[Vadruccio] [Gianluca]

CURRICULUM VITAE
INFORMAZIONI
PERSONALI
Nome
[Vadruccio] [Gianluca]
Data di nascita
16 Febbraio 1971
Qualifica
Dirigente Analista
Amministrazione
Unita Operativa Sistemi Informativi ed Informatici
Incarico attuale
Sicurezza Informatica
Numero telefonico
dell'ufficio
02.55038518
Fax dell'ufficio
02.55038506
E-mail istituzionale
[email protected]
TITOLI DI STUDIO E
PROFESSIONALI ED
ESPERIENZE
LAVORATIVE
Titolo di studio
Altri titoli di studio e
professionali
Esperienze professionali
(incarichi ricoperti)
→ Laurea: Ingegneria Informatica – Politecnico di Milano – 22 Dicembre 1997
→ Superato l’esame di Stato per l’abilitazione alla professione di Ingegnere
→ Master: Tecnologia dell’Informazione – CEFRIEL – Milano – Settembre 1997 /
Luglio 1998
→ Progetto Robotica: Consiglio Nazionale di Ricerca (CNR) - Ottobre 1994 / Maggio
1995
Società: Hacking Team (dal 2004 al 2009)
Durante i primi due anni, trattandosi di una startup, ho avuto la responsabilità di
organizzare il portafoglio d’offerta, la delivery dei progetti, la documentazione formale,
i processi interni e la selezione/crescita del personale.
A struttura avvenuta mi sono occupato della gestione di progetti di sicurezza su
alcune tematiche principali (con l’aiuto di due persone di fiducia e di una squadra di
10 collaboratori): security plan, event correlation, progettazione di architetture sicure,
sistemi di provisioning, endpoint security, ethical hacking.
La tematica su cui mi sto concentrando attualmente è la fuga di notizie e la protezione
del patrimonio informativo (data loss prevention), in parallelo alle seguenti
responsabilità:
→ responsabilità della prevendita, dei progetti e di tutte le scelte tecnologiche
→ responsabile dello scouting di nuovi prodotti e di tutto il delivery pre e postvendita
→ partecipazione al business development sui clienti
→ affiancamento alla direzione per le attività di marketing, per le relazioni di
partnership, per la definizione dell’offerta e per le scelte strategiche
→ gestione di un team di 10 persone
Società: CryptoNet (dal 1998 al 2004)
E’ stata per due anni una vera e propria palestra del settore sicurezza informatica. Ho
potuto apprendere le metodologie e le tecnologie della sicurezza informatica ed ho
partecipato a parecchi progetti relativi alla sicurezza perimetrale (firewall, vpn, ids/ips,
pki, content filtering). Nella parte centrale di questa esperienza ho condotto, in qualità
di project manager, alcuni progetti di una certa complessità relativamente alle
tecnologie di cui avevo conoscenza ed ho partecipato a progetti di altre discipline
(vulnerability assessment, analisi del rischio, security policy, strong authentication,
single sign-on, log management).
Gli ultimi due anni ho ricoperto il ruolo di responsabile dell’area Network Security con
mansioni di:
→ supporto al settore commerciale (prevendita e technical account
management),
→ responsabilità di tutti i progetti dell’area network security presso i clienti
→ gestione di un team di 8 persone
Capacità linguistiche
Lingua
Comprensione
Scritto
Conversazione
inglese
buona
ottimo
buona
francese
buona
scolastico
scolastica
Vulnerability Assessment e Risk Assessment:
→ Analisi del rischio informatico e procedurale di sistemi, rilevamento delle
vulnerabilità e delle debolezze di sistemi/procedure. Analisi del rischio a livello
di dati e procedure organizzative e a livello di vulnerabilità tecniche dei livelli
2,3,4.
→ Studio dell’architettura di rete di un’organizzazione e della struttura dei servizi
offerti nell’ottica dell’abbattimento del rischio informatico.
→ Security planning in merito alle leggi 196/03 (Testo Unico sulla Privacy del
2003), 231 (Illeciti amministrativi) e 547 (frodi informatiche) ed alle normative
Basilea2/ABI per il mondo bancario, ISVAP per il mondo assicurativo e, in
generale, la ISO27001.
Capacità nell'uso delle
tecnologie
Log Management e Event Correlation:
→ Progettazione/implementazione di sistemi di gestione e consolidamento dei
log e correlazione degli eventi per funzionalità di sicurezza, di tracciabilità e di
accounting. Post-Attack analysis e rilevamento delle anomalie di rete e di
sistema.
→ Cruscotto per il monitoraggio della sicurezza ed il tracciamento delle attività in
conformità alle normative ed alle leggi vigenti.
→ Implementazione di sistemi e procedure per la gestione degli incidenti
(Incident Response Team and Procedure).
Awareness, Training & Education Security:
→ Definizione e progettazione del Awareness & Training Program: sviluppo della
consapevolezza sulla Security.
→ Stretagia di esecuzione delle iniziative e dei programmi di awareness (plan
and assess, execute and manage, evaluate and adjust): come aumentare il
livello di security awareness.
Identity and Access Management (IAM):
→ Progettazione di sistemi per il controllo degli accessi e delle credenziali
utente.
→ Pianificazione organizzativa e di processo per l’automatizzazione del
provisioning/deprovisioning delle risorse aziendali e per la riconciliazione con
le periferie (controllo ed allineamento delle politiche e dei privilegi).
→ Progettazione di sistemi di Single Sign-on e Password Management.
Ethical Hacking:
→ Azioni di hacking con l’obiettivo di rilevare punti di debolezza del perimetro
aziendale e fornire uno stato dell’arte della sicurezza perimetrale.
→ Piano di azione per la minimizzazione del rischio ed azioni tecniche,
architetturali e procedurali per l’eliminazione delle vulnerabilità: fixing strategy,
risk mitigation plan, security plan
→ Simulazione dei profili per verificare i reali permessi delle utenze e l’aderenza
alle politiche aziendali: simulazione consulente, simulazione dipendente,
simulazione hacker, simulazione fornitore, simulazione amministratore.
Security Policy
→ Azioni di verifica della compliance con le leggi e le normative vigenti in ambito
ICT Security; definizione ed implementazione di un piano a copertura del gap
riscontrato.
→ Security Policies Definition e stesura del Piano della Sicurezza (politiche
organizzative, procedurali e tecnologiche) e del DPS.
Difesa perimetrale:
→ Sistemi di firewalling: progettazione di sistemi firewall complessi,
ottimizzazione e gestione delle regole, definizione ed attuazione delle
politiche e dei flussi di traffico.
→ Reti Private Virtuali: progettazione/implementazione di VPN IPSec e VPN
SSL.
→ Intrusion Detection System (IDS) and Intrusion Prevention System (IPS):
progettazione ed implementazione di sistemi anti-intrusione per proteggere il
sistema da attacchi interni o da attacchi che hanno superato la barriera
firewall. Progettazione di IDS avanzati in ambienti switched ed in ambienti ad
alta densità di traffico.
→ Content filtering: progettazione ed implementazione di sistemi di url filtering,
mail filtering, antispam, anti-phishing (protezione della navigazione e del
sistema di posta elettronica).
Strong Authentication:
→ Adozione della tecnologia opportuna e delle soluzioni ottimali per il
raggiungimento della strong authentication aziendale.
→ Gestione e controllo delle credenziali utente ed utilizzo di token, chiavette
USB e smartcard, fino ad arrivare al concetto di company card.
→ Progettazione/Implementazione di infrastrutture di certificazione CA e PKI per
l’autenticazione forte di utenti e/o dispositivi, per la confidenzialità/integrità dei
dati e delle mail.
Desktop Security e Policy Enforcement:
→ Progettazione ed implementazione di sistemi di protezione dei dati sensibili e
di accesso riservato a file condivisi (crittografia del disco o di porzioni di disco
per stazioni di lavoro fisse e mobili e secure file sharing)
→ Definizione di politiche e di audit per la garanzia del rispetto delle politiche
aziendali in termini di utilizzo e di accesso alle risorse
Altro (partecipazione a
convegni e seminari,
pubblicazioni,
collaborazioni a riviste;
ecc., ed ogni altra
informazione che il
dirigente ritiene di dover
pubblicare)
Patch Management and Vulnerability Remediation:
→ Definizione e progettazione di sistemi di gestione delle patch e delle
vulnerabilità con relative procedure di testing e di roll-back
Partecipazione a corsi tecnici di varia natura sui prodotti e le tecnologie elencate nella
sezione “Capacità nell'uso delle tecnologie”
Corsi manageriali:
→ Project Management (2001)
→ Il Project Plan (2001)
→ Abilità manageriali: gestione delle risorse umane, lavoro di gruppo, analisi
transazionale, gestione dei conflitti, negoziazione, comportamento e
comunicazione, leadership (2002)
→ Le leggi della Information Security (2004)
→ Tecniche di budget e controllo budgettario (2006)
Relatore presso:
→ Sessione di studio AIEA: la protezione del patrimonio informativo (Data Loss
Prevention) (Aprile 2008)
→ Università Statale di Milano: tutor per 3 stagisti del Master in Sicurezza delle
tecnologie dell’informazione e della comunicazione – Argomenti: Event
correlation – Log Centralization Performances – Penetration Test avanzato,
studio di una metodologia e scelta di una piattaforma (2003)
→ Università Statale di Milano: relatore per la tesi di laurea “Managed Security
Services: monitoring di una rete aziendale mediante tecnologie di log
consolidation e correlazione degli eventi” (2002)
→ Facoltà di Ingegneria dell’Università di Trento: seminari di Network Security
(2001)
→ Dipartimento di Scienza dell’Informazione dell’Università Statale di Milano:
seminari di Network Security (2001)
→ Università di Lecce: corso di Information Security (Luglio 2000)