protected] 112 Cloud services Alessio L.R. Pennasilico [email protected] 113 Cosa proteggere? A seconda del servizio sottoscritto possiamo adottare diverse misure Alessio L.R. Pennasilico [email protected] 114 SSL Solo perché sono paranoico non significa che non mi stiano seguendo... Alessio L.R. Pennasilico [email protected] 115 Cosa proteggere? Proteggere una applicazione è impossibile Proteggere una infrastruttura è doveroso Alessio L.R. Pennasilico [email protected] 116 Ambienti misti Alessio L.R. Pennasilico [email protected] 117 IaaS Segregation Alessio L.R. Pennasilico [email protected] 118 Firewall Cosa posso proteggere? Alessio L.R. Pennasilico [email protected] 119 AF Possiamo proteggere le nostre applicazioni se il deploy ha previsto questa funzionalità Alessio L.R. Pennasilico [email protected] 120 WAF E’ quasi certamente “roba web”: posso fare security su quel traffico? Alessio L.R. Pennasilico [email protected] 121 Protocolli del secolo scorso Posso gestire correttamente protocolli complessi? Lo posso fare io? Alessio L.R. Pennasilico [email protected] 122 VPN E’ necessario aggiungere ulteriori layer di sicurezza? E’ possibile farlo? Alessio L.R. Pennasilico [email protected] 123 DNS Non sottovalutate l’importanza delle “Pagine Gialle®” Alessio L.R. Pennasilico [email protected] 124 Chi sei? Cloud provider MSSP Cloud System Integrator Rivenditore Cliente Alessio L.R. Pennasilico [email protected] 125 Etica... DPI Filtering Alessio L.R. Pennasilico [email protected] 126 Compliance Che leggi è necessario rispettare? Che policy è necessario rispettare? Alessio L.R. Pennasilico [email protected] 127 Strumenti Che caratteristiche devono avere gli strumenti usati? Alessio L.R. Pennasilico [email protected] 128 Dati sensibili? Cosa carico in the cloud? Alessio L.R. Pennasilico [email protected] 129 Dati in the cloud Posso criptare le informazioni? Posso fare dei backup? Alessio L.R. Pennasilico [email protected] 130 Dati in the cloud Posso anonimizzare le informazioni ove necessario? Retention in caso di cancellazione? Alessio L.R. Pennasilico [email protected] 131 Altri meccanismi Come gestisco servizi basati su certificati? Alessio L.R. Pennasilico [email protected] 132 Monitoring Posso monitorare i miei servizi? Quali / Come? Alessio L.R. Pennasilico [email protected] 133 No-Cloud Il Cloud Computing può essere un importante strumento per creare valore per l’azienda tramite l’ottimizzazione di alcuni processi. Tuttavia va valutato con attenzione, sotto ogni aspetto implementativo ed organizzativo. Alessio L.R. Pennasilico [email protected] 134 Strumenti Non sempre è possibile utilizzare gli strumenti che siamo abituati ad avere a disposizione L’importante è poter utilizzare che avevo deciso essere necessari Alessio L.R. Pennasilico [email protected] 135 Alessio L.R. Pennasilico - http://www.alba.st/ Conclusioni Conclusioni Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci Alessio L.R. Pennasilico [email protected] 137 Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sulle persone Alessio L.R. Pennasilico [email protected] 138 Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori Alessio L.R. Pennasilico [email protected] 139 No-Cloud Il Cloud Computing può essere un importante strumento per lavorare meglio. Vanno valutate con attenzione i rischi. Alessio L.R. Pennasilico [email protected] 140 Conclusioni L’informatica deve rispondere alla necessità di creare valore per il “business” deve rispondere alla necessità di tutelare tutti gli asset “aziendali” Alessio L.R. Pennasilico [email protected] 141 Conclusioni L’analisi del rischio è e deve essere mirata a tutelare gli asset aziendali Alessio L.R. Pennasilico [email protected] 142 Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso Alessio L.R. Pennasilico [email protected] 143 Bibliografia http://www.salon.com/2000/06/14/love_7/singleton/ (Intervista a Courtney Love) https://torrentfreak.com/from-rogue-to-vogue-megaupload-and-kim-dotcom-111218/ http://arstechnica.com/tech-policy/news/2012/04/megaupload-erasing-our-servers-as-the-us-wants-would-deny-us-a-fair-trial.ars http://www.futurodigitale.com/i-tech/la-verita-sulla-chiusura-di-megaupload Alessio L.R. Pennasilico [email protected] 144 Domande? Grazie! http://www.alba.st/ Verona, Milano, Roma Phone/Fax +39 045 8271202 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons AttributionShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :) Alessio L.R. Pennasilico [email protected]