INDICE My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.
PRIMO PIANO
6
4
ATTUALITÀ
6 Le frodi nella rete. Il duplice ruolo dell’ICT. Una community per fare scuola Maria Giulia Mazzoni intervista Alessandro Vallega, Security Business Development Manager di Oracle Italia
10
(Tutte) Le informazioni utili in tempo reale. “Così abbiamo fatto in Lombardia” Maria Giulia Mazzoni intervista Davide Rovera, Presidente Lombardia Informatica
14
Cyber incident, le imprese di oggi sono pronte a rispondere (adeguatamente)? Maria Giulia Mazzoni intervista Darren Anstee, Director of Solutions Architects di Arbor Networks
19 Cloud computing, (oggi) tutti ne parlano ed ecco perché
CLOUD COMPUTING SECURITY
20
Nunzia Locantore
Attacchi informatici al cloud: ma quanto si è sicuri?
26
Marco R. A. Bozzetti
Il cloud, una tecnologia sempre più vicina a startup e PMI
30
QR
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n° 25 mag/giu 2014
Stefano Sordi
1
INDICE
CYBERCRIME
34 Truffe on line, le precauzioni non sono mai troppe Stefano Rudilosso
35
WEB SECURITY
Sicurezza dei sistemi informatici, le minacce sono in costante aumento Davide Gastaldon
SCENARI
40 Il malware diventerà (molto) più cattivo
Information Security n° 25 mag/giu 2014
Maria Giulia Mazzoni intervista Emilio Tonelli, Senior Sales Engineer South Europe per WatchGuard
2
17
42
Impianti industriali nel mirino VETRINA dei cyber criminali
BUSINESS SOLUTION
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
SI FA PRESTO A DIRE... CLOUD Un incremento decisamente molto preoccupante, soprattutto alla luce di un’altra analisi di cui ci occuperemo in questo numero: la crescita esponenziale del cosiddetto ‘crimine informatico’, certificato dal rapporto Clusit 2014 e commentato per noi da Emilio Tonelli di WatchGuard. Ma l’aspetto più interessante affrontato dalla ricerca, ci spiega Tonelli, è tuttavia quello relativo ad un cambio di ‘scenario’ attualmente in atto. Oggi infatti la massiccia presenza di utenti iscritti su qualunque sito e community esistente, sui social network e nelle banche dati, ci impone un cambio di passo, portandoci a difendere i dati più che le infrastrutture. Consci dell’importanza del problema abbiamo poi voluto affrontare anche il delicato ruolo che l’ICT svolge nelle frodi informatiche. Grazie all’ultimo report prodotto dalla Oracle Community for Security è infatti emerso che, se da una parte le tecnologie possono essere usate per il contrasto alla frode, dall’altra un ICT configurato, progettato o gestito male, permette di realizzare frodi che negli anni passati erano semplicemente inimmaginabili. Infine parleremo di cyber incident per capire se le aziende sono oggi pronte a rispondere adeguatamente, e ci faremo aiutare da Davide Rovera, presidente di Lombardia Informatica, per conoscere a fondo tutte le funzionalità del sistema ed i risultati ottenuti dai servizi attualmente attivi nella regione. Un viaggio quanto mai interessante che dovrebbe portarci a riflettere sulle potenzialità e le opportunità (troppo spesso inespresse) legate all’informatizzazione (sistematica) del nostro sistema-Paese. Buona lettura.
Information Security n° 25 mag/giu 2014
a recente esplosione del ‘fenomeno cloud’ impone un’attenta riflessione. Se è vero, come è vero, che la ‘nuvola informatica‘ rappresenta un indiscutibile valore aggiunto per tutti (la possibilità di memorizzare online i nostri dati e lavorare senza utilizzare la memoria del nostro dispositivo è un vantaggio non da poco) è altrettanto vero invece che insieme alla libertà sono emerse una serie di problematiche legate alla sicurezza dei dati e alla privacy. Ai nostri esperti abbiamo voluto quindi chiedere una fotografia quanto più esaustiva dell’utilizzo di questa tecnologia. Un’analisi che mettesse chiaramente in evidenza pregi e difetti dei sistemi cloud based perché, si sa, l’unico modo per superare i propri limiti è riconoscerli. Ma in questo numero di Information Security parleremo anche di cyber crime. L’Osservatorio Nazionale per la Sicurezza Informatica ci presenterà un’analisi statistica molto dettagliata relativa alle minacce di sicurezza che - i dati parlano chiaro - sono in costante aumento. Prendendo ad esempio come categoria di riferimento i malware, le statistiche calcolate su base mondiale rivelano infatti che nel mese di gennaio 2014 ci sono state oltre 9 milioni di minacce attive rispetto ai 7,5 milioni rilevati nello stesso mese del 2013.
3
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA
Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali
Raoul Chiesa - Founder, Security Brokers Inc.
Elio Molteni - Presidente AIPSI, ISSA Italian Chapter
Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis
Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato
Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre
Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network
Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
INDICE INSERZIONISTI
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma
WATCHGUARD GDATA FUTURE TIME TREND MICRO GFI IS ABBONAMENTI
II COP. III COP. IV COP. PAG. 17 PAG. 18 PAG. 25
Information Security Anno V - n. 25 Maggio/Giugno 2014 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 Abbonamento annuale Euro 52,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Giugno 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma