Una nota dall’editor
Negli ultimi anni siamo stati tutti testimoni dei cambiamenti nell’area del Network and Information Security (NIS). Gli attacchi sono diventati molto più finalizzati a precisi obiettivi, insidiosi e sofisticati, con l’uso di tecniche avanzate ed innovative. Anche le motivazioni dei cyber attacchi sono mutate considerevolmente. Gli hacker si sono evoluti in professionisti ben pagati che vendono le informazioni private delle persone o che possono essere ingaggiati per attaccare precisi obiettivi informatici.Per gestire questo scenario in evoluzione, NIS deve mettere in campo una propria strategia e fornire soluzioni che siano in grado di soddisfare le diverse sfaccettature del problema. In questo numero della rivista, per aiutare a migliorare la sicurezza di tutti noi, presentiamo sia articoli sulle buone prassi sia introduciamo una serie di temi che riguardano anche il futuro del NIS.I contributi comprendono temi quali l’evoluzione delle minacce, la definizione di procedure appropriate per contrastare le nuove vulnerabilità, per innalzare il livello di consapevolezza degli utenti, per definire le politiche di sicurezza e le direttive strategiche, misurare l’effetto delle policy, e l’importanza di adottare in certi casi soluzioni diverse.
Questo numero si apre con gli articoli di due membri dell’ENISA Permanent Stakeholders Group, e con uno di uno degli stakeholder del Management Board di ENISA.
Olivier Paridaens ha scritto sull’importanza dei tempi sempre minori della risposta quando viene annunciata una nuova vulnerabilità in un prodotto software. Egli sostiene che non esiste un software sicuro al 100% e che dunque il migliore approccio è di avere sempre a disposizione una procedura per gestire l’annuncio di una nuova vulnerabilità.
Il prof. Markatos (con altri) fornisce una nuova visione della minaccia emergente secondo la quale non è necessario compromettere un computer per dare origine ad un attacco. Gli autori dimostrano come sia possibile avvantaggiarsi delle funzionalità offerte dalle applicazioni file sharing peer-to-peer per lanciare un attacco Distributed Denial of Service (DDoS).
Nell’articolo che segue, rilassante e di facile lettura, Markus Bautsch dimostra l’importanza dell’awareness e fornisce dieci semplici regole di “good practice” per aumentare la sicurezza.
I nostri esperti illustrano alcune delle recenti iniziative e risultati di ENISA. Sintetizziamo lo studio fatto sulle contromisure contro lo spam e presentiamo il nostro inventario di tool e metodi sul Risk Management, la guida step-by-step per creare un CERT, e l’Information Package sul Raising
Awareness. ENISA ha inoltre (co-)organizzato un certo numero di workshop ed i miei colleghi hanno fatto una sintesi dei risultati di questi incontri.
Inoltre, questo numero comprende note sulle attività e le “success stories” di alcuni stati membri EU. Kristiina Pietikäinen ha scritto un articolo ove presenta la visione della presidenza finlandese dell’EU riguardo la necessità di un chiaro e coerente Information Security Policy Framework in Europa. Martin Schallbruch propone la “security through diversity”, illustrando la strategia del governo federale tedesco sull’uso del software open source.
Rytis Rainis propone un esempio di awareness raising good practice in Lituania, dove il software di sicurezza è distribuito gratuitamente agli utilizzatori.
Infine Bill van Mil (ed altri) descrivono le lezioni apprese dalla risk analysis effettuata dalla “energy and information technology infrastructures” olandese.
Mi piacerebbe che ENISA Quarterly (EQ) diventi una pubblicazione sempre aggiornata e in costante miglioramento. Così stiamo pianificando numerosi cambiamenti. Con questo numero abbiamo introdotto un nuovo sistema di numerazione che comprende il numero del volume così che i lettori possano più facilmente far riferimento alle pubblicazioni precedenti. Annunceremo anche gli eventi NIS più rilevanti in Europa sia organizzati da ENISA che da organismi di standardizzazione, università, eccetera.
Ho intenzione di creare un pagina web per EQ che comprenderà tutte le informazioni rilevanti su questa pubblicazione, compresi gli obiettivi, le finalità, le deadline più importanti, i calls for contributions, e i numeri speciali, le informazioni per chi collabora ed una libreria dei numeri precedenti.
Vi prego di visitare regolarmente il sito di ENISA (www.enisa.europa.eu) e di accedere alle pagine EQ che saranno disponibili online dai primi giorni di novembre 2006.
È chiaro che NIS è una disciplina molto ampia che include un gran numero di aree. Quindi finora EQ ha offerto una visione bilanciata dei vari aspetti di NIS. Nel futuro mi piacerebbe introdurre degli ‘special issues’, ciascuno dei quali focalizzato su uno specifico aspetto di NIS. Esempi di “special issues” che sto pianificando sono ‘aspetti economici di NIS’ ed ‘Early Warning and Emergency Preparedness Systems’. Tenete d’occhio gli annunci relativi alle “Calls for Contributions” per gli special issues.
Infine, mi piacerebbe che i lettori inviassero propri articoli per essere pubblicati da ENISA Quarterly. Questo sarebbe il modo migliore per voi per avere una vasta audience in Europa ed inoltre sarebbe il vostro contributo al successo di questa iniziativa. Vi prego quindi di passare questa informazione ai vostri colleghi e di non esitare a mandarmi qualsiasi idea o suggerimento che pensiate possa rendere ENISA Quarterly una pubblicazione migliore!
Vi auguro una buona lettura del resto di questo rivista e che vi divertiate come io mi sono divertito a farne l’editing.
Sinceramente,
Panos Trimintzios,
Editor-in-Chief, ENISA Quarterly
Il Dr. Panagiotis Trimintzios è un esperto di ENISA responsabile delle relazioni con l’industria, le università e le organizzazioni internazionali.
IsacaRoma link
ENISA Quarterly ottobre 2006
ENISA Quarterly (numero precedente)
- ENISA Quarterly – Messaggio dal Direttore Esecutivo [3]
- Guida internazionale per la protezione delle infrastrutture critiche informatizzate [4]
- ENISA Quarterly - Come innalzare la Information Security Awareness [5]
ENISA
- ENISA Quarterly: pubblicato il numero di ottobre 2006 [6]
- ENISA: intervista a Jani Arnell sui "rischi emergenti" [7]
- ENISA:
Interview with Jani Arnell on Emerging Risks [8]
- ENISA:
Rapporto sullo spam [9]
- ENISA: Workshop on Information Security Certifications – 28 novembre 2006, Atene [10]
- ENISA: le presentazioni (ed i risultati) del Risk Management Workshop di Roma [11]
- ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert [12]
- ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management [13]
- ENISA: la guida per costituire un CERT [14]
- ENISA: il glossario del Risk Management (lettere S - Z) [15]
- ENISA: il glossario del Risk Management (lettere N - R) [16]
- ENISA: il glossario del Risk Management (lettere F - M) [17]
- ENISA:
Inventario delle metodologie di Risk Management / Risk Assessment [18]
- ENISA: il glossario del Risk Management (lettere A - E) [19]
- ENISA: il sito dedicato al Risk management ed assessment [20]
- ENISA
Risk Management Workshop, 13 ottobre 2006, Roma [21]
- ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator [22]
- ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008 [23]
- ENISA, l’agenzia di sicurezza europea [24]
- Intervista ad Andrea Pirotti, Executive Director di ENISA [25]
- La visione di ENISA [26]
- ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare [27]