Il sito del CLUSIT

Gruppo CLUSIT

  • Tutti i soci, ed i dipendenti di aziende socie coinvolti nella vita del Clusit, possono chiedere di aderire al gruppo su LinkedIn facendo clic su questo link.
    Ogni richiesta deve essere approvata manualmente, in genere nel giro di un paio di giorni.

Blogroll

Link Utili

Accessi

Creative Commons

Policy

24/01/2012

20 critical controls for effective cyber defence: CPNI insieme a SANS indica la strada

Cpni_logo Pubblicata sul sito di CPNI (Centre for Protection National Infrastructure in UK)  la lista delle 20 cose più importanti per una efficace difesa dei sistemi. 

La Top Twenty dei Controlli di sicurezza critici sono una baseline, stilata da SANS e CPNI in consorzio con altri stakeholders, di azioni ad alta priorità e controlli di sicurezza che possono essere applicati all'interno di un'organizzazione al fine di migliorare la sua cyber-difesa.  I controlli (e sub-controlli) si concentrano su diverse misure tecniche e attività, con l'obiettivo primario di aiutare le organizzazioni a dare una priorità agli sforzi per la difesa contro i più comuni e dannosi incidenti ed attacchi in rete .. Vedi l'elenco su http://www.sans.org/critical-security-controls/  e su  http://www.cpni.gov.uk/advice/infosec/Critical-controls/

Scritto da Enzo M. T. alle 11:01 nella Current Affairs, Documenti, Policy, Pubblica Amministrazione, Sicurezza, Tecnologia, Web/Tech, Weblogs | | Commenti (0) | TrackBack (0)

Tag Technorati: , , ,

|

24/06/2011

Digital Agenda Assembly

Il 16 e 17 giugno si è svolta a Bruxelles la Digital Agenda Assembly, ovvero la prima conferenza dedicata ai temi dello sviluppo digitale in Europa. L'organizzazione di questo evento è stata particolarmente completa. Nei due giorni di conferenza, infatti, sono stati organizzati ben 24 workshop e due sessioni plenarie. La mattina del primo giorno si è svolto il Workshop dedicato al tema "Cybersecurity: barriers and incentives" che era moderato da Eneken Tikk, Head of Legal and Policy Branch del CCDCOE (Cooperative Cyber Defence Centre of Exellence di Tallin). Il workshop prevedeva una prima sessione con tre presentazioni e una tavola rotonda dopo il coffee break.

Io ho aperto la sessione delle presentazioni con un intervento dal titolo: "Cybersecurity: State of the Art and Future Trends in Italy" che ha tratteggiato le varie iniziative che sono state avviate in Italia. E, come è successo al Security Summit di Roma, il pubblico ha riservato una grande attenzione alla proposta di realizzazione di un AntiBotnet Center Italiano. A seguire è stata la volta di Karim Antonio Lesina, Executive Director EMEA Government Affairs di AT&T, che ha fatto una presentazione molto interessante ponendo una grande attenzione ai temi della collaborazione internazionale, della lotta alle botnet e ell'evoluzione dell'approccio verso la cybersecurity. L'ultima presentazione è stata di Michel J.G. van Eeten, della  Delft University of Technology. In questa presentazione si è approcciato al tema della responsabilità nella sicurezza che hanno gli Internet Service Provider. L'analisi era basata su dati quantitativi e mostrava, tra l'altro che, anche normalizzando i dati per tenere conto della dimensione dei provider, la lista dei Top 50 ISP che contribuiscono maggiormente allo spam mondiale è quasi immutata da 4 anni. Infatti nei Top 50, ben 32 ISP sono stabilmente presenti ogni anno.

I temi che invece sono emersi nella successiva Tavola Rotonda (i panelist erano: Kurt Erik Lindqvist, CEO di Netnod un provider svedese, Mika Lauhde di Nokia e Michel J.G. van Eeten della Delft University of Technology) sono stati:

  • la cybersecurity come argomento che attraversa sempre più le agende dei politici e delle persone del marketing
  • le interdipendenze tra diversi settori e Stati,  nei temi di security, sono sempre più significative
  • le Public-Private Partneships come futuro della cybersecurity
  • l'Information Sharing come fattore essenziale per la riuscita di qualsiasi iniziativa
  • l'approccio globale alla sicurezza coem unica possibilità di successo

Potete leggere alcuni ulteriori approfondimenti su Punto 1

 

Scritto da Matteo Cavallini alle 15:56 nella Botnet, Policy, Pubblica Amministrazione | | Commenti (0) | TrackBack (0)

Tag Technorati: ,

|

02/08/2010

Bando dei BlackBerry in Arabia Saudita ed Emirati Arabi

Un MMS dell'amico-maestro Fabrizio Cirilli mi anticipa stamane l'articolo sul Corriere

02082010074
 

Scritto da Enzo M. T. alle 23:10 nella Imprese, Policy, Privacy, Religion, Sicurezza, Television, Web/Tech | | Commenti (0) | TrackBack (0)

|

11/11/2008

I "miti" della sicurezza

Trovo assai interessante ed istruttivo questo articolo di Network World:

http://www.networkworld.com/news/2008/110608-security-myths.html

che riunisce alcuni dei principi sui quali, a ragione o a torto, si basa larga parte della sicurezza informatica, e li sottopone ad una sana ed utile critica da parte di un gruppo di esperti.
Le persone intervistate sono di alto livello, e senz'altro la loro opinione è estremamente valida e da tenere in considerazione.

Mi permetto inoltre di aggiungere anche il mio personalissimo parere, invitando esplicitamente tutti i lettori a lasciare il proprio nei commenti.

Continua a leggere "I "miti" della sicurezza" »

Scritto da Mauro Cicognini alle 12:29 nella Policy, Sicurezza, Tecnologia | | Commenti (1) | TrackBack (0)

Tag Technorati: , , ,

|

16/09/2008

Se hai un problema informatico sullo SCADA, chiama FBI

Su "Automation World" compare la seguente segnalazione: "Se sul tuo impianto si verifica un incidente informatico, la FBI lo vuole sapere"

If a serious cyber security incident occurred in your plant, would you call in the FBI to investigate?

The Bureau certainly hopes that you would. To encourage such actions, the FBI is taking steps not only to strengthen its agents’ understanding of control system technology, but also to build stronger bridges to the control systems community.

The Federal Bureau of Investigation, or FBI, already has trained cyber investigators in all of its 56 field offices, said Scot Huntsberry, supervisory special agent, FBI Cyber Division/Computer Intrusion. Now, the Bureau is looking to identify and train a group of agents to respond specifically to cyber security incidents involving supervisory control and data acquisition (SCADA) systems, he said. ...

Scritto da Enzo M. T. alle 18:51 nella Current Affairs, Forensic, Incidenti, Norme e leggi, Policy, Pubblica Amministrazione, Sicurezza | | Commenti (0) | TrackBack (0)

|

24/03/2008

MEHARI 2007

I colleghi del Clusif hanno messo a disposizione, in libera consultazione, la versione 2007 della metodologia MEHARI.

Tutta la documentazione è disponibile in francese ed inglese (e parzialmente in altre lingue), sul sito web del Clusif.

Sul sito del Clusit, tra i whitepapers, è disponibile la versione aggiornata, in italiano, della presentazione generale della metodologia MEHARI

Ringrazio Massimiliano Manzetti, che ha realizzato la versione italiana della presentazione.

Scritto da Paolo Giudice alle 00:25 nella Policy, Sicurezza | | Commenti (0) | TrackBack (0)

Tag Technorati: ,

|

10/03/2008

La difficoltà principale nella sicurezza oggi...

... secondo un recente report canadese, è (ancora) la scarsa conoscenza delle best practice.

Come si scrive anche in questo articolo di Network World, ciò è sorprendente, visto che ormai da molti anni si insiste sulla necessità di adottare un approccio sistematico all'IT Security, per non farsi trascinare dalle mode tecnologiche del momento.

Continua a leggere "La difficoltà principale nella sicurezza oggi..." »

Scritto da Mauro Cicognini alle 16:24 nella Opinioni, Policy, Sicurezza | | Commenti (0) | TrackBack (0)

Tag Technorati: ,

|

20/01/2008

Nuovi obblighi di Information security per le centrali elettriche USA

L'autorità per l'energia USA (FERC: Federal Energy regulatory Commission) ha stabilito nuovi obblighi di protezione contro attacchi informatici per proteggere le infrastrutture critiche.

Link: FERC: News Release - FERC approves new reliability standards for cyber security.

“Today we achieve a milestone by adopting the first mandatory and enforceable reliability standards that address cyber security concerns on the bulk power system in the United States,” FERC Chairman Joseph T. Kelliher said. “..

The eight CIP reliability standards address the following topics:

  • Critical Cyber Asset Identification;
  • Security Management Controls;
  • Personnel and Training;
  • Electronic Security Perimeters;
  • Physical Security of Critical Cyber Assets;
  • Systems Security Management;
  • Incident Reporting and Response Planning; and
  • Recovery Plans for Critical Cyber Assets.

Non c'è scienza missilistica in queste cose, giusto buon senso.
Un investimento per la protezione costa e, se funziona, non ne vedi i ritorni (l'investimento ha successo se non succede nulla).

È il paradosso della sicurezza: bisogna investire per non vederne gli effetti.

La cultura USA è molto diversa da quella italiana. Il fatto di non avere un servizio sanitario esteso ed efficiente per tutti educa le persone che "non c'è qualcun altro che pensa per te se qualcosa va storto".

Ricordo un'amica che aveva l'assicurazione auto (non obbligatoria) scaduta e non si sarebbe mai messa per strada. Se in Italia l'RC auto non fosse obbligatoria, ci sarebbero 13-15 assicurati...

La sicurezza è come il fitness, occorre consapevolezza, è una questione di stile di vita e devi dedicartici per evitare i problemi.

Anche in Italia abbiamo definito delle linee guida per la protezione delle infrastrutture critiche (a qualche riunione ho avuto il piacere di partecipare), solo che non le abbiamo rese obbligatorie... sic.

Scritto da Stefano Quintarelli alle 11:23 nella Current Affairs, Norme e leggi, Policy | | Commenti (1) | TrackBack (0)

|

Feed RSS

Categorie

Ultimi post

Ultimi commenti

gennaio 2012

dom lun mar mer gio ven sab
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Archivi

Altro...