Isacaroma Newsletter - Security

Intervista ad Andrea Pirotti, direttore esecutivo di ENISA

Mon, 07 Jan 2008 04:37:54 +0100

080106-intervista-andrea-pirotti-enisa Agatino Grillo (AG): Buongiorno dottor Pirotti e grazie per la collaborazione. Lei è, dall'ottobre 2004, il direttore esecutivo di ENISA, l'Agenzia Europea per la Sicurezza delle Reti e dei Sistemi Informatici. Può farci una rapida presentazione della sua carriera professionale?

Risk Management – Intervista ad Alessandro Sinibaldi

Wed, 05 Dec 2007 07:48:33 +0100

071205-intervista-alessandro-sinibaldi Agatino Grillo (AG): Ciao Alessandro e grazie per la collaborazione. Vuoi fare una tua rapida presentazione professionale e personale?

Bruce Schneier: "Psicologia della sicurezza", traduzione italiana

Wed, 16 May 2007 15:30:39 +0200

070516-schneier-psicologia-sicurezza (Traduzione in italiano di "The Psychology of Security", draft, di Bruce Schneier , versione del 28 febbraio 2007; la traduzione è di Agatino Grillo disponibile anche in formato pdf , 168 K)

Introduzione

La sicurezza è sia una sensazione sia qualcosa di reale. E le due cose non coincidono.
La sicurezza reale si fonda sulla matematica e riguarda le probabilità che si verifichino i possibili rischi e l’efficacia delle misure di protezione adottate. Possiamo infatti facilmente valutare quanto è sicura la nostra abitazione rispetto ai furti prendendo in considerazione fattori quali il tasso di criminalità del quartiere nel quale viviamo o la nostra abitudine di chiudere sempre a chiave la porta di casa. Possiamo anche calcolare con facilità la probabilità di essere assassinati in strada da uno sconosciuto o nella nostra abitazione da un familiare. Possiamo infine calcolare la probabilità di essere vittima di un furto d’identità. Dato un insieme abbastanza vasto di statistiche sugli atti criminali tutto ciò non è molto difficile: le compagnie assicuratrici lo fanno da tempo.
Possiamo anche calcolare di quanto un antifurto può aumentare la sicurezza della nostra casa o in che modo il blocco del nostro conto bancario ci proteggerà dal furto d’identità. Ancora una volta: data una quantità sufficiente di informazioni ciò è facile.

MELANI: Rapporto semestrale sulla sicurezza dell’informazione

Mon, 30 Apr 2007 15:24:19 +0200

070430-melani MELANI (Melde- und Analysestelle Informationssicherung), la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione Svizzera, ha pubblicato il 30 aprile 2007 il suo "Quarto rapporto per la sicurezza dell’informazione relativo alla situazione in Svizzera" (pdf 501 K) relativo al secondo semestre del 2006.

La minaccia del social engineering

Il rapporto evidenzia la forte espansione del fenomeno del "social engineering" che utilizza metodi sempre più raffinati con conseguente aumento dei furti di identità e di dati. È dunque centrale la sensibilizzazione degli utenti in quanto l’anello debole della catena della sicurezza sembra sempre più essere proprio l’elemento umano. Infatti perché gli attacchi di social engineering abbiano successo occorre procurarsi informazioni sulle potenziali vittime e a tale scopo viene sempre più frequentemente utilizzato malware in maniera mirata. Tale malware, osserva il rapporto, è difficilmente intercettabile dai software antivirus usuali e viene sempre più diffuso mediante pagine Internet appositamente predisposte.

ISC2: newsletter di marzo/aprile 2007

Thu, 26 Apr 2007 12:35:10 +0200

070426-isc2-newsletter.doc ISC2 ha pubblicato il numero di marzo/aprile della sua newsletter (pdf, 491 K) dedicata ai temi della sicurezza.

ABI: Convegno "Banche e Sicurezza", Roma, 21 e 22 maggio 2007

Tue, 24 Apr 2007 10:12:57 +0200

070424-abi-sicurezza L’Associazione Bancaria Italiana (ABI), in collaborazione con OS.SI.F. e ABI Lab, organizza, il 21 e 22 maggio 2007 a Roma, il convegno "Banche e Sicurezza 2007 – Soluzioni, strumenti e metodologie per una nuova strategia di protezione". L’evento è a pagamento.

Temi

Il convegno ospiterà esponenti del mondo istituzionale, accademico, finanziario ed imprenditoriale che esamineranno lo stato dell’arte e soprattutto le linee evolutive strategiche, normative e tecnologiche della gestione della sicurezza in banca.
Interverranno tra gli altri il Vice Ministro dell'Interno, il Prefetto di Roma, il Presidente della Commissione Finanza e Tesoro del Senato, il Garante per la protezione dei dati personali, la Banca d'Italia, la Guardia di Finanza, il Tribunale di Treviso, il Gov CERT, l'Interpol, la Polizia Scientifica.

Bruce Schneier: Crypto-Gram febbraio 2007 (psicologia della sicurezza)

Sun, 04 Mar 2007 07:34:56 +0100

070304-crypto-gram-feb-07 Bruce Schneier ha pubblicato il numero di febbraio 2007 della sua newsletter Crypto-Gram. Si tratta di un numero speciale dedicato al saggio di Schneier sulla psicologia della sicurezza, saggio disponibile anche in formato html (111 K) e pdf ( 209 K).

NIST: versioni definitive delle linee guida su intrusion detection and prevention system, e-mail e wireless

Tue, 27 Feb 2007 14:56:24 +0100

070227-nist Il NIST, National Institute of Standards and Technology, ha pubblicato le versioni definitive di tre linee guida i cui draft avevano già commentato in questa newsletter:

SP 800-45 Version 2, Guidelines on Electronic Mail Security (pdf, 1.3 M)
SP 800-94, Guide to IDPS, Intrusion Detection and Prevention Systems (pdf, 1.2 M)
SP 800-97, Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i (pdf, 4,1 M)

PRISE 2007: secondo workshop italiano su PRIvacy e SEcurity – Roma, 6 Giugno 2007

Wed, 21 Feb 2007 05:51:37 +0100

070221-prise2007 Si svolgerà il prossimo 6 giugno, presso lo Sheraton Hotel di viale Del Pattinaggio a Roma, la seconda edizione di PRISE organizzato dal professor Luigi V. Mancini dell’Università di Roma "La Sapienza". Il workshop è aperto a ricercatori universitari ed esperti dal mondo della pubblica amministrazione e dell'industria. Tutti coloro che sono interessati a contribuire ai contenuti scientifici dell'iniziativa sono invitati a sottoporre entro il 13 aprile 2007 un abstract di non più di 4 pagine che descriva i propri risultati ottenuti recentemente (anche se già pubblicati).

IBM ISS: minacce e rischi della sicurezza informatica previsti nel 2007

Tue, 06 Feb 2007 12:47:15 +0100

070206-ibm-security IBM Internet Security Systems (ISS) ha reso pubblico, lo scorso 30 gennaio 2007, le proprie previsioni per il 2007 per quanto riguarda le minacce emergenti ed i rischi dell’information security. I maggior problemi dell’anno saranno gli attacchi ai web browser e lo spam image-based.

Le nuove minacce

Sulla base delle ricerche svolte dai laboratori X-Force® nel 2006 sono state censite 7.247 nuove vulnerabilità (circa 20 al giorno). Nel corso del 2007 gli attacchi web continueranno a crescere anche a causa della nascita di una vera e propria "exploits as a service" industry; si prevede, infine, una nuova forma di spam image-based così da sfuggire alle tecniche di contrasto attualmente in uso.

Convegno Club sul Computer Crime - Roma 28 febbraio 2007

Mon, 05 Feb 2007 19:52:05 +0100

070205-convegno-ccc Il 28 febbraio 2007 avrà luogo, presso la sede OASI, in via Elio Chianesi 110/d, Roma, il seminario ad inviti dal titolo "Sicurezza della rete: le nuove sfide". Ne parliamo con il dott. Fulvio Berghella, vice direttore vicario di OASI.

IsacaRoma (IR): Buongiorno dott. Berghella. Vuole presentarci i temi del convegno del prossimo 28 febbraio?

Anti-Spyware Coalition: best practice

Wed, 31 Jan 2007 06:53:16 +0100

070131-antispywarecoalition The Anti-Spyware Coalition (ASC), l’associazione che si dedica alla identificazione e formalizzazione delle best practice per contrastare lo spyware e le altre tecnologie intrusive non desiderate, ha pubblicato lo scorso 25 gennaio 2007 un documento dal titolo "Best Practices: Factors for Use in the Evaluation of Potentially Unwanted Technologies" (pdf, 235 K) che suggerisce i comportamenti da adottare per evitare lo spyware.

Bruce Schneier: le password del mondo reale

Fri, 12 Jan 2007 06:49:05 +0100

070112-crypto-pwd Riproduciamo, dalla newsletter Cripto Gram del 15 dicembre 2006 di Bruce Schneier, tradotta in italiano da Communication Valley, l’articolo "le password del mondo reale".
Quanto sono valide le password che le persone scelgono per proteggere i propri computer e i propri account online?

NIST: Managing Enterprise Risk in Today’s World of Sophisticated Threats

Thu, 11 Jan 2007 10:19:16 +0100

070111-nist-risk Lo statunitense National Institute of Standards and Technology (NIST) ha reso pubblico, lo scorso 21 dicembre 2006, un white paper dal titolo "Managing Enterprise Risk in Today’s World of Sophisticated Threats: A Framework for Developing Broad-Based, Cost-Effective Information Security Programs (pdf, 208 K)" a cura di Ron Ross. Il documento descrive in maniera sintetica il NIST Risk Management Framework, con i relativi standard e guideline, utile per la definizione e realizzazione di un security program aziendale completo e coerente. Il documento si sofferma in particolare sulla gestione della sicurezza delle infrastrutture critiche le cui problematiche specifiche nascono dagli aspetti relativi alla loro complessità e connettività.

La sicurezza dei sistemi informativi alla luce delle recenti indicazioni di Banca d’Italia

Wed, 10 Jan 2007 17:17:31 +0100

070110-sicurezza-bankit Nelle scorse settimane la Banca d’Italia ha pubblicato due importanti documenti:

la prima bozza delle ''Disposizioni prudenziali applicabili alle SIM'' (pdf, 230 K) di gennaio 2007;
le ''Nuove disposizioni di vigilanza prudenziale per le banche'' (pdf zip, 4 M) di dicembre 2006.

Entrambe le pubblicazioni contengono disposizioni importanti dal punto di vista dei requisiti di sicurezza dei sistemi informativi per gli intermediari finanziari.