Close

20 Luglio 2015

Il Prof. Roberto Giacobazzi incontra il Distretto Cyber Security

Il prof. Roberto Giacobazzi “Full Professor” in Computer Science al Dipartimento di Informatica della Università di Verona ha incontrato il Distretto Cyber Security.

L’incontro ha fornito l’opportunità di presentare le numerose attività di Ricerca Industriale nell’ambito dei tre stream progettuali del Distretto: End User Protection, Protezione dei Servizi digitali e di Pagamento Elettronico e Dematerializzazione Sicura.

L’Ing. Rocco Mammoliti, Responsabile del Progetto , ed il Prof. Domenico Saccà di UNICAL hanno aperto i lavori di una intensa giornata che ha visto l’alternarsi di una larga parte del partenariato con numerosi interventi che hanno consentito di fornire un quadro completo e dettagliato sui primi risultati raggiunti dal Distretto Cyber Security.

Gli aspetti prettamente tecnici dei 3 progetti, illustrati dai project manager e dai rispettivi team progettuali, sono stati integrati da quelli formativi relativi al Cyber Security Master, che consentirà di formare circa 60 laureati sui temi legati alla Sicurezza, e dalle attività svolte dal Centro Servizi Privacy in relazione alla gestione delle Identità Digitali e del Privacy Preserving.

In particolare:

Per il progetto End User Protection sono stati presentati i seguenti temi :

  • Analisi degli eventi di sicurezza 2014
  • È stata confermata la criticità dell’utente finale quale anello debole della IT aziendale e quale target privilegiato della nuova cyber criminalità diffusa;
  • Strategia di protezione dinamica fine-tuning dell’utente finale
    • basata sulla sicurezza delle identità digitali, delle applicazioni e dei dispositivi utilizzati per l’accesso alla rete, in scenari di rischio sempre mutevoli, personali e aziendali, costantemente influenzati dalle relazioni interpersonali in rete e dai diversi contesti fisici attraversati in mobilità;
  • Metodologia di analisi delle vulnerabilità comportamentali
    • legate alle relazioni interpersonali e all’utilizzo delle nuove tecnologie. Tali vulnerabilità riguardano la tendenza a fidarsi con facilità, decidere di impulso, diffondere con superficialità informazioni personali, etc.;
  • Tecniche di data warehousing e NoSQL
    • per la conservazione e l’analisi dei dati di log utili, in particolare, all’identificazione del profilo comportamentale dell’utente finale;
  • Metodi di identificazione degli utenti in rete
    • (autenticazione, connessioni sociali, analisi comportamentale) e definizione di un modello non parametrico multidimensionale a fattori latenti in ambiente full Bayesian per la scoperta dei profili comportamentali;
  • Dimostrazione di un modello per la protezione dell’identità,
    • di utenti influenti in rete, da attacchi quali furto di identità, phishing, falsificazione/imitazione, diffamazione, etc.
  • Tecniche per l’identificazione di opportune campagne informative
    • sui social network, basate sull’integrazione di metodi di trust/distrust e reputation ranking, a contrasto di campagne di disinformazione lanciate in rete ai danni di utenti/brand;
  • Approccio al monitoraggio della sicurezza delle mobile application
    • e dimostrazione di un modello per l’analisi statica del codice (ambito piattaforma MASM);
  • Dimostrazione di un modello
    • per la gestione dinamica delle politiche sui dispositivi mobili e per la realizzazione del secure storage su questi (ambito piattaforma ELISA).

Per il Progetto Protezione dei Servizi Digitali e di Pagamento Elettronico gli argomenti trattati hanno ulteriormente dimostrato la direttrice industriale delle attività di Ricerca. I temi trattati durante la presentazione sono stati :

  • Metastandard per la Security Compliance :
    • Metodologia e dimostratore per rispondere alle esigenze industriali di Security Compliance gestendo in modo organizzato ed efficiente l’insieme dei requisiti di sicurezza che derivano dalle normative , aziendali, di legge e dagli standard di sicurezza. La metodologia è stata illustrata nel dettaglio dimostrando, in questa fase iniziale del progetto, che è possibile, attraverso operazioni procedurali, che partono da specifici input, elaborare e consegnare in uscita delle matrici di compliance per i relativi servizi di pagamento che devono rispondere a normative di legge, standard di sicurezza internazionali e/o politiche di sicurezza aziendali. Il modello si basa su un processo e su concetti base come security concern ( ciò che deve essere indirizzato) , security control ( cio che deve essere controllato per rispondere ad uno specifico standard) e security standard ( ciò che deve essere rispettato). Il dimostratore presentato ha consentito di verificare l’avanzamento delle attività di ricerca avvalorando l’efficacia e la correttezza del modello, applicando il metastandard ad una situazione reale. La verifica di compliance può applicarsi a vari ambiti come:
      • Verifica di compliance di un servizio già esistente.
      • Supporto alla progettazione di nuovi servizi.
      • Supporto per le attività di Risk Analysis.
  • Uptime Security Monitoring – sistema di rilevazione dello stato prestazionale dei siti e protezione da attacchi DDOS.
    • Durante l’incontro è stato presentato il sistema di UP Time & Performance Security Monitoring che nasce, nello scenario di mercato attuale, da una delle esigenze più sentite dalle aziende: la necessità di fornire al cliente finale un servizio sempre disponibile ed efficiente, con l’obiettivo di mantenere e migliorare il livello di performance percepito salvaguardando la propria reputazione e diminuendo i rischi di “churn” che definisce il rischio di perdita del cliente che lascia l’azienda e passa alla concorrenza. Il servizio, in estrema sintesi, si focalizza sul monitoraggio dei siti che forniscono servizi ai clienti “esterni” e che quindi generano business. In tal senso viene effettuato un monitoraggio dei parametri di performance e di risposta di tali siti alle richieste esterne. Il mancato rispetto di valori di riferimento potrebbe essere un segnale di attacco al sito da parte di eventuali aggressori che abbiano, come obiettivo , quello di rendere il sito non funzionante ( es: attacco DOS). Il sistema, in questo caso, fornisce dei “warning” alle strutture preposte per la verifica e l’eventuale ripristino della normale funzionalità.
  • Cybersecurity threat intelligence platform ( IP reputation)
    • È stata presentata una piattaforma che consente di “misurare”, fornendo un livello di Reputazione, la pericolosità delle connessioni, operando un eventuale filtraggio di quelle malevole in funzione di un punteggio assegnato ad un IP. Durante la presentazione della piattaforma è stato descritto l’algoritmo che consente di ricavare l’”IP Reputation” attraverso una sommatoria di pesi calcolati in base all’affidabilità della fonte dati, al tipo di attività malevola svolta dall’IP e al tipo di dati disponibili sulle fonte dati.
  • Small World – Piattaforma real like per esercitazioni di cybersecurity
    • E’ stata data evidenza ed illustrata nei dettagli di una piattaforma di Virtual Learning Environment specificamente progettata per esercitazioni erogate in ambiente sicuro, etico/legale e realistico. La piattaforma copre diversi ambiti di competenze quali ad es. Penetration Testing, Forensic Analysis, Malware Analysis, Incident Handling, Packet Analysis, System Hardening e Mobile Security proponendo percorsi generici oppure mirati a contesti specifici quali ad esempio E-commerce, SOC/CERT/CSIRT, Cyber Security, Scada, . Anche in questo caso è stata enfatizzata la coerenza con richieste specifiche di mercato in quanto la piattaforma consente di verificare l’efficienza del team di security in risposta a determinate tipologie di cyber attacchi consentendo una gestione degli Skill Gaps in azienda ed, utilizzata come servizio verso enti esterni, contribuisce alla diminuzione del Cyber Security Skill Shortage consentendo di creare competenze utili allo “human market” della sicurezza. Inoltre la piattaforma può essere integrabile con sistemi di E_learning e Skill Inventory per avere un continuo aggiornamento delle caratteristiche professionali delle risorse umane.
  • Twitter del DCS
    • E’ stata presentata l’iniziativa social del DCS legata a Twitter che si affianca al sito del Distretto. E’ stato specificato che Twitter, nel caso del Distretto, assume il ruolo di alimentatore di informazioni utili a tutti e tre i progetti per operare i necessari adeguamenti dovuti alla trasformazione tecnologica, normativa ma anche alle nuove tipologie di attacchi vulnerabilità minacce . In tal senso è considerato un elemento di integrazione rappresentando una fonte preziosa di crescita di conoscenza per migliorare il livello di maturità sulla sicurezza e per non essere schiavi di ciò che non conosciamo.

Per il progetto Dematerializzazione Sicura sono stati indirizzati i seguenti argomenti :

  • Analisi del Ciclo di Vita del Documento digitale
    • Ciascuna fase del ciclo di vita del documento è stata identificata ed analizzata al fine di individuare le problematiche di sicurezza, le opportunità di miglioramento e le criticità connesse. Sono stati inoltre valutati gli aspetti normativi e quelli economici, quest’ultimi basati sull’analisi di casi aziendali documentati.
  • Analisi e modellazione dei profili di rischio inerenti la vita del documento digitale con definizione di modelli comprensivi di Access Governance, Security Governance e Trusted Identity
    • E’ stato definito un meta-modello di Access Governance da utilizzare come matrice per la successiva definizione dei modelli specifici per la gestione dei documenti digitali nel contesto analizzato.
  • Analisi critica di tecniche strumenti e processi innovativi per la Dematerializzazione, Archiviazione e Preservazione Sicura dei Documenti Digitali
    • Sono state identificate e analizzate le soluzioni tecnologiche e metodologiche ritenute più opportune per garantire la sicurezza in ciascuna delle fasi del ciclo di vita del documento.
  • Analisi, Evoluzione e specializzazione dei modelli di Rights Management per la protezione, il tracciamento e l’identificazione dei documenti e tecniche innovative per la codifica di watermark e fingerprinting
    • Le metodologie di watermarking e fingerprinting sono state classificate rispetto alla loro applicabilità nei contesti di sicurizzazione analizzati. Sono stati altresì rappresentati i modelli che rappresentano la frontiera dell’utilizzo nelle fasi di dematerializzazione.
  • Definizione degli scenari di Business ed ambiti di applicazione per l’impiego delle funzionalità della piattaforma di Dematerializzazione Sicura e di Digital Preservation.
    • E’ stata analizzata e verificata l’esistenza di modelli innovativi che prevedano la preservazione dell’informazione relativa ai diritti di accesso anche nei casi di ri-materializzazione dei documenti, nonché tecnologie abilitanti per la fruizione condizionale non legata a protocolli GPS/GSM o Wireless Lan.

Nell’ambito delle attività relative alla Formazione è stata fornita una overview dello stato di avanzamento dei tre progetti dedicati rispettivamente alla protezione dell’utente finale, la protezione dei servizi digitali e di pagamento elettronico, la dematerializzazione sicura.

Ciascun corso prevede 900 ore di formazione in aula e 600 ore di training on the job presso Poste Italiane e le altre aziende partner del Distretto. Obiettivo dei corsi è fornire agli studenti le conoscenze e le competenze necessarie per un inserimento immediato nel mondo del lavoro.

In occasione dell’incontro sono stati presentati i profili professionali, l’iter di selezione e gli studenti selezionati con i relativi profili. Le classi sono composte prevalentemente da laureati in materie informatiche o affini (es. ingegneria informatica), originari della Calabria e di età media pari a 28 anni. Solo una classe presenta competenze di base più eterogenee essendo composta da ingegneri non informatici e laureati in altre discipline (es. economia aziendale, scienze della comunicazione, organizzazione della PA).

Il prof. Giacobazzi ha preso visione della programmazione effettuata e dei corsi già erogati. In particolare, nel primo semestre 2015 sono state erogate, delle 900 ore complessive programmate, circa 400 ore di lezioni da parte di personale qualificato di NTT DATA e Poste Italiane, docenti universitari e professioni del settore.

Durante l’incontro sono stati condivisi gli ottimi risultati ottenuti dagli studenti ai test svolti a fine unità didattica ed è stata dimostrata l’efficacia formativa attraverso il confronto con la valutazione delle competenze preesistenti. I risultati delle azioni di monitoraggio hanno invece evidenziato l’alto gradimento dei corsi da parte degli studenti che hanno ritenuto l’organizzazione dei corsi complessivamente molto buona.

Sono state presentate e motivate al prof Giacobazzi le modifiche apportate ai progetti e in particolare la rimodulazione delle ore assegnate alle singolo unità didattiche attuata al fine di rilasciare due certificazioni di sicurezza agli studenti così come lo svolgimento di attività integrative volte a colmare gap formativi dovuti a deficit di base e/o eventuali assenze.

In particolare i docenti di BSI (British Standard Institute), il prestigioso ente di certificazione inglese, erogheranno due corsi di 40 ore ciascuno sugli standard ISO/IEC 27001 e ISO 22301. Gli studenti che supereranno i test finali otterranno il titolo di LAC ISO/IEC 27001 e LAC ISO 22301.

Le attività di formazione in aula saranno seguite da 600 ore di Training on the job durante le quali gli studenti svolgeranno presso le aziende partner progetti di sicurezza da discutere al termine del percorso formativo. Con il prof. Giacobazzi sono stati condivisi i nomi delle aziende interessate a far svolgere tati attività presso le proprie sedi.

È stata infine presa visione della percentuale delle presenze degli studenti ai corsi che, considerando le attività integrative, raggiunge il 100% in quasi tutti i mesi.

Infine sono state presentate le attività del Centro Servizi Privacy relative a: Gestione Istanze Privacy ex art.7, Sistema Centralizzato Gestione Consensi, Gestione Data Breach ed analisi dei log di tracciamento delle operazioni bancarie, Gestione Censimento Banche Dati, SGSI estensione ambito certificazione,supporto nelle attività di ricerca sugli ambiti specifici della sicurezza informatica del DCS.

Il «Centro Servizi Privacy»(di seguito «CSP») istituito, dal mese di gennaio 2014, nella Funzione Sicurezza delle Informazioni, si pone come un interlocutore attento alle esigenze della clientela in tema di privacy e ha come fine ultimo la tutela dei dati personali dei clienti che rappresentano un patrimonio informativo di grande valore.

In relazione alle specifiche attività svolte dal CSP per i progetti del DCS è stata data evidenza del Supporto nelle attività di ricerca sugli ambiti specifici della sicurezza informatica del DCS:

il CSP fornisce, infatti, un valido contributo, dal punto di vista normativo, sulla redazione dei deliverable degli Obiettvi Realizzativi relativi ai progetti di ricerca EUP e PSP, mettendo a disposizione le conoscenze e la professionalità acquisite dalle proprie risorse in ambito privacy e sicurezza delle informazioni.

In particolare, relativamente al progetto EUP ,ha fornito un framework normativo sull’evoluzione della cybersecurity e sul tracciamento dei file di log, evidenziando la differenza tra i vari ordinamenti giuridici europei ed internazionali, e costituisce di fatto lo use-case per applicazione di un framework innovativo creato per la gestione dei servizi erogati dal Distretto.

Relativamente al progetto PSP ha sviluppato il concetto di identità digitale ed ha fornito il proprio contributo nella definizione di un modello per l’applicazione di controlli di compliance agli obblighi normativi per i servizi di pagamento sulle normative relative ai principali servizi web globali (e-commerce, sistemi di pagamento e sul tema “CLOUD COMPUTING E PRIVACY”).

La presentazione ha inoltre incluso la descrizione puntuale delle attività istituzionali eseguite dal CSP che possono riassumersi in :

Gestione Sistema Centralizzato Gestione Consensi: per snellire il processo di registrazione dei consensi sui sistemi verticali di Poste Italiane, la gestione dei consensi introdotta dal CSP con la nuova policy prevede un modello di processo data subject-centric, che conduce il cliente a rispondere una tantum alla richiesta dei consensi privacy per ciascuna società del Gruppo Poste Italiane.

Gestione Data Breach ed analisi dei log di tracciamento delle operazioni bancarie: il CSP, in stretta sinergia con il CERT, analizza i file di log inerenti le operazioni bancarie (dispositive e/o di semplice consultazione c.d. inquiry) a fronte di specifiche istanze della clientela, nonché gli alert in grado di individuare comportamenti anomali o a rischio (es. consultazioni massive, accessi ripetuti ad un medesimo conto corrente) generati dalla piattaforma di gestione, al fine di avviare il processo di escalation previsto aziendalmente per eventuali Data Breach.

Censimento Banche Dati: il CSP gestisce l’annuale Censimento Banche Dati Privacy contenenti dati personali attraverso l’utilizzo di una specifica piattaforma software e porre in essere i connessi adempimenti (es. predisporre il Documento idoneo sulla Sicurezza, già DPS; definire i Piani di Rientro, redigere il Master Plan).

SGSI: Il Centro Servizi Privacy ha pianificato e sta svolgendo tutte le attività finalizzate all’inclusione dei servizi Gestione Istanze Privacy e Gestione Data Breach nell’ambito di Certificazione ISO 27001:2013 standard divenuto punto di riferimento per l’Information Security a livello internazionale in quanto definisce i requisiti per un sistema di gestione per la sicurezza delle informazioni e garantisce controlli di sicurezza adeguati e proporzionati

Il prof. Giacobazzi ha seguito l’incontro con estrema attenzione scambiando opinioni con i relatori su temi di specifico interesse ed esprimendo un sincero apprezzamento per il lavoro svolto dai team di progetto.

l’Ing. Rocco Mammoliti, insieme a tutto il partenariato, ringrazia il prof. Roberto Giacobazzi per la cortese visita e si augura di poter avere nuovamente il piacere di ospitarlo presso la sede del Distretto Cyber Security.

 

Il Prof. Roberto Giacobazzi incontra il Distretto Cyber Security ultima modifica: 2015-07-20T17:09:02+02:00 da Cyrano

20 Luglio 2015