Blog

Le sfide della Trasformazione Digitale e il nuovo ruolo del CISO

Le sfide della Trasformazione Digitale e il nuovo ruolo del CISO

Quali sono oggi le principali sfide con cui deve confrontarsi il Responsabile della sicurezza informatica, e come sta evolvendo il suo ruolo, con l’obiettivo di favorire la strategia di digitalizzazione scelta dalla sua azienda? Ne abbiamo parlato con chi vive quotidianamente queste problematiche e che può quindi indicare la direzione giusta da intraprendere, ossia, direttamente con Francesco Di Maio, Head Security Department, ENAV e parte dell’Advisory Board del Programma 2018 sulla Cybersecurity di The Innovation Group.

TIG. Quali sono oggi le problematiche più avvertite dai Chief Information Security Officer?

Read More

Meltdown e Spectre: come risolvere il bug dei processori

Meltdown e Spectre: come risolvere il bug dei processori

La vulnerabilità più grave di sempre è quella di cui tutti parlano da circa una settimana, e non è una ma ben due, Meltdown e Spectre. La prima, Meltdown, riguarda quasi tutto: PC, tablet, server, smartphone, oltre molti altri oggetti intelligenti e anche il mondo del cloud. Le misure per risolverla, nonostante il rush degli ultimi giorni, devono ancora arrivare. Il problema secondo alcuni è di lunga data, si parla di 20 anni: nasce dal fatto che le architetture utilizzate dai produttori di processori hanno messo al primo posto le prestazioni sfavorendo invece la robustezza contro possibili attacchi esterni.

Read More

La disciplina del cyberspace alla luce della Direttiva NIS UE

La disciplina del cyberspace alla luce della Direttiva NIS UE

Il cyberspace è la realtà più complessa e articolata che l’essere umano abbia mai concepito, costituita dall’unione di reti, di dati e dalla stratificazione di software che interconnettono cose, uomini e macchine a livello globale. Collegarsi alla rete, quindi, oltre a permettere l’accesso ad una mole enorme di informazioni, rende anche tutti i sistemi interconnessi potenzialmente vulnerabili e con essi i loro contenuti. Detto rischio, invero, riguarda sia i singoli individui, sia gli Stati (rispetto ai quali l’attività degli “attori ostili” è prevalentemente finalizzata, sul piano strategico, alla raccolta di informazioni tese a comprendere il posizionamento di un determinato paese target su eventi geopolitici di interesse per l’attore statuale ostile), sia, infine, le grandi realtà aziendali e industriali (banche, società energetiche, società che operano nel settore della difesa, strutture sanitarie, ecc.) che usano la rete per scambiare informazioni, organizzare la fornitura dei servizi da essi erogati, coordinare le relative attività.

Read More

L’Agenda del CISO per il 2018

L’Agenda del CISO per il 2018

Le aziende sono sempre più interessate alle opportunità offerte dalle innovazioni Disruptive, dal Cloud, all’Internet of Things, all’intelligenza artificiale. Quale impatto avranno queste sulla Cybersecurity aziendale? Quali diventano le principali problematiche per il CISO e quali sono quindi le priorità da mettere in Agenda per il 2018? Ne abbiamo parlato con Corradino Corradi, Head of ICT Security, Privacy & Fraud Management di Vodafone Italia.

Read More

Information Security Awareness: istruzioni per l’uso

Information Security Awareness: istruzioni per l’uso

È oramai un fatto acquisito che minacce di sicurezza come APT, Phishing, CEO Fraud e Business Email Compromise hanno un ruolo sempre più centrale negli attacchi moderni. Il phishing è l’adescamento delle persone tramite mail che contengono allegati o link malevoli, che rimandano a pagine web fasulle dove vengono raccolte credenziali di accesso o altre informazioni richieste agli utenti (numero di carta di credito), informazioni che l’attaccante riesce a monetizzare subito, rivendendole nel dark web.

Read More

Affrontare i rischi della Digital Transformation

Affrontare i rischi della Digital Transformation

Lo scorso aprile, Bose, produttore di sistemi audio, è stato accusato di utilizzare l’App “Bose Connect” abbinata alle cuffie audio di fascia alta per spiare i suoi clienti. Bose, come ha riportato la rivista Fortune, avrebbe raccolto informazioni sull’ascolto dei brani dei consumatori senza averne ottenuto il permesso, e soprattutto senza neanche aver reso noto che tutti i dati (relativi al loro consumo di musica, radio broadcast, Podcast, letture), sarebbero stati raccolti grazie all’App e quindi girati a terze parti. Queste, per lo più società di marketing (tra cui una società di San Francisco, la Segment), usavano i dati per creare profili dettagliati sulle preferenze di ascolto di ogni cliente. Ad aprile è stata però avviata un’azione legale, una class action indetta da un cliente (Kyle Zak) che si propone di rappresentare molti altri, che punta a ottenere un rimborso di 5 milioni di dollari. L’App Bose Connect incriminata, pur non essendo indispensabile (le cuffie funzionano anche senza), viene scaricata lasciando informazioni personali come nome e indirizzo di mail e serve a ottimizzare l’utilizzo delle cuffie wireless, oltre che – ovviamente – a raccogliere tutti i dati di consumo audio.

Read More

Automotive Cybersecurity: lo stato dell’arte

Automotive Cybersecurity: lo stato dell’arte

In futuro tutte le auto saranno dotate di connettività Internet. In Europa questo avverrà presto: il sistema di chiamata automatica di emergenza eCall sarà obbligatorio su tutte le nuove auto dal 31 marzo 2018. In caso di incidente dovrà chiamare automaticamente il numero unico di emergenza europeo 112, inviando i dati sul veicolo e sulla posizione esatta. L’obbligo, deciso per le auto private e i veicoli commerciali leggeri, potrebbe anche essere esteso ai mezzi pesanti, pullman turistici compresi. Nelle intenzioni del legislatore, la eCall dovrebbe essere ‘dormiente’ e si attiverebbe solo quando i sensori dell’auto rilevano un incidente o quando l’automobilista l’aziona manualmente. Niente tracciamento dei veicoli, quindi, ma non è difficile immaginare le possibilità commerciali e di marketing date dal sapere dove si trova ogni singolo cliente, e secondo le norme europee, la eCall potrà tranquillamente convivere con servizi di terze parti.

Read More

Cyber threats e vulnerabilità nell’Industria 4.0, tanti problemi che si sommano

Cyber threats e vulnerabilità nell’Industria 4.0, tanti problemi che si sommano

Le vulnerabilità degli ambienti industriali che evolvono in configurazione 4.0, partendo dal classico “Industrial IoT” o SCADA/ICS, sono molteplici. Poiché le architetture sono stratificate, è opportuno adottare un approccio multilivello, che punti a scomporre le problematiche (per capirle meglio) collocandole sul corretto layer di riferimento, e poi a riconsiderarle valutando anche interdipendenze e possibili effetti a catena. La priorità oggi, se vogliamo una reale resilienza delle infrastrutture critiche (ed in generale di Industria 4.0) a livello Paese, è muoversi in fretta, come afferma Raoul Brenna, Responsabile della Practice Information Security & Infrastructures di CEFRIEL- Politecnico di Milano, in questa intervista con TIG, e come spiegherà nel dettaglio durante il Webinar “Cybersecurity e Industria 4.0, Un imperativo: non farsi cogliere impreparati” previsto per il prossimo 14 dicembre 2017.

Read More

Dynamic Cyber Risk Management nella prospettiva ERM nel Gruppo Hera

Dynamic Cyber Risk Management nella prospettiva ERM nel Gruppo Hera

Le priorità di integrazione e omogeneizzazione della gestione dei rischi (Enterprise Risk Management, ERM) si devono confrontare oggi con uno scenario sempre più dinamico e complesso per quanto riguarda la risposta alle minacce cyber. Come rendere quindi il processo di allineamento e integrazione il più possibile dinamico, coerente con una fotografia dello stato di security che è in continua trasformazione? ne abbiamo parlato in questa intervista con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera, che ci indica la strada corretta da seguire per ottenere i risultati sostenibili nel tempo.

Read More