INDICE My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.
4
ATTUALITÀ
8
PRIMO PIANO
6
La via dell’illegalità passa per il deep web Isabella Corradini
8
Verigames, è in gioco la sicurezza A cura della Redazione
11 Gli italiani e la privacy online
PRIVACY E SICUREZZA
12
A cura della Redazione
BUSINESS & SICUREZZA
16 L’importanza di una protezione DDoS locale
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n° 23 gen/feb 2014
QR
Ivan Straniero
1
INDICE
20
SICUREZZA DATI
Firmato il protocollo d’intenti tra Garante privacy e DIS a cura della Redazione
CYBERCRIME
22
22 “OF2CEN”, progetto europeo contro le frodi bancarie a cura della Redazione
24
Otto previsioni sulla sicurezza informatica per il 2014 a cura della Redazione
26
CLOUD E SICUREZZA
Garantire la sicurezza delle applicazioni cloud-based Luca Collacciani
WEB SECURITY
28 Dall’e-mail al social network. le nuove sfide della comunicazione aziendale Richard Hughes
Information Security n° 23 gen/feb 2014
32
2
PRIVACY E SICUREZZA
Maggiore sicurezza per gli help desk contro le minacce a cura della Redazione
15 42
BUSINESS SOLUTION Minacce alla sicurezza, VETRINA ecco cosa potrebbe succedere nel 2014
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
PRIVACY E SICUREZZA LE NUOVE SFIDE PER IL 2014 a quello che comunemente viene chiamato cyber crime. In questo numero ci soffermeremo sul delicato equilibrio tra privacy e sicurezza. Vi proporremo infatti i risultati finali di una ricerca del Censis che si domanda a che punto sia il rapporto tra gli italiani e la privacy in rete. “Oltre otto italiani su dieci apprendiamo - sono convinti che su Internet sia meglio non lasciare tracce e pensano che fornire i propri dati personali on line sia pericoloso perché espone al rischio di truffe”. Guidati dal dr Straniero, Territory Manager di Arbor Networks, toccheremo poi con mano l’importanza di una protezione DDoS locale. In particolare, prenderemo in esame l’evoluzione degli attacchi DDoS (da volumetrici a applicativi) per descrivere come sarebbe possibile mitigare gli attacchi applicativi prima che questi possano impattare sulla continuità di servizio. Ci occuperemo inoltre della sicurezza per gli help desk, e lo faremo affidandoci ai risultati di una ricerca realizzata da SANS Institute. “Il 69% degli intervistati (oltre 900 professionisti IT) – si legge - indica le tecniche di social engineering come le minacce più significative e quasi il 27% di loro ammette di avere deboli policy di sicurezza”. Presenteremo poi il progetto “OF2CEN” (contro le frodi bancarie), analizzeremo insieme le previsioni 2014 sulla sicurezza informatica, ci occuperemo di come proteggere le applicazioni cloud, giocheremo con Verigames (il sorprendente progetto lanciato dal Dipartimento della Difesa americano) e ci intrufoleremo nel ‘deep web’, ossia quel mondo nascosto alla gran parte degli utenti, ma nel quale proliferano siti di e-commerce alternativi disposti a vendere davvero di tutto..
Information Security n° 23 gen/feb 2014
anche dati inaccessibili, sistemi cloud affidabili e sicuri, dispositivi mobili inviolabili e la privacy come un diritto inalienabile garantito a chiunque di noi. In un mondo perfetto, questi sarebbero punti focali di una società informatizzata, nel nostro invece, sono solo l’obiettivo da raggiungere. Sono Maria Giulia Mazzoni, neo direttore della rivista Information Security, ed è con questa consapevolezza che raccolgo l’importante eredità lasciatami da chi mi ha preceduta, proiettandomi con entusiasmo in questa nuova stimolante sfida editoriale. Del resto, garantire la sicurezza dei dati informatizzati è divenuta oggi una priorità, soprattutto alla luce di una società, la nostra, che sta virando sempre più in ‘dimensioni cloud’. Quali saranno le nuove sfide da affrontare? Con un piano editoriale rimaneggiato alla luce delle più importanti novità del settore, Information Security si propone quindi di seguire sempre più da vicino le evoluzioni di un mondo in costante cambiamento, affrontando questioni oggi cruciali come la conservazione e la condivisione sicura dei dati aziendali, il preoccupante aumento delle frodi informatiche e le contromisure
3
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA
Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali
Raoul Chiesa - Founder, Security Brokers Inc.
Elio Molteni - Presidente AIPSI, ISSA Italian Chapter
Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis
Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato
Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT
Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - HP EMEA - Communication & Media Solutions, RealTime BSS (RTBSS), Center of Excellence Manager
INDICE INSERZIONISTI
Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00
Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria
Abbonamento annuale Euro 52,00
Stefano Zanero - Responsabile Tecnico, Secure Network
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma
II COP. III COP. IV COP. PAG. 11 PAG. 15 PAG. 19
Direttore Responsabile Maria Giulia Mazzoni
Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio
Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
FUTURE TIME G DATA GFI STONESOFT TREND MICRO IS ABBONAMENTI
Information Security Anno V - n. 23 Gennaio/Febbraio 2014
BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Febbraio 2014 presso: Centro Rotoweb S.r.l. Via Tazio Nuvolari, 3 e 16 00011 Tivoli Terme (Roma)