1 / 28

sicurezza e privacy: adempimenti e contromisure per mettersi in regola

Computer Associates . Fondata nel 1976Presente in 100 paesi > 16,000 persone50 centri di ricerca e sviluppo nel mondo3

jacob
Download Presentation

sicurezza e privacy: adempimenti e contromisure per mettersi in regola

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

    1.  Sicurezza e privacy: adempimenti e contromisure per mettersi in regola! Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di “convergenza” tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perché quindi questo tema? Perchč gli eventi, la tecnologia, la necessitŕ di maggior produttivitŕ (la ricerca dell’efficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di “convergenza” tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perché quindi questo tema? Perchč gli eventi, la tecnologia, la necessitŕ di maggior produttivitŕ (la ricerca dell’efficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)

    2. Due parole su C.A. Anche se tutti Voi sicuramente ci conoscono. Di tutti questi dati mi preme sottolineare quelli relativi ai centri di ricerca e sviluppo. Solo per la suite di prodotti di sicurezza eTrust, abbiamo oltre 400 persone allo sviluppo. Un altro punto non riportato nella slide č la forza del supporto: 24 x 7 a livello international ed un centro di supporto locale in Italia. Due parole su C.A. Anche se tutti Voi sicuramente ci conoscono. Di tutti questi dati mi preme sottolineare quelli relativi ai centri di ricerca e sviluppo. Solo per la suite di prodotti di sicurezza eTrust, abbiamo oltre 400 persone allo sviluppo. Un altro punto non riportato nella slide č la forza del supporto: 24 x 7 a livello international ed un centro di supporto locale in Italia.

    4. Fattori critici del mercato L’ incremento del Business dipende dalla Tecnologia Economia in ripresa – budgets contenuti La complessita’ persiste e cresce Aumenta la rapidita’ di cambiamento E’ richiesto l’adeguamento alle normative

    5. Questo comporta… …le organizzazioni richiedono maggiori responsabilita’ forzando l’IT a comportarsi nell’ ottica del business! Un adeguato allineamento dell’IT alle attivita di Business Revisione degli investimenti esistenti e attenzione alla ottimizzazione dei costi Gestione degli asset attraverso il ciclo di vita ed il ROI Avere piu’ informazioni per decidere sugli investimenti Adeguamento alle misure minime di sicurezza (TU Privacy)

    6. L’ambiente e le esigenze

    8. L’utente finale chiede servizi che garantiscano un livello di sicurezza adeguato. I gestori del servizio devono porre attenzione al SLA; lascarsa sicurezza č una minaccia molto forte al SLA. Basta un interruzione di servizio dovuta ad un DOS, un Virus, un abuso di accesso e il SLA non viene rispettato. Security is a real risk for SLA. Think to a Virus/worm such as code red or to a denial of service attach that try to saturate a web server like what appen to Yahoo two years ago! L’utente finale chiede servizi che garantiscano un livello di sicurezza adeguato. I gestori del servizio devono porre attenzione al SLA; lascarsa sicurezza č una minaccia molto forte al SLA. Basta un interruzione di servizio dovuta ad un DOS, un Virus, un abuso di accesso e il SLA non viene rispettato. Security is a real risk for SLA. Think to a Virus/worm such as code red or to a denial of service attach that try to saturate a web server like what appen to Yahoo two years ago!

    9.

    11. Come in tutte le cose, anche per la sicurezza c’č quello che possiamo chiamare il mondo ideale e la realtŕ dei fatti. Per avvicinarsi al mondo ideale esistono delle Best Practice (un esempio č dato dalla BS77799) che fornisce le linee guida per implementare un sistema di sicurezza adeguato agli obiettivi di business. Si tratta quindi di cercare di ridurre il piů possibile il gap tra le best practice e la realtŕ. Semplificando, basterebbe rispondere ad una serie di domande per le quali ne abbiamo alcuni esempi! Prendiamo alcuni dei problemi oggi molto sentiti nelle banche: la necessitŕ di ridurre il tempo per rendere operativo un collaboratore (vedi il punto del turnover della slide iniziale). Come tracciare gli accessi (la normativa italiana, es 318/99 ne fa esplicita menzione). Senza arrivare al tema della business continuity (che va affrontato quanto prima...) pensiamo anche al semplice centro di backup! Come in tutte le cose, anche per la sicurezza c’č quello che possiamo chiamare il mondo ideale e la realtŕ dei fatti. Per avvicinarsi al mondo ideale esistono delle Best Practice (un esempio č dato dalla BS77799) che fornisce le linee guida per implementare un sistema di sicurezza adeguato agli obiettivi di business. Si tratta quindi di cercare di ridurre il piů possibile il gap tra le best practice e la realtŕ. Semplificando, basterebbe rispondere ad una serie di domande per le quali ne abbiamo alcuni esempi! Prendiamo alcuni dei problemi oggi molto sentiti nelle banche: la necessitŕ di ridurre il tempo per rendere operativo un collaboratore (vedi il punto del turnover della slide iniziale). Come tracciare gli accessi (la normativa italiana, es 318/99 ne fa esplicita menzione). Senza arrivare al tema della business continuity (che va affrontato quanto prima...) pensiamo anche al semplice centro di backup!

    21. Un modello che puň aiutare č quello qui rappresentato che partendo dagli aspetti organizzativi sfrutta la tecnologia per ottenere dei risultati intermedi (vedi asset management) per poi passare a considerare gli altri aspetti della sicurezza: L’impostazione delle policy operative (dopo aver definito le policy funzionali (es la policy per la password, per le connessioni ad Internet, per l’accesso ai sistemi etc.) devo trasformare queste policies teoriche in qualcosa di effettivo, in grado di bloccare l’accesso in caso di NON rispetto della regola. A questo si deve aggiungere il tema dello User Provisioning (vale a dire, un sistema automatizzato e sicuro per rispettare in ogni momento il principio del Least Privilege) Che dire del monitoraggio dei sistemi e delle applicazioni (molte banche hanno centinaia se non migliaia di server nelle filiali ma non viene fatto un controllo sistematico di chi accede a che cosa! Ultimo punto la parte che rientra nel tema grandissimo della business continuity: la gestione dello storage e la disponibilitŕ dei dati. Un modello che puň aiutare č quello qui rappresentato che partendo dagli aspetti organizzativi sfrutta la tecnologia per ottenere dei risultati intermedi (vedi asset management) per poi passare a considerare gli altri aspetti della sicurezza: L’impostazione delle policy operative (dopo aver definito le policy funzionali (es la policy per la password, per le connessioni ad Internet, per l’accesso ai sistemi etc.) devo trasformare queste policies teoriche in qualcosa di effettivo, in grado di bloccare l’accesso in caso di NON rispetto della regola. A questo si deve aggiungere il tema dello User Provisioning (vale a dire, un sistema automatizzato e sicuro per rispettare in ogni momento il principio del Least Privilege) Che dire del monitoraggio dei sistemi e delle applicazioni (molte banche hanno centinaia se non migliaia di server nelle filiali ma non viene fatto un controllo sistematico di chi accede a che cosa! Ultimo punto la parte che rientra nel tema grandissimo della business continuity: la gestione dello storage e la disponibilitŕ dei dati.

    29. Questa č la nostra risposta alle necesitŕ di sicurezza che come giŕ accennato spaziano dall’analisi dei rischi sino alla realizzazione del sistema di sicurezza (es. ISMS basato sulle best practice BS7799): Un front-end di amministrazione e controllo semplice immediato e sicuro: il portale La tecnologia come contromisure per affrontare i temi che riguardano la sicurezza Se prendiamo come riferimento lo standard BS7799, possiamo notare come per quasi tutte le misure tecnologiche riferite come best practice dalla BS7799, Computer Associates ha una risposta: dall’asset management all’antivirus, dall’amministrazione utenti al SSO; dall’intrusion detection al controllo delle vulnerabilitŕ. La nostra tecnologia come abbiamo visto č suddivisa in brand: Unicenter per il System,Network,Application and DB management, eTrust per gli aspetti tradizionali della sicurezza, Brighstor per la parte di Storage management. Il tutto supportato dalla tecnologia portale che č stata inclusa in ogni brand per offrire il front-end semplice ed innovativo.Questa č la nostra risposta alle necesitŕ di sicurezza che come giŕ accennato spaziano dall’analisi dei rischi sino alla realizzazione del sistema di sicurezza (es. ISMS basato sulle best practice BS7799): Un front-end di amministrazione e controllo semplice immediato e sicuro: il portale La tecnologia come contromisure per affrontare i temi che riguardano la sicurezza Se prendiamo come riferimento lo standard BS7799, possiamo notare come per quasi tutte le misure tecnologiche riferite come best practice dalla BS7799, Computer Associates ha una risposta: dall’asset management all’antivirus, dall’amministrazione utenti al SSO; dall’intrusion detection al controllo delle vulnerabilitŕ. La nostra tecnologia come abbiamo visto č suddivisa in brand: Unicenter per il System,Network,Application and DB management, eTrust per gli aspetti tradizionali della sicurezza, Brighstor per la parte di Storage management. Il tutto supportato dalla tecnologia portale che č stata inclusa in ogni brand per offrire il front-end semplice ed innovativo.

    30. CA’s eTrust™ Security Solutions

    34.  Sicurezza e privacy: adempimenti e contromisure per mettersi in regola! Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di “convergenza” tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perché quindi questo tema? Perchč gli eventi, la tecnologia, la necessitŕ di maggior produttivitŕ (la ricerca dell’efficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di “convergenza” tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perché quindi questo tema? Perchč gli eventi, la tecnologia, la necessitŕ di maggior produttivitŕ (la ricerca dell’efficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)

More Related