1 / 26

Privacy e Sicurezza dalla compliance alla data loss prevention

Privacy e Sicurezza dalla compliance alla data loss prevention. Antonio Forzieri – CISSP, CISA, CISM. TSO Practice Manager, Security Practice. Agenda. Perdita di dati: lo scenario globale. 1. Difendersi dagli attacchi informatici. 2. Compliance e data loss prevention. 3.

lahela
Download Presentation

Privacy e Sicurezza dalla compliance alla data loss prevention

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Privacy e Sicurezzadalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager, Security Practice Forum PA – Privacy e Sicurezza

  2. Agenda Perdita di dati: lo scenario globale 1 Difendersi dagli attacchi informatici 2 Compliance e data lossprevention 3 Forum PA – Privacy e Sicurezza

  3. Perdita di dati lo scenario Globale Forum PA – Privacy e Sicurezza

  4. I grandi temi del 2010lo scenario Globale delle minacce      Forum PA – Privacy e Sicurezza

  5. Una semplice “equazione”Per spiegare l’universo delle minacce IDENTITà Informazioni DENARO Forum PA – Privacy e Sicurezza

  6. 3 2 1 4 Come accade tutto questo?Le fasi di un attacco mirato DISCOVERY L’attaccante realizza una mappa dei sistemi di difesa, dall’interno Crea un “battle plan” INCURSION L’attaccante irrompe nella rete utilizzando malware verso sistemi vulnerabili o sfruttando gli utenti interni. CAPTURE L’attaccante accede ai dati sui sistemi poco protetti. Installa malware o toolkit per sottrarre dati critici EXFILTRATION I dati vengono inviati verso un sistema sotto il controllo dell’attaccante. Forum PA – Privacy e Sicurezza

  7. Andamento delle minacceData Breach per settore merceologico • Hacking come causa principale di compromissione (attacchi mirati) • Healthcare come obiettivo maggiormente colpito. • I dati dei clienti hanno costituito l’85% dei dati sottratti. Average Number of Identities Exposed per Data Breach by Cause Average Number of Identities Exposed per Data Breach by Sector Volume of Data Breaches by Sector Forum PA – Privacy e Sicurezza

  8. La Data Loss nel Mondo http://datalossdb.org http://www.idtheftcenter.org Forum PA – Privacy e Sicurezza

  9. Compromissioni e furto di datiUno sguardo al mondo reale Forum PA – Privacy e Sicurezza

  10. Compromissioni e furto di datiè anche un fenomeno italiano Forum PA – Privacy e Sicurezza

  11. I dati nel Mercato NeroDove vengono venduti i dati? Forum PA – Privacy e Sicurezza

  12. Difendersi dagli attacchi informatici Forum PA – Privacy e Sicurezza

  13. Security Solutions vs Threat Landscape Hacker BlendedThreat Spam Virus Worm Disgruntled Employee Adware Compliance Deficiencies Manage Threat Landscape Forum PA – Privacy e Sicurezza

  14. Ambiti da proteggere DMZ Internet Client Server Forum PA – Privacy e Sicurezza

  15. Strategia di protezione vs soluzioni Sviluppare e diffonderele politiche di sicurezza Control Compliance Suite Data Loss Prevention Suitee Encryption (PGP/GE) Proteggere le informazioni VeriSign™ Identity and Authentication Proteggere le identità Gestire i sistemi IT Management Suite Proteggere le infrastrutture Symantec Protection Suite Forum PA – Privacy e Sicurezza

  16. Compliance e data lossprevention Forum PA – Privacy e Sicurezza

  17. 2010 100% 80% 60% 40% 20% 0% Business risk e Compliance 2006 Uno studio ha evidenziato come i 5 principali rischi legati all’IT percepiti dalle aziende sono (su un campione di > 4200 organizzazioni): • Perdita di dati dei propri clienti • Minacce di sicurezza • Interruzione del business • Profitti/customerretention • Non conformità legali o normative 54 3 2 1 Sono gli stessi top five sin dal 2006 Il rischio sta tuttavia aumentando di anno in anno Forum PA – Privacy e Sicurezza

  18. ORGANIZZAZIONISENZA CONFINI L’ESPLOSIONE DEI DATI NORMATIVE E STANDARD …Sicurezza e Compliance • I confinispariscono • L’organizzazione è “Anywhere” • Outsourcing e Consulenza I Datisono “Everywhere” Datistrutturati e non Dati del cittadino Data Loss Prevention CONFIDENTIAL Compliance Rischidi non Conformità Necessitàdeicontrolli Forum PA – Privacy e Sicurezza

  19. Convergenza tra Data Loss Prevention & Compliance Forum PA – Privacy e Sicurezza

  20. Data Loss Preventionl’approccio Symantec Incident Response Team Monitor Protect Discover • Come prevenire la perdita dei dati? • Come vengono utilizzati? • Dove sono i miei dati confidenziali? Control Policy Forum PA – Privacy e Sicurezza

  21. Benefici della Data Loss Prevention Data Loss Prevention Forum PA – Privacy e Sicurezza

  22. Redazione e gestione delle politiche Traduzione delle politiche in controlli tecnici Reporting (raccolta delle evidenze) ComplianceRaggiungere e mantenere la conformità Regole Rispondere alle necessità di conformità con regolamenti interni ed esterni Controlli Applicare i controlli sistematicamente per ridurre i rischi di sicurezza e di non conformità e verificarne periodicamente l’efficacia / efficienza Evidenze Dimostrare la “due diligence” nel rispetto politiche e verificare l’attuazione dei controlli IT Forum PA – Privacy e Sicurezza

  23. I benefici della Compliance (1) Forum PA – Privacy e Sicurezza

  24. I benefici della Compliance (2) Forum PA – Privacy e Sicurezza

  25. Symantec Compliance ProgramSolution Framework • Evidence & Compliance Reporting • Compliance Demand • IT Control Framework • Dashboard • Security Policies Interne • ProceduralControl • Technical Control • Regulations (Privacy, JCA, HIPPA etc.) • Evidence Database • Reporting • Standards (COBIT, ISO 27001, etc.) Control Execution Evidence Management Reporting Notification Management Remediation Planning Ongoing Compliance Management Forum PA – Privacy e Sicurezza

  26. Forum PA – Privacy e Sicurezza

More Related