Date post: | 08-Jun-2015 |
Category: |
Technology |
Upload: | alessandro-bergamino |
View: | 163 times |
Download: | 0 times |
Your partner
in business
Compliance alle normative e protezione del Dato
Alessandro Bergamino
Infrastructure Architect
Compliance alle normative e protezione del Dato
Durante la sessione , orientata a definire buon pratiche da adottare per la salvaguardia delle informazioni aziendali , si vogliono condividere alcuni elementi di una possibile strategia ottimale per implementare un sistema di gestione della sicurezza delle informazioni all'interno della propria azienda, avvalendosi del supporto di processi efficaci di internal audit che traggono vantaggio da soluzioni innovative in tema di monitoraggio degli accessi e dell'utilizzo delle informazioni nel tempo da parte degli utenti aziendali.
Obiettivo dell’Information Security
L’information Security ha come obiettivo principale la protezione delle informazioni aziendali da una vasta gamma di minacce (interne ed esterne dall’ambito aziendale) al fine di : • garantire la continuità del business • minimizzare eventuali danni alle attività aziendali • massimizzare il ritorno degli investimenti e le opportunità di nuovo
business preservandone le caratteristiche di • integrità • disponibilità • riservatezza
La Strategia suggerita
Implementare un sistema di gestione della sicurezza delle informazioni
identificare le informazioni da proteggere (asset) e i relativi responsabili (data owner)
definire un approccio per la valutazione dei rischi
implementare un processo di monitoraggio continuo dell’uso delle informazioni (auditing)
certificare la qualità dei processi aziendali di gestione delle informazioni attraverso norme standard come ISO 27001
Proteggere le informazioni, da dove cominciare?
Oggi più dell’80% dei dati aziendali si presenta in formato non strutturato la maggior parte di questi dati risiede all’interno di file-server, dispositivi NAS, portali e mailbox la forma più comune dei dati non strutturati è il file gestire e proteggere un’elevata quantità di dati non strutturati di questo tipo rappresenta la vera sfida da vincere per ogni organizzazione. Da che parte cominciare allora?
Audit …. come vengono usate le informazioni?
Per disegnare un processo di monitoraggio continuo dell’uso delle informazioni un buon punto di partenza può essere quello di fornire risposte alle seguenti domande:
chi ha avuto accesso alle risorse, intese come dati e informazioni?
quando?
da dove?
chi può accedervi?
chi non dovrebbe avere accesso?
Raccolta metadati
Activity Auditing
Permissions
User & Group
Information
Chi ci può aiutare?
spesso non forniscono una visione globale del patrimonio
informativo aziendale distribuito su sistemi eterogenei
le funzionalità native richiedono molto impegno per attivare la
cattura degli eventi, e quello è solo l’inizio; una volta che gli eventi
vengono raccolti occorre aggregarli, normalizzarli e analizzarli.
difettano di analisi forensi e di classificazione delle informazioni
trascurano le problematiche di analisi e gestione delle autorizzazioni
Limiti delle classiche soluzioni di File System Auditing
Esistono soluzioni innovative in questo ambito…
Il meglio di
Identity Intelligence
con il meglio di
Identity & Access Governance
Strumenti di Identity and Access Intelligence
Il termine "Identity Intelligence" è stato diffuso nel corso del 2010, grazie anche alla sua adozione da parte di Gartner, e si riferisce principalmente alle funzionalità che seguono… La presenza, all'interno di un'organizzazione, di un repository degli account utente, in grado di raccogliere in modo efficace tutte le informazioni che caratterizzano gli utenti e i loro diritti di accesso. Se confrontato, il repository utilizzato dalle soluzioni di Identity Management è di solito più semplice e meno adatto per effettuare analisi complesse.
Strumenti di Identity and Access Intelligence
Un ulteriore funzionalità è la capacità di correlare informazioni provenienti da diversi sistemi target e fonti autorevoli, al fine di compilare correttamente e in modo efficiente il repository
Strumenti di Identity and Access Intelligence
In ambienti complessi, i dati sugli utenti e gli account utente sono raccolti da decine o centinaia di fonti diverse, utilizzando standard diversi, strutture diverse e tecnologie differenti Al fine di consentire l'analisi rapida, dettagliata e completa, è essenziale avere uno strumento in grado di raccogliere, descrivere e omogeneizzare tutti questi dati , permettendo di realizzare analisi complesse, basate sui principi di business intelligence
Strumenti di Identity and Access Governance
Questa tipologia di soluzione (IAG) permette il coinvolgimento degli utenti finali e dei responsabili delle Business Unit nel processo di Identity & Access Management (IAM), invece di lasciare la gran parte della gestione solo agli amministratori IT. Fornisce funzionalità di Intelligenza grazie alle quali il processo di raccolta delle informazioni sugli accessi permette di effettuare rapide ed efficaci scelte in materia di Governance dell’intero ciclo di vita delle identità usate nell’accesso alle applicazioni ed alle informazioni aziendali. La soluzione IAG si basa su un "identity data warehouse”.
Strumenti di Identity and Access Governance
Questa tipologia di soluzioni innovative forniscono un piattaforma di workflow che automatizza i processi di access requests e access certification. Il permettere ai responsabili aziendali la visione delle relazioni tra gli utenti e le risorse che devono utilizzare per svolgere il loro lavoro era un elemento mancante nel mondo IAM.
IAI & IAG Solution
Dec
ide
Access
Password
mgmt
Remediation
Role based
Access
control
AM/SSO
Provisioning
Federation &
Access
Attestation
DES
IGN
& M
AIN
TAIN
Role
definition
Identity and Access Management
COTS
Inhouse
Live Monitoring
Usage based
role mining
Unified access
records
Risk Simulation
engine
Policy
Center
Data
classification
& monitoring
DLP / SIEM
enrichment
User Trends
& Anomalies
Data
warehousing
Unified Intelligence
Fine Grained
Audits
Activity based
SoD
Compliance
center
Access
request with
usage trends
Real-time
alerts Assessment
Forensics
Entitlements
HR
LDAP
Applications Unstructured
Data
Administration,
Access and Security
IAM + IAI + IAG, insieme
Esploriamo insieme il processo di Data Governance
Governare i dati, una sfida impegnativa
Assegnare il compito di proteggere i dati al loro responsabile e renderlo autonomo introducendo strumenti adeguati per permettergli di effettuare questa
gestione.
Processo di Data Governance
Data Owners
Classification
Permissions
Access Audit
Access Policies
Analytics
Data Governance: Data Owners
Chi è il responsabile del dato?
Identificazione automatica del proprietario «vero»
Cose che vorresti poter fare:
fornire ai responsabili dei dati la possibilità di gestire verifiche
periodiche in autonomia
permettere agli utenti di richiedere accesso ai dati per loro o per altri
sotto la loro supervisione
aiutare i responsabili dei dati a identificare dati e permessi non usati
da parecchio tempo
inviare periodicamente report ai responsabili con le statistiche di
utilizzo delle informazioni
Data Governance: Classification
Dove sono i miei dati più importanti?
Rilevamento dei dati su file server e CMS usando dizionari di
parole e regular expressions.
Cose che vorresti poter fare:
identificare dati importanti sovra esposti
permettere ai responsabili di business di effettuare verifiche sui
permessi esistenti
avvisare in caso di spostamento della posizione dei dati importanti
completare la propria soluzione DLP con funzionalità di analisi dei
permessi
Data Governance: Permissions
Chi ha accesso a cosa?
Mappatura dei permessi basata su nome utente, luogo, gruppi, etc.
Visibilità sui permessi effettivi di accesso alle risorse
Visibilità su chi ha accesso a informazioni «classificate»
Cose che vorresti poter fare:
applicare il principio dell’uso del privilegio minimo necessario
rimuovere utenti e gruppi non più usati da tempo
automatizzare le verifiche sui diritti di accesso
trovare risorse sovra esposte
Data Governance: Access Audit
Chi ha fatto cosa?
Completa visibilità sull’accesso alle risorse
Non si fa uso dei sistemi di audit e log nativi
Monitoraggio in tempo reale (asincrono)
Analisi forensi complesse ora gestibili con facilità
Cose che vorresti poter fare:
Verificare l’utilizzo di risorse «confidenziali»
Monitorare eventuali cambi di permessi sulle risorse «critiche»
Identificare account di servizio che accedono ai dati
Data Governance: Access Policies
Chi dovrebbe fare cosa?
Rilevare l’uso inappropriato delle risorse in tempo reale
Eliminare il tempo necessario per effettuare l’elaborazione
manuale di report
Uso di WhiteList e BlackList abbinato ai filtri
(Chi/Quando/Dove/Cosa/Come)
Cose che vorresti poter fare:
Inviare segnalazioni in caso di violazione delle regole
Rilevare l’accesso a dati «confidenziali» da parte di utenti con
privilegi elevati (IT Admins)
Data Governance: Analytics
Funzionalità di Business Intelligence per i tuoi dati
Utili informazioni dettagliate sui rischi di accesso ai dati
Rileva anomalie rispetto all’utilizzo medio storico
Cose che vorresti poter fare:
Fornire cruscotti di monitoraggio per i responsabili della Sicurezza
Avere le informazioni per poter eseguire azioni correttive
quotidianamente
Rivedere le tendenze di utilizzo delle risorse riservate
Caratteristiche di una soluzione innovativa
Data Classification
Owner Identification
Usage Profiling
Activity Monitoring
Identity Monitoring
Data Enrichment
Unified Access Policies
Access Certification
Request Automation
Grazie per l’attenzione Grazie per l’attenzione