Corso Sicurezza Cybersafe

PROGRAMMA CyberSAFECertNexus

4 ore, 4 moduli

1. Conformità

1. Ingegneria sociale

1. Protezione dei dispositivi e dei dati

1. Sicurezza online

1.0 Conformità

1. Identificare i requisiti di conformità della sicurezza organizzativa

• Fonti dei requisiti di conformità organizzativa

• Privacy dei dati

• Dati personali

• Politiche di sicurezza

• AUP

• Facility policies

▪ Accesso dei dipendenti/visitatori

▪ Requisiti dei badge

▪ Le policy delle chiavi 

• Conseguenze della non conformità

1.2 Identificare i requisiti di conformità legale

• Regolamento/legge

• Ordinanze locali

• Conseguenze legali della non conformità

1.3 Identificare le misure di sicurezza e la conformità

• Risorse di conformità organizzativa e legale

• Manuali/siti web dell'organizzazione

• Documentazione AUP

• Dipartimenti organizzativi

▪ Legale

▪ HR

▪ Gestione delle informazioni sanitarie

▪ IT

• Associazioni di settore/gruppi professionali

• Siti web governativi

2.0 Ingegneria sociale

2.1. Riconoscere gli attacchi di ingegneria sociale

• Vettori di attacco

▪ Nome utente/password

▪ Informazioni organizzative/personali

▪ Accesso fisico

▪ Informazioni personali dell'utente finale

• Obiettivi dell'attacco

▪ Distruzione dei dati

▪ Furto di dati

▪ Guadagno finanziario

▪ Profitto politico

▪ Reputazione

▪ Vendetta

• Personale coinvolto

▪ C-level

▪ Contabilità

▪ HR

▪ Personale IT

• Tipi di attacco

▪ Phishing

▪ Whaling

▪ Spearfishing

▪ Vishing

▪ Pharming

▪ Baiting

▪Dumpsterdiving

▪ Pretexting

▪ Impersonificazione

▪ Quid pro quo

▪Tailgating/piggybacking

▪ Shouldersurfing

2.2 Difendersi dagli attacchi di ingegneria sociale

• Risorse da difendere

▪Hardware/dispositivi dell'organizzazione

▪Dati e informazioni aziendali

▪Accesso alla rete

▪Accesso ai locali

▪Credenziali utente

• Tecniche di prevenzione

▪Consapevolezza delle situazioni

▪ Sistemi di badge/controlli di sicurezza

▪ Door locks

▪ Verifica delle richieste

▪Corretto smaltimento/eliminazione delle informazioni sensibili

▪ Formazione/comunicazione

3.0 Protezione dei dispositivi e dei dati

3.1 Mantenere la sicurezza fisica dei dispositivi

• Dispositivi contenenti dati potenzialmente sensibili

▪ Computer portatili/computer

▪ Telefoni cellulari

▪ Tablet

▪ Dispositivi di archiviazione removibile

• Requisiti di sicurezza dei dispositivi aziendali

▪ Limitazione dei dispositivi che hanno accesso ai dati sensibili

▪ Dispositivi ammissibili per l'archiviazione dei dati

▪ Requisiti di smaltimento/eliminazione

• Presenza digitale

▪ Registri dei dispositivi

▪ File temporanei

▪ Cronologia del browser

▪ Credenziali memorizzate nella cache

• Sicurezza fisica del dispositivo

▪ Corretto stoccaggio/smaltimento/riciclaggio

▪ Segnalazione di perdita/furto

▪ Blocco di macchine/dispositivi incustoditi

1. Corretto utilizzo delle password

• Password/PIN

▪ Modifiche frequenti

▪Complessità

▪Divieto di riutilizzo/condivisione

▪Memorizzazionevs.registrazione/documentazione

• Biometria

• Autenticazione a più fattori vs. autenticazione a due fattori

• Gestori delle password

• Tecniche di sicurezza della password/PIN

1. Le migliori pratiche di protezione dei dati sensibili

• Backup dei dati/posizioni di archiviazione

• Considerazioni sui dispositivi mobili

▪Perdita di informazioni attraverso funzionalità di app sempre attive

▪Registrazione accidentale o intenzionale di dati sensibili

• Tecniche di sicurezza dei dati

▪Divieti di copia/stampa

▪Corretto smaltimento dei dati stampati

▪Divieti relativi i dispositivi di archiviazione

▪Divieto relativi i dispositivi mobili durante le riunioni

1. Identificare le potenziali fonti di malware

• Effetti del malware

▪Danneggiamento del sistema

▪Spionaggio/registrazione

▪Riduzione delle prestazioni del dispositivo

▪Manipolazione dei dati

▪Distruzione dei dati

▪Ricatto

▪Pubblicità

• Tipologia di malware

▪Key logger

▪Virus

▪Ransomware

▪Adware/spyware

▪Trojan horse

▪Worm

▪Browser hijacker

• Fonti del malware

▪Offerte gratuite

▪Antivirus fraudolenti

▪Scam software

▪Piggybacking

▪Obfuscation

▪Download sconosciuti/non attendibili

▪Allegati nelle e-mail

▪Link

▪Scripts in data files/software

▪Hardware infetto

• Tecniche di prevenzione del malware

▪Attenta lettura di e-mail/finestre di dialogo/offerte/pop-up/ecc.

▪Approvazione IT per l'installazione di software

▪Ispezione dei link prima della loro scelta.

▪Analisi dei benefici/rischi quando si installa un software

▪Consapevolezza del funzionamento generale del sistema

▪Utilizzo esclusivo di fornitori e dispositivi conosciuti

▪Publishers qualificati

1. Utilizzare i dispositivi wireless in modo sicuro

• Sicurezza wireless

▪ Tipologia delle reti Wi-Fi

• Rischi comuni della rete wireless

▪ Eavesdropping /Intercettazioni

▪ Reti non sicure (private, pubbliche, aperte)

▪ Punti d'accesso inaffidabili

▪Reti wireless “memorizzate”

▪ Evil twins

• Tecniche di utilizzo sicuro dei dispositivi wireless

▪ Divieti di utilizzo della rete pubblica

▪ Crittografia (WEP/WPA/WPA2)

▪ Evitare gli evil twins

4.0 Sicurezza online

4.1 Navigare sul web in modo sicuro

• Browser noti

▪ Chrome

▪ Internet Explorer

▪ Edge

▪ Firefox

▪ Safari

• URL

▪ Struttura dell’URL

▪ HTTP vs. HTTPS

▪ Crittografia

▪ Domini di primo livello

▪ Nomi di dominio

▪ URL sospetti

• Tecniche di navigazione sicura sul web

▪ Utilizzo aggiornato del browser web

▪ Decifrare gli indirizzi web

▪ Evitare add-in, plug-in e toolbar sconosciuti

▪ Evitare annunci e pop-up

▪ Verifica del protocollo

▪ Verifica dell'URL

▪ Typing vs. clicking

▪ Bookmarking di siti comuni

▪ Corretto utilizzo dei dispositivi mobili

4.2 Utilizzare la posta elettronica in modo sicuro

• Rischi comuni nell’utilizzo della posta elettronica

▪ Attacchi di ingegneria sociale

▪ Avvisi di sicurezza falsi

▪ Richieste di credenziali utente

▪ Proposte di rimozione del malware

▪ Offerte gratuite

▪ Truffe monetarie

▪ Richieste di informazioni

▪ Allegati ingannevoli

▪ Tipi di file ad alto rischio

▪ Politica degli allegati/conformità alle normative

• Tecniche di utilizzo sicuro delle e-mail

▪ Nome del mittente vs indirizzo e-mail

▪ Argomenti dell'oggetto

▪ Messaggio del mittente

▪ Firma

▪Richiesteinsolite/ atipiche da fonti apparentemente valide

▪ Verifica del mittente

▪ Conformità della politica delle e-mail

▪ Considerazioni sugli allegati

4.3 Utilizzare i social network in modo sicuro

• Considerazioni sulla sicurezza dei social network

▪ Condivisione accidentale di informazioni sensibili

▪ Commenti denigratori

▪Rappresentare se stessi rispetto all'organizzazione

▪ Mancanza di controllo sui dati e sulla condivisione

▪ Riservatezza

▪ Impostazioni di sicurezza confuse

▪ Attacchi di ingegneria sociale

▪ Spoofed accounts

• Corretto utilizzo dei social network

▪ Allineamento con l’utilizzo e le politiche organizzative del social network

▪ Ricerca e configurazione accurata delle impostazioni di sicurezza e privacy

▪ Informazioni potenzialmente sensibili o dannose per la reputazione

▪ Sicurezza delle credenziali di amministrazione

▪ Consapevolezza dell'ingegneria sociale

4.4 Utilizzare i servizi cloud in modo sicuro

• Rischi del servizio cloud

▪ Spoofing dei servizi cloud

▪ Modifiche del fornitore (acquisizioni/fusioni, out of business)

▪ Commistione tra account di lavoro e account privati

• Considerazioni sui dispositivi IoT

• Tecniche di utilizzo sicuro dei servizi cloud

▪ Approvazione organizzativa per tutto lo storage basato sul cloud

▪ Backup locali

▪ Vigilanza extra delle credenziali