1 / 31

Agenda

La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9 .05.2005. Agenda. Security: l'approccio necessario La metodologia Strumenti e progetti Le competenze.

donar
Download Presentation

Agenda

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzioneMariangela FagnaniRoma, 9.05.2005

  2. Agenda • Security: l'approccio necessario • La metodologia • Strumenti e progetti • Le competenze

  3. L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni Esposizioni di sicurezza fisica Confidenzialità dei dati Minacce dall’esterno .. da problema tecnico a problema aziendale… Asset fisici + reazione Esposizioni di sicurezza logica Integrità e disponibilità dei dati Minacce dall’esterno e dall’interno Asset informatici + Analisi dei rischi e delle vulnerabilità Monitoraggio attivo (rete, sistemi,etc.) Gestione degli incidenti Gestione degli utenti Amministrazione della sicurezza prevenzione Asset informativi + proattività Monitoraggio della sicurezza territoriale Gestione dell’interazione col territorio Gestione delle variabili socioeconomiche Compliance con le normative Business Asset 1990’s 1995’s 2000’s 1980’s 2003’s Fonte: IBM su dati IDC/Bull 2003

  4. La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere Territorio l’insieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali ASSETS Beni Informazioni Infrastrutture Immagine Servizi Processi Locations Persone Istituti Finanziari territorio Dipendentii Erogatori di utilities Operatori ambientali Pubblica Amm.ne Locale Clienti ENTE Pubblica Amm.ne Centrale Aziende collegate Pubblico Operatori Telco Forze di Polizia Impianti delocalizatii Enti controllo infrastrutture Operatori sanitari Fornitori

  5. La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano… Minacce Fisiche Requisiti Legali Requisiti di Pubblico servizio Requisiti Contrattuali Requisiti di Riservatezza ENTE Minacce Territoriali Minacce Logiche Requisiti di Disponibilità Requisiti di Integrità

  6. …e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business Resilience Disegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale Business Resilience Cultura aziendale, governance, policy e procedure Organizational Resilience Processi di business e amministrativi integrati a livello operativo Business Process Resilience Resilient Infrastr. L’Enterprise Risk Management è un concetto noto basato sull’assicurazione Business Continuity Planning, Programmi di Security e Safety, Capacity planning guidati dalla tecnologia Enterprise Risk Management Security/ Safety Perf. &Capacity Business Continuity Disaster Recovery Assicurazione • Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono: • La continuità del business • La gestione del rischio

  7. Comprensione del “Territorio operativo” • Individuazione delle scoperture di sicurezza (organizzative e tecnologiche) • Prioritizzazione degli interventi • Individuazione e disegno delle contromisure adeguate • Implementazione delle soluzioni e dei prodotti • Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002) What should I do? ASSESS Business Assets Security PLAN RUN Manage it. DESIGN Help me do it. IMPLEMENT Security Governance Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela

  8. Global Security/ Defense Environment Develop Material Capabilities Develop Personnel Capabilities Acquisition Operations Sustainment Enablement Coalition/Combined Capabilities planning Scenario Planning and Outcome Based Strategy Trade and Collaboration Control Strategy Strategic Planning Lifecycle Planning Corporate Planning Budget and Cost Management Integrated Demand and Supply Planning Force Posture Planning National Security/ Defence Strategy Advanced Technical Research Planning Personnel Capability Planning Acquisition Strategy Direct Human Capital Policy and Workforce Planning Coalition/Combined Forces Course Of Actions & Doctrine Operational Planning Supply Chain Strategy Force Package Personnel Capability Requirements Force Package Material Capability Requirements Deliberate Planning Intelligence Synthesis and Forecasting Policy Development Situational awareness/ OOTW Prioritization and Evaluation of Capability Opportunities (ROI) Personnel Performance Management Monitoring and Management of Acquisition Performance Operational Readiness Performance Management Sustainment Management and Performance Monitoring Regulatory and Statutory Agreements Monitor Security Assistance Agreements Legislative and Public Affairs Configuration Management Education, Training and Development Management Manage Industrial Collaboration (Defense Integrators and Contractors) Control Operational Performance Management Corporate Performance Management Demand and Supply Analysis Monitor Coalition and Spectrum Agreements Common Operational Picture Maintenance Technology Innovation Infusion and Control Vendor Management Establish Coherent Coalition Network Environment Advanced Research and Development Personnel Recruitment Contract Management Integrated Command and Control Demand and Supply Management Human Resource Management and Administration Inventory Management Quality Requirements Assessment and Control Program Management Personnel Education, Training and Development Force Preparation Financial accounting and GL Establish Coalition Spectrum Agreements Purchasing Force Deployment Acquisition and Deployment into service of Material Assets Facilities and Infrastructure Management Life Cycle Tradeoff Analysis Asset Visibility and Management ISR Tasking and Collection Execute In Service Maintenance Planning and Execution Modeling and Simulation Cost Controlling Integrated Mission Execution Base Management Test and Evaluate Concepts and Prototypes Out of Service Maintenance Planning and Execution Maintain Secure Battle space Networks Manage Sales Programme Specification and Design Manage Health, Environment and Safety Transportation Distributions and Disposition Force Re-Deployment Un esempio di Component Business Model per un ente della difesa

  9. What should I do? ASSESS Information Security PLAN RUN Manage it. DESIGN IMPLEMENT Help me do it. Security Governance Offered Service Consumed Service La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza… E X A M P L E For illustration only Asset Availability Asset assignement Fleet Management Asset Availability Location Information Location Information Asset visibility management Reserve Asset Check-In asset Profile Management User Profile Check assignement Check-Out asset User Profile Contromisure Minacce

  10. Security Governance … e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza What should I do? ASSESS Information Security PLAN RUN Manage it. DESIGN Help me do it. E X A M P L E For illustration only

  11. Security Governance • Soluzioni per • Minacce Fisiche • Videocontrollo digitale • Videoregistrazione (radar - telecamere infrarosso); • Controllo del transito di personale (badge, lettori biometrici, smart card…) • Controllo dei mezzi operativi (lettura targhe, telepass, ..) • Controllo merci in transito (tracking, localizzazione e identificazione ottica) • Sistemi Antincendio • … • Soluzioni per • Minacce Logiche • Controllo degli accessi (persistent password, digital signature, biometric, …) • Sicurezza della rete (monitoraggio, IDS, firewall, …) • Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery) • Protezione dei dati (classificazione, data handling procedures, ..) • … • Soluzioni per • Minacce Territoriali • Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione) • Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …) • Soluzioni di Disaster Recovery e Business continuity • Certificazione ambientale • Rfid per il tracking delle merci/prodotti • Soluzioni per Minacce Territoriali (cont.) • Innovazione dei processi • Infrastrutture on demand • Innovazione delle competenze • Esternalizzazione dei rischi / attività Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia What should I do? ASSESS Information Security PLAN RUN Manage it. DESIGN IMPLEMENT Help me do it.

  12. Security governance Enterprise governance Controlli di Sicurezza Corporate Governance (Conformance) Business Governance (Performance) Accountability Value Creation Ottimizzazione dei controlli Diminuzione dei costi La realizzazione di un Sistema di Security Governance permette diottimizzare gli altri strumenti di governance a disposizione dell’amministrazione Controllo Sicurezza Lavoro Controllo Ambientale Controllo di Qualità Controllo di gestione

  13. 2 Security Governance QUADRO OPERATIVO Ricognizione misure di sicurezza Mappatura Processi 1 QUADRO NORMATIVO Politiche 3 Standard Ridisegno dei Processi QUADRO ORGANIZZATIVO Procedure Evidenza dei Task operativi Organizz. Di Sicurezza Istruzioni Job Description Workshop di formazione Evidenza Gap da colmare Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale What should I do? ASSESS Information Security PLAN RUN Manage it. DESIGN IMPLEMENT Help me do it.

  14. L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza • Best Practice • Risk Governance • Conformita’ con leggi/regolamenti • Confidenzialità e protezione della proprietà intellettuale • Sicurezza applicazioni di business • Architetture di sicurezza Politiche e Architetture di sicurezza • Best practice • Protezione fisica dei sistemi • Controllo e Protezione Territorio • Protezione Infrastrutture vs tecnologie web-based • Firewall • IDS • Antivirus & content filtering • Mobile & wireless security • Crittografia • IT Security Management Asset Protezione delle infrastrutture critiche Sicurezza delle infrastrutture tecnologiche • Strategie & best practice • Business Impact Analysis • Tecnologia e strumenti • Servizi • WEB svc • Infrastruttura a Chiave Pubblica • Gestione delle Vulnerabilità • Configurazione di sicurezza e gestione del fixing/patching • Gestione delle Identità e degli Accessi • Single Sign on • Gestione delle Identità Federate Business Continuity Amministrazione della Sicurezza Sources: Gartner Group 2004

  15. Pianificazione ISMS Valutazione Implementazione Verifica Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa BS7799-1 Utilizzare un framework condiviso da tuttiper… sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali BS7799-2 Indica i requisiti per la certificazione di un.. … sistema di gestione per la sicurezza delle informazioni Codice Data Privacy regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche. 1. Politica di sicurezza 2. Organizzazione di sicurezza 3. Controllo e classificazione asset 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication 7. Controllo accessi 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance

  16. Utenti Sistemi Operativi Workstations DB Applicazioni Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite Problematiche lato IT: Slammer, MSBlaster, OS patches, violazione di password, ecc • Controllo sistemi e piattaforme • Vulnerabilita’ e violazioni verso le policy di sicurezza • Principali benefici per I clienti: • Aiuta a rendere sicuri ed integri i dati dell’amministrazione • Identifica le vulnerabilita’ di sicurezza del software • Riduce i costi IT attraverso l’automazione, la centralizzazione e la separazione delle responsabilita’ • Aiuta nella conformita’ con standard e leggi Problematiche di Business: normative, standards CxO IT security IT Environment

  17. La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete Gestione delle Identità e degli Accessi Identifica e gestisce in maniera efficace i profili-utente Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device Cisco Self-Defending Networks Identifica, previene e si adatta alle minacce Limita i danni provocati da virus e worms Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema • Endpoint • Protected client • Trustedidentity • Endpoint • Protected servers Compliance & Remediation Identificazione, contenimento e sanitizzazione delle infezioni Policy enforcement

  18. Il valore e l’evoluzione delle soluzioni di Identity Management Federated Identity Management Secure Web Services for SOA Secure Platform for Applications Identity Management Value Identity Management for e-business Web Single Sign-On User Administration Single Web Application Security Web Security Extranet, Intranet Middleware Security for Corporate Enterprise Portals Secure Business to Business Integration Single Web Application Security Web Security Extranet, Intranet Middleware Secure Business to Business Integration Security for Corporate Enterprise Portals

  19. One Password Login Please enter your ID and password ID Password One Login C One Audit Trail Access Manager 139576 SECURID Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web Autenticazione Flessibile Portali, CRM, ERP Web Solutions BroadVision, mySAP, and more . . . Web Application Servers Any other via J2EE, JAAS, and/or aznAPI Desktop SSO Active Directory integration Linux, UNIX, RACF Systems Domino, iNotes, Sametime, Team Workplace Servizi di Gestione delle Identità Digitali Messaging IBM Directory Server Sun ONE Directory Novell eDirectory Active Directory Lotus Domino Directory Tivoli Identity Manager WebSphere MQ • Layered authentication • Enforce user entitlements • Web single sign-on Secure Clients Biometric, Proximity Tokens

  20. Tivoli Identity Manager Tivoli Access Manager for e-Business Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali

  21. Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password Flusso dati (input) Engine User Provisiong e Metadirectory Servizi di Work-Flow  Funzionalità/servizi futuri Gestione delle politiche di provisiong  Mappatura Organizzativa Gestione politiche RBAC ( Role Based Access Control ) Controllo Accessi Servizi distribuiti Directory Services LDAP V3 Servizi gestione dei dati Connettività remota Audit & Reporting Flusso dati (output) Sistemi e Applicazioni target

  22. W2K AD Px P1 P2 RACF Policy 2 RACF W2K AD Policy 1 Role 1 Role 3 Role 2 RACF Exchange Exchange 1 Exchange Exchange 1 W2K AD RACF 1 Scelta Servizio 2 L’applicazione delle regole di “provisioning” nel modello Organizzazione logica dell’Azienda Organizzazione fisica sistemi IT Politiche di controllo accessi / abilitazioni a servizi Persone Fisiche (utenti) Politiche Ruoli/Mansioni ( Attachements ) Servizi Target Sistemi fisici 0,N --- 0,N 0,N --- 0,N 1 --- 1 NT PDC Nom Unità Ruolo Email Aliases … Exchange • Nome • Descrizione • priorità • membership • attachements • Nome • Utilizzatore • Descrizione • Ruolo dinamico : • Regola Exchange • Nome • Servizio • Tipo • (manuale/automatico) • Gestione degli attributi • Workflow (Processi di validazione) X Processo di validazione Priorità x

  23. L’architettura di riferimento di una soluzione di Integrated Identity Management

  24. Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’ Suppliers Partners Service Provider/ Aggregator Business Clients Outsourced Providers Distributors,Brokers • Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti • La mancanza di fiducia implica la replica delle informazioni degli utenti • Gestione degli utenti costosa e inefficiente • Esposizione di sicurezza, conformita’ e privacy

  25. Partner Company A Third Party Pension Holder Company C Insurance Provider Company B Stock Options La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’ Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite accordi contrattuali e tecnici, consentono ad un utente di un partner della federazione di accedere alle risorse di un altro partner in modo sicuro e fidato • Riduce i costi di gestione delle identita’ • Migliora l’operativita’ dell’utente • Semplifica l’integrazione • Migliora la Governance Utente Terza Parte End User

  26. I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi Parte “Garante” della transazione Parte “Validante” della transazione Fornitore dei Servizi Fornitore delle Identità Mutua FIDUCIA • Controlla l’accesso ai servizi • Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione” • Gestisce direttamente i soli attributi-utente relativi alla corretta fruizione del servizio offerto. 1. Fornisce le credenziali (Network / Login) 2. Gestisce gli Utenti ed i rispettivi ID 3. Autentica gli utenti 4. “Garantisce” circa l’identità degli utenti

  27. Le tecnologie e gli standard in ambito di Federated Identity Management Gesteionde delle Identità perWeb Services Federati(HTTP e SOAP-based SSO) HTTP SSO(SAML protocol) Gestione delle Identità Federate(SAML protocol) SAML (Passivo) WS-Federation (Passivo, Attivo) Liberty (Passivo) Supporto per vari protocolli Web Services HTTP Federation

  28. Cruscotto Centralizzato • Modulare • Flessibile • Gestione e selezione delle informazioni • Gestione identita’ accesso logico e fisico • Assistenza decisionale • Configurabile sull’utente La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche

  29. La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End Information Security Innovation Value • IBM Business Consulting Services • IBM Global Financing • Business • Value • Services • Financing • IBM Global Services • Personal and Printing Systems Group • Server Group • Software Group • Storage Systems Group • Infrastructure • Value • Hardware • Software • Services • Component • Value • Technology Group • Research • Technology

  30. ..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, 3.000specialisti di sicurezza che lavorano come un unico team e in maniera globale EMEA Labs & CoC • Copenaghen • Hursley • Zurich • La Gaude • Rome • Haifa EMEA • Wireless Center of Competence • Managed Security Services Delivery Center • Security & Privacy Practice • Research Labs BCRS – DR Centers • 140 centers worldwide • 71 in Europe • 2 in Italy Americas • Security Center of Competence • PKI Center of Competence • Managed Security Services Delivery Center • Business Innovation Center/ Ethical Hacking Lab • Security & Privacy Practice • Research Labs Asia Pacific • Managed Security Services Delivery Center • Business Innovation Center/ Ethical Hacking Lab • Security & Privacy Practice • Research Labs

More Related