La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater.

Presentazioni simili


Presentazione sul tema: "La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater."— Transcript della presentazione:

1 La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna. Ing. Aldo Schiavina Responsabile Servizio Sicurezza e Servizi di Rete

2 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo Criticità Azioni intraprese ed in fase di attuazione Agenda

3 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario (1/2) La realtà dell’Ateneo di Bologna è complessa ed articolata: è composta da circa 150 strutture con autonomia organizzativa e gestionale (tra Amministrazione Generale, Facoltà, Dipartimenti, Centri di Ricerca e di Servizi), suddivise tra la sede di Bologna e i quattro Poli romagnoli (Cesena, Forlì, Ravenna e Rimini), con una sede remota anche a Reggio Emilia; queste strutture trattano a fini istituzionali (tra cui didattica e ricerca), diverse tipologie di dati personali, come ad es. dati sensibili, giudiziari e genetici; tutte le sedi sono tra loro connesse da una complessa rete, detta ALMAnet, la cui dorsale presenta collegamenti Gigabit Ethernet.

4 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario (2/2)

5 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice. Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuità dei servizi offerti dall’Università. Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery). Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo. Esigenze ed Obiettivi

6 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica. L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale). Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere gli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio. Criticità

7 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Stesura del D.P.S. ai sensi del D.Lgs. 196/03. Implementazione di un sistema di Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System). Definizione di un modello di Sicurezza Perimetrale. Preparazione di un sito di Disaster Recovery. Gestione degli incidenti informatici (CERT CeSIA) ed implementazione di un sistema di Intrusion Detection. Aggiornamento del regolamento per il corretto uso della rete. Preparazione di una gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo. Azioni

8 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico - organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Almaweb, Graduate School of Information Technology, Management and Communication dell’Università di Bologna. Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo è stato redatto in sede di project work previsto dal Master. È prevista l’approvazione da parte degli OO.AA. entro il 31/12/05. Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università è naturalmente dotata. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)

9 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose: l’analisi e la documentazione dell’attuale situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche); l’elaborazione di un’analisi dei rischi relativamente ai dati trattati; la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza; la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)

10 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche. Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse. Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA). Identity Management System (1/3)

11 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Identity Management System (2/3)

12 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione. Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo. E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.). Identity Management System (3/3)

13 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli: Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR; Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet. Modello di Sicurezza Perimetrale (1/2)

14 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Modello di Sicurezza Perimetrale (2/2)

15 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Sito di Disaster Recovery

16 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet. Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR- CERT) e mantiene i rapporti con l’autorità giudiziaria. Si prevede di istituire anche un contatto con GOVCERT.IT. Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete. Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi. Computer Emergency Response Team (1/2)

17 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Il servizio CERT CeSIA ha rilevato fino a di eventi anomali in un solo giorno. Negli ultimi 2 anni il servizio ha inviato oltre per segnalare a referenti di rete host compromessi. Di queste oltre 1300 sono state inviate nel Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm. Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo. Computer Emergency Response Team (2/2)

18 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Intrusion Detection System

19 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti: soggetti autorizzati all’uso della rete; modalita' di accesso alla rete (autenticazione e mantenimento dei log); uso di strumenti hardware e software che possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P); utilizzo dei servizi di rete (posta elettronica, siti web, ecc.); implementazioni di particolari tecnologie (es. WI- FI, ecc.); … Regolamento per il corretto uso della rete

20 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Oggetto della gara Apparati hardware e relativo software firewall sistema di gestione Servizi (complementari rispetto alle potenzialità interne) progettazione installazione fisica e configurazione di base manutenzione HW e SW dei firewall, anche degli apparati preesistenti configurazione avanzata monitoraggio e supporto al CERT CeSIA riconfigurazione formazione per i tecnici dell’Ateneo Approvvigionamento di apparati e servizi (1/4)

21 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Tipologia della gara licitazione privata a valenza comunitaria; durata del contratto: 3 anni dalla stipula; bando e capitolato sono stati sottoposti al Collegio di valutazione del CNIPA ed hanno ottenuto il parere di congruità; le attività dovrebbero iniziare presumibilmente verso settembre-ottobre Approvvigionamento di apparati e servizi (2/4)

22 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Governance del rapporto col fornitore Project Manager CeSIA: precisa i requisiti dei servizi richiesti; definisce il modello organizzativo dei servizi; definisce gli standard di riferimento; approva i piani di lavoro proposti dalla ditta e controlla la qualità dei servizi erogati. Project Manager Fornitore: è interlocutore del Project Manager del Ce.S.I.A; propone i piani di lavoro per i servizi richiesti; comunica al Project Manager del Ce.S.I.A. gli stati di avanzamento dei lavori e le eventuali criticità; coordina tecnicamente il personale della ditta; trasmette la documentazione dei servizi erogati. Approvvigionamento di apparati e servizi (3/4)

23 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Governance del rapporto col fornitore Definizione di due livelli di indicatori di performance per la maggior parte dei servizi previsti. Indicatore primario: stabilisce una soglia al di sotto della quale il servizio reso viola lo SLA concordato e dà luogo ad una contestazione, per la quale si applicano le penali previste a carico del fornitore ed in caso di grave inadempienza si procede alla risoluzione del contratto(es.: tempestività nella consegna degli apparati, affidabilità degli apparati, tempestività nella risoluzione dei malfunzionamenti, etc.); Indicatore secondario: è utilizzato per il controllo delle performance e della produttività (es.: tempo medio di consegna, tempo medio di presa in carico di un problema, etc.). Approvvigionamento di apparati e servizi (4/4)


Scaricare ppt "La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater."

Presentazioni simili


Annunci Google