No Secure SDLC, No Party. Perchè è fondamentale implementare la sicurezza in ogni fase del Ciclo di Vita del Prodotto
“La sicurezza è un processo, non un prodotto. I prodotti offrono una certa protezione, ma l’unico modo per fare business in modo efficace in un mondo insicuro è mettere in atto processi che riconoscano l’insicurezza intrinseca nei prodotti.” Questa citazione, tratta dal saggio di Bruce Schneier intitolato “Il Processo della Sicurezza” scritto nel 2000, riassume…
Email Security: Cyber Kill Chain come modello di Difesa
Per comprendere come difendersi da potenziali attacchi malevoli è necessario studiare come questi avvengano. Per fare ciò, esistono diversi modelli, tra questi uno dei più noti ed utilizzati è quello della “Cyber Kill Chain” ideato da Lockheed Martin nel 2011. Questo modello descrive in sette fasi, si veda la figura 2, come un attaccante può…
Il Cybersecurity Lab di ZTE Italia: Un centro all’avanguardia per la ricerca e il testing in ambito di sicurezza
Il Cybersecurity Lab di ZTE Italia, inaugurato nel 2019, è un pilastro fondamentale nella strategia dell’azienda per garantire la sicurezza informatica a livello globale. Situato a Roma, questo laboratorio è uno dei tre laboratori di sicurezza informatica di ZTE nel mondo, con gli altri due situati a Nanjing e Düsseldorf. L’obiettivo principale del laboratorio è…
Cos’è Managed Data Detection and Response (MDDR)?
Il mondo funziona grazie ai dati. Indipendentemente dal settore (sanità, finanza, PA, istruzione, ecc.) tutte le organizzazioni lavorano con i dati. Anche tutti gli attacchi informatici funzionano con i dati. Che la fonte sia esterna o interna, sofisticata o meno, le minacce hanno bisogno di dati per rubare un’identità o un segreto aziendale, compromettere una…
Attività di digital forensics e diritto di difesa
Se da un lato la potenzialità investigativa offerta dalle nuove tecniche dell’informatica forense comporta un indiscutibile vantaggio per il lavoro degli inquirenti, dall’altro, se non debitamente perimetrata all’interno di una disciplina ben delineata, rischia inevitabilmente di porre a rischio le garanzie con le quali la Costituzione ha inteso tutelare il diritto di difesa e il…
Industrial Cybersecurity – Architettura per la sicurezza
Il monitoring prevede l’acquisizione di informazioni dal/nel target system circa il suo stato e il suo funzionamento. Tali informazioni, in formato grezzo e/o preventivamente elaborato e/o aggregato, vengono rese disponibili all’attività di detection che, in caso di errore, criticità o anomalia, coinvolge l’attività di reaction per l’attuazione delle necessarie contromisure, il tutto sotto la supervisione…
NIS2: misure, controlli e sanzioni previste dalla Direttiva Europea. E uno spunto di 7Layers
La cybersecurity non è più solo una questione tecnica: al contrario, è ormai diventata una componente critica della sicurezza comune e oggetto di normazione nazionale e internazionale. Da diversi anni, l’Unione Europea ha promosso provvedimenti volti ad armonizzare il quadro normativo per costruire uno spazio digitale Europa sicuro e resiliente, in grado di reggere la…
Industrial Cybersecurity: Gli attacchi più diffusi e le contromisure
Le vulnerabilità non sono isolate ma correlate tra di loro; ed esistono tipiche sequenze del loro sfruttamento per portare a compimento degli attacchi. Certamente avere barriere al confine tra parte IT e parte OT, così come adeguate policy di sicurezza, sono sfide ancora da vincere. Boundary Protection: il confine tra le reti IT e OT…
La Direttiva NIS2: Il quadro giuridico italiano
Dall’entrata in vigore della Direttiva NIS nel 2016, il contesto delle minacce informatiche ha subito significative trasformazioni, registrando un incremento del numero, dell’entità, della sofisticazione e della frequenza degli incidenti informatici. Sebbene la Direttiva NIS abbia costituito un passo iniziale rilevante, questa evoluzione ha messo in luce l’insufficienza del quadro normativo vigente e le disparità…
Privacy e metadati di posta elettronica dei dipendenti – Le principali novità
Sono stati finalmente chiariti dal Garante per la protezione dei dati personali molti dei dubbi interpretativi sulla conservazione dei metadati relativi alle comunicazioni di posta elettronica dei dipendenti. In proposito, sia permesso rimandare all’articolo di commento alla precedente versione del provvedimento: “Metadati delle email dei dipendenti: il punto sul provvedimento del Garante sottoposto a consultazione…