Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

Modello vettoriale per i Sistemi di Sicurezza delle Informazioni

La sicurezza dei dati e delle informazioni, è un asset fondamentale e strategico per le organizzazioni. I dati, e la loro gestione, sono la parte più importante e più critica delle organizzazioni. All’interno delle organizzazioni, intese come sistema, i flussi dei dati, la loro conoscenza e gestione permettono di essere non solo competitivi ma proattivi nel campo della cybersecurity. Un sistema è un insieme di attività e dati, a seguito di input, che reagisce a tali stimoli e si adatta per produrre output dedicati. La sicurezza non è un prodotto ma un processo che si basa su aspetti organizzativi e […]

Se la Mela si baca: di sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

Se la Mela si baca: di sicurezza, forensic e di tutto quello che non c’è nell’ordinanza del giudice federale di Los Angeles

“Dentro gli smartphone che ognuno porta con sé ci sono più informazioni su ciascuno di noi che in qualsiasi altro dispositivo o in qualsiasi altro posto”. (Tim Cook) I PRESUPPOSTI DELLA VICENDA Un altro tsunami di orrore si alza e corre. Impietoso e disumano di nuovo si abbatte. Come sempre… viene spontaneo aggiungere. E stavolta son 14. Quattordici: il numero delle vite spezzate nella strage del 2 dicembre scorso, rivendicata dall’Isis, a San Bernardino, in un centro per disabili. 23 i feriti, fra cui due poliziotti. “Questo” – si dirà poi – “è il peggiore attacco con armi da fuoco […]

Breve storia dei malware: l’evoluzione delle specie dalle origini ai giorni nostri

Breve storia dei malware: l’evoluzione delle specie dalle origini ai giorni nostri

All’inizio si parlava di “virus”. Poi sono comparsi i “worm”, seguiti dai “macrovirus”. A questi si sono presto affiancati altri tipi di software ostile come i keylogger o i locker. A un certo punto abbiamo tutti iniziato a chiamarli, più genericamente, malware. E proprio come i virus biologici, i malware si sono evoluti nel tempo. Alcuni, altamente opportunisti, compaiono per sfruttare opportunità a breve termine. Ma molti altri si sono evoluti per sfruttare difetti e problemi più fondamentali presenti nei sistemi IT che non sono ancora stati risolti. Da Creeper ai moderni Ransomware I primi virus della storia informatica risalgono […]

Il Business Continuity Plan – Non solo tecnologia, non solo carta

Il Business Continuity Plan – Non solo tecnologia, non solo carta

6 elementi imprescindibili per un buon piano di continuità “La Business Continuity? Grazie ma sono a posto, ho il piano di Disaster Recovery!” Ho sentito molte volte questa frase. E ogni volta è stato difficile confutare tale convincimento, provando a chiarire cosa sia veramente la Business Continuity senza far sentire l’interlocutore un ignorante. Alla base di quell’affermazione c’è infatti una grave lacuna teorica e pratica. Con grande pazienza occorre spiegare che il piano di Disaster Recovery è sì molto importante ma è soltanto una parte dell’intero Sistema di Gestione della Continuità Operativa (Business Continuity Management System) di un’organizzazione. Il piano […]

Cyber-jihad – Weaponizzazione mediale ed avatarismo terroristico

Cyber-jihad – Weaponizzazione mediale ed avatarismo terroristico

Il cyber-jihad è proclamato. Il web, al contempo medium, piattaforma e metaverso sociale, favorisce la disseminazione orizzontale cross-mediale e la conseguente amplificazione globale digimediale, o cyber-mediale, del terrore oggi strategicamente determinata dall’autoproclamato Islamic State (IS), accrescendone l’espansione, soprattutto nel contesto occidentale, della percezione di insicurezza relativa alla capacità dei cittadini, sia nella dimensione individuale che in quella collettiva, di determinarsi liberamente nel proprio ambiente socio-culturale quotidiano. Il terrorismo jihadista contemporaneo trasforma il medium stesso in arma, si “weaponizza” grazie all’essenza digitale, alla velocità di fruizione, alla portabilità ed al nomadismo digitale dell’iperconnessione. In tale contesto, l’IS ricorre all’utilizzo crescente della […]

Edge Computing, 5G e aspetti di vulnerabilità delle nuove architetture di rete

Edge Computing, 5G e aspetti di vulnerabilità delle nuove architetture di rete

La tanto attesa “rivoluzione 5G” è già realtà. Mentre fioriscono ipotesi e interpretazioni circa la portata di tale dirompente innovazione tecnologica, è importante non dimenticare gli aspetti relativi alla sicurezza informatica dei nuovi servizi software e di rete; aspetti complessi e problematici che impongono – sin dalla fase di progettazione – un’attenzione particolare per consentire di contemperare le novità sul piano tecnico con i fondamentali principi di privacy e di security by design. Focus di numerosi interventi nell’ambito dei nostri eventi annuali Cyber Crime Conference e Forum ICT Security, nonché della scorsa edizione del bookazine cartaceo ICT Security Collection, il tema è anche stato oggetto di contributi editoriali che ne hanno approfondito […]

Secret sharing: come mantenere un segreto pur condividendolo con più soggetti

Secret sharing: come mantenere un segreto pur condividendolo con più soggetti

Nella vita reale, quando due persone conoscono un segreto, sappiamo che non può più essere considerato un segreto. Nel mondo digitale, grazie al ‘secret sharing”, le cose possono andare diversamente. Vediamo come e testiamo un esempio del sistema che ci permette di condividere segreti in modo sicuro tra più soggetti. “Quando due persone conoscono un segreto, non è più un segreto”, cita una famosa frase di Roberto Calvi, ultimo presidente del Banco Ambrosiano di Milano, ripresa poi nel film “Le conseguenze dell’amore” di Paolo Sorrentino. Concetto piuttosto semplice ma di una solidità incontrastabile: condividendo un segreto con una o più […]

Individuare gli utenti malintenzionati con l’User Behavior Analytics

Individuare gli utenti malintenzionati con l’User Behavior Analytics

Come usare l’User Behavior Analytics per individuare possibili attacchi L’User Behavior Analytics (UBA) permette di individuare gli utenti malintenzionati che presentano delle anomalie comportamentali. I controlli di sicurezza convenzionali non sono efficaci contro alcuni tipi di minacce e poco possono nei confronti del comportamento di alcuni utenti. Le anomalie nel comportamento degli utenti possono essere individuate soltanto con un approccio che prevede l’utilizzo dei big data e di algoritmi di machine learning. L’User Behavior Analytics può definire, se ben progettato, un modello di comportamento tipico di gruppi di utenti. Principalmente, il bersaglio finale degli attacchi è rappresentato dai dati non […]

Web Application Security: il caso #Hack5Stelle

Web Application Security: il caso #Hack5Stelle

Introduzione La sicurezza delle applicazioni Web è una delle caratteristiche su cui nel nostro Paese si investe meno e male. La web application security è una branca della sicurezza delle informazioni che si occupa della sicurezza di siti Web, delle applicazioni e di tutti i servizi che sono offerti sul Web stesso. Il Web 2.0 è, da un lato, nuova visione delle tecnologie per la costruzione di siti, dall’altro è veicolo massiccio di informazioni trasmesse. Le differenti visioni dell’insieme delle tecnologie e degli approcci di paradigmi usati per la costruzione del Web, fanno sì che dalle semplici pagine scritte in HTML si […]

Data protection by design e by default

Data protection by design e by default

Il Regolamento UE 2016/679 in materia di protezione dei dati personali ha introdotto alcune innovazioni significative e, più in particolare, il concetto di responsabilizzazione o accountability, che pone il titolare del trattamento nella condizione di dover dimostrare, tra l’altro, nell’ambito del trattamento dei dati personali, l’adozione delle misure di sicurezza descritte nell’art. 5, paragrafo 1 lettera f) e contestualmente anche di comprovare il rispetto delle prescrizioni contenute nell’art. 5 paragrafo 2 del Regolamento[1]. In particolare la ratio sottesa all’introduzione del concetto di accountability viene rinvenuta nella necessità di permettere il passaggio dalla teoria dei principi di protezione dei dati alla […]

Delibera del Garante Privacy e DPIA

Delibera del Garante Privacy e DPIA

Apprendo da una delle tante newsletter fornite dalle banche dati giuridiche alle quali sono abbonato che il Garante ha appena approvato la “Delibera del Garante Privacy dell’11 ottobre 2018, n. 467; in G.U. del 19 novembre 2018, n. 269 – Valutazione d’impatto” Orbene tale delibera concerne o, meglio, individua, come esplicitamente scritto nella medesima delibera, quali siano i trattamenti e/o le tipologie di trattamenti da sottoporre a preventiva Valutazione di Impatto (ar.35 e 36 GDPR) Partiamo dall’analisi dell’art.35, riportato nella tabella che segue: 1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, […]

Valori antichi per un problema moderno: l’arte marziale digitale contro il cyberbullismo

Valori antichi per un problema moderno: l’arte marziale digitale contro il cyberbullismo

“Hai sentito in tv? C’è un’altra ragazza che si è tolta la vita a causa del cyberbullismo”. Persino mio padre, che ha più di settantanni, ormai utilizza abitualmente questo termine, entrato di prepotenza nell’uso comune, spesso grazie a notizie tragiche puntualmente seguite dal solito coro di sdegno e richieste di censurare, più o meno legalmente, i contenuti in rete. Negli ultimi tempi le iniziative per contrastare il fenomeno del cyberbullismo nel nostro paese si sono moltiplicate rapidamente: si va dagli incontri educativi nelle scuole, alle fiaccolate, dalle attività svolte nelle parrocchie, alle prese di posizione di personaggi dello sport e […]