CLOUDIA IT ACADEMY 2018
CyberSec Day 2018

Giunta alla sua IV edizione, dopo i successi degli scorsi anni, la IT ACADEMY dedica un’intera giornata al tema della Cyber Security.
Da anni infatti le aziende sono oggetto di attacchi cyber sempre più sofisticati: hanno dovuto far evolvere nel tempo il proprio approccio alla cybersecurity e oggi affrontano la sfida di come mantenerlo allineato alla strategia del business.
La mattina potrai assistere ad un vero laboratorio di Hacking Etico per capire quali sono le tecniche utilizzate da un attaccante per penetrare all’interno delle aziende. A seguire un laboratorio pratico di analisi dei rischi relativi al trattamento dei dati come imposto dall’art.32 del GDPR ed esempio pratico di gestione del data breach.

Nel pomeriggio i maggiori player di mercato illustreranno le strategie e le soluzioni di CyberDefense, a cui si aggiungeranno le riflessioni del Prof. Baiardi sulla valenza dei Penetration Test.

Consapevolezza dei rischi, atteggiamento proattivo che valorizzi la prevenzione accanto alla soluzione, saranno i temi centrali, trattati con una formula innovativa.

La mattina:
Sessioni live di laboratorio: Hacking Etico e GDPR.

Il pomeriggio:
Le strategie di CyberDefense dei maggiori player di mercato e come gradito ospite, il prof. Baiardi, con le sue riflessioni sulla valenza dei Penetration Test.

Giovedì 25 ottobre 2018
Sala Azzurra - Scuola Normale di Pisa

CyberSec Day 2018


Mattina:

Hacking e GDPR Lab

09:15 Hacking Lab: dall’attacco social al controllo del Pc.
Saul Greci e Andrea Costantino - Security Lab Group

11:15 Coffee Break

11:45 GDPR LAB
Il registro delle attività di trattamento e l'analisi dei rischi: esempio pratico di redazione.
Giuliano Da Valle, Privacy Consultant - Siquam
Il data breach: esempio pratico di gestione.
Ivan Tizzanini, Privacy Consultant – Siquam

13:00 Light Lunch


Pomeriggio:

Cyber Defence

14:30 Anatomia dei malware moderni: analisi e soluzioni, la proposta di Webroot.
Claudio Tosi, Security Engineer - Webroot

15:15 Una nuova era di minacce informatiche: lo spostamento verso la rete auto-apprendente e auto-difendente.
Riccardo Barbieri - Account Executive, Darktrace
Jacopo Zumerle - Account Executive, Darktrace

16:00 F-Secure la R-evolution: dall’end-point alla soluzione di detection & response.
Fabrizio Cassoni, Security Specialist - F-secure

16:45 Penetration Test: approccio generale ma a che prezzo?
Prof. Fabrizio Baiardi, ICT risk assessment and management - Universtità degli Studi di Pisa

17:30 Q&A

Securitylab

Hacking Lab: Dall’attacco social al controllo del Pc
Intervento di Saul Greci e Andrea Costantino - SEC – Hacking LAB

Analisi e dimostrazione delle procedure utilizzate nei moderni attacchi di phishing, dall'attacco alla persona alla compromissione del sistema.
Lo sfruttamento della vulnerabilità umana è il veicolo principale con cui i criminali informatici eseguono furti di identità, compromissione del perimetro aziendale, furto di dati e credenziali. E’ fondamentale misurare questa tipologia di vulnerabilità dell'azienda, per la riduzione dei rischi cyber e per far fronte alle sempre più stringenti normative, quali il GDPR, le richieste dei clienti stessi e i requisiti delle principali certificazioni (es.: ISO 27001). Queste attività permettono poi di pianificare opportuni percorsi formativi finalizzati all’aumento della consapevolezza sui rischi nell’utilizzo delle tecnologie aziendali da parte delle risorse umane.

  • Obiettivi campagna di phishing
  • Pianificare la campagna di phishing
  • Preparare l'arsenale
  • Misurazione risultati campagna
  • Compromissione PC della vittima
  • Evasione protezioni dell'endpoint
Siquam

GDPR LAB
Il registro delle attività di trattamento e l'analisi dei rischi: esempio pratico di redazione.
Intervento di Giuliano Da Valle, Privacy Consultant - Siquam
Il data breach: esempio pratico di gestione.
Intervento di Ivan Tizzanini, Privacy Consultant – Siquam

Il Regolamento Europeo ha portato una ventata di adempimenti per i Titolari del trattamento, stante soprattutto il principio di accountability (responsabilizzazione) che deve guidare l'approccio alle attività di elaborazione, al quale si aggiunge un'impostazione trasversale, il cd. risk based approach, che congiuntamente al predetto principio, impone una concreata valutazione dei rischi e delle contromisure per i diversi trattamenti effettuati. Per fare questo due strumenti fondamentali guidano il Titolare (e il Responsabile) del trattamento: il Registro delle Attività di Trattamento (art. 30) e l'Analisi dei Rischi (fra tutti, art. 32).
Tra gli adempimenti previsti, ne ritroviamo uno che si inserisce nella situazione patologica del trattamento: la notifica della violazione dei dati personali. 72 ore possono sembrare molte, ma quando si scopre una falla nel proprio sistema di elaborazione dei dati e che la stessa è stata usata per rubare informazioni, il panico potrebbe avere la meglio. Questo è solo uno dei tanti modi con i quali un data breach si realizza, ma il Regolamento Europeo parla chiaro: "il titolare del trattamento notifica la violazione [...] senza ingiustificato ritardo [...] entro 72 ore dal momento in cui ne è venuto a conoscenza". La notifica, tra l'altro, deve essere corredata di una serie di informazioni obbligatorie che solo mediante una procedura studiata ed eseguita correttamente si può ottemperare correttamente agli obblighi di cui agli artt. 33 e 34 del Regolamento.
Strumenti e attività che se non svolte correttamente possono portare all'erogazione di sanzioni amministrative pesanti (fino a 10.000.000 di Euro o fino al 2% del fatturato mondiale annuo).
Come redigere un registro utile per l'azienda e come effettuare un'analisi dei rischi in linea con la propria attività, sarà il tema della prima parte dell'intervento. Nella seconda parte vedremo come agire prontamente e cosa fare in caso di data breach.

Webroot

Webroot Smarter Cybersecurity – protezione tramite analisi comportamentale e Threat intelligence.
Intervento di Claudio Tosi, Security Engineer - Webroot

Proteggere l’endpoint ed il network tramite multi vector protection, analisi comportamentale e Threat Intelligence platform. Panoramica e demo di Webroot Smarter Cybersecurity platform.

F-Secure

F-Secure la R-evolution: dall’end-point alla soluzione di detection & response
Intervento di Fabrizio Cassoni, Security specialist, F-secure

È un dato di fatto: il panorama delle minacce informatiche è in continua evoluzione. Ed è necessario avere a disposizione strategie e strumenti sempre un passo più avanti rispetto agli attaccanti. Per questo, da oltre trent’anni, in F-Secure non ci fermiamo mai. Lavoriamo costantemente per ampliare e migliorare la nostra proposta, offrendo un portfolio completo di soluzioni e servizi di cyber security.
Dalla protezione best-in-class degli endpoint, fino alle più avanzate tecnologie di Detection&Response, combiniamo la potenza del machine learning con le competenze dei  nostri esperti per proteggere persone e aziende dagli attacchi, anche più sofisticati. In ambito Detection & Response, durante l’incontro, daremo un assaggio del nostro Portale.

F-Secure

Penetration Test: approccio generale ma a che prezzo?
Intervento del Prof. Fabrizio Baiardi, ICT risk assessment and management – Università di Pisa

Questo, provocatorio, contributo vuole evidenziare i punti di debolezza di una valutazione della robustezza di un sistema basato su penetration test. L'intervento è ovviamente centrato sulle debolezze strutturali di questo metodo. Le debolezze, proprio perché strutturali, sono quindi indipendenti dalle competenze e conoscenze di chi conduce il test. Il penetration test è uno dei metodi più popolari per la valutazione della robustezza di un sistema rispetto alle intrusioni. Evidenzieremo come il metodo sia da un lato estremamente generale ma difficilmente ripetibile e condiviso. Quindi persone diverse possono produrre risultati diversi e non facilmente interpretabili. Discuteremo quindi come queste debolezze possano essere superate automatizzando il test.

Darktrace

Una nuova era di minacce informatiche: lo spostamento verso la rete auto- apprendente e auto-difendente Intervento di Riccardo Barbieri e Jacopo Zumerle - Account Executives, Darktrace

Sfruttare il Machine Learning e gli algoritmi IA per difendersi dalle minacce informatiche avanzate e mai viste prima.
In che modo le nuove tecnologie del ‘immune system’ consentono di prevenire minacce emergenti e di ridurre i tempi di risposta agli incidenti.
Come ottenere una visibilità al 100% dell'intera azienda, inclusi ambienti cloud, di rete e IoT.
Perché l'automazione e la risposta autonoma consentono ai team di sicurezza di neutralizzare gli attacchi in corso, assegnare priorità alle risorse e ridurre sensibilmente i rischi.
Esempi reali di minacce sottili e sconosciute che saltano regolarmente i controlli tradizionali

CONOSCIAMOLI MEGLIO

Saul Greci

Saul Greci - Security Lab Group
Attivo da 20 anni nel campo dei servizi di ICT Security, Ethical Hacking e consulenza sulle tematiche di Cyber Security, Saul Greci si unisce al team di Security Lab Group nel 2013 in qualità di Lead Auditor. Con alle spalle un'approfondita esperienza sui fenomeni e le tecnologie legati alla criminalità informatica, Saul affronta quotidianamente progetti di cyber investigation e penetration testing anche in ambito internazionale.

Andrea Costantino

Andrea Costantino - Security Lab Group
Laureato con specializzazione sicurezza informatica e certificato ISECOM OPST, dal 2018 Andrea Costantino ricopre il ruolo di Senior Cyber Security Advisor per Security Lab Group. Le sue competenze spaziano dall'ethical hacking all'offensive security, con un particolare occhio di riguardo alle tematiche di sicurezza in ambito web e social engineering.

Giuliano Da Valle

Giuliano Da Valle - Privacy Consultant - Siquam
Giuliano Da Valle svolge la funzione di Data Protection Officer per diverse aziende e enti pubblici. Da Valle inizia la sua carriera professionale come perito informatico addetto allo sviluppo software, occupandosi anche di corsi di formazione. In seguito, dopo la laurea in giurisprudenza, si dedica alla consulenza in materia di sicurezza informatica e trattamento datipersonali e svolge la sua attività per conto della società Si.QU.AM – Privacy & Data Protectiondel gruppo pc system. Nel 2007 svolge attività di consulenza e docenza in materia di trattamento e protezione dati personali, presso il Ministero dell’interno della Romania. Autore di articoli giuridici su argomenti di privacy e di informatica giuridica, , dal 2016 fornisce consulenza a numerose aziende e enti pubblici per l’adeguamento al Regolamento UE 2016/679 (GDPR). Nel 2017 frequenta il Master universitario della Università di Bologna in trattamento dei dati personali e privacy officer.

Ivan Tizzanini

Ivan Tizzanini - Privacy Consultant - Siquam
Nato a Torino, ha conseguito la Laurea in Giurisprudenza presso l’Università di Pisa. Appassionato di nuove tecnologie, durante il percorso di studi entra in contatto con il mondo della Digital Forensics e parallelamente svolge attività consulenza in materie giuslavoristiche e informatiche presso sindacati, associazioni e studi legali. Dal 2017 collabora con Si.Qu.Am. nell’ambito dei progetti di adeguamento al GDPR, svolgendo altresì attività di ricerca in ambito informatico-giuridico, principalmente sui temi di Security & Privacy by Design. Nel 2018 frequenta il Master Universitario in Diritto delle Nuove Tecnologie e Informatica Giuridica presso il CIRSFID dell’ Alma Mater Studiorum – Università di Bologna.

Claudio Tosi

Claudio Tosi - Security Engineer - Webroot
Nel settore della sicurezza IT da oltre 15 anni, Claudio Tosi vanta una decennale esperienza nell’ideare e strutturare grandi progetti; ha specializzazioni verticali nel settore militare e della difesa, farmaceutico e nella programmazione dei PLC. Le competenze di Tosi spaziano dalla virtualizzazione alle infrastrutture, dai sistemi al networking fino alla sicurezza, inclusa quella degli endpoint. E proprio su questo aspetto Tosi ha concentrato la propria professionalità negli ultimi due anni, specializzandosi nell’identificazione avanzata delle minacce e nella protezione degli endpoint.f Attualmente è System Engineer Technical Account Manager per Webroot.

Riccardo Barbieri

Riccardo Barbieri - Account Executive Darktrace
Laureato in Finance & Business Management e Master in International Business all' Università Cattolica, attualmente lavora per Darktrace.

Jacopo Zumerle

Jacopo Zumerle - Account Executive Darktrace
Jacopo Zumerle ha già 2 anni di esperienza nel mondo dell’Information & Technology, concentrandosi sulle vendite e sullo sviluppo strategico del business. In Darktrace si focalizza sulla vendita di soluzioni di rilevamento di cyber-difesa e attacco mirato. È laureato in Scienze Politiche presso l'Università Luiss Guido Carli di Roma, con specializzazione in politiche di governo ed europeo anche in materie di sicurezza.

Fabrizio Cassoni

Fabrizio Cassoni - IT Security Specialist F-Secure
Fabrizio Cassoni ha più di 20 anni di esperienza in ambito sicurezza informatica. Dopo quasi due decenni presso un noto distributore a valore aggiunto di soluzioni data & network security, circa due anni fa è approdato in F-Secure Italia dove ricopre la carica di Sales Engineer.

Fabrizio Cassoni

Fabrizio Baiardi - Full Professor, Università di Pisa
Laureato in Scienze dell'Informazione all'Università di Pisa. Professore ordinario di Informatica presso l'Università di Pisa dove coordina il gruppo di ricerca sy ICT risk assessment and management. La sua attività di ricerca è focalizzata su strumenti e metodi formali l'automazione dell'analisi e la gestione del rischio. Ha partecipato a numerosi assessment di sistemi ICT con particolare interesse per quelli con componenti SCADA. Attualmente è responsabile scientifico del progetto Haruspex che ha prodotto una suite integrata di strumenti per analisi e gestione del rischio. F. Baiardi è stato presidente della laurea in Informatica Applicata e della laurea magistrale in Sicurezza Informatica dell'Università di Pisa. E' stato coinvolto in vari progetti nazionali ed europei sulla valutazione della qualità dei corsi di studio e di formazione superiore. Inoltre è valutatore di progetti di innovazione tecnologica per enti pubblici e fondazioni private nazionali ed europei.

Scuola Normale Superiore di Pisa

Palazzo Carovana

Per questa quarta edizione di Cloudia, abbiamo scelto come location la Sala Azzurra di Palazzo Carovana, edificio ridisegnato dal Vasari tra il 1562 e il 1564 sede della prestigiosa Scuola Normale Superiore di Pisa. Fino al 1846 quartier generale dell' Ordine dei cavalieri di Santo Stefano, il nome deriva dall'addestramento al maneggio delle armi che gli adepti dovevano compiere per i primi anni di noviziato per far parte delle "carovane" che avrebbero contrastato le scorrerie dei corsari nel Mediterraneo.

Trovandoci in zona ZTL consigliamo di parcheggiare l'auto al parcheggio Paparelli appena fuori porta San Zeno.

Cybersec Day 2018

Giovedì 25 ottobre

Sala Azzurra - Scuola Normale di Pisa

I nostri partners

I nostri contatti

PC System S.r.l.
Via Marco Polo, 72, 56031 Bientina PI
T: +39 0587 755005
Linkedin