Decreto semplificazioni: cosa cambia per la privacy

Nella tarda mattinata di ieri il governo ha posto la questione della fiducia alla Camera sul decreto legge in materia di semplificazione fiscale ed ha introdotto svariate semplificazioni e novità.

In questo articolo parleremo delle novità in tema Privacy (decreto legislativo 193/2003)

Con il decreto semplificazioni ufficialmente vengono abrogati una serie di articoli in cui si evince (ma si sapeva da tempo ormai) che non serve più il dps come documento da avere in azienda.

Infatti vengono abrogati alcuni punti  del disciplinare tecnico in materia di misure minime di sicurezza e precisamente tutto l'articolo 19 e l'articolo 26 che riportiamo:

 

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

In sostanza: il famoso documento "DPS" sparisce. Ma si sapeva da tempo.

Il DPS è sempre stato un documento farraginoso e poco adottato dalle aziende in tutti i settori in quanto visto sempre come un qualcosa di inutile, un costo da sostenere per essere a norma. Molto spesso il documento era creato in forma automatica (decine di programmi che facevano in automatico o quasi il documento minimale e a norma di legge) oppure creato da consulenti senza scupolo per poche centinaia di euro con metodi di taglia e incolla. Dimenticando però lo spirito originario del sistema (e qui comincio a parlare di sistema per la sicurezza dei dati aziendali, non più DPS): Essere una guida per salvaguardare il patrimonio informativo della propria attività. Poche organizzazioni lo hanno inteso in questo modo.

Cosa succederà da oggi: probabilmente si dedicheranno ancora meno soldi al tema della sicurezza del proprio sistema informativo in quanto, erroneamente, si presuppone che non servendo più questo documento, il sistema potrà essere lasciato cosi' com'e'. Sbagliando. In quanto tutto il resto del sistema di sicurezza comunque deve essere garantito. Soprattutto in un' era in cui la digitalizzazione sta diventando sempre più pervasiva anche in settori che storicamente erano resti. Aprendo nuove prospettive di furto di dati digitalizzati anche sensibili.

Dal nostro punto di vista, condiviso da molti, il dps dovrà essere sostituito, all'interno dalle organizzazioni, da un manuale operativo per la gestione della sicurezza dei dati comuni, personali e sensibili.

Noi continueremo comunque nella nostra opera di sensibilizzazione sulla necessità della sicurezza del sistema informativo in quanto unico vero patrimonio delel organizzazioni.

Articoli Correlati

Prima o poi capita a tutti…

Riporto integralmente un articolo di Rosario Russo dell'Associazioen Italiana Ingegneri dell'Informazione perchè lo reputo importante e… in qualche modo emblematico.

Qui il post originale.

 

Alcuni giorni fa un hacker ha sfruttato una vulnerabilità nel sistema di emissione dei certificati digitali nella rete degli affiliati della Registration Authority di Comodo, controllata dall'italiana Global Trust. Dozzine di siti web che utilizzano i certificati della Global Trust sono andati offline. In sostanza, l'attacco ha compromesso l'integrità del processo stesso di emissione dei certificati SSL!

L'hacker, con molta boria (più volte dice di essere bravissimo, avendo solo 21 anni), spiega come ha fatto (http://pastebin.com/74KXCaEZ): prima ha compromesso il server IstantSSL di Comodo, prendendone pieno possesso, poi a trovato la libreria TrustDll.dll, che si occupa della firma. Tale libreria era stata compilata da un sorgente in C#.

L'hacker l'ha decompilata, ha trovato la username e la password dell'account reseller di GeoTrust e Comodo, quindi ha provato ad utilizzarli. La URL di GeoTrust non funzionava, mentre quella di Comodo era attiva e l'attacco poteva essere portato a termine. Si è quindi loggato nel sito di Comodo e si è reso conto che aveva il diritto di firma usando le API messe a disposizione dalla piattaforma.

Poiché non aveva idea di come funzionassero queste API, ha capito che forse era il caso di scrivere un po' di codice e di riscriversi alcune routine. In 10-15 minuti (così sostiene), ha rifatto le API e ha potuto generare e firmare tutti i certificati che voleva. Così ha creato e firmato, con tanto di firma riconosciuta da tutti i browser, i certificati per gmail.com, yahoo.com, live.com, mozilla.org, skype.com.

Per dimostrare al mondo che l'attacco era davvero avvenuto, ha anche pubblicato la chiave privata con cui è stato firmato il certificato per il sito addons.mozilla.org. Questo gesto spudorato e impudente ha compromesso tutti gli utenti che utilizzano gli addons della suite di Mozilla (Firefox e Thunderbird, in primis). Poiché la chiave privata non era nemmeno protetta da password, altri attacker ora possono tranquillamente utilizzarla per firmare tutti i certificati per "addons.mozilla.org" che vogliono! Ora possiamo tutti essere vittime di attacchi Men-in-the-Middle senza minimamente rendercene conto.

Per chi spera di affidarsi al sistema di revocation dei certificati, sta fresco: ultimamente una serie di critiche stanno dimostrando che questo meccanismo non funziona efficacemente (http://www.imperialviolet.org/2011/03/18/revocation.html).

Nel momento in cui scrivo, il sito  https://trustseal.globaltrust.it è offilne, evidentemente per indagine forense in corso.  Altri siti afferenti alla Global Trust sono offline e mostrano la pagina "Under construction" (www.banksafe.it, www.comodogroup.it, www.cybercrimeworkingroup.org e, ironicamente, www.riskmitigation.it).

Sappiamo ora che ci sono chiavi private in mano ad una persona che può firmare certificati SSL "validi" e quindi impersonare qualunque sito web! Il dramma è che, sebbene molti siti non usano certificati di Global Trust, ne sono comunque vittime, poiché sono (anzi, posso dire tranquillamente, siamo) suscettibili ad attacchi Men-in-the-Middle.

Peggio di così, forse, non poteva andare!

Articoli Correlati

Microsoft Security Essentials: presto gratuito per le pmi

Microsoft Security Essentials, la soluzione antivirus ed anti-malware che Microsoft un anno fa ha messo gratuitamente a disposizione di tutti gli utenti consumer, potrà presto essere installato in modo ufficiale anche dalle piccole aziende che hanno fino a 10 postazioni di lavoro.
A partire da Ottobre, infatti, i termini della sua licenza cambieranno e le aziende con dieci o meno PC potranno scaricare ed utilizzare il software senza alcun costo.
In realtà non si può fare a meno di notare come già la maggior parte delle piccole compagnie con pochi personal computer operino già in questo modo.
Con questa mossa Microsoft intende quindi formalizzare quella che è una realtà da tempo ben conosciuta dal colosso di Redmond. “Non è un segreto che moltissime piccole compagnie oggi non dispongono di un professionista IT dedicato o di uno staff che gestisca le loro risorse IT” – ha commentato la notizia con un post su Internet il responsabile Microsoft Eric Lingman – “Offrendo Security Essentials (con i suoi aggiornamenti automatici dal sito Microsoft) alle piccole imprese, senza richiedere alcun pagamento aggiuntivo, estendiamo quello che è il nostro impegno e la nostra missione annunciata, ovvero aiutarle a ridurre i costi dell’IT e far crescere il loro business”. In effetti, considerato il costo medio attuale di una licenza per un antivirus, il risparmio nell’utilizzare Microsoft Security Essentials nelle micro imprese può arrivare fino ai 250/300 euro all’anno, purchè i PC in uso siano dotati di regolari licenze Windows.
Microsoft Security Essentials si presenta all’utente finale come un’applicazione leggera da scaricare e utilizzare e dall’interfaccia intuitiva, volta a proteggere i PC contro virus ed altri malware e che si integra perfettamente con i controlli di sicurezza built-in presenti all’interno di Windows 7, Windows Vista e Windows XP (Service Pack 2 o superiore).
Il team di sicurezza Microsoft sta inoltre sviluppando una nuova versione del software comprendente ampliamenti e maggiori analisi di sicurezza, tuttavia la nuova versione è tutt’ora in fase beta.
Fin dal suo rilascio, sono stati numerosi i responsabili IT a chiedere che questo tipo di protezione potesse un giorno venire estesa gratuitamente a tutte le compagnie, a prescindere dalla loro dimensione in modo da incrementare anche la sicurezza degli ambienti Windows di minori dimensioni. L’annuncio della scorsa settimana viene visto da molti proprio come un ulteriore passo verso questa direzione.

Articoli Correlati

Risk Analysis

Da un estratto di un nostro documento per spiegare questa attività. Penso possa essere utile a molti.

Nelle realtà aziendali esistono innumerevoli contenitori di dati da cui si estraggono informazioni utili alla conoscenza del proprio business.
Questa frase contiene in sé il perché dell’analisi del rischio all’interno di una azienda.

Abbiamo dati in molteplici forme: cartacei, fogli excel, svariati databases, documenti informatici. Sono Fatti ed Oggetti. Da soli servono poco o nulla ma devono essere comunque gestiti.
Dai dati estraiamo informazioni correlandoli in configurazioni significative per la nostra attività.
La conoscenza è l’applicazione e l’uso produttivo dell’informazione.
Sono “oggetti” che quindi vanno preservati per la continuità dell’azienda.

Per tali motivi è necessario quindi analizzare l’intera azienda per scoprire dove sono questi “oggetti” e come preservali in caso di “disastri”.

Questo è l’oggetto della Risk Analysis:

  1. Fornire informazioni al management aziendale
  2. Verificare il rispetto di leggi e regolamenti
  3. Ridurre le perdite provocate dalle minacce

Gli obiettivi della Risk Analysis sono soprattutto:

  1. Determinare quali beni aziendali sono critici (e rientrano anche i beni o asset intangibili come la conoscenza e l’informazione)
  2. Identificare le minacce possibili
  3. Determinarne le criticità e le vulnerabilità
  4. Calcolare in maniera scientifica le perdite previste in caso di incidente
  5. Valutare le azioni e le contromisure da mettere in campo
  6. Mettere in campo le azioni correttive
  7. Periodicamente effettuare una nuova risk analysis

E’ un processo ciclico da effettuare con svariate metodologie:

  1. quantitative per dare un valore certo dei rischi, sono più costose e complesse ma alla lunga danno un vantaggio, sono ripetibili e confrontabili
  2. qualitative quando i beni o i dati non sono facilmente valutabili in termini economici (es quando un incidente causa perdita di immagine).

I passi sono abbastanza semplici da descrivere:

  1. identificare gli asset aziendali tangibili e intangibili determinandone i valori , la criticità la proprietà e la localizzazione
  2. Identificare le minacce distinguendo tra eventi naturali (es incendio) ed umani (furto di dati, abuso di privilegi) o tecniche (guasto hardware, guasto software) e facendo una stima della loro frequenza di accadimento
  3. Identificare le contromisure esistenti  (antivirus, ridondanza, condizionamento, antifurto, backup, controllo accessi)
  4. Identificare le vulnerabilità
  5. Calcolare il valore delle perdite stimate con funzioni matematiche ad hoc oppure con matrici di probabilità: Questo Ë il rischio

Una volta calcolato il rischio totale si mettono in pratica azioni correttive volte a eliminarlo, abbassarlo, oppure trasferirlo (assicurazione).

A questo punto si entra nella gestione del rischio vero e proprio in cui si mettono in pratica una serie di metodologie organizzative e tecnologiche massimizzando il rapporto Costo/beneficio in quanto la gestione del rischio ha benefici ma anche costi quali:

  1. Costi di investimento
  2. Costi di Implementazione delle contromisure
  3. Costi operativi e di manutenzione
  4. Costi diretti e indiretti.

Il ritorno dell’investimento per la riduzione del rischio è comunque positivo se il processo è eseguito correttamente: ci sono dei benefici economici in quanto perdo meno tempo (es, quanto costa ricostruire un sistema gestionale partendo dalle copie cartacee?), benefici non economici come una migliore gestione, una maggiore consapevolezza, un livello di integrità dei dati migliorato.

In definitiva, uno studio di risk management ha l’obiettivo di presentare al management aziendale le contromisure necessarie alla riduzione del rischi e comprende:

  1. Il risultato della Risk Analysis
  2. Gli scenari delle minacce e vulnerabilità
  3. I risultati secondo l’analisi costi/benefici
  4. Le contromisure da adottare.

In sostanza dire che serve assolutamente un doppio ced, oppure una rete dati completamente ridondata, un certo sistema di replica delle informazioni senza avere fatto una seria analisi sia dei costi che dei benefici attesi  è assolutamente priva di significato. Di volta in volta le soluzioni possono essere diverse a seconda dell’azienda.

Sicurezza e valore dei dati

Articoli Correlati

Internet, nuovo virus on line: occhio alle email con la mappa degli autovelox

Roma – (Adnkronos) – Email, aventi come falso mittente la polizia, forniscono un link per consultare l’elenco aggiornato delle postazioni fisse autovelox. In realtà cliccando si installa un virus che ‘cattura’ informazioni sensibili contenute nel computer

Roma, 30 lug. (Adnkronos) – La polizia postale mette in guardia da una nuova truffa che da ieri sera circola online: email, aventi come falso mittente la polizia, nelle quali si dà la possibilità di consultare l’elenco aggiornato delle postazioni fisse autovelox e a tale scopo viene fornito un link. In realtà cliccando si installa un virus molto insidioso che ‘cattura’ informazioni sensibili contenute nel computer.

Scopo di queste mail ‘truffaldine’, dietro le quali spesso si nasconde la mano della criminalità organizzata, è accedere ad esempio ai conti correnti bancari. ”Abbiamo già allertato le forze di polizia locali colombiane e ucraine, dove si trovano i server a cui rimanda il link – spiega all’ADNKRONOS Nunzia Ciardi, una dirigente della Polizia Postale e delle Comunicazioni – Sappiamo che stanno circolando centinaia di migliaia di queste mail, che possono trarre in inganno perché prendono spunto da un testo pubblicato sul sito della polizia ma poi rimandano a un link che se viene cliccato scarica un virus capace di catturare le informazioni sensibili”.
”Le truffe più comuni sono quelle che, servendosi di pagine clonate dai siti degli istituti bancari comunicano al cliente la modifica delle modalità di accesso – prosegue Ciardi – chiedendogli di fornire username e password: a quel punto possono avere accesso al conto e il gioco è fatto”. Nel caso degli autovelox, invece, ”è la prima volta che scopriamo una truffa del genere.
Forse hanno pensato di approfittare dell’esodo estivo, in modo da rendere più credibile la truffa”.

La polizia consiglia di cestinare l’e-mail evitando di cliccare sul link e di tenere sempre aggiornato il proprio antivirus.

fonte: http://www.adnkronos.com/IGN/News/Cronaca/?id=3.1.756431152

Articoli Correlati

Pubblicati i dettagli di 100 milioni di account Facebook

Ron Bowes, sviluppatore del noto tool nmap, ha scritto un piccolo programma di scansione e lo ha lanciato sugli account pubblici di Facebook.

Il risultato? Un bel file di 2.8 GB contenente oltre 100 milioni di account dei quali è possibile sapere nome, cognome, ID, e molte altre informazioni lasciate pubblice.

Mi ricordo un’altra provocazione del genere di poco tempo fa: su un sito si mostrava chi non era a casa, raccogliendo i dati da questo sito social.

Comunque ecco una bella intervista dell’autore di questo “furto”:

Ron Bowes, a security consultant, used a piece of code to scan Facebook profiles, collecting data not hidden by the user’s privacy settings.

The list, which contains the URL of every searchable Facebook user’s profile, name and unique ID, has been shared as a downloadable file.

Mr Bowes told BBC News that he did it as part of his work on a security tool.

“I’m a developer for the Nmap Security Scanner and one of our recent tools is called Ncrack,” he said.

“It is designed to test password policies of organisations by using brute force attacks; in other words, guessing every username and password combination.”

By downloading the data from Facebook, and compiling a user’s first initial and surname, he was able to make a list of the most common probable usernames to use in the tool.

The three most common names, he found, were jsmith, ssmith and skhan.

In theory, researchers could then combine this list with a catalogue of the most commonly used passwords to test the security of sites. Similar techniques could be used by criminals for more nefarious means.

Mr Bowes said his original plan was to “collect a good list of human names that could be used for these tests”.

“Once I had the data, though, I realised that it could be of interest to the community if I released it, so I did,” he added.

Mr Bowes confirmed that all the data he harvested was already publicly available but acknowledged that if anyone now changed their privacy settings, their information would still be accessible.

“If 100,000 Facebook users decide that they no longer want to be in Facebook’s directory, I would still have their name and URL but it would no longer, technically, be public,” he said.

Mr Bowes said that collecting the data was in no way irresponsible and likened it to a telephone directory.

“All I’ve done is compile public information into a nice format for statistical analysis,” he said

Simon Davies from the watchdog Privacy International told BBC News it was an “ethical attack” and that more personal information had not been included in the trawl.

“This is a reputational and business issue for Facebook, for now,” he said

“They can continue to ride the risk and hope nothing cataclysmic occurs, but I would argue that Facebook has a special responsibility to go beyond doing the bare minimum,” he added.

Snowball effect

Mr Bowes’ file has spread rapidly across the net.

On the Pirate Bay, the world’s biggest file-sharing website, the list was being distributed and downloaded by thousands of users.

One user said that the list showed “why people need to read the privacy agreements and everything they click through”.

In a statement to BBC News, Facebook confirmed that the information in the list was already freely available online.

“No private data is available or has been compromised,” the statement added.

That view is shared by Mr Bowes, who added that harvesting this data highlighted the possible risks users put themselves in.

“I am of the belief that, if I can do something then there are about 1,000 bad guys that can do it too.

“For that reason, I believe in open disclosure of issues like this, especially when there’s minimal potential for anybody to get hurt.

“Since this is already public information, I see very little harm in disclosing it.”

Digital trends

However, he said, it also highlighted a new trend that was emerging in the digital age.

“With traditional paper media, it wasn’t possible to compile 170 million records in a searchable format and distribute it, but now we can,” he said.

“Having the name of one person means nothing, and having the name of a hundred people means nothing; it isn’t statistically significant.

“But when you start scaling to 170 million, statistical data emerges that we have never seen in the past.”

A spokesperson for Facebook said the list was “similar to the white pages of the phone book.

“This is the information available to enable people to find each other, which is the reason people join Facebook.”

“If someone does not want to be found, we also offer a number of controls to enable people not to appear in search on Facebook, in search engines, or share any information with applications.”

Earlier this year there was a storm of protest from users of the site over the complexity of Facebook’s privacy settings. As a result, the site rolled out simplified privacy controls.

Facebook has a default setting for privacy that makes some user information publicly available. People have to make a conscious choice to opt-out of the defaults.

Articoli Correlati

La sicurezza della rete in mano a sette persone

Da un comunicato dell’ICANN:

Se un giorno la rete fosse messa a repentaglio da un qualche disastro, sette persone avranno l’autorità e la possibilità di ripristinarne il funzionamento ritrovandosi e ricomponendo la chiave ultima di sicurezza per l’indirizzario fondamentale su cui l’intera rete si regge.
I nomi sono i seguenti:

* Paul Kane, Regno Unito
* Bevil Wooding, Trinidad e Tobago
* Norm Ritchie, Canada
* Moussa Guebre, Burkina Faso
* Jiankang Yao, Cina
* Ondrej Sury, Repubblica Ceca
* Dan Kaminsky, Stati Uniti d’America, già noto per precedenti scoperte relative alle vulnerabilità del sistema DNS

Sono i sette “Trusted Community Representatives” che avranno la responsabilità di custodire differenti porzioni del codice “Recovery Key” utilizzato pe rl’autenticazione nella Root Zone.
In caso di disastro i sette si ritroveranno negli Stati Uniti in una località segreta ed avranno il compito di autorizzare il riavvio dei server per il ripristino della situazione.

Sviluppato in collaborazione con l’azienda specialista del settore VeriSign e il Dipartimento Usa del Commercio, il sistema “Domain Name System Security Extensions” (DNSSEC) assegna un codice segreto e specifico per ogni indirizzo internet, consentendo ai siti di essere subito identificati in modo da assicurare la loro legittimità.
Impedisce, inoltre, l’esistenza di siti simili a quelli già esistenti che spingono gli utenti a scaricare virus o a rendere noti i propri dati personali.
Tutto si basa sull’adozione di questo nuovo Protocollo che consente di controllare l’affidabilità delle informazioni fornite dai sistemi DNS segnalando eventuali intromissioni e movimenti sospetti. Nel caso di un maxi attacco cibernetico, il sistema lancia un allarme, cui potrebbe seguire un blackout totale provocato dall’esterno, oppure una interruzione momentanea decisa a tavolino per evitare danni peggiori.
A margine della presentazione di questo nuovo Protocollo nella conferenza sulla sicurezza che si è tenuta a Las Vegas, Rod Beckstrom, direttore dell’ICANN, ha dichiarato che si tratta di “rivoluzione storica” visto che va a migliorare l’uso del computer e della navigazione internet.
L’esperto di sicurezza Dan Kaminsky ha anche illustrato altre particolarità del sistema, specie quelle per proteggere da attacchi di phishing.
I motori di ricerca come Google, per esempio, potrebbero essere in grado di garantire che la pagina di identificazione di una banca online sia davvero autentica o solo un falso.
Dan Kaminsky ha commentato che quanto un cliente riceve una Mail da una banca deve essere sicuro che si tratti di una comunicazione reale e non di una trappola montata ad arte da criminali informatici.
Il protocollo sviluppato dall’ICANN “è uno strumento utile e necessario” per assicurare che anche truffe del genere non accadano più.

Per maggiori informazioni, visitare il sito dell’ICANN

Articoli Correlati

Evento ISH

Un evento interessante che merita la giusta pubblicità.

Da forumhealthcare.it.

Nel comparto sanitario le piattaforme tecnologiche, le reti e le infrastrutture, i processi e i servizi sono in continua evoluzione grazie all’innovazione in grado di permeare sempre più rapidamente i modelli organizzativi. La diffusione delle tecnologie informatiche costituisce una naturale leva di trasformazione e miglioramento per la realizzazione di un modello di sanità omogeneo, di forte qualità e sostenibile sotto il profilo economico e organizzativo. All’impiego diffuso delle nuove tecnologie corrisponde però un incremento di rischi e minacce connessi alla stessa gestione telematica dei flussi di dati in un ambito complesso quale quello sanitario: l’immaterialità delle informazioni, la facilità con cui possono essere consultate, duplicate, modificate o addirittura distrutte crea situazioni in cui, nonostante le misure di protezione, si apre una serie di nuovi interrogativi etici e giuridici.

In questo contesto nasce il convegno ISH che, grazie alla costituzione di un Comitato Consultivo che vede riuniti i principali opinion leader del settore di riferimento, si propone di favorire l’incontro fra le diverse realtà che ne compongono il tessuto, instaurando quel collegamento indispensabile tra i più importanti player del mercato e gli operatori sanitari. Il focus specifico verso le tecnologie, l’informatica e l’innovazione nel mondo sanitario italiano, fa del convegno ISH un appuntamento imperdibile per chi, operando in un settore che attraversa un periodo di fortissima evoluzione e trasformazione, deve essere continuamente informato e documentato sulle nuove opportunità offerte dal mercato.

I destinatari del progetto sono: Operatori sanitari dei Sistemi Informativi, Direzione del Personale, Organizzazione, Ufficio Legale, Security Manager, Direzione Sanitaria, Aziende produttrici di hardware e software, Consulenti.

La mostra convegno si terrà in data 30 novembre 2010 all’AtaHotel di Villa Pamphili

Il comitato scientifico sarà composto da:

Piero Giovanni Caporale – Sicurezza Organizzativa e Gestionale Settore ICT – CNIPA, Isabella Corradini – Centro Themis Crime, Mauro Cosmi – Value Team S.p.A, Fabio Di Resta – Consulente legale privacy e ISO 27001 ICT Security Auditor, ricopre l’incarico di consulente legale presso multinazionali del settore ICT e bancario, Elena Ferrari – Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria, Luisa Franchina – Direttore Generale del Nucleo Operativo NBCR, Dipartimento Protezione Civile, Presidenza del Consiglio dei Ministri, Pierfrancesco Ghedini – Direttore Dipartimento Tecnologie dell’Informazione e Biomediche – Azienda USL di Modena – in qualità di  AISIS (Associazione Italiana Sistemi Informativi in Sanità),Andrea Lisi – Professore a contratto di Informatica Giuridica – Scuola Professioni Legali, Facoltà Giurisprudenza – Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L – Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT – Study&Research Centre, Giovanni Manca – Responsabile Sicurezza DigitPA (ex CNIPA), Baldo Meo – Responsabile Comunicazione  Garante per la protezione dei dati personali, Elio Molteni – Presidente AIPSI, ISSA Italian Chapter, Alessandro Musumeci – Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato, Massimo F. Penco – Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo, Andrea Rigoni – Senior Advisor presso Booz & Company, Giuseppe Russo – Chief Technology Officer, Sun Microsystems Italia, Roberto Setola – Docente e Direttore del Laboratorio Sistemi Complessi e Sicurezza – Università CAMPUS Bio-Medico di Roma, Domenico Vulpiani – Dirigente Generale Polizia di Stato – Consigliere Ministeriale.

Articoli Correlati

La distribuzione più insicura del pianeta? Ovviamente una distribuzione linux!!!

Da Tuxjournal.

Quando si installa sul proprio PC l’ultima distribuzione uscita sul mercato ci si aspetta che pacchetti aggiornati, dunque sicura e lontana da possibili bug che potrebbero comprometterne il corretto utilizzo. Damn Vulnerable Linux (DVL) segue invece la filosofia opposta: offrire agli utenti/studenti una distribuzione più buggata che mai, con software non proprio aggiornato, “exploitabile” e mal configurato.

La distribuzione, sviluppata da un professore universitario di informatica tedesco, è nata essenzialmente per far capire agli studenti dei corsi di sicurezza del software come rendere sicuro un software oppure trattare temi delicati come il code engineering, i buffer overflow, sviluppo di shellcode, SQL injection e chi più ne ha, più ne metta. Disponibile come live CD grazie ad una ISO da ben 1.8GB, tra la dotazione software segnaliamo Apache, MySQL, PHP, FTP, SSH (ovviamente pieni di bug e configurazioni “da urlo”) e molti altri strumenti come GCC, GDB, NASM, strace, ELF Shell, DDD, LDasm, LIDa, etc. Tutti gli interessati possono scaricare la ISO da questo indirizzo.

Articoli Correlati