Modulo Rosario Piazzese CINEAS 150206 v1.0

Rosario Piazzese

Information Risks and Information Security

Indice• Introduzione e considerazioni preliminari• Cyber Risk• Sicurezza informatica• Vulnerabilità e minacce• Case study – Caso Target• Soluzioni tecnologiche ed organizzative• Compliance normativa• La situazione ad oggi e trend evolutivi

Mobile Social Network Big Data Cloud Computing

• Conclusioni e considerazioni finali

INTRODUZIONE E CONSIDERAZIONI PRELIMINARI

IMAGE FROM: FreeDigitalPhotos.net – hyena reality

Introduzione

Obiettivo di oggi è parlare del Rischio Informatico.In particolare cercheremo di vederne gli aspetti più direttamente correlati alla posizione del perito assicurativo.L’evolversi delle tecnologie dell’informazione ha radicalmente cambiato il modo di vivere e di lavorare degli ultimi anni. Ci sono aspetti positivi, come la facilità di comunicazione, ma sono anche molte le criticità di cui bisogna tener conto per portare a termine le proprie missioni senza incappare in spiacevoli incidenti che ricadono nella sfera del cyber risk.

Considerazioni preliminari

Il rischio informatico per un perito assicurativo va analizzato secondo tre direttrici:

• Rischio informatico che corre il perito assicurativo

• Rischio informatico che corre la società di assicurazione

• Rischio informatico del cliente

Ci focalizziamo sul primo punto, ma si farà riferimento agli altri casi quando opportuno.

Il 2014

Il 2014 si è concluso da più di un mese ed è tempo di analisi e valutazione dei dati raccolti durante l’anno appena concluso, ci interesseremo ovviamente al mondo del web grazie ai dati raccolti dall’hosting Seeweb, che in suo comunicato stampa, pubblica un resoconto della propria attività con particolare riferimento agli incidenti informatici riscontrati e gestiti nel proprio network e gestiti per conto di TopHost.

Il numero di malware mobile è cresciuto del 16% mentre quello complessivo è aumentato del 76% anno dopo anno. In occasione dell’inizio del 2015.

Se nel 2013 gli incidenti gestiti erano più di 3000, nell’ultimo anno il numero è raddoppiato, arrivando a superare la quota dei 6500 incidenti di sicurezza.Il significativo aumento degli incidenti di sicurezza è dovuto da un lato, all’aumento dei clienti e, dall’altro lato, all’aumento delle intrusioni. Considerate le statistiche dell’ultimo rapporto, gli incidenti di sicurezza gestiti hanno riguardato:

• 2675 password SMTP rubate o indovinate.• 1525 siti web compromessi.• 145 password FTP rubate.

Dal RAPPORTO CLUSIT 2014


Per quanto riguarda il rischio informatico che corre il perito assicurativo, la sua natura varia molto in base al tipo di organizzazione cui appartiene:

• Perito assicurativo in una grande società di assicurazione

• Perito assicurativo di un piccolo studio privato


Il perito assicurativo che appartiene ad una grande società di assicurazione si troverà a lavorare in un ambiente informatizzato; pertanto il rischio informatico che corre personalmente dipende da come l’azienda gestisce i propri sistemi informatici.

Finché il perito assicurativo si atterrà alle policy aziendali di comportamento con la dotazione informatica fornitagli dall’azienda stessa, la sicurezza informatica sarà responsabilità dell’impresa.


Il perito assicurativo che appartiene ad un medio/piccolo studio si troverà probabilmente ad usare strumenti informatici «consumer oriented», operando in un ambiente che per dimensioni non giustifica investimenti seri in sicurezza informatica.

In questo caso corre i rischi tipici di chi usa strumenti digitali per lavoro e vi tratta dati sensibili. Questo comporta maggiore responsabilità personale, quindi maggiore presa di coscienza relativamente alle tematiche qui trattate, anche se la sua figura forse rappresenta un bersaglio meno appetibile ai criminali rispetto ad una grande organizzazione.

CYBER RISKIMAGE FROM: FreeDigitalPhotos.net - David Castillo Dominici

Rischio fisico vs cyber risk

Il rischio che insiste su oggetti virtuali come i dati aziendali, o cyber risk, ha assunto un ruolo di assoluta importanza nell’odierno settore assicurativo.Questa «nuova» tipologia di rischio presenta caratteristiche diverse rispetto al tradizionale rischio fisico che le assicurazioni sono abituate a gestire.

Analizziamolo in termini di:• Probabilità• Impatto

Probabilità

Stimare le probabilità che si manifesti un incidente informatico comporta la presa in considerazione di tutta la filiera di gestione dei dati aziendali, a partire da dove sono immagazzinati (per es. database), attraverso l’ambiente nel quale sono processati (per es. server), fino ad arrivare alla molteplicità di terminali di accesso ai sistemi informatici (per es. cellulare del dipendente che accede ai dati).

ProbabilitàAltri fattori di complessità

Altre considerazioni da fare includono:• Quali sono i casi d’uso dei dati? • Il perito assicurativo ne può disporre liberamente

dal cellulare, in qualsiasi luogo, o deve accedere ai sistemi tramite reti Wi-Fi sicure?

• Ci sono politiche e procedure che guidino il comportamento degli utenti nell’uso di strumenti informatici?

• La cultura aziendale è tale da poter confidare che vengano seguite le istruzioni?

ImpattoAnche stimare l’impatto della manifestazione di un incidente informatico presenta complessità particolari.Mentre un asset fisico che venga danneggiato da un evento esterno, per esempio un incendio, comporta un danno relativamente semplice da quantificare, un asset virtuale, per sua natura, può creare danni di valore altamente variabile; in questo caso le strategie di recupero non hanno un rapporto di proporzionalità diretta rispetto all’oggetto distrutto o compromesso, come invece accade per i danni fisici.

Impatto Altri fattori di complessità

Altre considerazioni da fare includono:• I dati sono andati persi del tutto o sono stati

compromessi in termini di confidenzialità e/o accessibilità?

• Qual è il valore dei dati coinvolti?• Quali conseguenze ha avuto l’incidente per

l’immagine aziendale e del perito stesso?• Qual è il livello di investimento necessario per

ritornare alla situazione precedente al danno?

SICUREZZA INFORMATICAIMAGE FROM: FreeDigitalPhotos.net – Stuart Miles

Sicurezza InformaticaObiettivo principale della sicurezza informatica è garantire la protezione dei sistemi informatici e dei dati che vi risiedono, in termini di:• Riservatezza• Integrità• DisponibilitàUn metodo semplice per ricordare questi termini è tradurli in inglese, poiché vanno a formare l’acronimo CIA:• Confidentiality• Integrity• Availability

Confidentiality - Riservatezza

Garantire la riservatezza del dato significa assicurarsi che questo possa essere visualizzato e processato solo da chi è titolato a farlo.

IMAGE FROM: FreeDigitalPhotos.net – basketman

Integrity - Integrità

Garantire l’integrità del dato significa assicurarsi che questo non sia distrutto o modificato in maniera non prevista dal suo ciclo di vita.

IMAGE FROM: FreeDigitalPhotos.net – Stuart Miles

Availability - Disponibilità

Garantire la disponibilità del dato significa assicurare che questo sia intellegibile nei luoghi, tempi e modi previsti.

IMAGE FROM: FreeDigitalPhotos.net – iprostocks

VULNERABILITÀ E MINACCE

pat138241

IMAGE FROM: FreeDigitalPhotos.net – pat138241 & Salvatore Vuono

http://www.freedigitalphotos.net/images/view_photog.php?photogid=3922

Aree d’impatto• Web Browser

• Download Software Malevolo• Rootkits• Web Applications

Social Networks E-commerce Web Services

• Mobile• Social Networks• Applications• Rootkits• HotSpot Intrusions

• Sourcing• Cloud Computing• Reti di telecomunicazione

Principali profili di rischio

IMAGE FROM: FreeDigitalPhotos.net - David Castillo Dominici

Un po’ di definizioni…

• Malware: termine generico che descrive un software il quale esegue operazioni indesiderate dall’utente

• Virus: programma capace di replicarsi infettando altri sistemi e file

• Rootikit: programma installato a livello del sistema operativo, così da nascondersi (o nascondere altro malware) da scansioni

1/2

Un po’ di definizioni…

• Spyware: programma che sottrae all’utente informazioni private

• Trojan: programma installato dall’utente per effettuare operazioni desiderate, ma che in realtà ne esegue di nascosto anche altre indesiderate

• Phishing: tentativo da parte di criminali digitali di ottenere informazioni sensibili (come username e password) presentandosi come controparte degna di fiducia in comunicazioni digitali

2/2

Un po’ di esempi…

Perito

Un’azienda concorrente, comportandosi slealmente, installa uno spyware (programma che sottrae all’utente informazioni private) sul PC del perito, riuscendo ad individuare il modo di sottoporre ai suoi clienti un contratto assicurativo più conveniente, allo scopo di sottrarglieli.

1/3


Società

I sistemi operativi della società presentano un Rootkit (programma installato a livello del sistema operativo, così da nascondersi - o nascondere altro malware - da scansioni) che permette all’hacker di accedere senza autenticarsi (backdoor).A questo punto, l’intruso può fare ciò che preferisce, oppure vendere l’accesso al sistema a chiunque abbia interesse ad entrare.

2/3


Cliente

Avete assicurato i dati di una grande azienda che ha una porzione di infrastruttura (su cui risiedono i dati assicurati) obsoleta, quindi potenzialmente vulnerabile e non esente da malware (software che esegue operazioni indesiderate dall’utente).

3/3

CASE STUDY – IL CASO TARGETIMAGE FROM: FreeDigitalPhotos.net - pat138241

Il caso Target

La maggioranza dei danni da cyber crimini è imputabile alla sottovalutazione da parte del risk manager del relativo rischio informatico.Appurato che il rischio è reale e va affrontato, resta da capire come.Per farlo prendiamo in considerazione uno dei casi di pubblico dominio più eclatanti di cyber crimine, che ha visto come vittima l’azienda retail statunitense Target.

1/5

http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1

Il caso Target

Durante il periodo di Thanksgiving del 2013, qualcuno installò un malware nei sistemi di sicurezza e pagamento (PCI compliant) di Target.Questo malware si innescava ad ogni pagamento con carta di credito effettuato presso i 1.797 negozi convenzionati in America, ed i relativi dati personali venivano catturati e fatti rimbalzare per il mondo per farne perdere le tracce, dandone completo controllo agli hacker.Gli hacker poi rivendevano carte clonate nel deep web* traendone enormi profitti.

2/5


Il caso TargetSei mesi prima dell’attacco, l’azienda aveva installato, al costo di 1,6 milioni di dollari, uno strumento di monitoraggio capace di individuare malware nei loro sistemi (FireEye, che annovera tra i suoi clienti anche la CIA ed il Pentagono). Infatti, pochi giorni dopo l’attacco, gli specialisti di sicurezza situati in India hanno individuato la falla e l’hanno comunicata al quartier generale a Minneapolis, che ha in sostanza ignorato la minaccia. Così, 40 milioni di carte di credito e i dati personali di 70 milioni di persone sono finiti nelle mani dei criminali, portando l’azienda a dover affrontare più di 90 cause legali condotte dai propri clienti e dalle banche.

3/5


Il caso TargetEcco una panoramica delle dinamiche:

4/5


Il caso TargetCosa non ha funzionato?

• La tecnologia FireEye?• La dislocazione del dipartimento specializzato in

sicurezza in India?• I dipendenti che accettavano carte di credito?• La cultura aziendale a Minneapolis?• La malvagità dell’hacker?• La mancanza di un adeguato sistema di controlli

interno?

5/5

SOLUZIONI TECNOLOGICHE ED ORGANIZZATIVE

IMAGE FROM: FreeDigitalPhotos.net – jannoon028

Soluzioni tecnologiche

• Il settore della sicurezza informatica è in forte crescita da un paio di anni almeno, e non per nulla. Di conseguenza il mercato è invaso da soluzioni tecnologiche, che spaziano da strumenti di monitoraggio dei sistemi informativi ai più familiari antivirus, per proteggere i sistemi e i dati da intrusioni e operazioni malevole.

• Tuttavia, è un errore pensare che possedere un avanzato sistema tecnologico di sicurezza sia garanzia sufficiente di esenzione da attacchi vincenti.

1/2

Soluzioni tecnologiche

Esempi di soluzioni tecnologiche:

• Firewall• Intrusion detection systems• Software antivirus• Software antispyware• Access control systems• Autentication systems• Encryptions

2/2

IMAGE FROM: FreeDigitalPhotos.net - hywards

Soluzioni organizzative

Policy e principi

La prima cosa da fare per tenere sotto controllo il rischio informatico è affrontare il tema dal punto di vista organizzativo, implementando adeguate policy di sicurezza che permettano di comprendere chiaramente quali comportamenti siano accettabili e quali no, enunciando i principi di sicurezza e culturali ai quali si ispira il manuale dell’impresa.

1/4


Processi

È fondamentale che i processi aziendali siano sviluppati secondo logiche lineari in modo che, se seguiti correttamente, riducano al minimo il cyber risk e che, in caso contrario, individuino subito chiare accountability.È inoltre auspicabile avere in loco dei processi con il preciso obiettivo di perseguire la sicurezza e l’integrità aziendale:

• Processi di Governo• Processi di Gestione

2/4


Formazione e Awareness

Tutti i dipendenti aziendali devono essere coscienti delle conseguenze che possono derivare dalle loro azioni online ed essere adeguatamente addestrati ad usufruire degli strumenti informatici aziendali in modo sicuro. In caso contrario, anche esistendo policy e procedure ad hoc, i dipendenti non riterranno un problema aggirarle nel caso, ad esempio, che vogliano velocizzare una pratica, anche se questo significa esporre l’azienda a rischi informatici.

3/4


Altri fattori organizzativi da prendere in considerazione comprendono:• cultura ed etica aziendale;• struttura organizzativa (ruoli, responsabilità e controllo);• flusso di informazioni.

Alla fine, il focus in tema di sicurezza organizzativa resta comunque sull’individuo e sui suoi comportamenti, perché una password complicatissima, per esempio, scritta su un post-it attaccato al computer, compromette di fatto tutte le attività di sicurezza, vanificando qualsiasi sforzo.

4/4

COMPLIANCE NORMATIVAIMAGE FROM: FreeDigitalPhotos.net – Stuart Miles

Compliance

Nel settore finanziario c’è forte vigilanza sui sistemi informatici aziendali, che devono essere sicuri oltre ogni ragionevole dubbio.

Benché il settore Assicurativo sia sottoposto a minori pressioni da questo punto di vista, esistono comunque disposizioni piuttosto precise all’interno del Regolamento n. 20 del 26 Marzo 2008 da parte dell’ISVAP sulle modalità di gestione dei sistemi informatici di una società di assicurazione.

1/7

ComplianceL’Art. 14 (Sistemi informatici) dispone che:

1 I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, rispondenti ai principi di cui all’articolo 12, comma 2.

2 Ai fini di cui al comma 1:a) l’organo amministrativo approva un piano strategico sulla tecnologia della informazione e comunicazione (ICT), volto ad assicurare l’esistenza e il mantenimento di una architettura complessiva dei sistemi altamente integrata sia dal punto di vista applicativo che tecnologico e adeguata ai bisogni dell’impresa;

2/7

Compliance

b) gli ambienti di sviluppo e di produzione sono separati. Gli accessi ai diversi ambienti sono regolamentati e controllati attraverso procedure disegnate tenendo conto dell’esigenza di limitare i rischi di frode derivanti da intrusioni esterne o da infedeltà del personale. A tal fine le procedure garantiscono la sicurezza logica dei dati trattati, restringendo, in particolare per l’ambiente di produzione, l’accesso ai dati stessi a soggetti autorizzati e prevedono che tutte le violazioni vengano evidenziate; le procedure sono soggette a verifiche da parte della funzione di revisione interna

3/7

Compliance

c) le procedure per l’approvazione e l’acquisizione dell’hardware e del software, nonché per la cessione all’esterno di determinati servizi, sono formalizzate;

d) sono adottate procedure che assicurino la sicurezza fisica dell’hardware, del software e delle banche dati, anche attraverso procedure di disaster recovery* e back up**;

4/7

Compliance

e) al fine di garantire la continuità dei processi dell’organizzazione, sono adottate e documentate procedure e standard operativi orientati alla individuazione e gestione degli eventi che possono pregiudicare la continuità del business, quali, in via esemplificativa, eventi imprevisti, black-out, incendi, allagamenti, malfunzionamenti dei componenti hardware e software, errori operativi da parte del personale incaricato della gestione dei sistemi o da parte degli utenti, introduzione involontaria di componenti dannosi per il sistema informativo e di rete, atti dolosi miranti a ridurre la disponibilità delle informazioni

5/7

Compliance

Il regolamento contiene anche altre indicazioni riguardanti:

• l’integrazione di sistemi informatici in caso di fusione o acquisizione;

• flussi informativi e canali di comunicazione;

• altre prescrizioni riguardanti il sistema di controlli interni.

6/7

Compliance

Il 15 Aprile 2014 si è conclusa la procedura di pubblica consultazione relativa alle modifiche del regolamento ISVAP n.20/2008 in materia di controlli interni, rendendo la tematica molto attuale.

7/7

LA SITUAZIONE AD OGGI E TREND EVOLUTIVI

IMAGE FROM: FreeDigitalPhotos.net – sheelamohan

La situazione ad oggi

Cyber Crime

Il mondo del Cyber Crimine è andato incontro a una forte evoluzione: da parco giochi di ragazzi che per divertimento e/o idealismo creavano danni ai sistemi di grandi aziende, a mercato di lucro per la criminalità organizzata, dotata di skill specialistici e budget esorbitanti (come lo sono le ricompense per gli attacchi riusciti).

1/2


Cyber Crime

Non esiste una ricetta per stare al sicuro da questi attori malevoli. Purtroppo per ogni falla di sicurezza rimarginata, gli hacker inventano una nuova minaccia ai sistemi. L’unico modo per arginare il rischio è l’apprendimento continuo, in un gioco al rincorrersi tra sicurezza e criminalità informatica.

2/2


Il valore dell’informazione

Oggi la sicurezza informatica incontra sfide sempre più complicate e impegnative per garantire la confidenzialità, l’integrità e la disponibilità dei dati, nonché la privacy degli utenti di sistemi protetti.Viviamo nell’era dell’informazione e dei servizi. I dati sono la nuova valuta e i prodotti vengono sempre più virtualizzati e resi disponibili in forma di servizi, rendendo critici i sistemi informatici ai quali si appoggiano per la delivery.


Trend

Chiarita l’importanza del tema, ci sono dei trend particolari che ne amplificano la portata:• Mobile• Social Networks• Big Data• Cloud Computing

Vediamoli in dettaglio…


Mobile

Oggi al mondo ci sono più dispositivi Mobile che esseri umani. Questa statistica dà una dimensione di questo travolgente fenomeno. Ma cosa significa in termini di sicurezza informatica?Vuol dire che il mondo è sempre più interconnesso e ogni nodo di questa rete rappresenta una potenziale minaccia.La possibilità di portarsi queste minacce in tasca, nella forma di uno smartphone, impone di riconsiderare le misure di sicurezza adottate dalle aziende.

1/3


Mobile

Oggi le aziende di fatto sono costrette ad accettare che i propri dipendenti usino i propri smartphone anche per motivi di lavoro.Le aziende più innovative e al passo con i tempi addirittura ne incoraggiano l’uso (i benefici in termini di efficienza ed efficacia produttiva sono indiscutibili), ma, proprio in virtù del pericolo che essi costituiscono, il loro utilizzo impone regole di fruizione; ci sono soluzioni tecnologiche per assicurarsi che tali regole siano rispettate.

2/3


Mobile

Il Mobile in azienda ha dato vita ad un dibattito in ambito Business ed IT del quale citiamo solo alcuni macro temi:• BYOD (Bring Your Own Device): si può permettere ai

dipendenti di usare i propri dispositivi mobile anche a lavoro e per lavoro? Ci sono modi di tenere sotto controllo il fenomeno?

• EMM (Enterprise Mobile Management): insieme di soluzioni per la gestione del fenomeno dei dispositivi mobile in azienda.

• Security by Design: la sicurezza va presa in considerazione già nelle prime fasi del ciclo di vita di una applicazione, appunto nella fase di design.

3/3


Social Networks

L’evoluzione e la penetrazione dei Social Media come strumento di supporto al Business sta attirando l’attenzione delle aziende. Oggi il mondo dei Social Media rappresenta, di fatto, un fattore differenziante e quindi un’importante opportunità per gran parte delle organizzazioni. Opportunità che si accompagna tuttavia a rischi di diversa natura e alla inevitabile necessità di gestirli.

1/3


Social Networks

Alcuni rischi, però, si applicano anche alle aziende che non usano social network, visto che il mondo intorno ad esse cambia ed agisce, nonostante la loro inerzia.Infatti, non presenziando queste piazze virtuali, si corre il rischio che qualcuno impersoni l’organizzazione e si comporti opportunisticamente sfruttando la fiducia che il pubblico ripone in ciò che semplicemente appare (come un figurante) sulla piattaforma Social (Caso Enel).

2/3


Social NetworksI Social Network sono il teatro di una serie di tecniche di hacking, tra cui:• Social engineering• Cybercrime

Bullying Stalking

• Furto di identità• Data leakage• PhishingDunque si raccomanda un adeguato controllo di questi strumenti, per evitare danni anche gravi per l’organizzazione.

3/3


Big Data

L’infinità di nodi della rete globale in cui viviamo non costituiscono solo una minaccia per gli ambienti informatici delle aziende, ma sono soprattutto un’inesauribile fonte di dati che vengono prodotti in quantità incalcolabili ogni istante.Non solo questi dati sono prodotti da persone attraverso i loro terminali, ma anche da «oggetti» che indipendentemente e automaticamente, tramite sensori, rilevano informazioni e le caricano in rete per gli scopi più disparati, dando vita ad un altro importante fenomeno, che è quello dell’Internet of things.

1/5


Big Data

I dati che arrivano in maniera scomposta online tramite soprattutto l’Internet of things e i Social Network significano poco. Ma ci sono organizzazioni, tecnologie e pratiche tecniche capaci di mettere insieme questa mole di dati (Big Data appunto) per ricavarne informazioni estremamente utili.Le società hanno investito in dipartimenti (Business Intelligence), nuovi ruoli (Data scientist) e tecnologie/tecniche (Analytics) per sfruttare questo enorme potenziale, che è di estrema rilevanza anche per il settore assicurativo.

2/5


Big Data

Infatti, maggiori sono le informazioni a disposizione delle assicurazioni, meglio questi attori possono calibrare i propri contratti per soddisfare i bisogni degli utenti sopportando costi e rischi commisurati.

Consideriamo un paio di esempi per chiarezza.

3/5


Big Data

Se una società di assicurazione potesse con un piccolo strumento verificare puntualmente le abitudini di guida di un suo cliente, potrebbe calcolare meglio la rischiosità del cliente. E se questo si dimostrasse particolarmente prudente o si avesse la certezza che usa la macchina poche volte l’anno, la società potrebbe stipulare un contratto molto più economico, avendo la relativa certezza che questo individuo difficilmente sarà coinvolto in un incidente per il quale l’assicurazione dovrebbe pagare.

4/5


Big Data

Ancora, si prenda in considerazione la possibilità di indagare lo stile di vita dell’assicurato sui Social Network. Queste informazioni sono in genere pubblicamente disponibili e hanno grande potenziale nell’evoluzione dei contratti di assicurazione.Ma si noti bene che, nella maggioranza dei casi, sfruttare queste potenzialità significa invadere la privacy degli utenti arrivando a conseguenze legali anche gravi (è in uscita un nuovo stringente regolamento europeo a riguardo).

5/5


Cloud Computing

Il Cloud Computing, in termini semplici, è la tecnologia che permette di immagazzinare dati online e accedervi da remoto attraverso qualunque terminale connesso ad internet. Definizione NIST: Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

1/7


Cloud Computing

Questa tecnologia è la protagonista dell’evoluzione prorompente del settore IT e dell’economia in generale per l’enorme potenziale che ha di semplificare, velocizzare e rendere rilevanti gli scambi di informazioni a distanza. A noi interessa sapere che le aziende si affidano sempre più a fornitori di questa tecnologia per archiviare i propri dati e renderne l’accesso ubiquo e sicuro. Vediamo a cosa va incontro chi sceglie di adottare soluzioni Cloud.

2/7


Cloud Computing

Punti di debolezza:• Minore Governo dei dati: migrare i dati nel Cloud

comporta inevitabilmente una certa riduzione del controllo sugli stessi, che passa dall’utente al fornitore della tecnologia.

• Lock-in: la scelta di un certo fornitore crea un rapporto di dipendenza la cui rottura implica certi costi.

• Interfaccia insicura: i dati in Cloud sono tipicamente accessibili da Browser o applicazioni che hanno le loro vulnerabilità.

3/7


Cloud Computing

Punti di debolezza :• Internazionalità: il fornitore potrebbe conservare i dati

all’estero, dove possono vigere leggi diverse.• Dipendenza da Internet: se i tuoi dati sono in Cloud, è

necessario avere accesso ad internet, oppure effettuare sincronizzazioni sul dispositivo, altrimenti è come non averli.

• Data deletion: cancellare un dato in Cloud può voler semplicemente dire aver perso l’accesso, perché sono duplicati tante volte.

4/7


Cloud Computing

Punti di forza:• Economie di scala: implementare misure di sicurezza è

economicamente più conveniente su grandi quantità di dati, che i fornitori di servizi Cloud possiedono.

• Sicurezza aggiornata: i sistemi di sicurezza sono aggiornati più frequentemente rispetto ai sistemi classici con patch.

• Gli hacker trovano appetibili i Cloud perché sono ricchi di dati, quindi investono tanto per hackerarli, ma i fornitori di questi servizi sono i principali esperti di sicurezza informatica. Qui il gioco a rincorrersi tra hacker e sicurezza si esprime ai massimi livelli.

5/7


Cloud Computing

Nota bene, che non stiamo parlando di una tecnologia di nicchia. È probabile che tutti voi, in un modo o nell’altro, stiate usufruendo del Cloud Computing.Così facendo, benché tutelati da contratti e norme, state comunque affidando i vostri dati a terze parti, con i rischi che ne conseguono.

6/7


Cloud Computing

Esempi sono i sistemi operativi Android di Google che automaticamente salvano le vostre rubriche online. È un metodo comodo perché se cambiate cellulare in un batter d’occhio avete di nuovo i vostri contatti sul nuovo apparecchio. Ma se qualcuno conosce le vostre user e password, può vedere i vostri contatti via Web Browser.Apple ha dimostrato la vulnerabilità del suo iCloud, che è stato preso di mira da hacker per estorcere foto private di celebrità, poi divulgate via web con conseguenti danni d’immagine.

7/7

CONCLUSIONI E CONSIDERAZIONI FINALI

IMAGE FROM: FreeDigitalPhotos.net – pakorn

Conclusioni e considerazioni finaliLo scenario globale è cambiato radicalmente ed il settore assicurativo è chiamato ad affrontarlo in modo impavido.È un settore che ha le carte in regola per farlo, conosce il modo di valutare e gestire rischi, le informazioni sono il suo asset principale ed i servizi che offrono si stanno incontrando con una nuova e prorompente domanda.La soggettività e l’esperienza personale avranno sempre più peso nel mestiere, in virtù delle variabili sempre meno tangibili che vi troverete ad affrontare.

Fonti e Riferimenti

Pubblicazioni della Oracle Community for Security - http://c4s.clusit.it• Privacy nel Cloud: Le sfide della tecnologia e la tutela dei dati personali per

un'azienda italiana• Mobile e Privacy: Adempimenti formali e misure di sicurezza per la compliance

dei trattamenti di dati personali in ambito aziendale• Primi 100 giorni del Responsabile della Sicurezza delle Informazioni: Come

affrontare il problema della Sicurezza informatica per gradi• La sicurezza nei Social Media: guida all’utilizzo sicuro dei Social Media per le

aziende del Made in Italy

Clusit• https://www.clusit.it/valRisch.pdf

http://www.inthebit.it/nel-2014-boom-di-incidenti-informatici

THANKS FOR THE ATTENTION

THAT’S THE END

Rosario [email protected]@powa.comwww.powa.com

Modulo Rosario Piazzese CINEAS 150206 v1.0

Documents

Transcript of Modulo Rosario Piazzese CINEAS 150206 v1.0