| Indice
Introduzione
A chi e' rivolto il libro
Organizzazione del libro
Ringraziamenti
I Dal perche' ai concetti introduttivi della sicurezza
1 Perche' occuparsi di sicurezza delle informazioni
I tre principi base della sicurezza
La sicurezza al 100% e' irrealizzabile
Rischi e budget di spesa vanno bilanciati
Sicurezza e disagi vanno bilanciati
Sicurezza tradizionale e sicurezza delle informazioni
I protagonisti delle violazioni di sicurezza
Bad guy
Minacce e vulnerabilita', un binomio esplosivo
Il wardriving
Gli spyware
I Personal Digital Assistant
Il peer-to-peer
Qualche dato interessante
Numero degli incidenti riportati dal CERT
Numero delle vulnerabilita' riportate dal CERT
La storia degli attacchi
Altre minacce
2 La sicurezza delle informazioni
I sistemi informativi automatizzati
I requisiti di sicurezza
Il rischio, questo sconosciuto
I domini di intervento per la sicurezza delle informazioni
Il dominio dell'emergenza
Il dominio delle emergenze contingenti
Il dominio della prevenzione
Sicurezza e investimenti
II La gestione della sicurezza
3 Politiche, standard, linee guida e procedure
Le politiche di alto livello
I principi generalmente accettati della buona sicurezza
Le politiche funzionali, gli standard, le linee guida e le procedure
Le politiche funzionali
Gli standard
Le linee guida
Le procedure
Le politiche di sicurezza e outsourcing
Le politiche di sicurezza nella nostra quotidianita'
Un primo accenno agli obblighi di legge
Il Documento Programmatico sulla sicurezza
4 Aspetti organizzativi
I ruoli e le responsabilita'
Il proprietario, il custode, l'utilizzatore
Come organizzarsi
L'Alta Direzione
La Direzione IT
La Direzione per la Sicurezza Aziendale
La Direzione per la Sicurezza Fisica
Il Comitato per la Gestione della Sicurezza delle Informazioni
Il Centro di Competenza della Sicurezza delle informazioni
I gestori della sicurezza
Altri ruoli: Il Security Manager e l'Auditor
Gli scenari
L'organizzazione per la tutela dei dati personali
Il Titolare del trattamento
Il Responsabile Interno del trattamento
Il Responsabile Esterno del trattamento
L'Incaricato del trattamento
I custodi delle password
Gli amministratori di sistema
L'Ufficio Privacy
L'integrazione con l'organizzazione della sicurezza
L'organizzazione per l'audit interno
L'organizzazione per la gestione degli incidenti
5 Analisi e gestione del rischio
La metodologia BS7799
Il modello Plan-Do-Check-Act
L'analisi del rischio
La valutazione dei dati
L'identificazione delle minacce
L'identificazione delle vulnerabilita'
L'identificazione del livello di rischio
La gestione del rischio
Il rischio residuo
Quanto investire in sicurezza: analisi qualitativa e quantitativa del rischio
Costi tangibili e intangibili legati ai rischi di sicurezza
Il metodo quantitativo
Il metodo qualitativo
Considerazioni finali sul metodo quantitativo e qualitativo
6 Gestione degli incidenti
Cosa si intende per incidente
I modelli di gestione degli incidenti
Proteggere e procedere
Investigare e perseguire
I ruoli e le responsabilita'
L'Help desk
L'Incident Response Team
Il Responsabile della Sicurezza
L'Alta Direzione
Le priorita' e le escalation nella gestione degli incidenti
Le fasi della gestione degli incidenti
Il rilevamento dell'incidente
Il coordinamento della risposta
La computer forensics
7 Continuita' del business
Differenza tra Business Continuity e Disaster Recovery
Il piano di Business Continuity
Lo scopo e l'inizio del piano
L'analisi dell'impatto sul business
Lo sviluppo del piano
L'approvazione e la realizzazione del piano
Il piano di Disaster Recovery
L'analisi dell'ambiente
Lo studio di fattibilita'
La progettazione
La realizzazione
Il test
Il mantenimento
I siti alternativi
8 Dalla sicurezza all'audit
L'audit dei sistemi informativi
Gli obiettivi
Il processo
La metodologia di riferimento
Il rischio nelle attivita' di audit
Lo stretto rapporto tra audit e sicurezza
III Le aree di applicazione
9 Sicurezza fisica e del personale
La protezione aziendale
Il recupero dell'efficienza
La sicurezza fisica
Le minacce e le contromisure
Le politiche funzionali per la sicurezza fisica
L'attuazione delle politiche funzionali
Le politiche e le norme di sicurezza del personale
Le verifiche antecedenti l'assunzione
I controlli durante il periodo di collaborazione
I controlli antecedenti l'abbandono dell'organizzazione
10 Dalla crittografia alla sicurezza nelle comunicazioni
Che cos'e' la crittografia
La crittografia a chiave segreta o simmetrica
I principali algoritmi di crittografia a chiave segreta
La crittografia a chiave pubblica e asimmetrica
La riservatezza dei messaggi
L'autenticita' del mittente
L'autenticita' del mittente e l'integrita' del messaggio
L'autenticita' del mittente, la riservatezza e l'integrita' del messaggio
I principali algoritmi di crittografia a chiave pubblica
I principali algoritmi per funzioni di hashing
La firma digitale e i certificati a chiave pubblica
La sicurezza in Internet
I protocolli sicuri per Internet
I protocolli sicuri per la posta elettronica
I protocolli sicuri per il Web
I sistemi di pagamento elettronico
11 Controllo accessi
Alla base del controllo accessi: l'identificazione e l'autenticazione
La password
Caratteristiche e gestione della password
I sistemi biometrici
Il token
La memory card
La smart card
L'autorizzazione
I criteri di accesso
La tracciabilita' o accountability
I modelli e le tecniche di controllo accessi
I tre modelli base: DAC, MAC e RBAC
Bell-La Padula e Biba
Le tecniche di controllo accessi: ruoli, matrice degli accessi e ACL
Il controllo accessi basato sui ruoli
La matrice degli accessi
Le liste di controllo accessi (ACL)
I tipi di controllo accessi
L'applicabilita' del controllo accessi
12 Sicurezza delle informazioni nel ciclo di vita dei sistemi informatici
La necessita' della sicurezza
Le basi del ciclo di vita
La fase iniziale
Lo sviluppo o acquisizione
La realizzazione e l'installazione
L'esercizio
L'eliminazione
I controlli di sicurezza per il ciclo di vita di un sistema informatico
L'outsourcing nel ciclo di vita
Outsourcing dello sviluppo
Outsourcing dell'esercizio
IV Tecnologie, normative e standard
13 Tecnologie e servizi per la sicurezza logica
I sistemi per la gestione delle identita' e degli accessi
I sistemi di access control
I sistemi di security log correlation
Le soluzioni di user provisioning
Il Single Sign-On
Le Public Key Infrastructure
La sicurezza perimetrale e la gestione delle minacce
I firewall e la DMZ
Gli Intrusion Detection System
Le VPN
Gli strumenti per la protezione dei malicious code
Sistemi per la disponibilita' dei dati
I sistemi per il salvataggio e ripristino dei dati
I sistemi in cluster e ridondati
Le tecnologie piu' nuove
La crescente diffusione dei security appliance
L'emergere degli honeypot
I sistemi antispamming
I sistemi di content security management
Le Storage Area Network
Le Network Attached Storage
I servizi di sicurezza
L'analisi delle vulnerabilita'
Le prove di intrusione
I Managed Security Service Provider
14 Normative e standard di valutazione e certificazione
La tutela della privacy e le normative correlate
Le principali sanzioni
La tutela giuridica del software
Il documento informativo e la firma digitale
La criminalita' informatica
Considerazioni conclusive
Standard di progettazione, valutazione e certificazione
I criteri di valutazione
La certificazione
Gli standard di valutazione per prodotti e sistemi informatici: TCSEC, ITSEC, CC
Gli standard di valutazione per i sistemi di gestione della sicurezza: BS7799
15 Considerazioni finali e prospettive
L'Accordo di Basilea 2
Il decreto Legislativo 231/2001: gestione dei rischi e modelli organizzativi
L'open source
La survivability dei sistemi informativi
Le linee guida OCSE per la sicurezza delle informazioni
L'Open Security Exchange
Per concludere
V Appendice
A1 Bibliografia
A2 Glossario
Indice analitico | 
