1 / 20

Utilizzo dei dati di AUDITING

Utilizzo dei dati di AUDITING. Lecce 21 Maggio 2004. Chi e’ Iccrea Banca S.p.A. L’Iccrea Banca e’ l’Istituto centrale della categoria delle Banche di Credito Cooperativo

talia
Download Presentation

Utilizzo dei dati di AUDITING

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Utilizzo dei dati di AUDITING Lecce 21 Maggio 2004

  2. Chi e’ Iccrea Banca S.p.A. • L’Iccrea Banca e’ l’Istituto centrale della categoria delle Banche di Credito Cooperativo • L’Iccrea Banca e’ uno dei quattro centri applicativi autorizzati dalla Banca d’Italia ad operare, come tramite, nel sistema bancario nazionale • Rappresenta le BCC in tutti gli ambiti tecnico-istituzionali, curandone gli interessi legati alla loro attività bancaria • E’ la fabbrica di servizi che sarebbe antieconomico produrre a livello locale, diminuendo l’impegno delle BCC nel back office ed aiutandole a mantenere bassi i loro costi di gestione • Fornisce i propri servizi sulla rete Intranet in un contesto di sicurezza e di velocità dell’informazione

  3. Gli utenti di Iccrea Banca: le BCC • 461 Banche di Credito Cooperativo • 3.239 Sportelli in oltre 2.000 comuni • Oltre 4 milioni di Clienti • Oltre 78 Miliardi di Euro di Raccolta • Ad oggi sono definite nel sistema di sicurezza oltre 12.500 userid.

  4. Architettura di sistema

  5. Evoluzione organizzativa • 1987 - Nasce la necessità di avere un sistema per il controllo logico degli accessi • Ad ogni applicazione viene assegnata una struttura funzionale, predisposizione di profili applicativi • 1988 - Le applicazioni vengono migrate nel sistema di sicurezza • 1991 - Tutte le applicazioni sono dichiarate al sistema di sicurezza e viene emanata la prima normativa sul controllo logico degli accessi • Nasce l'esigenza di controllare le attività svolte direttamente in produzione • Si sente la necessità di far convalidare tutte le attività estemporanee eseguite (assunzione di responsabilità)

  6. Utilizzo dei dati di Audit Vecchia soluzione • Per elaborare i dati di audit l’Istituto ha considerato i seguenti aspetti: • Aspetto organizzativo • Raggruppamento delle Userid in schemi logici • Aspetto normativo • Definizione di norme che regolano la richiesta e la convalida delle attività eseguite con profili particolari • Aspetto tecnico • Creazione di una applicazione che produca dei report, come richiesta dalla normativa, da base dati TSS (archivi di audit)

  7. Utilizzo dei dati di AuditAspetto organizzativo

  8. Utilizzo dei dati di AuditAspetto normativo • Per poter snellire la procedura organizzativa legata all’intervento in ambiente di produzione, da parte dei specialisti per attività di risoluzione del problema, si è provveduto alla standardizzazione di modalità operative: • Formulazione delle richieste, per ottenere profilazioni “particolari”; • Richieste che possono essere solamente effettuate da personale abilitato; • Modalità di convalida a posteriori. • Questa prassi è stata regolamentata dall’Istituto nella normativa di Controllo Logico degli Accessi della Sicurezza Logica, e brevemente riporta: • ‘La Funzione Sicurezza Logica trasmette giornalmente ai Responsabili di Servizio, cui risultino assegnate risorse che dispongono di profili “particolari” – e per conoscenza alla Funzione Controlli, un elenco analitico delle attività svolte da detto personale.’

  9. Utilizzo dei dati di AuditAspetto tecnico • Creazione di una applicazione informatica • Fornire informazioni dettagliate, per singola userid, sul tipo di attività eseguita sulle singole risorse di sistema.

  10. Utilizzo dei dati di AuditEsempio di comunicazione

  11. Utilizzo dei dati di AuditAspetto tecnico • Punti di debolezza • Tempi lunghi nell’esecuzione della routine di TSS per la creazione degli EARLOUT

  12. Infrastruttura di sicurezza TSS Utilizzo dei dati di AuditSchema di funzionamento

  13. Ricerca della soluzione • Criticità nella predisposizione dei dati • Tempi lunghi di elaborazione • Eccessivo utilizzo di CPU • Eccessivi accessi al Sistema di Sicurezza (TSS) • Per ogni record la routine accede al security file

  14. Ricerca della soluzione • Non potendo intervenire nelle fasi (proprietarie del sistema di sicurezza TSS) utilizzate, dovevamo cercare altrove la soluzione • La E.T. stava sviluppando un sistema di gestione dei file di auditing • Gli abbiamo chiesto se potevano fornirci archivi con contenuti uguali a quelli generati con le utility del TSS. • Ed abbiamo scoperto che potevamo: • Essere svincolati dall’ambiente (la soluzione ET poteva produrre informazioni di produzione anche dallo sviluppo) • Ottenere in automatico le Userid che beneficiano di profili particolari

  15. Le specifiche di prodotto • Acquisizione dati da fonti eterogenee • Normalizzazione degli eventi (ADM) • Memorizzazione ed analisi dei dati • Componente di integrazione TSS • Analisi dei dati generati da TSS • Produzione output compatibili • "What if" per simulare gli scenari di produzione in ambiente di test • Elaborazioni parallele • Interpretazione analitica degli eventi di bypass • Ricostruzione dei profili e regole che concedono/negano l'accesso • Report HTML

  16. Modalità di esecuzione ? • Primary Mode: STC (Real Time) • Secondary Mode: Batch (Post Processing)

  17. Utilizzo dei dati di AuditNuova soluzione • Gli output ottenuti restano essenzialmente invariati • Cambia il modo di individuare le userid • Il prodotto E.T. cattura in tempo reale tutte le variazione eseguite nel security file, predisponendo un archivio contenente le userid che beneficiano di determinati profili • Cambia il prodotto per la creazione degli EARLOUT • Vengono generati dal prodotto E.T. direttamente dai dati di audit del TSS (o dai record SMF), eliminando gli accessi al sistema di sicurezza TSS • Il prodotto E.T. può essere attivato nell’ambiente di sviluppo • In questo modo si possono generare tutte le informazioni senza caricare il sistema di produzione

  18. Utilizzo dei dati di AuditSchema di funzionamento Prodotto ET-1Audit Security File virtuale

  19. Risultati • I risultati ottenuti rispecchiano le nostre aspettative • Si è raggiunto un traguardo inaspettato • Per la produzione degli EARLOUT si passa da circa 4 ore a circa 5 minuti • È doverosa una considerazione: • Il prodotto ottenuto dalla E.T. è troppo evoluto oppure … le logiche di funzionamento del sistema di sicurezza sono troppo scarse? Mah! Forse la verità sta nel mezzo

  20. I prossimi sviluppi . . . • Integrazione dei dati di monitoring originati in ambienti z/Linux, Unix, MS-Windows • Ulteriori espansioni e personalizzazioni del componente di prodotto ET-1Audit Security Manager Assistant per eTrust CA-Top Secret, secondo le specifiche esigenze di ICCREA Banca • Sperimentazione e personalizzazione del componente di prodotto ET-1Audit Data Change Monitor per sottoporre a monitoring stretto gli accessi ad una selezione di data base, secondo le specifiche esigenze di ICCREA Banca

More Related