Security issues in M2M environments
La cyber security è una delle tematiche affrontate nel corso del M2M Forum che si è svolto a Milano dal 27 al 29 Aprile 2015.Infatti nello sviluppo di soluzioni M2M/IoT gli aspetti legati alla sicurezza e alla riservatezza rischiano di non essere affrontati con la necessaria attenzione.
Tra gli aspetti evidenziati c'è la vulnerabilità indotta in questo contesto da una non adeguata gestione delle chiavi SSH come anche riportato su questo articolo.
Nasce BIGDATA TECH, la prima società italiana focalizzata sui Big Data
Nasce BIGDATA TECH, la prima società italiana focalizzata sui Big Data. BDT nasce dalla volontà di rispondere a un’esigenza di mercato che chiede soluzioni Big Data a 360 gradi. SMC e BNova: un'unica visione d'Insieme sui Big Data per:
|
Disruptive Tecnologies: Big Data & Aspetti legali
Siamo davanti ad una di quelle occasioni in cui anche la funzione legale può proporsi per guidare un'innovazione gestionale offrendo soluzioni adatte a rendere legali i progetti di data analysis.Infatti, l'utilizzo delle informazioni ricavabili dai Big Data comporta specifici rischi per la tutela della privacy, poichè le tecnologie e le nuove tecniche di analisi consentono di identificare un soggetto attraverso informazioni apparentemente anonime.
In questo articolo l'Avv. Roberto Camilli (Senior European Counsel, Studio legale Bird & Bird) ci spiega come ogni progetto che implichi la raccolta, l'utilizzo e l'interconnessione di grandi quantità di dati sia inevitabilmente diverso dagli altri e ponga specifici problemi dal punto di vista privacy da esaminare e risolvere caso per caso.
Migliore Sanità attraverso la Business Analytics
Come utilizzare l'immensa quantità di dati dei pazienti raccolti lungo il continuum di cura per promuovere una popolazione più sana e fornire servizi di assistenza più efficienti ed efficaci?
Gli USA spendono nella sanità complessivamente più dei 10 paesi con la maggiore spesa sanitaria del mondo con il peggior rapporto tra prestazioni e costi.
Gli USA spendono nella sanità complessivamente più dei 10 paesi con la maggiore spesa sanitaria del mondo con il peggior rapporto tra prestazioni e costi.
In questo contesto le tecnologie Big Data rappresentano una opportunità per conseguire grandi spazi di miglioramento.
Ping Zhang di MedeAnalytics illustra in queste slide, come la combinazione di HP Vertica con le funzionalità di data integration ed analytics di Pentaho ha consentito di realizzare una soluzione per le aziende sanitarie che utilizza i Big Data per rafforzare la loro operatività, ridurre i costi e migliorare la qualità delle cure.
Italian Cyber Security Report 2014: la componente umana rappresenta la vera vulnerabilità dei nostri sistemi
Presentato all’inizio di gennaio dal Centro di Ricerca in Cyber Intelligence e Information Security dell’Università di Roma “La Sapienza” e Agid, l’ultimo rapporto sulla cyber security in Italia, basato su un questionario di 61 domande distribuito tra Giugno e Agosto 2014 ad amministrazioni di diversi livelli (PAC pubbliche amministrazioni centrali, Regioni, Comuni, Aziende Ospedaliere, ASL)
Il primo dato che emerge è che il valore medio dei KPI delle cinque categorie di amministrazioni esaminate è inferiore alla soglia di idoneità e che si dedica più attenzione alla tecnologia (KPI Defense), rispetto alla consapevolezza (awareness) e all’organizzazione.
“Lo studio - dichiara il Direttore del Cis Roberto Baldoni - ha consentito di individuare i principali problemi e quindi i punti cruciali, su cui agire per ottenere un miglioramento rapido e sostanziale della nostra protezione. Ha anche purtroppo evidenziato come ci siano lacune importanti e radicate sia in termini di cultura della sicurezza che di organizzazione",
Occorre quindi investire sul cosiddetto “fattore umano”, prima ancora che nell'infrastruttura, promuovendo una cultura della sicurezza e della condivisione delle informazioni perchè la componente umana rappresenta la vera vulnerabilità dei nostri sistemi.
Insomma niente di nuovo sul fronte occidentale !
Big data: una sfida per il futuro
Il punto di vista sui Big Data di Piercesare Secchi, direttore del Dipartimento di matematica del Politecnico di Milano, su come la statistica può rispondere alle domande di oggi e domani, alla luce dell'enorme quantità e qualità di dati a disposizione e dei nuovi software.
Big Data - Big Security: quando le imprese saranno pronte ?
Sempre sul tema Big Data e sicurezza IT, in un articolo su Data Manager del dicembre 2014, Giuseppe Badalucco scriveva:"Il paradigma Big Data cambierà completamente la sicurezza IT, promettendo tempi di reazione sempre più brevi, capacità di prevedere i fenomeni e controlli basati sul rischio e sulla capacità di adattarsi al tipo di minaccia. La questione – però – non è se i big data analytics saranno il motore di questo cambiamento, ma si tratta di capire quando le imprese saranno pronte" (vai all'articolo completo)
Vorrei rilanciare la questione chiedendo, ma quanti progetti di questo genere sono partiti in Italia ?
Sarebbe interessante avere una idea di chi ed in quale tipo di organizzazione, nel nostro paese, ad esempio, sta effettivamente analizzando log per fare analisi predittiva sui possibili incident e poter avere dai protagonisti qualche informazione sui risultati ottenuti, sulle tecnologie utilizzate e sulle difficoltà incontrate e superate.
Che ne dite ?
I Big Data dal punto di vista della sicurezza
I Big Data sono un argomento di discussione molto popolare e dal punto di vista della sicurezza ci sono due questioni distinte: rendere sicuri l'organizzazione e le informazioni dei suoi clienti/utenti in un contesto di Big Data e l'utilizzo delle tecniche Big Data per analizzare e prevedere incidenti di sicurezza.
Rendere sicuri i Big Data
Prendiamo in considerazione il primo aspetto: di fatto molte aziende già utilizzano le tecniche Big Data per il marketing e la ricerca, ma come succede per tutte le nuove tecnologie, la sicurezza non è la principale preoccupazione e spesso non si hanno i "fondamentali" a posto, soprattutto dal punto di vista della sicurezza.
Per contro i "Big Data breaches" saranno anche essi "Big" e comporteranno danni ancora più gravi alla reputazione e ripercussioni legali più ampie.
Le aziende che utilizzano le tecniche Big Data lo fanno per memorizzare e analizzare petabyte di dati (web log, click stream e contenuti social media) per ottenere migliori conoscenze sui i loro clienti e migliorare il loro business.
In questo contesto la classificazione delle informazioni è uno degli aspetti più critici e la proprietà delle informazioni deve essere correttamente attribuita per consentire qualsiasi classificazione ragionevole.
Occorre essere in grado di individuare i proprietari degli output dei processi Big Data, così come per i dati grezzi, in modo che la proprietà dei dati possa essere distinta dalla proprietà delle informazioni, magari con l'IT che possiede i dati grezzi e le business unit che hanno la responsabilità degli output informativi da essi ricavati.
Inoltre saranno solo poche organizzazioni che gestiranno un ambiente di Big Data in casa, così il Cloud e Big Data saranno sempre più indissolubilmente legate e, come molte aziende già sanno, la memorizzazione dei dati nel Cloud non elimina la loro responsabilità nel proteggerle sia da un punto di vista normativo che commerciale.
Tecniche come la "attribute based encryption" saranno sempre più necessarie per proteggere i dati sensibili e applicare controlli di accesso adeguati (poichè sono gli attributi dei dati ad essere sensibili, piuttosto che l'ambiente in cui sono memorizzati).
Molti di questi concetti sono ad oggi ancora poco conosciuti alle imprese che approcciano i Big Data.
Impiegare i Big Data per migliorare la sicurezza
L'impiego delle tecniche Big Data per il rilevamento delle frodi e nella di gestione degli eventi (SIEM) e degli incidenti di sicurezza è interessante per molte organizzazioni. L'overhead per la gestione dei sistemi SIEM e di logging tradizionali si sta rivelando troppo elevato e costoso per la maggior parte dei dipartimenti IT e le tecnologie Big Data sono viste con grande interesse come possibili soluzioni.
Le tecniche di analisi basate sui Big Data possono anche essere applicate per individuare e prevenire le advanced persistent threat (APT): queste tecniche potrebbero svolgere un ruolo chiave nell'aiutare a rilevare le minacce in una fase iniziale, utilizzando più sofisticati modelli di analisi e combinando ed analizzando diverse fonti di dati.
I Logs sono spesso ignorati a meno che si verifichi un incidente. I Big Data offrono l'opportunità di consolidare e analizzare automaticamente i log provenienti da più fonti invece di analizzarli in modo isolato. Ciò potrebbe fornire indicazioni che i singoli logs non forniscono, e potenzialmente migliorare i sistemi di rilevamento delle intrusioni (IDS) e dei sistemi di prevenzione delle intrusioni (IPS), attraverso la regolazione continua e l'apprendimento dei comportamenti "buoni" "cattivi" svolto in modo efficace.
Anche le informazioni provedienti dai sistemi di sicurezza fisica e dai sistemi di sorveglianza CCTV potrebbero essere utilizzate mediante le tecniche Big Data integrando le rilevazioni di IDS e IPS per individuare gli attacchi dall'interno ed il social engineering.
Creare team di gestione dei Big Data nel 2015
State organizzando il team di gestione di Big Data per il 2015?Pentaho ha chiesto a veri e propri guru dei Big Data come hanno fatto ad avviare team e progetti di successo.
I loro consigli sono risultati estremamente coerenti tra loro. Scopritelo in questo articolo: Five Pieces of Real-World Advice for Building Your Big Data Team in 2015 (5 consigli concreti per creare un team di gestione dei Big Data nel 2015) ” e leggete le loro riflessioni sul ruolo dei responsabili, come definire l'ambito dei progetti e individuare i professionisti adatti.
World’s Biggest Data Breach: analisi degli errori alla base dei security incident
Mercoledì 18 febbraio in occasione della Cyber Crime Conference 2015 che si è svolta a Milano ho assistito ad un interessante intervento di Raoul Chiesa che, tra le altre cose, ha illustrato una attività di analisi, conclusa nel mese di dicembre 2014 dal team di Security Brokers, sui principali security incident e data breach degliultimi dieci anni riportati sul World’s Biggest Data Breach, una ricerca in cui il “metodo di leak” è stato distinto secondo i criteri di: Pubblicazione accidentale, Hacked, Insider, Computer perso/rubato, Media digitale perso/rubato, Scarsa sicurezza.
I settori di mercato coinvolti dal World’s Biggest Data Breach sono diversi e molteplici, dal mondo Accademico ed Universitario all'Energy, Banking & Finance, Gaming, Government, Healthcare, Media, Military, Retail, Tech, Telecoms, Transport e Web.
Il team di Security Brokers ha invece voluto effettuare un’analisi differente, evidenziando i macro-errori, procedurali e tecnologici, che emergono da questa imponente mole di dati
Le principali motivazioni del successo degli attaccanti sono riassumibili così:
Nelle vostre organizzazioni, come vengono affrontati questi aspetti ?
I settori di mercato coinvolti dal World’s Biggest Data Breach sono diversi e molteplici, dal mondo Accademico ed Universitario all'Energy, Banking & Finance, Gaming, Government, Healthcare, Media, Military, Retail, Tech, Telecoms, Transport e Web.
Il team di Security Brokers ha invece voluto effettuare un’analisi differente, evidenziando i macro-errori, procedurali e tecnologici, che emergono da questa imponente mole di dati
Le principali motivazioni del successo degli attaccanti sono riassumibili così:
- Carenze nell’esecuzione professionale delle Verifiche di Sicurezza (penetration test, ethical hacking, compliance check)
- Mancanza di segregazione delle rete dati interne
- Assenza di una corretta gestione e centralizzazione delle connessioni SSH, interne ed esterne
- Assenza di strumenti per prevenire il Data Leak (DLP) su connessioni cifrate (tunnelling via SSH, exfiltration over SSL)
- Mancanza di corrette fonti di Cyber Intelligence (open e closed)
- Mancanza di awareness interna sui dipendenti
- Assenza o totale carenza di strumenti, metodologie e formazione di Digital Forensics
Nelle vostre organizzazioni, come vengono affrontati questi aspetti ?
Nextvalue custom insight: Cyber security e risk management nelle imprese italiane
Il gap da colmare è proprio il coinvolgimento di tutti gli stakeholder e far sì che la cyber security sia una responsabilità più condivisa, mentre l’impresa procede nel proprio sviluppo e nei propri programmi di innovazione. Anzi, la sicurezza stessa è innovazione e non battaglia di retroguardia e il commitment della prima linea di management è indispensabile.
Kenneth Cukier: I Big Data sono dati migliori
Questo talk di alto livello sulla naura dei big data, registrato al TED Salon di Berlino nel giugno 2014, spiega perchè i big data sono dati migliori. In un eccitante monologo scientifico, Kenneth Cukier, ci dice che "Più dati ci consentono di vedere meglio, di vedere in modo differente, di vedere il nuovo" e ci introduce agli sviluppi futuri della tecnologia e del design favoriti dalle applicazioni basate sui big data.
Pensate che i big data siano una prerogativa delle grandi imprese ?
Leggete questo white paper per scoprire in che modo le aziende, dalle start-up alle medie imprese siano tra le imprese che riescono a sfruttare i big data in maniera più innovativa.
|
Gartner: marketing sempre più oggetto di investimenti ed innovazione
Report TDWI sulle big data best practices
In uno studio recente che ha coinvolto oltre 460 esperti di IT aziendale e gestione dei dati di PMI e grandi imprese con oltre dieci milioni di dollari di capitale, TWDI Research ha individuato le prime 10 priorità nella gestione dei big data. Il report illustra i vantaggi, le best practice e le problematiche legate alla gestione dei big data.|
L'articolo analizza i seguenti aspetti: |
|
| Download del report |
L'analisi predittiva: una strada percorribile
Strumenti e applicazioni per rendere operativo il data mining.Scaricate l'ultimo articolo della rubrica Hot Topic di TDWI, Making Predictive Analytics Work e scoprite come le organizzazioni possono rendere operativo il data mining con una ricca libreria di strumenti di visualizzazione, algoritmi e con una piattaforma di modellazione predittiva.
I ricercatori della Brown University (USA) usano Dropobox in sicurezza con nCryptedCloud
Il problema è stato posto da uno dei ricercatori del team che voleva utilizzare Dropobox per condividere i dati delle sue ricerche con i suoi colleghi.
Il dipartimento IT della Brown University ha delle stringenti regole di sicurezza per il trattamento dei dati raccolti come quelli delle ricerche sull'HIV che possono essere memorizzati solo su sistemi posseduti e gestiti dall'università.
Tuttavia ciò poneva delle serie difficoltà nella raccolta dei dati "sul campo" nelle missioni di ricerca svolte all'esterno del campus, come quelle condotte da Caroline Kuo in Sud Africa, che da utilizzatrice di Dropbox, riteneva questo servizio ideale per gli scopi delle sue ricerche.
La semplicità di utilizzo di Dropbox, la possibilità di gestire la condivisione di più file e cartelle, la sincronizzazione con il cloud che consente di sfruttare la connettività ad internet quando disponibile, contrastava nettamente con la complessità del meccanismo reso disponibile dal dipartimento IT dell'università.
Tale meccanismo prevedeva l'upload via email di ogni singolo file e la condivisione tramite un link al server del campus inviato sempre via e-mail a ciascun destinatario e disponibile per un periodo limitato, il che rendeva la condivisione dei dati un vero incubo.
La soluzione nCrypted Clud, trovata da Caroline KUO e dal dipartimento IT dell'università mise d'accordo le esigenze di entrambi, consentendo la crittografia end-to-end di tutti i dati e la disponibilità di un audit trail per vedere chi accede, su quali file e quando.
Per ogni file o cartella possono essere creati specifici workflow e policy di accesso, completamente gestibili dagli amministratori, come ad esempio impostare un PIN per accedere ai file dai dispositivi mobili.
nCrypted Clud agisce ad un livello al di sopra del servizio di Cloud Storage ed utilizza la crittografia AES-256 e le tecnologie Rotating Password e Zero Knowledge per garantire che i dati siano completamente protetti prima di essere memorizzati nel Cloud.
Ciò garantisce che i dati non sono in alcun modo accessibili al Cloud Storage provider e consente di utilizzare, oltre a Dropbox, altri servizi come Google Drive e OneDrive.
Un elaborato sistema di gestione delle chiavi di cifratura fa in modo che le chiavi necessarie per decrittare i dati della Brown University non siano memorizzati nei server di nCrypted Cloud che quindi non può essere obbligata a fronirle ad autorità o terze parti.
Con nCrypted Clud ogni file viene messo in un 256-bit AES zip container ed ha una password univoca. Ogni utente ha sia una identità personale e aziendale ed ogni identità ha una sua coppia di chiavi pubblica/privata. Le password criptate con l'identià aziendale hanno due coppie di chiavi pubblica/privata, una delle quali è di proprietà dell'azienda che quindi può sempre accedere ai propri file. In questo modo si risolve anche il problema con i dispositivi che possono contenere sia le informazioni personali che aziendali: ad un utente che lascia l'azienda possono essere revocati gli accessi alle sole informazioni aziendali.
I ricercatori della Brown University estenderanno l'utilizzo di nCrypted Clud e Dropbox per raccogliere dati attraverso dispositivi mobili.
Fonte: Networkworld - John P. Mello
Commercialisti e avvocati 'anello debole' per cybercrime
da ANSA.it di Titti Santamato :Uomini d'affari, manager, ma anche commercialisti e avvocati saranno sempre di più "l'anello debole" attraverso il quale il cyber-crime entrerà nei segreti di grandi aziende.
Raoul Chiesa, nel 2015 nel mirino sempre più P.A. e pagamenti 'mobile'
Bring Your Own Device
La richiesta di poter essere "Byod" è in continua crescita.BYOD = Bring Your Own Device è un acronimo che indica la possibilità di usare propri dispositivi (laptop, tablet, smartphone) sul posto di lavoro con l'aspettativa di essere in grado di accedere ai sistemi e alle informazioni aziendali.
Questa tendenza va di pari passo con la diffusione del CLOUD che smaterializza completamente le risorse informative rendendole assolutamente ubique e fruibili con una comodità e semplicità mai viste.
Il BYOD è molto diffuso negli USA, ma anche i CIO italiani si stanno muovendo in questa direzione: se nel 2012 era solo un 20% dei CIO a consentirne l’uso, nel 2014 questa percentuale è salita al 49%.
Per trarre i tutti i vantaggi di flessibilità e guadagno di competitività dalle modalità di lavoro mobile rese possibili dal BYOD occorre essere consapevoli delle problematiche di sicurezza indotte da questa pratica e dall'utilizzo del CLOUD.
Nei prossimi post affronteremo questa problematica da diversi punti di vista: quello del professionista che vuole utilizzare i propri dispositivi per accedere aala rete del committente e/o scambiare informazioni e quello dell'azienda che si rende disponibile all'utilizzo del BYOD con i propri dipendenti e consulenti.
Mission
Facilitare l'utilizzo sicuro ed efficace dell'Information & Communication Technology per innovare e creare valore.
Il mio lavoro consiste nell'aiutare persone ed organizzazioni ad utilizzare dati e informazioni in modo sicuro ed efficace.
Posso accompagnarvi nella realizzazione dei vostri progetti di innovazione per mettervi in grado di governare l'intero processo, supportarvi nella definizione dei requisiti, nel project management e fornirvi consulenze in ambiti specifici come quello della sicurezza delle informazioni.
Posso aiutarvi a valutare e migliorare la "postura" relativa alla sicurezza informatica della vostra organizzazione, per sfruttare nel modo migliore le potenzialità delle tecnologie dell'informazione e comunicazione. Attraverso un network di consulenti ed aziende che dispongono di competenze di altissimo livello, posso anche aiutarvi ad individuare le professionalità e le soluzioni più adeguate alle vostre esigenze.
L’approccio seguito si ispira ai principii Lean e Agile per individuare gli interventi necessari e predisporre piani di lavoro che consentono di conseguire i miglioramenti di efficienza e competitività attesi.
Il mio lavoro consiste nell'aiutare persone ed organizzazioni ad utilizzare dati e informazioni in modo sicuro ed efficace.
Posso accompagnarvi nella realizzazione dei vostri progetti di innovazione per mettervi in grado di governare l'intero processo, supportarvi nella definizione dei requisiti, nel project management e fornirvi consulenze in ambiti specifici come quello della sicurezza delle informazioni.
Posso aiutarvi a valutare e migliorare la "postura" relativa alla sicurezza informatica della vostra organizzazione, per sfruttare nel modo migliore le potenzialità delle tecnologie dell'informazione e comunicazione. Attraverso un network di consulenti ed aziende che dispongono di competenze di altissimo livello, posso anche aiutarvi ad individuare le professionalità e le soluzioni più adeguate alle vostre esigenze.
L’approccio seguito si ispira ai principii Lean e Agile per individuare gli interventi necessari e predisporre piani di lavoro che consentono di conseguire i miglioramenti di efficienza e competitività attesi.
Governance e Change Management
Aziende ed organizzazioni faticano a gestire l'innovazione e a colmare il gap esistente con i tecnologi, rischiando così di disperdere il potenziale dell'Information & Communication Tecnology ed i vantaggi competitivi conseguibili
Posso aiutarvi a gestire i cambiamenti fornendovi gli strumenti indispensabili per una Governance efficace del processo di innovazione.
Posso aiutarvi a gestire i cambiamenti fornendovi gli strumenti indispensabili per una Governance efficace del processo di innovazione.
- Analisi delle esigenze e di tutti i fattori che concorrono ad una corretta definizione degli obiettivi da conseguire e delle relative timeline.
- Identificazione dei criteri di progetto e degli aspetti metodologici da applicare per la gestione del cambiamento.
- Analisi dei rischi ed individuazione delle strategie di mitigazione applicabili nella gestione del cambiamento.
- Analisi dell'organizzazione ed identificazione degli attori interni ed esterni coinvolti nel cambiamento e definizione dei criteri con cui approcciarli e gestirli.
- Identificazione del modello di Governance applicabile per la gestione del cambiamento, identificazione dei KPI e delle modalità di monitoraggio.
- Identificazione delle criticità del processo di innovazione ed individuazione degli scenari di applicazione maggiormente attinenti alla realtà dell'organizzazione.
- Supporto alla definizione di "Business Case" per la presentazione di progetti di innovazione agli stakeholders.
- Supporto alla redazione della "Request For Proposal" con i requisiti funzionali e tecnici ed i vincoli temporali che devono caratterizzare il progetto per la sua realizzazione ed avviamento.
- Identificazione dei criteri di selezione dei potenziali fornitori.
- Project management e supervisione delle fasi implementative della attuazione del cambiamento.
Iscriviti a:
Post
(
Atom
)













Nessun commento :
Posta un commento