Luglio 1996_Perito Industriale per le Telecomunicazioni

Ottobre 2015 – Oggi Figura ricoperta Consulenza IT Security & Privacy; Datore di lavoro Taurobotics; Luogo Italia

Principali attività e responsabilità; Il progetto Taurobotics (www.taurobotics.com) nasce come impresa specializzata nell’erogazione di consulenza e servizi legati alla sicurezza integrata e alla privacxy. La missione principale è sensibilizzare e supportare liberi professionisti e PMI nello sviluppo e nell’integrazione di politiche, metodologie e soluzioni di sicurezza a basso impatto funzionale ed economico.

Le aree di offerta riduardanti la consulenza sono tre:

·       Privacy: in particolare il nuovo Regolamento U.E. n. 679/2016 relativo alla protezione delle persone fisiche riguardo al trattamento dei dati personali e relativi adempimenti in tema di gestione automatizzata, gestione dei dati di minorenni, semplificazione delle informative e movimentazione dei dati da un prestatore di servizi all’altro o in aree extra-UE, obbligo di notifica in caso di data-breach, etc.

·       Data Governance: mappatura delle aree di business, identificazione delle arre dati e loro tipologia, identificazione dei metadati, mappatura degli stessi all’interno dei processi e e dei flussi di business, analisi di impatto e valutaziopne di rischio attraverso metriche misurabili come la stima del potenziale danno economico aggregato e creazione di un relativo piano di contigenza e di risoluzione, revisione delle policy e validazione del processo di DG

·       PCI-DSS: analisi di policy, procedure e infrastruttura, inclusi la mappatura di dati, applicazioni, sistemi, network, sicurezza fisica e in generale tutto il processo di gestione e protezione dei dati del Titolare di carta di credito, sia interno che relativo a terze parti, attraverso il rilascio di gap/risk analysis e piano di risoluzione attuativo

Anche per quanto riguarda l’Information Security e con l’obiettivo di soddisfare i requisiti di una piccola/media impresa e minimi di sicurezza è stata scelta la suddivisione in tre principali aree:

·       Infrastrutture: prevenzione dei danni causati da virus, spyware, codice malizioso su reti e sistemi, verifica delle connessioni intranet/internet e implementazione di contromisure e filtri navigazione/posta, verifica di firewall perimetrali e dei singoli host, controlloe revisione di aggiornamenti relativin a vulnerabilità di sistema e applicative, implementazione di soluzioni di backup cifrati e offuscati su client e server, revisione degli accessi e della profilazione di account, password, accessi fisici e logici, verifica della sicurezza wireless, formazione in tema di information security end-user

·       Web-Security: attività di WSA (web security assessment) su piattaforme intranet/internet con metodologia OWASP e test sia applicativo che infrastrutturale principalmente in blackbox, alla quale segue il rilascio di un piano di risoluzione

·       IoT: è un’offerta destinata al mercato dell’Internet of Things e soprattutto agli sviluppatori di prodotto, ma anche a vendor/dealer/reseller che intendano valutare un determinato device attraverso metodologia OWASP al fine di di identificare possibili vulnerabilità a livello di interfacce, network, cloud management/storage, mobile, data mangement, autenticazione/autorizzazione, trasporto, data management, etc.

Le offerte, soprattutto per quanto riduarda l’Information Security per le PMI, sono proposte in formula di pacchetti di giornate, a canone o target di progetto.

Ottobre 2014 – Ottobre 2015 Figura ricoperta Security Consultant; Datore di lavoro Varie; Luogo Torino, Milano

Principali attività e responsabilità Supporto allo sviluppo di metodologie di cybersecurity applicate a realtà aziendali medio/piccole,
inclusi l’assessment tecnologico (lightweight security assessment) e la redazione di policy di mitigazione. Le attività sono basate sul framework NIST-IR 7621 che comprende 10 controlli top riguardanti:

– Gestione del rischio
– Difesa di rete, sistemi e informazioni contro virus, spyware e codice malevolo, wireless security
– Configurazione di firewall e intrusion detection, patch management, politiche di backup
– Accessi fisici, politiche di utilizzo delle utenze, software e accesso ai dati autorizzati, formazione  del personale 

Le attività di security assessment vengono svolte attraverso l’utilizzo della suite Kali.

Marzo 2014 – Settembre 2014 Figura ricoperta Consulente di direzione; Datore di lavoro Luxottica Group S.p.A; Luogo Milano

Principali attività e responsabilità; Consulenza in tema di data governance: attraverso l’identificazione di progetti pilota determinati all’interno di specifiche unità di business (processi e piattaforme tecnologiche) si è effettuato lo studio di un modello di data classification basato su:

Identificazione degli asset e delle principali tipologie di dati (personali, sensibili, proprietà intellettuale, PCI, PHI, company confidential, informazioni giuridiche, etc)

Tracciatura dei flussi di utilizzo dei dati (uso interno, terze parti coninvolte, esposizione potenziale), e identificazione della pertinenza giurisdizionale

Classificazione secondo i criteri di confidenzialità, integrità, disponibilità, auditabilità, compliance, impatto di business, valore di business

Il modello di data governance & classification è stato a sua volta integrato con un secondo modello di sicurezza basato su un framework SANS20 over ISO27000, il cui obbiettivo principale è stata la mitigazione in blackbox dei principali rischi legati alla gestione di dati in aree di business e piattaforme non perfettamente gestite e tracciate all’interno della struttura societaria.

Marzo 2014 – Settembre 2014 Figura ricoperta Security Consultant; Datore di lavoro Luxottica Group S.p.A.; Luogo Torino, Milano

Principali attività e responsabilità Consulenza in tema di data governance: attraverso l’identificazione di progetti pilota determinati all’interno di specifiche unità di business (processi e piattaforme tecnologiche) si è effettuato lo studio di un modello di data classification basato su:
 
– Identificazione degli asset e delle principali tipologie di dati (personali, sensibili, proprietà intellettuale, PCI, PHI, company confidential, informazioni giuridiche, etc)
– Tracciatura dei flussi di utilizzo dei dati (uso interno, terze parti coninvolte, esposizione potenziale), e identificazione della pertinenza giurisdizionale
– Classificazione secondo i criteri di confidenzialità, integrità, disponibilità, auditabilità, compliance, impatto di business, valore di business 

Il modello di data governance & classification è stato a sua volta integrato con un secondo modello di sicurezza basato su un framework SANS20 over ISO27000, il cui obbiettivo principale è stata la mitigazione in blackbox dei principali rischi legati alla gestione di dati in aree di business e piattaforme non perfettamente gestite e tracciate all’interno della struttura societaria.

Settembre 2013 – Gennaio 2014vFigura ricopertavSecurity Consultant;vDatore di lavorovFiat Group S.p.A.;vLuogovTorino

Principali attività e responsabilitàvAnalisi e redazione di documenti tecnici operativi, il compito consisteva nel derivare linee guida tecniche dalle master policy a norma ISO/IEC 27000 con particolare attenzione agli argomenti:
-Communications and Operations (system planning and acceptance, network security management, backup, monitoring, patch management)
– Information Classification
– Access Control
– Information System Acquisition Development and maintenance
– Third Party Relationship
– BYOD security 
Controllo dell’avanzamento della gap analysis per quanto riguarda lo stato di implementazione delle misure di sicurezza e mitigazione all’interno delle infrastrutture IT di Fiat Group Automobiles, Fiat Industrial, e Chrysler.

Giugno 2012 – Giugno 201 vFigura ricopertavSecurity Consultant;vlenia Aermacchi S.p.A. Luogo Torino

Principali attività e responsabilità Ethical Hacker, analista e integratore di soluzioni di sicurezza.
Utilizzo di strumenti di investigazione statistica e rilevamento anomalie.
Verifica dei sistemi di contenimento dati sia in area NATO classified che civile.
Gestione di un sistema proprietario di analisi del traffico interno e perimetrale e produzione di report destinati al top management riguardanti l’utilizzo delle risorse aziendali e l’esistenza di APT.
Vulnerability e security assessment (inclusi attacchi social), penetration testing su network/web/DB, esterni/interni.
Setup di un laboratorio di investigazione basato su Oracle VirtualBox per l’analisi di malware e la simulazione in sandbox.
Prodotti: BackTrack/Kali Linux, Oracle VirtualBox
Framework: OpenVas, Nexpose, W3AF, Zaproxy, Metasploit, S.E.T., Hydra Pro, etc.

Giugno 2012 – Giugno 2013 Figura ricoperta IT Security consultant; Datore di lavoro Varie; Luogo Torino/Milano

Principali attività e responsabilità Supporto allo sviluppo di metodologie di cybersecurity applicate a realtà aziendali medio/piccole, inclusi l’assessment tecnologico (lightweight security assessment) e la redazione di policy di mitigazione. Le attività sono basate sul framework NIST-IR 7621 che comprende 10 controlli top riguardanti:

Gestione del rischio

Difesa di rete, sistemi e informazioni contro virus, spyware e codice malevolo, wireless security

Configurazione di firewall e intrusion detection, patch management, politiche di backup

Accessi fisici, politiche di utilizzo delle utenze, software e accesso ai dati autorizzati, formazionedel personale. Le attività di security assessment vengono svolte attraverso l’utilizzo della suite Kali.

Novembre 2010 – Giugno 2012 Figura ricoperta Gestione Conferenze; Datore di lavoro Fiat Group S.p.A.; Luogo Torino

Principali attività e responsabilità Gestione conferenze ed eventi istituzionali relativi al top management
Gestione delle piattaforme di web-conferencing e immersive technology
Ricerca e produzione di filmati e audiovisivi a supporto dell’Ufficio Stampa e Legal
Installazione e gestione dell’infrastruttura di videoregistrazione basata su tecnologie opensource
Hardware: Dreambox, Emtec, Aethra, Cisco Telepresence, Bosch Conferencing, Epson Multimedia, Crestron, Polycom
Software: FreeNAS, ProjectX, DvDLab Pro, WebEx, DVD VideoSoft Suite

Luglio 2013 – Ottobre 2010 Figura ricoperta Security Consultant; Datore di lavoro Freelance; Luogo Torino

Principali attività e responsabilità; Consulente in tema di IT security su aziende medio-piccole
Analisi e verifica dello stato di sicurezza di reti e sistemi tramite l’utilizzo di suite opensource
Sviluppo di politiche di sicurezza ed adeguamento ai requisiti minimi di legge
Consolidamento e integrazione di soluzioni opensource o proprietarie
Sviluppo di una linea di business modulare per la delocalizzazione dei servizi di sicurezza IT
Prodotti: BackTrack, Cyberoam, Watchguard, Netgear

Giugno 2008 – Giugno 2009 Figura ricoperta Project Manager Security; Datore di lavoro CartaSì / Sì Holding S.p.a.; Luogo Milano

Principali attività e responsabilità Gestione dei programmi di adeguamento normativo e di sicurezza “Privacy” e “Accessi Logici”
Monitoraggio dello stato di avanzamento lavori
Consolidamento tecnologico e procedurale delle raccomandazioni audit relativi alla certificazione PCI-DSS (SSO, SA, Provisioning)
Coordinamento integrativo del servizio di SOC e creazione della X-Force
Responsabile per i progetti di reingegnerizzazione e rafforzamento portali Intranet, Business, Esercenti e delle piattaforme di content e knowledge management

Settembre 2007 – Maggio 2008 Figura ricoperta Security Consultant; Datore di lavoro Italtel S.p.A.; Luogo Milano

Principali attività e responsabilità Supporto soluzioni tecnologiche per l'infrastruttura di Ddos mitigation di Telecom Italia
Design di un sistema di backup per piattaforme Arbor Networks e Cisco ADM
Setup, benchmarking e betatest della soluzione proposta e realizzata
Supporto di progetto in tema di DNS enforcement su piattaforme Cloudshield
Prodotti: Arbor Networks, Cisco ADM, VMWare ESX, FreeNAS, Cloudshield

Marzo 2007 – Agosto 2007 Figura ricoperta Security Consultant; Datore di lavoro Fastweb S.p.A.; Luogo Milano

Principali attività e responsabilità Progettazione di un sistema di distribuzione autenticata dei contenuti multimediali
Analisi dello stato di sicurezza dell’infrastruttura di media distribution
Valutazione dell'effettiva possibilità di integrare prodotti proprietari per la sicurezza VoD
HLD di una soluzione di autenticazione basata su un generatore di OTP non interattivo per STB
Prodotti: Kreatel, ADB, Telsey, RSA, Verimatrix

Aprile 2006 – Febbraio 2007 Figura ricoperta consulente; Datore di lavoro Eurofighter Jagdflugzeug GmbH; Luogo Muenchen (DE)

Principali attività e responsabilità; Gestione e supporto sistemistico delle infrastrutture IWSSC (sistemi d'arma) e IERS (logistica)
Supporto al Service Manager per il coordinamento dei team sistemistici periferici (IT, UK, ES)
Supervisione al rilascio di piattaforme sistemistiche custom hardenizzate
Supporto integrativo di applicativi RDBMS/Oracle 10i
Beta testing pre produzione delle procedure di patch management
Sviluppo di procedure operative di escalation
Prodotti: Solaris, Windows 2003, Oracle 10i, Remedy

Marzo 2000 – Marzo 2006 Figura ricoperta Security Specialist; Datore di lavoro Polimatica Teknow S.r.l.; Luogo Torino

Principali attività e responsabilità Sistemista e supporto utente presso Geodata S.p.A. (Mar. 2000 – Ott. 2000)
Security Engineer e Integrator presso Fiat Avio S.p.A. (Nov. 2000 – Feb. 2005)
Sistemista e supporto infrastrutture presso Wind S.p.A. (Mar. 2005 – Giu. 2005)
Security Consultant e Integrator presso Iveco, Avio, I.Net, Seat, CRIF, etc, (Apr. 2005 – Mar. 2006)
Assessment e testing dell'applicativo di blocco periferiche “RDLOCK” (Apr. 2005 – Mar. 2006)
Prodotti: Solaris, Checkpoint Firewall-1/NG (Nokia Appliance, Solaris), Cisco PIX, Fortinet, Stonebeat, Aladdin Esafe, Identix, RSA SecurID, Snort, Webtrends, etc.

Marzo 1999 – Febbraio 2000 Figura ricoperta Tecnico-amministrativo; Datore di lavoro Farmaconsult S.r.l.; Luogo Torino

Principali attività e responsabilità Specialista di pacchetto e supporto clienti (gestionale farmaceutico)
Formazione dei clienti su tematiche relative a informatica di base e reti e utilizzo del software
Recruitment e selezione degli agenti di vendita

Ottobre 1998 – Febbraio 1999 Figura ricoperta consulente; Datore di lavoro ICL Sorbus S.p.A.; Luogo Moncalieri (TO)

Principali attività e responsabilità Assistente al site manager
Gestione e dispacciamento interventi ai gruppi di lavoro
Approvvigionamento ricambistica hardware

Aprile 1996 – Settembre 1998 Figura ricoperta Tecnico; Datore di lavoro Digiconsult S.a.s; Luogo Collegno (TO)

Principali attività e responsabilità Supporto clienti e installazione software e hardware
Installazione e collaudo reti locali
Riparazione e collaudo sistemi e periferiche di sistema
Prodotti: Olivetti, Epson, Oki, WYSE, AS/400 Digital, SCO Unix/Openserver, Novell, Zucchetti, Dylog

Istruzione e Formazione

Data Luglio 1996

Titolo della qualifica rilasciata Perito Industriale per le Telecomunicazioni

Istituto di istruzione o formazione ITIS "Enzo Ferrari"

Luogo Torino

Conoscenze linguistiche

Lingua Italiano

Capacità di lettura/scrittura Madrelingua

Capacità di espressione orale Madrelingua

Lingua Inglese

Capacità di lettura/scrittura Buono

Capacità di espressione orale Buono

Conoscenze informatiche

Capacità e competenze informatiche

Security Infrastructures, Policy Review, Networking, ISO-27000, PCI-DSS, SANS20, CoBit, NIST SP-800