Date post: | 02-May-2015 |
Category: |
Documents |
Upload: | ilaria-cavalli |
View: | 218 times |
Download: | 3 times |
L’assistenza alle aziende per aspetti tecnologici e sistemici
Roma, 23 ottobre 2007
Dr. Giorgio ScarpelliVice President – VP Tech
2
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy
• Conclusioni
3
CODICE
VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale
Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezzaProgettazione/realizzazione soluzioni di sicurezzaPianificazione di sistemi di Security Intelligence
Consulenza e Soluzioni di Sicurezza
• Obiettivo: portare al mercato un’offerta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti
• Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance
• Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale e accesso a finanziamenti europei
• Certificata ai sensi della norma ISO 9001:2000
• 150 professionisti dedicati alla Sicurezza Informatica
Profilo di VP TechProfilo di VP Tech
4
CODICE
VP Tech supporta i propri clienti intervenendo con efficacia a vari livelli del modello operativo per la gestione della sicurezza
Security Operations Center
Security Knowledge Management e Governance
Security Knowledge base management
Security investment evaluation
Infrastruttura di pro-tezione della rete e delle sue interconnes-sioni, dei sistemi e delle applicazioni
Tecnologie di gestione della identità digitale degli utenti dei servizi informatici (autentica-zione, autorizzazione e controllo accessi)
Sistema di crisis mgmt e disaster recovery a supporto del contingency plan per garantire la conti-nuità del business aziendale
Allineamento assetto organizzativo e impianto normativo per le procedure da applicare in fase di esercizio e gestione dei sistemi informatici
Sistema di monito-raggio degli eventi di sicurezza generati dalle infrastrutture
Sistema di analisi e gestione del processo di Information Risk Management
Struttura, strumenti e processi di gestione degli incidenti di natura informatica
Sistema di gestione delle informazioni generate da sistemi e servizi di Information Security
Modello finanziario di valutazione di CAPEX e OPEX per le spese in Information Security
(TOP Management / Security Management)
(SecurityManagement)
(SecurityOperations Staff)
Security Infrastruc-ture & mgt
Sicurezza applicativa e dati
Sicurezza perimetrale e reti comunicazione
Business Continuity e Crisis Mgmt
Organizational model & operational procedures
Risk Assessment e Mgmt Incident HandlingSecurity Monitoring
En
terp
rise
Sec
uri
ty P
ort
al
5
CODICE
Alcune referenze
6
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy
• Conclusioni
7
CODICE
Le informazioni sono un asset fondamentale di qualsiasi organizzazione
Gli obiettivi di business di un’azienda sono strettamente correlati alla fruizione delle informazioni, il cui valore continua a cresce in funzione dell’evoluzione del contesto relazionale, sempre più “immateriale”, in cui il business si attua
Volumi
’70 ’80 ’90 2000 oggi
Dati
Applicazioni
Sistemi
Processi
Obiettivi
…Determinano un costante incrementodel volume dei dati trattati…
…Sempre più centrali rispetto alle stra-tegie di business delle aziende
Soggetti che generano ed elaborano informazioni
Soggetti che generano ed elaborano Informazioni …
Banche
…..
Istituzioni
…..
Assicurazioni
…..
Utilities
……
Servizi
……..
Telecomunicazioni
……
Trasporti
…….
Banche
…..
Istituzioni
…..
Assicurazioni
…..
Utilities
……
Servizi
……..
Telecomunicazioni
……
Trasporti
…….
8
CODICE
Le esigenze di business si intersecano con gli obblighi normativi a tutela dei diritti degli owner dei dati
Per l’azienda questo comporta:
La singola azienda, oltre che dell’applicazione della normativa ordinaria, in particolare di quella sulla Privacy, deve tener conto dei provvedimenti specifici del Garante per azienda/settore
11 Disporre di una catena di comando Privacy efficiente e formalizzata (Titolare del trattamento ResponsabileIncaricato)
Avere un’organizzazione interna flessibile che risponda tempestivamente alle richieste del Garante
Implementare e aggiornare un’infrastruttura tecnologica che sia sempre Privacy compliant
22
33
9
CODICE
La problematica non è solo un fatto legale e burocratico
Trattamento dei dati permesso solo a chi è espressamente incaricato
Principi generali Interventi tecnologici richiesti
Assegnazione di responsabilità individuale per tutti i trattamenti dei dati critici, anche se effettuati mediante procedure automatizzate
Attribuzione inequivocabile delle azioni compiute su un dato critico al suo effettivo autore
- Separation of duties
- Processo autoritativo controllato di assegnazione dei privilegi sulle risorse
- Controllo non aggirabile dell’identità e dei privilegi di ciascun incaricato che accede al dato
- Ownership dichiarata dei dati e dei sistemi che li elaborano
- Identificazione certa degli incaricati di ciascun trattamento, all’accesso ai sistemi elaborativi ed ai dati
- Assegnazione di privilegi minimi per poter operare sui soli dati e per le sole operazioni relative al ruolo/mansione aziendale assegnata (need-to-know)
- Tracciamento completo, integro e non ripudiabile di tutte le operazioni compiute sui dati critici (incluse le operazioni di sola visualizzazione)
Lo scenario normativo in tema di data privacy richiama la necessità di adottare adeguate contromisure volte a garantire una maggior sicurezza nel trattamento dei dati. Esso tende sia ad affermare alcuni principi, sia ad indirizzare le contromisure organizzative e tecnologiche atte a metterli in pratica
10
CODICE
Per una risposta efficace, è necessario impostare una strategia basata su tre aspetti fondamentali
Costruire il modello
Definire una metodologia
Progettare l’infrastruttura tecnologica a supporto
11
Il modello di riferimento, per una efficace strategia di sicurezza, deve ribadire la centralità dei dati trattati
Dati Privacy
Dati rilevanti
per la Privacy
Imposta la strategia complessiva ed il modello di Security per mitigare i rischi correlati alla tutela della Privacy
Fornisce gli strumenti per il controllo armonico ed efficiente dei processi di attribuzione e verifica dei privilegi sulle risorse critiche, in accordo alle policy formalizzate
Consente di attribuire inequivocabilmente la responsabilità dei trattamenti effettuati sui dati critici all’effettivo owner
Attribuita e formalizzata in rapporto ai dati critici, anche in termini di responsabilità oggettive pertinenti alla tutela della Privacy
Censiti e valutati in rapporto ai dati critici che elaborano.
Regolati da policy che normano le modalità di interazione con i dati critici
-
-
Definiti e formalizzati rispetto al business aziendale
Classificati in base alla rilevanza in rapporto alla Privacy
-
-
Costruire il modello
Definire una metodologia
Progettare l’infrastruttura tecnologica
12
E’ necessario utilizzare un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento
L’attuazione di una roadmap efficace verso gli obiettivi di data privacy compliance riguarda sia l’ambito organizzativo e di processo che l’ambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi “canonici” della gestione del rischio
Layer infrastrut-
turale e tecnologi-
co
Layer dei processi e dell’orga-nizzazione
Definizione e classificazione dei dati critici
trattati dall’azienda
Censimento dei processi e dei sistemi di elaborazione che li trattano
Analisi dei rischi correlati alle specifiche
minacce ai requisiti di
privacy sui dati critici
Infrastruttura per la gestione delle
credenziali e dei privilegi per le utenze
applicative e gli addetti IT
Interventi sulle applicazioni per la
conformità ai requisiti di identi-ficazione, auto-rizzazione, trac-ciamento utenze
Interventi per la sicurezza di SO e DB per gestione
accessi, controllo privilegi,
riservatezza dei dati e tracciamento
degli addetti IT
Sviluppo di un sistema di
auditing sui trattamenti
operati sui dati critici
Sviluppo del modello delle contromisure inquadrate in un framework di riferimento
condiviso
Verifica dell’ownership sui processi / applicazioni /
sistemi coinvolti
Costruire il modello
Definire una metodologia
Progettare l’infrastruttura tecnologica
13
AUDIT LOG CENTRALIZZATO
Il modello tecnologico deve gestire il ciclo di vita completo delle identità aziendali, ponendo sullo stesso piano le utenze applicative e sistemistiche
Applicazione S.O.End User Addetti IT
DB
Valore+
-trend
Sicurezza applicativa
Accesso, controllo autorizzazioni, protezione risorse, tracciamento non ripudiabile
“Securizzazione” S.O.
Accesso, tracciamento Comandi, controllo privilegi sulle risorse, cifratura
“Securizzazione” DB
Accesso, tracciamento Comandi, controllo privilegi sui dati, cifratura
WORKFLOW AUTORIZZATIVO GENERALE
Repository unico delle identità
Legenda flussi
Identity mgmt / provisioning
Collezionamento log
accesso diretto da parte degli utenti finali
accesso indiretto da parte degli utenti finali
Accesso diretto da parte degli Addetti IT
Costruire il modello
Definire una metodologia
Progettare l’infrastruttura tecnologica
14
Implementazione della strategia di data privacy: Aspetti legati al contesto aziendale
L’efficacia della strategia di data privacy può essere condizionata da alcuni fattori di contesto che devono essere attentamente considerati
Aspetti di contesto Fattori di rischio
La trasversalità degli interventi richiesti presuppone il coinvolgimento dell’intera organizzazione
- Scarsa maturità dell’organizzazione della sicurezza per affrontare la problematica a livello globale
- Mancanza di ownership e responsabilità dichiarate
- Mancanza di organismi di controllo interno
11
I requisiti e le contromisure richieste devono riguardare tutti i domini tecnologici, inclusi i sistemisti e gli addetti IT
- Indisponibilità a rivedere le modalità operative consolidate, in particolare per la gestione dei datacenter
- Privilegio dell’efficienza operativa a scapito della sicurezza
22
Gli interventi richiedono investimenti specifici
- Mancanza di commitment da parte degli stakeholders
- Conseguente limitatezza del budget
- Necessità di attuare interventi specifici nell’ambito della gestione ordinaria dei sistemi informativi
33
15
Accorgimenti per contrastare i fattori di rischio
Agire sul piano dell’organizzazione della sicurezza e dell’awareness sulla problematica:
La compliance è uno dei driver, ma proteggere i dati riguarda direttamente il business; è necessario il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici.
PdS1
−Individuazione delle Classi di Criticitàdei Sistemi/Applicazioni.
−Individuazione del desiderato Livello di Rischio su Sistemi/Applicazioni
IT Security
Security Governance
PdS2 PdSnPdS4PdS3
IT SecurityLinee di Sviluppo
Il risultato sono specifici piani di Sicurezza, riferiti alle differenti applicazioni IT. Le contromisure sono sia di tipo tecnologico che organizzativo
Linee di SviluppoLinee di Esercizio
C1 C2 C3 C4 Cn
Con interventi trasversali, soprattutto nell’ambito infrastrutturale, èpossibile agire contemporaneamente su un sottoinsieme di minacce, ottimizzando gli investimenti
Analisi del Rischio di Alto Livello
Pianificazione degli di Interventi di security
Attuazione delle contromisure
BIA, Rilevanza strategica dei dati
−Indicatori di rischio
−Business Continuity
−Linee strategiche di protezione
11
16
Accorgimenti per contrastare i fattori di rischio
Collaborare con le linee operative per definire un insieme di contromisure sostenibili:
Costruire un modello tecnologico organico ma a “building blocks”, implementabile a perimetri concentrici, nell’ambito di una roadmap concordata con tutti gli owner coinvolti
Definire una “baseline” tecnologica di sicurezza comune, identificando un set di contromisure per ciascun dominio, caratterizzate da basso impatto operativo e TCO accettabile
22
Possibile Baseline di sicurezzaPossibile Baseline di sicurezza
Identità utente univocamente determinabile fra i vari layerCentralizzazione Identity RepositoryCentralizzazione dei processi di Identity Management e provisioning
mediante applicazione di workflow operanti sul repository centralizzatoCentralizzazione dei processi di autenticazione e rafforzamento dei
metodi di controllo accessoApplicazione del principio del minimo privilegio
Organizzazione e classificazione delle risorse per grado di criticità e rilevanza
Gestione dei privilegi per ruoli, responsabilità e mansioniPiano condiviso con le varie funzioni per la bonifica degli account di
gruppoCentralizzazione e correlazione dei sistemi di tracciatura degli accessi e delle azioni svolte
Consolidamento dei log prodotti ai vari layer
Networking
Applicazione
Server / File System
DataBase
Mid
dle
wa
re
Dati critici= Utenze individuali
= Account applicativi
= Account Sistemistici
17
Accorgimenti per contrastare i fattori di rischio
Adottare una strategia di comunicazione “verso l’alto” che evidenzi chiaramente i rischi di business correlati al tema della data privacy, ma anche il valore aggiunto che una strategia di compliance può portare all’efficienza dei processi ed all’immagine dell’azienda verso il mercato
33
Nella predisposizione di una roadmap di interventi, su cui ottenere il commitment degli stakeholders, l’attenta considerazione dei seguenti punti può rappresentare un elemento chiave di successo:
Flessibilità ed adattabilità
delle soluzioni proposte
Flessibilità ed adattabilità
delle soluzioni proposte
La soluzione deve poter rispondere alle necessità specifiche degli ambienti target
in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di
criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari
La soluzione deve poter rispondere alle necessità specifiche degli ambienti target
in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di
criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari
Scalabilità ed apertura evolutiva
Scalabilità ed apertura evolutiva
La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a
contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità
delle evoluzioni tecnologiche relative alle piattaforme IT in generale
La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a
contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità
delle evoluzioni tecnologiche relative alle piattaforme IT in generale
La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un
disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed
OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della
produttività delle utenze coinvolte
La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un
disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed
OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della
produttività delle utenze coinvolte
Massimizzazione dei savings
Massimizzazione dei savings
18
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy
• Conclusioni
19
Conclusioni
− Le esigenze di compliance, in particolare in tema privacy, impongono una revisione dei processi di business, allo scopo di evidenziare il possibile scollamento fra l’impianto normativo e le policy di sicurezza e l’effettiva applicazione nei sistemi IT
− Ciò deve realizzarsi secondo una metodologia che coinvolga l’organizzazione ad ogni livello, impostata secondo una strategia di Security Governance che definisca il perimetro e ponga gli obiettivi, verificandone il raggiungimento nell’ambito di un piano organico condiviso e di un framework tecnologico di riferimento
− L’obiettivo richiede il contributo di diversi interlocutori: il fornitore delle tecnologie di base, la consulenza strategica, il system integrator, etc. che devono operare in stretta sinergia verso il cliente
− L’esperienza VP Tech, nonché la sua specializzazione distintiva su tutte le tematiche di Security maturata presso molte organizzazioni, ci pone come un partner di eccellenza in grado di fornire un contributo determinante per affrontare e gestire la problematica